37

UNIDADE 2

Introdução

Vimos na semana passada, todo um embasamento para falar

de fato sobre ataques, tipos de ferramentas utilizadas em uma

possível invasão e pragas virtuais. Nesta semana, iremos falar

diretamente sobre as pragas virtuais, sobre as ferramentas e sobre um

dos mais bem sucedidos ataques: “A Engenharia Social”. Ao final

desta semana você será capaz de identificar os tipos de pragas

virtuais, as nomenclaturas utilizadas, os jargões técnicos, as “gírias”

que são utilizadas por pessoas deste meio, conhecerá o ataque mais

bem sucedido na Segurança da Informação, que é a Engenharia

Social e também terá uma breve visão sobre as principais normas de

segurança que são regidas por institutos nacionais e internacionais.

2 TIPOS DE ATAQUES A REDES DE COMPUTADORES

Doente.jpg

Fonte: http://catablogs.files.wordpress.com/

38

Já sabemos quem são os “bandidos virtuais”, geralmente

chamados de hackers. Mas como eles agem? Que técnicas são

utilizadas para tentar tirar proveito de um computador ou de uma rede

corporativa? Será que de fato toda invasão é concretizada? Qual o

leque de ferramentas que eles têm? Nesta primeira parte do fascículo,

vamos entender todas as pragas virtuais que circulam na internet e

como elas agem.

2.1 Vírus

São pequenos programas criados para causarem algum tipo

de dano a um computador. Este dano pode ser lentidão, exclusão de

arquivos e até a inutilização do Sistema Operacional. Os vírus têm

esse nome porque o comportamento desses programas são similares

aos vírus biológicos. Por exemplo, você não sabe como pegou, e sem

querer ainda acaba transmitindo para outras pessoas.

2.2 Worms

É um programa auto-replicante, semelhante a um vírus. O

vírus infecta um programa e necessita deste programa hospedeiro

para se propagar, o worm é um programa completo e não precisa de

outro programa para se propagar. A tradução de worm é verme.

Vírus.jpg

Fonte: http://portalphoenix.com.br

39

2.3 Spywares

Spyware consiste no software de computador que recolhe a

informação sobre um usuário do computador e transmite então esta

informação a uma entidade externa sem o conhecimento ou o

consentimento informado do usuário. O termo Spy em inglês quer

dizer espião. Alguns tipos de spywares podem ficar enviando

informações da sua máquina como senhas e números para um

computador remoto sem que você saiba.

Worm.jpg

Fonte: http://totomel.wordpress.com

Spyware.jpg

Fonte: online.localtel.net

40

2.4 Hijackers

Hijackers são programas ou scripts que "sequestram"

navegadores de Internet, principalmente o Internet Explorer. Quando

isso ocorre, o hijacker altera a página inicial do browser e impede o

usuário de mudá-la, exibe propagandas em pop-ups ou janelas novas,

instala barras de ferramentas no navegador e podem impedir acesso a

determinados sites (como sites de software antivírus, por exemplo).

2.5 Vírus de Macro

Os vírus de macro (ou macro vírus) vinculam suas macros a

modelos de documentos gabaritos e a outros arquivos de modo que,

quando um aplicativo carrega o arquivo e executa as instruções nele

contidas, as primeiras instruções executadas serão as do vírus.

Vírus de macro são parecidos com outros vírus em vários

aspectos: são códigos escritos para que, sob certas condições, este

código se "reproduza", fazendo uma cópia dele mesmo. Como outros

vírus, eles podem ser escritos para causar danos, apresentar uma

mensagem ou fazer qualquer coisa que um programa possa fazer.

SAIBA MAIS

Macros são semelhantes a scripts. São rotinas que são programadas

dentro de alguns aplicativos como o Microsoft Office (Word, Excel) para

fazer automação de tarefas.

2.6 Exploits

São pequenos programas escritos geralmente em linguagem

C que exploram vulnerabilidades conhecidas. Geralmente são

escritos pelos “verdadeiros hackers” e são utilizados por pessoas sem

um bom conhecimento da vulnerabilidade. Estes tipos de programas

atraem o público por que geralmente são muito pequenos, fáceis de

usar e o “benefício” que ele proporciona é imediato e satisfatório.

