CSIRTs e CERTs

Ao aplicar a ciber-segurança, são instituídos os seguintes princípios, que também são chamados as tríades da ciber-segurança.[1]

Para os fins desta monografia, serão definidas as três tríades seguintes:

1.     CIA (C - Confidencialidade; I - Integridade; A - Disponibilidade).

2.     Elementos de ciber-segurança (Pessoas, Tecnologia, Processos).

3.     Ciclo de vida da ciber-segurança (Prevenção, Detecção, Resposta)

1.2.1        A Tríade da CIA

A tríade de segurança cibernética mais conhecida e mais amplamente utilizada é a tríade da CIA, mas a simples utilização desta tríade básica de princípios de segurança cibernética sem pôr em prática outros princípios é actualmente insuficiente para manter um nível adequado de segurança cibernética.

Na literatura, por exemplo, é feita referência à aplicação do hexad Parkerian[2] , que é essencialmente a tríade da CIA, mas complementada por três outros elementos: P/C - Possessão/Controlo, A - Autenticidade e U - Utilidade.

O objectivo da ciber-segurança é assegurar tanto a segurança das TIC como tal e, em particular, os dados e informações que são transmitidos, processados e armazenados por estes elementos.

Muito frequentemente, a tríade da CIA está principalmente relacionada com a informação.

Este conceito mais restrito resulta principalmente da própria definição de segurança da informação, que se centra na protecção da informação. Sob esta protecção, o tipo de portador (papel, meios electrónicos, etc.) ou sistema de processamento de informação não é um problema. A segurança da informação é então aplicada à informação ao longo de todo o seu ciclo de vida.

A segurança da informação é também definida por uma série de normas ISO 27000. As normas básicas de segurança da informação incluem:

·      ISO/IEC 27001:2014 Tecnologia da informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Requisitos

·      ISO/IEC 27002:2014 Tecnologia da informação - Técnicas de segurança - Código de prática para controlos de segurança da informação

A questão é se a definição de segurança da informação é actualmente adequada e suficiente, ou se se aplica a todos os elementos-chave da segurança no ciberespaço.

Apesar de o termo segurança da informação ser mais comummente utilizado na literatura profissional e nas regras processuais, estamos convencidos de que em relação às actividades relacionadas com a utilização das TIC ou às actividades relacionadas com o ciberespaço, o termo cibersegurança é um termo mais apropriado.

Como mencionado acima: "a segurança da informação refere-se à informação enquanto tal". No entanto, isto omite elementos chave relacionados com a segurança no ciberespaço.

Consideramos estes elementos importantes como dados e depois os próprios sistemas informáticos (ou elementos individuais das TIC), que permitem a transmissão efectiva de dados e informações.

Existem várias definições dos termos dados e informações na literatura profissional e na legislação. Para efeitos da presente publicação, são seleccionadas definições relacionadas com a protecção de informações, dados ou cibersegurança.

De acordo com a Convenção sobre o Cibercrime[3] , dados informáticos significa "qualquer representação de factos, informações ou conceitos numa forma adequada ao processamento num sistema informático, incluindo um programa adequado para levar um sistema informático a executar uma função".

Assim, os dados são qualquer elemento com um valor de informação que é processado por um sistema informático, e são processados para posteriormente criar informação.

A informação "são dados que foram processados numa forma útil para um destinatário. Assim, cada informação é um dado, mas qualquer dado armazenado não se torna necessariamente informação".[4]

Wiener afirma que "a informação é o nome para o conteúdo do que é trocado com o mundo exterior à medida que nos ajustamos a ela e fazemos sentir o nosso ajustamento". Diz também que a informação não é nem matéria nem energia, mas sim uma categoria física separada.[5]

A informação é, portanto, entendida como algo "mais qualificado" do que os dados. Os dados são factos que se tornam informação quando são percebidos ou expressos em contexto e têm um significado que é compreensível para as pessoas.[6]

É a ligação de dados "insignificantes" e a criação de um determinado contexto, que apenas compõe informações "significativas" a partir dos dados, que podem ser fundamentais do ponto de vista da ciber-segurança. Se respeitarmos a tese de segurança da informação acima referida, na qual apenas a informação enquanto tal é protegida, então poderá haver uma violação significativa da segurança.

