sexta-feira, 11 de dezembro de 2009

RENASIC e OWASP

Ontem eu participei da primeira reunião presencial para discussão da RENASIC (Rede Nacional de Segurança da Informação e Criptografia). Esta rede está sendo organizada pelo Gabinete de Segurança Institucional da Presidência da República (GSI) com o objetivo de "elevar a competência brasileira em Segurança da Informação e Criptografia." Uma das tarefas pirncipais da rede é aproximar os pesquisadores e demais profissionais brasileiros de áreas ligadas à Segurança da Informação.

A rede é composta por laboratórios temáticos, que por sua vez são compostos por diferentes projetos de pesquisa ou desenvolvimento. Em princípio, os projetos são independentes, mas a existência da rede deve possibilitar a aproximação de projetos que apresentem sinergias. Por exemplo, ontem foram apresentados dois projetos que me pareceram complementares: alguns físicos da UFMG (que por acaso eu conhecia há muitos anos por causa da minha mãe) estão trabalhando na geração de números aleatórios a partir de fenômenos físicos e o prof. Joel (da UnB) falou sobre um projeto de desenvolvimento de protocolo para distribuição de chaves para o One Time Pad. A rede propiciou o encontro das duas equipes e talvez possa prover mais incentivos para que trabalhem juntos, já que os físicos vão precisar de aplicações para o gerador e o uso de One Time Pad é uma excelente aplicação para este projeto.

Durante a reunião, me lembrei de um dos problemas que eu vejo na RENASIC: apesar do nome, está se formando uma rede com um foco muito grande em criptografia. Não por culpa dos organizadores, mas porque a maioria da comunidade acadêmica de Segurança da Informação no Brasil é composta por critógrafos. Os demais pesquisadores ou são poucos, ou não formaram uma comunidade coesa o suficiente para que sejam devidamente notados.

Me lembrei também que preferi não apresentar projeto para a RENASIC devido a meu crescente envolvimento no OWASP, uma vez que não gosto de me comprometer com projetos para os quais não terei como dedicar meu tempo. Pretendo no entanto pensar em possibilidades de interação do OWASP com a RENASIC, pois acho que existe uma boa possibilidade de crescimento para ambos.

Num paralelo entre a RENASIC e o OWASP, acho que existem alguma semelhanças. Primeiro porque o OWASP é principalmente uma rede, no sentido de que a existência da organização formal (OWASP Foundation) serve apenas para suporte às atividades da rede. Segundo porque um dos grande méritos do OWASP é o de aproximar os interessados em segurança de aplicações, num paralelo com o objetivo principal da RENASIC. Outra semelhança é que a base para ambas as iniciativas são projetos, a princípio independentes, mas com grande potencial para sinergias ou colaborações.

Por outro lado, sendo a RENASIC uma iniciativa governamental e que busca o financiamento de fontes governamentais, ela já nasce com a necessidade de uma formalização maior. No caso do OWASP, a formalização normalmente vem a posteriori, mas talvez seja possível aproveitar pelo menos parte do modelo do OWASP na RENASIC.

No OWASP, os projetos surgem organicamente: uma pessoa ou grupo propõe um projeto e começa a trabalhar nele. De início, o OWASP fornece alguma estrutura básica para o projeto, como um espaço na wiki e listas de discussão por email. Cabe aos líderes de cada projeto angariar seguidores e trabalhar para que o projeto cresça. Assim, os projetos que geram mais interesse acabam crescendo e alguns projeto que não atraem voluntários podem ser abandonados. De tempos em tempos, ocorrem rodadas de financiamento de projetos (chamados de season of code) em que os projeto concorrem pelas verbas disponíveis. Projetos mais importantes podem também conseguir financiamento direto por empresas interessadas ou até financiamento do OWASP, dependendo do caso.

O controle das verbas é feito pela OWASP Foundation, que também administra a infra-estrutura básica para o funcionamento da associação. As verbas vem de doações ou do lucro ocorrido em eventos e da venda de material (de camisetas a livros).

Voltando ao RENASIC, talvez fosse interessante tentar emular a forma orgânica como os projetos do OWASP nascem e se desenvolvem, com o DSIC atuando no papel de facilitador e de agente de controle e alocação das verbas destinadas aos projetos. A RENASIC teria assim como papéis principais:
  1. Agregar a comunidade em torno de uma infra-estrutura que permita o desenvolvimento dos projetos;
  2. Organizar encontros para discussão e apresentação dos projetos, permitindo a interação e descoberta de sinergias;
  3. Manter o fluxo adequado de recursos para os projetos, na medida do possível.
Em suma, acredito que a RENASIC poderia atuar de forma aberta e mais orgânica, de forma a facilitar a agregação de mais projetos e/ou pesquisadores. Pela experiência do OWASP, a medida que a comunidade cresce, atrai mais a atenção e o interesse em participar aumenta. Fora que a possibilidade de fomento também é um excelente atrativo.

Nenhum comentário: