H?uma procura cada vez maior por profissionais de seguran¡¦ de informação em uma era em que toda uma s¡¦ie de atividades, como "o vandalismo mal-intencionado, a atividade criminosa, e a guerra de informação em n¡¦el internacional" pode amea¡¦r a infra-estrutura de informação do pa¡¦, diz o Dr. Charles Reynolds. Ele descreve a maneira pela qual a comunidade acad¡¦ica est?colaborando com o governo e com a comunidade empresarial para preencher esse requisito, por meio de uma iniciativa, que surgiu em 1997, chamada Col¡¦uio Nacional Para a Educação em Seguran¡¦ de Sistemas de Informação [National Colloquium for Information Systems Security Education] (NCISSE). O autor, que ?presidente, para o ano de 1998, do comit?executivo do NCISSE, tamb¡¦ descreve os esfor¡¦s da Universidade James Madison para atender ¡¦ prioridades nacionais que est¡¦ surgindo, no sentido de reagir ¡¦ amea¡¦s ¡¦ redes de informação dos Estados Unidos.
A Necessidade de Proteção da Infra-Estrutura de Informação e Comunicação
Todos os aspectos das nossas vidas e todos os aspectos dos nossos sistemas social, pol¡¦ico e econ¡¦ico est¡¦ se tornando cada vez mais dependentes da nossa infra-estrutura de informação e comunicações. Os nossos sistemas financeiros, os nossos sistemas de transporte, as nossas empresas de fornecimento de ¡¦ua e energia el¡¦rica, e todas as outras infra-estruturas cr¡¦icas se tornaram dependentes da nossa infra-estrutura de informação e comunicações. No entanto, essa infra-estrutura ?a mais vulner¡¦el de todas as nossas infra-estruturas no que diz respeito ao vandalismo mal-intencionado, ?atividade criminosa, e ?guerra de informação em n¡¦el internacional -- todas essas coisas podem ameaçá-la e portanto, amea¡¦r todas as outras infra-estruturas que dela dependem. A seguran¡¦ e a garantia da nossa infra-estrutura de informação e comunicações, portanto, s¡¦ prioridades nacionais.
Para enfrentar as amea¡¦s da nova era da tecnologia de informação, a nossa nação precisa de um contingente de trabalhadores familiarizados com inform¡¦ica, que estejam cientes das vulnerabilidades que est¡¦ surgindo nas infra-estruturas cr¡¦icas, assim como um quadro de profissionais de seguran¡¦ em informação que conhe¡¦m as "melhores pr¡¦icas" reconhecidas na ¡¦ea da seguran¡¦ de informação e da garantia da informação.
Um Di¡¦ogo Nacional Com o Ensino Superior
Em resposta ?necessidade de proteger as infra-estruturas cr¡¦icas da nação, o Col¡¦uio Nacional Para a Educação em Seguran¡¦ de Sistemas de Informação [National Colloquium for Information Systems Security Education] (NCISSE) foi criado em maio de 1997, para proporcionar um ambiente para o di¡¦ogo entre as lideran¡¦s no governo, no meio empresarial e no meio acad¡¦ico, sobre as maneiras de se trabalhar em parceria para definir os requisitos atuais e os que est¡¦ surgindo, no que diz respeito ?educação na ¡¦ea de seguran¡¦ da informação. O NCISSE tamb¡¦ procura influenciar e estimular o desenvolvimento e a expans¡¦ de curr¡¦ulos de seguran¡¦ da informação, especialmente nos n¡¦eis de graduação e p¡¦-graduação.
Na sua segunda reuni¡¦ anual em junho de 1998, na Universidade James Madison em Harrisonburg, Virginia, o Col¡¦uio concordou com a miss¡¦ do NCISSE de tentar estimular o desenvolvimento de curr¡¦ulos acad¡¦icos que reconhe¡¦m as necessidades expressas pelo governo e pela comunidade empresarial, e que sejam baseados nas "melhores pr¡¦icas" reconhecidas, que estiverem dispon¡¦eis no campo.