O gráfico seguinte demonstra a relação entre os dados e a informação.[7]

Os dados e informações são transmitidos no ciberespaço utilizando sistemas informáticos[8] , que são parte integrante da segurança cibernética ou da informação.

Com base no acima exposto, estamos convencidos de que a tríade CIA[9] deve ser aplicada não só à própria informação, mas também a outros elementos de ciber-segurança (dados, sistemas informáticos, etc.)

Confidencialidade

Confidencialidade significa uma situação em que apenas as entidades autorizadas a fazê-lo têm acesso a informação, dados ou TIC.

Dada a grande quantidade de informação processada, é apropriado introduzir ou aplicar uma das classificações de informação. Estas classificações podem então ser aplicadas a outros elementos de ciber-segurança e acesso aos mesmos.

As normas de segurança ISO/IEC 27000 definem isso:

·       "A informação deve ser classificada de acordo com o seu valor, requisitos legais, sensibilidade e criticidade".

·       "Os procedimentos de acordo com o esquema de classificação adoptado por uma organização devem ser estabelecidos e implementados para a marcação e tratamento da informação".

·       "A fim de impedir o acesso não autorizado ou a má utilização da informação, devem ser estabelecidas regras para o tratamento e armazenamento da informação".

Exemplos de alguns esquemas de classificação:

1.   Classificação da informação de acordo com a Lei 412/2005 Sb., sobre a Protecção da Informação Classificada e sobre a Autorização de Segurança[10] :

·       Top secret - o tratamento não autorizado de informações pode causar danos extremamente graves aos interesses da República Checa.

·       Segredo - o tratamento não autorizado de informações pode causar danos substanciais aos interesses da República Checa.

·       Confidencial - o tratamento não autorizado de informações pode causar danos simples aos interesses da República Checa.

·       Restrição - o tratamento não autorizado de informações pode ser desvantajoso para os interesses da República Checa.

2.   Classificação das informações utilizadas na esfera comercial:

·       Protegido - o tratamento não autorizado de informação pode causar danos substanciais ou destruição da organização (por exemplo, fuga de informação estratégica, código fonte, esquemas de segurança, palavras-passe, etc.).

·       Interno - o tratamento não autorizado de informações pode causar danos à organização (por exemplo, fuga de dados pessoais, contratos, etc.). 

·       Sensível - o tratamento não autorizado de informação pode ter um impacto negativo na empresa (por exemplo, informação não publicada anteriormente sobre projectos, eventos planeados, etc.).

·       Público - o tratamento não autorizado de informação não deve prejudicar ninguém e não deve ter qualquer impacto na empresa (por exemplo, contactos disponíveis ao público, apresentações de projectos, etc.).[11]

Para além das duas classificações acima mencionadas, existem várias outras classificações que são aceites por organizações ou indivíduos, quer com base na legislação, quer à discrição do utilizador.

As classificações, desde que sejam respeitadas e cumpridas, podem mitigar significativamente o impacto de um possível ciberataque.

3.      Protocolo de Semáforos

No seio da comunidade de cibersegurança, houve no passado a necessidade de partilhar informações e dados sensíveis (normalmente sobre ciberataques). Por esta razão, o TLP (Traffic Light Protocol)[12] foi criado no Centro Nacional de Coordenação de Segurança de Infra-estruturas[13] no início de 2000. Este protocolo visa acelerar a troca de informações entre os interessados e, ao mesmo tempo, estabelece regras para o tratamento da informação transmitida. A entidade que transmite a informação (a fonte da informação) marca sempre a informação com uma determinada cor que determina a forma como o destinatário deve tratar a informação.

O protocolo TLP é melhor definido na tabela seguinte, que foi retirada do US-CERT[14] :

