POLÍTICA DE SEGURANÇA DA RCTS ACTA DA REUNIÃO Nº 1 Data: 27/01/2011 10:00 Ordem de trabalhos: Ponto um: Enquadramento do trabalho a desenvolver neste grupo Ponto dois: Definição do âmbito da política de segurança Ponto três: Definição de responsabilidades dentro de cada entidade para a gestão da segurança nas instituições Ponto quatro: Elaboração de um plano de trabalhos a apresentar no evento Jornadas RCTS a realizar nos dias 8, 9 e 10 de Fevereiro de 2011. Estiveram representados os seguintes membros, do grupo de trabalho definido: FCCN: Lino Santos e Luis Morais, em Lisboa (Sala Tejo) ISCTE: Diogo Beja, em Lisboa (Sala Tejo) UAveiro: Ricardo Martins e Hélio Edgar, em Aveiro (UAveiro) UPorto: Fernando Correia, no Porto (Sala Douro) FEUP: Jorge Ruão, no Porto (Sala Douro) Não puderam participar nesta reunião: UAlgarve: Júlio Fernandes IPBragança: Nuno Rodrigues, Albano Alves Após introdução e boas-vindas por Lino Santos, da FCCN, deu-se início aos trabalhos. Passaram a tratar-se os assuntos da ordem de trabalhos. Ponto um da agenda Enquadramento do trabalho a desenvolver neste grupo: Luis Morais fez uma breve apresentação dos resultados da sessão exploratória para a elaboração de uma política de segurança na RCTS, levada a cabo nas Jornadas RCTS de 2010, resultados esses que servem como ponto de partida para os trabalhos a desenvolver por este grupo de trabalho. Foram enumeradas as diferenças identificadas, no que respeita à gestão da segurança no seio da comunidade, nomeadamente: Política de Segurança da RCTS Acta número 1 1
Existência de diferentes níveis de consciência para a gestão de segurança, quer no plano técnico, quer no plano de gestão/administração da instituição; Existência de diferentes modelos de gestão da segurança (quando existem) reactivos / proactivos, centralizada / distribuída / ad-hoc, responsabilidades atribuídas ou não; Existência de diferentes níveis de conhecimento dos activos da organização, principalmente quando a gestão desses é realizada de forma distribuída; Existência de diferentes estágios de desenvolvimento de uma política de segurança que variam entre a inexistência até à existência de uma política participada e forte; Existência de diferentes níveis de compromisso por parte da gestão/administração da instituição que impossibilita a aplicação de uma política mesmo que ela exista; Num plano mais técnico, diferentes níveis de capacidade para responder às solicitações da FCCN/CERT.PT e mitigar incidentes de forma eficaz. Adicionalmente foram mencionados os constrangimentos que poderão ter influência no sucesso da gestão da segurança dentro das instituições, nomeadamente restrições de recursos humanos em algumas das instituições. Ficou claro nessa sessão que existe vontade das instituições para criar uma política de segurança para a RCTS que possa servir de base a uma instância própria em cada uma delas, no entanto, ficou também claro que são factores essenciais para o sucesso desta iniciativa, o apadrinhamento das respectivas reitorias ou administrações e o empowerment de quem vier a ser responsável pela gestão da segurança dentro da instituição. Foi explicado depois que foi nesse contexto que foi proposta a criação de um grupo de trabalho com vista à elaboração de um charter de segurança e de uma Política de Segurança da RCTS, tendo em conta o modelo de gestão descrito na figura seguinte. Esse grupo é constituído por 5 instituições ISCTE, Instituto Politécnico de Bragança, Universidade do Algarve, Universidade de Aveiro e Universidade do Porto. O critério utilizado na escolha dessas entidades foi o de tentar incluir no grupo instituições com diferentes modelos de gestão da segurança e de alguma forma representativas da comunidade. O charter de segurança da RCTS deverá definir o modelo de gestão da segurança e as responsabilidades das várias entidades envolvidas, enquanto a Política de Segurança da RCTS deverá elencar o conjunto de normas e regras que devem ser asseguradas pela FCCN e pelo conjunto das entidades com ligação à RCTS. Os resultados intermédios devem ser apresentados pelo grupo de trabalho e discutidos com toda a comunidade. Por fim foi proposto ao grupo de trabalho a seguinte calendarização: Política de Segurança da RCTS Acta número 1 2
