| I Encontro de CSIRTs discute desafios da cultura de segurança em redesGrupos trocam experiências em clima de colaboração Nos dias 25 e 26 de maio, 11 grupos acadêmicos de resposta a incidentes de segurança (CSIRTs, do inglês Computer Security Incidents Response Teams) encontraram-se no Rio de Janeiro (RJ) com o objetivo de discutir maneiras de promover a cultura de segurança em Internet na comunidade acadêmica nacional. A necessidade de aproximação dos grupos acadêmicos participantes do I Encontro de CSIRTs e a criação de canais de comunicação para estes grupos foram alguns dos temas abordados no evento. Além disso, foi definida a criação de um repositório de ferramentas e scripts para apoio às equipes dos grupos participantes. Outras soluções foram sugeridas para problemas apontados pela maioria dos grupos. São elas a continuidade de encontros semelhantes semestral ou anualmente, a criação de modelos de padronização que facilitem o trabalho diário dos grupos e a criação de programa de treinamento contínuo para CSIRTs . A necessidade de assessoria jurídica para melhor orientar usuários, administradores e instituições vítimas de abusos e ataques quanto a questões de responsabilidade jurídica e privacidade, entre outras, foi destacada como um dos grandes desafios enfrentados pelos grupos de incidentes acadêmicos.A gerente do CAIS, Liliana E. Velasquez Alegre Solha, ressaltou a importância de se estimular a formação de novos grupos de resposta a incidentes de segurança no meio acadêmico e disse que essa será uma das pautas do próximo encontro dos 11 grupos. Completando a discussão sobre segurança, o advogado Omar Kaminski fez uma palestra sobre direito da informática. Ele alertou os participantes para questões como privacidade e controle de usuários, uma das grandes dificuldades das instituições de ensino e pesquisa. Um dos aspectos importantes da questão diz respeito ao direito que a instituição ou a empresa tem de monitorar e rastrear o e-mail corporativo de um funcionário. A comunicação eletrônica pode, inclusive, ser considerada prova lícita para fins jurídicos, desde que haja um termo de ciência expresso (não pode ser implícito) comunicando sobre procedimentos desse porte aos quais o empregado está ou estará sujeito. — O empregado deve e tem o direito de saber qual a política de segurança e privacidade adotada pela empresa, até mesmo para que possa ajustar seu comportamento e evitar determinadas práticas nocivas à empresa, sob pena de advertência até dispensa por justa causa e responsabilização — explica Kaminski. O encontro foi uma iniciativa do Centro de Atendimento a Incidentes de Segurança (CAIS) da Rede Nacional de Ensino e Pesquisa (RNP), em parceria com o Centro de Atendimento e Tratamento de Incidentes e o Grupo de Respostas a Incidentes de Segurança do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (Cenatis/UFRJ e GRIS/DCC/UFRJ, respectivamente). [RNP, 05.06.2006] | Notícias relacionadas: União em prol da segurança na Internet Evento reúne grupos acadêmicos de resposta a incidentes de segurança para discutir combates a ataques na rede e direito digital [RNP, 24.05.2006] |