Durante o ICANN52, muitos membros da comunidade perguntaram sobre a situação dos serviços digitais da ICANN. Além disso, respondendo a uma de minhas publicações no blog, alguns de vocês se reuniram comigo e com Chris Gift, vice-presidente de serviços digitais, para entender melhor a situação e nossos planos. Em um comunicado recente, a ICANN também declarou que divulgaríamos mais informações sobre nosso trabalho de "fortalecimento de serviços digitais", realizado em vários anos. Estou escrevendo esta publicação para iniciar esse processo de manter vocês, nossa comunidade, atualizados e envolvidos em nossas atividades de TI atuais e planejadas.
Os cinco "grupos" de serviços de TI
To help set a good baseline, I am repeating part of a message from a prior blog/vlog. De forma mais ampla, a ICANN oferece cinco "grupos" de ativos de TI em forma de "serviços digitais":
- Serviços da Web voltados para a comunidade
- Serviços para partes contratadas
- Serviços técnicos para a comunidade
- Serviços da IANA
- Serviços de operações voltados para a equipe
Como vocês podem imaginar, abordamos cada tipo de forma diferente, especialmente sob o ponto de vista de segurança da TI. No total, temos mais de 80 serviços digitais que atendem à comunidade, à Diretoria e à equipe da ICANN. Já falei e escrevi sobre os dados que esses serviços coletam, organizam e selecionam, que caracterizam essas informações como itens valiosos protegidos pela ICANN. Usando uma metáfora bancária, a ICANN como um todo é o "balcão de depósitos" e nós, da TI, somos os guardiões físicos desses dados. Eles são bens públicos e nós levamos isso muito a sério.
Auditorias terceirizadas anuais
Para garantir que estamos protegendo esses bens de forma adequada, em junho/julho de 2014, convidamos uma empresa terceirizada líder do setor e reconhecida mundialmente para fazer a auditoria de todos os nossos ativos de TI, de ponta a ponta. A metodologia que decidimos adotar e usar para avaliar nossos sistemas é a Estrutura de 20 controles críticos de segurança (antigo SANS Institute). Obedeceremos a essa estrutura nos próximos anos para que a ICANN posa analisar seus ativos de TI em um "espelho" mundial e ver como nosso trabalho está mudando sua "imagem" durante um tempo. Também tenho o prazer de dizer que essa mesma empresa foi contratada para realizar auditorias anuais regulares, e atualmente está analisando nosso progresso ao longo dos últimos 12 meses. Em breve, conheceremos os resultados.
Os resultados da avaliação de 2014 mostraram que fomos bem em algumas áreas e podemos melhorar em outras. Também recebemos uma lista clara de áreas específicas onde podemos nos concentrar imediatamente e implementar melhorias rapidamente.
Organizamos essas recomendações de várias maneiras. Nós as classificamos em uma matriz de importância/urgência e marcamos cada uma com um nível de esforço (LoE) e com os custos brutos previstos. Depois, priorizamos a sequência em que elas poderiam ser abordadas.
O resultado foi um roteiro com 16 projetos para o AF15 e parte do AF16. Esses roteiros são nossa principal prioridade, e nove projetos críticos já foram concluídos, entre eles: detecção de intrusão avançada em servidores Windows, soluções de detecção de intrusão totalmente implementadas (IDS) e soluções de prevenção de intrusão (IPS), uma solução de IDS para o perímetro, supervisão centralizada para o gerenciamento de patches, gerenciamento de software de servidor agendado e monitorado regularmente, e monitoramento de contas privilegiadas. Esses projetos são substanciais e já começaram a resolver algumas das necessidades mais urgentes da ICANN. Atualmente, temos muitos outros projetos em andamento.
Implementação do salesforce.com
Em uma linha de trabalho simultânea, mas independente, a ICANN contratou os serviços de uma empresa especializada para analisar nossa implementação do salesforce.com – o banco de dados, a base de códigos e a configuração. A análise destacou várias áreas em que podemos fortalecer nossa plataforma. Desde então, apresentamos vários patches de software para resolver possíveis vulnerabilidades identificadas. Esperamos concluir todo o trabalho até o fim de 2015. Trabalharemos com os usuários dessas plataformas para garantir que as interrupções dos serviços sejam mínimas e que a segurança aumente.
Mais recentemente, a Diretoria da ICANN aprovou fundos para contratar empresas especializadas similares para analisar a base de códigos usada em todas as plataformas de serviços digitais da ICANN. Logo depois, a ICANN contratou os serviços de duas dessas empresas. Elas analisarão uma ou duas plataformas (inclusive todos os serviços hospedados nelas) de ponta a ponta e trabalharão conosco para resolver qualquer problema detectado. Depois dessa etapa, analisaremos as próximas duas plataformas. E assim por diante, até concluir o trabalho.
Preparação para ameaças cibernéticas
Em outra linha de trabalho paralela, a equipe da ICANN participou de um treinamento obrigatório sobre segurança cibernética. O treinamento foi acompanhado com testes de avaliação, rastreamento e revisões regulares. Por isso, agora a equipe da ICANN está mais alerta e consciente de vetores de ameaças. Para consolidar ainda mais o aprendizado, a ICANN contratou os serviços de uma empresa especializada em engenharia social. O trabalho dessa empresa é destacar mais as áreas específicas em que são necessárias mais ações de remediação (que serão realizadas).
A ICANN, como qualquer outra grande organização, é vulnerável a ataques, especialmente nesse panorama global com cada vez mais ameaças de TI. Não podemos controlar quem nos atacará ou quando isso acontecerá. MAS... podemos escolher o escudo que usamos para nos defender desses ataques.
Por isso, nossa CIRT (Computer Incident Response Team, Equipe de Resposta para Incidentes Computacionais) contratou uma empresa especializada para orientar alguns membros da equipe em uma série de exercícios práticos para ajudar a ajustar nossos ritmos de resposta e nossa reação a futuros incidentes.
Também utilizamos técnicas de planejamento de situações para desenvolver, ajustar e praticar planos de recuperação de desastre. Assim como proteger uma casa contra um invasor, esse exercício não é fácil. Trata-se de um exercício ponderado, com a implementação de planos e programas para melhorar nossas defesas sistematicamente. Como todos os bons planos, o nosso será reavaliado periodicamente e redefinido conforme necessário.
Agora temos um roteiro de TI concentrado, com o apoio de um orçamento aprovado e de recursos adequados da equipe, para o AF16 e o AF17. Estamos prontos para colocá-lo em prática. Vocês podem consultar nossos planos no Plano Operacional e Orçamento do AF16.
Também nos comunicamos regularmente com o Comitê de Riscos da Diretoria (BRC), e a atualização de TI já é um item permanente em sua agenda. Seu envolvimento foi inestimável, oferecendo orientação, recursos necessários e a concentração necessária para executar nosso programa de segurança de TI na ICANN.
Pretendo compartilhar mais perspectivas sobre nosso progresso e nossos futuros planos. Se tiverem sugestões ou ideias, enviem e-mails para ashwin.rangan@icann.org. Melhor ainda, se vocês planejarem participar do ICANN53 em Buenos Aires, podemos nos conhecer e conversar.
Obrigado!