Cor	Quando utilizar	Como partilhar?
TLP:VERMELHO Não se destina a publicação, apenas para os participantes.	As entidades podem utilizar o TLP: RED nos casos em que a informação não permite uma resposta eficaz por parte de outras entidades e pode levar a implicações para a privacidade, reputação ou operações dessas entidades em caso de utilização indevida.	Os beneficiários não podem partilhar informações classificadas no TLP: categoria VERMELHO com qualquer entidade que não seja a troca, reunião ou conversa específica na qual a informação do TLP:RED foi originalmente divulgada. Por exemplo, numa reunião, o TLP: A informação VERMELHO é limitada àqueles que estão a participar directamente na reunião. Na maioria dos casos, a informação marcada com TLP: VERMELHO só deve ser trocado verbalmente ou pessoalmente.
TLP:AMBER Divulgação limitada. A revelação só é possível na organização dos participantes.	As entidades podem utilizar TLP: AMBER nos casos em que a informação requer uma resposta eficaz de outras entidades e representa um risco para a privacidade, reputação ou operações, se for partilhada fora das organizações participantes.	Os beneficiários podem partilhar informações classificadas na categoria TLP: AMBER com membros da sua própria organização e com clientes ou clientes que necessitem de conhecer estas informações a fim de proteger ou prevenir novos danos potenciais. As entidades são livres de estabelecer regras de partilha adicionais, e estas devem ser seguidas.
TLP:VERDE Divulgação limitada, limitada à comunidade.	As entidades podem utilizar TLP: GREEN se a informação for útil para aumentar a sensibilização entre todas as organizações participantes. É também possível partilhar esta informação com outras entidades dentro de uma comunidade ou sector mais vasto.	Os beneficiários podem partilhar informações classificadas na categoria VERDE com parceiros e organizações parceiras dentro do seu sector ou comunidade. No entanto, a informação não pode ser partilhada através de canais acessíveis ao público. A informação nesta categoria pode ser massivamente divulgada dentro de uma dada comunidade. A informação incluída no TLP: A categoria VERDE não pode ser divulgada fora da comunidade.
TLP:BRANCO A revelação não é de forma alguma restrita.	As entidades podem utilizar TLP: BRANCO se a informação contiver pouco ou nenhum risco previsível de má utilização, de acordo com as regras e procedimentos de divulgação aplicáveis.	De acordo com as regras e a protecção dos direitos de autor, as informações incluídas no TLP: categoria BRANCO podem ser distribuídas sem restrições.

"Em ciber-segurança, a divulgação não desejada de certas informações é referida como uma violação da sua confidencialidade ou fuga".[15]

4.      Avaliação da confidencialidade de acordo com o Decreto n.º 82/2018 Sb. , sobre Medidas de Segurança, Incidentes de Segurança Cibernética, Medidas Reactivas, Requisitos para o Registo no Campo da Segurança Cibernética e Eliminação de Dados (Decreto sobre Segurança Cibernética)[16]

O Decreto sobre Ciber-segurança retoma em grande parte o Protocolo de Semáforo mencionado acima para a escala de classificação de confidencialidade (ver Apêndice 1 do DoCS).

Nível	Descrição	Exemplos de requisitos de protecção de bens
Baixo	Os bens estão disponíveis ao público ou foram destinados à divulgação. A violação da confidencialidade dos bens não prejudica os interesses legítimos de um devedor. No caso de partilha de tal bem com terceiros e utilizando a classificação de acordo com o Protocolo de Semáforo (doravante "TLP"), é utilizada a designação TLP:WHITE.	Não é necessária qualquer protecção. Liquidação/apagamento do bem ao nível baixo - ver Apêndice No. 4.
Médio	Os bens não estão disponíveis ao público e constituem o saber-fazer de um devedor; a protecção dos bens não é exigida por qualquer acto legislativo ou acordo contratual. No caso da partilha de tal bem com terceiros e utilizando a classificação de acordo com o TLP, é utilizada em particular a designação TLP:GREEN ou TLP:AMBER.	Os instrumentos de controlo de acesso são utilizados para proteger a confidencialidade. Liquidação/apagamento do bem ao nível do Meio - ver Apêndice No. 4.
Alto	Os bens não estão publicamente disponíveis e a sua protecção é exigida por regulamentos legais, outros regulamentos ou disposições contratuais (por exemplo, segredos comerciais, dados pessoais). No caso de partilha de tal bem com terceiros e utilização da classificação de acordo com o TLP, é utilizada em particular a designação TLP:AMBER.	Ferramentas para assegurar o controlo de acesso e gravação são utilizadas para proteger a confidencialidade. As transmissões de informação através de redes de comunicação são protegidas por meios criptográficos. Liquidação/apagamento do bem a Alto Nível - ver Apêndice No. 4.
Crítico	Os bens não estão disponíveis ao público e requerem um nível de protecção acima da categoria anterior (por exemplo, segredos comerciais estratégicos, categorias especiais de dados pessoais). No caso de partilhar um tal bem com terceiros e de utilizar a classificação de acordo com o TLP, é utilizada em particular a designação TLP:RED ou TLP:AMBER.	Ferramentas para assegurar o controlo de acesso e gravação são utilizadas para proteger a confidencialidade. Além disso, métodos de protecção que impedem uma utilização indevida dos bens pelos administradores. As transmissões de informação são protegidas por meios criptográficos. Liquidação/apagamento do bem ao nível crítico - ver Apêndice No. 4.

