Documente Academic
Documente Profesional
Documente Cultură
AGRADECIMENTOS
RESUMO
ABSTRACT
GLOSSRIO
SUMRIO
1 Introduo.................................................................................................................9
1.1 Histrico............................................................................................................................9
1.2 O Problema....................................................................................................................12
1.3 Objetivos........................................................................................................................13
1.3.1 Geral............................................................................................................................................13
1.3.2 Especficos..................................................................................................................................13
2 Tratamento de Incidentes......................................................................................16
2.1 Tratamento de Incidentes...............................................................................................16
2.1.1 Modelo do CERT/CC...................................................................................................................16
2.1.2 Modelo MANDIA..........................................................................................................................23
8
4.3.3 Anlise.........................................................................................................................................54
4.3.4 Resposta.....................................................................................................................................55
5 Proposta de Soluo.............................................................................................57
5.1 Modelo de Qualidade Proposto.....................................................................................57
5.1.1 Deteco.....................................................................................................................................58
5.1.2 Triagem.......................................................................................................................................60
5.1.3 Anlise.........................................................................................................................................61
5.1.4 Resposta.....................................................................................................................................61
6 Anlise da Proposta...............................................................................................68
7 Concluso e Trabalhos Futuros...........................................................................72
8 Referncias.............................................................................................................75
ANEXO
Representaes Utilizadas pela Ferramenta BizAgi.............................................77
1 INTRODUO
1.1 Histrico
A rede mundial de computadores, aliada ao fenmeno da convergncia, revolucionou a tal
ponto a nossa sociedade que hoje considera-se a Internet como uma extenso da sociedade em
formato digital. claro que na Internet existem os problemas que temos na sociedade
convencional, ou seja, as contravenes e crimes comuns, agora na sua forma digital.
At a noo de territrio que sempre foi muito clara est superada. Hoje em dia,
profissionais do Direito em todo o mundo encontram dificuldades ao lidar com as questes
territoriais globais. Como equacionar um problema de direito autoral, onde o elemento pirata
francs, mas encontra-se hospedado em um pas onde a pirataria no crime e realiza aes
criminosas no Brasil? Alm de diminuir as distncias e permitir o transporte de informaes de
uma maneira quase instantnea, o ciberespao proporciona uma reconfigurao da noo de
espao geogrfico, em cima de um novo espao, no geogrfico, que supera as fronteiras do
mundo fsico. RECUERO (2000).
Para fazer face a este tipo de problema, em 1988, foi criado, nos Estados Unidos da
Amrica - EUA, o primeiro rgo com objetivo de fazer frente a incidentes de segurana. Este
rgo foi denominado Computer Emergency Response Team Coordination Center CERTCC (http://www.cert.org). O CERT-CC que, at hoje, mantido pela Carnegie Mellon
University e foi concebido para fazer frente ao incidente conhecido como Morris Worm que
afetou aproximadamente 10% das mquinas conectadas ARPANET. Em 2003, o
Department of Homeland Security em parceria com o CERT-CC, iniciou as operaes do USCERT, para ser um ponto focal no pas para notificaes de incidentes de segurana. A sua
10
criao veio da necessidade dos EUA de possuir um grupo nacional de resposta a incidentes
de segurana em redes de computadores, a exemplo dos grupos de resposta a incidentes de
segurana em redes de computadores nacionais que existiam em outros pases.
Na Europa, os primeiros grupos de resposta a incidentes de segurana formaram-se a
partir de 1992, principalmente nas redes acadmicas, e em 1993 ocorreu o primeiro encontro
de Grupos de Resposta a Incidentes de Segurana Europeu. Em 1997 iniciou-se o projeto do
EuroCERT, um centro europeu para coordenao dos grupos de resposta a incidentes de
segurana. Este projeto terminou em 1999 e o fracasso foi atribudo a dois fatores:
Atualmente o European Network & Information Security Agency ENISA, criado pelo
Regulation (EC) n 460/2004, o rgo responsvel pelo assunto na Europa
(http://www.enisa.europa.eu).
No Brasil, em 1996 tiveram incio as discusses do problema de tratamento de incidente,
fomentadas pelo Grupo de Trabalho em Engenharia de Redes GT-ER do Comit Gestor da
Internet no Brasil CGI (http://www.cgi.br/). J em 1997, foram criados o NIC BR Security
Office NBSO, hoje Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana CERT.br, mantido pelo CGI e o Centro de Atendimento a Incidentes de Segurana da Rede
Nacional de Pesquisa CAIS/RNP, mantido pela RNP (http://www.rnp.br/cais/).
A Administrao Pblica Federal APF faz parte desta nova realidade. Seus rgos e
entidades, conseqncia do crescente emprego dos meios de armazenamento, processamento
e comunicao digitais de dados passaram a ter vulnerabilidades inerentes sociedade digital.
Se estas vulnerabilidades no forem controladas, um dos pilares da Segurana da Informao e
Comunicaes SIC, a saber: (i) Disponibilidade, (ii) Integridade, (iii) Confidencialidade e (iv)
Autenticidade - DICA pode ser quebrado, comprometendo a misso institucional da APF.
11
A APF heterognea e complexa, em conseqncia h que se ter meios rpidos e
eficientes para fazer frente a incidentes de segurana, sob pena de no se conseguir limitar o
dano e tornar o custo de recuperao muito elevado.
O Decreto n 3505, de 13 de junho de 2000, estabelece a Poltica de Segurana da
Informao, com diretrizes globais de amplitude e alcance estratgicos. H que se lembrar que
a SIC ultrapassa as dimenses tcnicas e envolve pessoas e processos, alm das questes
organizacionais e legais.
Atualmente, existem alguns Grupos de Resposta de Incidentes isolados dentro da APF.
No geral, as instituies da APF no contam com uma estrutura que permita um tratamento
eficiente de incidentes. Essa falta de estrutura dificulta a correlao e a soluo dos problemas
dentro da APF, como um todo.
Face s novas necessidades decorrentes da sociedade da informao, o Gabinete de
Segurana Institucional da Presidncia da Repblica GSI-PR por meio da Portaria n 12, em
27 de junho de 2003, instituiu a criao de sete grupos de trabalho para adequar os rgos da
APF nova realidade. Entre eles figurava o Grupo de Trabalho Criao de um Centro de
Emergncia de Computao. Na Portaria n 17, de 18 de maio de 2004, acolhendo proposta
do Comit Gestor de Segurana da Informao CGSI, o ministro chefe do GSI-PR, na
condio de Secretrio-Executivo do Conselho de Defesa Nacional, resolve instituir no mbito
do CGSI um grupo de trabalho com objetivo de implantar as medidas administrativas
necessrias criao de um Centro de Tratamento de Incidentes em Redes de Computadores
no mbito da APF (CTIR-Gov).
As concluses deste ltimo grupo de trabalho, em 31 de agosto de 2004, foram as
seguintes:
12
Desta forma, a criao do CTIR-Gov ocorreu de modo informal, no final do ano de 2004,
quando a Secretaria Executiva do Gabinete de Segurana Institucional remanejou pessoas e
montou uma equipe para iniciar os trabalhos. Esta organizao informal perdurou por,
aproximadamente, um ano e meio, at a criao do Departamento de Segurana da
Informao e Comunicaes DSIC, em 08 de maio de 2006, pelo Decreto n 5772, que
enquadrou uma Coordenao-Geral de Tratamento de Incidentes de Rede.
Mais tarde, a Portaria n 13, de 04 de agosto de 2006, d competncia CoordenaoGeral de Tratamento de Incidentes de Rede e denomina o Centro de Tratamento de Incidentes
de Segurana de Redes de Computadores da APF de CTIR Gov.
1.2 O Problema
Durante a existncia do CTIR Gov (2005-2008) est clara a dificuldade do rgo em
conseguir exercer suas funes de forma integrada. Assim como ocorreu na Europa, no Brasil
o CTIR Gov tratado, muitas vezes, como concorrente de outros grupos de tratamento de
incidentes de segurana e no como rgo facilitador, gerenciador, concentrador de incidentes
e divulgador de avisos e alertas. Alm disso, os processos do Centro no esto documentados
e sua misso e objetivos pouco assimilados, apesar de definidos. Tudo isso agravado pela
falta de legislao nacional referente ao assunto. Assim o Centro no consegue realizar suas
13
principais funes de forma eficiente, ou seja, coordenar os outros centros de tratamento de
incidentes, mantendo uma viso holstica do tratamento de incidentes na APF.