Os objetivos do Col¡¦uio tamb¡¦ se concentram na necessidade de auxiliar as instituições de ensino, apoiando o cont¡¦uo desenvolvimento e a partilha de recursos de educação em seguran¡¦ de informação. O NCISSE estimula as instituições de ensino para que elas promovam cursos adequados de seguran¡¦ de sistemas de informação em v¡¦ios curr¡¦ulos, para atender ¡¦ necessidades dos clientes do s¡¦ulo XXI; h?tamb¡¦ um est¡¦ulo para que sejam oferecidos cursos para atender ?demanda crescente de profissionais na ¡¦ea de seguran¡¦ de sistemas de informação.
Na sua reuni¡¦ anual de 1998, o NCISSE divulgou uma agenda abrangente que previa ações dos seus v¡¦ios componentes. Essas ações inclu¡¦m tarefas para o governo, empresas, e instituições de ensino superior, que deveriam ser executadas tanto individualmente quanto sob a forma de cooperação entre os setores.
Um item particularmente importante entre as ações conjuntas que se fazem necess¡¦ias ?a determinação precisa do conhecimento, habilidades, e atitudes que definem um profissional de seguran¡¦ em informação, e portanto, o desenvolvimento de normas sobre o que os profissionais de seguran¡¦ de informação devem saber e o que devem ser capazes de fazer. Como a seguran¡¦ de informação propriamente dita ainda se encontra em fase de formação como ramo do conhecimento, precisamos identificar as "melhores pr¡¦icas" atuais, para inclus¡¦ nas normas profissionais de maneira que a evolução possa ser cont¡¦ua. Finalmente, todos os tr¡¦ componentes do Col¡¦uio devem vencer a resist¡¦cia do pessoal de seguran¡¦ de informação em relação ¡¦ normas, porque a observ¡¦cia da disciplina incorporada ¡¦ normas ?o que se espera de qualquer profiss¡¦.
Descrevendo tamb¡¦ as ações recomendadas para as empresas privadas, o Col¡¦uio afirmou que o setor empresarial deve proporcionar, ¡¦ instituições de ensino, verbas, equipamentos, e software, e deve ajudar na manutenção dos sistemas de computação nos campi das universidades; deve, ainda, proporcionar treinamento no local para os professores das universidades, incluindo aqueles que n¡¦ tenham trabalhado anteriormente com seguran¡¦ de informação; e deve patrocinar est¡¦ios para que os alunos possam trabalhar na ¡¦ea de seguran¡¦ de informação.
O NCISSE insistiu para que o governo desenvolvesse e compartilhasse materiais para cursos na ¡¦ea de seguran¡¦ de informação, e que encorajasse o desenvolvimento de Centros Para a Proteção da Infra-Estrutura, nas universidades, utilizando, como modelo, os Centros de Materiais patrocinados pela Fundação Nacional da Ci¡¦cia [National Science Foundation] e os Centros de Transportes, patrocinados pelo Departamento dos Transportes [Department of Transportation].
Os membros do Col¡¦uio tamb¡¦ pediram aos profissionais de seguran¡¦ de informação no pa¡¦ inteiro que melhorassem a rede de relações entre os membros do corpo docente, patrocinassem mais confer¡¦cias sobre seguran¡¦ de informação, criassem mais sites na Web, e publicassem mais revistas especializadas sobre a proteção das redes de informação dos Estados Unidos. Eles tamb¡¦ reafirmaram a necessidade de estabelecer um sistema formal de reconhecimento dos programas de educação sobre seguran¡¦ de informação que se destacassem.
Com um enfoque nas instituições de ensino superior, o NCISSE estimulou as instituições de ensino no sentido de aumentar o n¡¦ero de programas com ¡¦fase em seguran¡¦ de informação, e incluir cursos de seguran¡¦ nos curr¡¦ulos b¡¦icos de todas as pessoas que se formarem nas universidades.
Uma coisa particularmente importante ?a inclus¡¦ de curr¡¦ulos que tratem das quest¡¦s ¡¦icas e culturais que surgem nos sistemas modernos de informação. As quest¡¦s, nessa ¡¦ea, incluem a maneira pela qual os valores tradicionais s¡¦ preservados na era da informação moderna e como eles podem requerer mudan¡¦s.