Integridade

De acordo com o Cybersecurity Glossary[17] , a integridade é definida como "a propriedade da exactidão e da integralidade. " A integridade dos dados é então definida no mesmo glossário como "a certeza de que os dados não foram alterados". Também se refere à validade, consistência e exactidão dos dados, tais como bases de dados ou sistemas de ficheiros. É fornecido por checksums, funções de hash, códigos de auto-cura, redundância, jornalismo, etc. Na criptografia e segurança da informação em geral, integridade significa validade dos dados". A integridade do sistema é então "uma propriedade de que o sistema desempenha a função a que se destina de forma não perturbada, sem manipulação intencional ou acidental não automatizada com o sistema".

A integridade representa, portanto, a impossibilidade de interferir com informações, dados, sistemas informáticos, suas configurações, etc., por uma pessoa que não seja a autorizada para o fazer.

Ao mesmo tempo, a integridade é uma espécie de garantia da integridade do sistema, da informação ou dos dados.

"Alteração indesejada (alteração) é portanto referida na segurança da informação como uma violação da integridade".[18]

No caso de uma violação da integridade, estar ciente de que se ocorrer uma alteração indesejada dos dados, a alteração indesejada pode não ser detectada de todo e pode decorrer um período de tempo considerável antes de a violação da integridade ser detectada.

O Decreto sobre Ciber-segurança no Apêndice 1 também representa uma escala para avaliar a integridade.

Nível	Descrição	Exemplos de requisitos de protecção de bens
Baixo	Os bens não necessitam de protecção em termos de integridade. A violação da integridade dos bens não compromete os interesses legítimos de um devedor.	Não é necessária qualquer protecção.
Médio	Os bens podem exigir protecção em termos de integridade. Uma violação da integridade de um bem pode prejudicar os interesses legítimos de um devedor e pode ter efeitos menos graves sobre os bens primários.	Ferramentas padrão (tais como restrições aos direitos de acesso de escrita) são utilizadas para proteger a integridade.
Alto	Os bens requerem protecção em termos de integridade. Uma violação da integridade de um bem conduz a danos aos interesses legítimos de um devedor com efeitos significativos sobre os bens primários.	Para proteger a integridade, são utilizados meios especiais que permitem seguir o historial das alterações efectuadas e registar a identidade da pessoa que efectua a mudança. A protecção da integridade da informação transmitida pelas redes de comunicação é assegurada por meios criptográficos.
Crítico	Os bens requerem protecção em termos de integridade. Uma violação da integridade leva a danos muito graves aos interesses legítimos de um devedor com efeitos directos e muito graves sobre os bens primários.	Para proteger a integridade, são utilizados meios especiais para identificar de forma única a pessoa que faz a alteração (por exemplo, utilizando tecnologia de assinatura digital).

Disponibilidade

De acordo com o Cybersecurity Glossary[19] , a disponibilidade é definida como "uma propriedade de acessibilidade e usabilidade a pedido de uma entidade autorizada". ”

A disponibilidade pode portanto ser definida como uma garantia de acesso à informação, aos dados ou a um sistema informático no momento da necessidade. Não importa como o sistema garante a integridade e permite o acesso ao próprio sistema, dados ou informação, este será inutilizável se não proporcionar um acesso fiável conforme necessário.[20]

"A destruição de certas informações é referida na segurança da informação como uma violação da sua disponibilidade". [21]

O Decreto sobre Ciber-segurança no Anexo 1 também representa uma escala para avaliar a disponibilidade.