1.3 Objetivos
1.3.1 Geral
Esta pesquisa pretende mostrar que a estrutura metodolgica utilizada pelo CTIR Gov
uma adaptao dos mtodos de Tratamento de Incidentes existentes, aliada com as prticas
governamentais brasileiras. Mostrar, tambm, que esta uma estrutura vivel como grupo
coordenador de resposta de incidentes de segurana do Estado Brasileiro e que, o uso do
modelo de melhoria de qualidade baseado em processos proposto possibilitar a melhoria dos
servios do CTIR Gov de forma mais integradora entre os seus colaboradores.
1.3.2 Especficos
Diante desta situao faz-se necessrio, antes de mais nada, a documentao dos
processos utilizados na prtica cotidiana do CTIR Gov. Tal documentao servir de base
para comparaes com modelos j existentes e para verificao da viabilidade do modelo
atual.
Os processos do CTIR Gov foram modelados com a utilizao da ferramenta de uso
gratuito denominada BizAgi Process Modeler. O BizAgi utiliza Notao de Modelagem de
Processos
de
Negcio
ou
Business
Process
Modeling
(http://www.bizagi.com/eng/products/ba-modeler/modeler.html).
Notation
Esta
BPMN
notao
foi
14
Definio do modelo do CTIR Gov. Esta foi possivelmente a fase mais difcil do
trabalho, mas a que nos permitiu realizar todo o desenvolvimento do modelo
proposto. Sem o modelo de processos documentado no seria possvel estruturar as
atividades realizadas e nem definir modificaes com o intuito de melhorar os
processos existentes. Assim, por intermdio da ferramenta BizAgi os processos do
CTIR Gov foram descritos e podem ser visualizados de forma grfica.
15
1.5 Justificativa
Aps a anlise dos modelos de processo j consagrados do CERT-CC e MANDIA e
tendo o modelo do CTIR Gov documentado com seus processos mapeados, pode-se
disponibilizar este conhecimento em intranet (alguma coisa em internet) colaborativa com
documentao em html ou com documentao textual. Desta forma todos os colaboradores
podem se beneficiar deste conhecimento de forma compartilhada e colaborativa, sendo
possvel a melhoria dos modelos de processos do Centro, na sua prpria execuo e
documentao.
2 TRATAMENTO DE INCIDENTES
17
equipe com objetivos de prevenir, tratar e responder incidentes computacionais de segurana.
Estas equipes podem ser classificadas em trs nveis:
Realizar alertas;
Tratar incidentes;
Tratar vulnerabilidades;
Tratar artefatos.
Notificaes;
Vistorias tcnicas;
18
Anlise de risco;
Consultoria de segurana;
Educao/Treinamento;
19
Preparar/Manter/Melhorar;
Proteger Infra-estrutura;
Detectar Eventos;
Triar Eventos; e
20
Responder.
processo de responder indicam resultados que serviro para os processos preparar (conduzir
uma reviso post mortem) e proteger (conduzir aes e decises tomadas).
21
preparao realizada avaliao da capacidade de tratamento de incidentes, reviso post
mortem de incidentes, vulnerabilidades e aes de resposta. Melhorias nos processos CSIRT
so encaminhadas para sub-processos de planejamento e de projeto.
O processo de proteger a infra-estrutura est relacionado s mudanas na infraestrutura computacional para prevenir ataques ou responder a atividades maliciosas. As
melhorias podem ser fundamentadas por meio de anlises de artefatos, riscos conhecidos,
melhores prticas recomendadas, mitigao de riscos. So realizadas avaliaes da infraestrutura computacional, que serviro para melhorar e diminuir os riscos de segurana dessa
infra-estrutura. Caso sejam encontradas vulnerabilidades, elas so passadas para processo de
deteco. A resposta tambm interage com o processo de proteger indicando melhorias no
processo por meio de lies aprendidas.
Na deteco de eventos, o processo disparado quando informaes so recebidas
acerca de uma atividade relatada como suspeita. Eventos que precisam de investigao mais
detalhada so mandados para triagem, que so categorizados, priorizados e encaminhados
devidamente para uma resposta mais eficaz.
Finalmente a resposta envolve processos de anlise do evento, planejamento de uma
estratgia de resposta, coordenar resposta tcnica para conter, solucionar incidentes e aes
para recuperar e reparar sistemas afetados.
22
23
Conforme pode ser observado na Figura 3, um modelo de funcionamento de um CSIRT
prev, alm dos servios fundamentais para o funcionamento, aqui representados como
Servios (deteco, triagem e resposta), uma viso estratgica muito bem definida pela misso
(mission statement), polticas e procedimentos documentados e um processo de controle de
qualidade, que perpassa todos os outros componentes do fluxo.
Educar gestores;
24
O modelo do MANDIA prev que podem ser necessrios diversos recursos de diferentes
reas, pois uma resposta a incidente uma rea multidisciplinar. Na maior parte das
organizaes, uma equipe CSIRT responsvel pela resposta de qualquer incidente de
segurana. composta de forma multidisciplinar com conhecimento tcnico, legal, e outros
necessrios para solucionar um incidente. Devido necessidade de um conhecimento muito
especfico e varivel, um CSIRT pode ser constitudo dinamicamente quando uma organizao
necessita dessa capacidade.
2.1.2.1 Metodologia
Os processos de resposta a incidentes utilizados por MANDIA (2003) se fundamentam na
abordagem da caixa-preta, pois so muitos fatores que podem influenciar o trabalho realizado.
Os problemas so divididos em componentes para que se possam verificar as entradas e sadas
de cada componente.
A Figura 4 apresenta uma proposta para resposta de incidentes:
25
Nas seguintes subsees sero descritos com mais detalhes as atividades mais importantes
de cada etapa do processo.
MANDIA (2003).
26
vulnerabilidades, cpias de segurana (backups) e demais riscos. No CSIRT, a preparao
envolve a designao de uma equipe com conhecimento suficiente para tratar o incidente.
Tambm necessrio buscar documentao, hardware, software, polticas, procedimentos
operacionais e at treinamento para investigao e tratamento de incidentes.
Falha de sistemas; e
27
2.1.2.4 Resposta Inicial
Essa etapa tem por objetivo colher informaes que possibilitem desenvolver uma
estratgia de resposta. O propsito dessa etapa documentar os passos que precisam ser
realizados. Deve ser executada utilizando uma metodologia, e o trabalho sob presso no deve
resultar em um resultado que no obtido por meio metdico. Os indivduos que detectam so
aqueles que iniciam a fase de resposta inicial. Inclui-se tambm notificar ou acionar a equipe
CSIRT para que o quanto antes possa aplicar seus conhecimentos e agir rapidamente em uma
reposta inicial. So coletadas evidncias de sistemas e de redes. Como atividades dessa fase,
podemos citar:
Revisar relatrios de deteco de intrusos e logs de rede para identificar dados que
comprovem que o incidente ocorreu; e
28
logs de IDS;
logs de roteadores;
monitorao de redes;
tempo do sistema;
timestamps, datestamps;
Cpias de segurana; e
outras evidncias.
29
Revisar registro; e
2.1.2.7 Relatar
uma das fases mais difceis do processo de resposta de incidentes. O objetivo criar
relatrios que descrevem com acuidade os detalhes de um incidente, de forma que seja
compreensvel para decisores, que possam passar por uma anlise legal e que possam ser
produzidos em tempo hbil. Recomenda-se escrever as evidncias e concluses assim que
possvel. Escrever de forma clara e coesa no momento de descoberta da evidncia economiza
tempo e recursos. Finalmente, sugerido a utilizao de um formato padro para relatrios
utilizando formulrios, templates, para organizar o processo de resposta, registrar todos dados
pertinentes e economizar tempo.
2.1.2.8 Resoluo
Na resoluo o objetivo colocar em prtica medidas para prevenir um incidente de
causar maiores danos e retornar a organizao para um estado seguro e operacional.
30
Resumidamente a conteno, resoluo do problema e os passos para prevenir uma futura
ocorrncia. So recomendados nessa etapa:
Esta seo tratar do estudo do Modelo de Excelncia da Gesto, proposto pela Fundao
Nacional da Qualidade FNQ. NET DS (2005).