41

SAIBA MAIS

C é uma linguagem de programação de alto nível e padronizada criada em

1972, por Dennis Ritchie, no AT&T Bell Labs, para desenvolver o sistema

operacional UNIX (que foi originalmente escrito em Assembly). A

linguagem C é classificada de alto nível pela própria definição desse tipo de

linguagem. A programação em linguagens de alto nível tem como

característica não ser necessário conhecer o processador, ao contrário

das linguagens de baixo nível. As linguagens de baixo nível estão

fortemente ligadas ao processador. A linguagem C permite acesso de

baixo nível com a utilização de código Assembly no meio do código fonte.

Assim, o baixo nível é realizado por Assembly e não C. Desde então,

espalhou-se por muitos outros sistemas, e tornou-se uma das linguagens

de programação mais usadas, e influenciou muitas outras linguagens,

especialmente C++, que foi originalmente desenvolvida como uma

extensão para C. Hoje a maioria dos sistemas operacionais e programas

que utilizamos, tem toda a sua base escrita nessa linguagem.

2.7 Rootkits

Um invasor, ao realizar uma invasão, pode utilizar mecanismos

para esconder e assegurar a sua presença no computador

comprometido. O conjunto de programas que fornece estes

mecanismos é conhecido como rootkit.

2.8 Backdoors

Técnica que o invasor usa para deixar uma porta aberta depois

de uma invasão para que ele possa voltar facilmente ao sistema

invadido para novas realizações. Geralmente, os backdoors se

apresentam no sistema em forma de Rootkits.

42

2.9 Password Crackers

São programas utilizados para descobrir as senhas dos

usuários. Estes programas geralmente são muito lentos, pois usam

enormes dicionários com o máximo de combinações possíveis de

senhas e ficam testando uma a uma até achar a senha armazenada no

sistema. Este tipo de descoberta de senha é chamado de Ataque de

força bruta (force brute). Estes programas também podem ser

utilizados pelos administradores de sistema para descobrir senhas

fracas dos seus usuários.

2.10 Mail Bomb

É a técnica de inundar um computador com mensagens

eletrônicas. Em geral, o agressor usa um script para gerar um fluxo

contínuo de mensagens e abarrotar a caixa postal de alguém. A

sobrecarga tende a provocar negação de serviço no servidor de e-

mail.

SAIBA MAIS

O termo script é utilizado para designar uma seqüência de comando e

tarefas a serem executadas. Por exemplo, uma seqüência de comandos

que tem que ser executadas diariamente deve ser escrita em um script

para que esta tarefa seja automatizada.

Backdoor.jpg

Fonte: http://webtown.typepad.com/

43

2.11 Key Loggers

Software que captura os dados digitados no teclado do

computador, como senhas e números de cartões de crédito sem que o

usuário tenha ciência de que isto esteja acontecendo. Esta é uma das

maneiras mais simples utilizadas hoje para “roubar” informações.

2.12 Mouse Loggers

Software que captura os movimentos do mouse e cliques de

botões, com o objetivo de contornar os teclados virtuais dos bancos.

Os mais recentes capturam, inclusive, uma pequena imagem da área

onde o clique do mouse ocorreu, para driblar teclados virtuais que

embaralham suas teclas.

2.13 Spam

É o envio de mensagens não solicitadas, em grande número, a

destinatários desconhecidos. O Spam propriamente dito não é um

ataque. Mas o problema é que muitas vezes vem com links maliciosos

onde geralmente instalam vírus na máquina, spyware ou até um

keylogger. Cerca de 60% do tráfego da Internet hoje é somente de

Spam.

Spam.jpg

Fonte: http://www.cariocadocerrado.com.br/

44

SAIBA MAIS

O termo Spam, abreviação em inglês de “spiced ham” (presunto

condimentado), é uma mensagem eletrônica não-solicitada enviada em

massa.

Na sua forma mais popular, um spam consiste numa mensagem de

correio eletrônico com fins publicitários. O termo spam, no entanto, pode

ser aplicado a mensagens enviadas por outros meios e em outras

situações até modestas. Geralmente os spams têm caráter apelativo e na

grande maioria das vezes são incômodos e inconvenientes.

2.14 Phishing

É uma forma de fraude eletrônica, caracterizada por tentativas

de adquirir informações sigilosas, tais como senhas e números de

cartão de crédito, ao se fazer passar como uma pessoa confiável ou

uma empresa enviando uma comunicação eletrônica oficial, como um

correio ou uma mensagem instantânea. Na prática do Phishing

surgem artimanhas cada vez mais sofisticadas para "pescar" (do

inglês fish) as informações sigilosas dos usuários. Geralmente são

links maliciosos que aparentam ser links idôneos mas na verdade são

verdadeiras armadilhas.

