Modelocapacidades61877.pdf

I

Tese apresentada à Pró-Reitoria de Pós-Graduação e Pesquisa do Instituto Tecnológico de Aeronáutica, como parte dos requisitos para obtenção do título de Mestre em Ciências no Programa de Pós-Graduação em Engenharia Eletrônica e Computação, área de Informática.

Sylvio Andre Diogo Silva

MODELO DE CAPACIDADES E MATURIDADE PARA DEFESA CIBERNÉTICA

Tese aprovada em sua versão final pelos abaixo assinados:

Orientador

Prof. Dr. Celso Massaki Hirata Pró-Reitor de Pós-Graduação e Pesquisa

Campo Montenegro São José dos Campos, SP – Brasil 2011

II

Dados Internacionais de Catalogação-na-Publicação (CIP) Divisão de Informação e Documentação Diogo Silva, Sylvio Andre Modelo de Capacidades e Maturidade para Defesa Cibernética / Sylvio Andre Diogo Silva. São José dos Campos, 2011. Número de folhas no formato 130f. Tese de mestrado – Curso de Engenharia Eletrônica e Computação – Área de Informática - Instituto Tecnológico de Aeronáutica, 2010. Orientador: Prof. Dr. Edgar Toshiro Yano. 1. Comando e Controle 2. Guerra Cibernética 3. Defesa Cibernética 4. Segurança da Informação 5. Ontologias 6. Modelo de Capacidades I. Comando-Geral de Tecnologia Aeroespacial II. Instituto Tecnológico de Aeronáutica. Divisão de Ciência da Computação III.Título

REFERÊNCIA BIBLIOGRÁFICA SILVA, Sylvio Andre Diogo. Modelo de Capacidades e Maturidade para Defesa Cibernética. 2010. 130f. Tese de mestrado em Informática – Instituto Tecnológico de Aeronáutica, São José dos Campos.

CESSÃO DE DIREITOS NOME DO AUTOR: Sylvio Andre Diogo Silva TÍTULO DO TRABALHO: Modelo de Capacidades TIPO DO TRABALHO/ANO: Tese / 2010

e Maturidade para Defesa Cibernética

É concedida ao Instituto Tecnológico de Aeronáutica permissão para reproduzir cópias desta tese e para emprestar ou vender cópias somente para propósitos acadêmicos e científicos. O autor reserva outros direitos de publicação e nenhuma parte desta tese pode ser reproduzida sem a sua autorização (do autor).

_____________________________________ Sylvio Andre Diogo Silva Super Quadra Sul nº 209, bloco E e Apto 505 CEP 70272-050 Brasília-DF

III

MODELO DE CAPACIDADES E MATURIDADE PARA DEFESA CIBERNÉTICA

Sylvio Andre Diogo Silva

Composição da Banca Examinadora: Prof. Prof. Prof. Prof.

José Maria Parente de Oliveira Edgar Toshiro Yano Ligia Maria Soto Urbina Anderson Fernandes Pereira dos Santos

Presidente - ITA Orientador - ITA Membro Interno – ITA Membro Externo – IME

IV

ITA

MODELAGEM DE CAPACIDADES E MATURIDADE PARA DEFESA CIBERNÉTICA

Sylvio Andre Diogo Silva

Composição da banca examinadora: Prof. Dr.

José Maria Parente de Oliveira

Presidente

Prof. Dr.

Edgar Toshiro Yano

Orientador

Prof. Dra.

Ligia Maria Soto Urbina

Membro Interno

Prof. Dr.

Anderson Fernandes Pereira dos Santos

Membro Externo

2011

V

Dedicatória

À Deus por conceder saúde e capacidade para vencer os obstáculos surgidos no decorrer do curso. A minha esposa Mônica pelo apoio, compreensão e carinho para que eu pudesse desenvolver este trabalho.

VI

Agradecimentos

À Deus pela saúde e força de vontade para superar os obstáculos surgidos no decorrer do curso. Ao meu orientador, Prof. Dr. Edgar Toshiro Yano, por ter me orientado de forma segura e paciente, além do profissionalismo e ainda, pela confiança que me depositou na elaboração deste trabalho. Ao Instituto Tecnológico de Aeronáutica pela oportunidade de cursar o Programa de Pós-graduação em Aplicações Operacionais e desenvolver este trabalho. Agradeço a minha esposa Mônica pela compreensão dos momentos de ausência e pelo apoio nos momentos de dificuldade. Agradeço a todos os professores e colaboradores que direta ou indiretamente influenciaram para a realização do trabalho facilitando a consecução dos objetivos.

VII

Resumo

Uma implantação eficaz de defesa cibernética requer o desenvolvimento de esforços coordenados nas seguintes capacidades-chave: detecção de ataques, mecanismos de defesa, monitoramento de situação, comando e controle, aprimoramento de estratégias e táticas e desenvolvimento seguro de sistemas. A dissertação apresenta um modelo de capacidades para defesa cibernética. A partir das seis capacidades-chave, foi identificado um modelo com capacidades essenciais para a defesa cibernética. O modelo de capacidades desenvolvido é utilizado como base para a construção de um modelo de maturidade para defesa cibernética. O modelo de maturidade é essencial para apoiar um planejamento estratégico de ações de defesa cibernética, pois permite a identificação do estado corrente de uma organização quanto à defesa cibernética e orientação para a definição de ações a serem tomadas para melhoria desse estado corrente. Nesta dissertação apresentamos a motivação e conceituação para um modelo de capacidades para defesa cibernética. A partir do modelo de capacidades é elaborado um modelo de maturidade.

VIII

Abstract

Effective deployment of cyber defense requires the development of coordinated efforts in the following key capabilities: attack detection, defense mechanisms, monitoring status, command and control, improvement strategies and tactics and developing secure systems. The dissertation presents a model for cyber defense capabilities. From the six key capabilities, a model was identified with core capabilities for cyber defense. The capabilities developed model is used as the basis for building a maturity model for cyber defense. The maturity model is essential to support a strategic planning actions of cyber defense, because it allows the identification of the current state of the organization as a cyber defense and guidance for the definition of actions to be taken to improve this current state. In this thesis we present the motivation and concept for a model for cyber defense capabilities. From the model capabilities and design a model of maturity.

IX

LISTA DE FIGURAS Figura 2.1 – Relação entre a Defesa Cibernética e a Segurança da Informação...............

28

Figura 2.2 - Relação ideal entre a segurança, desempenho e funcionalidade em um sistema de Defesa Cibernética...........................................................................................

31

Figura 2.3 – Estrutura do Modelo de Governança de TI CobiT........................................

40

Figura 2.4 Elementos de uma Capacidade......................................................................... 41 Figura 2.5 – Taxonomia Hierárquica das Capacidades.....................................................

42

Figura 3.1 – Atividade de Formalização para construção da Ontologia de Defesa Cibernética utilizando a ferramenta Protégé...................................................................... 48 Figura 3.2 - Ontologia dos conceitos de Defesa Cibernética............................................. 52 Figura 3.3 - Emprego das Capacidades Fundamentais Operacionais................................

52

Figura 3.4 - Taxonomia das Capacidades Fundamentais para Defesa Cibernética...........

52

Figura 3.5 - Taxonomia das Capacidades Fundamentais para Defesa Cibernética ..........

53

Figura 3.6 - Taxonomia da Capacidade Fundamental de Comando e Controle................

57

Figura 3.7 - Taxonomia da Capacidade Fundamental de Mecanismos de Defesa............

58

Figura 3.8 - Taxonomia da Capacidade Fundamental de Supervisão da Defesa............... 61 Figura 3.9 - Relações entre as Capacidades Fundamentais do Modelo de Defesa Cibernética.................................................................................................................................. 62 Figura 4.1 - Nível de Maturidade Avaliada visando a Segurança de um sistema de defesa cibernética .............................................................................................................. 71 Figura 5.1 - Nível de Maturidade Avaliada visando a Robustez de um sistema de defesa cibernética............................................................................................................... 76 Figura 5.2 - Avaliação de Maturidade das capacidades de negócios de um sistema de defesa cibernética............................................................................................................... 77 Figura 5.3 - Nível de Maturidade Avaliada da capacidade de Governança do sistema de defesa cibernética da organização ALFA..........................................................................

78

Figura 5.4 - Nível de Maturidade Avaliada da capacidade Comando e Controle do sistema de defesa cibernética da organização ALFA........................................................

79

Figura 5.5 - Nível de Maturidade Avaliada da capacidade Mecanismos de Defesa do sistema de defesa cibernética da organização ALFA........................................................

79

Figura 5.6 - Nível de Maturidade Avaliada da capacidade de Supervisão da Defesa do sistema de defesa cibernética da organização ALFA........................................................

80

X

Figura 5.7 - Nível de Maturidade Avaliada da capacidade de Governança do sistema de defesa cibernética da organização BRAVO....................................................................... 80 Figura 5.8 - Nível de Maturidade Avaliada da capacidade Comando e Controle do sistema de defesa cibernética da organização BRAVO..................................................... 81 Figura 5.9 - Nível de Maturidade Avaliada da capacidade Mecanismos de Defesa do sistema de defesa cibernética da organização BRAVO..................................................... 81 Figura 5.10 - Nível de Maturidade Avaliada da capacidade de Supervisão da Defesa do sistema de defesa cibernética da organização BRAVO..................................................... 82 Figura 5.11 - Nível de Maturidade Avaliada da capacidade de Governança do sistema de defesa cibernética da organização CHARLIE..............................................................

82

Figura 5.12 - Nível de Maturidade Avaliada da capacidade Comando e Controle do sistema de defesa cibernética da organização CHARLIE.................................................

83

Figura 5.13 - Nível de Maturidade Avaliada da capacidade Mecanismos de Defesa do sistema de defesa cibernética da organização CHARLIE.................................................

83

Figura 5.14 - Nível de Maturidade Avaliada da capacidade de Supervisão da Defesa do sistema de defesa cibernética da organização CHARLIE.................................................

84

Figura 5.15 - Nível de Maturidade Avaliada da capacidade Governança do sistema de defesa cibernética da organização DELTA.......................................................................

84

Figura 5.16 - Nível de Maturidade Avaliada da capacidade Comando e Controle do sistema de defesa cibernética da organização DELTA...................................................... 85 Figura 5.17 - Nível de Maturidade Avaliada da capacidade de Mecanismos de Defesa do sistema de defesa cibernética da organização DELTA................................................. 85 Figura 5.18 - Nível de Maturidade Avaliada da capacidade Supervisão da Defesa do sistema de defesa cibernética da organização DELTA...................................................... 86 Figura 5.19 - Quadro de Comparação do Desenvolvimento da Capacidade Fundamental Governança entre as organizações avaliadas...............................................

87

Figura 5.20 - Quadro de Comparação do Desenvolvimento da Capacidade Fundamental Comando e Controle entre as organizações avaliadas..................................................

88

Figura 5.21 - Quadro de Comparação do Desenvolvimento da Capacidade Fundamental Mecanismos de Defesa entre as organizações avaliadas..............................................

90

Figura 5.22 – Quadro de Comparação do Desenvolvimento da Capacidade Fundamental Supervisão da Defesa entre as organizações avaliada..................................................

91

XI

LISTA DE TABELAS

Tabela 4.1 - Níveis de Maturidade para o Modelo de Defesa Cibernética ......................

69

Tabela 5.1 - Pontuação do Grau de Desenvolvimento da Capacidade Fundamental Governança das organizações de A a D............................................................................. 85 Tabela 5.2 - Pontuação do Grau de Desenvolvimento da Capacidade Fundamental Comando e Controle das organizações de A a D............................................................... 86 Tabela 5.3 - Pontuação do Grau de Desenvolvimento da Capacidade Fundamental Mecanismos de Defesa das organizações de A a D. ......................................................... 87 Tabela 5.4 - Pontuação do Grau de Desenvolvimento da Capacidade Fundamental Supervisão da Defesa das organizações de A a D. ...........................................................

89

Tabela 5.5 - Nível de Classificação de Maturidade do Desenvolvimento das Capacidades Fundamentais ..........................................................................................................

90

Tabela 5.6 - Nível de Classificação de Maturidade do Desenvolvimento das Capacidades Fundamentais das Organizações de A a D ...............................................................

91

XII

LISTA DE SIGLAS

CMM

Capability Maturity Model

CMMI

Capability Maturity Mode Integration

DNS

Domain Name Server

IEC

1. IEC - International Engineering Consortium

ISACF ISO

Information Systems Audit and Control Foundation 1. ISO - International Organization for Standardization

NIST

National Institute of Standards and Technology

OPM3

Organizational Project Management Maturity Model

PMI

1. Project Management Institute

PMMM

Project Management Maturity Model

SEI

Software Engineering Institute

SGSI

Sistema de Gestão de Segurança da Informação

TCU

Tribunal de Contas da União

TI

Tecnologia da Informação

XIII

SUMÁRIO

1. INTRODUÇÃO .................................................................................................................... 13 1.1 Contextualização ............................................................................................................ 13 1.2 Motivação ....................................................................................................................... 14 1.3 Problema ......................................................................................................................... 15 1.5 Metodologia .................................................................................................................... 17 1.6 Estruturação do Trabalho................................................................................................ 17 2. FUNDAMENTOS TEÓRICOS ........................................................................................... 19 2.1 Guerra Cibernética .......................................................................................................... 19 2.1.1 Classificação da Guerra Cibernética........................................................................ 22 2.1.2 Princípios da Guerra Cibernética ............................................................................. 23 2.2 A Defesa Cibernética ...................................................................................................... 26 2.2.1 A Defesa Cibernética e a Segurança da Informação ............................................... 27 2.2.2 Elementos de Defesa Cibernética ............................................................................ 29 2.2.3 Requisitos Desejáveis para Gestão de Defesa Cibernética ...................................... 30 2.3 Modelos de Qualidade para Segurança da Informação .................................................. 33 2.3.1 Família NBR ISO/IEC 27000:2005 ......................................................................... 34 2.3.2 NIST 800-53 ............................................................................................................ 37 2.3.3 Modelo COBIT ........................................................................................................ 38 2.3.4 Modelo de Capacidades ........................................................................................... 39 2.4 Necessidade de um modelo de Defesa Cibernética ........................................................ 42 3. MODELO DE CAPACIDADES PARA DEFESA CIBERNÉTICA .................................. 43 3.1 Uma Ontologia para Defesa Cibernética ........................................................................ 44 3.2 Modelo de Capacidades para Defesa Cibernética .......................................................... 54 3.2.1 Governança .............................................................................................................. 56 3.2.2 Comando e Controle ................................................................................................ 59 3.2.3 Mecanismos de Defesa ............................................................................................ 61 3.2.4 Supervisão da Defesa............................................................................................... 63 3.3 Relações entre as Capacidades Fundamentais ................................................................ 65 4. MODELO DE MATURIDADE PARA DEFESA CIBERNÉTICA .................................... 67 4.1 Modelos de Maturidade .................................................................................................. 67 4.1.1 OPM3 (Organizational Project Management Maturity Model) – PMI ................... 68 4.1.2 CMMI (Capability Maturity Mode Integration) ...................................................... 69 4.1.3 PMMM (Project Management Maturity Model) – PM Solutions ........................... 69 4.1.4 Modelo de Maturidade do CobiT ............................................................................ 70

XIV

4.2 Modelo de Maturidade para Defesa Cibernética ............................................................ 71 4.2.1 Níveis de Maturidade............................................................................................... 72 4.2.2 Avaliação da Maturidade de Capacidades ............................................................... 73 4.3 Cenários de Uso do Modelo Maturidade ........................................................................ 75 4.3.1 Identificação do Estado Corrente ............................................................................ 75 4.3.2 Identificação do Estado desejável............................................................................ 75 4.3.3 Planejamento para se atingir o estado desejável ...................................................... 77 5. ESTUDO DE CASO ............................................................................................................ 78 5.1 Delimitação da unidade-caso .......................................................................................... 78 5.1.1 Cenário .................................................................................................................... 79 5.2 Coleta de Dados .............................................................................................................. 80 5.2.1 Organização ALFA.................................................................................................. 81 5.2.2 Governança da organização BRAVO .......................................................................... 84 5.2.3 Organização CHARLIE ........................................................................................... 86 5.2.4 Organização DELTA ............................................................................................... 88 5.3 Seleção, Análise e Interpretação dos dados .................................................................... 90 5.3.1 Análise Global ......................................................................................................... 90 5.3.2 Análise Específica…………………………………………………………………96 5.3.3 Conclusão Global………………………………………………………………….99 6. CONCLUSÕES…………………………………………………………............………..102 6.1 Trabalhos Futuros.........................................................................................................103 REFERÊNCIAS......................................................................................................................105 ANEXO - Questionário Aplicado as Organizações referentes ao Modelo de Maturidade para Defesa Cibernética..................................................................................................................111 GLOSSÁRIO..........................................................................................................................129

13

1. INTRODUÇÃO 1.1 Contextualização

O aperfeiçoamento da tecnologia digital, sobretudo na década de 1990, proporcionou, dentre outras coisas, o advento das redes de computadores, que permitiu que dois ou mais computadores e outros dispositivos sejam conectados entre si de modo a poderem compartilhar seus serviços, criando um ambiente virtual, diferente do cinético, que é o ciberespaço. O ciberespaço é um espaço de comunicação que descarta a necessidade da presença física do ser humano para constituir a comunicação como fonte de relacionamento, dando ênfase ao ato da imaginação, necessária para a criação de uma imagem anônima, que terá comunhão com os demais (1). O principal ambiente virtual que se conhece hoje é a Internet. É um amplo sistema de comunicação que conecta muitos computadores e subredes de computadores, no mundo, e sua origem remontam os anos de 1960 com a criação da ARPANET (2) que era uma rede de computadores para troca de informações criada pelo Departamento de Defesa dos EUA. Mas somente na década de 90 é que a Internet popularizou-se proporcionando à sociedade diversos serviços de manipulação e acesso a informação (3) (4). Em virtude das facilidades que a rede mundial de computadores pode proporcionar, foi inevitável que sistemas de informações críticos para o funcionamento de uma sociedade moderna, como estações de energia elétrica, sistemas bancários, serviços de telefonia começassem a se interligar utilizando as redes globais. Esse fenômeno foi definido por Schwartau como sendo “Computadores em todos os lugares e a Rede Global” (5). Em virtude da natureza caótica inerente a essas redes, é normal que elas apresentem falhas de segurança que, num contexto de conflitos entre oponentes, poderiam ser exploradas, em um campo de batalha virtual ou no ciberespaço. Nesse conflito a identificação e

14

exploração de brechas de segurança do oponente permitem a obtenção de vantagens competitivas, sendo um fator decisivo para proporcionar uma superioridade em relação a um oponente (6). Tais conflitos existentes no espaço cibernético caracterizam a noção de Guerra Cibernética, que em linhas gerais, se caracteriza por um conflito em larga escala, politicamente motivado e baseado em técnicas de ataque e defesa para interromper os sistemas digitais, redes e infraestruturas do inimigo, sendo realizada por Estados e não Estados (7). Em virtude da possibilidade de exploração de vulnerabilidades nos sistemas computacionais existentes, a defesa do espaço cibernético tornou-se tão importante quanto a defesa do espaço cinético (marítimo, terrestre e aéreo). Em termos gerais a defesa cibernética se caracteriza pelo emprego defensivo de metodologias, processos, equipamentos e estratégias para defesa e proteção de informações, sistemas de informações e redes de computadores visando à utilização relativamente segura dos serviços baseados em redes e a preservação dos ativos de uma organização (7).

1.2 Motivação Apesar de ser explorada como tema de filmes de Hollywood, alguns fatos recentes mostram que a Guerra Cibernética é uma realidade. Alguns exemplos de ataques e problemas na administração da TI ocorridos na atual década mostram a importância do investimento em Defesa Cibernética:  Em julho de 2009, o sítio do Departamento de Defesa dos EUA foi invadido por quatro dias consecutivos, numa ação que atualmente tem sido comum por parte dos chamados hackers, de tentativa de saturação de acesso e conexão a um determinado sítio da internet até que o mesmo seja interrompido e seu acesso bloqueado (8).  De forma similar, os sítios do governo da Coréia do Sul sofreram com ação similar,

15

tornando lento o acesso à internet naqueles mesmos dias do início de julho. Dados dos serviços de inteligência de ambos os países informaram que o ataque partiu de 16 países, inclusive dos EUA e da Coréia do Sul, fazendo uso de cerca de 20 mil computadores domésticos e 80 provedores da Internet (9).  No cenário brasileiro os resultados de uma pesquisa realizada em 2007 pelo TCU, em 250 órgãos públicos, apresentaram uma série de deficiências na Gestão de Governança de Tecnologia da Informação, sendo que os itens mais expressivos foram àqueles relacionados à Segurança da Informação. A pesquisa mostrou que 80% dos órgãos pesquisados não classificam a informação, 75% não fazem análise de riscos, e 64% não possuem política de segurança da informação (10). 

A Estratégia Nacional de Defesa do Brasil destaca três setores estratégicos para defesa nacional e para o desenvolvimento tecnológico, sendo: o espacial, o cibernético e o nuclear (11). No campo cibernético cresce de importância o aprimoramento de recursos humanos, metodologias e tecnologias para Defesa Cibernética, e em conseqüência a proteção dos ativos. Isto reflete literalmente na economia de bilhões de dólares em virtude de prejuízos causados por crimes cibernéticos no cenário mundial (12).

1.3 Problema Um problema estruturante nas organizações que utilizam a TI na consecução de seus objetivos organizacionais refere-se à organização da Defesa Cibernética existente para assegurar que o atendimento das necessidades de proteção ocorram a contento em face das ameaças existentes no atual espaço cibernético. Devido o tema ser relativamente recente, é notória a ausência de uma proposta de uma metodologia de gestão de um sistema de Defesa Cibernética, para servir como base para implantação e uso em uma organização. Isto decorre

16

da necessidade de proteção dos ativos organizacionais dos atuais ataques oriundos do espaço cibernético. Assim, um modelo de gestão de Defesa Cibernética possui papel fundamental na proteção dos ativos de uma organização que utiliza a TI para consecução dos objetivos organizacionais. Um modelo de qualidade descreve uma metodologia de aplicação baseado em melhores práticas estabelecidas até o nível mundial. A metodologia existente que trata parcialmente do assunto está contida, na íntegra, nas Normas de Segurança da Informação, pertencentes à família ISO/IEC 27000 e visam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações, por intermédio do estabelecimento e gerenciamento das melhores práticas mundiais estabelecidas para tal fim. No entanto, o escopo tratado na Defesa Cibernética é mais dinâmico decorrente da necessidade de ações preventivas, pró-ativas e reativas.

