Skip to content Skip to main navigation Skip to footer

Âmbito do SOC do Iscte e Resposta ao RFC2350

^

1.

Introdução

Este documento define, com detalhe e de acordo com a definição do RFC2350 – “Expectations for Computer Security Incident Response”, a constituency relativa ao SOC (Security Operations Center) do “ISCTE – INSTITUTO UNIVERSITÁRIO DE LISBOA” (doravante mencionado como Iscte), e à CSIRT (Computer Security Incident Response Team) que faz parte integrante do mesmo, bem como outras informações relevantes.

^

2.

Âmbito

2.1

Publicação de Políticas e Procedimentos

A definição e a especificação de políticas e procedimentos que dizem respeito ao serviço de SOC do Iscte e da sua CSIRT, encontram-se detalhadas no documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

O serviço de SOC não só é responsável pela implementação contínua das políticas e processos de monitorização dos Incidentes de Segurança da Informação (doravante mencionados como Incidente/es) na infraestrutura do Iscte e nos seus componentes, mas também pela implementação e manutenção de mecanismos de deteção em tempo-real e dos procedimentos de resposta aos mesmos.

^

2.2

Relações entre diferentes CSIRT

O serviço de SOC do Iscte, é a entidade interna que deve servir de ponto de contacto para todas as comunicações com CSIRT de outras organizações ou instituições e é também responsável por acompanhar o ciclo de vida de todos os Incidentes reportados pelos mesmos, e que estejam dentro do âmbito do Iscte.

^

2.3

Estabelecimento de Comunicações Seguras

A segurança da informação é um critério indispensável ao funcionamento do serviço do SOC.

Assim, todos os stakeholders do processo de resposta a Incidentes necessitam de canais de comunicação seguros bem estabelecidos.

Estes Canais de Comunicação estão definidos e enumerados no capítulo 6 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

As informações públicas da chave PGP associada à mailbox do endereço de e-mail para reporting de Incidentes (Método de Contato Preferencial) podem ser encontradas no ponto “Informação sobre Chaves Públicas e Cifras”.

^

3.

Informações, Políticas e Procedimentos

3.1

Acesso ao Documento

A versão atualizada deste documento deve ser disponibilizada a todos os colaboradores do Iscte que pertençam a um departamento ou secção que:

  • Esteja envolvida no processo de resposta a incidentes;
  • Tenha sido previamente definida; e/ou
  • Seja uma das partes interessadas no serviço.

^

3.1.1

Última Atualização

A última atualização foi efetuadas a 02/11/2021.

^

3.1.2

Lista de Distribuição para Notificações

Qualquer alteração a este documento irá ser comunicada através do envio de um e-mail para todas as partes interessadas e envolvidas presentes na lista distribuição definida para o efeito, abaixo:

Entidadeendereço eletrónico
SOC do Isctesoc@iscte-iul.pt
Diretor dos SIIC
Responsável da URCS
Responsável do NAU
Responsável do GDSI
Data Protection Officer
Responsável Legal
Responsável de Comunicação
CNCScncs@cncs.pt

^

3.1.3

Localização do Documento

A versão atualizada da resposta ao RFC2350 por parte do SOC do Iscte encontra-se publicada em https://siic.iscte-iul.pt/ciberseguranca/rfc2350.

^

3.1.4

Autenticidade do Documento

Este documento foi assinado com a chave PGP do SOC do Iscte.

  • User ID: SOC ISCTE-IUL soc@iscte-iul.pt
  • Fingerprint: 7EE6 FE47 80EA D304 923A 2BDD D261 3476 A184 7050
  • Key type: RSA/4096
  • Disponível em: https://pgp.surf.nl/pks/lookup?op=get&search=0xD2613476A1847050

De forma a validar a autenticidade deste documento, está disponível uma versão do mesmo em plaintext, assinada com esta chave PGP. Esta versão pode ser encontrada em https://siic.iscte-iul.pt/ciberseguranca/rfc2350.txt.

^

3.2

Informações de Contato

3.2.1

Nome da Equipa

SOC do Iscte

^

3.2.2

Morada

Av.ª das Forças Armadas, 1649-026 Lisboa, Portugal

^

3.2.3

Fuso Horário

UTC/GMT Lisbon, London, Dublin – WEST (Western European Summer Time)

^

3.2.4

Horário de Expediente

O serviço do SOC do Iscte funciona no horário de expediente normal, entre as 9h e as 18h.

^

3.2.5

Telefone

+351 210 464 500

^

3.2.6

Outras Comunicações

Para assuntos que não estejam relacionados com o reporting e resposta a Incidentes:

soc@iscte-iul.pt

^

3.2.7

Método de Contato Preferencial

O método de contacto preferencial da equipa do SOC do Iscte é o endereço de e-mail utilizado para reporting de Incidentes:

csirt@iscte-iul.pt

^

3.2.8

Portal de Reporting e Gestão de Incidentes (exclusiva para a comunidade do Iscte)

https://iajuda.iscte-iul.pt/

^

3.2.9

Informação sobre Chaves Públicas e Cifras

O serviço de SOC disponibiliza uma chave PGP que deve ser utilizada sempre que exista a necessidade de encriptar qualquer tipo de informação ou ficheiro:

  • User ID: CSIRT ISCTE-IUL csirt@iscte-iul.pt
  • Fingerprint: 1D08 1964 6E48 A2E8 2932 EAF3 49E8 B051 87CF 1A3D
  • Key type: RSA/4096
  • Disponível em: https://pgp.surf.nl/pks/lookup?op=get&search=0x49E8B05187CF1A3D

^

3.2.10

Membros da Equipa

Coordenador
Dauto Ussene Jeichande (dauto.jeichande@iscte-iul.pt)

Equipa Operacional
(soc@iscte-iul.pt)

^

3.2.11

Outras Informações

Para encontrar mais informações sobre o Iscte, consultar https://iscte-iul.pt/.