Como muitos valores ¡¦icos e culturais s¡¦ formados nos primeiros anos de vida, as instituições de ensino superior s¡¦ encorajadas no sentido de desenvolver curr¡¦ulos de seguran¡¦ de informação para a educação secund¡¦ia e em colaboração com ela.
Em sinal de reconhecimento de que o ensino superior, pelos seus pr¡¦rios m¡¦itos, ?uma profiss¡¦ que segue normas, as instituições de ensino foram estimuladas a solicitar orientação de organizações de credenciamento para a incorporação, de forma apropriada, da seguran¡¦ de informação nos seus curr¡¦ulos.
Finalmente, como a educação ?uma quest¡¦ que dura a vida inteira em uma sociedade tecnol¡¦ica que evolui rapidamente, o ensino superior foi estimulado no sentido de proporcionar programas de aperfei¡¦amento para os profissionais de seguran¡¦ de informação que j?estiverem trabalhando no campo.
O Col¡¦uio recomendou que os educadores da ¡¦ea de seguran¡¦ de informação desenvolvessem e compartilhassem exerc¡¦ios pr¡¦icos de laborat¡¦io sobre a seguran¡¦ de informação, projetassem jogos para computadores que expressassem valores apropriados para um quadro de profissionais respons¡¦eis e familiarizados com inform¡¦ica, desenvolvessem um lugar para compartilhar material de ensino, e escrevessem mais livros-texto, particularmente a respeito de quest¡¦s pr¡¦icas.
A agenda do NCESSE para provid¡¦cias tamb¡¦ pedia que os especialistas no ensino da advocacia ajudassem os advogados dos Estados Unidos a entender a seguran¡¦ de informação.
M¡¦odos de Ensino Baseados na Internet
A cr¡¦ica necessidade de profissionais de seguran¡¦ de informação ?uma coisa t¡¦ica do mundo moderno, em que a tecnologia impera. Como a tecnologia muda rapidamente, os profissionais devem ter um compromisso de aprendizado para o resto da vida, que constantemente renove e amplie as suas habilidades. E todos os profissionais devem estar preparados para reorientar suas carreiras e adquirir novas habilidades, pois a tecnologia, que est?sempre passando por mudan¡¦s, determina as necessidades, sempre em mudan¡¦, da for¡¦ de trabalho.
A necessidade de profissionais de seguran¡¦ de informação se multiplicou nos ¡¦timos anos. Essa necessidade de profissionais especializados, por sua vez, criou a necessidade de oportunidades de educação que formem novos profissionais e que reorientem os atuais profissionais em uma nova direção. No entanto, n¡¦ se deve esperar que esses profissionais que est¡¦ ?procura de cursos de especialização interrompam as suas atuais carreiras e vidas em fam¡¦ia para freq¡¦ntar uma universidade tradicional em um campus. ?por isso -- devido ?necessidade de cursos de especialização para profissionais adultos que n¡¦ interrompam suas carreiras ou vidas em fam¡¦ia -- que existe tanto interesse na educação baseada na Internet. A Universidade James Madison reagiu a essa necessidade e ?tecnologia da Internet com um programa profissional em n¡¦el de p¡¦-graduação, sobre a seguran¡¦ da informação, baseado na Internet.
O curr¡¦ulo ?oferecido sob a forma de um programa de aprendizado baseado na Internet, por meio e contratos com organizações que possam garantir a integridade dos procedimentos de testes para os seus empregados.
O programa ?estruturado sob a forma de 13 cursos de sete semanas cada um, e a sua duração ?de pouco mais de dois anos. Um grupo de alunos inicia o programa na mesma data. O grupo continua junto e completa todos os 13 cursos em seqüência. O grupo ?chamado de "cohort" (turma) pela universidade.