1.4 Objetivo O principal objetivo deste trabalho de mestrado é a proposição de um modelo de Gestão para Defesa Cibernética, apresentando as capacidades mínimas para um sistema de defesa. O objetivo do modelo é servir de base para implantação e gestão em uma organização. O modelo é complementado por um modelo de maturidade que identifica as fases de completude do sistema com relação às capacidades mínimas necessárias a serem implementadas em cada uma das fases. Como objetivo complementar é apresentado um estudo de caso que servirá como base para verificar a aplicabilidade do modelo em um cenário real de uso.

17

1.5 Metodologia Do ponto de vista natural foi realizada neste trabalho uma Pesquisa Aplicada com o objetivo de gerar conhecimentos para aplicação prática dirigidos à solução de problemas relativos à gestão de um sistema de Defesa Cibernética (13). Quanto à forma de abordagem do problema foi realizada uma pesquisa qualitativa considerando a relação dinâmica entre o mundo real e a proposta do modelo, isto é, um vínculo indissociável entre o mundo objetivo e a subjetividade do modelo o que não pode ser traduzido em números. O ambiente natural foi a fonte direta para coleta de dados e o pesquisador foi o instrumento-chave. O modelo proposto e seu significado foram os focos principais de abordagem (13). Do ponto de vista dos objetivos foi uma “pesquisa exploratória” (14) visando proporcionar maior familiaridade com o problema com vistas a torná-lo explícito e a construir hipóteses. Envolveu levantamento bibliográfico; entrevistas com pessoas que tiveram experiências práticas com o problema pesquisado; análise de exemplos que estimulassem a compreensão. Assumiu, em geral, as formas de Pesquisas Bibliográficas e Estudos de Caso. Do ponto de vista dos procedimentos técnicos foi realizada uma pesquisa que envolveu os seguintes métodos (14):  Pesquisa Bibliográfica: pois foi elaborada a partir de material já publicado, constituído principalmente de livros, artigos de periódicos e atualmente com material disponibilizado na Internet.  Estudo de caso: pois envolveu o estudo profundo de objetos de maneira que se permita o seu amplo e detalhado conhecimento.

1.6 Estruturação do Trabalho O trabalho está estruturado em seis capítulos da seguinte forma:  O Capítulo 2 contém os elementos teóricos necessários para o entendimento do

18

assunto em pauta, explicando os conceitos relacionados à Guerra Cibernética, Defesa Cibernética, aos modelos de qualidade para Segurança da Informação e modelos de maturidades atualmente utilizados.  O Capítulo 3 trata com um nível maior de detalhamento o objeto de estudo da pesquisa, ou seja, o modelo de capacidades proposto. Assim, o capítulo fornece uma base de conhecimento necessária para o entendimento da pesquisa, destacando os conceitos envolvidos, quais são os principais objetivos de cada capacidade, as características, atributos e a estrutura do modelo.  O Capítulo 4 trata, de forma semelhante ao Capítulo 3, com um nível maior de detalhamento o modelo de maturidade para o modelo de capacidades proposto. É composto de uma síntese dos principais modelos de maturidade existentes na literatura, bem como, de um detalhamento do modelo proposto.  O Capítulo 5 detalha os resultados obtidos na aplicação do modelo proposto em organizações que utilizam a TI em seus processos organizacionais. Por intermédio de um estudo de caso, serão explicitadas quais as principais atividades executadas para a implantação e consolidação da pesquisa e as principais dificuldades encontradas no processo.  O Capítulo 6 será dedicado às conclusões encontradas a partir da realização da pesquisa e do estudo de caso e também para a indicação de trabalhos futuros que poderão ser realizados a partir deste, com objetivos de estender a pesquisa, como a criação de submodelos de capacidades e outros que poderão surgir de acordo com as necessidades.

19

2. FUNDAMENTOS TEÓRICOS

O capítulo a seguir tem por finalidade descrever os fundamentos teóricos no escopo do assunto com vistas à obtenção do pleno entendimento do que foi proposto no trabalho. Inicialmente devemos ressaltar que a terminologia envolvida no assunto, em questão, evolui rapidamente em função do desenvolvimento tecnológico. Tendo em vista que alguns termos apresentam ambigüidade no seu uso, coube a realização de considerações sobre o significado no escopo do presente trabalho.

2.1 Guerra Cibernética Na literatura mundial encontramos diversas definições referentes à palavra Guerra. Uma definição direta e simples, com uma visão filósofo-jurista, foi dada pelo jus naturalista holandês do século XVII, Hugo Grócio, na sua Obra O Direito da Guerra e da Paz, “[...] a guerra é o estado de indivíduos, considerados como tais, que resolvem suas controvérsias, pela força” (15). A definição de Grócio é abrangente e menciona elementos essenciais da guerra, além de se aplicar a todos os tipos de guerra, pública e privada. Outra definição direta e famosa é a mencionada por Carl Von Clausewitz na sua obra Da Guerra, “ A Guerra é [...] um ato de violência para obrigar o adversário a cumprir nossa vontade” (16). No glossário das Forças Armadas Brasileiras podemos verificar que o significado da palavra guerra pode ser entendido da seguinte forma (17): Guerra - Conflito no seu grau máximo de violência. Em função da magnitude do conflito, pode implicar a mobilização de todo o Poder Nacional, com predominância da expressão militar, para impor a vontade de um ator ao outro. 2. No sentido clássico, caracteriza um conflito, normalmente entre Estados, envolvendo o emprego de suas forças armadas. Desencadeia-se de forma declarada e de acordo com o Direito Internacional.

O termo guerra está intimamente relacionado a conflitos que em sua maioria envolve o uso de força para fazer prevalecer à vontade de um ator em um determinado contexto.

20

O termo cibernética tem sua forma original do grego “KUBERNETES” e não possui uma única definição. Uma delas proposta pela American Society for Cybernetics é que “o termo foi criado em 1948 pelo matemático Norbert Wiener para abranger todo o campo da teoria do controle e comunicação, seja na máquina ou no animal” (18). O presente trabalho tem o enfoque do conceito na máquina. A caracterização do termo guerra aliado à cibernética nos dá uma noção do tipo de conflito decorrente, ou seja, a exploração do controle e da comunicação com o uso de força para impor a vontade ao oponente. A Guerra Cibernética é o sub-conjunto da Guerra da Informação que envolve ações tomadas dentro do mundo virtual. O mundo cibernético é qualquer realidade virtual contida em uma coleção de computadores e redes. Existem diversos mundos cibernéticos, porém, o mais relevante para a Guerra Cibernética, na atualidade, é a Internet (19). Existem outras definições para o termo Guerra Cibernética que serão citadas para fins de conhecimento e estudo:  O Glossário das Forças Armadas (17) define o conceito de Guerra Cibernética da seguinte forma: [Conjunto de ações para uso ofensivo e defensivo de informações e sistemas de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores. Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil.]

 De acordo com Parks e Duggan (19): “É uma combinação de ataques a redes de computadores e a defesa das redes, e possivelmente, operações especiais de informação. O mundo cibernético é qualquer realidade virtual compreendida numa coleção de computadores e redes.”  De acordo com Saidjary (7): “Conflito em larga escala, politicamente motivado e baseado em técnicas de ataque e defesa para interromper os sistemas digitais, redes e infra-

21

estruturas do inimigo, sendo realizada por Estados e não Estados”. O consenso em ambas as definições indica que a Guerra Cibernética visa à obtenção de vantagens por parte do atacante por intermédio do uso de técnicas de ataque e defesa para a obtenção ou proteção da informação. Na Guerra Cibernética a motivação ou propósito das ações ofensivas visam o levantamento de informações nas redes, a captura de informações e a identificação de possíveis alvos que possam vir a permitir a conquista do poder sobre um inimigo. O uso dos recursos computacionais em um ataque tem como intuito, em uma ação de surpresa, impedir o inimigo do uso do seu potencial de comando e controle, bem como infligir baixas em setores críticos de sua infraestrutura nacional, não permitindo a ele uma reação e causando em sua população incerteza, desconfiança e desapontamento, diante de um inimigo invisível e incógnito. Em virtude da possibilidade de tal conflito, o preparo de um estado ou organização para uma guerra exige transformações estruturais que envolvem diversos setores de uma nação. O planejamento para atender a essa situação deve ser previamente elaborado, a fim de que a passagem da situação de paz para a situação de guerra transcorra da forma mais rápida e harmônica possível (20). A condução da guerra requer também a participação plena de todos os setores da nação num esforço sinérgico contra o poder inimigo em todas as suas expressões, em função dos riscos envolvidos e a perda de soberania. Conforme a Doutrina Militar de Defesa Brasileira (21) não há unanimidade no tocante à classificação das guerras de acordo com a sua forma. Geralmente deve-se observar os diferentes enfoques e propósitos envolvidos no conflito. Dependendo do prisma sob o qual se observe, o fenômeno da guerra pode ser classificado de diversas maneiras. No caso da Guerra Cibernética a realidade dos conflitos pode seguir algumas classificações.

22

2.1.1 Classificação da Guerra Cibernética 2.1.1.1 Quanto ao Tipo de Força Empregada (21)  Guerra Regular: quando o conflito ocorre entre Estados ou coligação de Estados no qual as operações são executadas, predominantemente, por forças regulares.  Guerra Irregular: quando o conflito é executado por forças não-regulares ou por forças regulares empregadas fora dos padrões normais da guerra regular, contra um governo estabelecido ou um poder de ocupação, com o emprego de ações típicas da guerra de guerrilhas.

2.1.1.2 Quanto ao poder relativo dos contendores (21)  Guerra Simétrica: quando o conflito contrapõe dois poderes militares que guardam entre si semelhanças de capacidades e possibilidades. Normalmente, os contendores adotam majoritariamente técnicas, táticas e procedimentos típicos da guerra regular.  Guerra Assimétrica: conflito que contrapõe dois poderes militares que guardam entre si marcantes diferenças de capacidades e possibilidades. Trata-se de enfrentamento entre um determinado partido e outro com esmagadora superioridade de poder militar sobre o primeiro. Neste caso, normalmente o partido mais fraco adota majoritariamente técnicas, táticas e procedimentos típicos da guerra irregular. A Guerra Cibernética é um tipo de conflito que possibilita que um pequeno grupo possa realizar ações de combate com um grande impacto, da mesma forma como uma força regular de um país com grande capacidade de combate.

2.1.1.3 Quanto à amplitude geográfica (21)  Guerra Mundial: quando o conflito envolve a totalidade dos países cujo Poder Nacional seja significativo em escala internacional.

23

 Guerra Regional: quando o conflito envolve um conjunto de nações geopoliticamente agrupadas, sem generalizar-se por outras áreas.

Na Guerra Cibernética os conflitos ocorrem no ambiente cibernético ou no ciberespaço e, portanto, fica difícil delimitar o espaço de domínio ou fronteira de uma soberania. Em virtude da possibilidade de estar em qualquer lugar no mundo para realizar as ações ofensivas, os atacantes na Guerra Cibernética exploram as vulnerabilidades existentes nos sistemas de tecnologia da informação e infra-estrutura do oponente para obter vantagens, e ainda podem concentrar seus esforços para atingir alvos governamentais e organizacionais com a intenção de sabotar, infiltrar, roubar e atacar, produzindo efeitos catastróficos no oponente (22).

2.1.2 Princípios da Guerra Cibernética Segundo Parks e Duggan (19) alguns dos princípios de guerra clássicos inerentes ao combate cinético não possuem significado no combate virtual. Assim são necessários novos princípios propostos por estes autores, com suas respectivas denominações. É importante ressaltar que a lista a seguir trata-se de uma discussão e não esgota o assunto, não devendo ser considerada completa:

• Princípio do Efeito Cinético (Guerra Cibernética deve produzir efeitos no mundo cinético): não há sentido em desencadear quaisquer ações contra entidades cibernéticas, a menos que estas ações produzam algum efeito no mundo real, e que este efeito se traduza em vantagem. • Princípio da Dissimulação e Visibilidade (medidas ativas podem ser adotadas para se dissimular no mundo cibernético, mas qualquer coisa que alguém faça é visível): como quaisquer ações adotadas no mundo cibernético envolvem a movimentação ou

24

manipulação de dados, e estes residem em programas e equipamentos desenvolvidos por seres humanos, o próprio fato de alguém tentar desencadear ações de Guerra Cibernética significa que algum bit em algum fluxo de dados é modificado de forma a refletir essas ações e a presença desta pessoa. Porém essa informação só será útil se puder ser detectada.

• Princípio da Mutabilidade (não existem leis de comportamento imutáveis no mundo cibernético, excetuando- se aquelas que necessitam de uma ação no mundo real): o mundo real é regido pelas leis da física; dessa forma é possível que se possa prever determinados comportamentos: por exemplo, pode-se prever a trajetória de um projétil disparado através da aplicação de conhecimentos de balística. No mundo cibernético, não existem quaisquer leis que permitam prever esse tipo de comportamento, devido à natureza caótica inerente à operação de equipamentos e programas (falhas físicas, flutuação na performance dos equipamentos, etc); excetuam- se aquelas que refletem uma ação tomada no mundo físico (espera-se que um equipamento apresente um melhor desempenho caso seu processador seja substituído por um mais avançado, por exemplo).

• Princípio do Disfarce (alguma entidade no mundo cibernético possui a autoridade, acesso, ou habilidades necessárias para por em prática qualquer ação que um atacante deseje realizar; o objetivo do atacante é assumir a identidade dessa entidade, de alguma forma): não há parcela do mundo cibernético que não seja controlada por seres humanos ou suas ferramentas (como programas, por exemplo); dessa forma, sempre existirá alguma entidade que será capaz de realizar o que o atacante deseja; assim, basta ao atacante assumir a identidade do ente que possa realizar a ação desejada, para que o ataque seja bem sucedido.

25

• Princípio da Dualidade do Armamento (as ferramentas ou armamentos da Guerra Cibernética são de natureza dual): no combate cinético, as ferramentas, equipamentos e armamentos possuem um uso único e bem definido: rifles são usados para alvejar, casamatas para se proteger e radares para detectar a aproximação do inimigo. No combate cibernético, as mesmas ferramentas são usadas por atacantes e administradores de sistemas com finalidades distintas: uma ferramenta que busque as vulnerabilidades do sistema, por exemplo, pode ser usada por atacantes para encontrar pontos que representem oportunidades de ataque em seus sistemas alvo, e por administradores para descobrir as fraquezas de equipamentos e redes.

• Princípio da Compartimentação (tanto o atacante, como o defensor de um sistema, controlam uma pequena parcela do ciberespaço que utilizam) e Princípio da Usurpação (quem controlar a parte do ciberespaço que o oponente utiliza, pode controlar o oponente): Parks e Duggan inicialmente propuseram a afirmação anterior como sendo um único princípio. Como todo o ciberespaço está contido em equipamentos, programas e fluxo de dados, todos subprodutos do trabalho humano, qualquer cibergrupo controla, no mínimo, a parcela de ciberespaço compreendida entre seus equipamentos e programas, e a interface com a infraestrutura de comunicações (e raramente controla mais do que isso); caso um determinado grupo detenha o controle de um serviço utilizado pelo oponente, por exemplo, um servidor do tipo Domain Name Server (DNS), este pode, também, controlar o oponente. • Princípio da Incerteza (o ciberespaço não é consistente, nem confiável): este princípio está relacionado com o princípio da mutabilidade; no ciberespaço nem os equipamentos, e muito menos os programas, irão trabalhar sempre da maneira esperada; dessa

26

forma, nunca é possível saber, com total certeza, se o próximo passo numa ação cibernética irá funcionar.

• Princípio da Proximidade (limitações físicas de distância e espaço não se aplicam ao mundo cibernético): no mundo cibernético, ações desencadeadas do outro lado do mundo, ou da sala ao lado, são executadas com igual grau de eficácia; dessa forma, distâncias físicas não constituem um obstáculo na condução dos ataques.

2.2 A Defesa Cibernética Os ataques oriundos da internet podem ser originados de qualquer parte do mundo onde haja a possibilidade de conexão com a internet. Isso significa que, em muitas ocasiões, não se pode identificar a origem de um ataque ou seus responsáveis, pois suas ações, vítimas e autores extrapolam as fronteiras físicas estabelecidas entre as nações, dificultando a ação do direito público em virtude da dificuldade de se caracterizar as responsabilidades e os responsáveis. Daí decorre a necessidade de se possuir uma defesa eficiente e eficaz. A Doutrina Militar de Defesa Brasileira (21) define a Defesa, no sentido geral, da seguinte forma: [...] o ato ou o conjunto de atos realizados para obter, resguardar ou recompor a condição reconhecida como de segurança. [...] O Estado, em seus diversos escalões de governo, detém os maiores encargos de defesa. A magnitude e a natureza das ameaças balizarão as ações de defesa, podendo envolver parte ou todos os campos do Poder Nacional. [...] A PDN define Defesa Nacional como o conjunto de medidas e ações do Estado, com ênfase na expressão militar, para a defesa do território, da soberania e dos interesses nacionais contra ameaças preponderantemente externas, potenciais ou manifestas.[...]

De um modo amplo a Defesa Cibernética deve ser integrante da política de Defesa Nacional de um país, em virtude da magnitude do assunto e o caráter catastrófico capaz de ser causado por um ataque cibernético a um setor estratégico da nação. Diversas nações

27

realizam programas que visam à defesa do ciberespaço por intermédio de metodologias, processos, recursos humanos e tecnologias. Segundo Richard Stiennon, a defesa cibernética é o emprego defensivo de metodologias, processos, equipamentos e estratégia para defesa e proteção de informações, sistemas de informações e redes de computadores (22).

2.2.1 A Defesa Cibernética e a Segurança da Informação

A definição específica do termo Segurança da Informação pode ser encontrada nas Normas Técnicas da ABNT ISO/IEC 27002 (23) que diz na íntegra: “A Segurança da Informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”. O glossário das Forças Armadas Brasileiras define o termo Segurança da Informação da seguinte forma (17): [...] Conjunto de conceitos, técnicas e atividades que visem a proporcionar confidencialidade, integridade e disponibilidade às informações, protegendo recursos de informação contra ações deliberadas ou não-autorizadas de aquisição, dano, manipulação, modificação, perda, revelação ou uso desses recursos.[...]

Da análise dos termos Segurança da Informação e Defesa Cibernética verifica-se que ambos visam à proteção da informação de um modo geral. A informação é um ativo que como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida (23). Ressalta-se a importância da segurança no ambiente de negócios e nos serviços de infraestrutura básica de uma sociedade em virtude da crescente interconexão dos sistemas (6). Como resultado deste incrível aumento de interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades. Desse modo, podemos caracterizar algumas diferenças marcantes entre ambos os conceitos embora possuam pontos comuns:

28

 O esforço despendido pelo atacante para se infiltrar, roubar, sabotar e atacar constitui um cenário muito mais grave do que os ataques aleatórios que têm sido a norma desde o nascimento da indústria de segurança da informação (22). A Defesa Cibernética é a categoria que aborda a ameaça representada pelos Estados-nação, terroristas e fanáticos, como eles se envolvem em atividades de espionagem cibernética e alvo de ataques de negação de serviço.  A Defesa Cibernética possui um caráter mais dinâmico do que as técnicas de Segurança da Informação: As técnicas estáticas e preventivas de segurança de informação, embora importantes, são insuficientes para uso no contexto da Defesa Cibernética. Na concepção dos sistemas cibernéticos uma defesa confiável possui três elementos fundamentais: segurança, desempenho e funcionalidade, que podem ser traduzidos em três componentes: confidencialidade, integridade de dados e disponibilidade (7).

Cabe ressaltar também que ambos os conceitos não são disjuntos visto que as técnicas de Segurança da Informação estão contidas nas técnicas de Defesa Cibernética e são amplamente utilizadas na defesa, como pode ser visualizado na Figura 2.1:

Técnicas de Defesa Cibernética Técnicas de Segurança da Informação

Figura 2.1 – Relação entre a Defesa Cibernética e a Segurança da Informação

29

2.2.2 Elementos de Defesa Cibernética

A preparação da defesa será possibilitada pela existência de uma gestão de Defesa que evidêncie os elementos essenciais de um sistema complexo. Segundo Saydjari, os elementos básicos de um sistema de Defesa Cibernética são: sensores, consciência situacional, mecanismos de defesa, comando e controle, estratégicas e táticas, ciência e engenharia (7).  Os Sensores representam os “olhos” do sistema e são equipamentos e tecnologias que identificam as capacidades, intenções e ações dos adversários, servindo de alarme de intrusão (7).  A Consciência Situacional interpreta os dados avaliando possíveis impactos e efeitos e provê uma análise do estado corrente de segurança frente aos riscos envolvidos. A partir dessa análise são identificadas opções de decisões a serem tomadas. A consciência situacional deverá oferecer um comportamento proativo da organização frente aos riscos (7).  Os Mecanismos de Defesa são a tecnologia utilizada para conter ameaças, e provê processos e tecnologia de segurança para proteger os ativos da organização contra ataques do ciberespaço (7). 

O Comando e Controle é o processo de tomar e executar decisões a partir de opções oferecidas com apoio dos dados coletados pela consciência situacional. Esse elemento provê a análise da situação corrente, de modo que a tomada de decisões seja realizada a partir de uma compreensão de opções e, ainda, uma comunicação das decisões e acompanhamento da execução de forma precisa e confiável. As decisões de defesa cibernética envolvem tanto ações de efeito imediato tais como a desativação de serviços e instalação de backups de segurança, como também de ações de longo prazo tais como a implementação de novos serviços para mitigar impactos de

30

vulnerabilidades. O comando e controle devem estar fortemente alinhados com a missão da organização, de modo que, as decisões tomadas estejam sempre de acordo com um modelo de riscos do negócio (7).  Estratégias e Táticas referem-se ao conhecimento que apóia as boas decisões para se ter uma melhor proteção contra ataques. As Estratégias de Defesa tem por finalidade orientar a aplicação de recursos, métodos e procedimentos utilizados para a defesa da missão da organização quanto às ameaças do ciberespaço. Uma estratégia estabelece um plano de defesa para um determinado cenário de ataque. Dada a necessidade de rapidez de resposta contra os ataques, é fundamental que a organização tenha previamente elaborada e testada estratégias para os principais cenários de ataque. As Táticas de Defesa são os procedimentos e métodos empregados nas diferentes capacidades da defesa cibernética e que devem estar alinhados com a política e as estratégias da organização. As táticas são como ferramentas que precisam ser constantemente avaliadas e testadas quanto a sua eficácia em diferentes cenários de ataque (7).  Ciência e Engenharia são os princípios empregados na concepção, desenho, construção e manutenção de sistemas utilizados para Defesa de modo a proporcionar um melhor desempenho dos sistemas e processos (7).

