Deteção de Incidentes de Cibersegurança: Capacidades Mínimas
Catarina Sousa Rego
Dissertação para obtenção do grau de Mestre em
Segurança da Informação e Direito no Ciberespaço
Orientadores:
Prof. Pedro Manuel Barbosa Veiga
Prof. Carlos Manuel Costa Lourenço Caleiro
Júri
Presidente: Prof. Paulo Alexandre Carreira Mateus
Supervisor: Prof. Pedro Manuel Barbosa Veiga
Membro do Comité: Prof. Ana Luísa do Carmo Correia Respício
Outubro, 2017
ii
Agradecimentos
Gostaria de começar por agradecer a todos os que me incentivaram e me apoiaram no desenvolvimento
deste trabalho, a nível pessoal, profissional e académico. A todos, muito obrigada.
Agradeço ao Centro Nacional de Cibersegurança a oportunidade de fazer o Mestrado em Segurança
de Informação e Direito no Ciberespaço e elaborar esta dissertação, nomeadamente ao Diretor Geral
Almirante António Gameiro Marques e ao Subdiretor Prof. Doutor Pedro Veiga.
Nos últimos três anos tive o privilégio de conhecer e trabalhar com excelentes profissionais de
diferentes organizações e sectores, agradeço todos os contributos, não só para esta dissertação, como
para o meu crescimento profissional. Aos meus professores deste Mestrado, ao Prof. Doutor Alexandre
Sousa Pinheiro, ao Prof. Doutor Carlos Caleiro e ao Prof. Doutor Eduardo Vera Cruz. E ainda ao Engº
Aurélio Blanquet, ao Engº Eugénio Baptista, ao Almirante José Torres Sobral e ao Engº Lino Santos.
Deixo um especial agradecimento a três amigos e especialistas em cibersegurança, Dr. Vítor Morais,
Engº Mauro Silva e Engº Nuno Fernandes, pelas preciosas contribuições.
Por fim, agradeço à minha família, por estar sempre lá.
iii
Resumo
Durante a última década, o ciberespaço e os seus componentes tornaram-se numa infraestrutura
essencial de suporte à comunicação, à realização de transações financeiras e comerciais e até à
prestação de serviços públicos ao cidadão. Num cenário de preocupante evolução das ciberameaças,
que têm afetado transversalmente toda a sociedade, interessa prevenir, detetar e reagir às ocorrências
dos ciberataques, evitando danos maiores resultantes da sua exploração contínua.
Com o objetivo de dotar as entidades que representem uma comunidade de utilizadores bem definida
em território nacional, com as valências mínimas para a deteção de incidentes de segurança no
ciberespaço, foi desenvolvido um modelo de maturidade que atua em quatro grandes dimensões:
técnica, humana, processual e organizacional. Este Modelo é constituído por cinco níveis de atuação,
que culminam na criação de uma equipa dedicada à deteção de incidentes de cibersegurança – Security
Operations Centre (SOC). O Modelo apresentado tem um elevado grau de abstração e providencia
uma orientação flexível, para poder ser interpretado por organizações de vários setores, estruturas e
dimensão. Este Modelo destina-se às autoridades nacionais de cibersegurança, aos responsáveis pela
sua implementação e avaliação, mas também aos decisores e gestores de topo – cuja formação em
áreas tecnológicas se tem mostrado essencial e inevitável.
Cada nível do Modelo de Maturidade de Deteção é constituído por um conjunto de ações, que foram
identificadas com base em documentos, experiências, grupos de colaboração e fóruns de discussão
nacionais e internacionais, reconhecidos nesta matéria. Este Modelo vai permitir obter um panorama
da maturidade de deteção de incidentes de cibersegurança de cada organização e, potencialmente,
um panorama nacional. Associado ao Modelo foram desenvolvidas linhas orientadoras para apoiar os
decisores na alocação do orçamento, com base na priorização das ações e tomando em consideração
a ordem proposta dos cinco níveis; o peso associado a cada ação, com base nas potenciais perdas
que o não cumprimento de uma ação possa ter; o custo estimado para cada ação; e o orçamento
disponível para o efeito.
A colaboração com o Centro Nacional de Cibersegurança, como autoridade nacional nesta matéria, a
forma como deve ser feita a troca da informação e a identificação dos principais atores da
cibersegurança nacional, também são temas abordados nesta dissertação.
Palavras-Chave: cibersegurança, deteção, incidentes, maturidade, SOC.
iv
v
Abstract
Over the last decade, cyberspace and its components have become an essential infrastructure for
supporting communication, conducting financial and commercial transactions, and even providing public
services to citizens. In a scenario of a worrisome evolution of cyber threats, which have affected
crosswise whole society, it is essential to prevent, detect and react to the occurrence of cyber attacks,
avoiding significant damages resulting from their continuous exploitation.
With the main goal of endowing critical entities with the minimum capabilities for the detection of
cybersecurity incidents, a maturity model was developed, acting in four major dimensions: technical,
human, procedural and organisational. This model is constituted by five levels, culminating in the
foundation of a team dedicated to the detection of incidents – Security Operations Center (SOC). The
presented model has a degree of abstraction and provides a flexible orientation to be interpreted by
organisations of various sectors, structures and sizes. This Model is intended for national cybersecurity
authorities, those responsible for its implementation and evaluation, but also for decision-makers and
top managers – whose training in technology areas has proved to be essential and inevitable.
Each level of the Detection Maturity Model consists of a set of actions that have been identified on the
basis of recognized national and international documents, experiences, collaboration groups and
discussion forums. This Model will provide an overview of the maturity of cyber security incident
detection of each organisation and potentially a national panorama. Along with the Model, guidelines
have been developed to assist decision-makers in budget allocation, based on prioritization of actions
and taking into account, the proposed order of the five levels; the weight associated with each action,
the potential losses that the non-performance of an action may have; the estimated cost for each action;
and the available budget for this purpose.
The necessary collaboration with the Portuguese National Cybersecurity Center, as the national
authority, the information exchange method and the identification of the leading players in the
Portuguese national cybersecurity are also topics addressed in this dissertation.
Keywords: cybersecurity, detection, incidents, maturity, SOC
vii
viii
Índice Agradecimentos ...............................................................................................................................................2
Resumo .............................................................................................................................................................3
Abstract .............................................................................................................................................................5
Índice de Tabelas .............................................................................................................................................6
Lista de Acrónimos e Siglas ...........................................................................................................................6
Glossário ...........................................................................................................................................................8
1. Introdução .................................................................................................................................................2
2. Metodologia de investigação ..................................................................................................................6
2.1. Normas de Cibersegurança......................................................................................................6
2.1.1. NIST Cybersecurity Framework (NCF) ........................................................................6
2.1.2. ISO/IEC 27001:2013 ..................................................................................................10
2.1.3. NCF e ISO/IEC 27001:2013 – comparativo ..............................................................12
2.2. Modelos de Maturidade em cibersegurança ..........................................................................13
2.2.1. Modelo de Maturidade C2M2 ....................................................................................13
2.2.2. Cybersecurity Capability Maturity Model (CMM) .......................................................15
2.2.3. CSIRT Maturity Kit – Netherland ...............................................................................16
2.3. System Administration, Networking and Security ..................................................................18
3. Centro Nacional de Cibersegurança ....................................................................................................19
3.1. CSIRT modus operandi ..........................................................................................................20
3.2. Equipa CERT.PT ....................................................................................................................21
3.3. Diretiva SRI/NIS e Rede de CSIRT Nacionais .......................................................................22
3.4. Ecossistema da cibersegurança nacional ..............................................................................23
3.3.1. Conselho Superior de Segurança do Ciberespaço ...................................................24
4. Enquadramento do Modelo de Maturidade de Deteção .....................................................................25
4.1. Objetivo ...................................................................................................................................25
4.2. Abordagem recomendada ......................................................................................................27
4.3. Desenho do Modelo ...............................................................................................................28
4.4. Requisitos ...............................................................................................................................30
4.5. Tratamento de informação pessoal pelas CSIRT ..................................................................30
4.5.1. Enquadramento jurídico nacional ..............................................................................30
viiii
4.5.2. IP dado pessoal? .......................................................................................................32
4.5.3. Anonimização dos dados...........................................................................................34
5. Modelo de Maturidade de Deteção .......................................................................................................38
5.1. Nível 1 – Preparação ..............................................................................................................40
5.2. Nível 2 – Arquitetura ...............................................................................................................44
5.3. Nível 3 – Segurança de dispositivos e aplicações .................................................................49
5.4. Nível 4 – Procedimentos de cibersegurança ..........................................................................51
5.5. Nível 5 – Centro de Operações ..............................................................................................54
5.6. Modelo Proposto – Resumo dos cinco níveis ........................................................................56
5.7. Aplicação do Modelo ..............................................................................................................56
6. Conclusões e Trabalho Futuro .............................................................................................................60
6.1. Contribuições ..........................................................................................................................61
6.2. Limitações e Trabalho Futuro .................................................................................................62
Bibliografia ......................................................................................................................................................64
ix
Índice de Figuras Figura 1 – NCF principais funções e categorias .......................................................................... 9 Figura 2 – NCF (Identificar) .......................................................................................................... 9 Figura 3 – NCF (Detetar)............................................................................................................ 10 Figura 4 – ISO/IEC 27001:2013 abordagem de aplicação da norma ........................................ 11 Figura 5 – Ecossistema da cibersegurança nacional ................................................................. 23 Figura 6 – CNCS e principais dependências ............................................................................. 24 Figura 7 – Capacitação em cibersegurança............................................................................... 25 Figura 8 – MMD Abordagem recomendada ............................................................................... 28 Figura 9 – MMD níveis ............................................................................................................... 29 Figura 10 – Arquitetura da rede TOR ......................................................................................... 36 Figura 11 – Servidor proxy ......................................................................................................... 36 Figura 12 – Capacidades nível 1 do MMD ................................................................................. 38 Figura 13 – Capacidades nível 2 do MMD ................................................................................. 39 Figura 14 – Capacidades nível 3 do MMD ................................................................................. 39 Figura 15 – Capacidades nível 4 do MMD ................................................................................. 40 Figura 16 – Capacidades nível 5 do MMD ................................................................................. 40 Figura 17 – MMD resumo dos níveis e ações ............................................................................ 56 Figura 18 – Exemplo de visualização Maturidade Deteção de Incidentes ................................. 58
xv
xvi
Índice de Tabelas Tabela 1 – NIST Cybersecurity Framework e as sete principais temáticas ................................. 7 Tabela 2 – ISO/IEC 27001:2013 e as sete principais temáticas ................................................ 11 Tabela 3 – C2M2 e domínios de cibersegurança ...................................................................... 14 Tabela 4 – CMM dimensões de cibersegurança ........................................................................ 16 Tabela 5 – Enterprise Strategy Group maturidade em cibersegurança ..................................... 26 Tabela 6 – Nível 1 do MMD ........................................................................................................ 41 Tabela 7 – Nível 2 do MMD ........................................................................................................ 45 Tabela 8 – Conjunto mínimo de registos a manter por SO ........................................................ 46 Tabela 9 – Conjunto mínimo de registos a manter por serviço .................................................. 47 Tabela 10 – Requisitos mínimos para os servidores ................................................................. 48 Tabela 11 – Nível 4 do MMD ...................................................................................................... 51 Tabela 12 – Nível 5 do MMD ...................................................................................................... 54
xv
xvi
Lista de Acrónimos e Siglas
Acrónimo Termo
CISO Chief Information Security Officer
CMDB Configuration Management Database
CNCS Centro Nacional de Cibersegurança
CSIRT Computer Security Incident Response Team
DoS Denial of Service
ENISA European Union Agency for Network and Information Security
HIDS Host Intrusion Detection System
IDS Intrusion Detection System
ISAC
Information Sharing and Analysis Center
ISP Internet Service Providers
IOC Indicator of Compromise
IoT Internet of Things
IP Internet Protocol
IT
Information Technology
LIR Local Internet Registry
M2M Machine to Machine
MMD Modelo de Maturidade de Deteção (desenvolvido no âmbito desta dissertação)
NIST National Institute of Standards and Technology
OT Operations Technology
PGP Pretty Good Privacy
xvii
SIEM Security Information and Event Management
SINP Sistema Interno de Normas e Políticas
SOC Security Operations Center
TLP Traffic Light Protocol
TOR The Onion Router
UE União Europeia
xviii
Glossário
Termo Definição Fonte(s)
Chief Information
Security Officer
Responsável máximo da governança de segurança da
informação de uma organização.
[1] [2]
Cibercrime Crime previsto e punido na Lei do Cibercrime, todo o crime que
recorre a tecnologia informática ou que se passa no ciberespaço.
[3]
Ciberdefesa Atividade do Estado Português destinada a garantir, no respeito
da ordem constitucional, das instituições democráticas e das
convenções internacionais, a independência nacional, a
integridade do território e a liberdade e a segurança das
populações contra qualquer agressão ou ameaça externas
através do ciberespaço.
[4]
Ciberespaço Ambiente complexo, de valores e interesses materializando uma
área de responsabilidade coletiva, que resulta da interação entre
pessoas, informação, sistemas de informação, equipamentos
tecnológicos e redes digitais, incluindo a Internet.
[5]
Ciberespionagem Prática de atos que, pondo em perigo interesses fundamentais
do Estado Português, visem transmitir, tornar acessível a pessoa
não autorizada, tornar público ou destruir, subtrair ou falsificar
informação classificada através da colaboração com governo,
associação, organização ou serviço de informações
estrangeiros, ou com agente seu, através do ciberespaço.
[6] [7] [8]
Cibersegurança Conjunto de medidas e ações de prevenção, monitorização,
deteção, reação, análise e correção que visam manter o estado
de segurança desejado e garantir a confidencialidade,
integridade, disponibilidade e não repúdio da informação, das
redes digitais e dos sistemas de informação no ciberespaço, e
das pessoas que nele interagem.
[9]
Ciberterrorismo Prática de atos que visem prejudicar a integridade e a
independência nacionais, impedir, alterar ou subverter o
funcionamento das instituições do Estado previstas na
Constituição, forçar a autoridade pública a praticar um ato, a
abster-se de o praticar ou a tolerar que se pratique, ou ainda
intimidar certas pessoas, grupos de pessoas ou a população em
geral através do ciberespaço, com fundamento, nomeadamente,
[10]
xviii
em motivações políticas, ideológicas ou religiosas.
Estratégia Nacional
de Segurança do
Ciberespaço
Estratégia fundada no compromisso de aprofundar a segurança
das redes e da informação, como forma de garantir a proteção e
defesa das infraestruturas críticas e dos serviços vitais de
informação, e potenciar uma utilização livre, segura e eficiente
do ciberespaço por parte de todos os cidadãos, das empresas e
das entidades públicas e privadas.
[11]
Framework Uma estrutura de conteúdo ou processo que pode ser usada
como ferramenta para estruturar o pensamento, garantindo
consistência e completude.
[12]
Governança Assegura que as necessidades, condições e opções do
stakeholder são avaliadas para determinar objetivos
empresariais equilibrados e acordados; definindo a estratégia
através da priorização e tomada de decisão; e monitorizando o
desempenho e a conformidade relativamente à estratégia e
objetivos acordados.
[2]
Hacktivismo Ação, por vezes ilegal, de hackers com propósitos ativistas, em
prol de uma causa. Expressar a deceção de alguém com algo,
tipicamente relacionado com causas políticas.
[13]
Incidente Evento com um efeito adverso real na segurança da informação,
das redes e dos sistemas de informação, podendo constituir em
simultâneo um ato tipificado como crime.
[14]
Risco Possibilidade de uma ameaça específica explorar as
vulnerabilidades internas e externas de uma organização ou de
um dos sistemas por ela utilizados, causando assim danos à
organização e respetivos ativos corpóreos ou incorpóreos. Mede-
se pela combinação entre a probabilidade de as ameaças
ocorrerem e o respetivo impacto.
[15]
Segurança das
Redes de dos
Sistemas de
Informação
A capacidade das redes e dos sistemas de informação para
resistir, com um dado nível de confiança, a ações que
comprometam a disponibilidade, a autenticidade, a integridade
ou a confidencialidade dos dados armazenados, transmitidos ou
tratados, ou dos serviços conexos oferecidos por essas redes ou
por esses sistemas de informação, ou acessíveis através deles.
[14]
xviii
Threat Intelligence Conhecimento baseado em evidências, incluindo contexto,
mecanismos, indicadores, implicações e conselhos acionáveis,
sobre uma ameaça existente ou emergente, ou riscos para ativos
que podem ser usados para tomar decisões sobre a resposta a
essa ameaça ou risco.
[16]
1
2
1. Introdução
“O segredo da mudança é o foco, não na luta contra o velho, mas na construção do novo”
Sócrates
A Internet veio possibilitar a existência de uma estrutura capaz de agregar, processar e organizar toda
a informação criando um novo espaço – o ciberespaço, rede global de infraestruturas de tecnologias
de informação interligadas, que inclui todos os serviços de informação acessíveis através da Internet,
servindo assim também de suporte tecnológico a infraestruturas vitais na nossa sociedade [17].
Estamos num novo mundo, um mundo em rede [18].
Esta nova realidade apresenta novas vulnerabilidades associadas a novos desafios, tendo-se verificado
um aumento de ataques, utilizando métodos cada vez mais sofisticados. São exemplos, o ataque de
larga escala WannaCry e o leak associado à campanha eleitoral de Emmanuel Macron, ambos
realizados no decorrer deste ano. Estes dois incidentes, com vetores de ataque e alegadas motivações
diferentes, são igualmente preocupantes.
O WannaCry foi um ransomware que afetou um elevado número de equipamentos e sistemas de
informação com sistemas operativos da série Windows (Microsoft). Este ataque explorou uma
vulnerabilidade do protocolo SMB (Server Message Block), produzindo um impacto de negação de
acesso aos ficheiros dos equipamentos através da cifra dos mesmos. Como é comum neste tipo de
ataque, foi solicitado ao utilizador o pagamento de uma quantia monetária, em Bitcoin, para que este
pudesse voltar a ter acesso aos mesmos ficheiros. Calcula-se que esta ação tenha atingido mais de
duzentos e trinta mil computadores, em mais de cento e cinquenta países no mundo inteiro. Apesar da
gravidade do ataque, as consequências parecem ter ficado aquém do que seria possível tendo em
conta o potencial de destruição que se pensa que o software teria. Mas o elevado número de infetados
torna dispensável conhecer a identificação do possível intuito estratégico e a previsão das potenciais
consequências que outro ataque semelhante poderá vir a ter. O conhecimento da lógica de quem ataca,
bem como a dimensão que poderá ter essa ação, são indispensáveis para elaborar estratégias de
resposta.
No caso do leak da campanha do candidato à presidência da República Francesa Emmanuel Macron
estamos perante uma ação direcionada. Dois dias antes das eleições presidenciais francesas, horas
antes da proibição legal das comunicações de campanha, foram publicados 9GB de e-mails
profissionais e pessoais de Emmanuel Macron. Foi especulado o vínculo deste ataque ao governo
Russo e essa hipótese levanta sérias preocupações relativas a uma potencial ciberguerra politica.
Nesta situação, a capacidade de intervenção em processos eleitorais, venha essa intervenção de onde
vier, e as suas consequências no exercício da democracia são novos problemas para a nossa vida em
sociedade.