O Modelo de Excelncia da Gesto concebido tendo como base os fundamentos da
excelncia, sendo constitudo por oito critrios:
1. Liderana;
2. Estratgias e Planos;
3. Clientes;
4. Sociedade;
5. Informaes e Conhecimento;
6. Pessoas;
7. Processos; e
8. Resultados.
No Modelo, cada um dos critrios de excelncia desdobramento de um fundamento. Por
exemplo, o critrio 1 - Liderana a expresso da essncia do fundamento Liderana e
Constncia de Propsitos enquanto o critrio 2 - Estratgias e Planos a expresso do
fundamento Viso de Futuro. Os fundamentos Viso Sistmica, Aprendizado Organizacional,
Proatividade e Inovao referem-se ao desempenho do conjunto do Modelo e so desdobrados
em fatores de pontuao.
32
33
A liderana, de posse de todas essas informaes, estabelece os princpios da organizao
e prtica e vivencia os fundamentos da excelncia, impulsionando, com seu exemplo, a cultura
da excelncia na organizao. Os lderes, principais responsveis pela obteno de resultados
que assegurem a satisfao de todas as partes interessadas e a perpetuidade da organizao,
analisam o desempenho da mesma e executam, sempre que necessrio, as aes requeridas,
consolidando o aprendizado organizacional.
As estratgias so formuladas pelos lderes para direcionar a organizao e o seu
desempenho, e para determinar sua posio competitiva. So estabelecidas metas que
consideram as projees da demanda e o desempenho projetado dos concorrentes. As
estratgias so desdobradas em todos os nveis da organizao em planos de ao, de curto e
longo prazos. Recursos adequados so alocados para assegurar a implementao das
estratgias. As estratgias, as metas e os planos so comunicados para as pessoas da fora de
trabalho e, quando pertinente, para as demais partes interessadas. A organizao avalia
permanentemente a implementao das estratgias e monitora os respectivos planos e
responde rapidamente s mudanas nos ambientes interno e externo.
At este momento, considerando os quatro critrios apresentados, tem-se a etapa de
planejamento (P) do ciclo PDCA da organizao.
As pessoas que compem a fora de trabalho devem estar capacitadas e satisfeitas,
atuando em um ambiente propcio consolidao da cultura da excelncia, para executar e
gerenciar adequadamente os processos, criando valor para os clientes e visando a aperfeioar
o relacionamento com os fornecedores. A organizao planeja e controla os seus custos e
investimentos. Os riscos financeiros so quantificados e monitorados.
Conclui-se, neste momento, a etapa referente execuo (D) no PDCA.
Para efetivar a etapa do Controle (C), so mensurados os resultados em relao a:
situao econmico-financeira, clientes e mercado, pessoas, sociedade, processos principais do
negcio e processos de apoio, e fornecedores. Os efeitos gerados pela implementao
sinrgica das prticas de gesto e pela dinmica externa organizao podem ser comparados
s metas estabelecidas para eventuais correes de rumo ou reforos das aes
implementadas.
34
Esses resultados, em forma de informaes e conhecimento, retornam a toda a
organizao, para que esta possa executar as aes e buscar o aprendizado organizacional,
complementando o ciclo PDCA com a etapa referente ao (A). Essas informaes
representam a inteligncia da organizao, viabilizando a anlise do desempenho e a execuo
das aes necessrias, em todos os nveis. A Figura 5 enfatiza as informaes e o
conhecimento como elementos que permitem a inter-relao de todos os critrios e, portanto,
entre todos os elementos que constituem a organizao. A gesto das informaes e dos ativos
intangveis um elemento essencial jornada em busca da excelncia.
At agora foram vistos os modelos de tratamento de incidente e de qualidade. Veremos a
modelagem de processos para finalizar a fundamentao.
35
No escopo deste trabalho adotaremos a definio de processo dada por Davis (2001), por
ser esta bastante genrica e adequar-se ao trabalho realizado em um CSIRT, pois trata-se da
execuo de uma seqncia de tarefas para produzir um resultado final.
36
consumidores ou recursos diversos. Apenas negcios que podem entregar valor agregado ao
pblico interessado tm melhores chances de sobreviver. Ainda mais, eles devem entregar o
produto da melhor maneira em termos de menor custo. Automao e otimizao foram ideias
que melhoraram servios e diminuram custos aos clientes no incio do sculo XX, como por
exemplo, as linhas de produo de Henry Ford.
A modelagem de processos inclui a documentao, anlise e projeto de uma estrutura de
processos de negcios, os relacionamentos inter-modelos e os recursos necessrios para
implement-los no ambiente que sero utilizados. A modelagem tem por fim a identificao de
necessidades, sistemas de apoio, e maior entendimento da estrutura interna da organizao.
Segundo Santos (2005), as empresas sempre tendem ao caos e por isso inevitvel a
documentao e o auto-conhecimento.
Uma vez que o modelo atual do processo de negcios esteja disponvel, vrios mtodos
analticos podem ser utilizados para verificar se o processo prov o produto ou o servio de
forma adequada. Cada tarefa deve ser revisada e devem ser repensadas atividades que
consomem recursos desnecessariamente. Com o advento da Tecnologia da Informao - TI, a
reengenharia de processos ou Business Process Reengineering - BPR englobou modelagem de
processos, modelagem de dados e anlise de sistemas. Como evoluo de BPR, surgiu o
balanced scorecard - BS para melhor avaliar questes de qualidade e mtricas. Neste novo
paradigma, modelos de processos esto relacionados aos objetivos e metas. Coletam-se
mtricas e assim constri-se uma viso geral do negcio.
Outro fator importante que teve efeito na maneira em que os negcios operam foram
questes de regulamentao. Por um lado, em muitos tipos de negcios, existem
regulamentaes que exigem o cumprimento de certas regras como, por exemplo, que um
negcio deve ser capaz de demonstrar o que se est obtendo, os objetivos dos servios
prestados, avaliao de riscos e aderncia a processos regulamentados. De outro lado, a
ausncia de regulao trouxe mais complexidade nas relaes entre empresas. cada vez mais
difcil ter relaes simples entre empresas competidoras.
Uma empresa pode ser fornecedora para outra empresa para um produto, cliente do
mesmo ramo para um outro produto, ainda mais um parceiro em um projeto com um
37
competidor. As interfaces de uma empresa se tornam numerosas e complexas, sendo que h
uma tendncia para que elas se tornem mais comuns e automatizadas com o advento do ebusiness. Para entender como uma empresa moderna funciona, necessrio entender no s
como so os processos, mas os dados, sistemas, organizao, objetivos e metas, produtos,
mtricas, riscos, regulamentos, interfaces, habilidades e at cultura organizacional. Mais
importantes so os relacionamentos entre esses elementos. Modelagem de negcios agrupa
todos esses fatores.
Conforme citado em Davis (2001), existem quatro fases que mostram como as
empresas evoluram ao longo das dcadas e como a modelagem de processos de negcios
mudou:
Orientado Intra-empresa empresas tiveram que mudar para funcionar como uma
entidade nica e prover um ponto focal de contato para clientes e entregar produtos
e servios complexos. Processos precisavam ser formalmente modelados, sendo esta
modelagem necessria apenas ao nvel corporativo. Passagem para automao e
modelagem de processos de negcios, quando o BPR se tornou popular.
38
Como vantagens da modelagem de negcios Davis (2001) cita:
Historicamente, processos existem geralmente sobre duas formas. Primeiro pela tradio e
prtica, e segundo pelo planejamento e otimizao pensados. Empresas modernas no
permitem mais que seus processos evoluam e funcionem mais por tradio e prtica. So
muitas as presses que recebem por isso a necessidade de melhor planejamento, independente
do tamanho do negcio. Ainda mais, para receber uma certificao de qualidade, por exemplo,
a ISO 9000 os processos precisam ser documentados.
Uma vez que se entende a necessidade de que se deve modelar processos, questes sobre
a granularidade dos processos e como eles devem ser modelados surgem. A resposta para isso
depende da complexidade e nvel de automao desejado. No se pode ter interfaces
complexas entre organizaes se no se sabe o que sua empresa faz. Alm do mais, dificulta a
sustentabilidade do negcio, pois no se tem viso de como ele deve evoluir e melhorar.