2.2.3 Requisitos Desejáveis para Gestão de Defesa Cibernética

Os requisitos mencionados tratam de aspectos que facilitarão sobremaneira a implementação de um sistema de defesa em uma organização (7). descritos a seguir:

Tais requisitos são

31

 Dinamismo: As técnicas estáticas e preventivas de segurança de informação, embora importantes, são insuficientes para uso no contexto da Defesa Cibernética. Na concepção dos sistemas cibernéticos uma defesa confiável possui três elementos fundamentais: segurança, performance e funcionalidade, que podem ser traduzidos em três componentes: confidencialidade, integridade de dados e disponibilidade (7). A Figura 2.2 representa a relação ideal entre a segurança, performance e funcionalidade em um sistema de defesa cibernética: Performance

Segurança

Funcionalidade

Figura 2.2 - relação ideal entre a segurança, desempenho e funcionalidade em um sistema de Defesa Cibernética (7)

 Governança de TI: Segundo o IT Governance Institute, a Governança de TI consiste da liderança, estruturas organizacionais e processos que garantem que a organização de TI sustente e estenda os objetivos e as estratégias do negócio (24). É importante que o ambiente de TI da organização tenha uma governança plena dos processos de TI que agregam valor para organização (25). A Defesa Cibernética pode ser caracterizada como um método de governança voltada para segurança dos sistemas de informação.

 Disciplina de Engenharia de Sistemas: A Engenharia de Sistemas é uma abordagem inter e multidisciplinar colaborativa de engenharia para derivar, evoluir

32

e verificar uma solução-sistema balanceada ao longo do ciclo de vida que satisfaça às expectativas dos stakeholders e a aceitação pública (26). Atualmente, o desenvolvimento de um processo de defesa totalmente seguro é algo difícil e talvez impossível de se realizar. Isso decorre da integração de diversos elementos que resultarão em um sistema complexo que exige um alto grau de integração e dinamismo. Tal abordagem é o objetivo da engenharia de sistemas. Outro fator que será uma grande ferramenta é que tudo que será feito deve ser medido. Sem uma métrica para avaliar o desempenho dos sistemas de defesa cibernética será difícil avaliar o progresso.

 Estado da Arte: Os ataques cibernéticos são cada vez mais sofisticados em virtude do desenvolvimento de técnicas de invasão. Segundo Saydjari (7), em breve os atacantes irão desenvolver táticas sofisticadas para possibilitar campanhas estratégicas com ataques em várias frentes contra os objetivos estratégicos. E ainda, os atacantes possuem a vantagem de poderem planejar cuidadosamente e escolher o melhor momento e o ponto mais fraco para atacar. Daí decorre a necessidade de criar defesas capazes de frustrar tais ataques por intermédio do desenvolvimento de mecanismos de defesa. A gestão eficaz de todos os elementos de defesa necessitam do desenvolvimento de estratégias e táticas. Em virtude do desenvolvimento recente de técnicas e mecanismos de defesa do ciberespaço deve-se fazer uma analogia com as técnicas de guerra usadas em campo de batalha. Por exemplo, a tática de forçar um adversário a conquistar determinado espaço territorial tem uma analogia no ciberespaço quando utilizamos na arquitetura da organização o uso de honeypot para forçar os adversários a atacarem tais elementos e permitir a análise dos seus algoritmos de detecção de intrusão. Um honeypot é um recurso

33

computacional de segurança dedicado a ser sondado, atacado ou comprometido (27). Isso faz com a defesa cibernética seja uma questão de arte, com o apoio pela ciência, e não uma questão de automação total. Por isso, devemos concentrar-nos automatizando as tarefas mundanas e prestação de ajuda à decisão de humanos qualificados para a tomada de decisões estratégicas.

 Investimento em Ciência e Tecnologia: A obtenção da capacidade de defesa cibernética necessita de muitos avanços na ciência e tecnologia. A organização deve estar atenta para a busca constante de tecnologias avançadas de defesa em função do aperfeiçoamento contínuo da área. Deve-se investir na aquisição de sistemas confiáveis a partir de componentes não confiáveis. Isto decorre da existência de componentes não confiáveis: o computador que possui hardware vulnerável e os sistemas utilizados. A confiabilidade será alcançada pela combinação desses componentes. Por isso, é necessário de compreender como alcançar confiabilidade através de arquiteturas.

2.3 Modelos de Qualidade para Segurança da Informação

Atualmente não há um modelo de Defesa Cibernética Brasileiro baseado em melhores práticas e estabelecido nacionalmente. Uma referência de melhores práticas para Segurança da Informação podem ser encontrados nos modelos para Governança de TI. A Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores (25).

34

A implantação da Governança de TI em uma organização ocorre por intermédio da combinação de diversos modelos de qualidade para fins específicos ou de acordo com a necessidade da organização. Os modelos existentes na atualidade e que se relacionam a Governança de TI, na grande maioria possuem uma finalidade específica, podendo ser: prestação de serviços de TI, ambiente de negócios, marcos de regulação, integração tecnológica, dependência do negócio em relação a TI e Segurança da Informação (25). No caso específico da Segurança da Informação existem modelos estabelecidos internacionalmente e que reúnem as melhores práticas para Segurança da Informação na implantação e gerenciamento em uma organização (23). Tais modelos são ferramentas que podem contribuir para a Defesa Cibernética por intermédio das técnicas e métodos existentes. Dentre os diversos modelos, podemos citar os utilizados no âmbito do escopo do trabalho: as normas pertencentes à família NBR ISO/IEC 27000 que se aplicam à Segurança da Informação, a publicação 800-53 do NIST que trata da Gestão de Riscos para Tecnologia da Informação e o modelo para Governança de TI COBIT.

2.3.1 Família NBR ISO/IEC 27000:2005

A decomposição da sigla NBR ISO/IEC 27002:2005 indica a finalidade da norma analisada. As NBR são normas técnicas estabelecidas por um organismo nacional de normalização para aplicação num dado país. No Brasil, as normas brasileiras (NBR) são elaboradas pela ABNT, e em cada país, normalmente, existe um órgão de normalização. A ABNT é reconhecida pelo Estado Brasileiro como o Fórum Nacional de Normalização, o que significa que as normas elaboradas pela ABNT, as NBR, são reconhecidas formalmente como as normas brasileiras. ISO é o nome usual com a qual é conhecida a International Organization for Standardization (Organização Internacional de Padronização). É uma entidade fundada em

35

1947, sediada na Suiça. Congrega organismos de normalização nacionais, cuja principal atividade é a de elaborar padrões para especificações e métodos de trabalho nas mais diversas áreas da sociedade, exceto no setor eletro-eletrônico onde a responsabilidade fica a cargo da International Electrotechical Comission (IEC). O Brasil é representado na ISO por intermédio da ABNT. As NBR ISO/IEC 27000 são uma família de normas ou metodologias estruturadas e reconhecidas internacionalmente dedicadas à segurança da informação. Constituem-se de processos definidos para validar, implementar, manter e gerenciar a segurança da informação no âmbito de organizações. Compõem-se de um grupo detalhado de controles compreendidos das melhores práticas de segurança da informação. Segundo a ABNT as normas supracitadas foram elaboradas no Comitê Brasileiro de Computadores e Processamento de Dados, pela Comissão de Estudo de Segurança Física em Instalações de Informática. O Projeto circulou em Consulta Nacional conforme Edital nº 03, de 31.03.2005, com o número de Projeto NBR ISO/IEC 17799. Hoje publicada com a nomenclatura de ABNT NBR ISO/IEC 27002. Constitui uma família de normas de sistema de gestão de segurança da informação. A família inclui normas sobre requisitos de sistema de gestão da segurança da informação, gestão de riscos, métricas e medidas, e diretrizes para implementação. Esta família adota um esquema de numeração usando a série de números 27000 em sequência. O objetivo da Norma ABNT NBR ISO 27002:2005, segundo a própria ABNT NBR ISO/IEC 27002 (2005), é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos na norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

36

Os objetivos de controle e os controles têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. A norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades interorganizacionais. A ABNT NBR ISO/IEC 27002:2005 contém 11 seções de controles de segurança da informação, que juntas totalizam 39 categorias principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento de riscos. Cada seção contém um número de categorias principais de segurança da informação. As 11 seções (acompanhadas com o respectivo número de categorias) são: 

Política de Segurança da Informação (1 categoria);



Organizando a Segurança da Informação (2 categorias);



Gestão de Ativos (2 categorias);



Segurança em Recursos Humanos (3 categorias);



Segurança Física e do Ambiente (2 categorias);



Gestão das Operações e Comunicações (10 categorias);



Controle de Acesso (7 categorias);



Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6 categorias);



Gestão de Incidentes de Segurança da Informação (2 categorias);



Gestão da Continuidade do Negócio (1 categoria);



Conformidade (3 categorias).

37

A ordem das seções não significa o seu grau de importância. Dependendo das circunstâncias, todas as seções podem ser importantes. Entretanto, cada organização que utilize a norma deve identificar quais as seções aplicáveis, quão importante elas são e a sua aplicação para os processos específicos do negócio. Todas as alíneas na NBR ISSO/IEC 27002:2005 também não estão ordenadas por prioridade, a menos que explicitado (23). Não é de hoje a necessidade de proteger as informações sigilosas nas empresas. Contudo, devido à disponibilidade de novas tecnologias e a exigência do mercado por um acesso mais rápido às informações, a preocupação em relação ao sigilo e a segurança da informação aumentou. A Norma ISO/IEC 27001:2005 cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer e implementar, operar, monitorar, revisar, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. A norma ISO/IEC FDIS 27001:2005 especifica requisitos para a implementação de controles de segurança customizados para as necessidades individuais de organizações ou suas partes. As normas de Segurança da Informação constituem uma sólida fonte de informações a serem usadas nos sistemas de Defesa Cibernética.

2.3.2 NIST 800-53

O National Institute of Standards and Technology (NIST) é um instituto do Departamento de Comércio Americano que trata de padrões nacionais e tecnologia. Possui diversas publicações que tratam da avaliação e gestão de riscos em diversos setores, dentre

38

eles os relacionados com a Segurança da Informação.

A Publicação que trata sobre a

Segurança da Informação é a SP 800-53, controles de segurança recomendados para organizações e sistemas de informação federal. O documento contém diretrizes para a implementação de controles recomendados para segurança da informação nas empresas. A publicação 800-53 possui um framework de administração de risco simplificado, de seis passos, recomendações para priorizar controles de segurança durante a implementação e efetuação e um guia sobre como usar o framework de administração de risco para sistemas de informação.

2.3.3 Modelo COBIT O CobiT é um guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org). O CobiT inclui recursos tais como um sumário executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento. As práticas de gestão do CobiT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados. O CobiT independe das plataformas de TI adotadas nas organizações. O CobiT é orientado ao negócio. Fornece informações detalhadas para gerenciar processos baseados em objetivos de negócios. O CobiT está dividido em quatro domínios: Planejamento e organização, Aquisição e implementação, Entrega e suporte e Monitoração. A Figura 2.3 ilustra a estrutura do CobiT com os quatro domínios, onde claramente está ligado aos processos de negócio da organização. Cada domínio cobre um conjunto de processos para garantir a completa gestão de TI, somando 34 processos.

39

O modelo CobiT é uma fonte de controles e processos para Segurança da Informação. Além disso, dispõe de um modelo de maturidade baseado em estágios indo do inexistente ao otimizado.

2.3.4 Modelo de Capacidades

Os modelos de qualidade para segurança da informação são normalmente baseados em processos (como fazer?) que possibilitam a execução das atividades operacionais e de gestão da organização. São alinhados com o objetivo estratégico e político de uma organização. Um modelo de capacidades ao invés de analisar os negócios por meio de processos, faz a análise por capacidades enfatizando o que é necessário fazer (o que fazer?) para que a TI possibilite a gestão e realização das atividades de uma organização (28).

40

Figura 2.3 – Estrutura do Modelo de Governança de TI CobiT (44)

Uma capacidade descreve o que uma função de negócio faz, sem descrever como essa função é executada e são mais estáveis do que os processos, pois, os processos de negócio estão em constante modificação devido a mudanças organizacionais ou de tecnologia. Uma

41

capacidade é constituída de processos, pessoas e ativos físicos ou a combinação de dois ou três elementos conforme ilustrado na Figura 2.4 (29).

Capacidades do Negócio

Processos

Pessoas

Ativos Físicos

Figura 2.4 Elementos de uma Capacidade

O modelo de capacidades pode ser representado por uma taxonomia ilustrando as capacidades de uma organização em diversos níveis de abstração e de forma hierárquica. As capacidades podem ser modeladas usando relações pai/filho, que facilitam o entendimento em vários níveis de detalhe. As taxonomias das capacidades são divididas hierarquicamente em níveis sendo o primeiro nível caracterizado pelas capacidades fundamentais subdivididas em operacionais e ambientais. As operacionais incluem todas as capacidades que uma organização possui para gerar valor para o cliente. As capacidades ambientais são todas as capacidades externas ao negócio que influem na forma como a organização gera valor (29). As capacidades do segundo nível (ou Grupo de Capacidades) representam o primeiro nível de detalhamento de cada capacidade fundamental. Grupos de capacidades são geralmente importantes, pois, refletem as capacidades que serão atribuídas a unidades funcionais da organização. Essas capacidades possuem níveis de serviço, restrições e limitações. Os Grupos de Capacidades são desmembrados por sua vez em capacidades de terceiro nível ou capacidades de negócio. Eventualmente, algumas capacidades de negócio podem ser desmembradas em novas capacidades de negócio, até o ponto de serem mapeadas diretamente a um processo de negócio, como se pode visualizar na Figura 2.5 (29).

42

Capacidade Organizacional

1° Nível

Capacidades Fundamentais

Grupo de Capacidades

2° Nível 3° Nível

...

... ...

...

Capacidades de Negócios

Figura 2.5 – Taxonomia Hierárquica das Capacidades

2.4 Necessidade de um modelo de Defesa Cibernética

Em virtude do caráter dinâmico da defesa Cibernética surge a necessidade de um modelo de gestão baseado em melhores práticas de defesa. Ressalta-se a importância de observação dos requisitos desejáveis e os elementos da Defesa Cibernética para uma implementação eficaz. A necessidade de um modelo cresce em importância devido a necessidade real de uso de um modelo para ser implementada por organizações da administração pública e privada. Tal fato pode ser justificado pelos prováveis gastos que podem decorrer do sucesso nos ataques oriundos do espaço cibernético. Assim, um modelo de referência capaz de diagnosticar a situação da organização com relação aos seus mecanismos de defesa constitui um instrumento útil para uso diário.

43

3. MODELO DE CAPACIDADES PARA DEFESA CIBERNÉTICA

O modelo proposto no trabalho toma como base para estudo o modelo de capacidades. Em virtude de ser uma área intimamente ligada à tecnologia, a evolução fatalmente tornará obsoletos alguns processos atualmente existentes e outros deverão ser criados para possibilitar a capacidade principal da organização de gerar a Defesa Cibernética. Os passos para desenvolver o modelo de capacidades para Defesa Cibernética proposto no trabalho são os seguintes: 

Construção de uma ontologia para Defesa Cibernética;



Levantamento de capacidades por intermédio da ontologia;



Identificação de níveis de maturidade desejáveis para implantação do modelo; e



Proposta de cenários de uso do modelo.

Os passos são especificados no gráfico do IDF0 na Figura 3.1 juntamente com as ferramentas e os controles esperados.

Figura 3.1 .: Fases para construção do Modelo de Capacidades

44

3.1 Uma Ontologia para Defesa Cibernética

Para que seja possível realizar uma defesa eficiente e eficaz é necessário um profundo conhecimento sobre o assunto por intermédio da definição de conceitos, propriedades, relações e conhecimentos envolvidos na Defesa Cibernética. Tal conhecimento pode ser representado por intermédio da construção de uma ontologia para possibilitar o levantamento de capacidades mínimas necessárias a um sistema de defesa. Uma ontologia faz uma especificação formal de uma área de conhecimento e se compõe de cinco componentes para formalização dos termos: conceitos, relações, funções, axiomas e instâncias (30). A ontologia aborda os conceitos fundamentais de Defesa Cibernética não envolvendo processos utilizados na atualidade, possibilitando o levantamento de capacidades para o modelo de defesa proposto. O vocábulo ontologia foi introduzido no estudo da filosofia de modo a fazer uma distinção entre o estudo do ser e o estudo dos vários tipos de seres vivos existentes no mundo natural. O objetivo da ontologia é o fornecimento de sistemas de categorização para organizar a realidade. Uma ontologia é uma especificação explícita dos objetos, conceitos e outras entidades que se assume existirem em uma área de interesse, além das relações entre estes conceitos e restrições expressados através de axiomas (31). Em ciência da computação, o termo ontologia refere-se a um artefato de engenharia, constituído por um vocabulário específico que descreve um modelo particular do mundo, adicionando um conjunto explícito de suposições relacionando os significados das palavras no vocabulário (31). Os vocabulários são usualmente organizados em taxonomias. Existem diversas propostas de metodologias para apoiar o processo de construção de ontologias, entretanto, nenhuma delas é a mais adequada em virtude da particularidade de

45

cada aplicação, ou seja, uma combinação de metodologias se torna pertinente no processo de desenvolvimento de ontologias (31). Alguns exemplos de processos de construção de ontologias são os citados abaixo:  A metodologia Toronto Virtual Enteprise (TOVE) foi proposta por Michael Grüninger e Mark S. Fox (32). Essa metodologia teve como base para o seu desenvolvimento a experiência obtida no desenvolvimento da ontologia do projeto TOVE, o qual modela processos e atividades comerciais para empresas com os domínios de processos corporativos e de negócios. As etapas da metodologia de Grüninger e Fox são as seguintes (32): 1. Descrição de cenários motivadores: Os cenários motivadores são descrições de problemas ou exemplos que não são referenciados adequadamente por ontologias existentes. Identifica possíveis problemas que demandem uma nova ontologia. A partir destes cenários motivadores, chega-se a um conjunto de soluções possíveis que carregam a semântica informal dos objetos e relações que posteriormente serão incluídos na ontologia. 2. Formulação informal das questões de competência: Baseado no cenário, um conjunto de perguntas irá surgir, como por exemplo, quais são as questões que a ontologia deve responder. Essas perguntas são as questões de competência da ontologia. Elas não são expressas em linguagem formal e são elaboradas com o propósito de auxiliar a análise da ontologia. 3. Especificação dos termos da ontologia através de uma linguagem formal: Definição de um conjunto de termos/conceitos, a partir das questões de competência. A terminologia da ontologia deve então ser especificada numa linguagem formal, usando lógica de primeira ordem ou equivalente. 4. Descrição formal das questões de competência: São utilizadas as questões de competência informal e a terminologia formal para obtenção das questões de competência descrita em uma linguagem formal. 5. Especificação formal dos axiomas: Criação dos axiomas, que especificam as definições dos termos e limitações de sua interpretação, descritos em linguagem formal, com o objetivo de definir a semântica dos termos e relacionamentos da

46

ontologia. 6. Verificação da completude da ontologia: Estabelecer condições que caracterizem a ontologia como completa através das questões de competência formalmente descritas e definir soluções para que as questões de competência sejam completas.  Metodologia proposta por Uschold e King foi a primeira metodologia para o desenvolvimento de ontologias. O grupo do pesquisador Mike Uschold desenvolveu o projeto Enterprise Ontology, que trata da modelagem de processos empresariais. A experiência obtida com a construção da ontologia deste projeto serviu de base para o desenvolvimento dessa metodologia (33). A metodologia de Uschold e King é composta de quatro estágios distintos para o desenvolvimento de ontologias: identificação, construção, avaliação e documentação. As etapas da metodologia são as seguintes: 1. Identificação do propósito da ontologia: Definição de porque construir a ontologia, para que e como ela será utilizada e identificação das suas questões de competência. 2. Construção da ontologia: Esse estágio é subdividido em três sub-estágios: 2.1 Captura da ontologia: Visa identificar conceitos e relacionamentos do domínio de interesse e definir textualmente esses conceitos e relacionamentos.2.2 Codificação: Codificar as informações obtidas na captura da ontologia na forma de uma linguagem formal. 2.3 Integração com ontologias existentes: Questionar a possibilidade de reutilização de ontologias existentes, integrando a nova ontologia com as ontologias existentes. 3. Avaliação da ontologia: Utilizar critérios técnicos; verificar especificação de requisitos,validar as questões de competência e comparar com o mundo real. 4. Documentação: Descrição detalhada de todos os passos de cada estágio da metodologia. A ontologia envolvendo os conceitos de Defesa Cibernética proposta neste trabalho utiliza como base a metodologia de construção de ontologias proposta por Sandro Rautenberg, da Universidade do Centro Oeste, José L. Todesco e Fernando A. O. Gauthier, estes últimos da Universidade Federal de Santa Catarina.