Estas e outras vulnerabilidades mostram como a evolução das ciberameaças, no âmbito nacional e
internacional, afetam transversalmente toda a sociedade. Durante a última década, o ciberespaço e os
3
seus componentes tornaram-se numa infraestrutura essencial de suporte à comunicação, à realização
de transações financeiras e comerciais e até à prestação de serviços públicos ao cidadão. Neste
contexto, que vulgarmente designamos de sociedade da informação, as interações entre indivíduos,
empresas e Estado bem como a prestação de serviços essencias aos cidadãos como por exemplo os
cuidados da saúde são, cada vez mais, realizadas com recurso às Tecnologias da Informação e da
Comunicação (TIC) designadamente o computador, o telemóvel e a Internet [17].
A Internet of Things (IoT) já é uma realidade, neste conceito qualquer dispositivo que possa ser ligado
à Internet, será ligado. A IoT, alimentada pela comunicação Máquina-para-Máquina (M2M), representa
grandes oportunidades e desafios. Se corretamente implementada, pode melhorar eficiência do
negócio, a segurança e a responsabilidade ambiental. A IoT está a permitir que a indústria de cuidados
de saúde reduza a dependência dos seres humanos, de modo a reduzir o erro humano, fornecendo
também diagnósticos precoces e tratamento de doenças. No entanto, a IoT representa desafios
nomeadamente em cibersegurança, à medida que novos nós são adicionados às redes e à Internet, os
vetores de ataque aumentam, aumentando também a possibilidade da exploração das vulnerabilidades
existentes por atores maliciosos.
Neste cenário, a atuação de quem se preocupa com as questões relacionadas com o uso de tecnologias
de informação deve ter capacidade de detetar e reagir às ocorrências dos ciberataques, evitando danos
maiores resultantes da sua exploração contínua. Com o objetivo de organizar as entidades numa
componente de monitorização, deteção e resposta a incidentes de segurança no ciberespaço, surgem
as Computer Incident Response Teams (CSIRT) e Security Operations Center (SOC). Com o objetivo
de dotar as entidades que representem uma comunidade de utilizadores bem definida em território
nacional, com as valências mínimas para a deteção de incidentes de segurança no ciberespaço, foi
definido um conjunto de capacidades mínimas – técnicas, humanas, processuais e organizacionais –
que constituem uma base harmonizada e desejável nesta matéria.
Assim, a necessidade do desenvolvimento de um Modelo de Maturidade de Deteção (MMD) surge, não
só como resposta ao cenário da alarmante evolução das ciberameaças descrito anteriormente, mas
também na sequência dos objetivos nacionais delineados na Estratégia Nacional de Segurança do
Ciberespaço, nomeadamente nos Eixos 1 e 3 – estrutura de segurança do ciberespaço e proteção do
ciberespaço e das infraestruturas, respetivamente. Na Estratégia está previsto o desenvolvimento de
capacidades nacionais de deteção de ataques aos sistemas de informação, que permita alertar as
entidades competentes, ajudar a entender a natureza dos ataques e criar as necessárias
contramedidas [11].
O trabalho que tem vindo a ser desenvolvido pelo CNCS nos últimos três anos, como o desenvolvimento
de boas práticas, políticas internas e procedimentos operacionais internos e de colaboração com
entidades externas; foi integrado neste Modelo. Não só este tipo de documentos, mas também a
organização de ações de formação e sensibilização e a organização de eventos como o Exercício
Nacional, que terá a sua primeira versão em maio de 2018 e está previsto na última fase deste Modelo,
ficarão disponíveis para as entidades pertencentes à comunidade do CNCS. A partilha de informação
e a presença das entidades na Rede Nacional de CSIRT é contemplada, intenção que tem em vista,
4
não só a partilha de indicadores de compromisso e documentos, como também a partilha de
experiências – aprender também com a experiência dos outros para além da nossa tem-se mostrado
fundamental para fazer face ao rápido crescimento tecnológico e aos seus desafios.
A aplicação deste Modelo a toda a comunidade do CNCS irá estabelecer um patamar homogéneo na
deteção de incidentes de cibersegurança. Mostra-se essencial definir requisitos mínimos comuns de
desenvolvimento de capacidades de deteção e de planeamento, para o país evoluir na mesma direção,
otimizando o processo de evolução. A definição de pontos de contacto por cada entidade irá facilitar o
desenvolvimento da confiança entre as equipas de segurança, promovendo uma cooperação
operacional célere e eficaz. Este alinhamento nacional, onde o CNCS atua como centralizador, irá
permitir obter o quadro situacional de todo o país.
O CNCS é o ponto de contacto único nacional e irá assegurar a cooperação transfronteiriça das
autoridades congéneres e com a Comissão Europeia. Para isso, tem de estar na posse de toda a
informação necessária, para conseguir responder aos desafios das organizações e do país, garantindo
a preservação dos interesses nacionais.
O desenvolvimento do Modelo de Maturidade de Deteção teve por base a análise de metodologias de
implementação da segurança da informação em organizações, nomeadamente a ISO/IEC 27001:2013
e a NIST Cybersecurity Framework. Analisámos também documentos nacionais, como a taxonomia
adotada pela Rede Nacional de CSIRT; documentos produzidos por congéneres do Centro Nacional
de Cibersegurança (CNCS), como os Centros Nacionais de Cibersegurança Holandês e Americano;
documentos desenvolvidos por órgãos internacionalmente reconhecidos como a ENISA, ISACA e
SANS; assim como modelos desenvolvidos para sectores específicos, tal como o C2M2 produzido pelo
US Department of Energy. A análise dos vários documentos foi complementada pela experiência da
participação em fóruns de discussão, nomeadamente na Comissão Europeia e na National Defense
University; assim como a experiência obtida com a comunidade do CNCS nos últimos três anos a
trabalho. Esta análise foi desenvolvida no Capítulo 2.
O Capítulo 3 apresenta o CNCS, posicionando-o enquanto autoridade nacional de cibersegurança e
descreve as interações que terá com as organizações pertencentes à sua comunidade integradas no
quadro jurídico nacional e europeu.
O Capítulo 4 apresenta aspetos sobre o Modelo de Maturidade de Deteção que será depois descrito
no Capítulo seguinte, para que este seja implementado corretamente. O Modelo apresentado tem um
levado grau de abstração e providencia uma orientação flexível, para que possa ser interpretado por
organizações de vários setores, estruturas e dimensão.
No Capítulo 5 é desenvolvido o Modelo de Maturidade de Deteção e são detalhadas as cinco fases do
Modelo – são apresentadas as ações para cada nível, assim como os requisitos técnicos necessários.
Também neste capítulo e, para apoio aos decisores, foram desenvolvidas linhas orientadoras para
alocação do orçamento, com base na priorização das ações e tomando em consideração, a ordem
proposta dos cinco níveis; o peso associado a cada ação, com base nas potenciais perdas que o não
cumprimento de uma ação possa ter; o custo estimado para cada ação; e o orçamento disponível.
5
O Capítulo 6 apesenta as conclusões; os novos contributos que esta dissertação pretende trazer; e as
propostas de evolução deste trabalho bem como as metodologias necessárias para responder às
constantes evoluções das ciberameaças.
O Modelo de Maturidade de Deteção apresentado tem um elevado grau de abstração e providencia
uma orientação flexível, para poder ser interpretado por organizações de vários setores, diferentes
estruturas e dimensões; e foi desenhado para ir ao encontro das necessidades nacionais. Esta
dissertação pretende, não só recomendar uma solução de capacidades mínimas de deteção de
incidentes, permitindo a perceção do panorama nacional, mas também desenhar diretrizes de decisão
para os gestores de topo que, muitas vezes, ainda não possuem o conhecimento técnico necessário
que suporte as decisões no âmbito da cibersegurança.
6
2. Metodologia de investigação
A segurança da informação é um processo de negócio que visa garantir a confidencialidade, integridade
e disponibilidade da informação do negócio, mitigando os riscos e os possíveis impactos negativos que
estes poderiam trazer para o cumprimento da missão. Parte do resultado de uma boa atuação para
garantir a segurança da informação, é obtida pela avaliação do risco associada à elaboração de
políticas, à criação de procedimentos operacionais, à definição de ações de formação e sensibilização
interna e pela aplicação de controlos que direcionam o uso de recursos de tecnologia adequados para
a segurança de IT. A identificação dessas atividades, assim como o modo como devem ser
implementadas, fazem parte das responsabilidades do profissional de cibersegurança. Como forma de
apoiar o trabalho deste profissional, existem diversos padrões, guias e normas que o auxiliam a decidir
a alocação de recursos e orçamento, assim como a priorizar as suas ações como parte de um processo
sistemático e organizado.
Este capítulo faz a análise de documentos já existentes, no âmbito da deteção de incidentes, de modo
a evitar possíveis lacunas e reduzir a duplicação de esforços realizados por outras instituições. A
análise irá avaliar as capacidades, identificando limitações e melhorias quanto à possível adaptação à
realidade nacional.
2.1. Normas de Cibersegurança
Este capítulo irá analisar duas metodologias sobre como implementar a cibersegurança numa
organização. A National Institute of Standards and Technology (NIST), organização governamental
americana, desenvolveu um modelo dedicado à cibersegurança – NIST Cybersecurity Framework [19].
A International Organization for Standardization (ISO), organização independente com representação
de 246 países, desenvolveu um modelo específico para um sistema de gestão da segurança da
informação – ISO/IEC 27001:2005 [1].
2.1.1. NIST Cybersecurity Framework (NCF)
Em 2014, a NIST publicou um documento intitulado “Framework for Improving Critical Infrastructure
Cybersecurity”, vulgarmente designado como “Cybersecurity Framework”, para servir de orientação às
organizações que operam ou prestam serviços a infraestruturas críticas, com uma metodologia sobre
como implementar cibersegurança dentro de uma organização. Este modelo pode ser adaptado para
diferentes negócios ou processos dentro de uma organização, com diferentes necessidades e
tolerância de risco. Este documento surge no mandato do presidente Obama, decorrente da ordem
executiva “Improving Critical Infrastructure Cybersecurity”, como parte da sua política nacional para a
proteção adequada do ciberespaço, encorajando a eficiência, inovação e prosperidade económica; ao
7
mesmo tempo que promove a proteção (safety), segurança (security), confidencialidade do negócio,
privacidade e liberdades civis [20].
Este modelo ilustra o modo se pode criar ou melhorar um programa de cibersegurança numa
organização. Consiste em sete níveis, detalhados na Tabela 1, que devem ser repetidos as vezes
necessárias para continuamente melhorar a cibersegurança [19].
Tabela 1 – NIST Cybersecurity Framework e as sete principais temáticas
NÍVEL OBJETIVO DESCRIÇÃO
1 Definir o âmbito e priorizar A gestão de topo identifica os seus objetivos de negócio e desenvolve
uma priorização organizacional de alto nível. Com esta informação, a
organização toma decisões estratégicas no que toca a implementações
de cibersegurança e determina o universo onde irá trabalhar, com os
sistemas e ativos que suportam os processos inicialmente selecionados.
2 Orientar Uma vez definido o universo de serviços/processos do programa de
cibersegurança e os respetivos sistemas e ativos, a organização
identifica os requisitos regulatórios e desenvolve uma primeira
abordagem ao risco, com as ameaças e vulnerabilidades dos sistemas e
ativos identificados.
3 Perfil inicial Avaliação inicial da organização quanto às categorias e subcategorias da
NCF.
4 Análise de risco Estudo da probabilidade de um dado evento ocorrer e o impacto que esse
evento poderia ter na organização. É importante que as organizações
incorporarem riscos emergentes e dados de ameaças e vulnerabilidades
para facilitar a compreensão da probabilidade e impacto de eventos de
cibersegurança.
5 Perfil pretendido A organização cria o perfil pretendido, de acordo com as categorias e
subcategorias da NCF. As organizações também podem desenvolver as
suas próprias categorias e subcategorias para responder a riscos
organizacionais únicos e considerar influências e requisitos de partes
interessadas externas, como entidades do setor, clientes e parceiros
comerciais.
6 Lacunas Comparação do perfil inicial com o perfil pretendido para identificar
lacunas e criar um plano de ação. O plano deve ser priorizado com base
na missão do negócio, análise de custo-benefício e compreensão de
risco para alcançar os resultados pretendidos. A organização então
determina os recursos necessários para atingir os objetivos do plano.
8
Tabela 2 – NIST Cybersecurity Framework e as sete principais temáticas
NÍVEL OBJETIVO DESCRIÇÃO
7 Implementar plano de ação São definidas quais as ações a tomar com base na identificação de
lacunas do ponto anterior. A NCF fornece exemplos de referências para
as diferentes subcategorias, mas são as organizações que devem
determinar quais as diretrizes que funcionam melhor para as suas
necessidades.
O Modelo de Maturidade de Deteção, apresentado no Capítulo 5, sugere uma abordagem que consiste
em quatro fases, que deverão ser repetidas num processo de melhoria contínua com as lições
aprendidas. A primeira fase é de avaliação inicial, desta fase fazem parte os níveis 2, 3 e 4 da NCF. A
segunda fase é de análise de lacunas, desta fase faz parte o nível 6 da NCF. A terceira fase consiste
em priorizar e delinear o plano, desta fase faz parte o nível 1 da NCF. A quarta e última fase é de
implementação do plano e desta fase faz parte o nível 7 da NCF.
O nível 5 da NCF não foi incluído pois o Modelo aqui desenvolvido apresenta as capacidades mínimas
de deteção de incidentes e consequentemente o plano objetivo para todas as entidades será o
cumprimento de todas as ações propostas.
A NCF tem como base a gestão de risco e consiste na descrição de cinco funções consideradas as
principais no âmbito da cibersegurança: identificação, proteção, deteção, resposta e recuperação. A
cada uma destas funções, são associadas categorias que estão intimamente ligadas às atividades a
implementar, nomeadamente o controlo de acessos e a gestão dos ativos. As categorias ainda se
dividem em subcategorias, com os resultados específicos de atividades técnicas e/ou de gestão – como
a catalogação dos sistemas de informação externos; que por sua vez têm referências associadas,
diretrizes mais exaustivas que ilustram o modo como alcançar os resultados associados a cada
subcategoria (como a ISO/IEC 27001:2013, COBIT, NIST SP 800-53, ISA 62443 e CCS CSC).
Sugerimos a leitura das subcategorias e referências, que podem ajudar ao desenvolvimento das ações
propostas no modelo de Maturidade de Deteção [19].
A Figura 1 sumariza cada uma das cinco funções e as suas categorias.
9
Figura 1 – NCF principais funções e categorias
No âmbito deste trabalho, só irão ser analisadas as funções macro de identificação e deteção.
Identificação
A função de identificação desenvolve o conhecimento organizacional necessário para gerir riscos de
cibersegurança, relativos a sistemas, ativos, dados e capacidades. Esta primeira função é fundamental
para aplicar as restantes quatro funções. Dela fazem parte compreender o contexto do negócio, os
recursos que suportam funções críticas e os riscos associados permitindo que a organização priorize
esforços, consistente com a estratégia de gestão do risco e com as necessidades do negócio. São
exemplos de resultados desta função, gestão de ativos, governança e análise de risco [19].
Figura 2 – NCF (Identificar)
Todas as ações que constam desta fase e se encontram identificadas na Figura 2, estão incluídas no
primeiro nível do Modelo de Maturidade de Deteção apresentado no Capítulo 5, complementadas com
a definição de canais de comunicação e a sensibilização do quadro jurídico nacional e internacional
para colaboração com as autoridades, nomeadamente o CNCS.
Deteção
A função de deteção tem como objetivo desenvolver e implementar atividades que permitam descobrir
10
em tempo útil eventos de cibersegurança. São exemplos de resultados desta função, anomalias e
eventos, monitorização continua de segurança e processos de deteção [19].
Figura 3 – NCF (Detetar)
A deteção de anomalias e eventos e a monitorização contínua são ações que constam do segundo
nível do Modelo de Maturidade de Deteção apresentado no Capítulo 5; e a definição dos processos de
deteção, consta no nível 4 do mesmo Modelo.
2.1.2. ISO/IEC 27001:2013
A International Organization for Standardization (ISO) é uma organização independente, não
governamental, com representação de 246 países e que aprova padrões/normas internacionais num
grande número de áreas de interesse económico e técnico, nomeadamente de cibersegurança [21] e
desenvolveu a ISO/IEC 27001:2013 em colaboração com a IEC (International Electrotechnical
Comission).
A família ISO/IEC 27000 pretende servir de guia para tornar a informação dos ativos de uma
organização seguros. Esta providencia requisitos para um sistema de gestão da segurança da
informação para qualquer tipo de organização: com ou sem fins lucrativos, pública ou privada, pequena
ou grande. O Anexo A desta norma fornece uma ferramenta essencial para gerir a segurança: uma lista
de controlos de segurança, a serem usados para melhorar a segurança da informação [21].
A ISO/IEC 27001:2013 criou um padrão mundial de orientações flexível, para possibilitar a sua
aplicação a qualquer tipo de instituição. Tem como ideia central a gestão de risco; assim, só depois de
identificar, mapear e quantificar o risco, se traça um plano com medidas para o seu tratamento. As
centenas de contramedidas (controlos) para mitigação dos riscos, estão descritas no Anexo A [1]; e a
forma como um controlo deve ser implementado está descrita na ISO/IEC 27002:2013, que é o manual
de implementação dos controlos de segurança de informação [2].
A abordagem utilizada para a implementação do modelo desenvolvido no âmbito desta dissertação,
consiste em quatro fases e é conhecida pelo acrónimo PDCA (Plan, Do, Check, Act), conforme
representado na Figura 4. É uma abordagem genérica para poder ser usada em qualquer situação e
11
deve ser aplicada iterativamente para níveis sucessivos de melhoria contínua e aumento incremental
do âmbito. A primeira fase, de planeamento, estabelece o sistema de gestão da segurança da
informação, documentação e registos, incorporando a continuidade do negócio. A segunda fase, de
realização, consiste em implementar e operar as politicas, controlos, processos e procedimentos,
identificados no nível anterior. A terceira fase, de verificação, consiste em avaliar e, quando aplicável,
medir a performance de acordo com o definido e reportar os resultados à gestão para revisão. A quarta
fase, de ação, consiste em tomar ações corretivas e preventivas, com base nos resultados de auditorias
internas e revisão da gestão, para alcançar melhoria contínua do processo [1].
Figura 4 – ISO/IEC 27001:2013 abordagem de aplicação da norma
A abordagem sugerida no Capítulo 5, para aplicação do Modelo de Maturidade de Deteção, inclui todas
as fases apresentadas na abordagem da ISO/IEC 27001:2013.
Uma das vantagens da ISO/IEC 27001:2013 é não se focar apenas em tecnologias da informação,
também inclui outras temáticas como a segurança física, a proteção jurídica, a gestão de recursos
humanos, entre outros; todos eles são necessários para a segurança da informação. Esta norma
encontra-se dividida em sete grandes áreas, conforme apresentado na Tabela 2.