Nível	Descrição	Exemplos de requisitos de protecção de bens
Baixo	A interrupção da disponibilidade de bens não é importante e, em caso de interrupção, é normalmente tolerado um período de correcção mais longo (aproximadamente até 1 semana).	Os backups regulares são suficientes para proteger a disponibilidade.
Médio	A perturbação da disponibilidade de bens não deve exceder um dia útil, uma paragem a longo prazo conduz a uma possível ameaça aos interesses legítimos de um devedor.	São utilizados métodos comuns de backup e recuperação para proteger a disponibilidade.
Alto	A interrupção da disponibilidade de bens não deve exceder um período de várias horas. Qualquer falha deve ser tratada imediatamente, uma vez que conduz a uma ameaça directa aos interesses legítimos de um devedor. Os bens são considerados muito importantes.	Os sistemas de backup são utilizados para proteger a disponibilidade, e o reinício da prestação de serviços pode ser condicionado à intervenção do operador ou à troca de activos técnicos.
Crítico	A perturbação da disponibilidade dos bens não é admissível e mesmo a indisponibilidade a curto prazo (na ordem de vários minutos) conduz a uma séria ameaça aos interesses legítimos de um devedor. Os bens são considerados críticos.	Os sistemas de backup são utilizados para proteger a disponibilidade, e o reinício da prestação de serviços é de curto prazo e automatizado.

A tríade da CIA é frequentemente representada visualmente para melhor compreender os seus atributos e relações individuais. Por esta razão, também, uma representação típica da tríade da CIA é mostrada aqui. Na parte seguinte deste capítulo, esta tríade é complementada por certos elementos (tecnologia, pessoas, processos).

A Tríade da CIA

Se tentássemos definir o espaço de ciber-segurança dentro da implementação da tríade CIA, então este espaço poderia ser exibido como uma intersecção de princípios individuais desta tríade.

Tríade da CIA e ciber-segurança

Vista hexadecimal de Parkenian[22]

1.2.2        Elementos de ciber-segurança

Os três elementos seguintes, ou a sua interacção mútua, tornam possível criar ou estabelecer uma certa medida de ciber-segurança. Estes elementos são:

·       pessoas,

·       tecnologias e

·       processos.

Acreditamos que é utópico pensar que é possível criar uma segurança cibernética absoluta ou um sistema absolutamente seguro em que elementos das TIC são utilizados.

Teoricamente, seria possível conceber um sistema informático completamente isolado (incluindo uma fonte de alimentação, por exemplo, através de um agregado), encerrado numa jaula de Faraday, com um grupo claramente definido de pessoas que estão autorizadas a trabalhar neste sistema informático, assegurando que nenhum meio (electrónico ou outro) é trazido ou removido deste ambiente único.

No entanto, a questão é saber qual seria o objectivo de um sistema assim assegurado e como seriam utilizados os resultados do trabalho neste sistema, ou como esses resultados poderiam ser trazidos à vida quando não é possível trazer os resultados da actividade. O contra-argumento poderia então ser a alegação de que os resultados só serão entregues no final do projecto, até lá tudo será protegido e o acesso será sujeito ao regime acima mencionado.

Contudo, a questão é se um sistema criado artificialmente e completamente isolado está protegido contra outras ameaças, que podem ser a ausência de cópias de segurança, a possibilidade de destruição física do sistema informático, a divulgação de informação parcial por pessoas que trabalham com o sistema, etc.

Qualquer sistema é tão seguro como o seu elo mais fraco (elemento).

Pessoas

"As pessoas representam frequentemente o elo mais fraco da cadeia de segurança e são cronicamente responsáveis pela falha dos sistemas de segurança".

Bruce Schneier[23]

As pessoas que interagem com a ciber-segurança podem ser vistas como:

·       autor (criador) desta segurança (ou seja, tipicamente pessoas que tentam impor e implementar elementos individuais de ciber-segurança, quer em relação a si próprios, quer em relação à organização),

·      destinatários das regras de cibersegurança (ou seja, pessoas que tenham decidido ou sejam forçadas a implementar as regras de cibersegurança existentes),

·       entidades que precisam de ser protegidas contra ciberataques,

·       entidades que necessitam de ser informadas e formadas sobre as regras e princípios da ciber-segurança,

·       um risco ou ameaça à criação e manutenção da ciber-segurança.