Fase 1: (Janeiro) Definição de âmbito Fase 2: (até Maio) Primeiras versões do do charter e da Política de Segurança (até Outubro) Versões finais dos documentos Fase 3: (Novembro) Aprovação dos documentos Ponto dois da agenda Definição do Âmbito da Política de Segurança na RCTS Foi inicialmente feita uma ronda pelos membros presentes, por forma a recolher informação e compreender melhor a realidade e especificidades de cada instituição, em particular no que concerne: à estrutura da organização e a quem caberá o papel da gestão da segurança; o estágio de evolução no desenvolvimento de uma política de segurança na instituição; algumas dificuldades que antevejam; outros comentários que considerem relevantes. Ricardo Martins deu conta da situação na Universidade de Aveiro: indicou que foi recentemente feito um esforço de centralização, no que respeita à centralização da prestação de serviços de informática na universidade, pelo que fará mais sentido que seja essa entidade a assumir a responsabilidade para a gestão da segurança dentro da universidade. Caberá sempre à reitoria emanar essa responsabilidade de forma formal. Indicou ainda que não têm em aplicação uma política de segurança formalmente estruturada e aprovada. A gestão da segurança é feita com base num conjunto de outros mecanismos como carta ética do administrador de sistemas, algumas políticas de utilizadores e atribuição formal de algumas responsabilidades mais específicas. Do trabalho já desenvolvido, foram identificadas dificuldades como encontrar o equilíbrio entre os requisitos de flexibilidade e de segurança (mesmo em pedidos provenientes da reitoria da universidade) e em aferir as reais vantagens e desvantagens na aplicação de algumas políticas. Por último referiu que do trabalho desenvolvido até ao momento surgiu a dúvida se não será melhor seguir uma abordagem de divisão da política de segurança num conjunto de pequenas políticas, mais específicas e relacionadas. Esta abordagem permite não só uma melhor disseminação das políticas como também poderá facilitar a aprovação dos documentos, uma vez que esta será faseada e incidirá sobre uma matéria de menor dimensão. Fernando Correia, pela Univeresidade do Porto, deu contande que as unidades orgânicas têm autonomia e como tal não existe uma equipa única quem caiba a gestão da segurança de toda a instituição. Tendo em conta esta característica pensa que a melhor abordagem será a reitoria definir e fazer aprovar a política de segurança, que será Política de Segurança da RCTS Acta número 1 3
posteriormente emanada para cada unidade orgânica, cabendo a estes últimos a sua correcta gestão. Indicou ainda que a UP não dispõe de uma política de segurança contralizada e que existem diferentes estágios de desenvolvimento de políticas de segurança em cada uma das unidades orgânicas, havendo casos (FEUP) em que existem uma política formalmente aprovada e em aplicação. Como dificuldades, indicou, tal como a UA, identificar o equilíbrio entre a flexibilidade e a segurança e que excepcionalmente cedem e permitem excepções ás regras definidas. Outra dificuldade apontada emana da autonomia das unidades orgânicas e na respectiva diferença na elaboração de políticas. Foi dado como exemplo o tráfego P2P que em algumas unidades é permitido e noutras não. Referiu que esta é uma boa oportunidade para criar uma política comum dentro da própria instituição com o suporte da reitoria e FCCN. Em relação à divisão da política de segurança num conjunto de pequenas políticas foi algo que também já foi equacionado na instituição, não tendo no entanto sido alcançada qualquer conclusão. Jorge Ruão, da FEUP, deu conta de que existe, já há alguns anos, nesta unidade, uma política de segurança formalmente aprovada e em aplicação, mas que necessita de uma revisão, já que lhe foram identificadas insuficiências e lacunas. Diogo Beja, do ISCTE, referiu que, dentro da instituição, grande parte da gestão da segurança é levada a cabo pela unidade de comunicações e sistemas e que a aplicação de uma política de segurança deve ser levada a cabo por esta unidade com o empowerment da reitoria. Indicou ainda que o ISCTE não dispõem de uma política de segurança formalmente aprovada e em aplicação. A gestão da segurança é feita com recurso a um conjunto de políticas de utilização, baseadas nas políticas da unidade e na política de uso aceitável da FCCN (denominada por Carta ao Utilizador da RCTS ). Existem ainda algumas políticas de utilizador. É prática na instituição seguir um conjunto de boas práticas na gestão da segurança no que concerne aos novos desenvolvimentos, no entanto nem todos os serviços estão em conformidade com essas boas práticas. Como dificuldades foram indicadas aquelas que se prendem com a existência de direitos adquiridos na instituição como a permissão de existência de sistemas de email descentralizados. Levantou ainda a questão do plano de trabalhos proposto, nomeadamente no que diz respeito a alguns prazos mais apertados e a necessidade de rever esses prazos sob pena de não os conseguirmos cumprir. Indicou que na instituição permitem a utilização de tráfego P2P, com algum controlo e monitorização. Por último, Lino Santos referiu que está ser levado a cabo, na FCCN, um projecto de revisão da política de segurança baseado na norma ISO27001. Este processo, elaborado através de benchmarking com a norma, pretende não só definir uma nova política de segurança, mas também identificar o nível de implementação e a definição de Política de Segurança da RCTS Acta número 1 4