Tabela 3 – ISO/IEC 27001:2013 e as sete principais temáticas
CONCEITO DESCRIÇÃO
Contexto da organização Âmbito, sistema de gestão da segurança da informação
Liderança Compromisso, políticas, funções organizacionais, responsabilidades e autoridades
12
Tabela 4 – ISO/IEC 27001:2013 e as sete principais temáticas
CONCEITO DESCRIÇÃO
Planeamento Ações para tratar o risco, objetivos de segurança da informação e planeamento
Suporte Recursos, competências, sensibilização, comunicação, informação documentada
Operações Planeamento e controlo, avaliação do risco, tratamento do risco
Avaliação de desempenho Monitorização, medição, análise e avaliação, auditoria, revisão
Aperfeiçoamento Não-conformidade, melhoria continua
Todos os conceitos apresentados na Tabela 2, na vertente de deteção, foram considerados essenciais
e foram incluídos no Modelo de Maturidade de Deteção apresentado no Capítulo 5.
O Anexo A está intimamente ligado ao planeamento e às ações concretas associadas à análise de
risco e consiste em 114 controlos de segurança, entre os quais estão politicas de segurança da
informação, gestão de ativos, controlo de acessos, criptografia e relações com fornecedores. Cada
organização deverá selecionar aqueles que melhor se adequem à sua realidade.
O Anexo A da ISO/IEC 27001:2013 especifica os controlos, mas não detalha sobre cada um. Tem como
objetivo dar a conhecer o que é preciso alcançar, mas não detalha a forma como o fazer. Esta é a
finalidade do ISO/IEC 27002:2013 – tem exatamente a mesma estrutura que o ISO/IEC 27001:2013
Anexo A: cada controle do Anexo A existe na ISO/IEC 27002:2013 juntamente com uma explicação
mais detalhada sobre como implementá-la.
Novamente, à semelhança da NCF, sugerimos a leitura da ISO/IEC 27001:2013 [1] e ISO/IEC
27002:2013 [2], para apoiar o desenvolvimento das ações propostas no Modelo de Maturidade de
Deteção.
2.1.3. NCF e ISO/IEC 27001:2013 – comparativo
Ambas a NCF e a ISO/IEC 27001:2013 são metodologias de implementação de programas de
cibersegurança numa organização, sendo neutras em termos de tecnologia e aplicáveis a qualquer tipo
de organização. Ambas se baseiam na gestão de riscos, isso significa que exigem que as salvaguardas
sejam implementadas somente se os riscos de cibersegurança forem detetados. Ambas estas
características são comuns ao Modelo de Maturidade de Deteção apresentados no Capítulo 5.
13
A NCF está dividida em cinco funções, que se dividem em vinte e duas categorias relacionadas – muito
semelhante às secções do Anexo A da ISO/IEC 27001:2013, como a gestão de risco ou a gestão de
ativos; que se dividem em noventa e oito subcategorias – muito semelhantes aos controlos do Anexo
A da ISO/IEC 27001:2013.
A maior diferença entre as duas normas consiste no facto da ISO/IEC 27001:2013 se apresentar como
um método que se foca na segurança da informação como parte de um sistema de gestão, enquanto
que a NCF se apresenta como um guia de ações para tratamento de riscos em cibersegurança. Tendo
em consideração a necessidade de um plano holístico para que a cibersegurança seja incluída em
todas as áreas do negócio, o Modelo de Maturidade de Deteção apresentado no Capítulo 5 foi
desenvolvido à semelhança da ISO/IEC 27001:2013, como um método que pretende criar uma cultura
de cibersegurança na organização.
A NCF propõe no seu modelo a implementação de ações e controlos, mas não detalha o modo como
o fazer, no fim, vai apontar para controlos da ISO/IEC 27001:2013 (ou outras referências). Neste caso
particular, o Modelo desenvolvido foi desenhado com os mesmos princípios que a NCF, faz uma
abordagem do que deve ser feito com algumas linhas orientadoras, mas não detalha o modo como
chegar a cada ação específica, esse modo tem de ser escolhido pela organização em causa de acordo
com o negócio em causa.
Uma das vantagens da ISO/IEC 27001:2013 é que certifica organizações, sendo a norma mais
reconhecida e aceite internacionalmente, no entanto a NCF foca-se apenas em dar linhas orientadoras
para planear e implementar a cibersegurança. O Modelo de Maturidade de Deteção apresentado no
Capítulo 5 não aborda a questão da certificação, atividade que atualmente não está a ser desenvolvida
pelo Centro Nacional de Cibersegurança. Mas no futuro, fará sentido que o CNCS o possa fazer,
certificando as entidades pertencentes à sua comunidade quanto ao seu nível de maturidade.
2.2. Modelos de Maturidade em cibersegurança
Neste Capítulo irão ser abordados três modelos de maturidade de cibersegurança, desenvolvidos pelos
americanos, ingleses e holandeses, respetivamente.
2.2.1. Modelo de Maturidade C2M2
O Departamento de Energia dos Estados Unidos da América (DOE) desenvolveu o Modelo de
Maturidade de Capacidade de Cibersegurança para apoiar uma iniciativa da Casa Branca liderada pelo
DOE, em parceria com o Departamento de Segurança Interna (DHS) e com especialistas do sector
público e privado. O programa de maturidade das capacidades de cibersegurança (C2M2) [22] pretende
14
ajudar as organizações, independentemente da dimensão, tipo ou indústria; a avaliar, priorizar e
melhorar as suas capacidades de cibersegurança.
O C2M2 centra-se na implementação e gestão de práticas de cibersegurança associadas à operação
e uso de tecnologia da informação e ativos de tecnologia operacional e os ambientes em que operam.
O objetivo é apoiar o desenvolvimento contínuo e a medição de capacidades de cibersegurança em
qualquer organização: robustecer as capacidades de cibersegurança das organizações; permitir que
as organizações avaliem e façam estudos de mercado efetivos e consistentes das suas capacidades
de cibersegurança; partilhar conhecimento, boas práticas, e referências relevantes transversalmente à
organização; permitindo a priorização das ações e investimentos para melhorar a cibersegurança; e
suportando a adoção da NCF [22].
O programa C2M2 é composto por três modelos de maturidade: o modelo padrão, “The Cybersecurity
Capability Maturity Model” (C2M2), e dois modelos específicos para o sector da energia, que incluem
referências e linhas orientadoras adicionais adaptadas para os segmentos de eletricidade e o segmento
de petróleo e gás natural: “The Electricity Subsector Cybersecurity Capability Maturity Model (ES-
C2M2)” [23]; e “The Oil and Natural Gas Subsector Cybersecurity Capability Maturity Model” (ONG-
C2M2) [24].
O Modelo C2M2 está organizado em dez domínios, como apresentado na Tabela 3, em que cada
domínio é um agrupamento lógico de práticas de cibersegurança [22].
Tabela 5 – C2M2 e domínios de cibersegurança
DOMÍNIO DESCRIÇÃO
Gestão de risco Estabelecer, operar e manter um programa de gestão de risco de
cibersegurança para identificar, analisar e mitigar o risco da organização,
considerando as suas unidades de negócio, subsidiárias, infraestruturas
relacionadas e stakeholders.
Gestão de ativos, mudança e
configuração
Gerir os recursos de IT e OT da organização, incluindo hardware e software.
Gestão de identidade e acesso Criar e gerir identidades para entidades que podem ter acesso físico ou lógico
aos recursos da organização. Controlar o acesso aos ativos da organização.
Gestão de ameaças e vulnerabilidades Estabelecer e manter planos, procedimentos e tecnologias para detetar,
identificar, analisar, gerir e responder a ameaças e vulnerabilidades de
cibersegurança.
15
Tabela 6 – C2M2 e domínios de cibersegurança
DOMÍNIO DESCRIÇÃO
Consciência Situacional Estabelecer e manter atividades e tecnologias para coletar, analisar, criar
alarmísticas, apresentar e usar informações operacionais e de cibersegurança,
incluindo status e informações resumidas dos outros domínios do modelo, para
formar uma imagem operacional comum.
Partilha de informações e
comunicações
Estabelecer e manter relacionamentos com entidades internas e externas para
coletar e fornecer informações de cibersegurança, incluindo ameaças e
vulnerabilidades, para reduzir riscos e aumentar a resiliência operacional.
Resposta a Eventos e Incidentes,
Continuidade das Operações
Estabelecer e manter planos, procedimentos e tecnologias para detetar,
analisar e responder a eventos de cibersegurança e para sustentar operações
no decurso de um evento.
Supply chain e gestão de
dependências externas
Estabelecer e manter controles para gerir os riscos de cibersegurança
associados a serviços e ativos que dependem de entidades externas.
Gestão dos trabalhadores Estabelecer e manter planos, procedimentos, tecnologias e controles para criar
uma cultura de cibersegurança e garantir a adequação e competência
contínuas do pessoal.
Gestão do Programa de
Cibersegurança
Estabelecer e manter um programa de cibersegurança empresarial que forneça
governança, planeamento estratégico e patrocínio para as atividades de
cibersegurança da organização de forma a alinhar os objetivos da
cibersegurança com os objetivos estratégicos da organização e o risco para as
infraestruturas críticas.
Todos estes domínios foram incorporados no Modelo de Maturidade de Deteção apresentado no
Capítulo 5, sendo que na gestão de ameaças e vulnerabilidades, apenas focámos a deteção de
incidentes de cibersegurança.
2.2.2. Cybersecurity Capability Maturity Model (CMM)
O Global Cyber Security Capacity Centre (GCSCC) é um centro de pesquisa internacional sobre a
capacitação eficiente e efetiva em matéria de cibersegurança. O GCSCC, em 2014, publicou o
Cybersecurity Capability Maturity Model (CMM) [25] desenvolvido com a cooperação de parceiros
estratégicos. Desde então este modelo tem vindo a ser revisto e ajustado.
As cinco dimensões consideradas cruciais para elevar a cibersegurança encontram-se apresentadas
16
na Tabela 4.
Tabela 7 – CMM dimensões de cibersegurança
DIMENSÃO FACTORES
Politicas e estratégia Estratégia Nacional de Cibersegurança, resposta a incidentes, proteção de infraestruturas
críticas, gestão de crise, considerações de ciberdefesa, redundância nas comunicações.
Cultura e sociedade Cultura de cibersegurança, confiança na internet, compreensão do utilizador de proteção de
dados pessoais on-line, mecanismos de reporte, media e social media.
Educação, treino e
perícia
Sensibilização, framework para educação, framework para formações profissionais.
Frameworks jurídicas e
regulatórias
Frameworks jurídicas, sistema de justiça criminal, frameworks de colaboração formais e
informais para combater o cibercrime.
Standards, modelos de
negócio e tecnologia
Adesão aos standards, resiliência da infraestrutura da Internet, qualidade do software,
controlos técnicos de segurança, controlos criptográficos, mercado de cibersegurança,
divulgação responsável.
A Lituânia, em abril deste ano, submeteu várias entidades representativas do seu ecossistema nacional –
como entidades do sector público, legisladores, justiça criminal, academia e sector privado; a uma
avaliação da maturidade de cibersegurança, utilizando o modelo CMM. O relatório resultado desta
avaliação [26], foi o panorama das capacidades de cibersegurança da Lituânia, representada através de
um gráfico radar com as estimativas de maturidade em cada dimensão, e recomendações facultadas à
República da Lituânia, com vista a prestar um serviço de consultoria/aconselhamento.
Este relatório é um bom exemplo do que poderia resultar de uma avaliação do CNCS às entidades
pertencentes à sua comunidade, ajudando, não só a obter uma primeira perceção do panorama nacional,
como também a fornecer linhas orientadoras relativas aos passos seguintes que cada entidade deveria
seguir para elevar a maturidade da cibersegurança na sua organização.
2.2.3. CSIRT Maturity Kit – Netherland
O Centro Nacional de Cibersegurança da Holanda, em 2015, publicou um documento para servir de
guia às equipas de Computer Security Incident Response Team (CSIRT), intitulado “CSIRT Maturity Kit
17
– A step-by-step guide towards enhancing CSIRT Maturity” [27]. Este documento foca-se na reação a
incidentes, mas contém alguns aspetos que nos pareceram interessantes para incluir no Modelo que
desenvolvemos.
Na primeira fase de desenvolvimento da maturidade um dos aspetos referidos são as restrições legais,
que devem ser garantidas pela organização, tais como: proteção de dados, proteção de informações
privadas no setor da saúde, liberdades civis, privacidade; analisando-se o quadro jurídico aplicável a
cada um dos tópicos no respetivo país.
Numa segunda fase, entre muitas outras atividades destaca-se a classificação de incidentes, utilizando
uma taxonomia comum ao país. São dados dois exemplos de taxonomias aceites a nível europeu, a
adotada pelo TF CSIRT Trusted Introducer e a adotada pelo FIRST. Ainda nesta segunda fase, é dado
um grande destaque à cooperação nacional e internacional, para facilitar a colaboração e definindo o
CSIRT nacional como ponto de contacto único. Também é identificada a necessidade da cooperação
com os Órgãos de Policia Criminal e a colaboração setorial.
Na fase procedimental, para além dos processos que temos visto, há referência também aos processos
de colaboração com os media, sendo enfatizada a habilidade e experiência para o fazer de forma
construtiva, sem divulgar mais do que o pretendido.
No âmbito da deteção de incidentes são identificadas quatro ferramentas para ajudar a equipa de
segurança:
1. IntelMQ1: ferramenta que coleta e processa feeds de segurança (semelhante ao AbuseHelper),
recentemente desenvolvida por iniciativa do CERT nacional português (na altura, RCTS CERT)
e pelo CERT da Áustria (CERT.at).
2. TARANIS2: ferramenta do Centro Nacional de Cibersegurança Holandês (NCSC-NL), que
facilita a gestão de uma multiplicidade de fontes de informação e obtém alertas de maneira
estruturada.
3. AbuseHelper3: ferramenta iniciada pelo Centro Nacional de Cibersegurança Finlandês (NSCS-
FI) e pelo CERT-EE, destinada ao tratamento automatizado de fontes de informação.
4. MISP4: Malware Information Sharing Platform, plataforma que permite que diferentes
organizações partilhem IOC (Indicadores de Compromisso), como endereços IP, domínios,
hash, URLs e nomes de arquivos; aumentando a capacidade de se protegerem contra
1 Ver https://github.com/certtools/intelmq. 2 Ver https://www.ncsc.nl/english/services/incident-response/monitoring/taranis.html. 3 Ver http://www.abusehelper.be e versão comercial em https://www.clarifiednetworks.com/AbuseSA. 4 Ver http://www.misp-project.org.
18
atividades maliciosas.
2.3. System Administration, Networking and Security
A SANS – System Administration, Networking and Security é uma organização privada norte americana
fundada em 1989 e se tornou especialista em segurança da informação – formação e certificação em
cibersegurança. Em 2015 publicou o artigo “Improving Detection, Prevention and Response with
Security Maturity Modeling” [28], que desenvolve uma abordagem ao amadurecimento das operações
de segurança numa organização, com foco na melhoria da gestão do risco, permitindo chegar a
resultados mensuráveis.
Para medir as melhorias este modelo identifica cinco áreas:
Custo: redução do custo dos eventos/incidentes que ocorrem), cronograma (detetar os eventos
o quanto antes para os mitigar com precisão e eficiência
Qualidade: a mitigação deve incluir o reparo completo das vulnerabilidades exploradas e
resposta melhorada a eventos semelhantes
Satisfação do cliente: a segurança das IT deve ser vista como um facilitador e não como um
obstáculo para atingir os objetivos
ROI (Return On Investment): embora o objetivo principal seja reduzir o custo e a complexidade
da gestão e resposta de riscos, a segurança madura pode incluir receitas de cobrança de
unidades de negócios
Este Modelo é baseado em modelos já aqui apresentados, como o C2M2 [22] e o CMM [25], e não traz
muitas novidades. No entanto, colocámo-lo em destaque por ser uma referência ao nível do que está
atualmente a ser aplicado no mercado – a SANS é uma entidade formadora e certificadora de renome
internacional no âmbito da cibersegurança; e por incluir a métrica ROI (Return On Investment). A
questão de como convencer a gestão de topo que há um retorno sobre o investimento de algo que não
aconteceu, não é fácil e é um tema que tem vindo a ser debatido; mas que pode ser estimado
recorrendo a este tipo de modelos de maturidade.
19
3. Centro Nacional de Cibersegurança
A primeira Estratégia de Cibersegurança da EU [29], adotada em 2013, estabelece objetivos
estratégicos e ações concretas para alcançar a resiliência, reduzir o cibercrime, desenvolver políticas
e capacidades de ciberdefesa, desenvolver recursos industriais e tecnológicos e estabelecer uma
política internacional coerente do ciberespaço para a UE. Nesse contexto, ocorreram importantes
desenvolvimentos desde então ao nível de todos os Estados-Membros, como a criação de Centros
Nacionais de Cibersegurança e a definição de estratégias nacionais.
Portugal tem vindo a desenvolver um conjunto de iniciativas destinadas a reduzir o risco e a potenciar
a utilização do ciberespaço. No âmbito da proteção de infraestruturas críticas e entidades do Estado
surge o Centro Nacional de Cibersegurança (CNCS). A proposta de criação de um Centro Nacional de
Cibersegurança foi apresentada em julho de 2012, pela sua Comissão Instaladora, nomeada na
sequência da Resolução do Conselho de Ministros nº 12/2012 [30].
Cerca de dois anos mais tarde, o CNCS fica estabelecido através do Decreto-Lei Nº 69/2014 (9 de
maio) [31] e entra finalmente em funcionamento em outubro do mesmo ano, albergado pelo Gabinete
Nacional de Segurança (GNS) e sob a tutela da Presidência e Modernização Administrativa.
A missão do Centro fica definida: contribuir para que Portugal use o ciberespaço de uma forma livre,
confiável e segura, através da promoção da melhoria contínua da cibersegurança nacional e da
cooperação internacional em articulação com todas as autoridades competentes bem como da
implementação das medidas e instrumentos necessários à antecipação, à deteção, reação e
recuperação de situações que, face à iminência ou ocorrência de incidentes ou ciberataques, ponham
em causa o funcionamento das infraestruturas críticas e os interesses nacionais.
Destacam-se ainda as seguintes competências, “Exercer os poderes de autoridade nacional em
matéria de cibersegurança relativamente ao Estado e aos operadores de infraestruturas críticas
nacionais”, “Contribuir para a segurança dos sistemas de informação do Estado e das infraestruturas
crítica nacionais”, “Promover e assegurar articulação e a cooperação dos vários intervenientes e
responsáveis nacionais na área da cibersegurança”, “Assegurar o planeamento da utilização do
ciberespaço em situação de crise e de guerra no âmbito do planeamento civil de emergência, no quadro
definido pelo Decreto-Lei 73/2013, de 31 maio”.
Com as competências definidas, o Centro passa a afirmar-se como “autoridade nacional competente
em matéria de cibersegurança, relativamente ao Estado e aos operadores de infraestruturas críticas
nacionais” [31]. Desde então o CNCS, com a colaboração dos principais atores da cibersegurança
nacional, desenvolveu uma estratégia nacional de cibersegurança [11], que irá orientar o plano de
atuação para os próximos anos ficando sujeita a revisões periódicas.