Empresas que possuem uma ou mais das caractersticas abaixo precisam pensar
seriamente em modelagem de processos:
Altamente regulamentado;
39
40
ou semi-formal das caractersticas de um processo. Diferentes anlises podem ser realizadas,
por exemplo foco em funes, recursos, organizao, qualidade, custos e tempo MERTINS
(1999).
41
os pontos de gargalo, facilitando o fluxo e diminuindo o tempo e o custo do processo IBM
(2003).
Ferramentas de modelagem permitem que seja feita uma simulao do processo atual,
tomando como base as informaes fornecidas a respeito de cada atividade individualmente,
de forma a gerar uma fonte segura no que tange a comparao entre o processo As-Is e o ToBe. Estas comparaes relacionam vrios aspectos quantitativos, o que possibilita aos
envolvidos no projeto conhecerem os resultados esperados, os custos envolvidos e por fim os
ganhos a serem obtidos com a implantao do novo projeto. Desta maneira, pode-se medir e
avaliar corretamente as vantagens e desvantagens da implantao do novo modelo de processo
IBM (2003).
3.1.3.1 BizAgi
O BizAgi Process Modeler uma ferramenta sem custos que implementa notao BPMN
1.1 na verso 0.6.6.2. Possui como objetivo a gerao automtica de sistemas apenas pela
especificao de um processo de negcios em ambiente grfico. A ferramenta utiliza notao
padro, com 4 elementos grficos principais: eventos, processos, subprocessos e gateways. A
ferramenta de simples utilizao e cada objeto possui atributos que podem ser descritos pelo
usurio, que servem para construo de documentao automtica. Possui a funcionalidade de
exportar os modelos definidos na ferramenta. A documentao referente ferramenta est
disponvel no anexo deste trabalho e em BUSINESS AGILITI (2006).
O anexo apresenta a simbologia detalhada da ferramenta, mas de forma geral a tarefa
indicada no modelo quando no pode ser sub-dividida em maiores detalhes. Ela executada
por uma pessoa ou sistema. O diagrama de subprocesso uma composio de tarefas e
eventos, ou seja, uma unidade que pode ser descrita em mais detalhes que pode ser visualizado
42
em modo expandido ou fechado. Os eventos consistem em acontecimentos no curso de
execuo do processo descrito. Afetam o fluxo do processo e causam um resultado. Os
gateways controlam a convergncia ou divergncia das linhas de fluxo e so sub-divididos em
tipos. E as conexes entre objetos, que podem ser de 3 tipos.
43
Figura 7: Sub-processo Check Applicant Information, da Fig. 6
3.1.3.2 ADONIS
O ADONIS uma ferramenta de gesto do conhecimento e processos integrados da
empresa BOC Group. ADONIS permite uma srie de funcionalidades e, dentre elas, podemos
dar foco gesto de processos por meio de modelagem, anlise, simulao, avaliao,
documentao. O programa um sistema multi-usurio de arquitetura cliente-servidor
orientado a objetos. A ferramenta de modelagem possui vrios componentes, so eles:
Para utilizao do ADONIS recomenda-se seguir uma metodologia para modelagem dos
processos. Primeiro a identificao dos processos de negcio na qual deve especificar os
produtos e servios a serem examinados. A modelagem pode ser conduzida de forma bottomup ou top-down.
44
Segundo, recomendado um rascunho de como deve ser conduzido o trabalho. Esse
rascunho dever se tornar um plano que contem atividades e cronograma do trabalho a ser
feito. uma etapa muito importante em casos de grandes processos. Subprocessos podem ser
utilizados em caso de reuso, em casos que possibilita viso geral e em casos de muitos
detalhes. Nesse plano pode ser definido a padronizao de nomes para atividades e
subprocessos.
Terceiro, a modelagem dos objetos utilizando a ferramenta. Nesta fase se faz a insero
dos conectores, e reviso do modelo. Por ltimo deve ser modelada a estrutura organizacional,
onde devero constar quais recursos sero alocados aos processos modelados. Mais
informaes podem ser consultadas em ADONIS (2008).
A Figura 8 apresenta o ambiente grfico da ferramenta de modelagem ADONIS.
45
3.1.3.3 IBM Workbench
O IBM Workbench uma ferramenta proprietria que auxilia a modelagem de processos.
Na verso analisada 4.2.4, o sistema consiste em um espao de desenho, no qual podem ser
inseridos smbolos e diagramas de um processo ou subprocesso. Durante a modelagem so
definidas as atividades, procedimentos, recursos necessrios, tempo despendido por processo,
tarefa, subprocesso e custos associados. Essas informaes servem para uma posterior anlise
e simulao.
Todo processo precisa ter uma entrada, que feita por um gatilho, seja um documento ou
um telefonema, representado por cones especficos. As tarefas so diagramadas como
hexgonos, e os subprocessos indicados por quadrados. Estes podem ser explodidos para que
sejam detalhadas as suas sub-tarefas. As decises so indicadas por losangos, onde o usurio
pode indicar a probabilidade de fluxo do caminho.
A Figura 9 apresenta a tela principal da ferramenta. Para cada objeto podem ser definidos
atributos como tempo gasto, custos e recursos consumidos que podem ser utilizados para
simulao de processos funcionalidade muito til para identificar potenciais gargalos do
processo e verificao de cenrios supostos. Nessa funcionalidade possvel obter grficos e
export-los para outros formatos. Na verso avaliada no h possibilidade de utilizao
colaborativa.
46
3.1.3.4 ARIS
Esta sub-seo foi pesquisada utilizando Davis (2001) uma das poucas literaturas
disponveis sobre o software ARIS. O ARIS fundamenta sua modelagem em uma base de
objetos, onde eles so primeiramente criados e depois utilizados. Isso pode auxiliar na
padronizao do conjunto de objetos, evitando duplicaes para uma mesma coisa. Alm
disso, cada objeto possui atributos que podem ser valorados e utilizados posteriormente em
uma simulao. Uma vez que existem modelos de processos com objetos valorados no se tem
apenas uma figura. Isso muito mais til que figuras estticas, pois possvel realizar
simulaes, documentaes e anlises. Esse um grande benefcios no uso de ferramentas de
modelagem de processos.
O ARIS acrnimo de Architecture of Integrated Information Systems, um mtodo
desenvolvido pelo Prof. August-Wilhelm Scheer em colaborao com a SAP AG. possvel
modelar processos, dados, organizao, sistemas, informao, produtos, conhecimento,
objetivos de negcio, fluxo de informaes. Alm disso suporta modelagem UML e algumas
funcionalidades teis como:
Multiusurio;
Usabilidade;
Prov simulao;
47
48
podem ser utilizados para anlise e simulao de processos, bem como gerao automtica de
documentao e manuais eletrnicos.
Neste captulo pretende-se deixar clara a forma atual de funcionamento do CTIR Gov.
Trata-se de um trabalho de documentao de um modelo existente e em funcionamento, nunca
antes documentado. Esta modelagem conhecida genericamente como Modelo As-Is e foi
usada a ferramente BizAgi, apresentada na Seo 2.3.3.1, a qual trabalha usando a notao
BPMN.
50
VI - apoiar, incentivar e contribuir no mbito da administrao pblica federal para a
capacitao no tratamento de incidentes de segurana em redes de computadores.
Para atender a primeira funo legal da Coordenao-Geral (I - operar e manter o CTIR
Gov), o Centro trabalha com quatro divises macro ou macro processos, que so:
DETECO, TRIAGEM, ANLISE e RESPOSTA.
51
Centro. No decorrer do captulo, cada um dos processos ser apresentado com maior nvel de
detalhes, atravs dos modelos de processos definidos, ainda em alto-nvel.
DETECO
TRIAGEM
ANLISE
RESPOSTA
4.3.1 Deteco
A deteco, via de regra, acontece em outros rgos da APF que se relacionam com o
CTIR Gov de forma mais prxima. Naqueles rgos so registrados em equipamentos de
Sistema de Firewall (FW), Sistemas de Deteco de Intrusos (IDS) e Sistema Anti Vrus
(AV) os comportamentos suspeitos. Estes so enviados para o CTIR Gov, conforme se v
graficamente no processo de deteco representado na Figura 13.