^

3.3

Guião

3.3.1

Missão

O propósito do serviço de SOC do Iscte é o de servir a sua comunidade interna e os seus clientes num contexto de resposta a Incidentes de segurança da informação, bem como de proteger os seus serviços e a informação pessoal respetiva aos mesmos, e ainda o de prevenir possíveis ataques informáticos que possam ter algum impacto associado nas infraestruturas respetivas e/ou no negócio da instituição.

^

3.3.2

Comunidade

O serviço de SOC serve os colaboradores do Iscte e os seus clientes e é a entidade responsável pela colaboração no processo de resposta a Incidentes com outras entidades internas, externas e/ou prestadores de serviço envolvidos e necessários.

^

3.3.3

Filiação

O serviço de SOC é um serviço do Iscte, cujo âmbito são os sistemas e recursos da instituição. As fontes de eventos que são recolhidos e monitorizados pelo serviço de SOC estão documentadas no capítulo 11 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

^

3.3.4

Autoridade

O serviço de SOC tem autoridade para responder a Incidentes que ocorram dentro da comunidade do Iscte, bem como para responder em nome da organização nos processos resposta a Incidentes em colaboração com entidades externas à mesma.

^

3.4

Políticas

3.4.1

Tipos de Incidente e Nível de Suporte

O serviço de SOC do Iscte adota a taxonomia definida no capítulo 7 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte. Esta, à exceção das categorias “Privacidade” e “Manutenção”, está em total conformidade com a taxonomia adotada a nível nacional pelo Centro Nacional de Cibersegurança (CNCS) e pelos membros da Rede Nacional de CSIRT, em dezembro de 2019, e a nível europeu, também em 2019, pela ENISA, a entidade para a Segurança das Redes e da Informação da União Europeia.

O nível de suporte dado a cada Incidente pode variar dependendo, não só da Severidade do mesmo no Iscte, conforme os valores definidos no capítulo 8 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte, mas também dos recursos do SOC disponíveis. Embora todos os Incidentes sejam tratados com a maior celeridade possível pelo serviço de SOC, estas diferenças estão detalhadas no capítulo 9 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

^

3.4.2

Cooperação, Interação e Política de Privacidade

A Política de Privacidade e Proteção de Dados do SOC estipula que qualquer tipo de informação considerada como sensível só será passada a terceiros em caso de extrema necessidade e sempre com a autorização prévia do indivíduo, departamento ou entidade a que esta pertence.

^

3.4.3

Comunicação e Autenticação

O e-mail e o telefone indicados neste documento são considerados suficientes para a transmissão de informação ao serviço de SOC do Iscte que não seja sensível e/ou confidencial. Caso seja necessário, pode ser utilizada a chave PGP do e-mail para reporting de incidentes, disponível no ponto “Informação sobre chaves públicas e cifras”, para encriptação das mensagens enviadas com conteúdo considerado sensível.

^

3.5

Serviços

3.5.1

Resposta a Incidentes

O serviço de SOC do Iscte fornece um serviço de coordenação e resposta aos Incidentes de segurança informática relacionados com toda a comunidade do Iscte.

^

3.5.1.1

Triagem de Incidentes

Na fase de Triagem os Incidentes são triados e uma primeira análise é realizada, com o objectivo de determinar se estes constituem efetivamente um Incidente e para lhes atribuir uma classificação adequada ao seu contexto.

^

3.5.1.2

Coordenação de Incidentes

Nesta fase é realizada uma análise mais detalhada para determinar as causas que levaram à ocorrência do Incidente e as contramedidas imediatas necessárias para mitigar o mesmo. Se necessário, são contatadas outras partes interessadas, internas ou externas.

^

3.5.1.3

Resolução de Incidentes

Por último, são delineadas e aplicadas as medidas de erradicação e/ou mitigação respetivas ao Incidente e, sempre que se justifique e seja necessário, é feita uma análise posterior de lições a tirar, um relatório mais detalhado e uma reunião com as equipas envolvidas.

^

3.5.2

Monitorização

O serviço de SOC garante a monitorização, correlação e análise dos eventos provenientes das ferramentas de segurança do Iscte integradas no SIEM no capítulo 11 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

^

3.5.3

Atividades Proativas

O serviço de SOC está constantemente a acompanhar possíveis ameaças que possam surgir e irá alertar, proactivamente, a comunidade e outras partes interessadas e definidas para esse propósito, sempre que se verifique a ocorrência de um Incidente relacionado com as mesmas.

^

3.6

Formulários

3.6.1

Formulário de Post-Mortem

É elaborado um relatório com uma análise mais pormenorizada de todos os detalhes do respetivo Incidente, seguindo o template definido para esse efeito, presente no capítulo 16 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte, indicando a timeline do ciclo de vida do Incidente, as medidas tomadas a cada fase, as pessoas envolvidas e as lições aprendidas para tentar erradicar futuros Incidentes semelhantes, entre outras informações.

^

3.7

Disclaimer

Apesar de serem tomadas todas as precauções na preparação da informação que é divulgada, quer na Internet, quer através das listas de distribuição, o SOC-do Iscte não assume qualquer responsabilidade por erros ou omissões cuja origem não seja o próprio SOC, bem como pela ocorrência de Incidentes que possam advir da utilização dessa mesma informação.

Âmbito do SOC do ISCTE e Resposta ao RFC2350 Serviços de Informática e Infraestruturas de Comunicações | Ver. 1 | PÚBLICO

Iscte − Instituto Universitário de Lisboa · Av. Forças Armadas, 1649-026 Lisboa
+351 217 903 000 · · geral@iscte-iul.pt