20
A Estratégia Nacional de Segurança do Ciberespaço define seis eixos estratégicos de intervenção: a
estrutura de segurança do ciberespaço; o combate ao cibercrime; a proteção do ciberespaço e das
infraestruturas; a educação, sensibilização e prevenção; a investigação e desenvolvimento; e a
cooperação. Cada um dos Eixos contém medidas concretas e respetivas linhas de ação, destinadas a
reforçar o potencial estratégico nacional no ciberespaço. Apesar da óbvia interligação de todos estes
Eixos e o Modelo de Maturidade de Deteção desenvolvido no âmbito desta dissertação estar associado
a todos eles, podemos dizer que este se enquadra essencialmente nos Eixos 1 e 3. Nestes Eixos fica
previsto o desenvolvimento de capacidades nacionais de deteção de ataques aos sistemas de
informação, que permita alertar as entidades competentes, ajudar a entender a natureza dos ataques
e criar as necessárias contramedidas; e onde vem reforçado o dever das infraestruturas críticas de
reportar falhas e interferências de segurança do ciberespaço nos seus sistemas [11].
3.1. CSIRT modus operandi
As equipas CSIRT têm diferentes valências técnicas, missão, comunidade servida e dimensão. O grau
de especialização técnica exigida para esta função leva, muitas vezes, a que a mesma estrutura
centralize a responsabilidade por um conjunto de serviços instrumentais para a sua missão numa
perspetiva holística de segurança. No limite, as CSIRT podem desempenhar todas as funções previstas
no ciclo de gestão de segurança de sistemas de informação, como auditorias de segurança,
desenvolvimento de ferramentas de segurança, coordenação de incidentes com serviço de análise de
artefactos, análise de risco e consultoria em segurança [32].
No entanto, as equipas CSIRT partilham uma característica comum fundamental, o de proteger o
interesse legítimo da sua comunidade particular através da coordenação de resposta a incidentes de
segurança informática, o que pressupõe a prevenção, tratamento e resposta de incidentes. Neste
âmbito, as CSIRT lidam com informação em grandes quantidades, por vezes considerada informação
pessoal pela lei portuguesa. Mas, pessoal ou não, esta informação é indispensável para as CSIRT
conseguirem realizar o seu trabalho, necessitando de a tratar e sendo, muitas vezes, necessário
transmiti-la a terceiros (aqueles que também tenham sido afetados pelo problema descoberto, como
por exemplo, utilizadores individuais cujas passwords ou detalhes dos cartões de crédito tenham sido
divulgados) [32].
Por exemplo, um computador comprometido usado para enviar spam contém, muitas vezes, todos os
endereços de e-mail para os quais o spam foi enviado e os endereços IP dos hosts de onde ele veio.
A divulgação a terceiros pode ser utilizada, por exemplo, para informar pessoas individuais ou entidades
bancárias de um ataque de phishing ou para avisar potenciais vítimas de uma nova ameaça de vírus.
A maioria das CSIRT só raramente consegue utilizar a informação que dispõe para identificar uma
pessoa concreta, mas de qualquer modo a informação que se relaciona com os incidentes de
segurança deve ser manuseada com cuidado e estes dados não devem ser divulgados
21
desnecessariamente, seguindo a boa prática dos dados pessoais. Mostra-se então fundamental
analisar as implicações da lei da privacidade para as CSIRT lidarem com informações relativas aos
incidentes, ou melhor, quando e de que maneira é apropriado para uma CSIRT usar a informação para
as suas atividades especificas, e as circunstâncias em que esta deve ser divulgada a terceiros.
As CSIRT lidam ainda com outros tipos de dados pessoais, como a manutenção de listas de pessoas
responsáveis pela segurança em cada organização na sua comunidade, mas este trabalho irá apenas
abranger o uso de dados pessoais exclusivos de uma CSIRT.
O serviço Trusted Introducer (TI) foi criado na Europa, no ano 2000, com o objetivo de ajudar todas as
equipas de resposta a incidentes de segurança informática a aumentar a colaboração, e desta forma
melhorar os níveis globais de segurança mediante uma resposta mais rápida a ataques e a novas
ameaças. O TI fomenta uma rede de confiança e presta um conjunto de serviços especializados para
todas as equipas de resposta a incidentes. O TI mantém igualmente uma base de dados de contactos
para estas equipas e disponibiliza uma resenha atualizada dos seus níveis de maturidade e capacidade
demonstradas. Para esse efeito, foram criados mecanismos de acreditação e de certificação, baseados
nas melhores práticas desenvolvidas e testadas, durante anos, dentro desta comunidade [33].
Em Portugal são CSIRT creditados pelo órgão TI de CSIRT europeia: o CERT.PT do Centro Nacional
de Cibersegurança, o RCTS CERT da Fundação para a Ciência e a Tecnologia, o CSIRT.UPORTO da
Universidade do Porto, o CSIRT.PT da Portugal Telecom e o DGS-IRT da Dognaedis [33].
3.2. Equipa CERT.PT
O CERT.PT representa a equipa de resposta a incidentes (CSIRT) do CNCS, esta equipa torna-se
operacional em abril de 2015 apresentando o conjunto de serviços: coordenação de resposta a
incidentes, alertas de segurança, suporte on-site e capacitação CSIRT [34].
Com vista a dinamizar as comunidades de cibersegurança nacionais, o CNCS participa como membro
na Rede Nacional de CSIRT, com a missão de estabelecer laços de confiança entre elementos
responsáveis pela segurança informática, de criar indicadores e informação estatística nacional sobre
incidentes de segurança, de criar instrumentos necessários à prevenção e resposta rápida num cenário
de incidente de grande dimensão e de promover uma cultura de segurança em Portugal. A Rede
Nacional de CSIRT atualmente possui 31 membros efetivos que, para além do CNCS, inclui a
academia, administração pública, ISP, entidades bancárias, sector da energia, Forças Armadas, entre
outros,. A Rede assume-se como “fórum de cooperação entre equipas de resposta a incidentes de
segurança informática (CSIRT)” [35].
22
3.3. Diretiva SRI/NIS e Rede de CSIRT Nacionais
Na sequência da primeira Estratégia de Cibersegurança da EU [29], adotada em 2013, um dos
desenvolvimentos que ocorreu foi a adoção da Diretiva para a Segurança das Redes e da Informação
(SRI) ou Directive on security of Network and Information Systems (NIS) [14], como resultado de uma
prioridade da Comissão Europeia em assegurar um elevado nível comum de segurança das redes e
da informação na União Europeia. Numa perspetiva de segurança económica e inserida no contexto
do mercado único digital, esta Diretiva vem reforçar a cooperação entre Estados-Membros em matéria
de cibersegurança e estabelecer um patamar homogéneo de cibersegurança dentro do espaço
europeu. Para este efeito, de entre outros, serão criados de instrumentos de cooperação europeia,
serão definidos requisitos mínimos comuns de desenvolvimento de capacidades e de planeamento,
serão identificadas medidas de segurança e de notificação de incidentes às autoridades nacionais,
aplicável aos operadores de serviços e prestadores de serviços digitais [14].
A transposição nacional da Diretiva NIS, está a ser coordenada pelo CNCS, em colaboração com os
principais atores nacionais, e terá de ser transposta até maio de 2018.
O CNCS, como autoridade nacional de cibersegurança, desempenha a função de ponto de contacto
único nacional, assegurando a cooperação transfronteiriça das autoridades dos Estados-Membros com
as autoridades competentes de outros Estados-Membros; com o Grupo de Cooperação e com a Rede
de CSIRTs Nacionais [14].
O Grupo de Cooperação foi criado a fim de apoiar e facilitar a cooperação estratégica e o intercâmbio
de informações entre os Estados-Membros, de desenvolver a confiança e de garantir um elevado nível
comum de segurança das redes e dos sistemas de informação na União. É composto por
representantes dos Estados-Membros, da Comissão Europeia e da ENISA [14].
Os membros da Rede de CSIRTs nacionais são responsáveis pelo tratamento de riscos e incidentes
de acordo com um processo bem definido e vão contribuir para o desenvolvimento da confiança entre
os Estados-Membros e de promover uma cooperação operacional célere e eficaz. Cada Estado-
Membro designa um representante, no caso de Portugal é o CERT.PT, e CSIRTs que abranjam pelo
menos os setores da energia, transportes, sector bancário, infraestruturas do mercado financeiro, setor
da saúde, fornecimento e distribuição de água potável e infraestruturas digitais. A Rede de CSIRT é
composta por representantes das CSIRT dos Estados-Membros e da CERT-EU, a Comissão Europeia
participa na rede de CSIRT na qualidade de observadora e a ENISA assegura os serviços de
secretariado e apoia ativamente a cooperação entre as CSIRT [14].
23
3.4. Ecossistema da cibersegurança nacional
O Centro Nacional de Cibersegurança atua em coordenação ou colaboração com os principais atores
neste âmbito conforme o domínio de atuação. O conjunto de domínios de atuação, o da proteção
simples, o da prossecução criminal e o da defesa do Estado e condução da guerra, não são totalmente
disjuntos, mas apresentam diferenças relevantes nos respetivos objetivos, nos seus principais atores,
nos meios técnicos disponíveis e no enquadramento jurídico aplicável [31].
Na perspetiva da defesa do Estado, os ciberataques são entendidos como atos de guerra, pelo que a
resposta se centra nos canais diplomáticos em conversações bilaterais ou multilaterais, utilizados
prioritariamente numa primeira fase, e na ação militar, com todos os recursos disponíveis, apenas
sujeita na ação, no plano nacional, à Constituição da República, à Lei do Estado de Sítio e do Estado
de Guerra e, no plano internacional, ao Direito Internacional dos Conflitos Armados e ao Direito
Internacional dos Direitos Humanos. No domínio da prossecução criminal, os ciberataques são vistos
e definidos como atos criminalmente relevantes, passíveis de sancionamento dentro do edifício jurídico
do respetivo país. Assim, toda a restante proteção estaria dentro do âmbito da responsabilidade de
uma CSIRT, tendo como o objetivo último o de proteger as organizações e indivíduos. No entanto,
como as equipas CSIRT são muitas vezes equipas que intervêm transversalmente em todos os
domínios de atuação, mesmo em casos da responsabilidade da defesa ou forças policiais [11].
O ecossistema da cibersegurança nacional, para atingir os objetivos definidos na Estratégia e garantir
a correta interação com as diferentes organizações, conta com a estreita colaboração entre o CNCS
com os Órgãos de Polícia Criminal, os Serviços de Informações e a Ciberdefesa, conforme apresentado
na Figura 5 [11].
Figura 5 – Ecossistema da cibersegurança nacional
24
3.3.1. Conselho Superior de Segurança do Ciberespaço
A Resolução do Conselho de Ministros n.º 115/2017, em agosto deste ano, cria o Conselho Superior
de Segurança do Ciberespaço (CSSC). Este órgão funciona na dependência do Primeiro-Ministro e
tem como missão assegurar a orientação política, estratégica e gestão de crises comum a todo o
ciberespaço, que garanta a coordenação do combate a todas as formas de cibercrime, ciberterrorismo,
ciberespionagem, hacktivismo e ciberguerra [36].
Pela análise dos principais organismos que pertencem ao organograma do Centro Nacional de
Cibersegurança, consideramos necessária a criação de um Conselho de Fiscalização, com o intuito de
imprimir mais transparência e exigência ao processo, não só para a fiscalização da recolha e tratamento
dos dados pessoais, como para fiscalização da legalidade da ação do CNCS. Deste Conselho fariam
parte a CNPD, a Assembleia da República e o Ministério Público enquanto pilar de soberania (vertente
Justiça) e defesa do Estado de Direito.
Se assim for, a dinâmica do CNCS, ficaria definida como a representada na Figura 6.
Figura 6 – CNCS e principais dependências
25
4. Enquadramento do Modelo de Maturidade de Deteção
A capacitação em cibersegurança tem três componentes fundamentais: a prevenção, que atua numa
vertente de proteção da organização; a deteção, que pretende detetar eventos e incidentes o mais
rápido possível; e finalmente a reação, que pretende mitigar o incidente e recuperar dos possíveis
danos. Transversalmente às três componentes consta uma fase de preparação, onde se identificam os
serviços vitais, onde é realizada uma análise de risco, onde se capacita a organização em cyber threat
intelligence [37] [38]; e onde é realizada uma constante monitorização e implementação de ações de
melhoria contínua.
Este Modelo vai apenas focar-se na deteção, mas deve ser complementado com a capacitação nas
vertentes de prevenção e reação de incidentes.
Este capítulo apresenta aspetos sobre o Modelo de Maturidade de Deteção que serão descritos no
Capítulo 5, para que este seja implementado corretamente – de acordo com a nossa visão. O Modelo
apresentado tem um elevado grau de abstração e providencia uma orientação flexível, para que possa
ser interpretado por organizações de vários setores, estruturas e dimensão.
4.1. Objetivo
O ecossistema da capacitação em cibersegurança, na sua componente de prevenção, deteção e
reação, encontra-se esquematizado na Figura 7 [38].
Figura 7 – Capacitação em cibersegurança
26
Com o propósito de reforçar as capacidades de cibersegurança das organizações em território nacional,
desenvolvemos um Modelo de Maturidade de Deteção. As organizações devem ter consciência da sua
maturidade, de modo a priorizar ações e delinear planos de investimento. Esta consciencialização da
maturidade também permite que as organizações se posicionem no mercado face a potenciais
concorrentes. É fundamental a constante aprendizagem e as lições aprendidas devem ser
constantemente atualizadas no Modelo [39].
Numa perspetiva nacional, se todas as organizações identificadas como de maior relevância, se
submeterem a este Modelo, ficará delineado um panorama nacional. Este panorama poderá ser usado
numa análise por clusters, para melhor perceção das ações futuras a tomar. Será interessante obter,
por exemplo, uma abordagem sectorial, para melhor identificar as necessidades dos diferentes
sectores.
Tipicamente os Modelos já existentes têm definidos diferentes patamares de maturidade a alcançar,
começando num patamar inicial onde os processos são feitos ad hoc e culminando num patamar
otimizado onde a cibersegurança passa a ser incorporada no léxico do ADN da organização. Este
Modelo pretende definir as capacidades mínimas de deteção de incidentes e, como tal, o objetivo será
sempre alcançar o último nível de maturidade aqui apresentado, ao fim do qual se atinge um nível de
maturidade considerado aceitável.
Tomando como exemplo o trabalho desenvolvido pela Enterprise Strategy Group [40], a maturidade de
cibersegurança de uma organização pode ser básica, em progressão ou avançada, no que diz respeito
às suas filosofias de segurança da informação, bem como as pessoas, processos e comportamento
tecnológico.
Tabela 8 – Enterprise Strategy Group maturidade em cibersegurança
CATEGORIA NÍVEL BÁSICO NÍVEL PROGRESSIVO NÍVEL AVANÇADO
FILOSOFIA A cibersegurança é um mal
necessário.
A cibersegurança tem de ser
mais integrada no negócio.
A cibersegurança faz parte da cultura da
organização.
PESSOAS O CISO reporta ao Departamento
de IT.
O CISO reporta a um membro do
board, que não o de IT. A equipa
de cibersegurança é maior e
independente do departamento
de IT. Continuam
sobrecarregados, com falta de
colaboradores e falta de
qualificação.
O CISO reporta ao CEO e é considerado
um executivo do negócio. Equipa de
grande dimensão, bem organizada, com
bom ambiente de trabalho. Qualificação
e número de colaboradores são
problemas que se mantêm, dada a falta
de recursos humanos especialistas
nesta área.
27
Tabela 9 – Enterprise Strategy Group maturidade em cibersegurança
CATEGORIA NÍVEL BÁSICO NÍVEL PROGRESSIVO NÍVEL AVANÇADO
PROCESSOS Informais e ad-hoc. Subservientes
ao IT.
Melhor coordenação com IT mas
processos mantêm-se informais,
manuais e muito dependentes
de contributos individuais.
Documentados e formais, com vista ao
aumento de escala e automação.
TECNOLOGIAS Tecnologias de segurança
elementares, com configurações
simples. Organização de
segurança descentralizada, com
coordenação limitada entre
funções. Foco na prevenção e na
conformidade regulatória.
Utilização mais avançada das
tecnologias de segurança e
adoção de novas ferramentas
para deteção de incidentes e
analytics.
Arquitetura de segurança tecnológica.
Foco na prevenção, deteção e resposta.
São acrescentados elementos de gestão
de identidades e segurança dos dados
para fazer face aos desafios da cloud e
mobile.
Na Tabela 5 estão representados os três níveis, assumindo estes três níveis, o Modelo aqui
desenvolvido irá trabalhar para que todas as organizações estejam (pelo menos) no nível avançado
[40].
Este Modelo destina-se às autoridades nacionais de cibersegurança, aos decisores, aos gestores de
topo, aos responsáveis pela implementação e aos responsáveis pela avaliação de todas a fases da
implementação [22] [27] [41] [25].
4.2. Abordagem recomendada
A Figura 8 representa a abordagem recomendada para a aplicação do Modelo. Inicialmente será
realizada uma avaliação à entidade, que irá identificar potenciais lacunas na capacitação; segue-se
uma priorização das ações a tomar; e finalmente o desenho e a implementação do plano. À medida
que os planos são implementados, os objetivos do negócio mudam, o ambiente de risco evolui e a
aprendizagem com o que já foi feito leva ao reajuste constante do plano – propomos assim que os
planos sejam feitos a um ano, ao fim do qual devem ser revistos e ajustados [22]. No decorrer deste
processo, as lições aprendidas devem ser incorporadas no Modelo de Maturidade, que deve ser
regularmente revisto com adaptações ao caso específico da organização e à constante evolução
tecnológica.
28
Figura 8 – MMD Abordagem recomendada
4.3. Desenho do Modelo
Este Modelo foi desenhado de modo a que a estratégia de capacitação da deteção de incidentes de
cibersegurança esteja alinhada com o negócio, através da gestão de risco [1] [19]. Deste modo, todas
as ações propostas surgem após a identificação, mapeamento e quantificação dos riscos de segurança
da informação; só depois é traçado um plano de deteção, com base nos riscos identificados. De acordo
com o quadro global de ameaça identificado, são propostas ações a desenvolver na entidade para
desenvolver métodos de deteção das ameaças identificadas. A forma como uma ação deve ser
implementada não é detalhada neste documento, mas são identificadas normas de referência para
servir de guia de implementação das ações propostas.
Considerámos quatros grandes dimensões no desenvolvimento das capacidades mínimas de deteção
de incidentes: técnica, humana, processual e organizacional. A dimensão técnica envolve ações mais
direcionadas às equipas técnicas, tais como a definição de uma arquitetura segura e a identificação de
ferramentas a adquirir; a dimensão humana pretende dotar os recursos humanos da organização, com
ações de formação customizadas às funções desempenhadas e com a garantia que todos os
colaboradores adquirem os conhecimentos mínimos necessários; a dimensão processual define
procedimentos, politicas e boas práticas, não só operacionais mas no âmbito de toda a organização; e
a dimensão organizacional vai garantir a definição de uma estratégia para criar uma cultura de
cibersegurança em toda a organização [1] [22] [27] [19] [25] [28].
A estratégia defense in depth foi a adotada, garantindo a deteção nas múltiplas camadas funcionais e
tecnológicas na entidade. Pretende-se assim proteger os ativos críticos da organização e detetar os
ataques antes que o agente malicioso produza um impacto significativo nos sistemas da entidade [42].