52
A deteco tambm pode ocorrer por contato direto do rgo com o Centro via e-mail,
telefone, FAX ou documento oficial como memorando, ofcio ou outros, ou ainda, pode ser
proveniente da rede de computadores do do prprio CTIR Gov.
Nos rgos onde o contato cotidiano os registros (logs) so passados para o CTIR Gov
de forma automatizada. Como cada rgo tem suas prprias ferramentas de proteo, a equipe
do CTIR Gov vai at o rgo e prepara um script que atenda a necessidade de segurana do
rgo e a necessidade de dados para tratar o incidente.
No param de aparecer no mercado novas ferramentas de segurana, alm das ferramentas
j existentes no pararem de evoluir. O cenrio de alteraes constantes traz dificuldades, pois
a cada modificao, seja de ferramenta, seja de verso, em um rgo da APF, o CTIR Gov
tem que reescrever os cdigos que funcionam no rgo colaborador de modo a adequ-los
novamente para passar as informaes necessrias aos cdigos, com os quais os dados iro se
relacionar, existentes no Centro.
4.3.2 Triagem
A triagem um processo que faz a categorizao (separao), priorizao e distribuio
dos eventos recebidos. Este processo identifica os incidentes e evita que notificaes do tipo
Falso Positivo1 cheguem ao analista. Ainda, pode passar incidentes com maior relevncia
diretamente para um analista evitando, assim, que incidentes com baixa repercusso (pgina de
1
O termo "falso positivo" utilizado para designar uma situao em que um firewall ou IDS aponta uma atividade como
sendo suspeita, quando na verdade esta uma atividade normal.
53
um servio especfico e pouco utilizado desfigurada, por exemplo) sejam tratados, enquanto
um incidente de alta repercusso (vazamento de informao sensvel) fique aguardando. Este
processo fica melhor representado na Figura 14.
Como a maioria dos incidentes reportados ao CTIR Gov chegam por meio de correio
eletrnico, houve preocupao em trabalhar a separao deste tipo de entrada. Assim, foram
criadas 08 (oito) caixas postais (diretrios/pastas) diferentes para atender as necessidades do
Centro e facilitar o trabalho de quem realiza a triagem.
Este tipo de separao, por caixas postais, pode ser entendido como uma pr-triagem, j
que faz uma separao automatizada daquilo que j se conhece, mas no permite constatar se
um evento realmente um incidente (separao dos falsos positivos) e nem se pode priorizar,
caso seja necessrio. Por falar em priorizar, esta uma atividade que requer muita experincia
de quem est avaliando a notificao. Requer, at mesmo, um pouco de intuio para poder
avaliar o que pode vir a surgir de uma notificao. No raro que um incidente simples, tipo
phishing2, torne-se um problema mais srio como, por exemplo, uma mquina invadida dentro
da APF.
phishing uma forma de fraude eletrnica, caracterizada por tentativas de adquirir informaes sensveis, tais como
senhas e nmeros de carto de crdito, ao se fazer passar por uma pessoa ou uma empresa confivel.
54
Por fim, cabe ressaltar que, no CTIR Gov, a mesma pessoa que realiza a triagem realiza
tambm atividade de anlise e faz o acompanhamento de notcias e alertas concernentes com a
atividade de segurana devido a escassez de recursos humanos.
4.3.3 Anlise
A anlise o processo mais complexo de ser definido. Aqui se buscam as origens do
incidente e suas conseqncias. um trabalho tipicamente realizado por ser humano, pois se
desenvolve sem muita padronizao. Cada analista tem sua prpria experincia, adquirida em
cursos especficos e seminrios nacionais e internacionais, e dela se utiliza para desenvolver
seus trabalhos.
55
Figura 15, que poder demandar anlise de malware3, de equipamentos comprometidos e de
links4 relacionados, entre outras coisas, alm de fazer a consulta dos responsveis envolvidos.
possvel que o analista resolva o problema em poucos minutos, mas pode ser que ele
gaste dias, ou mesmo semanas de trabalho com um nico incidente. No est muito definido
no CTIR Gov se o desdobramento de um incidente considerado outro incidente para fins de
registro. Esta indefinio pode gerar estatsticas distorcidas, o que certamente no bom.
Toda a atividade de anlise segue os procedimentos adotados nas tcnicas forenses para
evitar a mcula de evidncias que podem ser necessrias se, no desenrolar do tratamento do
incidente, houver indcios de contraveno ou crime.
4.3.4 Resposta
Por fim, a resposta que tem por finalidade dar conhecimento do ocorrido aos envolvidos
com o problema, a fim de que possam ser tomadas as medidas necessrias para se obter a
soluo. Representamos o processo de resposta na Figura 16.
No CTIR Gov, a falta de efetivo impede que se tenha uma equipe voltada apenas para a
atividade de resposta. Em conseqncia, esta atividade realizada pelo prprio analista. Aps
a anlise do incidente, ao invs de remeter a documentao para a equipe de resposta, o
analista faz o trabalho de busca de contatos e rol de responsveis, prepara o texto no idioma
necessrio e aps isso envia as notificaes pertinentes ao incidente.
malware vem do ingls malicious software; um software destinado a se infiltrar em um sistema de computador alheio
de forma ilcita, com o intuito de causar algum dano ou roubo de informaes.
link entrou na lngua portuguesa por via de redes de computadores (em especial a Internet). O seu significado
"atalho", "caminho" ou "ligao".
56
O domnio de idioma do analista, nem sempre suficiente para adaptar o modelo de texto
existente. Quando isso ocorre necessrio o auxlio de outro analista que domine o idioma. O
CTIR Gov remete notificaes em Portugus, Ingls, Espanhol e Francs, conforme o caso.
Quando o idioma do destinatrio no um dos citados a notificao vai em Ingls, que
praticamente um idioma universal quando se trata de TI.
Neste captulo foram apresentados os modelos de processos do CTIR Gov. Desta forma,
ficou materializado o mtodo de funcionamento da equipe permitindo que atores, internos e
externos, proponham melhorias nos processos utilizados, conforme ser apresentado no
modelo de gesto do prximo Captulo.
5 PROPOSTA DE SOLUO
58
5.1.1 Deteco
Como j descrevemos anteriormente, este o ponto-chave do sucesso do trabalho do
CTIR Gov. Como o Centro no responsvel por nenhuma rede relevante, fica impossvel
desenvolver o trabalho de proteo do ambiente de redes da administrao pblica, sem a
colaborao das redes envolvidas.
Faz-se necessrio entender que existem problemas de relacionamento poltico, alm dos
problemas tcnicos pertinentes. Assim, nesta soluo vamos nos abster dos problemas
polticos para podermos chegar a uma soluo tcnica vivel. Definida tecnicamente a soluo
cabe aos atores polticos deste processo viabilizar a sua implementao.
59
Cada rgo envolvido tem em sua rede equipamentos que podem gerar informao para o
sistema de tratamento de incidentes, como fica claro na Figura 18. Estes equipamentos geram
a informao nos mais variados formatos, dependendo do fabricante, do servio, ou do
sistema operacional escolhido. H que se colocar nos ambientes dos colaboradores um
produto que traduza todas as formas de registro para um nico formato. Este produto
chamaremos de coletor.
O coletor dever ser capaz de preparar os registros (logs) dos mais diversos equipamentos
colocando-os em um formato, padronizado, do tipo syslog,5 para envi-los a um destino. H
que se ter tambm, nos rgos colaboradores, um outro produto para concentrar as
informaes dos coletores e envi-las ao CTIR Gov. Este produto chamaremos de
Concentrador.
O concentrador dever ser capaz de receber as informaes de vrios coletores. Por isso
dever ter robustez suficiente para receber uma carga muito grande de dados. Dependendo do
5
Syslog um padro criado pela IETF para a transmisso de mensagens de log em redes IP.
60
tamanho da rede do colaborador, esta poder ter mais de um concentrador. Isso deve ser
possvel para atender a necessidade de distribuir a rede de forma lgica ou geogrfica. Assim,
estes concentradores distribudos recebero os logs dos coletores e enviaro a outro
concentrador, na prpria organizao, que ter a funo de receber as informaes e, por fim,
enviar ao CTIR Gov. Estes concentradores devero ser capazes de realizar filtros. Isso se faz
necessrio porque o rgo colaborador pode no querer enviar todos os logs ao CTIR Gov, j
que nada o obriga a isso.
