Com a globalização na utilização da Internet, as organizações e empresas beneficiam de um melhor canal de acesso aos seus serviços a partir de qualquer parte do mundo. Esta abertura e exposição ao exterior, faz com que a Internet, veículo de difusão de informação, possa ser usada para finalidades menos apropriadas, como sejam a, sabotagem, fraude, roubo de informação e chantagem, entre outros tipos de crimes e ataques cometidos contra as organizações.
A SGMAI, por se constituir como polo tecnológico, não ignora a dimensão da segurança como um vetor fundamental do seu trabalho tanto na vertente interna como na vertente externa.
Sendo a infraestrutura tecnológica um dos pilares fundamentais de suporte à gestão, operação e atuação de uma organização moderna, é pois de primordial importância a adequação dos sistemas de segurança e serviços de resposta a incidentes de segurança de acordo com os riscos expectáveis para a organização RNSI.
A SGMAI através do MAI.CSIRT já se interliga diretamente à Rede Nacional CSIRTS (serviços de resposta a incidentes de segurança informática) o que é fundamental para identificar proactivamente e a proteger-se contra possíveis ataques Cibernéticos. A equipa COSI permite ao MAI ter uma participação mais ativa na Rede Nacional CSIRT.
Os serviços de resposta a incidentes de segurança informática (CSIRTs) têm sido apontados como essenciais na prevenção e reação a este tipo de fenómeno.
Ao nível de gestão de redes e da segurança, a SGMAI defende a aplicação de três princípios fundamentais:
• Disponibilidade – garantir que a informação está disponível sempre que necessária;
• Integridade – garantir que a informação não sofre alterações indevidas ou não autorizadas;
• Confidencialidade – Só os utilizadores devidamente autorizados têm acesso à informação, cabendo à SGMAI garantir os mecanismos necessários ao nível de segurança dos documentos.
A abordagem é seguida em função da adoção de uma metodologia de melhoria contínua:
No que se refere ao espectro de serviços de segurança, destacamos o levantamento de requisitos, desenho e implementação de infraestruturas COSI em 2012.
Caracterização da plataforma COSI
• Relatórios das principais vulnerabilidades apresentadas no período em questão;
• Planos de ação para colmatar vulnerabilidades identificadas;
• Relatórios de issues de segurança identificados e tratados;
• Propostas de melhoria da política de segurança em prática;
• Identificação e caracterização das condições em que ocorreu uma violação de segurança num determinado período.
A equipa COSI é constituída por duas equipas, uma de seis elementos que funciona como uma primeira linha com cobertura 24h, designada por Unidade de Monitorização e Controlo que assegura os seguintes serviços:
• Apoio na supervisão dos eventos de segurança;
• Apoio na identificação de alertas emitidos consoante os diferentes níveis de gravidade dos ataques;
• Elaboração dos templates de relatórios periódicos que simplificam a análise dos eventos ocorridos;
• Parametrização de Dashboards de supervisão;
• Integração dos sistemas com a plataforma COSI;
• Análise dos eventos ocorridos por equipas especializadas de 2ª linha da UTIS;
• Report dos eventos/ alarmes deverá ser feito à Unidade de Gestão do COSI
• Abordagem à organização como um todo efetuada pela correlação de eventos.
A segunda equipa designada como unidade de gestão, faz toda a administração dos equipamentos de segurança com apoio da informação recebida, pela Unidade de Monitorização e Controlo.
Benefícios
• Visão geral sobre o estado da segurança da organização;
• Ações de melhoria continua através da visibilidade e análise dos incidentes;
• Reporting em tempo real e diferido;
• Obtenção de dados para justificação de investimentos em segurança.
• Capacidade de uma resposta proactiva por parte da SGMAI.