Se nos concentrarmos no papel das pessoas na construção e manutenção da cibersegurança, especialmente em ligação com o AoCS, então é necessário definir e recrutar os seguintes cargos de uma forma apropriada:

·       Comité de Ciber-segurança,

·       Gestor de Ciber-segurança,

·       Arquitecto de Ciber-segurança,

·       Auditor de Ciber-segurança,

·       Equipa de Segurança Cibernética,

·       Garante,

o   de bens primários,

o   de bens acessórios,

·       Administrador Factual,

·       Administrador Técnico,

·       Operador (por vezes também referido como o fornecedor),

·       Administrador,

·       Utilizador.

As pessoas são um elemento chave de qualquer segurança. No caso da ciber-segurança, o seu papel está a intensificar-se, e tipicamente as pessoas são o elemento mais fraco e ao mesmo tempo o alvo mais comum dos atacantes.

Há várias razões que nos levam a esta declaração.

O primeiro é o tempo relativamente curto que temos estado a utilizar sistemas informáticos. A maioria dos utilizadores só começou a utilizar um dos sistemas informáticos depois de 1990. Começámos a ligar-nos mais à Internet em grande escala por volta de 1995, e temos vindo a utilizar telemóveis "inteligentes" desde cerca de 2007. Vários sítios de redes sociais, que são actualmente considerados uma parte necessária da vida, sem os quais não podemos imaginar as nossas actividades diárias, não têm sido utilizados por nós há mais de 10 anos.

A segunda razão reside na enorme dinâmica do desenvolvimento tanto do hardware como especialmente do software, que está inextricavelmente ligado à nossa interacção no mundo digital. É a dinâmica do desenvolvimento de software que não permite a muitos utilizadores abordar mais detalhadamente as questões de segurança que estão inevitavelmente associadas à utilização de software.

A terceira e última razão é o facto de que a vida sem tecnologias de informação e comunicação é agora inconcebível ou impossível para a nossa sociedade. As TIC e as aplicações associadas a estas tecnologias criam avatares digitais de nós próprios, mas com uma quantidade de informação muito maior do que nós, como indivíduos, somos capazes de recordar ou armazenar. Para além dos fornecedores de hardware e software, os atacantes estão cientes deste facto, e é por esta razão que estão a visar pessoas no ciberespaço.

"Amadores hackeam sistemas, profissionais hackeam pessoas".

Bruce Schneier[24]

Na nossa opinião, é essencial que as pessoas que utilizam as TIC e optam por interagir no ciberespaço:

·       compreender pelo menos os princípios e regras básicas relacionadas com a ciber-segurança,

·       compreender pelo menos as funções básicas dos sistemas informáticos (por exemplo, PC, portátil, telemóvel, televisão inteligente, etc.) que utilizam para esta interacção,

·       analisar as aplicações que utilizam para esta interacção e, se necessário, se a actividade destas aplicações ou as suas condições contratuais não lhes convêm, não utilizaram as aplicações,

·       educar-se em ciber-segurança.

Portanto, a fim de facilitar pelo menos o último item da lista acima, decidimos criar esta publicação e resumir pelo menos algumas das conclusões que podem ser utilizadas tanto por utilizadores leigos como por profissionais de TI que decidiram prestar maior atenção à ciber-segurança.

Tecnologias

"Se pensa que a tecnologia pode resolver os seus problemas de segurança, então não compreende os problemas e não compreende a tecnologia".

Bruce Schneier[25]

As tecnologias são normalmente um meio para os utilizadores se ligarem à Internet, às redes sociais, e a outras aplicações. É uma ferramenta que utiliza vários pacotes de escritório quando cria documentos, envia e-mails, verifica vídeo, etc. O utilizador médio normalmente percebe e interage com as tecnologias finais (PC, tablet, telemóvel, etc.), que ele próprio utiliza, enquanto que normalmente não está interessado noutras camadas tecnológicas necessárias para o seu funcionamento no ciberespaço.

Para as organizações, as tecnologias representam toda uma gama de dispositivos, desde tecnologias destinadas aos utilizadores (desktop, dispositivos móveis, etc.), através de uma infra-estrutura de rede completa (LAN, elementos activos, elementos Wi-Fi, etc.) e serviços (servidores, aplicações, etc.), até elementos que servem para garantir a segurança tanto no perímetro (firewall[26] , IDS/IPS[27] , honeypot[28] , etc.) como dentro da infra-estrutura (elementos concebidos para autenticação e autorização, monitorização, análise, etc.).