No ambiente do CTIR Gov existir um concentrador para receber as informaes dos
diversos rgos colaboradores. Este concentrador se comunicar com os outros
concentradores da APF de forma segura (criptografada) e em momentos previamente
determinados. Este concentrador poder, ainda, receber dados de outros colaboradores, que
no venham de um concentrador padronizado, desde que estes dados estejam no padro
syslog.
5.1.2 Triagem
Esta a parte do processo onde se separam as ocorrncias. Vale lembrar que os eventos
podem ser recebidos no CTIR Gov vindo dos concentradores ou por qualquer outro meio.
Daremos nfase aos eventos recebidos pelos concentradores que, alm de serem a imensa
maioria, permitem automatizar ao mximo os processos, gerando ganho de performance no
trabalho do Centro e indicadores de incidentes para a APF.
A triagem automatizada um processo puramente computacional e muitas vezes no
permitir definir se o evento realmente um incidente ou no. Quando isso no for possvel a
triagem separar os eventos seguindo padres que permitam ao analista ter uma escala de
prioridade para verificao dos eventos (ainda no classificados como incidente) aqui gerados.
Durante o estudo da situao atual do Centro vimos que este macro-processo , hoje,
realizado em cima das mensagens de correio recebidas e que estas mensagens so divididas
automaticamente, conforme o tipo de incidente. Aqui vamos manter o mesmo raciocnio.
Separar-se-o os incidentes em tipos (desfigurao, VTW, phishing scam, scaners de rede e
61
tentativas de invaso). Cada um destes tipos ter um tratamento diferenciado em relao ao
tempo de anlise e aos procedimentos a serem tomados.
Aqueles eventos que a triagem automtica caracterizar como incidente sero
automaticamente enviados para o macro-processo de resposta e l recebero tratamento. Os
outros tero que ser verificados por um ser humano. O encaminhamento destes ltimos,
caracterizado o incidente, ser a anlise.
5.1.3 Anlise
O macro-processo anlise onde foi identificada a menor probabilidade de automao.
Aqui se faz o trabalho de anlise propriamente dito, como j explicamos no Captulo 3.
Em relao ao que se fazia duas providncias foram tomadas. A primeira foi determinar
que um incidente que tenha desdobramentos seja considerado um nico incidente. Isso
facilitar a catalogao e o problema decorrente, as estatsticas, ser resolvido pelo uso da
classificao, da mesma forma que feito na anlise. A segunda providncia foi determinar
que cada analista anotasse todos os passos de sua anlise de modo que se pudesse ter registro
dos trabalhos realizados.
Isso possibilitar, no futuro, que os registros do trabalho sejam transformados em
conhecimento, por meio de uma ferramenta de gerncia de conhecimento, e fique disponvel
para uso dos outros analistas. Poder, ainda, ser transformado em alertas, avisos, ou boletins
tcnicos a serem disponibilizados pelo CTIR Gov para seus colaboradores.
5.1.4 Resposta
Aqui se prope o maior nmero de modificaes. Hoje o trabalho de resposta, como
vimos, realizado pelo analista do incidente. Desta forma se perde um tempo precioso que
poderia ser usado em outras anlises.
Nesta proposta uma equipe exclusiva far o trabalho de resposta e de acompanhamento da
resposta. O acompanhamento hoje no realizado e por isso no foi documentado na etapa
anterior. Trata-se de uma atividade extremamente importante porque a maneira que se tem
62
de verificar a efetividade do trabalho realizado no Centro. Ser explicado aps a descrio do
macro-processo de resposta.
A resposta receber da anlise um incidente totalmente documentado e com as indicaes
para os trabalhos de notificao necessrios finalizao do incidente. Assim, o responsvel
pela resposta buscar os contatos dos responsveis (destinatrios das notificaes necessrias)
e enviar a notificao.
A notificao ser preparada a partir de um modelo especfico para o caso. O modelo
usado, por sua vez, foi extrado de um rol de modelos baseado em conhecimentos anteriores e
pode estar escrito em diferentes idiomas, dependendo do destino da notificao.
O acompanhamento, sempre que necessrio, ser realizado pela equipe de resposta. O
trabalho consiste em verificar, em intervalos de tempo pr determinados, se a atividade
maliciosa notificada foi eliminada ou se continua ativa. O trabalho do acompanhamento
termina quando a atividade notificada se encerra e o acompanhador registra o fato no incidente
que o originou.
63
5.2.1 Planejamento
Utilizando-se da liderana da alta administrao, que tem como foco a misso da
organizao baseado nas demandas de seus colaboradores, nos servios prestados e,
principalmente, nos resultados da avaliao de resultados (CHECK), os processos so
planejados e as estratgias traadas. Na verdade, somente se pode planejar com base em
dados concretos ou com base nas teorias e modelos j testados e aprovados.
No CTIR Gov notou-se a necessidade de indicadores para apoiar as estratgias e os
planejamentos futuros, pois como j se viu, os indicadores existentes no eram suficientes para
apoiar as decises gerenciais, j que, todos eram relativos a artefatos maliciosos na APF.
64
Assim, foram criados alguns indicadores, que sero vistos no item 4.2.4 Ao Corretiva, para
apoiar as decises gerenciais.
Como no havia um local para armazenamento dos indicadores, iniciou-se a construo de
uma base de dados que, hoje, se encontra disponvel para todos os integrantes do Centro e
com previso de disponibilizao para acesso pelos colaboradores. Esta base tambm
permitir, no futuro, que se mantenha uma nica verso da lista de colaboradores, alm de
outros dados que se faam necessrios. Tudo isso vai permitir que se faam
correlacionamentos, anlises e, at, prospeces.
5.2.2 Execuo
Aqui se concretiza a ao que transforma os objetivos da organizao e as metas dos
planos em resultados aps a execuo dos procedimentos. o processo finalstico do CTIR
Gov dividido, como j foi definido no Captulo 3 e na Figura 12, em deteco, triagem, anlise
e resposta. Hoje existem acordos de cooperao assinados com algumas empresas com a
finalidade de melhorar o processo de execuo. A motivao das empresas ter uma
ferramenta realmente capaz de auxiliar no processo de tratamento de incidentes. J o CTIR
Gov se beneficiar com a diminuio da carga da equipe, permitindo maior dedicao a
observao dos processos e sua melhoria.
5.2.3 Controle
Permite avaliar o desempenho da organizao:
no atendimento;
no servio prestado;
65
O controle um processo de gerncia, sem o qual todo o resto fica estagnado. A
estagnao no significa manter o nvel de excelncia, pelo contrrio, pois sem mudanas no
h adaptao s novas realidades e, assim sendo, os processos no se adquam s mudanas
do mundo real ocasionando involuo.
aqui no controle (verificao) que se compara a realidade com os processos planejados
e se avalia a pertinncia de melhoria no processo. Caso se conclua por necessidade de melhoria
as sugestes so enviadas ao planejamento.
No foram necessrias muitas mudanas nos processos porque a maioria dos indicadores
j existiam, apenas no eram registrados. Passamos a registr-los em uma base de dados para
poder comparar os resultados em determinados intervalos de tempo.
Os indicadores novos foram criados com base nas necessidades de nossos colaboradores
extradas de diversas reunies e troca de informaes por coreio eletrnico, alm das
necessidades do prprio CTIR Gov.
Todos estes registros passaram a compor uma base de conhecimento do CTIR Gov, que
hoje til para apresentar estatsticas mais consistentes sobre o tratamento de incidente na
APF. A Tabela 01 apresenta um exemplo da base atual.
Recebido
731
867
685
Desfigurao
falsos Pos
652
774
529
Notificados
79
93
155
total
3714
2979
2634
VTW
Notif Agrupada
696
500
287
Brasil
529
385
226
Exterior
167
115
63
total
0
7561
5705
IDS
falsos Pos
0
6248
3178
Notificados
0
1313
2527
Malwares
analisados
8
12
66
Outra atividade que passou a ser registrada, que no propriamente um incidente, mas
que uma atividade tpica de equipes de tratamento de incidentes, foi a anlise de malware.