47

No entanto diversas outras metodologias poderiam ser utilizadas no escopo do presente trabalho, como por exemplo, a Toronto Virtual Enteprise (TOVE), a metodologia proposta por Mike Uschold e Martin King citadas anteriormente, a metodologia Sensus, dentre outras. O processo proposto toma como base as seguintes metodologias para construção de ontologias com suas respectivas contribuições (34): • Ontology Development 101: contribui com uma visão clara de como se dá um processo iterativo para o desenvolvimento de ontologias. • On-to-Knowledge: contribui na especificação dos requisitos da ontologia, por meio do emprego de questões de competência como modo simples e direto para confirmar o propósito e o escopo de uma ontologia. Tal contribuição permite identificar antecipadamente, conceitos, propriedades, relações e instâncias. • MENTHONTOLOGY: contribui com alguns artefatos de documentação e na atividade de avaliação de ontologias. No processo de desenvolvimento de ontologias utilizado como base, os autores partiram de duas premissas: a não existência de um modo correto ou metodologia de desenvolvimento de ontologias; e a utilização da combinação das melhores práticas metodológicas dos processos como algo pertinente em um processo de desenvolvimento de ontologias (34). Conforme a metodologia utilizada como base foi realizada a construção de uma ontologia para Defesa Cibernética realizando-se os passos especificados no modelo sendo os seguintes: especificação, conceitualização, formalização, implementação e avaliação. As etapas foram realizadas seguindo os passos abaixo discriminados (35):  Especificação

48

a. escopo da ontologia: a ontologia auxiliará as atividades de gerenciamento e gestão de Defesa Cibernética em organizações ou instituições que possuem ativos passíveis de sofrerem ataques oriundos do espaço cibernético. A informação e os sistemas de informação são ativos que, como qualquer outro ativo importante, são essenciais para os negócios de uma organização e, portanto, necessitam ser protegidos adequadamente. Assim a Defesa Cibernética, que é um ramo da Guerra Cibernética, trata do emprego defensivo de metodologias, processos, equipamentos e estratégia para defesa e proteção de informações, sistemas de informações e redes de computadores. b. identificação do propósito da ontologia: a ontologia será de grande valia na especificação, representação, formalização e compartilhamento de conhecimento a despeito da Defesa Cibernética. A ontologia pode ser considerada como um ponto de partida para facilitar o desenvolvimento de diretrizes específicas de Defesa Cibernética e Segurança da Informação em uma organização. Os termos relacionados na ontologia estão contidos em normas, processos de qualidade e bibliografias sobre gerenciamento e gestão da segurança da informação e Defesa Cibernética. c. identificação das fontes de conhecimento: as fontes de conhecimento para construção da ontologia foram: - o artigo “Cyber War: Art to Science”, de Saydjari que especifica os elementos fundamentais em um sistema complexo de Defesa Cibernética (7); - a Norma Brasileira ABNT NBR ISO/IEC 27001 que trata do código de prática para a gestão da segurança da informação; e - a Publicação Especial 800-53 do National Institute de Standards and Technology (NIST 800-53) que trata dos controles de segurança recomendados para sistemas de informação.

49

d. consideração do reuso de ontologias: por ser tratar de assunto complexo e relativamente recente não foi possível encontrar uma ontologia sobre o assunto em questão para ser reutilizada. e. geração das questões de competência: uma ontologia deve ser capaz de responder as questões de competência do assunto em pauta . Por intermédio da análise das fontes de conhecimento foram eleitas as questões-chave que devem ser respondidas pela ontologia para servir de apoio no gerenciamento de um sistema de defesa (7), sendo as seguintes : 1. Se a organização estiver sob ataque cibernético como identificar a natureza e origem? 2. Quais as causas do ataque? 3. O que os atacantes podem fazer? 4. Qual o impacto do ataque na missão da organização? 5. O perímetro de Segurança foi ultrapassado? 6. Quais são as opções de defesa? 7. Qual a melhor opção de defesa? 8. Qual a vulnerabilidade explorada pelo atacante? 9. Como impedir tais ataques no futuro?

 Conceitualização a. listar os termos da ontologia: Conforme análise das fontes de conhecimento verificou-se que os termos que se relacionam com a Defesa Cibernética são os seguintes: Política, Estratégia, Táticas, Comando e Controle, Mecanismos de Defesa, Supervisão da Defesa, Política de Defesa, Monitoramento e Avaliação de Estratégias e Táticas, Gestão de Problemas, Gestão de Conhecimento, Consciência Situacional, Serviços de Segurança,

50

Segurança Física e do Ambiente, Segurança Pessoal, Desenvolvimento Seguro, Operação Segura, Manutenção Segura, Monitoramento de Mecanismos de Defesa, Política de Defesa, Organização de Defesa, Segurança em Recursos Humanos, Comando, Controle, Controle de Acesso, Identificação e autorização, Confidencialidade, Disponibilidade, Integridade, Proteção de Mídia, Áreas Seguras, Segurança de Equipamentos, Proteção dos Sistemas e Comunicações, Pessoal Terceirizado, Requisitos de Defesa dos Sistemas, Processamento Correto de Aplicações, Controles Criptográficos, Segurança dos Arquivos do Sistema, Segurança no Desenvolvimento e Manutenção, Gestão de Vulnerabilidades Técnicas, Gestão de Incidentes, Testes de Invasão e Auditoria, dentre outros. b. agregar os elementos reutilizáveis: não foi encontrada uma ontologia para reutilização de elementos. c. classificar os termos: com a lista de termos disponíveis foi possível classificar os elementos de acordo com a compreensão que se tem do domínio e foi realizada a classificação dos elementos em classes, relações, propriedades de dados, instâncias e restrições a serem visualizadas na ontologia final.

 Formalização A atividade foi realizada utilizando a ferramenta Protégé (Figura 3.1) sendo realizadas as seguintes atividades: definição da hierarquia de classes entre os conceitos envolvidos, mapeamento das relações entre as classes por intermédio da definição e a correlação entre os conceitos, propriedade de dados às classes visando a particularidade de cada elemento se for o caso, restrição das classes se for o caso, instâncias das classes que são os processos usados na atualidade ou especificamente a atividade de defesa específica, refinamento das relações das classes e refinamento das propriedades de dados das classes.

51

Figura 3.1 .: Atividade de Formalização para construção da Ontologia de Defesa Cibernética utilizando a ferramenta Protégé (35)

 Implementação A implementação foi realizada utilizando como base a ferramenta Protégé para geração da documentação da ontologia, como as definições dos termos, as relações de classes e também foi utilizada a ferramenta CMAP para a construção do Mapa Conceitual e da Ontologia Final, que pode ser visualizada na Figura 3.2. O mapa conceitual constitui-se de todos os conceitos, relações, funções, axiomas e instâncias que envolvem o assunto em tela de um modo geral. A ontologia é um refinamento do mapa conceitual com os elementos suficientes para responderem as questões de competência. As atividades desenvolvidas nesta etapa foram: atribuição de valor às propriedades de dados, a atribuição de valor às relações e a atribuição de valor às restrições das classes.

 Avaliação A avaliação da ontologia perante as fontes de conhecimento mostrou contribuir de forma significativa para a compreensão do assunto uma vez que engloba os conceitos de defesa cibernética em alto nível. Utilizando os itens previstos na especificação pode-se avaliar a ontologia confrontando com as informações geradas a partir do propósito, do escopo e das questões de

52

competência da ontologia. Assim, verificou-se a precisão e a completude da ontologia (Fig. 3.2) uma vez que respondeu as questões de competência tomando como base os conceitos relacionados na base de conhecimento e na ontologia. As respostas as questões de competência podem ser atendidas da seguinte forma: 1. Se a organização estiver sob ataque cibernético como identificar a natureza e origem? A resposta para o questionamento pode ser verificada por intermédio da supervisão da defesa que realiza o monitoramento dos mecanismos de defesa. 2. Quais as causas do ataque? As causas dos ataques podem ser identificadas por intermédio da consciência situacional que dentre outras coisas identificam o histórico dos ataques e as finalidades específicas. 3. O que os atacantes podem fazer? Os atacantes podem destruir, sabotar, espionar ou negar os serviços disponibilizados e podem ser verificados por intermédio dos mecanismos de defesa.

53

Figura 3.2 .: Ontologia dos conceitos de Defesa Cibernética (35)

54

4. Qual o impacto do ataque na missão da organização? O impacto poderá ser verificado com precisão por intermédio da Governança no que diz respeito a estratégia da organização, e ainda, com a análise dos ativos envolvidos. 5. O perímetro de Segurança foi ultrapassado? A Supervisão da Defesa pode informar se o perímetro físico e lógico da rede de computadores da organização foi invadido pelo atacante. 6. Quais são as opções de defesa? A consciência situacional possui condições de informar quais as melhores opções de defesa para fazer frente ao ataque realizado. 7. Qual a melhor opção de defesa? A melhor opção de defesa será verificada pelo melhor comando por intermédio das informações disponibilizadas pela consciência situacional e pela supervisão da defesa. 8. Qual a vulnerabilidade explorada pelo atacante? Por intermédio da auditoria da supervisão da defesa é possível verificar a vulnerabilidade explorada pelo atacante especificando as características técnicas debilitadas. 9. Como impedir tais ataques no futuro? Por intermédio do suporte e manutenção oriunda do desenvolvimento seguro de sistemas é possível verificar quais as medidas necessárias para corrigir a vulnerabilidade explorada pelo atacante.

3.2 Modelo de Capacidades para Defesa Cibernética

As capacidades fundamentais são ambientais e operacionais. As ambientais representam as capacidades externas que interagem com as capacidades operacionais. Para a Defesa Cibernética, o ambiente são os ativos a serem protegidos e as fontes de ameaças interessadas em causar danos nos ativos da organização (28). Assim as capacidades ambientais representam os ativos da organização e as fontes de ameaças para estes ativos. As capacidades

55

operacionais devem proteger os ativos da organização das fontes de ameaças conforme ilustrado na Figura 3.3.

Ataques oriundos do Ciberespaço Ativos Proteção das Capacidades Fundamentais Operacionais

Figura 3.3. Emprego das Capacidades Fundamentais Operacionais (28)

Essas capacidades operacionais foram identificadas a partir dos elementos fundamentais de um sistema de Defesa Cibernética conforme O. Sami Saydjari (7), sendo os seguintes: Sensores, consciência situacional, Mecanismo de Defesa, Comando e Controle, Estratégias e Táticas, Ciência e Engenharia. A construção da ontologia para Defesa Cibernética facilitou em grande parte o trabalho para relação dos conceitos e a definição das capacidades para o modelo de Defesa Cibernética. Cada um desses elementos pode ser atendido pelas seguintes capacidades operacionais fundamentais, juntamente com o grupo de capacidades e as capacidades de negócios proposto no modelo que pode ser visualizado na Figura 3.4: Governança; Comando e Controle; Mecanismos de Defesa e Supervisão da Defesa (28). Defesa Cibernética

Governança

Comando e Controle

Mecanismos de Defesa

Supervisão da Defesa

Política

Comando

Serviços de Segurança

Monitoramento

Gestão de Estratégias e Táticas

Controle

Segurança Física

Gestão de Incidentes

Gestão do Conhecimento

Sistema de Comando e Controle

Segurança de Pessoal

Teste de Defesa

Desv, Op e Mnt Segura

Auditoria

Figura 3.4 - Taxonomia das Capacidades Fundamentais para Defesa Cibernética

56

3.2.1 Governança

A Governança visa garantir que o sistema irá atender às metas de negócios da organização. A governança para Defesa Cibernética tem por objetivo estabelecer e aprimorar a política, as estratégias e as táticas da organização frente às ameaças existentes no espaço cibernético. A idéia central dessa capacidade é o constante aprimoramento do pessoal, processos e tecnologia na organização, de modo que, as melhores decisões sejam sempre tomadas e a organização faça uso de estratégias e táticas previamente avaliadas e testadas (28). A capacidade fundamental Governança pode ser desmembrada nos seguintes Grupos de Capacidades, conforme ilustrado na Figura 3.5:

Governança

Política

Gestão de Estratégias e Táticas

Gestão de Conhecimento

Figura 3.5 Taxonomia das Capacidades Fundamentais para Defesa Cibernética

 Política de Defesa Uma política de Defesa Cibernética consiste num conjunto formal de regras que devem ser seguidas pelos diferentes membros e colaboradores da organização. É um documento que descreve os requisitos globais de segurança e retratam valores da organização, experiências passadas e melhores práticas. A política de defesa fornece princípios a serem obedecidos pelas estratégias e táticas de Defesa Cibernética na organização (28). A capacidade visa à definição da política do sistema de defesa em termos da missão e valores da organização. Na política devem ser definidos os objetivos de segurança e

57

estabelecido um direcionamento global e princípios a serem empregados para a Defesa Cibernética (23).

 Gestão de Estratégias e Táticas As Estratégias de Defesa tem por finalidade orientar a aplicação de recursos, métodos e procedimentos utilizados para a defesa cibernética da missão da organização quanto às ameaças do ciberespaço. Uma estratégia estabelece um plano de defesa para um determinado cenário de ataque tomando como base a política da organização. Dada a necessidade de rapidez de resposta contra os ataques é fundamental que a organização tenha previamente elaborada e testada estratégias para os principais cenários de ataque e a definição dos riscos relacionados aos ativos organizacionais (7). As estratégias da organização devem vislumbrar no mínimo os seguintes elementos ou capacidades de negócios: a) Uma Gestão de Riscos de acordo com uma metodologia de análise e avaliação de riscos da organização que seja adequada para o uso na organização em conformidade com a política, requisitos legais, regulamentares e de segurança da informação. O modelo proposto utiliza os controles do modelo para análise e avaliação de riscos do NIST 800-53. b) Gestão de recursos para prover os recursos necessários para sustentar as atividades de implantação, operação, manutenção e a melhoria contínua do sistema de defesa, bem como, para assegurar que todo pessoal que tem responsabilidades atribuídas definidas no sistema de defesa seja competente para desempenhar as tarefas requeridas (23). c) Gestão de continuidade do negócio é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o retorno à situação normal de funcionamento da organização, dentro do contexto do negócio

58

do qual ela faz parte. Tal atividade pode ser materializada por intermédio de um Plano de Continuidade do Negócio.

As Táticas de Defesa são os procedimentos e métodos empregados nas diferentes capacidades da defesa cibernética e que devem estar alinhados com a política e as estratégias da organização. As táticas são como ferramentas que precisam ser constantemente avaliadas e testadas quanto a sua eficácia em diferentes cenários de ataque (7). As táticas vislumbram os processos utilizados para atenderem com eficácia e eficiência as capacidades estabelecidas para a organização.

 Gestão de Conhecimento É o processo sistemático de identificação, criação, renovação e aplicação dos conhecimentos que são estratégicos na vida de uma organização. É a administração dos ativos de conhecimento da organização permitindo à organização saber o que ela sabe (36). A gestão do conhecimento leva as organizações a mensurar com mais segurança a sua eficiência, a fim de possibilitar a tomada de decisões acertadas com relação a melhor estratégia a ser adotada em relação aos seus clientes, oponentes, canais de distribuição e ciclos de vida de produtos e serviços, saber identificar as fontes de informações, saber administrar dados e informações, saber gerenciar seus conhecimentos. Trata-se da prática de agregar valor à informação e de distribuí-la (37). No modelo proposto a Gestão do Conhecimento tem um papel fundamental uma vez que visa a documentar todo conhecimento a despeito de Defesa Cibernética de modo a proporcionar vantagem competitiva.

59

3.2.2 Comando e Controle No contexto militar, o Comando e Controle é uma atividade fundamental para o êxito das operações em todos os escalões de comando. É uma atividade especializada e sua execução se baseia em uma concepção sistêmica, com métodos, procedimentos, características e vocabulário que lhe são peculiares (38). No modelo proposto, a capacidade vincula e permeia todas as atividades operacionais e a governança, sincronizando-as e permitindo ao comandante adquirir e manter o indispensável nível de consciência situacional para a tomada de decisões adequadas às circunstâncias do ambiente operacional, para a expedição de ordens e para o controle de sua execução. A Doutrina Militar de Comando e Controle do Brasil (38) é definida como a ciência e arte que trata do funcionamento de uma cadeia de comando e, nessa concepção, envolve, basicamente, três componentes: a autoridade legitimamente investida apoiada por uma organização, a sistemática de um processo decisório e a estrutura, incluindo pessoal, equipamento, doutrina e tecnologia necessários para a autoridade acompanhar o desenvolvimento das operações. Essa capacidade fundamental provê a análise da situação corrente, a tomada de decisões a partir de uma compreensão de opções e uma comunicação das decisões e acompanhamento da execução de forma precisa e confiável (28). As decisões de defesa cibernética envolvem tanto ações de efeito imediato, tais como a desativação de serviços e instalação de backups de segurança, como também de ações de longo prazo, tais como a implementação de novos serviços para mitigar impactos de vulnerabilidades. A capacidade de comando e controle deve estar fortemente alinhada com a missão da organização, de modo que, as decisões tomadas estejam sempre de acordo com um modelo de

60

riscos do negócio. A capacidade de Comando e Controle é desmembrada nos seguintes Grupos de Capacidades, conforme ilustrada na Figura 3.6:

Comando e Controle

Comando

Controle

Sistema de Comando e Controle

Figura 3.6 – Taxonomia da Capacidade Fundamental de Comando e Controle

 Comando É uma atividade básica muito ligada à natureza do segmento militar de uma sociedade. Caracteriza-se pelo estabelecimento da autoridade, decorrente das leis e regulamentos, atribuída a um ator para dirigir e controlar uma fração de pessoas, sob todos os aspectos, em razão do cargo ou função (38). As decisões são tomadas a partir de opções coletadas e estabelecidas pela consciência situacional. As decisões do comando devem estar alinhadas com os interesses da alta gerência da organização. A consciência situacional provê uma análise do estado corrente de segurança frente aos riscos envolvidos. A partir dessa análise são identificadas opções de decisões a serem tomadas. A consciência situacional deverá oferecer um comportamento pró-ativo da organização frente aos riscos (28).

 Controle O controle deve exercer também a gestão operacional da defesa cibernética, e caracteriza-se pelo acompanhamento efetivo das ações em curso, confrontando-se os resultados da execução com o previsto no planejamento. Efetiva-se por meio de informações

61

que permitam acompanhar o andamento de ordens emitidas e de ações em execução, auxiliando a reavaliar decisões e atualizando as informações disponíveis ao comandante sobre o ambiente operacional (38). A execução das ações deve ser comunicada e monitorada, com vistas a contornar óbices e desencadeando ações que possam corrigir os rumos da operação de modo a garantir a consecução dos objetivos finais, a despeito da atuação do inimigo.

 Sistema de Comando e Controle É o conjunto de instalações, equipamentos, comunicações, doutrinas, procedimentos e pessoal essenciais para o Comandante planejar, dirigir e controlar as ações da sua organização para que se atinja uma determinada finalidade. Na Defesa Cibernética o sistema deve permitir a criação, exploração e manutenção de uma sistemática de um processo decisório que permita ao comandante a formulação de ordens e o estabelecimento do fluxo de informações destinado à garantia do cumprimento pleno das ordens (38).

3.2.3 Mecanismos de Defesa

A capacidade fundamental provê processos e tecnologia de segurança para proteger os ativos da organização contra ataques do ciberespaço tomando como base as estratégias e táticas estabelecidas pela organização (7). Os elementos essenciais para que essa capacidade seja atendida podem ser caracterizados pelos serviços de segurança, segurança física. É desmembrada nos seguintes Grupos de Capacidades visualizada na Figura 3.7 abaixo:

Mecanismos de Defesa Serviços de Segurança

Segurança Física

Segurança de Pessoal

Desv, Op e Mnt Segura

Figura 3.7 – Taxonomia da Capacidade Fundamental de Mecanismos de Defesa

62

 Serviços de Segurança Tem por finalidade prover serviços de segurança com a finalidade de proteger os ativos de TI de acordo com os riscos envolvidos (28). Os serviços são traduzidos em processos que visam implementar a Security (segurança lógica): Relacionado a proteção de informações processadas por sistemas digitais. Com relação a Security, os serviços propostos a serem implementados são os relacionados com os seguintes requisitos de segurança: - A confidencialidade que é a propriedade de que a informação não esteja disponível ou revalada a indivíduos, entidades ou processos não autorizados (23). Em outras palavras indica que os recursos ou informação podem ser acessados apenas por usuários autorizados, ou seja, que o usuário deve ser identificado para ter acesso aos recursos (autenticação). E ainda, o controle de permissões de acesso de modo que sejam utilizados os recursos que o usuário pode utilizar (autorização). As permissões para um mesmo usuário podem depender de localização física, tempo ou papel funcional. - A disponibilidade é a propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada (23), ou seja, os recursos devem estar disponíveis para os usuários autorizados quando solicitados. - A integridade é a propriedade de salvaguarda da exatidão e completeza de ativos (23). Indica que os recursos podem ser modificados apenas por usuários autorizados, proporcionado a segurança de transações e a garantia que uma operação foi efetuada da forma correta.

 Segurança Física É parte de um requisito fundamental que é Safety (segurança física): Relacionado a proteção contra danos físicos a equipamentos, instalações e pessoas. A capacidade proposta

63

visa garantir que os equipamentos e instalação física estão adequadamente protegidos de acordo com os riscos envolvidos (28), buscando prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. De acordo com a ISO/IEC 27002 a segurança física pode contemplar o controle de entrada física, o perímetro de segurança física, a segurança em escritórios, salas e instalações, proteção contra ameaças externas e do meio ambiente, trabalho em áreas seguras e o acesso do público em áreas de entrega e carregamento (23).

 Segurança de Pessoal Visa garantir que controles pessoais apropriados estão ativos antes da contratação, durante o contrato e após contrato para todo pessoal envolvido na Defesa Cibernética da organização, incluindo terceiros (23). Implica em assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, reduzindo o risco de roubo, fraude ou mau uso de recursos.

 Desenvolvimento, Operação e Manutenção Segura Visa garantir que os sistemas são desenvolvidos, adquiridos, instalados, operados e mantidos seguindo processos adequados ao nível de risco envolvido (28) fazendo que a segurança seja parte integrante dos sistemas de informação.

3.2.4 Supervisão da Defesa

A defesa cibernética requer o monitoramento e acompanhamento constante da eficácia dos mecanismos de defesa (28). Essa capacidade analisa e trata os incidentes ocorridos, a capacidade e possíveis intenções dos atacantes, bem como identifica e analisa as

64

vulnerabilidades correntes através de testes de invasão e auditorias. Essa capacidade é desmembrada nas seguintes capacidades visualizadas na Figura 3.8:

Supervisão da Defesa

Monitoramento

Gestão de Incidentes

Testes de Invasão

Auditoria

Figura 3.8 – Taxonomia da Capacidade Fundamental de Supervisão da Defesa

 Monitoramento de mecanismos de defesa Executa o monitoramento dos mecanismos de defesa instalados de modo a identificar possíveis intrusões ou novas vulnerabilidades (7) (23). A atividade visa detectar atividades não autorizadas de processamento da informação.

 Gestão de Incidentes É uma propriedade que visa identificar, analisar e tratar incidentes reportados, propondo a implementação de medidas corretivas de acordo com sua capacidade operacional (28).

 Testes de Invasão Testes de avaliação são periodicamente executados de modo a avaliar a robustez dos mecanismos de defesa instalados. É uma demonstração de que o sistema atende os requisitos de segurança estabelecidos pela organização, por intermédio da estratégia. Os testes devem ser realizados com frequência determinada pela organização (28).

65

 Auditoria Auditorias são periodicamente executadas de modo a verificar se os processos recomendados e boas práticas estão sendo empregadas. A auditoria deve tomar como base os itens previstos na política e na estratégia da organização e deve ocorrer a intervalos planejados para determinar se os objetivos de controle, controle, processos e procedimentos estão de acordos (23). Basicamente a auditoria deve determinar se a organização atende aos requisitos estabelecidos, se estão mantidos e implementados eficazmente e se são executados conforme esperado (23).