responsabilidades de forma a garantir a aplicação de cada uma das normas dessa política. Como dificuldades referiu a recolha de inputs durante o processo de benchmarking, principalmente devido à dimensão da norma e do conjunto alargado de perguntas que são feitas aos responsáveis por processos dentro da organização. Em seguida Lino Santos comentou alguns dos pontos apresentados pelas várias instituições. Começou por referir um trabalho da UMIC para a criação de uma política de segurança para Portugal. Indicou que iria solicitar a desclassificação deste trabalho para pudesse ser consultado e utilizado por este grupo de trabalho. Em relação ao papel da FCCN neste processo será o de, quando atingidos os resultados finais do grupo de trabalho (elaboração de um Charter e Política de Segurança), fazer disseminar esse trabalho pelas reitorias e promover o enforcement necessário para a sua aplicação em toda a RCTS. No que respeita à questão que foi levantada sobre a definição de uma política única ou de várias subpolíticas é uma questão que poderá ser decidida em próximas reuniões. Na sua opinião existem no entanto algumas vantagens nesta abordagem segmentada tais como: Efectuar um mapeamento de acordo com as 12 áreas de segurança da norma ISO27002; Utilizar algum do esforço de compliance levado a cabo pela UAveiro; Utilizar os resultados que irão emanar no grupo de trabalho Qualidade no email Em relação a esta abordagem foram ainda apresentadas, pelos membros presentes, outras vantagens como: UAveiro A segmentação das políticas pode ser feita de acordo com o seu âmbito, cabendo a âmbitos diferentes, políticas diferentes; UPorto A aprovação das políticas pode ser mais facilitada se for faseada; UPorto Pode existir a necessidade de criação de políticas diferentes para Redes ou Serviços diferentes. Neste ponto houve alguma discussão sobre o que seria do âmbito de uma política de segurança e sobre o que deveria constar do catálogo de medidas e procedimentos. A Universidade de Aveiro sugeriu que fosse realizada um trabalho do tipo análise SWOT com o objectivo de perceber o que se pretende proteger e perceber como se está a proteger os activos da organização, como é avaliado o valor da informação, o histórico de incidentes, etc. Esta ideia teve uma boa aceitação por parte dos restantes membros, tendo sido decidido seguir, em parte, esta abordagem neste grupo de trabalho. Assim ficou acordado que, antes de chegarmos a alguma conclusão no que diz respeito ao âmbito da política de segurança e à definição de responsabilidades dentro de cada entidade, iriamos elaborar um documento descritivo das principais ameaças para Política de Segurança da RCTS Acta número 1 5
realização de uma análise SWOT, permitindo-nos desta forma identificar posteriormente o âmbito e as responsabilidades na gestão da segurança da RCTS. De acordo com esta decisão os pontos dois e três da agenda ficaram assim adiados para uma etapa futura. Ponto quatro: Elaboração de um plano de trabalhos a apresentar no evento Jornadas RCTS a realizar nos dias 8, 9 e 10 de Fevereiro de 2011. No que respeita à calendarização e a alguns prazos mais apertados concordou que esta devia ser alterada de acordo com os resultados desta reunião. Ficou definida a calendarização de reuniões mensais para acompanhamento do estado de desenvolvimento do projecto. Ficou ainda definido que iria ser divulgada, durante as Jornadas RCTS que este trabalho está a ser desenvolvido. Tabela resumo de acções acordadas: Responsável Acção Prazo 1.1 FCCN Criação de lista de distribuição Imediato 1.2 FCCN Criação de área para partilha de informação Imediato 1.3 FCCN Elaboração de novo plano de trabalhos de acordo com alterações acordadas. Imediato 1.4 FCCN Elaborar a estrutura do documento de ameaças / swot. Fevereiro de 2011 Partilha de informação útil ao desenvolvimento Imediato 1.5 Todos deste trabalho através da área criada para o efeito Elaboração do documento de ameaças / swot e Abril de 2011 1.6 Todos determinação de âmbito da política de segurança na RCTS 1.7 FCCN Apresentação do grupo de trabalhos nas jornadas RCTS de 2011 Fevereiro 2011 de Política de Segurança da RCTS Acta número 1 6
Política de Segurança da RCTS Acta número 1 7