Foi estabelecido um plano de desenvolvimento de capacidades mínimas, constituído por cinco níveis,
para que as entidades sejam integradas no ecossistema nacional de cibersegurança e criem condições
para uma melhoria sustentada das mesmas. No primeiro nível, de preparação, é realizada uma análise
29
de risco e é desenhado o panorama inicial da organização. Segue-se o desenho de uma arquitetura
segura no segundo nível, a segurança dos dispositivos e aplicações no terceiro nível, a definição dos
procedimentos de cibersegurança no quarto nível e, por fim no quinto nível, a criação formal de uma
equipa dedicada à deteção de incidentes. Cada nível é constituído por uma série de capacidades e
ações associadas e, se uma entidade demonstrar que tem todas as capacidades dentro de um nível (e
dos níveis anteriores), então será certificada para esse mesmo nível [22].
A Figura 9 representa os cinco níveis considerados neste Modelo.
Figura 9 – MMD níveis
Devem ser considerados os seguintes aspetos na implementação do Modelo:
As ações dos níveis de maturidade são independentes para cada nível, no entanto recomenda-
se que a ordem seja cumprida pois foi pensada para conseguir optimizar o processo global;
As ações são cumulativas em cada nível, por exemplo, para se ser certificado nível 3 tem de
se ter todas as capacidades do nível 1 ao nível 3;
Existem soluções em regime de software aberto que podem ser considerados, para reduzir o
investimento;
Os planos desenvolvidos pelas organizações devem ter em conta, tanto a capacitação mínima
de deteção de incidentes, como a missão e estratégia do negócio.
30
4.4. Requisitos
No âmbito da proteção e disseminação da informação partilhada, devem ser respeitados os princípios
de segurança da informação constantes do modelo TLP (Traffic-Light Protocol) [43]. Este protocolo
associa a cada incidente uma de quatro cores, classificando-o quanto aos limites de partilha de
informação, deste modo, fica assegurada a partilha de informação classificada com os destinatários
apropriados.
Todas as CSIRT devem usar uma taxonomia comum e mecanismos automáticos para partilha de
informação operacional – deverá ser utilizada a taxonomia aprovada em 2012 pela Rede Nacional de
CSIRT [44]. Esta taxonomia também tem sido utilizada como diretriz a nível internacional, o European
Cybercrime Centre (EC3) de onde é parte integrante a Policia Judiciária, é um exemplo disso, como se
pode ler no documento elaborado pela ENISA sobre taxonomias de partilha de informação pelas CSIRT,
a nível europeu [45].
4.5. Tratamento de informação pessoal pelas CSIRT
As equipas CSIRT deverão proteger o interesse legítimo da sua comunidade particular através da
coordenação de resposta a incidentes de segurança informática, o que pressupõe a prevenção,
tratamento e resposta de incidentes. Neste âmbito, as CSIRT lidam com informação em grandes
quantidades, por vezes considerada informação pessoal pela lei portuguesa. Mas, pessoal ou não, esta
informação é indispensável para que as CSIRT consigam realizar o seu trabalho, necessitando de a
tratar e sendo, muitas vezes, necessário transmiti-la a terceiros.
Por exemplo, um computador comprometido usado para enviar spam, contém, muitas vezes, todos os
endereços de e-mail para os quais o spam foi enviado e os endereços IP dos hosts de onde ele veio.
A divulgação a terceiros pode ser utilizada, por exemplo, para informar pessoas individuais ou entidades
bancárias de um ataque de phishing ou para avisar potenciais vítimas de uma nova ameaça de vírus.
O endereço IP por si não identifica necessariamente uma pessoa concreta, a maioria das CSIRT só
raramente consegue utilizar a informação que dispõe para identificar uma pessoa, mas de qualquer
modo a informação que se relaciona com os incidentes de segurança deve ser manuseada com cuidado
e estes dados não devem ser divulgados desnecessariamente, seguindo a boa prática dos dados
pessoais.
4.5.1. Enquadramento jurídico nacional
“A todos são reconhecidos os direitos à identidade pessoal (...) ao bom nome e reputação, à imagem,
31
à palavra, à reserva da intimidade da vida privada e familiar (...)” [4].
A complexidade com que se reveste a natureza humana, na dicotomia entre aquilo que é a sua relação
com o outro e a relação consigo mesmo arrasta consigo a problemática da relação entre o público e o
privado que a cada homem pertence, discutindo-se, ao longo dos tempos, a delimitação e os contornos
dessas duas faces da condição humana.
A proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais e à livre
circulação destes é regulada pelo Decreto-lei 67/98, de 26/10 [46], transpôs para a ordem jurídica
portuguesa a Diretiva nº 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995
[47].
Na conceção do referido dispositivo legal, pelo artigo 3º (a), constituem dados pessoais “qualquer
informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e
imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada
identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por
referência a um número de identificação ou a um ou mais elementos específicos da sua identidade
física, fisiológica, psíquica, económica, cultural ou social”.
Endereços IP, informação que fica disponível invariavelmente às equipas CSIRT, são definidos como
dados pessoais de um modo pouco claro ao abrigo da lei, já que não identificam univocamente uma
pessoa particular. No entanto, o grupo de trabalho do artigo 29º da EU [48] declarou que, se um
identificador, como um endereço IP, pode ser dado pessoal (uma CSIRT pode ocasionalmente recolher
um endereço cujo dono pode identificar), então esta informação deve ser tratada, sempre, como dado
pessoal. E, de acordo com a legislação europeia, as informações pessoais estão sujeitas à legislação
de proteção de dados, independentemente de onde ou como tenham sido recolhidas.
De acordo com o exposto, endereços de email e endereços IP, são considerados pela lei portuguesa
como dados pessoais que, para serem tratados5 ou divulgados, devem seguir as condições de
legitimidade do tratamento de dados, definidos no artigo 6º do Decreto-lei 67/98, de 26/10 [46]. O artigo
6º enumera uma série de condições para o tratamento de dados pessoais, no entanto, vai ser focado
o ponto 6 alínea (e), que parece mais relevante para aspetos particulares do trabalho da CSIRT:
“Prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados
sejam comunicados, desde que não devam prevalecer os interesses ou os direitos, liberdades e
garantias do titular dos dados.”.
5 Tratamento de dados pessoais, pelo Decreto-lei 67/98, de 26/10, artigo 3º (b), constitui “qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição.
32
Quando uma CSIRT recebe dados pessoais de alguém que não seja o seu titular, o que, como referido
acima, é o caso mais comum, teria de ser obtido o consentimento do titular dos dados6, para permitir o
seu tratamento ou divulgação ao abrigo do Decreto-lei 67/98, de 26/10, artigo 10º (3): “Se os dados não
forem recolhidos junto do seu titular, e salvo se dele já forem conhecidas, o responsável pelo
tratamento, ou o seu representante, deve prestar-lhe as informações previstas no n.º 1 no momento do
registo dos dados ou, se estiver prevista a comunicação a terceiros, o mais tardar aquando da primeira
comunicação desses dados” [46], a equipa CSIRT teria, assim, de informar a pessoa em causa assim
que o tratamento ou a divulgação ocorressem. Este procedimento, por um lado, criaria um paradoxo se
a informação não for suficiente para identificar o titular ou para comunicar com ele (mesmo que um
endereço IP possa ser associado a uma pessoa, este não pode ser usado para comunicar com o
mesmo). Por outro lado, para cumprir este objetivo, a CSIRT teria de entrar em contacto com um
número inviável de titulares, não sendo possível a estas equipas a realização dos contactos, nem a
priori nem a posteriori.
O Decreto-lei 67/98, de 26/10, no artigo 10 (5)7, permite a dispensa da exigência de informar o indivíduo
quando "a informação do titular dos dados se revelar impossível ou implicar esforços
desproporcionados”. No entanto, qualquer uso particular ou divulgação deve satisfazer, necessidade e
interesses legítimos, quer da CSIRT, quer de uma terceira parte. Esses interesses não podem por em
causa direitos e liberdades fundamentais da pessoa em questão.
4.5.2. IP dado pessoal?
Sabendo que em Portugal a lei atual define um IP como dado pessoal, considerou-se importante uma
abordagem autónoma desta informação, pela presença dos IP no dia a dia das equipas CSIRT.
A definição de dados pessoais utilizada em 1995 [47] tem a vantagem de proporcionar um elevado grau
de flexibilidade e a possibilidade de se adaptar às várias situações e evolução dos direitos
fundamentais. No entanto, apesar da definição de dados pessoais ser quase literalmente transposta
pela maioria dos Estados-membro nas suas legislações nacionais, esta definição flexível leva a alguma
diversidade na sua aplicação prática. Em particular, ao que possa estar associado a uma pessoa
individual e o que a possa identificar, como endereços IP, números únicos RFID, imagens digitais,
dados de geo-localização e números de telefone. A divergência relativamente aos IP está grosso modo
dividida em duas abordagens, “são dados pessoais” ou “são dados pessoais, em determinadas
6 O consentimento, segundo o Decreto-lei 67/98, de 26/10, artigo 3 (h), define-se como “qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular aceita que os seus dados pessoais sejam objecto de tratamento.”.
7 Decreto-lei 67/98, de 26/10, artigo 10 (5): “A obrigação de informação pode ser dispensada, mediante disposição legal ou deliberação da CNPD, por motivos de segurança do Estado e prevenção ou investigação criminal, e, bem assim, quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação do titular dos dados se revelar impossível ou implicar esforços desproporcionados ou ainda quando a lei determinar expressamente o registo dos dados ou a sua divulgação.”.
33
circunstâncias”.
Um IP é um identificador único atribuído aos computadores e outros dispositivos que estão conectados
à Internet para serem identificados e poderem comunicar uns com os outros. A entidade responsável
pela alocação dos endereços IP é a Internet Corporation for Assigned Names and Numbers (ICANN),
que por sua vez delega a gestão e criação de endereços IP a um organismo chamado Internet Assigned
Numbers Authority (IANA). A IANA aloca blocos de endereços para cada um dos cinco Registros
Regionais de Internet, ARIN, APNIC, LACNIC, AfriNIC e o RIPE, este último referente a IP localizados
na Europa. Por sua vez, são estes organismos regionais que alocam os blocos menores de endereços.
O tipo mais comum de endereço IP é representado por quatro números entre zero e 255, por exemplo
83.29.144.255. Este formato, conhecido como IP versão 4, vai acomodar um máximo de 4,3 bilhões de
endereços. O crescente número de dispositivos conectados à Internet está a impulsionar a adoção do
IP versão 68 – um formato que vai acomodar mais dispositivos, já que exibe um endereço IP como oito
grupos de quatro dígitos hexadecimais, por exemplo, 2001: 0db8: 0000: 0000: 0000: 0000: 1428: 57ab.
Os IP podem ser estáticos ou dinâmicos, caso o utilizador use sempre o mesmo IP para se conectar à
Internet ou opte por usar IP diferentes, respetivamente. Um utilizador que utilize endereços IP do seu
ISP, pode ver esta informação em sites de pesquisa de IP9.
A partir de um endereço IP, podem ser obtidas mais informações. Por exemplo, assim que se acede a
um site, o endereço IP e a atividade do utilizador (hora de atividade, o que foi pesquisado, entre outros)
ficam registados pelo dono do site e no ISP. Mesmo que o endereço IP seja um endereço dinâmico, o
ISP será capaz de identificar a atividade de navegação, porque sabe o número que foi alocado a cada
cliente e quando isso aconteceu. Alguma informação limitada está disponível publicamente sobre
qualquer endereço IP. Como os endereços IP são alocados em lotes, quer seja estático quer seja
dinâmico, estará num determinado intervalo que normalmente revela a escolha de ISP e sua localização
geográfica – embora na melhor das hipóteses isso irá identificar uma cidade, não uma rua, e nem
sempre irá identificar a cidade certa ou até mesmo o país certo, dependendo do seu ISP e seu sistema
de atribuição de endereços IP.
Os endereços IP são considerados como dados pessoais por alguns Estados-Membros, enquanto que
outros qualificam-nos como tal, apenas em determinadas circunstâncias. Apenas em alguns Estados-
Membros foi tomada uma abordagem regulatória clara relativa aos endereços IP. Por exemplo,
enquanto a Áustria considera endereços IP como dados pessoais na Política de Segurança da Áustria,
a Estónia considera que os IP apenas combinado com um conjunto de dados constitui, como um todo,
dados pessoais. Por isso, as CSIRT, têm expressado preocupações sobre a incerteza jurídica a
8 O IPv6 já representa cerca de metade das redes em Portugal, http://ipv6-test.com/stats/country/PT. 9 Um exemplo deste tipo de site é http://www.myipaddress.com/show-my-ip-address/.
34
respeito do manuseio e troca de endereços entre organizações e fronteiras para garantir a segurança
geral das redes e dos sistemas de informação.
Se um endereço IP não estiver diretamente associado a uma pessoa particular, na verdade, não se
encontra no âmbito de aplicação da legislação da Diretiva. Um IP para um ISP torna-se dado pessoal
quando combinado com outras informações (como o nome e endereço do cliente) e um IP para um
operador de site torna-se dado pessoal quando combinado com o perfil do utilizador. Têm também de
ser equacionados os meios disponíveis, que em muitos casos, podem dar acesso a informação que
identificam os utilizadores, tem de ser tomado em conta o Considerando 26 da Diretiva nº 95/46/CE
“…importa considerar o conjunto dos meios susceptíveis de serem razoavelmente utilizados, seja pelo
responsável pelo tratamento, seja por qualquer outra pessoa, para identificar a referida pessoa…” [47].
Mas um IP per si só identifica um computador e não uma pessoa.
Um caso conhecido que vem a reforçar esta posição, foi a decisão do Tribunal de Justiça da União
Europeia ou Court of Justice of the European Union (CJEU), a 19 de outubro de 2016, no julgamento
no processo 582/14 – Patrick Breyer versus Alemanha [49], no qual considerou que os endereços IP
são dados pessoais apenas em determinadas circunstâncias [50].
O caso envolve sites operados pela República Federal da Alemanha ou Federal Republic of Germany
(BRD). Como muitos operadores de sites, o BRD regista os endereços IP dos seus visitantes. Patrick
Breyer (um membro do Pirate Party [51]) processou a BRD, alegando que os endereços de IP se
qualificam como dados pessoais de acordo com a legislação de proteção de dados da UE . Em recurso,
o Tribunal Regional de Berlim (Kammergericht) alegou que os endereços IP dinâmicos, nas mãos dos
operadores de sites podiam ser considerados dados pessoais, apenas se o indivíduo relevante
fornecesse detalhes adicionais ao operador (por exemplo, nome ou endereço de e-mail) [50]. O
desacordo deve-se às diferentes interpretações da Directiva 95/46 /CE [47].
O CJEU decidiu que um endereço IP dinâmico é um dado pessoal apenas se: i) existe outra Parte
(como um ISP) que pode vincular o endereço IP dinâmico à identidade de um indivíduo; e o operador
do site tem meios legais para obter acesso às informações que estão na posse dos ISP, para identificar
o indivíduo [50].
4.5.3. Anonimização dos dados
Outra área de importante reflexão diz respeito à anonimização dos dados. Os dados podem ser
tornados anónimos usando métodos diferentes. Um método seria eliminando parte da informação, por
exemplo retirando parte de um endereço IP (xx.193.76.48), para efeitos de investigação forense esta
informação ainda seria útil para eliminação de hipóteses por exclusão de partes, e para efeitos de
tratamento de dados este já não seria considerado um dado pessoal. Outro método poderia ser
35
encriptar parte dos dados que só estariam acessíveis a quem beneficiasse da chave de decodificação,
e sendo assim, esses dados só poderiam ser considerados dados pessoais nas mãos de quem tivesse
meios (a chave) para a sua decodificação, mas não em relação a outras pessoas ou entidades. Para
que estes dados pudessem ser tratados como dados não-pessoais, ter-se-ia de garantir o anonimato
permanente para quem fosse tratar da informação e a re-identificação só poderia ser feita por quem de
direito.
A este respeito, e uma vez que a Lei 67/98 de 26 de outubro não refere a anonimização dos dados,
pode recorrer-se aos Considerandos da Diretiva nº 95/46/CE, item 26, que refere "os princípios da
protecção não se aplicam a dados tornados anónimos de modo tal que a pessoa já não possa ser
identificável; que os códigos de conduta na acepção do artigo 27º podem ser um instrumento útil para
fornecer indicações sobre os meios através dos quais os dados podem ser tornados anónimos e
conservados sob uma forma que já não permita a identificação da pessoa em causa"10 [47].
Para ajudar a defender a ideia que um IP per si não representa um dado pessoal, são expostos dois
exemplos, em que apenas através de um IP seja (praticamente) impossível, identificar univocamente
uma pessoa.
Se o utilizador optar por utilizar uma rede TOR, rede de comunicações de baixa latência construída
sobre uma rede de servidores proxy, permitindo atuar sem deixar rasto, o utilizador que use essa rede
mantém o anonimato do endereço IP, mesmo que o recetor não utilize o mesmo tipo de rede.
10 Artigo 27, referido na citação: “Considerando que a protecção das pessoas se deve aplicar tanto ao tratamento automatizado de dados como ao tratamento manual; que o âmbito desta protecção não deve, na prática, depender das técnicas utilizadas, sob pena de se correr o sério risco de a protecção poder ser contornada; que, em todo o caso, no que respeita ao tratamento manual, a presente directiva apenas abrange os ficheiros e não as pastas não estruturadas; que, em particular, o conteúdo de um ficheiro deve ser estruturado de acordo com critérios específicos relativos às pessoas que permitam um acesso fácil aos dados pessoais; que, em conformidade com a definição da alínea c) do artigo 2º, os diferentes critérios que permitem determinar os elementos de um conjunto estruturado de dados pessoais e os diferentes critérios que regem o acesso a esse conjunto de dados podem ser definidos por cada Estado-Membro; que as pastas ou conjuntos de pastas, bem como as suas capas, ou não estejam estruturadas de acordo com critérios específicos, de modo algum se incluem no âmbito de aplicação da presente directiva.”.
36
Figura 10 – Arquitetura da rede TOR
Do mesmo modo, se o IP for utilizado com uma proxy, muito utilizado em ambientes corporativos, a
proxy pode ser definida para se comportar de um modo anónimo e sem guardar logs, de modo a que
as atividades na Internet sejam efetuadas sem vestígios, protegendo as informações pessoais ao
ocultar a informação de identificação do computador de origem (endereço IP).
Figura 11 – Servidor proxy
Assim sendo, os IP devem ser categorizados sem colocar em causa o conceito de dados pessoais, de
acordo com a definição de dados pessoais de 1995, mas apenas serem considerados dados pessoais
se identificarem univocamente uma pessoa.
37
38
5. Modelo de Maturidade de Deteção
Este Capítulo apresenta o Modelo de Maturidade de Deteção, que define as capacidades mínimas de
deteção de incidentes de segurança. A ordem dos cinco níveis foi escolhida de modo a criar uma base
sustentada da cibersegurança na organização – definindo as dimensões prioritárias, que são a base da
deteção de incidentes de cibersegurança.
Como já foi explicado no Capítulo anterior e, porque o Modelo assenta numa abordagem de gestão do
risco, o primeiro nível consiste na identificação, mapeamento e quantificação dos riscos de
cibersegurança. No segundo nível é desenhada uma arquitetura segura e são armazenados os logs e
flows, que são o principal instrumento de análise e investigação de um incidente. O terceiro nível diz
respeito à segurança dos dispositivos; o quarto nível – procedimentos de cibersegurança, foi escolhido
como antepenúltimo por todas as ações que o antecedem serem consideradas essenciais para a
realização das ações que constam neste nível. E, por fim, o último nível consiste na criação formal de
uma equipa dedicada à deteção de incidentes de cibersegurança (SOC).