3.3 Relações entre as Capacidades Fundamentais

As relações entre as capacidades para funcionamento do modelo podem ser visualizadas na Figura 3.9 abaixo, de modo a permitir um entendimento das relações entre as capacidades.

Comando e Controle

Mecanismo de Defesa

Governança

Supervisão da Defesa

Figura 3.9 Relações entre as Capacidades Fundamentais do Modelo de Defesa Cibernética

66

As relações entre as capacidades fundamentais são as seguintes: 

A Governança é a base para as demais capacidades poderem funcionar de acordo com um planejamento que visa atingir as metas do negócio. Prevê a existência de uma política que será a base para o desenvolvimento de estratégias e táticas da organização nos aspectos relacionados ao Comando e Controle, Mecanismos de Defesa e Supervisão da Defesa;



O Comando e Controle trata de coordenar as atividades relacionadas aos mecanismos de defesa e a supervisão da defesa tomando como base a política e o planejamento previsto na governança, por intermédio das estratégias e táticas. E ainda, de fornecer subsídios para constantes atualizações do planejamento da governança por intermédio dos eventos que ocorrerem no sistema de defesa;



Os mecanismos de defesa são a linha de defesa contra os ataques do ciberespaço e é comandado pela capacidade de comando e controle. Seu funcionamento é monitorado e fiscalizado pela supervisão da defesa.



A Supervisão da Defesa fiscaliza o funcionamento dos mecanismos de defesa a fim de gerar novos requisitos de segurança para constarem da governança da organização e reportar ao Comando da organização os eventos ocorridos com o sistema na busca da melhor solução.

67

4. MODELO DE MATURIDADE PARA DEFESA CIBERNÉTICA

A definição de maturidade, segundo o dicionário Aurélio, é “estado em que está plenamente desenvolvido; época desse desenvolvimento; perfeição; excelência, primor”. A maturidade indica o grau de desenvolvimento de um determinado ator com relação a um contexto pré-definido. No contexto organizacional, pode-se dizer que um modelo de maturidade funciona como um guia para a organização, de tal maneira que ela possa localizar onde está e como está, “espelhando-se” nele para, em seguida, realizar um plano para chegar a algum ponto melhor do que o atual, na busca da excelência (39). De modo geral, os modelos de maturidade permitem a uma organização avaliar o grau de domínio com relação a um modelo adotado e a experiência da organização na adoção de melhores práticas para a implementação de capacidades, bem como, identificar direções a serem seguidas para melhorar esse grau de domínio (28). Os modelos de maturidade possuem uma grande relação com a gerência de projetos tendo em vista a sua natureza complementar. A palavra projeto, de acordo com o PMBOK, é um empreendimento único, com início e fim definidos, que utiliza recursos limitados e é conduzido por pessoas, visando atingir metas e objetivos pré-definidos e estabelecidos dentro de parâmetros de prazo, custo e qualidade (40). Além da definição de projeto também é necessário entender o que é gerenciamento de projetos. Segundo o PMBOK gerenciamento de projetos é a aplicação de conhecimentos, habilidades, ferramentas e técnicas nas atividades do projeto a fim de atender os requisitos estabelecidos no projeto (40).

4.1 Modelos de Maturidade Os modelos de maturidade são uma referência para medição do nível de desenvolvimento de um projeto em uma organização. Existem vários modelos de maturidade

68

que visam indicar caminhos pelos quais a implementação de padrões pode tornar uma organização mais produtiva e competitiva (39). Neste trabalho, são citados alguns dos principais modelos de maturidade utilizados em diversas áreas, inclusive na gerência de projetos ou programas e que são estabelecidos internacionalmente segundo melhores práticas internacionais.

4.1.1 OPM3 (Organizational Project Management Maturity Model) – PMI

O OPM3 (Organizational Project Management Maturity Model) foi concebido em 2003 pelo Project Management Institute e busca criar um framework para que as organizações possam estabelecer ações para alcançar objetivos estratégicos através das melhores práticas de gerenciamento de projetos. O OPM3 se propõe a ser um instrumento para auxiliar as organizações a se auto-avaliarem em relação à sua maturidade em gerenciamento de projetos, o estabelecimento de melhorias em suas práticas de gerenciamento de projetos, para que os usuários entendam o valor do gerenciamento de projetos para as suas estratégias organizacionais e para que as organizações entendam a importância da maturidade em gerenciamento de projetos para as suas operações (41). Os principais elementos que constituem o modelo são (41): 

O conhecimento que trata da obtenção da proficiência no padrão e no corpo de conhecimento por parte de quem vai usar o OPM3;



A avaliação trata da comparação da organização com o padrão e com melhores práticas e capacitações em gestão de projetos da organização, rumo a níveis maiores de maturidade; e



A melhoria que trata do planejamento da melhoria e sua implementação a partir da avaliação.

69

4.1.2 CMMI (Capability Maturity Mode Integration)

O CMMI é uma metodologia criada pelo Software Engineering Institute para ser um guia destinado a melhorar os processos organizacionais e a habilidade desses em gerenciar o desenvolvimento, a aquisição, e a manutenção de produtos e serviços de tecnologia da informação. É um modelo evolutivo dos modelos CMMs anteriormente criados e teve como objetivo combinar as várias disciplinas em uma estrutura única, flexível e componentizada, que pudesse ser utilizada de forma integrada por organizações que demandavam processos de melhoria em âmbito corporativo. Além da integração, o modelo tornou mais claro alguns aspectos que antes eram implícitos, tais como a diferenciação entre os conceitos de organização e empresa, a valorização dos processos de verificação e validação e a evolução da característica “Medição e Análise” para se tornar Área de processo do CMMI (42). O CMMI está dividido em cinco níveis, a saber: Inicial, gerenciado, definido, quantitativamente gerenciado e otimizado. Cada nível é dividido em áreas de processo e para cada uma delas são definidos dois conjuntos de metas: as específicas e as genéricas. As metas genéricas são divididas em um conjunto de características comuns que por sua vez se divide em quatro categorias que são: Comprometimento com a execução, habilitação para a execução, direcionamento para implementação e verificação da implementação. As metas específicas, na maioria das vezes, estão focadas no negócio da empresa e buscam alinhar a metodologia CMMI às suas necessidades próprias (42).

4.1.3 PMMM (Project Management Maturity Model) – PM Solutions

É o modelo de Maturidade concebido pelo Center for Business Practices, área que cuida das pesquisas da PM Solutions, organização voltada para consultoria e treinamentos em gerenciamento de projetos.

70

O modelo leva em consideração nove áreas de conhecimento da gestão de projetos, sendo as seguintes: integração, escopo, tempo, custo, qualidade, recursos humanos, comunicações, riscos e aquisições. A avaliação do grau de maturidade é baseada em cinco níveis sendo que cada nível possui suas peculiaridades que serão exploradas posteriormente (43).

4.1.4 Modelo de Maturidade do CobiT

O modelo de maturidade para o gerenciamento e controle dos processos de TI do CobiT é baseado num método de avaliar a organização, permitindo que ela seja pontuada de um nível de maturidade não-existente (0) a otimizado (5). Este enfoque é derivado do modelo de maturidade do Software Engineering Institute (SEI) definido para a maturidade da capacidade de desenvolvimento de software. Embora siga os conceitos do SEI, a implementação CobiT difere consideravelmente do original do SEI, o qual era orientado para os princípios de engenharia de produtos de software, organizações buscando excelência nessas áreas e uma avaliação formal dos níveis de maturidade para que os desenvolvedores de software pudessem ser “certificados”. No CobiT, uma definição genérica é provida para as escalas de maturidade do CobiT as quais são similares às do CMM mas interpretadas de acordo com a natureza dos processos de gerenciamento de TI do CobiT. Um modelo específico é fornecido derivando dessa escala genérica para cada um dos 34 processos CobiT. Independente do modelo, as escalas não devem ser tão granulares visto que seria difícil de utilizar e sugeriria uma precisão não justificável, por que em geral o propósito é identificar onde estão as questões e como definir prioridades para aprimoramentos. O propósito não é avaliar o nível de aderência aos objetivos de controles.

71

Os níveis de maturidade são designados como perfis de processos de TI que a empresa reconheceria como descrição de possíveis situações atuais e futuras. Eles não são designados como um modelo inicial, onde não se pode avançar para o próximo nível sem antes ter cumprido todas as condições do nível inferior. Com os modelos de maturidade do CobiT, diferentemente do enfoque original SEI CMM, não há intenção de medir os níveis de maneira precisa ou tentar certificar que aquele nível foi exatamente atingido. A avaliação de maturidade do CobiT espera resultar em um perfil em que as condições relevantes para diversos níveis de maturidade serão atingidas (44).

4.2 Modelo de Maturidade para Defesa Cibernética

O modelo de maturidade para Defesa Cibernética visa ser um guia de referência para verificar a maturidade da organização com relação ao sistema de defesa, ou seja, é um método de avaliar a organização, permitindo que ela seja pontuada em um nível de maturidade de acordo com uma escala pré-estabelecida. As escalas propostas para o modelo de capacidades não são tão granulares tendo em vista que à finalidade não é avaliar o nível de aderência aos objetivos de controles utilizados como parâmetros, mas verificar se a capacidade foi prevista e o nível de desenvolvimento. Os níveis de maturidade são designados como perfis de capacidades do modelo de defesa que a organização reconheceria como descrição de possíveis situações atuais e futuras. Eles não são designados como um modelo inicial, onde não se pode avançar para o próximo nível sem antes ter cumprido todas as condições do nível inferior (28). Existem diversos modelos para medição de maturidade que podem ser utilizados em sistemas de informação. A abordagem proposta neste trabalho é a utilizada no CobiT, sendo um modelo de Governança de TI que permite que a gerência tenha condições de: mapear a

72

situação atual da organização, comparar com a situação das melhores organizações no segmento, comparar com padrões internacionais e estabelecer e monitorar passo a passo as melhorias dos processos rumo ao estado de melhoria contínua (44).

4.2.1 Níveis de Maturidade

Para o modelo de Defesa Cibernética proposto, os níveis de maturidade foram sugeridos de acordo com os seguintes fatores:  Percepção e tratamento de riscos: Ativos, vulnerabilidades, ameaças e riscos são identificados e as ações de defesa são planejadas e implantadas de acordo com os riscos envolvidos.  Implantação de Comando e Controle: a execução e a efetividade das ações de defesa são coordenadas por um grupo formalmente estabelecido, com recursos e nível de autoridade apropriado.  Implantação de um Modelo de Governança: políticas, estratégias e táticas são desenvolvidas, implantadas e aprimoradas de acordo com modelos da organização.

De acordo com os fatores listados foram atribuídos os níveis de maturidade gerais conforme a tabela, tomando-se como base o modelo previsto no CobiT (44): Tabela 4.1 – Níveis de Maturidade para o Modelo de Defesa Cibernética Descrição A capacidade específica não é reconhecida e não foi implementada no âmbito da organização. Os riscos não são identificados e tratados de forma subjetiva. a organização reconhece a importância da capacidade de defesa cibernética. Mas a 1 capacidade é implantada de forma ad-hoc sem planejamento e organização. O risco é Inicial identificado, mas é tratado sem um processo formal. A capacidade de defesa é planejada, implantada e controlada de acordo com os riscos envolvidos. Existem responsáveis formalmente estabelecidos para a coordenação das 2 ações de defesa. A capacidade de defesa é implantada caso a caso sem levar em conta um Repetitível modelo da organização. A capacidade é executada de forma reativa. A coordenação entre os sistemas de defesa da organização é realizada de forma ad-hoc. 3 A implantação de capacidades de defesa é feita de acordo com modelos da organização. Definido Modelos da organização são continuamente avaliados e aprimorados. A capacidade de Nível Mat 0 Inexistente

73

4 Gerenciado 5 Otimizado

comando e controle de defesa é coordenada em toda a organização. Ações de defesa são executadas de forma pró-ativa. Políticas, estratégias e táticas são desenvolvidas e implantadas conforme um modelo mantido pela organização. Riscos e a eficácia de capacidades de defesa são compreendidos de forma quantitativa. Ações de melhoria de capacidades de defesa são estabelecidas e implantadas com metas quantitativas. Modelos da organização são continuamente aprimorados conforme metas quantitativas.

No modelo proposto à Tabela 4.1 indica de forma geral o nível de desenvolvimento ou implementação esperado para uma capacidade junto à organização avaliada. Para realizar essa avaliação foi construído um questionário onde constam os itens que devem ter sido implementados ou observados na organização.

4.2.2 Avaliação da Maturidade de Capacidades

O modelo de avaliação das capacidades foi concebido por intermédio de um questionário que referência as melhores práticas de acordo com as capacidades propostas. Cada capacidade será avaliada por uma série de itens mínimos necessários à caracterização da existência da capacidade. Isto será representado na prática por questões que tomaram como base as melhores práticas estabelecidas. O questionário utilizado para avaliação das capacidades do modelo de Defesa Cibernética, que pode ser visualizado no Anexo, é composto de 96 perguntas separadas por capacidades fundamentais sendo que o índice de desempenho de cada nível poderá variar de 0 a 5. A média ponderada das questões previstas em cada capacidade indicará o nível de desempenho. O nível de desempenho será visualizado por intermédio de um gráfico onde será possível verificar o nível de desenvolvimento da organização com relação ao desenvolvimento das capacidades de segundo e terceiro níveis, da seguinte forma:

74



O gráfico visualizado na Figura 4.1 exemplifica que a avaliação da organização com relação ao nível de desempenho foi pontuada no nível 3, ou seja, no nível de desempenho definido.

Governança

Comando e Controle Avaliado Ideal

Mecanismos de Defesa

Supervisão da Defesa 0

1

2

3

4

5

6

Figura 4.1 - Nível de Maturidade Avaliada visando a Segurança de um sistema de defesa cibernética



O gráfico visualizado na Figura 4.2 mostra que a avaliação da organização indica o nível de desempenho é a pontuação 5, ou seja, no nível de desempenho otimizado.

Governança

Comando e Controle Avaliado Ideal

Mecanismos de Defesa

Supervisão da Defesa 0

1

2

3

4

5

6

Figura 4.2. Nível de Maturidade Avaliada visando a Robustez de um sistema de defesa cibernética

75

4.3 Cenários de Uso do Modelo Maturidade O modelo proposto deve atender os seguintes cenários de uso: identificação do estado corrente das capacidades de defesa, identificação do estado desejável e o planejamento de passos para se atingir o estado desejável.

4.3.1 Identificação do Estado Corrente A identificação do estado corrente das capacidades de defesa pode ser feita por uma equipe de avaliadores interna ou externa devidamente treinada no uso do modelo. O primeiro passo é estabelecer o escopo da avaliação. O escopo é definido pelos ativos da organização que requerem proteção. Todos os sistemas de defesa para os ativos selecionados formarão o sistema de defesa cibernética da organização a ser avaliada. Os avaliadores deverão, a partir de leitura de documentos dos sistemas de defesa, questionários e entrevistas com responsáveis, identificar o nível de desempenho para os diferentes Grupos de Capacidades. O nível de desempenho dos Grupos de Capacidades irá definir o nível de maturidade da organização. Foi definida a seguinte regra para a atribuição de níveis de maturidade: Uma organização tem nível de maturidade N se todos os Grupos de Capacidades tiverem nível de desempenho maior ou igual a N.

4.3.2 Identificação do Estado desejável O estado desejável depende dos níveis de risco das ameaças aos ativos protegidos. Níveis de risco elevado são devido a ameaças com impacto elevado e/ou uma grande probabilidade de ocorrência. Impactos elevados trazem custos inaceitáveis tais como perdas de vidas humanas e gastos financeiros elevados. O tratamento de riscos pode ser de forma reativa ou de forma pró-ativa (com antecipação de ações). No comportamento reativo está implícito que uma ameaça está

76

ocorrendo e ações de mitigação são aplicadas para reduzir o impacto. Por exemplo, um servidor foi invadido e ele ficará temporariamente fora do ar. No comportamento pró-ativo, as ações são executadas de forma antecipada. Isto é, ações de mitigação são executadas antes que a ameaça ocorra. Para o comportamento próativo, a organização deverá ter capacidades de comando e controle que permitam a identificação precisa de tendências de ameaças, estratégias e táticas apropriadas para tratar essas ameaças de forma coordenada. De acordo com o perfil dos riscos envolvidos é possível deduzir o nível de maturidade desejável para a organização. Uma garantia para riscos que possam ser tratados de forma reativa é obtida ao se atingir o nível 2 de maturidade, quando riscos são identificados e as capacidades são dimensionadas para atender esses riscos. Entretanto, neste nível de maturidade não há garantias de coordenação da organização para se ter uma capacidade próativa para tratamento de riscos. Para riscos que requerem antecipação de ações (risco elevado) é necessário que a organização responsável esteja enquadrada pelo menos no nível 3. Com um modelo de riscos da organização aprimorado de acordo com experiências passadas e melhores práticas e uma coordenação entre os diferentes grupos é possível a execução de ações pró-ativas efetivas. O nível de maturidade 4 é requerido para organizações que desejam não apenas um comportamento pró-ativo mas também um controle quantitativo do desempenho das ações de defesa. No nível de maturidade 5 a organização possui pleno controle das suas capacidades de defesa e de forma pró-ativa estabelece metas quantitativas de melhoria das capacidades.

77

4.3.3 Planejamento para se atingir o estado desejável

Identificado o estado (ou nível de maturidade) desejável, é necessário definir os passos para se alcançar esse estado. O avanço nos níveis de maturidade é evolucionário. Isto é, a organização deverá passar em todos os níveis intermediários até se atingir o nível desejável. Estar em um nível de maturidade implica não apenas em processos, procedimentos e responsáveis formalmente designados, mas que todo o pessoal envolvido esteja capacitado para operar os processos e tecnologia conforme o nível de maturidade.

78

5. ESTUDO DE CASO

Este capítulo tem por finalidade apresentar os resultados e experiências obtidos com um estudo de caso que possuiu os seguintes objetivos: realizar a experimentação do modelo de maturidade e capacidades para Defesa Cibernética, verificar a viabilidade de utilização do modelo de capacidades e de maturidade proposto por intermédio de avaliação em organizações que utilizam a TI como suporte para a consecução dos objetivos do negócio; e colher subsídios para avaliar o modelo proposto e a sua aplicação em um cenário real de uso. Para realização do estudo de caso foi utilizado o modelo clássico de Gil (14), que apesar de não possuir um roteiro rígido para a sua delimitação, pode ser delineado em quatro fases: delimitação da unidade-caso; coleta de dados; seleção, análise e interpretação dos dados e a apresentação dos resultados.

5.1 Delimitação da unidade-caso

O propósito do estudo de caso é verificar a aplicabilidade do modelo proposto decorrente da necessidade de uma organização em possuir um sistema de defesa cibernética e permitir a avaliação do nível de desempenho, gerenciamento e controle que a organização se encontra e deseja estar. Em virtude de tal necessidade é necessário obter uma visão objetiva do nível de desempenho da própria organização, e ainda, o que deve ser avaliado e como. O modelo foi aplicado às organizações por intermédio de visita do entrevistador e de entrevista com os responsáveis pelas áreas de segurança da informação das organizações avaliadas com o uso do questionário do modelo de capacidades e maturidade para Defesa Cibernética.

79

5.1.1 Cenário

Para a avaliação da aplicabilidade do modelo foram selecionadas 04(quatro) organizações que utilizam sistemas de TI baseados em redes de computadores, cuja atividade fim depende sobremaneira do funcionamento ininterrupto dos sistemas de TI.  Descrição do Cenário: um auditor realizará a avaliação do desenvolvimento das capacidades, segundo o questionário do modelo de maturidade proposto, verificando “in loco” o nível de desenvolvimento da capacidade conforme o modelo de maturidade proposto.  Resultado esperado: no caso da organização ter implementado as capacidades observadas poderá atingir o nível de desempenho inexistente ou o nível máximo conforme demonstrado na Figura abaixo:

Governança

Comando e Controle

Nível de Desempenho Medido Nível Máximo de Desenvolvimento

Mecanismos de Defesa

Supervisão da Defesa 0

2

4

6

Figura 5.1. Nível de Maturidade Avaliada visando a Robustez de um sistema de defesa cibernética

O gráfico apresentado na Figura 5.2 correspondente ao nível de desempenho de cada capacidade fundamental ou de primeiro nível do modelo aplicado a uma organização, sendo que no modelo previsto a avaliação poderá variar do grau 0 ou inexistente ao 5 ou otimizado.

80

No caso das capacidades de segundo nível ou grupo de capacidades cabe ressaltar que cada uma delas apresenta características que dizem respeito ao grau de aderência da capacidade ao modelo proposto. As capacidades de segundo nível possuem capacidades de negócio ou de terceiro nível que foram avaliadas e representadas por intermédio do gráfico em forma de radar conforme visualizado na Figura 5.2. Neste caso o valor da avaliação de cada capacidade será representado do nível 0 ao 5, porém, no computo do modelo geral cada capacidade de negócio terá um peso de avaliação de acordo com o grau de aderência ao modelo proposto.

Avaliação dos Níveis de Desempenho das Capacidades de Negócios

Auditoria

Política 5 4

Teste de Defesa

3

Gestão de Estratégias e… Gestão do Conhecimento

2

Gestão de Incidentes

1

Comando

0 Monitoramento

Nível Máximo de Desenvolvimento Nível Máximo Medido

Controle

Desv, Op e Mnt Segura Segurança de Pessoal

Segurança Física

Sistema de Comando e… Serviços de Segurança

Figura 5.2 Avaliação de Maturidade das capacidades de negócios de um sistema de defesa cibernética

5.2 Coleta de Dados

A coleta de dados ocorreu por intermédio do uso do questionário de avaliação do modelo proposto para ser respondido com os responsáveis pela segurança de TI das organizações avaliadas.

81

Em todas as organizações pesquisadas foi autorizado a realização do trabalho de pesquisa por intermédio da administração de cada organização. A pesquisa propriamente dita foi realizada com o apoio dos responsáveis pela área de segurança da informação de cada organização. No estudo de caso em pauta foram avaliadas 04(quatro) organizações sendo que os nomes das organizações serão omitidos em virtude do sigilo e por não prejudicar o andamento do trabalho. As organizações possuem os objetivos de negócios distintas sendo duas da área de defesa, uma da área de administração pública federal e uma comercial. No caso do estudo chamaremos as organizações de ALFA, BRAVO, CHARLIE e DELTA, respectivamente conforme foi mencionado. A seleção, análise e interpretação dos dados obtidos na aplicação do questionário foram realizadas por organização de acordo com o modelo de maturidade proposto.