Esta atividade permite que a proatividade do Centro aumente bastante. Permite que as redes se
protejam, quer impedindo o acesso ao destino, quer recebendo vacinas atualizadas para suas
ferramentas de anti-vrus.
5.2.4 Ao corretiva
A ao corretiva existe para a organizao corrigir e melhorar suas prticas de gesto e,
conseqentemente, o seu desempenho. Assim, numa tentativa de atender as necessidades da
gerncia do Centro e aos impositivos legais da Coordenao foram criados indicadores com o
objetivo de atender as necessidades de controle, permitindo as possveis correes necessrias.
Os indicadores criados foram:
67
A partir disso fica caracterizada a possibilidade de serem mensurados todos os impositivos
legais da Coordenao-Geral, exceto o item V, do Art. 39, da Portaria n 13, do GSI-PR, de 4
de agosto de 2006.
6 ANLISE DA PROPOSTA
Conforme descrito anteriormente, um dos principais problemas do CTIR Gov era a falta
de documentao de seus processos. O Centro foi criado e comeou a funcionar sem uma
formalizao dos processos. Existe a documentao legal que determina as funes da
Coordenao Geral de Tratamento de Incidentes das redes da APF, entre elas a de operar e
manter o CTIR Gov, mas no existe a legislao definindo o funcionamento do CTIR Gov.
Assim, este trabalho estabelece, pela primeira vez, a documentao referente aos processos
executados no CTIR Gov e permite que novos administradores do Centro faam as
modificaes e melhorias pertinentes, tornando o processo de melhoria uma atividade contnua
e sistematicamente documentada.
J possvel, com o pouco tempo de implementao destas medidas de compartilhamento
da informao, verificar que ganha-se tempo na busca das informaes referentes a lista de
contatos, a qual sendo nica e centralizada em um repositrio torna-se comum.
Alm da falta de documentao, convivia-se com a falta de local para registro dos dados e
conhecimentos aprendidos com a atividade realizada. A criao de uma estrutura de dados
para registro quantitativo das atividades realizadas trouxe a possibilidade de mensurarmos o
trabalho e assim fazer acertos nos rumos da atividade fim. Todos os dados agora so
disponveis para consulta por qualquer membro da equipe, diminuindo a dependncia dos
analistas em relao ao conhecimento prprio dos demais membros.
O maior registro das atividades de trabalho est permitindo a sada mais tranqila de um
analista para atividades fora do centro, sem a preocupao de estar constantemente verificando
possveis pendncias em sua rea de conhecimento.
69
O grfico da Figura 20, desfiguraes de stios, representa uma das melhorias que foram
conseguidas com a implementao de novos indicadores. Aqui fica clara a quantidade de falsos
positivos deste novo indicador. H que se estudar maneiras de melhorar os scripts que trazem
estas informaes para diminuirmos o volume de trabalho da triagem e melhorarmos os
processos de anlise e resposta.
1000
900
800
700
600
500
Setembro
400
Outubro
300
200
100
0
Recebido
Falso Positivo
Notificado
Por fim, de posse dos documentos e dados citados, houve a possibilidade de se ter uma
viso mais prxima da realidade dos problemas da APF como um todo. Esta viso holstica
sugere a manuteno do CTIR Gov e, ainda, sua expanso para poder atender as demandas
existentes no trabalho de proteo das redes. Ainda faltam sries histricas de dados
quantitativos para determinar a expanso do CTIR Gov. Porm, hoje j podemos determinar
tendncias pela curva do grfico da Figura 21.
O grfico indica claramente, o crescimento da anlise de malwares em trs meses.
Chegar um momento que o crescimento da anlise ser impossvel, quer pela falta de pessoal,
quer pela falta de tempo. De posse dessas necessidades poder ser solicitada a ampliao da
equipe, assim como recursos para o desenvolvimento ou aquisio de ferramentas inteligentes
para o desenvolvimento do trabalho.
70
A nossa rede de colaboradores est em crescimento e todas as vezes que fazemos contato
com outra instituio seja por meio de cursos ou por contato direto, aumenta a demanda por
atividades de tratamento de incidentes. Na prtica, esta demanda gera aumento da carga de
trabalho e cria novas expectativas de servios.
Malwares analisados
14
12
10
8
6
4
2
0
Agosto
Setembro
Outuro
71
O trabalho de modelo que permite a troca de informaes entre as equipes de tratamento
de incidentes da APF o carro chefe do trabalho e corrige a distoro de se ter uma viso
pouco clara da totalidade dos problemas nas redes da APF. Permitir, ainda, fazer
comparaes entre os rgos e concluir sobre uma necessidade especfica, de determinado
rgo, ou uma necessidade genrica para as redes da APF.
Em relao s necessidades de legislao, j se conseguiu, junto ao Comit Gestor de
Segurana da Informao do Poder Executivo CGSI, pautas para normatizar a criao de
equipes de tratamento de incidentes e para normatizar a troca de informao entre estas
equipes e o CTIR Gov. As normas esto sendo colocadas nos padres internacionais e
adaptadas, naquilo que necessrio para atender as necessidades especificas da APF.
Neste trabalho procurou-se atender necessidades especficas do CTIR Gov relativas a falta
de documentao e dificuldades gerenciais do Centro. Iniciou-se o trabalho com uma reviso
dos conceitos de administrao e gesto pela qualidade e estudou-se o tratamento de
incidentes.
Foi realizada a documentao dos processos do trabalho do CTIR Gov. Este foi o
trabalho que permitiu todos os outros, pois sem esta documentao no seria vivel se pensar
em melhorias. A documentao permitiu o compartilhamento e a construo de novos
conhecimentos baseados nas rotinas j existentes no CTIR Gov. Com todos os processos
documentados foi possvel definir o modelo de qualidade. Assim, deixa-se uma documentao
consistente dos processos que, se mantida atualizada, permitir uma viso grfica e simples dos
processos permitindo melhorias e novas adaptaes realidade.
De posse da documentao, ficou clara a necessidade de se ter uma base de dados que
permitisse relacionar os incidentes e, mais que isso, permitisse quantificar, de forma mais
prxima da realidade, o tamanho do problema na APF. Criou-se ento uma base com alguns
indicadores que foram julgados bsicos para se ter uma viso mnima do funcionamento do
CTIR Gov e dos problemas ocorridos na rea da APF. Esta base tem permitido que o gerente
do CTIR Gov tome suas decises calcadas em dados concretos e no na percepo dos
analistas.
A base permite, tambm, a troca de conhecimentos sobre incidentes entre os analistas,
mesmo sem que haja contato direto entre eles, o que facilita imensamente o trabalho em um
ambiente que as ausncias so necessrias para dar andamento ao trabalho.
73
Por fim, a falta de uma estrutura de gerncia no modelo conceitual indicou a necessidade
de definio de um novo modelo, baseado no modelo de gerncia de incidentes do CERT com
a viso de gerncia pela qualidade, instituda pela FNQ.
Para completar o processo de melhorias, foi criada uma estrutura de arquivos
compartilhada e uma pgina de Intranet, ambas com a finalidade de permitir o acesso s
informaes de gerncia (modelos de processo e grficos, por exemplo) e tambm as
informaes de contedo (lies aprendidas sobre Tratamento de Incidentes) permitindo maior
rapidez na tomada de deciso tcnica ou gerencial.
A disponibilizao destas informaes em ambiente colaborativo tambm ir possibilitar a
melhoria do prprio modelo, j que, agora est disponvel para todos poderem sugerir naquilo
que so mais aptos ou capazes. Melhor que isto, verificou-se uma grande independncia entre
os membros da equipe nas suas atividades especializadas, com conseqente diminuio do
nmero de interrupes no trabalho de cada um para tirar dvidas do colega que realizava
outra atividade.
No foi possvel, no escopo deste trabalho, determinar o uso dos indicadores criados
de forma a se obter anlises reais de sries histricas. Ainda no h quantidade de dados
coletados em nmero suficiente e no fazia mesmo parte do escopo deste trabalho utilizar
estatsticas e simulaes. Assim, prope-se que outros colegas continuem o trabalho aqui
iniciado e aprofundem os estudos fazendo uso da documentao e da base agora instalada no
sentido de melhorar ainda mais os processos aqui descritos e realizar prospeces nos dados
para determinar tendncias na atividade de Tratamento de Incidentes na esfera da APF.