O primeiro nível é preparatório, neste nível irá ser realizada a primeira avaliação à organização. A
entidade irá desenvolver um conjunto de ações tais como, estabelecimento de canais de comunicação,
internos e externo à entidade; inventariação de ativos e produção de um mapa de rede; identificação
dos serviços vitais e dependências funcionais entre sistemas internos e entre estes e sistemas geridos
por terceiros, bem como os riscos associados a potenciais ameaças e respetivos impactos; início da
definição da cadeia de responsabilidades e perceção do panorama do quadro jurídico nacional e
Europeu. É ainda neste nível que se capacita a organização em cyber threat intelligence.
Figura 12 – Capacidades nível 1 do MMD
É no segundo nível que é desenvolvida a arquitetura, com foco em: delimitar as várias áreas de
39
segurança e aplicar regras de controlo de acessos; detetar tentativas de intrusão em cada uma das
áreas de segurança; agregar num repositório central e correlacionar os eventos de segurança
detetados nos diversos elementos de segurança ativa e passiva; agregar nesse mesmo repositório
central a informação de metadados de comunicações eletrónicas e registos de sistema e aplicações; e
produzir alarmes de cibersegurança.
Figura 13 – Capacidades nível 2 do MMD
O terceiro nível versará a segurança de dispositivos e aplicações, desenvolvendo na entidade
mecanismos de deteção de acessos indevidos nos dispositivos que tratam os ativos mais valiosos;
capacidade de detetar movimentos laterais dos atacantes dentro da mesma área de segurança;
mecanismos de auditoria e alerta de acessos indevidos a bases de dados e outros ativos de elevado
valor; mecanismos de alerta para falhas de desempenho e disponibilidade de serviços; e mecanismos
de controlo e auditoria de acessos web de Internet.
Figura 14 – Capacidades nível 3 do MMD
O penúltimo nível consiste em criar procedimentos e políticas que definam e otimizem as capacidades
da equipa que estará encarregue da deteção de incidentes tais como, formalizar os procedimentos para
operações de cibersegurança; definir as responsabilidades pelas operações de cibersegurança; e
elaborar um plano de formação individual para os colaboradores envolvidos. Nesta fase também se
inclui a reavaliação da análise de risco elaborada no primeiro nível.
40
Figura 15 – Capacidades nível 4 do MMD
Finalmente, o quinto nível consiste em criar uma equipa dedicada à deteção de incidentes, com as
seguintes capacidades: equipa dedicada à monitorização e alerta de incidentes de cibersegurança,
Security Operations Centre (SOC); colaborar em projetos de desenvolvimento e partilha de informação
de cibersegurança de uma forma regular dentro do sector de atividade e com a comunidade de
cibersegurança, se necessário; e participar em exercícios nacionais e internacionais de cibersegurança.
Figura 16 – Capacidades nível 5 do MMD
Para se atingir cada uma das capacidades descritas anteriormente, foram identificadas ações, para que
este Modelo seja mais facilmente implementado. As seções que se seguem vão identificar as ações
correspondentes a cada nível. A ordem das ações dentro de cada nível foi escolhida de modo a
considerar precedências, ou seja, uma ação consegue ser realizada mais facilmente (rapidamente), se
as ações anteriores já tiverem sido completadas.
5.1. Nível 1 – Preparação
O primeiro nível é de preparação e a ação mais importante será conhecer a maturidade inicial da
entidade. As ações do primeiro nível, encontram-se sintetizadas na Tabela 6.
41
Tabela 10 – Nível 1 do MMD
NÍVEL ID AÇÃO
1-
PR
EP
AR
AÇ
ÃO
A 1.1 Cadeia de responsabilidades: preparação
A 1.2 Estabelecimento de canais de comunicação
A 1.3 Inventariação de ativos / produção de um mapa de rede
A 1.4 Definição dos serviços vitais e quadro global de ameaças
A 1.5 Análise de risco
A 1.6 Registo de endereços IP no LIR
A 1.7 Integração com o quadro jurídico de cibersegurança
A 1.8 Identificação dos ataques comuns
A 1.9 Cyber Threat Intelligence
A1.1 Cadeia de Responsabilidades: preparação
A definição da cadeia de responsabilidades tem início logo no primeiro nível e será ajustada ao longo
da implementação do Modelo, ficando formalizada no final do nível quatro. A definição da cadeia de
responsabilidades pressupõe também a definição dos privilégios de acesso individual em razão das
funções desempenhadas e das responsabilidades associadas a cada função.
Esta ação começa com a nomeação de um órgão/equipa/pessoa responsável pela deteção de
incidentes de cibersegurança dentro da entidade. Esta responsabilidade deve ser conhecida por toda
a organização e ser o ponto de contato para todos os assuntos relacionados com a deteção de
incidentes de cibersegurança, interna e externamente à entidade. Cabe ao responsável pela deteção
de incidentes de cibersegurança definir e fazer aprovar os processos de deteção de incidentes [1] [19].
O compromisso da gestão de topo é fundamental para o sucesso do projeto, que envolve investimentos
e disponibilidade de recursos humanos das várias áreas de atividade dentro da entidade. Esse
compromisso é feito mediante esta ação [52].
Para a interação com o CNCS, terão de ser definidos dois pontos de contacto, um ponto de contacto
operacional e um de gestão. O contacto de gestão deverá ser capaz de decidir/conduzir todos os
assuntos do negócio que surjam no âmbito da implementação do modelo; o contacto operacional é um
42
contacto da equipa técnica e deverá ser capaz de responder às solicitações da equipa operacional do
CNCS. É esperada disponibilidade para contatos de emergência fora do horário de expediente.
A1.2 Estabelecimento de canais de comunicação
Alguma da informação trocada por correio eletrónico é sensível, nomeadamente detalhes sobre
ameaças, incidentes ou vulnerabilidades que dizem respeito exclusivamente à entidade. Para esse
efeito, quer para comunicações internas à entidade, quer para externas, é necessário o uso de cifra.
Na comunidade de cibersegurança o padrão utilizado é o PGP (Pretty Good Privacy) [53], pelo que
deverá ser criada uma chave PGP associada aos endereços de correio eletrónico de toda a equipa
definida em A1.1.
A1.3 Inventariação de ativos / produção de um mapa de rede
Grande parte das entidades já executa a função de inventariação de ativos e possui uma Configuration
Management Database (CMDB), ou possuem um catálogo de serviços informáticos aprovados. Esta
base de dados fornece parte da informação necessária para o analista de cibersegurança – a pessoa
responsável por conhecer, analisar e reagir a um incidente – perceber o impacto, direto ou indireto,
destes ativos na atividade da entidade.
Interessa particularmente registar na CMDB a lista dos principais ativos informáticos de suporte às
funções vitais, anteriormente identificadas [1] [19] [22]. Para cada um destes ativos deverá ser
armazenada a informação do endereçamento IP, versões de sistema operativo, versões de aplicações
que comunicam com o exterior e dependências funcionais com outros serviços vitais, entre outros.
Da mesma forma que é necessária uma inventariação de ativos, também é importante manter
atualizado um diagrama com as principais infraestruturas de comunicações de dados e os sistemas de
suporte aos serviços vitais da entidade. Possuir um diagrama de rede é essencial, quer para perceber
como se desenvolveram os diversos momentos do ataque, quer para desenhar as soluções de
mitigação e identificar a melhor forma de as aplicar. No diagrama de rede deverão constar, no mínimo,
todos os segmentos de rede da entidade, endereçamento IP usado em cada um deles, endereços IP
de interligação, equipamento de interligação entre os vários segmentos e políticas de acesso entres
estes.
Adicionalmente, a entidade deverá ter procedimentos em vigor com os respetivos controlos para
atualização regular dos ativos e do diagrama de rede, com uma periodicidade mínima de 6 meses, ou
sempre que ocorram alterações relevantes.
A1.4 Definição de serviços vitais e quadro global de ameaças
A descrição dos serviços vitais prestados pela entidade, bem como os endereços IP públicos
43
associados a cada um deles, permitirá, a partir de eventos de cibersegurança recolhidos de outras
fontes, identificar possíveis ameaças ou ataques em curso que envolvam a entidade envolvida e/ou o
serviço vital associado [1] [19] [22].
A identificação dos serviços vitais requer a conjugação de uma visão alargada do negócio com uma
visão alargada dos serviços. Esta ação consiste em definir as atividades/serviços mais importantes
para a entidade, ordenar as mesmas por criticidade, identificar potenciais ameaças e consequentes
impactos, identificar dependências internas e externas entre sistemas e, finalmente, construir o quadro
global de ameaças para aquela entidade específica. Este quadro global de ameaças é fotográfico, é
válido no momento em que foi desenvolvido, mas terá de ser periodicamente atualizado.
A1.5 Análise de risco
A gestão do risco é o processo contínuo de identificação, avaliação e resposta ao risco. Para gerir o
risco as organizações devem, ainda que aqui explanado de forma sumária, identificar a probabilidade
de um evento ocorrer e o impacto que esse evento traria.
Assim, no seguimento da identificação dos serviços vitais, a análise de risco consistirá em identificar
as vulnerabilidades associadas a estes serviços e as ameaças a que se encontram expostos; a
probabilidade de concretização da ameaça e o impacto daí esperado; avaliar a criticidade de cada um
dos ativos baseada no impacto decorrente de uma eventual falha de segurança (nível de risco); e,
finalmente, classificar o risco quanto ao processo de tratamento – mitigar, transferir, evitar ou aceitar.
Deve aceitar-se o risco apenas quando este não acarreta consequências significativas para a
concretização das atividades críticas do negócio.
A análise do risco irá também ajudar a entidade a priorizar as atividades de cibersegurança,
fundamentando potenciais investimentos com o foco em atividades especificas que se refletem em
resultados concretos de redução do risco [1] [19] [22].
A1.6 Registo de endereços de IP no LIR (Local Internet Registry)
A base de dados do RIPE é a principal fonte de informação de contato para a comunidade internacional
de resposta a incidentes e para o CNCS em particular [54]. Por este motivo, é extremamente importante
que a entidade tenha esta informação atualizada junto do LIR de forma a poder receber notificações e
outra informação de cibersegurança relevante para as redes e sistemas sob sua responsabilidade.
Assim sendo, a entidade deverá atualizar a informação de contato junto de uma destas duas bases de
dados ou pedir ao respetivo fornecedor de Internet para o fazer.
A1.7 Integração com o quadro jurídico de cibersegurança
De forma a realizarem as suas funções dentro do quadro jurídico nacional e Europeu, e articularem
44
com eficácia com todas as autoridades relevantes nesta matéria, os analistas de cibersegurança
deverão ter as noções básicas dos aspetos jurídicos da cibersegurança, que deverão incidir nos
aspetos legais relativos à monitorização de segurança, à recolha e salvaguarda de prova, à
comunicação com os órgãos de polícia criminal e à partilha de informação de cibersegurança. Devem
também ser garantidas pela organização a proteção de dados, liberdades civis e privacidade [25].
A1.8 Identificação dos ataques comuns
A rápida evolução dos métodos de ataque, impõe uma constante atualização dos métodos de deteção
ajustados às novas realidades. O estudo dos ataques mais comumente utilizados irá permitir detetá-
los e analisá-los mais facilmente pela equipa de analistas, através de ajustes ao Modelo, como aos
padrões de normalidade e aos procedimentos de deteção.
Por outro lado, cada organização pode sofrer de ataques específicos do seu negócio, interessa
identifica-los para direcionar a deteção para esse tipo de ataques.
A1.9 Cyber Threat Intelligence
O ciclo de Intelligence é um processo contínuo conduzido por equipes de inteligência para apoiar os
gestores de topo com as informações relevantes e oportunas de modo a reduzir o risco e a incerteza.
Este processo é constituído por cinco passos: i) planeamento e direção; ii) coleta; iii) processamento e
exploração; iv) análise e produção; e v) disseminação e integração [37].
Esta análise vai reduzir o risco a nível tático, operacional e estratégico de cibersegurança da
organização. Apesar deste processo estar tipicamente ligado à prevenção, pois será fundamental para
que uma organização seja capaz de prevenir violações de dados, intrusões e ataques de negação de
serviço (DoS), ela contribui para todo o ciclo da cibersegurança numa componente de prevenção,
deteção e reação. Este trabalho irá ajudar definir o quadro global das ameaças, contribuindo para
melhores decisões de negócios e gestão de risco no curto, médio e longo prazo [37].
5.2. Nível 2 – Arquitetura
A segunda fase consiste no conjunto de ações necessárias para detetar, agregar e correlacionar
informação de segurança relativa a tentativas de intrusão. As ações do segundo nível, estão resumidas
na Tabela 7.
45
Tabela 11 – Nível 2 do MMD
NÍVEL ID AÇÃO 2
- A
RQ
UIT
ET
UR
A
A 2.1 Implementação de uma infraestrutura segura
A 2.2 Instalação e configuração de um SIEM
A 2.3 Implementação de sistema de recolha e armazenamento de flows
A 2.4 Instalação e configuração de controlo de acessos web
A2.1 Implementação de uma infraestrutura segura
Aplicando os princípios de uma abordagem por camadas de cibersegurança que garanta defesa em
profundidade e, com base na análise de risco realizada, pretende-se nesta fase desenhar uma nova
arquitetura de cibersegurança para a entidade, organizar as várias áreas de segurança e identificar as
necessidades de deteção de eventos anómalos com origem no exterior e entre áreas de segurança
distintas.
Neste sentido deverão existir firewalls para controlo dos acessos para/da Internet e entre diferentes
domínios de segurança, com regras que minimizem a interação entre camadas; deverá igualmente
existir um Sistema de Deteção de Intrusão (IDS) com visibilidade para cada domínio de segurança, por
forma a analisar e monitorizar os padrões de normalidade definidos e/ou definir as regras de
monitorização [1] [19] [22].
Dada a sua criticidade para o bom funcionamento da arquitetura de sistemas, sugere-se, sempre que
possível, a opção pela diversidade em termos de fabricantes/fornecedores de soluções de segurança.
A2.2 Instalação e configuração de um Security Information and Event Managment (SIEM)
Com o intuito de obter uma visão holística da segurança da informação vital da entidade, a entidade
deverá possuir um SIEM, que irá funcionar como um repositório central dos registos (logs) mais
relevantes produzidos pelos ativos e pelas aplicações de suporte à atividade, facilitando a análise em
tempo real e acelerando a tomada de ações defensivas.
Para não sobrecarregar o SIEM, sugere-se a utilização de um outro repositório que funcione como
repositório total dos registos, para que seja feita uma filtragem inicial antes dos registos serem enviados
para o SIEM.
46
Ambos o repositório total como o SIEM deverão guardar os registos por um período mínimo de
armazenamento de um ano (um ano de histórico e dois anos de estatísticas). Em complemento, é
importante que cada ativo (e.g. servidor) tenha a capacidade de armazenar os seus próprios registos
por um período de um mês. A recolha centralizada de registos pressupõe a identificação dos principais
sistemas informáticos de suporte aos serviços vitais da entidade, a configuração destes sistemas para
exportar os registos e a instalação de um serviço dedicado ao seu armazenamento. As Tabelas 8 e 9
fornecem uma indicação para um conjunto mínimo de registos a armazenar.
Tabela 12 – Conjunto mínimo de registos a manter por SO
SISTEMA OPERATIVO REGISTOS MÍNIMOS
Windows Todos os event logs da máquina
Linux syslog, messages ou equivalente
auth, secure ou equivalente
cron
yum.log ou equivalente
audit log
47
Tabela 13 – Conjunto mínimo de registos a manter por serviço
SERVIÇO REGISTOS MÍNIMOS
Diretório de utilizadores (active diretory,
openldap ou equivalente)
security log, messages log ou equivalente
Alojamento de páginas de Internet (IIS, Apache ou
equivalente)
access log e error log ou equivalentes
Gestão de base de dados (Microsoft SQL server,
MYSQL ou equivalente)
security log, mysql log ou equivalente
Correio eletrónico (Exchange, postfix ou
equivalente)
security log, messages log ou equivalente
registos de SMTP (maillog ou equivalente)
Transferência remota de ficheiros (IIS, VSFTPD ou
equivalente)
security log, messages log ou equivalente
Acesso remoto (OPENSSH, REMOTE DESKTOP ou
equivante)
security log, sshd log ou equivalente
O CNCS, no âmbito da sua missão, irá prestar e consultoria para a configuração automática do conector
do SIEM da Entidade ao CNCS, e a configuração do envio de eventos no formato pretendido. Esta
ação pressupões a utilização de uma ontologia e uma taxonomia comuns [27] e pretende comunicar
em tempo real ao CNCS os eventos de segurança relevantes para configuração do Quadro Situacional
nacional de cibersegurança [22].
A2.3 Implementação de sistema de recolha e armazenamento do fluxo de tráfego (flows)
A tecnologia de exportação e armazenamento do fluxo de tráfego permite recolher, através de
amostragem, metadados das comunicações que atravessam um equipamento de comunicações
eletrónicas. É um instrumento essencial para identificar padrões de comunicação com sistemas
potencialmente comprometidos e realizar análise de tráfego considerado malicioso. Os sistemas
deverão ser configurados para envio do fluxo de tráfego para o SIEM [1] [19] [22].
Para conseguir identificar ou confirmar a origem de um ataque ou, ainda, determinar o momento em
que este ocorreu, o analista de cibersegurança deverá receber formação específica em redes e na
utilização das principais ferramentas de análise de do fluxo de tráfego, captura de tráfego e análise de
48
tráfego capturado. Também deverá ter formação nos limites e responsabilidades legais deste tipo de
ação, que é extremamente sensível e que poderá ser considerada ilícita ainda que efetuada no
perímetro ou na infraestrutura da própria entidade.
Sugerimos o armazenamento, com uma amostragem de 1:10, dos metadados de comunicações
durante um período mínimo de um ano. A recolha dos metadados deve ser efetuada no router/switch
ou outro equipamento de acesso à Internet, no entanto, se a entidade pretender uma maior visibilidade
das suas comunicações internas, poderá recolher metadados de outros equipamentos. A
implementação de recolha do fluxo de tráfego requer recursos tecnológicos dedicados, cujas
características dependem, entre outros fatores, da velocidade de acesso à Internet. Como referência,
para uma ligação de 100Mbps serão necessários 6TB de armazenamento para 2 anos de retenção de
dados. Os requisitos para um melhor dimensionamento destes recursos tecnológicos são apresentados
na Tabela 10.
Tabela 14 – Requisitos mínimos para os servidores
SERVIÇO ASSOCIADO CARACTERÍSTICA MÍNIMO RECOMENDADO
Recolha centralizada de registos
Processador Requisitos a serem detalhados
mediante o fornecimento de
alguns dados sobre a organização
e infraestrutura de suporte, tais
como: número total de
utilizadores, número de
servidores sob gestão, volume
total de dados geridos, número de
ativos de rede sob gestão, largura
de banda de acesso à internet
contratada, etc
Memória
Armazenamento
Recolha do fluxo de tráfego
Processador
Memória
Armazenamento
A2.4 Instalação e configuração de controlo de acessos web – (e.g serviços proxy)
Um serviço proxy vai agir como intermediário ente o utilizador e o seu destino, adicionando estruturas
e encapsulamento a sistemas distribuídos. Irá atuar para uma eficaz deteção de acessos a sistemas
de comando e controlo ou repositórios de dados furtados através da Internet.