Como parte da construção e manutenção da ciber-segurança, é necessário analisar os bens existentes e, com base nesta análise, eventualmente complementar ou modificar os sistemas existentes. Dentro das tecnologias, os seguintes elementos devem ser parte integrante de uma organização TIC, tendo em conta as especificidades dessa organização:

·       sistemas de detecção - Sistema de Detecção de Intrusão (IDS) / Sistema de Prevenção de Intrusão (IPS),

·       administração central de utilizadores e funções,

·       gestão centralizada da classificação da informação,

·       protecção contra código malicioso (firewall de aplicação, antivírus, antispam e outras soluções),

·      tecnologia para registar as actividades de elementos individuais das TIC, administradores e utilizadores (sistema de registo),

·      sistemas de backup activos e offline; backups de servidores, aplicações e bases de dados vitais (sistema de recuperação),

·      gestão da segurança da rede (VLAN, DMZ, firewall, etc.).

As tecnologias são normalmente a parte da ciber-segurança onde nós, como utilizadores ou organizações, não poupamos dinheiro. Estamos dispostos a pagar uma grande parte dos fundos para a tecnologia, ou porque "precisamos do telefone mais recente" ou por uma razão real e justificada baseada na obsolescência e na continuação do não apoio (actualização) do sistema informático.

Portanto, a fim de garantir a ciber-segurança, é necessário manter as tecnologias em tal estado que elas sejam capazes de responder às mudanças associadas ao desenvolvimento das TIC. Em particular, as tecnologias (tanto hardware como software) devem ser mantidas actualizadas e seguras.

Embora as tecnologias sejam certamente uma parte importante do processo de criação e manutenção da cibersegurança, elas são, na nossa opinião, a parte menos importante. Elementos muito mais importantes da ciber-segurança são processos devidamente estabelecidos e pessoas que podem aplicar ou modificar os processos em questão na prática e seguir regras pré-acordadas.

Processos

"O mantra de qualquer bom engenheiro de segurança é: 'A segurança não é um produto, mas sim um processo. "É mais do que conceber uma criptografia forte num sistema; é conceber todo o sistema de modo a que todas as medidas de segurança, incluindo a criptografia, funcionem em conjunto".

Bruce Schneier[29]

Os processos são actividades que precisam de ser feitas para que as pessoas e as tecnologias possam utilizá-los.

Em termos da passagem do tempo, é possível monitorizar os processos de:

·       gestão de activos e riscos,

o   definição e categorização dos bens,

o   análise e categorização do risco,

·       implementação das TIC e aplicações,

·       gestão de utilizadores e funções,

·       autorização e autenticação,

·       manutenção (actualização) de sistemas e serviços,

·       testes de segurança de sistemas e serviços informáticos individuais,

·      análise das medidas correctivas,

·      implementação de medidas correctivas,

·      auditoria de ciber-segurança,

·       detecção de anomalias ou ciberataques,

·       resposta a ciberataques ou outros incidentes,

·       processos para assegurar a continuidade,

·       treino e exercícios, etc.

A lista acima referida de processos individuais associados à criação e manutenção da ciber-segurança não é certamente exaustiva, e os processos delineados podem ser granularizados. Os processos individuais são implementados dentro de todo o ciclo de vida das TIC, informação, dados e em relação aos utilizadores. [30]

A definição real dos processos, a sua manutenção ou modificação constante é a parte mais exigente da construção de ciber-segurança. Ao mesmo tempo, esta actividade coloca as mais elevadas exigências aos administradores de sistemas individuais.

Se a organização decidir implementar as regras de ciber-segurança, então é obviamente apropriado manter o hardware e o software actualizados, seguir as regras que são estabelecidas para o acesso a sistemas individuais, etc.

Se possível, é aconselhável realizar simulações de ciberataques típicos na organização (por exemplo, phishing, e-mail comercial, etc.) a fim de demonstrar realisticamente estes ataques e possíveis impactos se uma pessoa for vítima de tais ataques.

Os testes de penetração também lhe permitem encontrar erros em processos já definidos.

No entanto, ao criar e estabelecer regras de cibersegurança, a organização deve concentrar-se principalmente nos recursos humanos e na sua educação.