O programa de aprendizado baseado na Internet combina o estudo independente com a instrução orientada e a colaboração entre os membros de um grupo. As atividades s¡¦ coordenadas por uma central que proporciona uma rede de servi¡¦s. Os professores e a tecnologia proporcionam um sistema de entrega que mant¡¦ altos padr¡¦s acad¡¦icos, e ao mesmo tempo ?flex¡¦el e leva em consideração as necessidades dos participantes. Grupos de discuss¡¦ -- por meios eletr¡¦icos -- examinam, discutem, e fazem uma an¡¦ise cr¡¦ica de conceitos de seguran¡¦ de informação. Cada curso consiste em uma sequ¡¦cia de leituras e problemas que devem ser resolvidos.
As apresentações, na Internet, de conceitos, podem ser vistas em qualquer estação de trabalho conectada ?Internet, em qualquer lugar do mundo a qualquer momento. Os projetos em cada classe oferecem orientação pr¡¦ica em relação aos conceitos e materiais que s¡¦ estudados.
O Programa de Seguran¡¦ de Informação na Universidade James Madison
Os participantes que completam o Programa de Seguran¡¦ de Informação na Universidade James Madison recebem o t¡¦ulo de mestrado em ci¡¦cia da computação, com ¡¦fase em seguran¡¦ da informação. O programa ?baseado em um padr¡¦ endossado pela Ag¡¦cia Nacional de Seguran¡¦ [National Security Agency] e tem como objetivo desenvolver os conhecimentos e as habilidades necess¡¦ios para que se compreenda as inter-relações entre a seguran¡¦ da informação e a tecnologia da informação, e para relacionar os componentes t¡¦nicos e humanos da seguran¡¦ de informação e da tecnologia de informação.
A base dos cursos conduzidos pelos professores da Universidade James Madison enfatiza a administração, gerenciamento, avaliação e implementação da tecnologia de computação com ¡¦fase na seguran¡¦ da informação. O gerenciamento dos programas de seguran¡¦ de informação inclui a preservação e a proteção da confidencialidade, integridade, disponibilidade, autenticidade e utilidade das informações, dentro dos limites aceit¡¦eis de risco.
Os membros do programa, trabalhando em equipe:
Desenvolvem o conhecimento e as habilidades necess¡¦ios para que se possa compreender a relação entre a seguran¡¦ de informação e o avan¡¦ das tecnologias de sistemas de informação necess¡¦ios para implementar programas de proteção contra crimes e detecção dos mesmos;
Desenvolvem compet¡¦cias avan¡¦das relacionadas a posições nas ¡¦eas t¡¦nicas, de supervis¡¦, de pol¡¦ica, e outras, nas ¡¦eas de seguran¡¦ de informação e tecnologia da computação, no que se refere ?avaliação de vulnerabilidades, amea¡¦s e riscos;
Adquirem as perspectivas necess¡¦ias, de analistas eficazes de seguran¡¦ de informação, gerentes, administradores, e praticantes no que se refere ao planejamento, avaliação, e implementação de t¡¦nicas e programas de seguran¡¦ de informação;
Relacionam os componentes t¡¦nicos e humanos da seguran¡¦ de informação e da tecnologia da computação na proteção dos sistemas de informação;
Desenvolvem as compet¡¦cias b¡¦icas em projeto de bancos de dados e sistemas de informação, na operação de sistemas e redes, e na aplicação de desenvolvimentos de software para aperfei¡¦ar as atribuições de prevenção do crime e de investigação.