5.2.1 Organização ALFA Os resultados obtidos por intermédio do questionário de avaliação do modelo de capacidades e maturidade para Defesa Cibernética são representados em forma de gráfico tipo radar, onde são apresentadas as medições das capacidades de negócio relacionadas às capacidades fundamentais.

5.2.1.1 Governança da organização ALFA A capacidade de governança da organização ALFA apresentou os seguintes resultados apresentados na Figura 5.3:

82

G3.9 5 G3.8 4 G3.7 3 G3.6

G1.1

G1.2 G1.3 G1.4 G2.1

2

G3.5

G2.2

1

G3.4

G2.3

0

G3.3

G2.4

G3.2

G2.5

G3.1 G2.13 G2.12 G2.11

G2.10

Nível Máximo de Desempenho Grau de Desenvolvimento Medido

G2.6 G2.7 G2.8 G2.9

Figura 5.3. Nível de Maturidade Avaliada da capacidade de governança do sistema de defesa cibernética da organização ALFA

Assim percebeu-se que em relação ao modelo de capacidades e maturidades proposto a maioria das capacidades da organização ALFA com relação a capacidade fundamental GOVERNANÇA encontra-se com o nível de desenvolvimento inexistente.

5.2.1.2 Comando e Controle da organização ALFA A capacidade de Comando e Controle da organização ALFA apresentou os seguintes resultados apresentados na Figura 5.4:

CC3.5

CC1.1 5 4

CC1.2

3

CC3.4

CC1.3

2 1

CC3.3

CC1.4

0 CC3.2

CC1.5

CC3.1

Nível Máximo de Desenvolvimento Grau de Desenvolvimento Medido

CC1.6 CC2.2

CC2.1

Figura 5.4. Nível de Maturidade Avaliada da capacidade de Comando e Controle do sistema de defesa cibernética da organização ALFA

83

Com relação a capacidade fundamental COMANDO E CONTROLE percebeu-se que em relação ao modelo de capacidades e maturidades proposto a organização possui um melhor desenvolvimento, não possuindo nenhuma capacidade com nível de maturidade inexistente. De forma semelhante os dados coletados das organizações retratam os níveis de maturidades das capacidades em relação ao modelo.

5.2.1.3 Mecanismos de Defesa da organização ALFA A capacidade de Mecanismos de Defesa da organização ALFA apresentou os seguintes resultados apresentados na Figura 5.5: MD1.1 MD4.9 5 MD1.2 MD4.8 MD1.3 MD4.7 MD1.4 4 MD4.6 MD1.5 MD4.5

MD1.6

3

MD4.4

MD1.7

2

MD4.3

MD1.8

1

MD4.2

MD2.1

0

MD4.1

MD2.2

MD3.4

Série 1 Série 2

MD2.3

MD3.3

MD2.4

MD3.2 MD3.1 MD2.14 MD2.13 MD2.12 MD2.11

MD2.5 MD2.6 MD2.7 MD2.8 MD2.9 MD2.10

Figura 5.5. Nível de Maturidade Avaliada da capacidade Mecanismos de Defesa do sistema de defesa cibernética da organização ALFA

5.2.1.4 Supervisão da Defesa da organização ALFA A capacidade de Supervisão da Defesa da organização ALFA apresentou os seguintes resultados apresentados na Figura 5.6:

84

SD4.6 SD4.5

SD1.1 5

SD1.2 SD1.3

4

SD4.4

SD1.4

3 2

SD4.3

SD2.1

1 SD4.2

SD2.2

0

Série 1 Série 2

SD4.1

SD2.3

SD3.5

SD2.4

SD3.4

SD2.5 SD3.3

SD3.2

SD3.1

SD2.6

Figura 5.6. Nível de Maturidade Avaliada da capacidade Mecanismos de Defesa do sistema de defesa cibernética da organização ALFA

5.2.2 Governança da organização BRAVO A capacidade de governança da organização BRAVO apresentou os seguintes resultados apresentados na Figura 5.7:

G3.8 G3.7

G3.9 5

G1.1

G1.2

4 3

G3.6

G1.3 G1.4 G2.1

2

G3.5

G2.2

1

G3.4

G2.3

Nível Máximo de Desempenho

G2.4

Grau de Desenvolvimento Medido

0 G3.3 G3.2

G2.5

G3.1

G2.6

G2.13 G2.12 G2.11

G2.10

G2.9

G2.7 G2.8

Figura 5.7. Nível de Maturidade Avaliada da capacidade de governança do sistema de defesa cibernética da organização BRAVO

A capacidade de Comando e Controle da organização BRAVO apresentou os seguintes resultados apresentados na Figura 5.8:

85

CC3.5

CC1.1 5

CC1.2

4 3

CC3.4

CC1.3

2 1

CC3.3

CC1.4

Série 1

0

Série 2

CC3.2

CC1.5

CC3.1

CC1.6 CC2.2

CC2.1

Figura 5.8. Nível de Maturidade Avaliada da capacidade de Comando e Controle do sistema de defesa cibernética da organização BRAVO

A capacidade de Mecanismos de Defesa da organização BRAVO apresentou os seguintes resultados apresentados na Figura 5.9: MD1.1 MD4.9 5 MD1.2 MD4.8 MD1.3 MD4.7 MD1.4 4 MD4.6 MD1.5 MD4.5

3

MD4.4 MD4.3

MD1.6 MD1.7

2

MD1.8

1

MD4.2

MD2.1

0

MD4.1

MD2.2

MD3.4

MD2.3

MD3.3 MD3.2 MD3.1 MD2.14 MD2.13 MD2.12 MD2.11

MD2.4 MD2.5 MD2.6 MD2.7 MD2.8 MD2.9 MD2.10

Figura 5.9. Nível de Maturidade Avaliada da capacidade Mecanismos de Defesa do sistema de defesa cibernética da organização BRAVO

Série 1 Série 2

86

A capacidade de Supervisão da Defesa da organização BRAVO apresentou os seguintes resultados apresentados na Figura 5.10: SD1.1 5

SD4.6 SD4.5

SD1.2 SD1.3

4

SD4.4

SD1.4

3 2

SD4.3

SD2.1

1 SD4.2

SD2.2

0

Série 1 Série 2

SD4.1

SD2.3

SD3.5

SD2.4

SD3.4

SD2.5

SD3.3

SD3.2

SD3.1

SD2.6

Figura 5.10. Nível de Maturidade Avaliada da capacidade Mecanismos de Defesa do sistema de defesa cibernética da organização BRAVO

5.2.3 Organização CHARLIE A capacidade de governança da organização CHARLIE apresentou os seguintes resultados apresentados na Figura 5.11:

G3.8

G3.9 5

G1.1

G1.2

G1.3

4

G3.7

G1.4

3

G3.6

G2.1

2

G3.5

G2.2

1

G3.4

G2.3

0 G3.3

G2.4

G3.2

Nível Máximo de Desempenho Grau de Desenvolvimento Medido

G2.5

G3.1

G2.6

G2.13 G2.12 G2.11

G2.7 G2.10

G2.9

G2.8

Figura 5.11. Nível de Maturidade Avaliada da capacidade de governança do sistema de defesa cibernética da organização CHARLIE

87

A capacidade de Comando e Controle da organização CHARLIE apresentou os seguintes resultados apresentados na Figura 5.12:

CC3.5

CC1.1 5

CC1.2

4 3

CC3.4

CC1.3

2 1

CC3.3

CC1.4

0

Série 1 Série 2

CC3.2

CC1.5

CC3.1

CC1.6 CC2.2

CC2.1

Figura 5.12. Nível de Maturidade Avaliada da capacidade de Comando e Controle do sistema de defesa cibernética da organização CHARLIE

A capacidade de Mecanismos de Defesa da organização CHARLIE apresentou os seguintes resultados apresentados na Figura 5.13: MD1.1 MD4.9 5 MD1.2 MD4.8 MD1.3 MD4.7 MD1.4 4 MD4.6 MD1.5 MD4.5 MD1.6 3 MD4.4 MD1.7 2 MD4.3 MD1.8 1 MD4.2 MD2.1 0

MD4.1

MD2.2

MD3.4

MD2.3

MD3.3 MD3.2 MD3.1 MD2.14 MD2.13 MD2.12 MD2.11

MD2.4 MD2.5 MD2.6 MD2.7 MD2.8 MD2.9 MD2.10

Figura 5.13. Nível de Maturidade Avaliada da capacidade Mecanismos de Defesa do sistema de defesa cibernética da organização CHARLIE

Série 1 Série 2

88

A capacidade de Supervisão da Defesa da organização CHARLIE apresentou os seguintes resultados apresentados na Figura 5.14:

SD4.6 SD4.5

SD1.1 5

SD1.2 SD1.3

4

SD4.4

SD1.4

3 2

SD4.3

SD2.1

1 SD4.2

SD2.2

0

Série 1 Série 2

SD4.1

SD2.3

SD3.5

SD2.4

SD3.4

SD2.5 SD3.3

SD3.2

SD3.1

SD2.6

Figura 5.14. Nível de Maturidade Avaliada da capacidade Mecanismos de Defesa do sistema de defesa cibernética da organização CHARLIE

5.2.4 Organização DELTA A capacidade de governança da organização DELTA apresentou os seguintes resultados apresentados na Figura 5.15:

G3.8

G3.9 5

G1.1

G1.2

G1.3

4

G3.7

G1.4

3

G3.6

G2.1

2

G3.5

G2.2

1

G3.4

G2.3

0 G3.3

G2.4

G3.2

Nível Máximo de Desempenho Grau de Desenvolvimento Medido

G2.5

G3.1

G2.6

G2.13 G2.12 G2.11

G2.7 G2.10

G2.9

G2.8

Figura 5.15. Nível de Maturidade Avaliada da capacidade de governança do sistema de defesa cibernética da organização DELTA

89

A capacidade de Comando e Controle da organização DELTA apresentou os seguintes resultados apresentados na Figura 5.16:

CC3.5

CC1.1 5

CC1.2

4 3

CC3.4

CC1.3

2 1

CC3.3

CC1.4

0

Série 1 Série 2

CC3.2

CC1.5

CC3.1

CC1.6 CC2.2

CC2.1

Figura 5.16. Nível de Maturidade Avaliada da capacidade de Comando e Controle do sistema de defesa cibernética da organização DELTA

A capacidade de Mecanismos de Defesa da organização DELTA apresentou os seguintes resultados apresentados na Figura 5.17: MD1.1 MD4.9 5 MD1.2 MD4.8 MD1.3 MD4.7 MD1.4 4 MD4.6 MD1.5 MD4.5 MD1.6 3 MD4.4 MD1.7 2 MD4.3 MD1.8 1 MD4.2 MD2.1 0

MD4.1

MD2.2

MD3.4

MD2.3

MD3.3 MD3.2 MD3.1 MD2.14 MD2.13 MD2.12 MD2.11

MD2.4 MD2.5 MD2.6 MD2.7 MD2.8 MD2.9 MD2.10

Figura 5.17. Nível de Maturidade Avaliada da capacidade Mecanismos de Defesa do sistema de defesa cibernética da organização DELTA

Série 1 Série 2

90

A capacidade de Supervisão da Defesa da organização DELTA apresentou os seguintes resultados apresentados na Figura 5.18:

SD4.6 SD4.5

SD1.1 5

SD1.2 SD1.3

4

SD4.4

SD1.4

3 2

SD4.3

SD2.1

1 SD4.2

SD2.2

0

Série 1 Série 2

SD4.1

SD2.3

SD3.5

SD2.4

SD3.4

SD2.5 SD3.3

SD3.2

SD3.1

SD2.6

Figura 5.18. Nível de Maturidade Avaliada da capacidade Mecanismos de Defesa do sistema de defesa cibernética da organização DELTA

5.3 Seleção, Análise e Interpretação dos dados A avaliação global das capacidades de negócio indica que em relação ao modelo proposto as organizações encontram-se em uma condição especifica que indica uma maturidade. A análise foi realizada de acordo com cada capacidade fundamental.

5.3.1 Análise Global  Capacidade Fundamental Governança No caso da análise dos níveis de desempenho da capacidade governança cabe ressaltar que as capacidades possuem valores de importância diferenciado em virtude do modelo proposto e do grau de aderência da capacidade em relação ao modelo. A verificação das capacidades em relação aos pesos diferenciados de cada capacidade proposta foi a seguinte:

91

Tabela 5.1 - Pontuação do Grau de Desenvolvimento da Capacidade Fundamental Governança das organizações de A a D. Código da Capacidade G1.1 G1.2 G1.3 G1.4 G2.1 G2.2 G2.3 G2.4 G2.5 G2.6 G2.7 G2.8 G2.9 G2.10 G2.13 G2.14 G2.15 G3.1 G3.2 G3.3 G3.4 G3.5 G3.6 G3.7 G3.8 G3.9 TOTAL

GDM 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5

Peso da capacidade 5 5 4 4 4 4 5 4 5 4 3 4 3 3 3 2 3 2 5 4 4 4 5 2 2 5

GAM 25 25 20 20 20 20 25 20 25 20 15 20 15 15 15 10 15 10 25 20 20 20 25 10 10 25 490

ALFA NDM GA 3 15 3 15 2 8 1 4 0 0 0 0 1 5 2 8 3 15 4 16 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 2 0 0 0 0 0 0 0 0 1 5 0 0 0 0 0 0 93

BRAVO NDM GA 5 25 4 20 4 16 1 4 1 4 0 0 0 0 0 0 1 5 0 0 2 3 0 0 1 3 1 3 1 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 21

CHARLIE NDM GA 3 15 3 15 3 12 2 8 2 8 1 4 1 4 2 8 2 10 1 4 3 9 1 4 3 9 3 9 2 6 2 4 2 6 1 2 1 2 2 8 2 8 1 4 1 5 1 2 1 2 1 5 171

DELTA NDM GA 1 5 1 5 1 4 0 0 0 0 1 4 0 0 0 0 0 0 1 4 0 0 0 0 1 3 1 3 2 6 0 0 0 0 1 2 0 0 1 4 1 4 0 0 0 0 1 2 0 0 0 0 46

Legenda: - GDM- Grau de Desempenho Máximo; - GAM – Grau de Aderência Máximo; - NDM – Nível de Desempenho Medido; e - GA – Grau de Aderência.

Na tabela 5.1 a pontuação máxima que pode ser obtida pelas organizações é de 490 pontos no caso de possuírem as capacidades com nível de desenvolvimento máximo, ou seja, com o nível de desenvolvimento otimizado. Assim, percebe-se que com relação à capacidade fundamental GOVERNANÇA a organização CHARLIE conseguiu a maior pontuação em relação ao modelo, com o valor de 171 pontos. A organização que obteve a menor pontuação foi à organização BRAVO com 21 pontos.

As demais tabelas da outras capacidades

fundamentais seguem o mesmo raciocínio. O quadro de desempenho global das capacidades pode ser melhor verificado por intermédio do gráfico abaixo:

92

600

Grau de Desenvolvimento Máximo

500 400

Organização ALFA

300 200

Organização BRAVO

100 0 Governança

Organização CHARLIE

Figura 5.19 – Quadro de Comparação do Desenvolvimento da Capacidade Fundamental Governança entre as organizações avaliadas

 Capacidade Fundamental Comando e Controle No caso da análise dos níveis de desempenho da capacidade governança cabe ressaltar que as capacidades possuem valores de importância diferenciado em virtude do modelo proposto e do grau de aderência da capacidade em relação ao modelo. A verificação das capacidades em relação aos pesos diferenciados de cada capacidade proposta foi seguinte: Tabela 5.2 - Pontuação do Grau de Desenvolvimento da Capacidade Fundamental Comando e Controle das organizações de A a D. Código da Capacidade CC1.1 CC1.2 CC1.3 CC1.4 CC1.5 CC1.6 CC2.1 CC2.2 CC3.1 CC3.2 CC3.3 CC3.4 CC3.5 TOTAL

GDM 5 5 5 5 5 5 5 5 5 5 5 5 5

Peso da capacidade 5 5 4 4 4 4 5 4 5 4 3 4 3

GAM 25 25 20 20 20 20 25 20 25 20 15 20 15 270

ALFA NDM GA 3 15 3 15 2 8 1 4 0 0 0 0 1 5 2 8 3 15 4 16 0 0 0 0 0 0 86

Legenda: - GDM- Grau de Desempenho Máximo; - GAM – Grau de AderÊncia Máximo; - NDM – Nível de Desempenho Medido; - GA – Grau de Aderência.

BRAVO NDM GA 1 5 1 5 0 0 0 0 0 0 0 0 2 10 0 0 0 0 0 0 0 0 0 0 0 0 20

CHARLIE NDM GA 3 15 2 10 2 8 2 8 1 4 1 4 2 10 2 8 1 5 1 4 1 3 1 4 0 0 83

DELTA NDM GA 1 5 1 5 0 0 1 4 1 4 1 4 1 5 1 4 1 5 2 8 2 6 0 0 0 0 50

93

O quadro de desempenho global das capacidades pode ser melhor verificado por intermédio do gráfico abaixo: 300 250

Grau de Desenvolvimento Máximo

200

Organização ALFA

150

Organização BRAVO

100

Organização CHARLIE

50 Organização DELTA 0 Comando e Controle Figura 5.20 – Quadro de Comparação do Desenvolvimento da Capacidade Fundamental Comando e Controle entre as organizações avaliadas

 Capacidade Fundamental Mecanismos de Defesa No caso da análise dos níveis de desempenho da capacidade governança cabe ressaltar que as capacidades possuem valores de importância diferenciado em virtude do modelo proposto e do grau de aderência da capacidade em relação ao modelo. A verificação das capacidades em relação aos pesos diferenciados de cada capacidade proposta foi seguinte:

Tabela 5.3 - Pontuação do Grau de Desenvolvimento da Capacidade Fundamental Mecanismos de Defesa das organizações de A a D. Código da Capacidade MD1.1 MD1.2 MD1.3 MD1.4 MD1.5 MD1.6 MD1.7 MD1.8 MD2.1 MD2.2 MD2.3 MD2.4 MD2.5 MD2.6 MD2.7

GDM 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5

Peso da capacidade 5 5 4 4 4 4 5 4 5 4 3 4 3 3 3

GDM 25 25 20 20 20 20 25 20 25 20 15 20 15 15 15

ALFA NDM GA 3 15 3 15 2 8 1 4 0 0 0 0 1 5 2 8 3 15 4 16 0 0 0 0 0 0 0 0 0 0

BRAVO NDM GA 3 15 4 12 3 12 3 12 3 12 3 12 2 10 0 0 3 15 2 8 2 6 2 8 4 12 3 9 2 6

CHARLIE NDM GA 4 20 5 25 4 16 4 16 5 20 5 20 3 15 2 8 4 20 5 20 3 9 3 12 5 15 5 15 4 12

DELTA NDM GA 1 5 2 10 1 4 1 4 0 0 1 4 2 10 0 0 2 10 1 4 0 0 0 0 0 0 0 0 2 6

94

MD2.8 MD2.9 MD2.10 MD2.11 MD2.12 MD2.13 MD2.14 MD3.1 MD3.2 MD3.3 MD3.4 MD4.1 MD4.2 MD4.3 MD4.4 MD4.5 MD4.6 MD4.7 MD4.8 MD4.9 TOTAL

5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5

2 3 2 5 4 4 4 5 2 2 5 3 4 3 3 4 5 2 3 3

10 15 10 25 20 20 20 25 10 10 25 15 20 15 15 20 25 10 15 15 640

0 0 1 0 0 0 0 1 0 0 0 0 1 2 2 1 0 2 2 3

0 0 2 0 0 0 0 5 0 0 0 0 4 6 6 4 0 4 6 9 132

2 4 1 2 2 1 1 3 3 0 1 2 1 0 2 2 1 0 0 0

4 12 2 10 8 4 4 15 6 0 5 6 4 0 6 8 5 0 0 0 256

3 5 2 2 2 3 2 3 3 1 2 3 2 1 3 3 2 1 2 2

6 15 4 10 8 12 8 15 6 2 10 9 8 3 9 12 10 2 6 6 404

2 1 1 0 1 1 0 0 1 1 1 0 1 1 1 0 1 1 1 1

4 3 2 0 4 4 0 0 2 2 5 0 4 3 3 0 5 2 3 3 106

Legenda: - GDM- Grau de Desempenho Máximo; - NDM – Nível de Desempenho Medido; - GA – Grau de Aderência.

O quadro de desempenho global das capacidades pode ser melhor verificado por intermédio do gráfico abaixo:

700 600 500

GDM

400

Organização ALFA

300

Organização BRAVO

200

Organização CHARLIE Organização DELTA

100 0 Mecanismos de Defesa

Figura 5.21 – Quadro de Comparação do Desenvolvimento da Capacidade Fundamental Mecanismos de Defesa entre as organizações avaliadas

95

 Capacidade Fundamental Supervisão da Defesa No caso da análise dos níveis de desempenho da capacidade governança cabe ressaltar que as capacidades possuem valores de importância diferenciado em virtude do modelo proposto e do grau de aderência da capacidade em relação ao modelo. A verificação das capacidades em relação aos pesos diferenciados de cada capacidade proposta foi seguinte:

Tabela 5.4 - Pontuação do Grau de Desenvolvimento da Capacidade Fundamental Supervisão da Defesa das organizações de A a D. Código da Capacidade SD1.1 SD1.2 SD1.3 SD1.4 SD2.1 SD2.2 SD2.3 SD2.4 SD2.5 SD2.6 SD3.1 SD3.2 SD3.3 SD3.4 SD3.5 SD4.1 SD4.2 SD4.3 SD4.4 SD4.5 SD4.6 TOTAL

GDM 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 -XX-

Peso da capacidade 5 5 4 4 4 4 5 4 5 4 3 4 3 3 3 2 3 2 5 4 4 -XX-

GDM 25 25 20 20 20 20 25 20 25 20 15 20 15 15 15 10 15 10 25 20 20 400

ALFA NDM GA 5 25 4 20 3 12 3 12 4 16 2 8 2 10 2 8 3 15 4 16 3 9 3 12 2 6 4 12 4 12 3 6 4 12 2 4 2 10 3 12 2 8 245

BRAVO NDM GA 2 5 1 5 0 0 0 0 0 0 0 0 0 0 1 4 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 19

CHARLIE NDM GA 4 20 3 15 1 4 2 8 2 8 1 4 2 10 2 8 3 15 4 16 0 0 0 0 0 0 0 0 0 0 2 4 1 3 2 4 2 10 2 8 2 8 145

DELTA NDM GA 1 5 0 0 1 4 1 4 0 0 1 4 1 5 0 0 1 5 1 4 0 0 0 0 0 0 0 0 1 3 0 0 1 3 0 0 0 0 1 4 1 4 45

Legenda: - GDM- Grau de Desempenho Máximo; - NDM – Nível de Desempenho Medido; - GA – Grau de Aderência.