2.15 Sniffing

É a técnica de capturar as informações de uma determinada

máquina ou o tráfego de uma rede sem autorização para coletar

dados, senhas, nomes e comportamento dos usuários. Os programas

geralmente capturam tudo que passa e depois utilizam filtros para que

possa facilitar a vida do “sniffador”. Existem sniffers específicos de

protocolos como o imsniffer que captura apenas as conversas via

MSN Messenger em uma rede.

45

2.16 Probing ou Footprinting

Não é uma técnica de invasão propriamente dita, mas sim uma

forma de obter informações sobre a rede. A informação obtida pode ser

usada como base para uma possível invasão.

2.17 Buffer Overflow

É a técnica de tentar armazenar mais dados do que a memória

suporta, causando erros e possibilitado a entrada do invasor.

Geralmente em um ataque de buffer overflow o atacante consegue o

domínio do programa atacado e privilégio de administrador na

máquina hospedeira.

2.18 Denial Of Services (DOS)

A principal função desse ataque é impedir que os usuários

façam acesso a um determinado serviço. Consiste em derrubar

conexões e/ou serviços pelo excesso de dados enviados

simultaneamente a uma determinada máquina e/ou rede. Estes tipos

de ataques também são conhecidos como flood (inundação).

Sniffing.jpg

Fonte: http://www.collectivesearch.co.za/

46

SAIBA MAIS

Quando um DOS é feito através de uma grande rede de computadores,

distribuindo o ataque, é chamado de DDoS – Distributed Denial of Service.

Note na figura abaixo. Um computador comanda o ataque, onde existem

uma rede de comptuadores Zumbies (também chamada de Botnet) onde

todos se comunicam com o mesmo alvo ao mesmo tempo, provocando o

“flood” (inundação) da tabela de conexões do computador alvo

conseqüentemente fazendo este computador ficar fora do ar.

2.19 Spoofing

É uma técnica que consiste em mascarar (spoof) pacotes IP

com endereços remetentes falsificados. O atacante para não ser

identificado falsifica o seu número de IP ao atacar para que nenhuma

técnica de rastreá-lo tenha sucesso. Geralmente os números

utilizados são de redes locais, como 192.168.x.x, 10.x.x.x ou

172.16.x.x. Estes números não são roteáveis e fica quase impossível o

rastreamento.

2.20 Phreaking

É o uso indevido de linhas telefônicas, fixas ou celulares. No

passado, os phreakers empregavam gravadores de fita e outros

dispositivos para produzir sinais de controle e enganar o sistema de

telefonia. Conforme as companhias telefônicas foram reforçando a

segurança, as técnicas tornaram-se mais complexas. Hoje, o

phreaking é uma atividade elaborada, que poucos hackers dominam.

47

2.21 Smurf

Consiste em mandar sucessivos Pings para um endereço de

broadcast fingindo-se passar por outra máquina, utilizando a técnica

de Spoofing. Quando estas solicitações começarem a ser

respondidas, o sistema alvo será inundado (flood) pelas respostas do

servidor. Geralmente se escolhe para estes tipos de ataques,

servidores em backbones de altíssima velocidade e banda, para que o

efeito seja eficaz.

2.22 Scamming

Técnica que visa roubar senhas e números de contas de

clientes bancários enviando um e-mail falso oferecendo um serviço na

página do banco. A maioria dos bancos não envia e-mails oferecendo

nada, portanto qualquer e-mail desta espécie é falso.

2.23 Teclado virtual falso

Software malicioso que abre uma tela de teclado virtual

clonado exatamente sobre o teclado virtual legítimo do banco, para

que o usuário informe os seus dados nele.

Telefone.jpg

Fonte: http://www.receita.fazenda.gov.br

48

2.24 DNS Poisoning

Um atacante compromete um servidor DNS para, quando este

receber a solicitação de resolução de uma URL de interesse (por

exemplo, www.bb.com.br), devolver o endereço IP de um site clonado

ou malicioso, desviando o usuário sem que este perceba. Este tipo de

ataque também é conhecido como “Envenenamento de DNS”.

2.25 BHOs - Browser Helper Objects

São DLLs que funcionam como plugins do Internet Explorer,

podendo ver (e alterar) todos os dados que trafegam entre o

computador e um servidor web. Nem todos são, necessariamente,

maliciosos, mas são muito usados para construir em cavalos-de-tróia

e spyware.

