CSIRTs e CERTs

As equipas CERT/CSIRT são constituídas numa base voluntária, e é do seu interesse comunicar eficazmente entre si, trocar informações e conhecimentos importantes e cooperar. Por conseguinte, associam-se em organizações internacionais. Actualmente, as organizações mais conhecidas e activas que lidam com esta questão e criam um ambiente adequado para os objectivos acima referidos são as organizações internacionais GÉANT[1] e FIRST (Forum for Incident Response and Security Teams)[2] .

Ambas as organizações acima referidas iniciam e permitem reuniões regulares dos membros das equipas de segurança, troca de experiências e participam na definição das regras básicas de cooperação e comunicação entre as equipas CERT/CSIRT do mundo.

A organização europeia GÉANT gere várias actividades nas quais as equipas CERT/CSIRT mundiais podem participar se estiverem interessadas:

·      TF-CSIRT (Task Force for CSIRT) é um grupo de trabalho que permite às equipas trabalharem em conjunto sob a forma de reuniões regulares de dois a três dias, que têm lugar 3 vezes por ano. (Esta reunião é geralmente organizada por uma equipa CERT/CSIRT.) Mais informações podem ser encontradas em: https://tf-csirt.org/.

·      Formação CSIRT - utilizada para formar novos membros de equipas CSIRT/CERT, ou para aqueles que vão estabelecer uma equipa CERT/CSIRT. Realiza-se geralmente duas vezes por ano e os formadores são membros experientes de equipas CERT/CSIRT de renome e de outros peritos de segurança de topo. Mais informações podem ser encontradas em: https://tf-csirt.org/transits/.

·      Trusted Introducer[3] - um escritório cuja principal tarefa é criar confiança entre diferentes equipas CERT/CSIRT e ajudar na criação de novas equipas. Mais informações podem ser encontradas em: https://www.trusted-introducer.org/.

Para além da grande conferência anual realizada anualmente, FIRST organiza uma série de sessões de formação, cria directrizes e normas para o trabalho eficaz das equipas CERT/CSIRT e, naturalmente, coopera com a actividade TF-CSIRT.

Dentro da infra-estrutura global das equipas CERT/CSIRT, GÉANT e FIRST actuam como uma espécie de "garantia" de que a equipa que afirma ser uma equipa CERT/CSIRT é realmente assim, e que o padrão de conduta declarado é verdadeiro. Cada nova equipa que queira aderir à infra-estrutura de segurança passa por um processo de entrada que verifica que a equipa cumpre os padrões da comunidade, é transparente, e não há razões de força maior para a aceitar. No caso da infra-estrutura europeia (plataforma TF-CSIRT), este processo de entrada é fornecido pelo Introdutor de Confiança e é efectivamente solicitado pela nova equipa para se registar na lista de equipas e obter o estatuto de membro da lista.[4]

Entre as equipas existentes, deve haver também pelo menos duas equipas (os chamados patrocinadores) que irão apoiar uma nova equipa, e nenhuma equipa já estabelecida pode objectar à sua aceitação. Se tudo correr bem, a informação sobre a nova equipa é armazenada numa lista mantida pela TI (e parte dela é publicada), a equipa recebe o estatuto listado, e a comunidade dá as boas-vindas ao novo membro.

No caso do FIRST, o procedimento de entrada é muito semelhante, terminando apenas não pela concessão do estatuto, mas pela obtenção da qualidade de membro.

Ambos os processos têm uma coisa em comum - trata-se de determinar e divulgar a quantidade máxima de informação sobre uma dada equipa, descrever a sua conduta e perceber a questão da resolução de incidentes de segurança de modo a que corresponda às exigências da comunidade.

No caso do Introdutor de Confiança, é possível alcançar outros estatutos, mais significativos, nomeadamente os estatutos acreditados e certificados. As diferenças são as seguintes:

·      Uma equipa com o estatuto alcançado forneceu informações básicas sobre si própria, declarou o desejo de se comportar como uma equipa CSIRT e a comunidade aceitou-o.

·      Uma equipa com o estatuto acreditado declara à comunidade o nível exigido dos seus procedimentos e está empenhada em aderir a políticas de TI comuns.

·      Uma equipa com o estatuto de certificada provou então o seu "nível de maturidade" (maturidade) no âmbito do processo de certificação.

Ser uma equipa acreditada ou certificada requer um esforço contínuo para manter o estatuto da equipa. Parte deste esforço é também a obrigação de manter a informação da equipa actualizada na lista da TI. Se a equipa não o fizer a longo prazo, pode perder o seu estatuto e, na pior das hipóteses, ser expulsa pela comunidade. Esta obrigação aplica-se também às equipas listadas, as quais, se não passarem no processo de acreditação no prazo de três anos após a obtenção do estatuto listado, devem renovar o seu estatuto listado, demonstrando o apoio de outras equipas (ou seja, um processo de re-listagem). Este mecanismo assegura um elevado grau de actualidade da informação da lista de TI e, por conseguinte, a sua credibilidade.

Outra organização activa no domínio da segurança é a ENISA (Agência Europeia para a Segurança das Redes e da Informação, http://www.enisa.europa.eu/). Trabalha em estreita colaboração com os Estados-Membros da UE e o sector privado e abrange uma série de actividades, incluindo exercícios pan-europeus de cibersegurança, o desenvolvimento de estratégias nacionais de cibersegurança, a cooperação entre equipas CERT/CSIRT e o desenvolvimento de capacidades, abordando questões de protecção de dados e trabalhando em conjunto para criar e implementar legislação em matérias relacionadas com a Segurança da Informação em Rede (SRI).

As três organizações mencionadas têm mais uma função comum - reúnem o know-how de toda a comunidade e permitem a sua partilha (através da formulação dos chamados documentos de melhores práticas, instruções, recomendações).