O quadro de desempenho global das capacidades pode ser mais bem verificado por intermédio do gráfico abaixo:

96

450 400 350 300

GDM

250

Organização ALFA

200

Organização BRAVO Organização CHARLIE

150

Organização DELTA

100 50 0 Supervisão da Defesa

Figura 5.22 – Quadro de Comparação do Desenvolvimento da Capacidade Fundamental Supervisão da Defesa entre as organizações avaliadas

Supervisão da Defesa

GDM

Mecanismos de Defesa

Organização DELTA Organização CHARLIE Organização BRAVO

Comando e Controle

Organização ALFA Governança

0

100

200

300

400

500

600

Figura 5.23 – Comparativo Global do Desenvolvimento das Capacidades Fundamentais das Organizações de A a D.

A análise das organizações por intermédio da aplicação do modelo de maturidade das capacidades indica que existem pontos vulneráveis que necessitam de maior atenção por parte das organizações, bem como, pontos fortes que devem passar por constantes aperfeiçoamentos.

97

Para análise dos dados obtidos por intermédio da coleta de dados nas organizações será tomado como base a tabela de desenvolvimento das capacidades de acordo com a tabela 5.5: Tabela 5.5 Nível de Classificação de Maturidade do Desenvolvimento das Capacidades Fundamentais Comando e Mecanismos de Capacidade Governança Controle Defesa Nível 0 < 98 < 54 < 128 Inexistente Nível 1 > 98 e < 196 > 54 e < 108 > 128 e < 256 Inicial Nível 2 > 196 e < 294 > 108 e < 162 > 256 e < 384 Repetitível Nível 3 > 294 e < 392 > 162 e < 216 > 384 e < 512 Definido Nível 4 > 392 e < 490 > 216 e < 270 > 512 e < 640 Gerenciado Nível 5 490 270 640 Otimizado

Supervisão da Defesa < 80 > 80 e < 160 > 160 e < 240 > 240 e < 320 > 320 e < 400 400

A tabela tem por finalidade indicar a situação dos resultados obtidos com a aplicação do modelo nas organizações em tela. De acordo com a tabela as organizações foram classificadas da seguinte forma: Tabela 5.6 Nível de Classificação de Maturidade do Desenvolvimento das Capacidades Fundamentais das Organizações de A a D Comando e Mecanismos de Supervisão da Capacidade Governança Controle Defesa Defesa Organização A, Organização B e Organização B e Nível 0 Organização D BeD D D Inexistente Organização A e Nível 1 Organização C Organização A Organização C C Inicial Nível 2 -xx-xxOrganização B -xxRepetitível Nível 3 -xx-xxOrganização C Organização A Definido Nível 4 -xx-xx-xx-xxGerenciado Nível 5 -xx-xx-xx-xxOtimizado

5.3.2 Análise Específica De acordo com o modelo verifica-se que as organizações encontram-se na seguinte situação de Defesa Cibernética:

98

5.3.2.1 Organização ALFA De um modo geral a organização encontra-se no nível inicial e inexistente com forte ênfase no nível 0. Com exceção da capacidade de supervisão de defesa em que a organização demonstrou um nível de desenvolvimento definido. As vulnerabilidades encontradas indicam a necessidade de investimento para o desenvolvimento da governança para servir como base para as demais capacidades. Como exemplo um dos aspectos observados é que a política de defesa é analisada criticamente de forma Ad Hoc não tendo um planejamento para revisão a intervalos planejados ou quando mudanças significativas ocorrem.

5.3.2.2 Organização BRAVO A organização encontra-se predominantemente no nível inexistente demonstrando assim a necessidade de aplicação com urgência de um modelo de defesa cibernética. Com exceção da capacidade de mecanismos de defesa em que a organização demonstrou um nível de desenvolvimento repetitível. As vulnerabilidades encontradas indicam a deficiência da organização nas áreas de Governança, Comando e Controle e Supervisão da Defesa que pode ocasionar em um evento catastrófico em caso de um ataque cibernético bem sucedido.

5.3.2.3 Organização CHARLIE Foi a organização que apresentou os melhores resultados de aderência ao modelo proposto. A natureza da empresa indica que a necessidade de constante atualização e investimento da defesa cibernética impacta diretamente no negócio da empresa. De modo geral encontra-se no nível inicial tendendo ao repetitível.

99

A capacidade de mecanismos de defesa da organização demonstra um nível definido sendo um importante fator a favor da organização.

5.3.2.4 Organização DELTA Foi a organização que apresentou os resultados menos expressivos de aderência ao modelo proposto. A natureza da empresa confirma a falta de investimento e constante atualização em defesa cibernética uma vez que o impacto no negócio da organização não é tão expressivo. A organização possui todas as capacidades no nível inexistente. Em todas as áreas de defesa existem vulnerabilidades que se bem exploradas podem afetar o negócio da empresa de modo a comprometer a missão. 5.3.3 Conclusão Global A Capacidade Fundamental Governança é uma capacidade que visa garantir que o sistema irá atender às metas de negócios da organização. A governança para Defesa Cibernética tem por objetivo estabelecer e aprimorar a política, as estratégias e as táticas da organização frente às ameaças existentes no espaço cibernético. A ideia central dessa capacidade é o constante aprimoramento do pessoal, processos e tecnologia na organização, de modo que as melhores decisões sejam sempre tomadas e a organização faça uso de estratégias e táticas previamente avaliadas e testadas. Quanto à Capacidade Fundamental Governança foi observado que todas as organizações possuem deficiências no desenvolvimento da capacidade, porém, observou-se que a organização CHARLIE possui um nível mais elevado e a organização BRAVO possui o menor nível. Entretanto, observa-se que todas as organizações estão muito abaixo do Grau de Desempenho Máximo.

100

O Comando e Controle é uma atividade fundamental para o êxito das operações em todos os escalões de comando. É uma atividade especializada e sua execução se baseia em uma concepção sistêmica, com métodos, procedimentos, características e vocabulário que lhe são peculiares. No modelo proposto a capacidade vincula e permeia todas as atividades operacionais e a governança, sincronizando-as e permitindo ao comandante adquirir e manter o indispensável nível de consciência situacional para a tomada de decisões adequadas às circunstâncias do ambiente operacional, para a expedição de ordens e para o controle de sua execução. É uma capacidade fundamental que provê a análise da situação corrente, a tomada de decisões a partir de uma compreensão de opções e uma comunicação das decisões e acompanhamento da execução de forma precisa e confiável. No quesito Capacidade Fundamental Comando e Controle, as organizações ALFA e CHARLIE possuem o mesmo índice e a organização DELTA o mais baixo. A capacidade fundamental Mecanismos de defesa provê processos e tecnologia de segurança para proteger os ativos da organização contra ataques do ciberespaço tomando como base as estratégias e táticas estabelecidas pela organização. Os elementos essenciais para que essa capacidade seja atendida podem ser caracterizados pelos serviços de segurança lógica, segurança física, segurança no desenvolvimento e segurança das instalações. Assim, na Capacidade Fundamental Mecanismos de Defesa, foram observados que a organização CHARLIE se aproximou do Grau de Desempenho Máximo, seguida da organização BRAVO e a DELTA ficou com o índice mais baixo. A defesa cibernética requer o monitoramento e acompanhamento constante da eficácia dos mecanismos de defesa. Essa capacidade analisa e trata os incidentes ocorridos, a capacidade e possíveis intenções dos atacantes, bem como identifica e analisa as vulnerabilidades correntes através de testes de invasão e auditorias.

101

Nesse sentido, quanto à Capacidade Fundamental Supervisão da Defesa, a organização ALFA obteve o melhor índice e a BRAVO o mais baixo.

102

6. CONCLUSÕES A guerra cibernética é uma realidade vivenciada no atual cotidiano das organizações mundiais. A diversidade de ataques por parte de indivíduos, grupos ou instituições por variadas motivações repercutem com muito maior impacto no ciberespaço em função da atual dependência tecnológica por parte da sociedade da informação e da crescente complexidade de seus sistemas. O Estado também é alvo de ataques cibernéticos e suas infra-estruturas críticas constituem um alvo compensador para os atacantes oriundos de forças regulares ou irregulares. Nesse contexto a defesa cibernética pode ser implementada na forma top-down para dar direcionamento e amparo às iniciativas das instituições envolvidas. Vários países vêm investindo em pesquisa e desenvolvimento na área de defesa cibernética com intuito de ao menos diminuir o impacto dos ataques na organização. Assim, uma defesa cibernética efetiva requer uma vigilância contínua das vulnerabilidades e ameaças que podem ser originadas de mudanças nos processos, pessoal, tecnologia e no ambiente social e de negócios onde a organização está inserida. Sendo assim é necessário que as capacidades que compõem a defesa cibernética não sejam apenas concebidas para atender o cenário corrente de ameaças, mas também que elas estejam sendo continuamente aprimoradas de modo que possam enfrentar novas ameaças ou as evoluções das ameaças existentes. De modo a atender a demanda de aprimoramento contínuo das capacidades de defesa, o trabalho apresentou um Modelo de Maturidade de Capacidades de Defesa Cibernética. A utilização do modelo em uma organização pode identificar o nível de desempenho corrente do sistema de defesa, identificar o nível de desempenho desejável frente aos riscos envolvidos e ainda, possibilita a definição de um plano para aprimoramento das capacidades correntes para se alcançar o nível de desempenho desejável. No estudo de caso realizado no trabalho pode-se realizar a análise e avaliação global das capacidades de negócio indicando que em relação ao

103

modelo proposto as organizações encontram-se em uma condição específica conforme o nível de desempenho em relação ao modelo. O modelo proposto independe de tecnologias ou de metodologias específicas e pode ser utilizado por qualquer organização que possua ativos a serem protegidos de ameaças do ciberespaço. Essa proposta descreve uma estratégia de emprego das melhores práticas estabelecidas em padrões internacionais, entretanto, ainda está em processo de aperfeiçoamento e, portanto, não esgota o assunto. Os resultados a serem obtidos deverão ser publicados para uma futura avaliação pela comunidade científica. O modelo proposto foi construído pelo autor do trabalho utilizando como base o material referenciado. Assim sendo, o Estado brasileiro não pode prescindir de desenvolver sua defesa cibernética integrando instituições e organizações otimizando o trâmite de informações e

artefatos resultando na produção de um conhecimento mais consistente.

6.1 Trabalhos Futuros Tendo em vista as variadas questões suscitadas na presente proposta de modelo apresentado no trabalho e da natureza do assunto que apresenta um elevado nível de atualização no tempo, não foi possível uma abordagem mais aprofundada do tema. Sendo assim, seguem alguns assuntos que poderão tornar-se alvos de futuros trabalhos: • epistemologia da defesa cibernética (de forma que a mesma possa ser adequada a todo o escopo da Administração Pública Federal); • proposta de taxonomia (podendo evoluir futuramente para uma ontologia) da guerra cibernética baseado em capacidades com o objetivo de delimitar o escopo para estudo mais aprofundado do tema. A base para pesquisa pode se constituir dos manuais de operações existentes de forma a ter como alicerce uma doutrina já consolidada;

104

• o emprego eficiente da defesa cibernética por meio da integração com outros vetores da guerra da informação; • amparos legais pertinentes e necessários no emprego de um sistema de defesa cibernética baseado em capacidades; • a interação do sistema de defesa cibernética com demais instituições brasileiras que se constituam como alvos compensadores da guerra cibernética; e • construção de um sistema de defesa cibernética no contexto da guerra da informação.

105

REFERÊNCIAS 1. GIBSON, WILLIAM. Neuromancer. A Seminal Work in the Cyberpunk. New York : Ace Books, 1984.

2. ROBERTS, L. A History of Personal Workstations. [ed.] A. Goldberg. 1988.

3. INSTITUTO TAMIS. Populariazação da internet. Introdução ao uso de correio eletrônico e web. Rede Nacional de Pesquisa RNP. Outubro de 1997. Disponível em http://www.rnp.br/ _arquivo/documentos/ref0186.pdf. Acesso em 28 Nov 2010.

4. PORTAL TERRA TECNOLOGIA. Tecnologia e Internet. Em 10 anos, Internet cresceu em diversas áreas. outubro de 2010. Disponível em http://tecnologia.terra.com.br /internet10anos/interna/0,,OI546299-EI5026,00.html. Acesso em 1 Nov 2010.

5. SCHWARTAU, WWN. Information Warfare: Cyberterrorism. Protecting your Personal Security in the Electronic Age 2nd. Nova York : s.n., 1996.

6. DUTRA, ANDRE MELLO CARVALHÃES. Introdução à Guerra Cibernética: a necessidade de um despertar Brasileiro. Simpósio de Aplicações Operacionais em Áreas de Defesa. São José dos Campos-SP, s.n., Setembro 2008.

7. SAYDJARI, O. SAMI. Cyber Defense:Art to Science. Communications Of The ACM. Vol 47, No 3, pp. 53-57. Março 2004, pp. 53-57.

8. NOTICIAIS BR. Pentágono admite ter sofrido ataque cibernético em março desse ano. NOTICIAIS BR, 16 Jul 2010. Diponível em http://www.noticiasbr.com.br/pentagono-admiteter-sofrido-ataque-cibernetico-em-marco-desse-ano-9245.html. Acesso em 13 Ago 2010.

9. ESTADÃO, JORNAL. Coreia do Sul é alvo de novo ataque cibernético. ESTADAO.COM.BR/INTERNACIONAL, 09 Jul 2009. Disponível em http://www.estadao

106

.com.br/noticias/internacional,coreia-do-sul-e-alvo-de-novo-ataque-cibernetico,400210,0.htm. Acesso em 21 Set 2010. 10. FOLHA DE SÃO PAULO. TCU vê problemas de segurança de informação em 65% dos órgãos públicos. Folha.com, 12 Jul 2010. Disponível em http://www1.folha.uol.com.br/ poder/795761-tcu-ve-problemas-de-seguranca-de-informacao-em-65-dos-orgaospublicos.htm Acesso em 01 Out 2010.

11. MINISTÉRIO DA DEFESA. Estratégia Nacional de Defesa. Brasília-DF, 28 Dez 2008. Disponível em http://www.defesa.gov.br/projetosweb/estrategia. Acesso em 14 Fev 2010.

12. SANTOS, CORIOLANO AURELIO ALMEIDA CAMARGO. ATUAL CENÁRIO DOS CRIMES CIBERNÉTICOS NO BRASIL, 2008. Disponivel em http://www2.oabsp .org.br/asp/comissoes/sociedade_informacao/artigos/crimes_ciberneticos.pdf. Acesso em 28 Ago 2010.

13. SILVA, EDNA LÚCIA DA SILVA. Menezes, Estera Muszkat. Metodologia da pesquisa e elaboração de dissertação. 3ª Edição revisada e atualizada. Laboratório de Ensino a Distância da

UFSC.

Florianópolis,

2001.

Disponível

em

http://projetos.inf.ufsc.br/arquivos/

Metodologia%20da%20Pesquisa%203a%20edicao.pdf . Acesso em 02 Nov 2010.

14. GIL, ANTONIO CARLOS. Como elaborar projetos de Pesquisa. 4ª Edição. São Paulo, Editora Atlas, 2002.

15. GRÓTIUS, HUGO. O Direito da Guerra e da Paz. Tradução Ciro Mioranza. Florianópolis, Editora Unijui-Fondazione Cassamarca. 2004. 2 vs.

16. CLAUSEWITZ, CAR VON. Da Guerra. 1972. Vol. p. 51.

17. MINISTÉRIO DA DEFESA. Glossário das Forças Armadas MD35-G-01. Brasília-DF, 22 Fev 2007. 4ª Edição. Disponível em http://www.esao.ensino.eb.br/ paginas/cursos/ cav/ downloads /MD35_G_01.pdf . Acesso em 23 Mar 2010.

107

18. WIERNER, NORBET. Cybernetics: or the control and communication in the animal and the machine. s.l. : Massachusetts Institute of Technology, 1948.

19. DUGGAN, RAYMOND C. PARKS. David, P. Workshop on Information Assurance and Security. Principles of Cyber-warfare. Junho 5, 2001.

20. RÁDIO HAVANA CUBA. Pentágono ativa comando especial de segurança cibernética. 2010. Disponível em

http://www.radiohc.cu /portugues/a_noticiasdelmundo /10/junio/7/

mundo5.htm. Acesso em 17 Out 2010.

21. MINISTÉRIO DA DEFESA. Doutrina Militar de Defesa MD51-M-04. Brasília-DF, 1 Fev 2007. 4ª Edição. s.n.,Vol. I. Disponível em http://www.arqanalagoa .ufscar.br/pdf/ doutrina_militar_de_defesa.pdf . Acesso em 12 Mar 2010.

22. STIENNON, RICHARD. Cyber Defense Defined in Weekly Newsletter. IT-Harvest, 20 Jul 2009. Disponível em http://www.threatchaos.com/cyber-defense/1-latest/532-cdw july 202009 . Acesso em 20 Jan 2010.

23. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Código de Prática para a Gestão da Segurança da Informação. ABNT NBR ISO/IEC 27002:2005. Segunda edição. 31 Ago 2005.

24. IT GOVERNANCE INSTITUTE. IT Governance. IT Governance Community. Disponível em http://www.itgi.org/template_ITGIa166.html?Section=About_IT_Governan ce1&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=19657 . Acesso em 10 Set 2011.

25. FERNANDES, AGUINALDO. Implantando a Governança de TI: Da estratégia à gestão dos processos e serviços. Segunda Edição. Rio de Janeiro. Editora Brasport, 2008.

26. IEEE. TRATAMENTO E GERENCIAMENTO DE PROCESSOS DE ENGENHARIA DE SISTEMAS. IEEE STD 1220-2005 . 1999.

108

27. HONEYPOTS. Tracking Hackers. Lance Spitzner. Disponível em

http://www.

awprofessional.com/title/0321108957 . Acesso em 23 Abr 2011.

28. SILVA, SYLVIO ANDRE DIOGO. YANO, EDGAR TOSHIRO. Modelagem de Capacidades e Maturidade para Defesa Cibernética. Seminário de Aplicações Operacionais em Áreas de Defesa. São José dos Campos-SP, Set 2010. pp. 01-06. Disponível em http://161.24.2.250/sige_old/XIISIGE/pdf/IV_3.pdf . Acesso em 22 Abr 2011.

29. GRESKI, LEONARD. Business Capability Modeling: Theory &. Practice. Architecture & Governance. 22 Set 2009, A-G Magazine. Disponível em http://citc2.com/wpcontent/uploads/2010/04/Airchitecture-Governance-Vol-5-Issue-7.pdf . Acesso em 18 Nov 2009.

30. GRUBER, T. Ontolingua. A Mechanism to Support Portable Ontologies. 1992. Technical Report KSL 91-66, Stanford University, Knowledge Systems Laboratory. Revision.

31. GRUBER, T. Toward principles for the design of ontologies used for knowledge sharing. International Journal of Human Computer Studies, v. 43, n. 5-6, 907– 928, 1994. 32. GRUNINGER, M.; FOX, M. S. Methodology for the design and evaluation of ontologies. 1995. Disponível em: . Acesso em: 10 Jan 2012. 33. USCHOLD, M.; KING, M. Towards a Methodology for Building Ontologies. 1995. Disponível em: Acesso em: 10 Janeiro 2012. 34. RAUTEMBERG, SANDRO. GAUTHIER, FERNANDO A. O. LOTTIN, POLINE. DUARTE, CLEITON E. J. TODESCO, JOSÉ L. OntoKEM: uma ferramenta para construção e documentação de Ontologias. Universidade Federal de Santa Catarina. Disponível em http://www.uff.br/ontologia/artigos/27.pdf . Acesso em 23 Mar 2010.

35. SILVA, SYLVIO ANDRE DIOGO. YANO, EDGAR TOSHIRO. OLIVEIRA, JOSE MARIA PARENTE. Uma Ontologia de Apoio a Defesa Cibernética. XII Seminário de Aplicações Operacionais. 22 Set 2010. p. 34. Disponível em http://161.24.2.250/ sige_old

109

/XIISIGE/pdf/X_1.pdf . Acesso em 12 Mar 2011.

36. SERVIÇO FEDERAL DE PROCESSAMENTOS DE DADOS. Gestão do Conhecimento. Uma experiencia para o sucesso empresarial. Editora Universitária Champagnat, 2011.

37. DALKIR, K. Knowledge Management in Theory and Practice. New York : Elsevier Butterworth-Heinemann, 2005. 38. MINISTÉRIO DA DEFESA. Doutrina Militar de Comando e Controle. MD51-M-04. Brasília-DF, 1 Fev 2007. 2ª Edição. Disponível em http://www.arqanalagoa. ufscar.br /pdf/ doutrina_militar_de_defesa.pdf . Acesso em 13 Mai 2010.

39. OLIVEIRA, WARLEI AGNELO DE. Modelos de Maturidade. Visão Geral. Revista Mundo PM, Ano 1 Nº 06 - Dez/Jan 2006. 40. PROJECT MANAGEMENT INSTITUE, INC. Um Guia de Conhecimento em Gerencimaneto de Projetos. Quarta Edição. Pennsylvania : s.n., 2008.

41. PROJECT MANAGEMENT INSTITUTE. Organizational Project Management Maturity Model (OPM3) Knowledge Foundation. Newton Square : s.n., 2003.

42. SOFTWARE ENGINEERING INSTITUTE DA CARNEGIE MELLON - SEI-CMU. University. Página Oficial do CMMI no site do Software Engineering Institute. 2002. Disponível em http://www.sei.cmu.edu/cmmi/ . Acesso em 20 Set 2010. 43. PM Solutions. Página Oficial da PM Solutions. Disponível em www.pmsolutions.com/. Acesso em 20 Dez 2011.

44. ISACA. COBIT - Framework for IT Governance and Control. Disponível em http://www.isaca.org/Knowledge-Center/cobit Acesso em 03 Out 2010.] 45. PRADO, D. Gerenciamento de Portfólios, Programas e Projetos nas Organizações. Quarta Edição. s.l. 2006 : Editora INDG, 2009.