2.26 Clonagem de URLs

U R L s p o d e m s e r c l o n a d a s p o r s e m e l h a n ç a

(wwwbancobrasil.com.br, www.bbrasil.com.br, www.bbrazil.com.br,

www.bancodobrasil.com.br, www.bbrasill.com.br) ou por falhas de

segurança de browsers. Este tipo de ataque, leva o usuário a sites

falsos que possui rotinas para roubar senhas e números de contas.

2.27 Scanning de memória/DLL Injection

Técnicas usadas por um programa para acessar a memória

ocupada por outro programa, podendo assim ler dados sensíveis

como a senha informada pelo usuário.

2.28 SQL Injection

Trata-se da manipulação de uma instrução SQL através das

variáveis que compõem os parâmetros recebidos por um script, tal

como PHP, ASP, entre outros.

Este tipo de ataque consiste em passar parâmetros a mais via

49

barra de navegação do navegador, inserindo instruções não

esperadas pelo banco de dados. Geralmente o atacante utiliza destas

ferramentas para roubar dados ou danificar a base de dados que está

no servidor.

SAIBA MAIS

PHP - "PHP: Hypertext Preprocessor" é uma linguagem de programação de

computadores interpretada, livre e muito utilizada para gerar sites na

internet, como por exemplo o site da SECTMA, que você acessa para ler

esta aula.

ASP - "Active Server Pages" é uma estrutura de programação (não uma

linguagem) que utiliza várias estruturas de scripts para gerar páginas na

web.

Geralmente os sites de bancos utilizam linguagens como estas para prover

as funcionalidades desejadas para seus clientes.

SAIBA MAIS

IRC – “Internet Relay Chat” é um protocolo de comunicação bastante

utilizado na Internet. Ele é utilizado basicamente como bate-papo (chat) e

troca de arquivos, permitindo a conversa em grupo ou privada. Foi

documentado formalmente pela primeira vez em 1993. O IRC é o precursor

do tão conhecido MSN Messenger.

SQLInjection.jpg

Fonte: http://www.zoomdigital.org/

50

2.29 Bots

Como um worm, o bot é um programa capaz se propagar

automaticamente, explorando vulnerabilidades existentes ou falhas

na configuração de softwares instalados em um computador.

Normalmente, o bot se conecta a um servidor de IRC e mantém

contato com seu “dono”, esperando por instruções. O bot sozinho não

faz nada, ele apenas é uma porta de entrada para o invasor. Os bots

funcionam como backdoors.

FIQUE DE OLHO

Em 1983, Len Eidelmen demonstrou em um seminário sobre segurança

computacional, um programa auto-replicante em um sistema VAX11/750.

Este conseguia instalar-se em vários locais do sistema. Um ano depois, na

7th Annual Information Security Conference, o termo vírus de computador

foi definido como um programa que infecta outros programas,

modificando-os para que seja possível instalar cópias de si mesmo. O

primeiro vírus para PC nasceu em 1986 e chamava-se Brain, era da classe

dos Vírus de Boot, ou seja, danificava o sector de inicialização do disco

rígido. A sua forma de propagação era através de um disquete

contaminada. Apesar do Brain ser considerado o primeiro vírus conhecido,

o título de primeiro código malicioso pertence ao Elk Cloner, escrito por

Rich Skrenta.

Alguns dados interessantes:

Até 1995 - 5.000 vírus conhecidos;

Até 1999 - 20.500 vírus conhecidos;

Até 2000 - 49.000 vírus conhecidos;

Até 2001 - 58.000 vírus conhecidos;

Até 2005 - Aproximadamente 75.000 vírus conhecidos;

Até 2007 - Aproximadamente 200.000 vírus conhecidos;

Até Novembro de 2008 - Mais de 530.000 vírus conhecidos.

Até Março de 2009 - Mais 630.000 vírus conhecidos.

51

2.30 HOAX

Hoax (ou boato em inglês), na verdade pode não ser

considerado uma praga virtual, mas é uma maneira enorme de

propagar Spams e mensagens falsas. São mensagens do tipo “Vírus

Urgente”, “Repasse Urgente”, “Aconteceu comigo”, “Noticiou a CNN” e

outras mensagens afins, que trazem informações falsas de vírus que

apaga todo o hd, ou de mensagens que nunca deverão ser abertas ou

de informações errôneas sobre sistemas, arquivos que devem ser

apagado entre outros. Esses tipos de mensagens afetam

principalmente usuários iniciantes que acham que estão fazendo um

bem ao próximo, mas na verdade só estão disseminando mensagens

falsas e divulgando emails para spammers se aproveitarem.