Como sugestes para trabalhos futuros pode-se incluir o uso da Minerao de dados
(Data Mining) para recuperao de informao e reconhecimento de possveis padres para
incidentes computacionais. Alm disso, o uso de tcnicas de Inteligncia Artificial para
deteco de incidentes pode diminuir consideravelmente o nmero de falsos positivos e
permitir melhorar correlacionamentos de eventos permitindo, tambm, sua melhor priorizao.
Partindo-se do princpio que, no mundo atual, o conhecimento a maior vantagem
competitiva, pode-se dizer que os dados de tratamento de incidente aqui gerados devem ser
trabalhados com:
74
Por fim, tudo o que foi lembrado como trabalhos que podem ser realizados tem por
objetivo mostrar que este trabalho no se encerra aqui. Muito pelo contrrio, ha que se dar
continuidade ao modelo de qualidade aqui proposto para aumentar a eficincia do CTIR Gov
em suas atribuies to necessrias para a APF.
8 REFERNCIAS
76
em <http://www.ogerente.com.br/gestao/artigos/gestao-txt-nds-modelo_excelencia.htm>.
Acesso em: 27set 2008.
PHILLIPS, M., CMMI version 1.1 tutorial materials. Disponvel em
<http://www.sei.cmu.edu/cmmi/presentations/euro-sepg-tutorial/index.htm>. Acessado em: 8
de junho de 2006.
RECUERO, R. da C. A Internet e a Nova Revoluo na Comunicao Mundial. 2000.
Disponvel em <http://pontomidia.com.br/raquel/revolucao.htm>. Acesso em: 15 ago 2008.
ROCHA, J. A. M. da. Modelo de Trabalho de Concluso de Curso (TCC). Modelo de
documento digital do programa OpenOffice 2.0. 2006. Disponvel em:
<http://meiradarocha.jor.br/news/modelos-de-tcc-e-monografia-conforme-abnt/>. Acesso em:
12 set 2008.
SANTOS, A. G., Modelagem de processos de negcio como base para elicitao de
requisitos de software. Salvador: Monografia de graduao (2005), Universidade Federal da
Bahia, 2005. Disponvel em
<http://twiki.im.ufba.br/pub/Aside/NossosProjetos/MonografiaFinal.pdf>. Acessado em: 25 de
maio de 2006.
SAWY, O. A. E. Redesigning Enterprise Process for e-Business. New York: McGraw-Hill,
2001.
TACHIZAWA, T.; SCAICO, O. Organizao Flexvel Qualidade na Gesto por Processos.
So Paulo: Atlas, 1997.
ANEXO
REPRESENTAES UTILIZADAS PELA FERRAMENTA BIZAGI
Este anexo tem por finalidade esclarecer aos interessados as formas de representao
utilizadas pela ferramenta BizAgi utilizada para modelar os processos no decorrer deste
trabalho. A Figura 22 apresenta os principais objetos utilizados na modelagem de processos
com a ferramenta BizAgi.
78
Os smbolos mostrados na Figura 23 seguem padronizao BPMN 1.1 que pode ser
encontrada no stio www.bizagi.com. Segue a descrio de cada um dos smbolos mostrados:
Tarefa uma atividade atmica que est includa dentro de um Processo. Uma
Tarefa usada quando o trabalho no Processo no possvel de ser decomposto.
Geralmente, um usurio final e/ou aplicativo utilizado para executar a Tarefa.
Tarefa de Servio uma tarefa que fornece algum tipo de servio o qual pode ser
um servio web ou um aplicativo automatizado.
Tarefa de Recepo uma tarefa simples que elaborada para esperar que uma
mensagem chegue de um participante externo (relacionado ao processo de negcio).
Uma vez recebida a mensagem, a tarefa est completada.
79
Tarefa de Envio uma tarefa simples que elaborada para enviar uma mensagem a
um participante externo (relacionado ao Processo de negcio). Uma vez enviada a
mensagem, a tarefa est completada.
Tarefa Manual uma tarefa que se espera que seja executada sem auxlio de
qualquer mecanismo de processo de negcios ou qualquer aplicativo. Um exemplo
disso pode ser um tcnico em telefonia instalando um telefone no endereo de um
cliente.
80
Incio de Condio um evento acionado quando uma condio tal como "SP 500
altera mais de 10% desde a abertura", ou "Temperatura acima de 300C" seja
verdadeira. A Expresso condicional para o evento deve ser falsa, e logo,
verdadeira, antes que o evento possa ser acionado novamente.
Incio de sinal utilizado quando um sinal que foi transmitido de outro Processo
chega e aciona o incio do processo. Note que um sinal no uma mensagem, a qual
possui um destino especfico para a mensagem. Processos mltiplos podem ter
eventos de incio que so acionados a partir do mesmo sinal transmitido.
Evento uma atividade intermediria e indica onde acontece algo (um evento) em
algum lugar entre o incio e o fim de um processo, Isso afetar o fluxo do processo,
mas no comear nem (diretamente) terminar o processo.
81
marcador do evento pintado com preenchimento. Se for usado para tratamento de
excees, alterar o fluxo normal a um fluxo de execuo.
82
Tambm pode ser usado como objetos genricos do tipo "ir a" dentro do mesmo
nvel do processo. Pode haver mltiplos eventos de link de origem, mas s pode
haver um evento de link de destino. Quando for usado para "capturar" desde o link
de origem, o marcador do evento no ser preenchido. Quando usado para
"acionar" em direo ao evento destino, o marcador do evento ser preenchido.
Evento de sinal usado para enviar ou receber sinais. Um sinal para comunicao
geral dentro e ao longo de nveis de processos, atravs de pools e entre diagramas
de processos de negcio. Um sinal BPMN (Business Process Modelling Notation)
similar a uma luz de uma labareda que se dispara no cu para qualquer que esteja
interessado em observ-la para, ento, reagir. Portanto, existe uma origem do sinal,
mas no h um destino especfico. Isso diferente a uma mensagem BPMN, a qual
possui uma origem e um destino especficos (que podem ser uma entidade ou uma
funo abstrata). Esse tipo de evento intermedirio pode enviar ou receber sinais se
os eventos so parte de um fluxo normal. O evento s pode receber um sinal quando
est anexado delimitao de uma atividade. O evento de sinal se diferencia de um
evento de erro, no sentido de que o sinal define uma condio mais geral e no de
erro para interromper atividades (como a finalizao de outra atividade) e tambm
no que tem um alcance maior que os eventos de erro. Quando usado para "capturar"
o sinal, o marcador de evento ser pintado sem preenchimento. Quando usado para
"acionar" o sinal, o marcador ser pintado com preenchimento.
83
fluxos de seqncia de sada, no se pode conectar um fluxo de seqncia de sada
de um evento de fim.
Fim de erro indica que um erro indicado deve ser gerado. O erro ser pego pelo
evento intermedirio de erro com o mesmo cdigo de erro ou sem cdigo de erro, o
qual est no delimitador da atividade-me mais prxima (hierarquicamente). O
comportamento do processo no especificado se no houver uma atividade no
processo que tenha o evento intermedirio de erro. O sistema que executa o
processo poderia definir um manuseio de erro adicional nesse caso, o mais comum
seria o trmino da instncia do processo.
Fim de sinal indica que um sinal ser emitido quando o fim houver sido alcanado.
Note que o sinal, o qual transmitido a qualquer processo que possa receber o sinal,
pode ser enviado atravs de nveis de processo ou pools, mas no uma mensagem
(que possui uma origem e destino especficos)
84
85
Todos os fluxos de seqncia com avaliao verdadeira so atravessados por um
token. De modo algum, como um agrupamento de decises binrias (sim/no)
relacionadas - e podem ser modelados como tal. J que cada caminho
independente, todas as combinaes dos caminhos podem ser percorridas, desde um
caminho at todos os caminhos.
Gateway complexo utilizado, pelo BPMN, para lidar com situaes que no so
facilmente tratadas usando outros tipos de gateways. Os gateways complexos
tambm podem ser usados para combinar um conjunto de gateways simples unidos
por links em uma situao nica e mais compacta. Os modeladores podem fornecer
expresses complexas que determinam o comportamento de unio e/ou diviso do
gateway.
86