Tríade da CIA complementada por tecnologias, pessoas e processos[31]

1.2.3        Ciclo de vida da ciber-segurança

Do ponto de vista da passagem do tempo, é necessário aplicar ou modificar tanto a tríade da CIA como elementos parciais de ciber-segurança durante todo o ciclo de vida na implementação da ciber-segurança. Em particular, trata-se de prevenção, detecção e reacção ao ataque. [32]

Muito frequentemente, o ciclo de vida da ciber-segurança é representado por vários diagramas. Para maior clareza, apresento alguns deles.

Representação simplificada do ciclo de vida da ciber-segurança

Texto sobre a figura: Prevenção - Detecção - Resposta

Ciclo de vida da ciber-segurança de acordo com kybez.cz[33]

Texto sobre a figura: Ciber-segurança - ciclo de vida

ADMINISTRAÇÃO - AUDITORIA - RISCOS - MEDIDAS - IMPLEMENTAÇÃO

Quando se trata de ciber-segurança, não há "ponto de referência" dentro do qual se possa dizer: "Conseguimos! Estamos protegidos contra ciberataques ou ameaças. Estamos ciberneticamente seguros".

A construção e manutenção da ciber-segurança pode ser comparada a uma análise de risco sem fim, mas esta análise de rotina precisa de ser complementada por outros processos de apoio que podem ajudar a aumentar a ciber-segurança na organização.

Figura 7: Análise de risco

                                                                                                      Ciclo de vida da ciber-segurança 

A representação real do ciclo de vida da ciber-segurança pode ser muito mais complexa.[34]

Exemplo de solução de ciber-segurança

Evolução da ciber-segurança

No final deste subcapítulo, seria possível fazer uma simples pergunta: "Porque deveria eu (como indivíduo) ou uma organização lidar com a ciber-segurança de forma alguma?

A resposta não será tão complicada, embora seja necessário dissipar o mito muitas vezes enraizado de que outra pessoa, quer sejam grandes organizações como a Microsoft, Google, Apple ou fornecedores de serviços de nuvem, conectividade, etc., já está a abordar a questão da ciber-segurança para mim.

É verdade que estas organizações introduziram e aplicaram subelementos de ciber-segurança, mas a ciber-segurança, como qualquer outra segurança, começa e termina sempre com uma pessoa ou organização específica que se quer assegurar, sempre no que diz respeito às especificidades dessa pessoa ou organização.

Os seguintes factos emergem do Data Breach Investigations Report[35] para 2017, que trata das violações de segurança que conduzem ao comprometimento de dados:

·       atacante foi

·       um dos métodos dos ataques foi:

·       As vítimas são organizações que operam em:

·       motivo de ataque:

·       68% dos ataques só foram detectados após vários meses ou após um período mais longo

O gráfico seguinte apresenta o desenvolvimento de ataques individuais de 2010 até ao final de 2017.

Tipos de ataques utilizados para comprometer a segurança[37]

De acordo com um relatório da Agência Nacional de Cibersegurança e Segurança da Informação,[38] "é de esperar um novo aumento das ameaças cibernéticas em 2018, especialmente novos ataques de phishing da próxima geração, ataques a mercados, carteiras e trocas de moeda criptográfica, variantes de resgate sem ficheiros, utilização de inteligência artificial para ciberataques, ataques de dados em soluções Cloud, ataques à Internet das Coisas, sistemas industriais, etc. Espera-se que a percentagem de actores estatais ou apoiados pelo Estado em ciberataques aumente, e as fugas maciças de dados pessoais, palavras-passe e dados de acesso continuarão. É por isso que é necessário construir a ciber-segurança dos sistemas de informação e comunicação importantes para o funcionamento do Estado e da sua infra-estrutura crítica".[39]

A área da ciber-segurança será uma das áreas mais importantes no futuro, uma vez que se pode assumir que a utilização das TIC e dos serviços relacionados com estas tecnologias não será reduzida. A ciber-segurança destina-se a ajudar a identificar lacunas na configuração destes sistemas e serviços.

"A cibersegurança também ajuda a identificar, avaliar e enfrentar as ameaças no ciberespaço, reduzir os riscos cibernéticos e eliminar o impacto dos ciberataques, crimes de informação, ciberterrorismo e espionagem cibernética, reforçando a confidencialidade, integridade e disponibilidade de dados, sistemas e outros elementos das infra-estruturas de informação e comunicação.

O principal objectivo da ciber-segurança é a protecção do ambiente para fazer respeitar os direitos de informação humana".[40]