O serviço de proxy poderá prevenir ataques, como o DNS hijacking, e irá guardar os logs para possíveis
análises posteriores.
49
5.3. Nível 3 – Segurança de dispositivos e aplicações
Esta fase prevê a instalação de sistemas de deteção de intrusão em dispositivos e aplicações,
nomeadamente Host Intrusion Detection Systems (HIDS), honeypots e controlo de acessos web
(proxy). Esta fase também contempla auditorias de segurança e mecanismos de supervisão. As áreas
mais sensíveis são definidas como aquelas que contêm os serviços vitais.
As ações do terceiro nível, estão resumidas na Tabela 7.
Tabela 7 – Nível 3 do MMD
NÍVEL ID AÇÃO
3-
SE
GU
RA
NÇ
A D
OS
D
ISP
OS
ITIV
OS
E
AP
LIC
AÇ
ÕE
S
A 3.1 Instalação e configuração de sensores em dispositivos
A 3.2 Teste de intrusão às bases de dados
A 3.3 Instalação de honeypot
A 3.4 Instalação de antivírus
A 3.5 Instalação e configuração de mecanismos de supervisão
A 3.6 Hardening das configurações
A3.1 Instalação e configuração de sensores em dispositivos
As soluções de HIDS acrescentam uma camada de deteção aos tradicionais sistemas de deteção de
intrusão colocados na rede [1] [19] [22].
Esta fase prevê a instalação de sistemas de deteção de intrusão em dispositivos, vulgarmente
designados de HIDS, nos sistemas e postos de trabalho que tratam informação mais sensível ou crítica
para a organização. As soluções de HIDS incluem funcionalidades de verificação de integridade,
conformidade de políticas, análise comportamental do sistema, deteção de rootkit, análise de tráfego
de entrada e saída no sistema, entre outros.
Tendo como base a análise de risco realizada, devem ser instalados HIDS em todos os sistemas e
postos de trabalho intervenientes nos processos mais sensíveis da organização, nomeadamente nas
áreas de segurança onde se encontram, ou de que dependem, os serviços vitais já identificados.
50
A3.2 Testes de intrusão às bases de dados
A existência de registos de acesso a base de dados com informação sensível ou crítica configuram
uma das melhores medidas dissuasoras de acessos indevidos ou ilícitos. Por outro lado, o
armazenamento destes registos durante o período de um ano configura um excelente instrumento para
a auditoria e a análise forense em caso de incidente. Esta fase prevê a instalação e configuração de
mecanismos de registo e testes de intrusão às bases de dados com informação sensível ou crítica para
a organização.
A3.3 Instalação de honeypot
Os vulgarmente designados honeypot são sistemas dedicados que mimetizam funções informáticas de
uma organização e que funcionam como engodo para atrair os atacantes, permitindo desta forma
identificar os seus métodos de ataque e avaliar as suas capacidades. Tipicamente um honeypot
mimetiza serviços comuns como o website ou o servidor de correio eletrónico da organização.
O princípio de funcionamento é visto por vezes como dispendioso, simples e muitas vezes como
ineficaz, uma vez que apenas implica operar e monitorizar um serviço inexistente em que qualquer
comunicação é suspeita e deve ser monitorizada em tempo real, resultando por isso em muitos falsos
positivos. No entanto, se o honeypot mimetizar sistemas sensíveis dentro da respetiva área de
segurança e desligado da Internet, o número de falsos positivos é praticamente inexistente e toda a
alarmística gerada representa um movimento lateral de um atacante que já se encontra dentro da rede
da organização.
Esta fase pressupõe a instalação e configuração de um honeypot dentro das áreas de segurança com
ativos com informação sensível.
A3.4 Instalação de antivírus
Esta ação pressupõe a instalação de antivírus com visibilidade para os serviços vitais e para os
dispositivos dos administradores de sistemas, uma vez que as máquinas dos administradores de
sistemas devem ser tratadas com nível máximo de criticidade por terem acesso a toda a informação da
organização.
A3.5 Instalação e configuração de mecanismos de supervisão
Esta fase prevê a instalação e configuração de um sistema de supervisão dos principais ativos de rede
e sistemas de suporte às atividades da organização. Tipicamente, um sistema de supervisão abrange
a leitura regular de variáveis de sistema diretamente nos equipamentos e sistemas, como o espaço do
disco, memória RAM, temperatura e volume de tráfego, bem como testes à disponibilidade e bom
funcionamento, incluindo tempos de resposta aceitáveis do ponto de vista dos utilizadores do serviço.
51
Este sistema deverá medir indicadores de disponibilidade e de qualidade dos equipamentos e serviços
e despoletar alertas sempre que o valor medido ultrapasse os parâmetros normais de funcionamento,
que deverão ser definidos pela entidade [1] [19] [22].
A3.6 Hardening das configurações
Este é um processo de robustecimento alinhado com um mapeamento das ameaças, das ações de
mitigação dos riscos e com a execução das atividades corretivas, com foco na infraestrutura. Um
processo de hardening também pode incluir a aplicação e manutenção regular (e previamente validada)
de atualizações dos sistemas operativos e das aplicações, a revisão das permissões de acesso aos
sistemas e a revisão da segurança nos acessos, entre outros.
5.4. Nível 4 – Procedimentos de cibersegurança
Nesta fase desenvolvem-se as condições internas para uma eficaz deteção de incidentes, através da
criação de procedimentos, da formação interna com base nas políticas e boas práticas da entidade e
da avaliação do grau de preparação de todos os colaboradores no âmbito das suas funções. Nesta
fase também fica finalizada a cadeia de responsabilidades e é realizada uma reavaliação do risco.
Apesar de não termos considerado como parte integrante das capacidades mínimas, recomenda-se
que sejam definidos procedimentos na relação com os media, garantindo que esta relação é construtiva,
sem divulgar mais do que o pretendido. As ações do quarto nível, estão resumidas na Tabela 12.
Tabela 15 – Nível 4 do MMD
NÍVEL ID AÇÃO
4-
PR
OC
ED
IME
NT
OS
DE
C
IBE
RS
EG
UR
AN
ÇA
A 4.1 Comunicação das operações com as autoridades nacionais
A 4.2 Definição de procedimentos de operação
A 4.3 Mapa de competências e planos de formação
A 4.4 Definição do Sistema Interno de Normas e Políticas (SINP)
A 4.5 Análise de risco – reavaliação
A 4.6 Simulacro
A 4.7 Cadeia de responsabilidades: formalização
52
A4.1 Comunicação das operações com as autoridades nacionais
Esta ação pressupõe a definição do procedimento de comunicação da deteção de incidentes entre a
entidade e as autoridades nacionais relevantes. Os eventos de segurança relevantes devem ser
comunicados ao CNCS em tempo real, para configuração do Quadro nacional de cibersegurança.
Os cadernos de procedimentos que resultam desta ação devem ser aprovados pelo departamento
jurídico e pela administração da entidade.
A4.2 Definição de procedimentos de operação
Esta ação pressupõe a identificação do procedimento para a deteção de incidentes: procedimentos de
atualização de ativos, procedimentos de triagem, procedimentos de análise de observáveis,
procedimentos de fluxo de informação interno e a interação com entidades externas; identificação das
responsabilidades e funções para os procedimentos identificados, que informação, meios e resultados
são esperados de cada procedimento, quando cada procedimento deve ser acionado, como se espera
que esses mesmos procedimentos ocorram e o porquê (importância e racional) dos mesmos. O
caderno de procedimentos que resulta desta ação deve ser aprovado pelo departamento jurídico e pela
administração da entidade [1] [19] [22].
São considerados dois cenários de atuação, que em si podem produzir alterações de fundo aos próprios
fluxos de comunicação e ao papel que pode caber às entidades envolvidas. Os cenários considerados
são Situação de Normalidade e Situação de Severidade Extraordinária no Ciberespaço Nacional [14].
Destes procedimentos fazem parte os procedimentos de relação com os fornecedores [22], que
pretendem garantir a proteção dos ativos da organização acessíveis aos fornecedores, mantendo o
nível de segurança da informação e prazos de entrega definidos nos acordos bilaterais. Fazem também
parte, os procedimentos de backup de segurança, periodicamente têm de ser realizadas cópias de
segurança (backups) dos dados e do software para proteção contra perdas e danos, esta política deve,
no mínimo, referir a periodicidade dos backups, a sua localização, o tipo (incremental, completo ou
diferencial), o tempo de retenção, o acesso e a forma como devem ser armazenados.
A4.3 Cadeia de responsabilidades: formalização
Como já foi referido na primeira fase, a definição da cadeia de responsabilidades teve início no primeiro
nível e ficará formalizada agora, no nível quatro. A definição da cadeia de responsabilidades pressupõe
também a definição dos privilégios de acesso individual e deve ser do conhecimento de toda a
organização.
A4.4 Mapa de competências e planos de formação
A descrição de funções é o pilar fundamental para um sistema de gestão, e é a base para processos
53
como a contratação, a avaliação de desempenho e o planeamento da formação. Será importante nesta
ação identificar, para cada colaborador, a sua atual função e o âmbito das suas responsabilidades, o
perfil considerado necessário para esta função, e um plano de formação para conseguir atingir os
objetivos da missão para essa função específica [1] [19] [22].
A4.5 Definição do Sistema Interno de Normas e Políticas (SINP)
Esta ação consiste em regular e normalizar os termos do funcionamento interno da entidade, através
da criação de um conjunto de políticas de segurança, normas e boas práticas internas – Sistema Interno
de Normas e Políticas – a ser adotado transversalmente por todos os colaboradores da entidade e que
deverá impulsionar e apoiar todos os colaboradores na execução diária da sua atividade.
O SINP pretende igualmente constituir-se como um instrumento dinâmico que procura, numa
perspetiva proactiva e de partilha de conhecimento, permitir a todos os colaboradores participar na
construção dos termos da atividade da organização através da identificação de áreas e processos que
eventualmente careçam de regulação mais apurada ou distinta, ou através da recolha, reconhecimento
e divulgação de boas práticas e processos eficientes/eficazes que resultem da experiência e área de
conhecimento especial de cada colaborador.
Os colaboradores devem adotar um comportamento de tratamento de informação adequado com o
objetivo de aumentar a produtividade, integridade funcional e tecnológica, e segurança dos recursos e
informação.
A4.6 Análise de risco – reavaliação
A gestão de risco é um processo contínuo, pelo que consideramos que a avaliação inicial deve ser
complementada com uma nova avaliação numa fase final da implementação do Modelo – reavaliação
da análise de risco. Depois da implementação do Modelo na sua totalidade, sugerimos que a análise
de risco tenha uma periodicidade anual (mínima).
A4.7 Simulacro
Depois de criados e aprovados os processos e procedimentos, deverão ser realizadas ações internas
de sensibilização em matérias de conduta de cibersegurança e deve ser dado a conhecer o caderno
de procedimentos e o SINP. Considera-se importante que todos os colaboradores recebam formação
nesta fase.
A entidade deverá realizar simulacros de cibersegurança para avaliação do nível de sensibilização dos
seus colaboradores e do grau de preparação dos analistas de cibersegurança para lidar com os tipos
de incidente mais comuns. Estes simulacros deverão ocorrer numa base anual e devem testar todas
as capacidades implementadas neste Modelo.
54
5.5. Nível 5 – Centro de Operações
A quinta fase compreende as ações necessárias para a operacionalização de um SOC na entidade. A
decisão de criação de um SOC deve ter em conta a dimensão da entidade, a importância estratégica
dos seus ativos informacionais, a capacidade financeira e o histórico de incidentes. Por este motivo, a
execução desta fase deve ser objeto de avaliação conjunta entre a entidade e o CNCS.
O objetivo desta fase é criar uma estrutura operacional de deteção de incidentes (SOC) perfeitamente
integrada no organigrama da entidade.
No final desta fase é suposto que a entidade possua um SOC operacional, vocacionado para a sua
comunidade específica e perfeitamente integrado no que respeita aos seus procedimentos de
comunicação interna e externa.
As ações do quinto nível, estão resumidas na Tabela 13.
Tabela 16 – Nível 5 do MMD
NÍVEL ID AÇÃO
5-
PR
OC
ED
IME
NT
OS
DE
C
IBE
RS
EG
UR
AN
ÇA
A 5.1 Definir a missão, a comunidade servida e o portfolio de serviços
A 5.2 Elaborar e fazer aprovar o plano e o orçamento para o SOC
A 5.3 Estabelecer o SOC
A 5.4 Participação num exercício nacional de cibersegurança
A5.1 Definir a missão, a comunidade servida e o portfolio de serviços
A primeira ação para a constituição de um SOC na entidade passa por definir a visão para esse mesmo
SOC. Esta ação consiste em definir e validar com as partes interessadas uma definição clara da missão,
da identificação da comunidade servida e o desenho do portfólio de serviços adequado para atingir os
objetivos propostos.
Do portfólio de serviços deverá constar, no mínimo, a monitorização de eventos de segurança, a sua
55
correlação e a gestão centralizada dos sistemas de segurança.
A5.2 Elaborar e fazer aprovar o plano e o orçamento para o SOC
Um SOC deve ter uma estrutura capaz e sustentável. Para esse efeito é necessária a aprovação, por
parte da direção da entidade, de um plano de ação e orçamento para estabelecer e operar o SOC. O
sucesso do SOC depende da objetividade da sua missão, da adequação dos seus meios e dos
instrumentos para atingir os seus objetivos.
Deste plano deverá constar uma proposta de enquadramento funcional do SOC dentro da estrutura
orgânica da entidade, a definição da missão atrás referida, a definição da comunidade servida e o
portfólio de serviços; um plano de investimentos para a montagem inicial do SOC; um plano de
formação anual de capacitação para os recursos humanos alocados e/ou a contratar; um plano de
deslocações de representação e participação nas comunidades de cibersegurança e um calendário
para a sua operacionalização.
A5.3 Estabelecer o SOC
Aprovado o plano de ação, dá-se início à operacionalização do SOC. Esta ação prevê a aquisição e
montagem das infraestruturas técnicas e operacionais, bem como a afetação, requalificação ou
contratação dos recursos humanos necessários.
Tipicamente um SOC precisa de um sistema que monitoriza e correlaciona eventos gerados por vários
sistemas (como firewalls, routers, IDS, servidores web e aplicações), da gestão centralizada dos
sistemas de segurança, de mecanismos de cifra (como PGP) e de um conjunto de ferramentas de
suporte a estas atividades. A maior parte destas ferramentas são de acesso livre e gratuito [27].
Por outro lado, é necessário formar os recursos humanos afetos ao SOC com as competências técnicas
necessárias. Dependendo do objetivo do SOC, as capacidades julgadas necessárias são:
procedimentos de tratamento de incidentes, análise técnica de tráfego, análise técnica de artefactos e
análise técnica de malware.
A5.4 Participação num exercício nacional de cibersegurança
Os exercícios de cibersegurança servem dois objetivos importantes: testar as capacidades
(nomeadamente a análise de incidentes e os procedimentos de resposta a incidentes), testar a
continuidade do negócio e tesar a gestão de crise (a articulação interna e externa com as partes
interessadas).
Ambos os SOC e CSIRT da entidade devem participar num exercício de cibersegurança pelo menos
uma vez por ano, seja o mesmo de âmbito nacional ou internacional [55].
56
5.6. Modelo Proposto – Resumo dos cinco níveis
A Figura 17 resume o Modelo de Maturidade de Deteção proposto com as respetivas ações para cada
nível.
Figura 17 – MMD resumo dos níveis e ações
5.7. Aplicação do Modelo
O objetivo desta seção é, com base no Modelo apresentado, dotar os decisores de linhas orientadoras
que ajudem a priorizar ações de investimento, garantindo o desenvolvimento de um plano, ao fim do
qual fiquem asseguradas as capacidades mínimas de deteção de incidentes. Este mecanismo é
constituído por 3 fases.
1. Desenvolver uma autoavaliação, identificando o panorama inicial da organização
Este panorama inicial deve ser uma lista de verificação de acordo com todas as ações
apresentadas no Modelo de Maturidade (do nível 1 ao nível 5), utilizando como métrica a
percentagem de completude.
2. Calcular as lacunas entre o panorama inicial e o panorama desejado
Como o Modelo apresentado é para as capacidades mínimas de deteção de incidentes, o
panorama desejado é o cumprimento a 100% de todas as ações recomendadas.
57
3. Desenvolver um plano, desagregado em planos anuais
Para priorizar ações e elaborar planos para os anos subsequentes, devem ser consideradas
quatro variáveis:
a. A ordem proposta das ações
A ordem das dimensões consideradas no Modelo foi pensada de modo a criar uma
base sustentada da cibersegurança na organização. A ordem das ações, apesar de ter
sido proposta uma ordem de modo a otimizar o Modelo como um todo, neste algoritmo
irá ficar definida pelo peso atribuído pela organização a cada uma delas (descrito no
item que se segue).
b. O peso de cada ação
A cada ação deverá ter um peso associado, diretamente proporcional ao impacto que
o não cumprimento dessa ação tenha na organização. Cada organização tem um
ecossistema diferente e tem ataques comuns específicos ao seu sector, este peso
deverá ser definido pela entidade, de acordo com a sua realidade.
c. O custo estimado para a completude
O objetivo deste Modelo, por tratar-se apenas das capacidades mínimas, é o
cumprimento de todas as ações, a 100%. O custo que cada ação terá, depende da
forma como a entidade pretende chegar ao cumprimento de cada ação. Por exemplo,
a opção por software open source irá reduzir o custo do cumprimento dessa ação,
significativamente.
d. O orçamento disponível
O orçamento alocado à cibersegurança tem de ser discutido ao mais elevado nível da
organização, ao nível das decisões do negócio.
Para melhor perceção da maturidade global de cada entidade na deteção de incidentes, recomendamos
o apoio a métodos de visualização [25] [26], como é exemplo o gráfico radar representado na Figura
18.
58
Figura 18 – Exemplo de visualização Maturidade Deteção de Incidentes
59
60
6. Conclusões e Trabalho Futuro
Com a crescente dependência digital com recurso à utilização massiva da computação em nuvem e
dispositivos móveis, a chamada transformação digital, é imperativo que qualquer organização que faça
negócios na economia global, tenha como ação prioritária o seu amadurecimento em cibersegurança.
Este projeto de crescimento da maturidade de cibersegurança dentro de uma organização, pela sua
essência de abordagem transversal, deve ser patrocinada diretamente pela gestão de topo. Verifica-se
a necessidade fundamental da existência de um C-level dedicado exclusivamente à temática da
cibersegurança, garantindo que as decisões de negócio são tomadas incorporando as temáticas da
cibersegurança, com vista ao sucesso do cumprimento da missão. Citando a NIST, “Strong governance
is the best indicator of senior leadership commitment to effective, consistent risk management across
the organization to achieve ongoing mission/business success” [52].