|
O Curr¡¦ulo de Seguran¡¦ de Informação na Universidade James Madison
O programa de seguran¡¦ de informação da Universidade James Madison inclui os seguintes cursos organizados em segmentos: 1. Segmento B¡¦ico de Ci¡¦cia da Computação Sistemas Operacionais e Redes -- Conceitos e princ¡¦ios de sistemas operacionais de m¡¦tiplos usu¡¦ios. Mem¡¦ia, CPU (unidade central de processamento), atribuição de dispositivos de I/O (entrada e sa¡¦a), e seguran¡¦. Hierarquias de mem¡¦ia, avaliação de desempenho, modelos anal¡¦icos, simulação, programação simult¡¦ea, e processadores paralelos. Sistemas de Gerenciamento de Bancos de Dados -- Tipos de armazenamento f¡¦ico e m¡¦odos de acesso; modelos de dados; ¡¦gebra racional e c¡¦culo, e linguagens de definição e busca; depend¡¦cias, decomposição e normalização, projeto de bancos de dados; recuperação; consist¡¦cia e simultaneidade; bancos de dados distribu¡¦os. Exemplos de bancos de dados comerciais. Desenvolvimento de Programas Aplicativos -- O ciclo de vida do desenvolvimento de software, gerenciamento de projetos de software, ferramentas e m¡¦odos de desenvolvimento, garantia da qualidade de software, paradigmas de linguagens de programação e sua utilização em desenvolvimento de software. 2. O Segmento T¡¦nico da Seguran¡¦ de Informação Introdução ?Seguran¡¦ de Informação -- Vis¡¦ geral das amea¡¦s ?seguran¡¦ dos sistemas de informação, responsabilidades e ferramentas b¡¦icas para a seguran¡¦ da informação, e para as ¡¦eas de treinamento, e a ¡¦fase necess¡¦ia em organizações para obter e manter uma situação de seguran¡¦ aceit¡¦el. Sistemas nos Quais se Confia -- Definição de um "Sistema no Qual se Confia" e considerações a respeito do projeto, avaliação, certificação e credenciamento de sistemas confi¡¦eis, incluindo considerações sobre hardware, considerações sobre software, como controles de desenvolvimento, validação/verificação, distribuição garantida e outras quest¡¦s de garantia. Implementação, gerenciamento de configuração, e administração de sistemas confi¡¦eis. A import¡¦cia de se compreender a psicologia e o modo de vida bem sucedido do atacante, para gerar e manter uma defesa poderosa. Criptografia -- Este curso proporciona ao aluno uma compreens¡¦ e a capacidade de implementar os principais protocolos de criptografia. Ele lida com o projeto e a an¡¦ise que proporcionam proteção para as comunicações ou que resistem ?an¡¦ise criptogr¡¦ica. 3. Segmento de Gerenciamento de Seguran¡¦ de Informação Vulnerabilidade, Risco, e An¡¦ise de Sistemas de Informação -- As vulnerabilidades e os riscos inerentes ?operação e ?administração de sistemas de informação s¡¦ identificadas e exploradas. Controles de Auditoria de Seguran¡¦ de Informação -- Os alunos desenvolvem planos e conduzem uma auditoria de seguran¡¦ de informação, incluindo uma pesquisa de seguran¡¦ em profundidade. Eles desenvolvem e implementam padr¡¦s para a monitoração das atividades normais de um sistema de informação. Pol¡¦ica, Procedimentos, Quest¡¦s Legais e ¡¦ica -- Desenvolvimento, avaliação, e implementação de pol¡¦icas e procedimentos de seguran¡¦ administrativa em um sistema UNIX, em um ambiente seguro. Preparação de um Guia de Seguran¡¦ Administrativa ou de um anexo para um documento desse tipo. 4. Projeto Final de Seguran¡¦ de Informação Um projeto final integra o programa na sua totalidade, com um projeto que lan¡¦ um desafio para que os participantes analisem a seguran¡¦ de um sistema de informação, estudem e analisem a efic¡¦ia das opções dispon¡¦eis para refor¡¦r essa seguran¡¦, analisem o contexto legal e ¡¦ico dessas opções, sob um ponto de vista mais amplo, e selecionem e proponham um procedimento de implementação para uma da opções. Aulas Preparat¡¦ias -- Os alunos que n¡¦ se encontrarem em condições de iniciar os segmentos b¡¦icos podem se matricular em uma seqüência preparat¡¦ia de tr¡¦ aulas: Curso Acelerado Sobre os Fundamentos de Programação de Computadores, Fundamentos Avan¡¦dos de Programação de Computadores, e um Curso Acelerado Sobre os Fundamentos dos Sistemas de Computação. |
Agenda de Pol¡¦ica Externa dos EUA
Revista Eletr¡¦ica da USIA
Vol. 3, N?4, Novembre de 1998