110

46. SOUZA, A. M. Implementando o CMMI como ferramenta para gerenciamento de projetos de software. 01 Dez 2005. Disponível em /materia.asp?co=30&rv=Vivencia. Acesso em 12 Dez 2010.

http://kplus .cosmo.com.br

111

ANEXO – Questionário Aplicado as Organizações referentes ao Modelo de Maturidade para Defesa Cibernética

a. Dados Iniciais 1. Qual a área de atuação da organização? 2. Indique um e-mail para contato:

b. Dados Principais O modelo de capacidades para Defesa Cibernética é constituído de capacidades que descreve o que uma função de negócio faz, sem descrever como essa função é executada. Uma capacidade é constituída de processos, pessoas e ativos físicos ou a combinação de dois ou três elementos. Em relação ao modelo de Defesa Cibernética as capacidades fundamentais estabelecidas são as seguintes: Governança, Comando e Controle, Mecanismos de Defesa e Supervisão da Defesa. O modelo de avaliação de maturidade visa verificar o estado atual de desenvolvimento de cada capacidade e o nível de maturidade correspondente. As capacidades fundamentais serão desdobradas e avaliadas conforme o questionário que se segue. As respostas das perguntas corresponde ao nível de desenvolvimento

da capacidade conforme os itens

abaixo: 0 - A capacidade não foi implementada no âmbito da organização. 1 – A organização reconhece a importância da capacidade para defesa cibernética. Mas a capacidade é implementada de forma ad-hoc, sem planejamento, organização e comunicação. 2 - A capacidade para defesa cibernética é planejada, implantada e controlada de acordo com o riscos envolvidos, porém, é executada de forma reativa.

112

3 – A capacidade para defesa é estabelecida, implementada e comunicada no âmbito da organização. E ainda, é continuamente avaliada e aprimorada. 4 – A capacidade de defesa é estabelecida, implementada e comunicada no âmbito da organização. É continuamente avaliada, aprimorada e compreendida de forma quantitativa. 5 – A capacidade de defesa é estabelecida, implementada e comunicada segundo metas quantitativas. Os modelos da organização são continuamente aprimorados conforme as metas quantitativas.

1. Capacidade Fundamental Governança É uma capacidade que visa garantir que o sistema irá atender as metas de negócios da organização. A governança para Defesa Cibernética tem por objetivo estabelecer e aprimorar a política, as estratégias e as táticas da organização frente às ameaças existentes no espaço cibernético. A idéia central dessa capacidade é o constante aprimoramento do pessoal, processos e tecnologia na organização, de modo que, as melhores decisões sejam sempre tomadas e a organização faça uso de estratégias e táticas previamente avaliadas e testadas. A governança possui os seguintes grupos de capacidades: Política, Gestão de Estratégias e Táticas e Gestão do Conhecimento. As questões relativas as capacidade serão identificadas da seguinte forma: 

1.1.X sobre a Política;



1.2.X sobre a Gestão de Estratégias e Táticas;



1.3.X sobre a Gestão do Conhecimento

1.1.1 Sobre a política da organização, qual a situação do documento referente à Política de Defesa Cibernética no que se refere a existência.

113

1.1.2 A política da organização foi definida nos termos das características do negócio, da organização, sua localização, ativos e da tecnologia utilizada.

1.1.3 A política, aprovada pela direção da organização, inclui uma estrutura para definir objetivos e o estabelecimento de um direcionamento global e princípios para ações relacionadas com a defesa cibernética.

1.1.4 A política de defesa é analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrem, para assegurar a sua contínua pertinência, adequação e eficácia.

As Estratégias de Defesa tem por finalidade orientar a aplicação de recursos, métodos e procedimentos utilizados para a defesa cibernética na missão da organização quanto às ameaças do ciberespaço. Uma estratégia estabelece um plano de defesa para um determinado cenário de ataque tomando como base a política da organização. Dado a necessidade de rapidez de resposta contra os ataques é fundamental que a organização tenha previamente elaborada e testada estratégias para os principais cenários de ataque e a definição dos riscos relacionados aos ativos organizacionais. As Táticas de Defesa são os procedimentos e métodos empregados nas diferentes capacidades da defesa cibernética e que devem estar alinhados com a política e as estratégias da organização. As táticas são como ferramentas que precisam ser constantemente avaliadas e testadas quanto a sua eficácia em diferentes cenários de ataque. As táticas vislumbram os processos utilizados para atenderem com eficácia e eficiência as capacidades estabelecidas para a organização.

114

1.2.1 A organização utiliza uma metodologia de análise/avaliação de riscos que seja adequada ao Sistema de defesa e aos requisitos legais, regulamentares e de segurança da informação, identificados para o negócio.

1.2.2 A organização desenvolve critérios para a aceitação de riscos e a identificação de níveis aceitáveis de risco.

1.2.3 A organização realiza a gestão de ativos para alcançar e manter a proteção adequada dos ativos da organização.

1.2.4 A organização avalia os impactos para o negócio da organização que podem resultar de falhas de segurança, levando em consideração as conseqüências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos.

1.2.5 A organização avalia a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados.

1.2.6 A organização estabelece objetivos de controle para atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de tratamento de riscos.

1.2.7 Todas as responsabilidades pela defesa cibernética são claramente definidas.

1.2.8 A organização mantém contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações profissionais.

115

1.2.9 A organização executa procedimentos de monitoração e análise crítica e outros controles para prontamente detectar erros nos resultados de processamento.

1.2.10 A organização executa procedimentos de monitoração e análise crítica e outros controles para permitir à direção determinar se as atividades de defesa delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado.

1.2.13 A organização realiza análises críticas regulares da eficácia do sistema (incluindo o atendimento da política e dos objetivos do sistema e a análise crítica de controles), levando em consideração os resultados de auditorias, incidentes de defesa, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.

1.2.14 A organização mede a eficácia dos controles para verificar se os requisitos de defesa foram atendidos.

1.2.15 A organização possui um modelo de Gestão de estratégias e táticas no âmbito da organização.

A Gestão do Conhecimento é o processo sistemático de identificação, criação, renovação e aplicação dos conhecimentos que são estratégicos na vida de uma organização. É a administração dos ativos de conhecimento da organização permitindo à organização saber o que ela sabe. No modelo proposto a Gestão do Conhecimento tem um papel fundamental uma vez que visa a documentar todo conhecimento a despeito de Defesa Cibernética de modo a proporcionar vantagem competitiva.

116

1.3.1 A organização possui um Programa de Gestão do Conhecimento no domínio da defesa cibernética com a finalidade de gerar conhecimento organizacional e reagir a mudanças.

1.3.2 Para sistematizar o conteúdo de conhecimento a organização possui infra-estrutura de informação e comunicação.

1.3.3 A organização possui mecanismos para possibilitar o acesso ao conhecimento por parte de seus indivíduos e dos times de conhecimento.

TIMES DE CONHECIMENTO. 1.3.4 A organização possui infra-estrutura tecnológica para apoiar o processo de aprendizado organizacional.

1.3.5 A organização possui mecanismos para estimular e identificar a criação do conhecimento por parte dos seus indivíduos.

1.3.6 A organização possui uma comunidade prática para apoiar a transferência do conhecimento e geração do conhecimento coletivo dos times de conhecimento e dos indivíduos da organização.

1.3.7 A organização possui mecanismos para que o aprendizado adquirido, codificado e comunicado leve a correção de erros e a solução de problemas.

117

1.3.8 O programa de gestão do conhecimento organizacional está alinhado com os objetivos estratégicos da organização.

1.3.9 A organização possui mecanismos ou programas que permitem a operacionalização do conhecimento desde a criação ou captura até a disseminação do conhecimento.

2. Capacidade Fundamental Comando e Controle O Comando e Controle é uma atividade fundamental para o êxito das operações em todos os escalões de comando. É uma atividade especializada e sua execução se baseia em uma concepção sistêmica, com métodos, procedimentos, características e vocabulário que lhe são peculiares. No modelo proposto a capacidade vincula e permeia todas as atividades operacionais e a governança, sincronizando-as e permitindo ao comandante adquirir e manter o indispensável nível de consciência situacional para a tomada de decisões adequadas às circunstâncias do ambiente operacional, para a expedição de ordens e para o controle de sua execução. É uma capacidade fundamental que provê a análise da situação corrente, a tomada de decisões a partir de uma compreensão de opções e uma comunicação das decisões e acompanhamento da execução de forma precisa e confiável. As questões relativas a capacidade serão identificadas da seguinte forma: 

2.1.X sobre o Comando;



2.2.X sobre o Controle; e



2.3.X sobre o Sistema de Comando e Controle.

2.1.1 O exercício da autoridade e direção dos setores relacionados à Defesa Cibernética é realizado por um comandante ou diretor devidamente designado para realização da missão.

118

2.1.2 A organização possui mecanismos de percepção situacional que envolve a monitorização, a detecção

de evidências e o reconhecimento básico de situações, que

corresponde à consciência de múltiplos elementos (objetos, eventos, pessoas, sistemas, fatores ambientais) e seus estados presentes (localizações, condições, modos, ações).

2.1.3 A Organização possui mecanismos para compreender os dados e o reconhecimento de padrões, a interpretação e a avaliação dos dados coletados na fase de percepção tendo como resultado um entendimento do significado global dos elementos percebidos e como se ajustam todos em uma peça global, que tipo de situação ocorre, que significa em termos de objetivos da missão.

2.1.4 A Organização possui mecanismos para possibilitar a projeção que envolve a antecipação e a simulação, ou seja, uma consciência de como se ajusta a missão às expectativas averiguando quais são os eventos e estados possíveis/prováveis. Este é o nível mais alto de consciência situacional.

2.1.5 A organização possui mecanismos para permitir aos Comandantes ou chefes em seus escalões emitirem ordens com presteza, confiabilidade e segurança nos assuntos relacionados a defesa cibernética.

2.1.6 A organização possui um modelo de Comando e Controle básico para ser utilizado no âmbito da organização e nos diversos escalões de comando nos assuntos referentes a Defesa Cibernética.

119

2.2.1 A organização possui mecanismos para permitir aos subordinados informarem aos seus comandantes sobre o andamento de suas atividades com presteza, confiabilidade e segurança.

2.2.2 A organização possui doutrina ou procedimentos para o estabelecimento de um sistema de comando e controle nos escalões subordinados.

2.3.1 A organização possui um sistema de Comando e Controle que possibilita a emissão de ordens e o acompanhamento das operações de defesa no âmbito da organização em tempo real.

2.3.2 A organização possui um sistema de coleta de informações relevantes para proporcionar ao Comandante o acompanhamento das ações em tempo real.

2.3.3 A organização possui mecanismos de gestão das informações a fim de permitir ao Comandante o conhecimento de informações relevantes.

2.3.4 A organização possui uma doutrina ou padronização de utilização e processamento do sistema de Comando e Controle.

2.3.5 A organização possui equipamentos ou instalações dedicadas ao sistema de Comando e Controle.

3. Capacidade Fundamental Mecanismos de Defesa A capacidade fundamental provê processos e tecnologia de segurança para proteger os ativos da organização contra ataques do ciberespaço tomando como base as estratégias e

120

táticas estabelecidas pela organização. Os elementos essenciais para que essa capacidade seja atendida podem ser caracterizados pelos serviços de segurança lógica, segurança física, segurança no desenvolvimento e segurança das instalações. As questões relativas as capacidade serão identificadas da seguinte forma: 

3.1.X sobre os Serviços de Segurança;



3.2.X sobre a Segurança de Pessoal;



3.3.X sobre a Segurança Física; e



3.4.X sobre Desv, Op e Mnt Segura.

3.1.1 A organização possui mecanismos para garantir a segurança no controle de acesso de modo a assegurar acesso de usuário autorizado e a prevenção de acesso não autorizado aos sistemas de TI em uso no âmbito da organização.

3.1.2 A organização possui mecanismos para garantir a identificação de usuários de modo que cada um tenha um único ID para uso pessoal e exclusivo.

3.1.3 A organização possui mecanismos para realizar a autenticação dos usuários validando a identidade alegada por um usuário.

3.1.4 A organização possui mecanismos para garantir a disponibilidade, ou seja, para que a informação esteja acessível e utilizável sob demanda por uma entidade autorizada.

3.1.5 A organização possui mecanismos para garantir a integridade - propriedade de salvaguarda da exatidão e completeza de ativos.

121

3.1.6 A organização possui mecanismos para garantir a confidencialidade - propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados

3.1.7 Os serviços de segurança são implantados com vistas a atender os riscos previamente identificados na gestão de riscos

3.1.8 Existem serviços de segurança implantados com vistas a atender a gestão demanda identificada pela gestão de conhecimento.

3.2.1 A organização preveni o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.

3.2.2 A organização utiliza perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e recursos de processamento da informação.

3.2.3 As áreas seguras são protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.

3.2.4 A organização projetou segurança física para escritórios, salas e instalações.

3.2.5 A organização aplica a proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem.

122

3.2.6 Os pontos de acesso da organização, tais como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalações, são controlados e, se possível, isolados dos recursos de processamento da informação, para evitar o acesso não autorizado.

3.2.7 A organização possui mecanismos para impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da organização.

3.2.8 Os equipamentos são colocados em local adequado ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado.

3.2.9 Os equipamentos são protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades.

3.2.10 O cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações são protegidos contra interceptação ou danos.

3.2.11 Os equipamentos são manutenidos corretamente, para assegurar sua disponibilidade e integridade permanente.

3.2.12 A organização realiza medidas de segurança para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.

123

3.2.13 Todos os equipamentos que contenham mídias de armazenamento de dados são examinados antes do descarte, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança.

3.2.14 Os equipamentos, informações ou software não são retirados do local sem autorização prévia.

3.3.1 A organização possui mecanismos ou procedimentos para realizar a classificação do pessoal por intermédio de credenciais de acesso.

3.3.2 A organização possui mecanismos para realizar a triagem do acesso de pessoas aos diversos locais de trabalho 3.3.3 A organização possui mecanismos para realizar atividades relacionadas a término de contratação ou da prestação de serviços dos indivíduos da organização.

3.3.4 A organização possui mecanismos para assegurar que todos os funcionários, fornecedores ou terceiros possam seguir procedimentos padronizados reduzindo o risco de ameaças para o sistema de defesa cibernética.

3.4.1 A organização toma providências para garantir que segurança é seja parte integrante de sistemas de informação

3.4.2 A organização preveni a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações.

124

3.4.3 A organização protege a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos.

3.4.4 A organização possui mecanismos para garantir a segurança de arquivos de sistema.

3.4.5 A organização mantém a segurança de sistemas aplicativos e da informação.

3.4.6 A organização reduz os riscos resultantes da exploração de vulnerabilidades técnicas conhecidas por intermédio do desenvolvimento de sistemas de forma segura.

3.4.7 A organização possui mecanismos para que os riscos que são identificados nos sistemas utilizados pela organização sejam endereçados para o desenvolvimento de sistemas.

3.4.8 A organização possui mecanismos para verificar a segurança de componentes e serviços de terceiros.

3.4.9 A organização possui mecanismos para validação de segurança e serviços de terceiros.

4. Capacidade Fundamental Supervisão da Defesa A defesa cibernética requer o monitoramento e acompanhamento constante da eficácia dos mecanismos de defesa. Essa capacidade analisa e trata os incidentes ocorridos, a capacidade e possíveis intenções dos atacantes, bem como identifica e analisa as vulnerabilidades correntes através de testes de invasão e auditorias. As questões relativas as capacidade serão identificadas da seguinte forma:

125



4.1.X sobre o Monitoramento e Controle;



4.2.X sobre o Gestão de Incidentes;



4.3.X sobre o Testes de Invasão; e



4.4.X sobre Auditorias.

4.1.1 A organização possui mecanismos de para realizar a monitoração e análise crítica para prontamente detectar erros nos mecanismos de defesa.

4.1.2 A organização executa procedimentos de monitoração e análise crítica e outros controles para permitir à direção determinar se as atividades executadas pelos mecanismos de defesa são executadas conforme esperado.

4.1.3 A organização realiza análises críticas regulares da eficácia dos mecanismos de defesa, levando em consideração os resultados de auditorias, incidentes de defesa, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.

4.1.4 A organização mede a eficácia dos mecanismos de defesa para verificar se os requisitos de defesa foram atendidos.

4.2.1

A organização possui mecanismos para assegurar que fragilidades e eventos de

segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.

126

4.2.2 Os funcionários, fornecedores e terceiros de sistemas e serviços de informação são instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em sistemas ou serviços.

4.2.3 A organização possui mecanismos para assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes de segurança da informação.

4.2.4 As responsabilidades e procedimentos de gestão devem são estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de defesa.

4.2.5 A organização possui mecanismos para para permitir que tipos, quantidades e custos dos incidentes de segurança da informação sejam quantificados e monitorados.

4.2.6 A organização possui mecanismos para realizar a coleta de evidências por ocasião de incidentes de defesa.

4.3.1 A organização realiza o planejamento de Testes de Invasão para verificar o funcionamento adequado dos mecanismos de defesa implementados conforme a gestão de estratégias e táticas da organização e em tempo planejado

4.3.2 A organização possui mecanismos para especificar os papéis e responsabilidades para cada grupo de atividades envolvido na etapa de "Planejamento dos Testes".

127

4.3.3 A organização realiza o mapeamento dos "artefatos de entrada" exigidos como premissa para que cada macro-atividade possa ser realizada, a fim de verificar a eficiência do sistema de defesa.

4.3.4 A organização realiza a identificação de cenários diversos para realização dos testes, bem como, os requisitos especificados na gestão de estratégias e táticas da organização.

4.3.5 A organização possui mecanismos para análise dos testes de invasão que permitem que os mecanismos que estão sendo ineficazes sejam corrigidos ou que gerem novos requisitos para o sistema de defesa.

4.4.1 A organização conduz auditorias internas do sistema de defesa a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do sistema atendem aos requisitos estabelecidos pela organização (verificação).

4.4.2 A organização conduz auditorias internas para validar o sistema de defesa a intervalos planejados determinando se o sistema atende aos requisitos estabelecidos pela organização (validação).

4.4.3 A organização conduz auditorias internas do sistema de defesa a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do sistema estão mantidos e implementados eficazmente.

128

4.4.4 A organização conduz auditorias internas do sistema de defesa a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do sistema são executados conforme esperado.

4.4.5 A organização realiza a seleção dos auditores e a execução das auditorias assegurando a objetividade e imparcialidade do processo de auditoria.

4.4.6 A organização prevê as responsabilidades e os requisitos para planejamento e execução de auditorias definidos em um procedimento documentado.

129

GLOSSÁRIO

 Ativo: qualquer coisa que tenha valor para uma organização.  Ameaça: qualquer circunstância ou evento que forneça algum potencial de violação de segurança.  Ataque: concretização da ameaça. Ação tomada por um intruso malicioso que envolve a exploração de certas vulnerabilidades, visando violações de segurança.  Análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco [ABNT ISO/IEC Guia 73:2005]  Análise/avaliação de riscos: processo completo de análise e avaliação de riscos. [ABNT ISO/IEC Guia 73:2005]  Avaliação de riscos: processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. [ABNT ISO/IEC Guia 73:2005]  Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.  Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.  Evento de segurança da informação: uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.  Gestão de riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.

130

 Informação: é o resultado do processamento, manipulação e organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a recebe. A Informação enquanto conceito, carrega uma diversidade de significados, do uso cotidiano ao técnico. Genericamente, o conceito de informação está intimamente ligado às noções de restrição, comunicação, controle, dados, forma, instrução, conhecimento, significado, estímulo, padrão, percepção e representação de conhecimento.  Integridade: propriedade de salvaguarda da exatidão e completeza de ativos.  Incidente de segurança da informação: um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.  Segurança

da

Informação:

preservação

da

confidencialidade,

integridade

e

disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.  Risco: medida do custo de uma vulnerabilidade que incorpora a probabilidade de uma violação ocorrer.  Risco residual: risco remanescente após o tratamento de riscos.  Sistema de gestão da segurança da informação (SGSI): parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. O sistema de gestão

inclui

estrutura

organizacional,

políticas,

atividades

responsabilidades, práticas, procedimentos, processos e recursos.

de

planejamento,

131

FOLHA DE REGISTRO DO DOCUMENTO 1.

CLASSIFICAÇÃO/TIPO

2.

DM 5.

DATA

20 de dezembro de 2011

3.

REGISTRO N°

4.

DCTA/ITA/DM-071/2011

N° DE PÁGINAS

130

TÍTULO E SUBTÍTULO:

Modelagem de capacidades e maturidade para defesa cibernética 6.

AUTOR(ES):

Sylvio Andre Diogo Silva

INSTITUIÇÃO(ÕES)/ÓRGÃO(S) INTERNO(S)/DIVISÃO(ÕES):

7.

Instituto Tecnológico de Aeronáutica - ITA 8.

PALAVRAS-CHAVE SUGERIDAS PELO AUTOR:

Defesa cibernética, capacidade e maturidade 9.PALAVRAS-CHAVE RESULTANTES DE INDEXAÇÃO:

Administração de desenvolvimento de software; Modelo de capacidade e maturidade; Segurança de dados; Mecanismos de defesa; Comando e controle; Cibernética; Defesa; Engenharia de software. 10. APRESENTAÇÃO: X Nacional Internacional ITA, São José dos Campos. Curso de Mestrado. Programa de Pós-Graduação em Engenharia Eletrônica e Computação. Área de Informática. Orientador: Prof Dr Edgar Toshiro Yano. Defesa em 13/12/2011. Publicada em 2011. 11.

RESUMO:

Uma implantação eficaz de defesa cibernética requer o desenvolvimento de esforços coordenados nas seguintes capacidades-chave: detecção de ataques, mecanismos de defesa, monitoramento de situação, comando e controle, aprimoramento de estratégias e táticas e desenvolvimento seguro de sistemas. A dissertação apresenta um modelo de capacidades para defesa cibernética. A partir das seis capacidadeschave, foi identificado um modelo com capacidades essenciais para a defesa cibernética. O modelo de capacidades desenvolvido é utilizado como base para a construção de um modelo de maturidade para defesa cibernética. O modelo de maturidade é essencial para apoiar um planejamento estratégico de ações de defesa cibernética, pois permite a identificação do estado corrente de uma organização quanto à defesa cibernética e orientação para a definição de ações a serem tomadas para melhoria desse estado corrente. Nesta dissertação apresentamos a motivação e conceituação para um modelo de capacidades para defesa cibernética. A partir do modelo de capacidades é elaborado um modelo de maturidade.

12.

GRAU DE SIGILO:

(X ) OSTENSIVO

( ) RESERVADO

( ) CONFIDENCIAL

( ) SECRETO