Infelizmente e muitas vezes, a sensibilização da gestão de topo vem de impactos negativos de
incidentes que tenham ocorrido e forçam as organizações a transitar para uma matriz de maturidade
de cibersegurança. De qualquer modo, é essencial capitalizar e influenciar a liderança, com ou sem o
impulso fugaz oferecido por um incidente. O líder sénior responsável pela cibersegurança de uma
organização é comumente designado por CISO (Chief Information Security Officer) e deve garantir a
disponibilidade, integridade e confidencialidade da informação, com foco na priorização dos riscos e
alocação dos recursos da empresa em conformidade – garantindo os objetivos de negócio. As
principais responsabilidades de um CISO incluem: i) colaborar com os órgãos de polícia criminal; ii)
supervisionar uma equipa de funcionários responsável por reagir, detetar e prevenir ciberincidentes; iii)
equilibrar as necessidades de segurança com o plano de negócios estratégico da organização,
identificar fatores de risco e determinar soluções para ambos; e iv) desenvolver políticas e
procedimentos de segurança que ofereçam proteção adequada às aplicações comerciais e
supervisionar uma equipa de funcionários responsável pela formação da organização como um todo
[56] [57].
Compreender a curva de maturidade de cibersegurança e ser capaz de avaliar a organização quanto à
sua posição nesta curva é o primeiro passo. Depois a organização deve submeter-se ao Modelo numa
lógica de constante monotorização e melhoria contínua. Esta abordagem pretende colocar as
organizações em condições para tomar decisões sobre cibersegurança, como tecnologias de
segurança e compra dos serviços que existem no mercado. Esta maturidade mínima que pretendemos
que todas as organizações desenvolvam, visa aumentar a eficiência e diminuir custos, à medida que
progridem na curva. A intenção é ajudar a desenvolver capacidades de deteção de forma holística
dentro de uma organização e não apenas no âmbito das IT.
A capacitação em cibersegurança tem três componentes fundamentais: a prevenção, que atua numa
vertente de proteção da organização; a deteção, que pretende detetar eventos e incidentes o mais
rápido possível; e finalmente a reação, que pretende mitigar o incidente e recuperar dos possíveis
61
danos. Transversalmente às três componentes consta uma fase onde se identificam os serviços vitais,
onde é realizada uma análise de risco, onde se capacita a organização em cyber threat intelligence e
onde é realizada uma constante monitorização e implementação de ações de melhoria contínua [37]
[38]. O Modelo aqui desenvolvido assenta numa abordagem de gestão do risco e foca-se apenas nas
capacidades mínimas de deteção de incidentes de cibersegurança.
O Modelo pretende posicionar a cibersegurança holisticamente dentro de uma organização, apostando
assim, não só no desenvolvimento de capacidades técnica (instalação de IDS e SIEM), mas também
de capacidades humanas (formação e sensibilização de recursos humanos em diversas áreas),
capacidades processuais (Standard Operational Procedures) e capacidades organizacionais (criação
formal de uma equipa dedicada à deteção de incidentes). O objetivo último será o desenho do
panorama nacional de deteção de incidentes, ao mesmo tempo que são criados fluxos de informação
e comunicação com os principais atores, a nível nacional e internacional, trabalhando para uma maior
eficiência num cenário de crise.
O Modelo de Maturidade de Deteção serve de referência nacional para a criação de capacidades
mínimas de deteção de incidentes de cibersegurança, promovendo o equilíbrio do ecossistema da
cibersegurança em Portugal. Este documento também visa a discussão nacional e internacional das
temáticas em causa, como tal, não pretende ser uma versão estática, mas sim dinâmica, prevendo-se
a constante atualização com versões aperfeiçoadas.
6.1. Contribuições
O Centro Nacional de Cibersegurança, criado há cerca de três anos em Portugal, na prossecução da
sua missão possui, de entre muitas outras, a competência de “desenvolver as capacidades nacionais
de prevenção, monitorização, deteção, reação, análise e correção destinadas a fazer face a incidentes
de cibersegurança e ciberataques”, a desempenhar no quadro da Estratégia de Segurança Nacional
de Segurança do Ciberespaço [11]. Também a Diretiva Europeia para a Segurança das Redes e da
Informação (SRI) vai definir obrigações nacionais no mesmo sentido. A Diretiva SRI vem reforçar a
cooperação entre Estados-Membros em matéria de cibersegurança e estabelecer um patamar
homogéneo de cibersegurança dentro do espaço europeu, para este efeito, de entre outros, terão de
ser criados de instrumentos de cooperação europeia, terão de ser definidos requisitos mínimos comuns
de desenvolvimento de capacidades e de planeamento, terão de ser identificadas medidas de
segurança e de notificação de incidentes às autoridades nacionais [14].
O Modelo de Maturidade de Deteção vem dar resposta às necessidades nacionais e europeias em
cibersegurança, mais concretamente na deteção de incidentes de cibersegurança. Este Modelo
consiste em criar capacidades técnicas, humanas, processuais e organizacionais de deteção de
ciberincidentes nas entidades que pertencem à comunidade do CNCS, ficam definidas as mesmas
62
linhas orientadoras para todas as entidades, otimizando o processo de desenvolvimento das
capacidades nacionais de cibersegurança.
A aplicação deste Modelo a toda a comunidade do CNCS, irá estabelecer um patamar homogéneo na
deteção de incidentes de cibersegurança. A definição de pontos de contacto por cada entidade irá
facilitar o desenvolvimento da confiança entre as equipas de segurança, promovendo uma cooperação
operacional célere e eficaz. Esta colaboração deve ser feita, não só ao nível operacional, mas também
ao nível de gestão, garantindo o alinhamento estratégico.
Se obtivermos esta coordenação a nível nacional onde o CNCS atua como centralizador, isso irá
permitir obter o quadro situacional de todo o país. Assim, o CNCS, como ponto de contacto único
nacional e irá assegurar a cooperação transfronteiriça das autoridades congéneres e com a Comissão
Europeia, respondendo às necessidades do país e garantindo a preservação dos interesses nacionais.
O presente trabalho que tem vindo a ser desenvolvido pelo CNCS, como o desenvolvimento de boas
práticas, políticas internas, procedimentos operacionais internos e de colaboração com entidades
externas; foi integrado neste Modelo e, não só está prevista a partilha destes documentos, como
também a organização de ações de formação, sensibilização e outros eventos. Destacamos o Exercício
Nacional de Cibersegurança do CNCS, que terá a sua primeira versão em maio de 2018 e está previsto
no último nível deste Modelo, são cenários inspirados em incidentes reais e pretende testar a análise
incidentes de cibersegurança, a garantia da continuidade de negócio e a gestão de crise.
6.2. Limitações e Trabalho Futuro
O Modelo de Maturidade de Deteção pretende representar as capacidades mínimas na deteção de
incidentes, pelo que terá de evoluir à medida que as organizações evoluem no âmbito da
cibersegurança. O mundo tecnológico tem-se transformado a um ritmo vertiginoso e as organizações
têm de dar resposta trabalhando para a sua constante evolução. Este Modelo não é estático, está
sujeito a revisões sempre que sejam identificadas oportunidades de melhoria na deteção de incidentes
de cibersegurança, assim como possíveis ajustes a alterações na infraestrutura tecnológica,
enquadramento jurídico, ou outras alterações que justifiquem a revisão do documento.
Além disso, este Modelo trata-se de uma diretriz e não pretende ser uma lista detalhada de controlos a
implementar; é apresentada uma estrutura de alto nível, que deve ser complementada com
especificações que advêm do conhecimento de uma organização específica – deverá ser adaptado ao
setor, estrutura, dimensão e especificidade dos ataques comuns à organização. Fará sentido serem
posteriormente desenvolvidos modelos específicos para todos os sectores considerados críticos a nível
nacional, já existem alguns modelos no mercado a nível internacional, como é o caso do setor da energia
[22].
Para futuro será necessária a melhoria contínua do MMD e da sua revisão com experiências e lições
63
aprendidas, deve ser incrementada a colaboração e partilha de informação. Esta partilha e
aprendizagem comum é crítica para o crescimento da maturidade. As ISAC (Information Sharing and
Analysis Center) emergiram em mais de uma dúzia de setores – tais como na eletricidade (ES-ISAC),
água (Water ISAC) e na resposta e gestão de emergências (EMR-ISAC); e são consideradas entidades
confiáveis, nomeadamente como fonte de análise setorial, destinadas à partilha de experiências dentro
do setor, a nível transetorial e também do Governo. Os serviços da ISAC, não se restringem à
plataforma de troca de informação, podem incluir outros serviços tais como mitigação de risco, resposta
a incidentes e alertas de segurança [58]. Devem ser dinamizadas ISAC a nível nacional e internacional
e é uma área onde o CNCS irá prosseguir o seu trabalho, dando continuidade ao trabalho apresentado
nesta dissertação.
64
Bibliografia
[1] ISO/IEC, “ISO/IEC 27001: Information Security Management System,” Geneva, 2013.
[2] ISO/IEC, “ISO/IEC 27002: Information technology – Security techniques – Code of practices for
information security controls,” Geneva, 2013.
[3] Assembleia da República Lei n109/2009 (Lei do Cibercrime), “Comissão Nacional de Proteção de
Dados (CNPD),” [Online]. Available:
https://www.cnpd.pt/bin/legis/nacional/LEI109_2009_CIBERCRIME.pdf. [Acedido em 12 Setembro
2017].
[4] “A Constituição da República Portuguesa,” Almedina, Lisboa, 2016.
[5] National Institute of Standards and Technology (NIST), Maio 2013. [Online]. Available:
http://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf. [Acedido em 27 10 2017].
[6] Tallinn Manual on the International Law Applicable to Cyber Warfare, “Peace Palace Library,” 2013.
[Online]. Available: https://www.peacepalacelibrary.nl/ebooks/files/356296245.pdf. [Acedido em 9
10 2017].
[7] “Código Penal,” [Online]. Available: http://www.codigopenal.pt/. [Acedido em 9 10 2017].
[8] Código de Justiça Militar, “Ministério da Justiça,” [Online]. Available:
http://www.dgpj.mj.pt/DGPJ/sections/leis-da-justica/pdf-lei/lei-100-
2003/downloadFile/file/L_100_2003.pdf?nocache=1180531240.11. [Acedido em 11 10 2017].
[9] Recommendation ITU -T X.1205, “International Telecommunication Union,” abril 2008. [Online].
Available: https://www.itu.int/rec/T-REC-X.1205-200804-I. [Acedido em 15 09 2017].
[10] Lei de combate ao terrorismo (Lei 52/2003), “Procuradoria-Geral,” 22 8 2003. [Online]. Available:
http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=119&tabela=leis. [Acedido em 18 9
2017].
[11] Resolução do Conselho de Ministros n36/2015, “Estratégia Nacional de Segurança do
Ciberespaço,” 2015. [Online]. Available: https://www.cncs.gov.pt/content/files/rcm_36-2015.pdf.
[Acedido em 18 Outubro 2017].
[12] PCI Security Standards Council, “Payment Card Industry (PCI) Card Production,” United States of
America , 2015.
[13] E. Dadok, “SANS (hacktivism: a free form of expression or a digital vandalism?),” 2000-2005.
[Online]. Available: https://cyber-defense.sans.org/resources/papers/gsec/hacktivism-free-form-
expression-digital-vandalism-100857. [Acedido em 9 10 2017].
[14] Diretiva Europeia para a Segurança das Redes e da Informação (SRI), “Centro Nacional de
Cibersegurança,” [Online]. Available: https://www.cncs.gov.pt/content/files/diretiva_2016_1148.pdf.
[Acedido em 2 10 2017].
[15] Conselho da União Europeia (2013/488/UE), “EU law and publications,” 2013. [Online]. Available:
https://publications.europa.eu/en/publication-detail/-/publication/d43001e3-356d-11e3-806a-
01aa75ed71a1/language-pt. [Acedido em 20 setembro 2017].
65
[16] R. McMillan, “Gartner (Threat Intelligence Definition),” 16 Maio 2013. [Online]. Available:
https://www.gartner.com/doc/2487216/definition-threat-intelligence. [Acedido em 4 10 2017].
[17] J. Fernandes, “Utopia, Liberdade e Soberania no Ciberespaço,” p. 11, 2012.
[18] M. Castells e G. Cardoso, “A sociedade em rede, do conhecimento à ação política,” 2005.
[19] National Institute of Standards and Technology (NIST), “Framework for Improving Critical
Infrastructure Cybersecurity,” United States of America, 2014.
[20] National Institute of Standards and Technology (NIST), “National Institute of Standards and
Technology,” [Online]. Available: https://www.nist.gov/. [Acedido em 18 Setembro 2017].
[21] International Organization for Standardization (ISO), “International Organization for
Standardization,” [Online]. Available: https://www.iso.org/home.html. [Acedido em 20 Setembro
2017].
[22] US. Department of Energy (DOE), “Cybersecurity Capability Maturity Model (C2M2),” United States
of America, 2014.
[23] US. Department of Energy (DOE), “Electricity Subsector Cybersecurity Capability Maturity Model
(ES-C2M2),” United States of America,, 2014.
[24] US. Department of Energy (DOE), “Oil and Natural Gas Subsector Cybersecurity Capability
Maturity Model (ONG-C2M2),” United States of America, 2014.
[25] Global Cyber Security Capacity Centre (GCSCC), “Cyber Security Capability Maturity Model (CMM)
– V1.2,” United Kingdom Foreign and Commonwealth Office, United Kingdom, 2014.
[26] Global Cyber Security Capacity Centre (GCSCC), “Cybersecurity Capacity Review – Republic of
Lithuania,” United Kingdom Foreign and Commonwealth Office, United Kingdom, 2017.
[27] The Netherlands National Cyber Security Centre, “CSIRT Maturity Kit - A step-by-step guide
towards enhancing CSIRT Maturity,” Netherland, 2015.
[28] B. Acohido, “Improving Detection, Prevention and Response with Security Maturity Model,” SANS
Institute InfoSec Reading Room, 2015.
[29] Joint Communication of the European Commission and the European External Action Service,
“Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace,” 2013.
[30] Resolução do Conselho de Ministros n12/2012, “Gabinete Nacional de Segurança,” [Online].
Available: https://www.gns.gov.pt/media/1917/rcm-12-2012.pdf. [Acedido em 3 10 2017].
[31] Presidência do Conselho de Ministros Decreto Lei 69/2014, “Centro Nacional de Cibersegurança
(CNCS),” [Online]. Available:
https://www.cncs.gov.pt/content/files/01_03_dl_69_2014_lo_gns_alt2_republic.pdf. [Acedido em 9
10 2017].
[32] C. Andrew, “Incident Response and Data Protection. Version 02,” United Kingdom, 2011.
[33] Trusted Introducer (TI), “Trusted Introducer,” [Online]. Available: https://www.trusted-introducer.org.
[Acedido em 12 09 2017].
[34] Centro Nacional de Cibersegurança (CNCS), “Centro Nacional de Cibersegurança,” [Online].
Available: https://www.cncs.gov.pt/. [Acedido em 4 Setembro 2017].
66
[35] Rede Nacional de CSIRT, “Rede Nacional de CSIRT,” [Online]. Available: http://www.redecsirt.pt/.
[Acedido em 13 Setembro 2017].
[36] Resolução do Conselho de Ministros n115/2017, “Centro Nacional de Cibersegurança,” [Online].
Available:
https://www.cncs.gov.pt/content/files/rcm_115_2017_cria_o_conselho_superior_de_seguranca_do
_ciberespaco.pdf. [Acedido em 23 10 2017].
[37] P. Kime, “ Cyber Threat Intelligence Support to Incident Handling,” SANS Institute InfoSec Reading
Room, 2017.
[38] Government of Canada, “Cyber security event management plan (GC CSEMP),” 2015. [Online].
Available: https://www.canada.ca/en/treasury-board-secretariat/services/access-information-
privacy/security-identity-management/government-canada-cyber-security-event-m. [Acedido em 26
10 2017].
[39] M. Hartley, “Strengthening Cyber Kill Chain with Cyber Threat Intelligence,” 08 September 2014.
[Online]. Available: http://www.isightpartners.com/2014/09/strenghtening-cyber-kill-chain-
cyberthreat-intelligence-part-1-of-2/. [Acedido em 7 setembro 2017].
[40] J. Oltsik, “The ESG Cybersecurity Maturity Model.,” Enterprise Strategy Group , 2014.
[41] European Network and Information Security Agency (ENISA), “Proactive Detection of Network
Security Incidents,” Greece, 2011.
[42] Industrial Internet Consortium, “Industrial Internet of Things - VolumeG4: Security Framework,”
2016.
[43] European Union Agency for Network and Information Security (ENISA), “ENISA,” [Online].
Available: https://www.enisa.europa.eu/topics/csirts-in-europe/glossary/considerations-on-the-
traffic-light-protocol. [Acedido em 26 Setembro 2017].
[44] Fundação para a Computação Científica Nacional, “Common Taxonomy for the National Network
of CSIRTs,” Rede Nacional de CSIRT, Portugal, 2014.
[45] European Network and Information Security Agency (ENISA), “Information Sharing and common
taxonomies between CSIRTs and Law Enforcement,” Greece, 2015.
[46] Comissão Nacional de Proteção de Dados (CNPD) Lei 67/98, “Comissão Nacional de Proteção de
Dados,” [Online]. Available: https://www.cnpd.pt/bin/legis/nacional/lei_6798.htm. [Acedido em 2 10
2017].
[47] Official Journal of the European Union, “Official Journal of the European Union,” 1995. [Online].
Available: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML.
[Acedido em 19 10 2017].
[48] Grupo de Trabalho de Protecção de Dados Diretiva 95/46/CE, “Comissão Nacional de Proteção de
Dados,” [Online]. Available:
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_pt.pdf. [Acedido em 5 9
2017].
[49] Court of Justice of the European Union (CJEU) Case 582/14, “Court of Justice of the European
67
Union (CJEU),” 19 10 2016. [Online]. Available:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=e
n&mode=lst&dir=&occ=first&part=1&cid=1116945. [Acedido em 10 10 2017].
[50] Court of Justice of the European Union (CJEU), “White&Case,” [Online]. Available:
https://www.whitecase.com/publications/alert/court-confirms-ip-addresses-are-personal-data-some-
cases. [Acedido em 11 10 2017].
[51] Pirate Party, “Pirate Party,” [Online]. Available: https://pirate-parties.net/about-ppi/statutes-of-ppi/.
[Acedido em 11 10 2017].
[52] NIST Special Publication 800-39, “National Institute of Standards and Technology (NIST),” 3 2011.
[Online]. Available: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-39.pdf.
[Acedido em 21 9 2017].
[53] European Union Agency for Network and Information Security (ENISA), “Detect, SHARE, Protect -
Solutions for Improving Threat Data Exchange among CERTs,” Greece, 2013.
[54] Réseaux IP Européens (RIPE), “RIPE,” [Online]. Available: https://www.ripe.net/. [Acedido em 23
11 2017].
[55] European Union Agency for Network and Information Security (ENISA), “Cyber exercises
CyberEurope,” [Online]. Available: https://www.enisa.europa.eu/topics/cyber-exercises/cyber-
europe-programme. [Acedido em 3 10 2017].
[56] Allen J. H. Crabb G. Curti P. D. Fitzpatrick B. Mehravari N. Tobar D., “Structuring the Chief
Information Security Officer Organization,” Carnegie Mellon University, 2015.
[57] SANS Institute, “Mixing Technology and Business: The Roles and Responsibilities of the Chief
Information Security Officer,” 2003.
[58] National Council of ISACs, “National Council of ISACs,” [Online]. Available:
http://www.nationalisacs.org. [Acedido em 1 9 2017].