Customização do software Request Tracker (RT) para tratamento de incidentes de segurança cibernéticos em CSIRTS de Coordenação

Abstract

Os meios cibernéticos na administração pública brasileira são utilizados, direta ou indiretamente, para prestar serviços de forma econômica e acessível à população. Entretanto, ataques cibernéticos são cada vez mais frequentes aos órgãos e entidades públicas afetando a plena execução dos serviços à sociedade. Neste contexto, as atividades de resposta a incidentes cibernéticos se tornou amplamente utilizado. Todavia, é necessário também que elas sejam realizadas de forma eficiente. O Centro de Tratamento e Resposta à Incidentes Cibernéticos de Governo (CTIR Gov), órgão integrante do Gabinete de Segurança Institucional (GSI), tem se sobressaído na realização do tratamento de incidentes, se valendo como ferramenta central para suas atividades o software Request Tracker (RT). Deste modo, este estudo teve como objetivo analisar a efetividade desta ferramenta na operacionalização das atribuições do CTIR Gov na resposta à incidentes no nível de coordenação, verificando ainda a aplicabilidade da ferramenta em outras equipes de resposta a incidentes, identificando oportunidades de melhoria e recomendações. Este estudo realizou uma análise a partir de dados gerados pelo CTIR Gov, os relatórios estatísticos anuais que estão disponíveis no portal daquele Centro e o dados consolidados dos histórico das ocorrências de incidentes que individualmente são considerados informações de acesso restrito. Inicialmente, foi observada a literatura considerada estado da arte na gestão de incidentes, extraindo-se as principais tarefas do processo de tratamento de incidentes. Em uma segunda etapa, foram comparadas as tarefas identificadas na primeira etapa com as que são atualmente executadas com o apoio do RT no CTIR Gov. Por fim, foi mensurada a efetividade de cada uma destas tarefas utilizando os dados obtidos em conjunto com uma abordagem qualitativa. Os resultados indicam que efetividade do uso do RT para atividades de resposta a incidentes é elevada, pois em todas as métricas avaliadas a taxa média de performance obtida foi superior a 80%, o que demonstra um elevado grau de maturidade do CTIR Gov, quanto o uso das boas práticas e operação e customização do RT. O estudo finaliza com sugestões de melhoria, pois há espaço para aperfeiçoar o uso da ferramenta.

ABSTRACT Cybernetics in the brazilian public administration are used, directly or indirectly, to provide services economically and accessible to the population. However, cyber attacks are increasingly common to public agencies and entities affecting the full performance of services to society. In this context, cyber incident response activities has become widely used. However, they must also be carried out efficiently. The Brazilian Government CSIRT, Government Cyber Incident Handling and Response Center (CTIR Gov), which is part of the Institutional Security Office (GSI), has excelled in handling incidents, using the Request Tracker (RT) software as its central tool. Thus, this study aimed to analyze the effectiveness of this tool in the operationalization of CTIR Gov attributions in response to incidents at the coordination level, also verifying the applicability of the tool in other incident response teams, identifying opportunities for improvement and recommendations. This study analysed data generated by the CTIR Gov, the annual statistical reports that are available on the CTIR Gov portal and the consolidated historical data on incidents that are individually considered restricted access information. Initially, the literature considered state of the art in incident management was observed, extracting the main tasks of the incident handling process. In a second stage, the tasks identified in the first stage were compared with those currently performed with the support of the RT in the CTIR Gov. Finally, the effectiveness of each of these tasks was measured using the data obtained together with a qualitative approach. The results indicate that the effectiveness of the use of RT for incident response activities is high, since in all evaluated metrics the average performance rate obtained was above 80%, which demonstrates a high degree of maturity of CTIR Gov, regarding the use of good practices and operation and customization of RT. The study concludes with suggestions, as there is room to improve the use of the tool.