Vejam os tipos mais comuns de HOAX:

- Virus Alert!

- Urgente!

- Atenção!

- Se você receber uma mensagem ...

- Não leia a mensagem

- Não abra a mensagem...

- Por favor, passe esta informação para amigos e família.

- ...é importante que essa informação SEJA PASSADA para

TODOS: vizinhos, parentes, amigos, listas na Internet ao qual você

pertence, enfim, qualquer lugar onde ela possa ser vista.

- Re-enviem esta mensagem a todas as pessoas que puderem

- Passe essa informação para seus amigos.

- Assim que acabar de ler esse aviso, envie esta mensagem

para máximo de pessoas que for possível

- SUGERIMOS QUE CADA PESSOA QUE RECEBA ESTE

ARTIGO O DIVULGUE PARA O MAIOR NÚMERO POSSÍVEL DE

PESSOAS E ENTIDADES.

Antes de encaminhar qualquer mensagem que você julga ser

52

importante ou que você acha que é realmente verdadeira, vá neste site

e veja a procedência dela.

www.quatrocantos.com.br

2.31 Engenharia Social

Na verdade este não é propriamente dito um tipo de ataque a

redes de computadores, porém é um ataque ao ser humano. Usar de

técnicas como: passar por outra pessoa no telefone pedir informações

sigilosas da empresa ou até recompensar um funcionário por dados

importantes fazem parte da Engenharia Social.

Em Segurança da informação, chama-se Engenharia Social as

práticas utilizadas para obter acesso a informações importantes ou

sigilosas em organizações ou sistemas por meio da enganação ou

exploração da confiança das pessoas. Para isso, o golpista pode se

passar por outra pessoa, assumir outra personalidade, fingir que é um

profissional de determinada área, etc. É uma forma de entrar em

organizações que não necessita da força bruta ou de erros em

Espião.jpg

Fonte: fotocomedia.com

53

máquinas. Explora as falhas de segurança das próprias pessoas que,

quando não treinados para esses ataques, podem ser facilmente

manipuladas.

Embora se tenha dado um grande avanço no sentido de se

tornar sistemas computacionais cada vez mais seguros, isso pode de

nada valer frente as engenharia social, que são técnicas de convencer

o usuário a entregar dados como senhas bancárias, número do cartão

de crédito, dados financeiros em geral, seja numa conversa informal e

despreocupada em uma sala de bate papo, em um messenger, onde

geralmente costumam ocorrer tais atos, e até mesmo pessoalmente.

Por isso, NUNCA se deve fornecer qualquer tipo de senha de

qualquer espécie, pois a porta de entrada para a perda de

informações, espionagem, furto de dinheiro em uma conta bancária e

detalhes pessoais podem cair nas mãos de pessoas desconhecidas

que não se sabe que tipo de destino podem dar a essas informações.

Atualmente, são obtidos dados dessa espécie e dados mais

específicos também (tipo senhas de redes de computadores de

empresas, localização de back door, etc.).

A Engenharia Social, não possui o menor vínculo com o

hacking, são técnicas totalmente diferentes uma da outra. "O

Engenheiro Social prevê a suspeita e a resistência, e ele está sempre

preparado para transformar a desconfiança em confiança. Um bom

Engenheiro planeja o seu ataque como um jogo de xadrez.

FIQUE DE OLHO

Partes dos Textos deste capítulo tem os seguintes créditos:

“Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo

CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/”

54

3 METODOLOGIAS E MELHORES PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO

Atualmente existem algumas metodologias e melhores

práticas em segurança da informação para o ambiente de tecnologia.

Estas metodologias são reconhecidas mundialmente e são utilizadas

em larga escala em grandes corporações. Nossa intenção aqui não é

estudar a fundo as normas e os institutos reguladores, mas conhecer

um pouco dessas normas e a área de abrangência de cada uma delas.

Iremos conhecer o COBIT a BS7799 ou ISO17799 que foi

regulamentada no Brasil pela ABNT – Associação Brasileira de

Normas Técnicas sob a designação NBR ISO/IEC 17799.

3.1 COBIT

O COBIT (Control Objectives for Information and Related

Technology), elaborado pelo ISACA (Information Systems Audit and

Control Association) é um modelo de estrutura de controle interno

orientado para o entendimento e o gerenciamento dos riscos

associados ao uso da Tecnologia da Informação. As estruturas de

controle utilizadas pelo COBIT são aceitos mundialmente. Segundo o

site da ISACA, foi adotado pelo Federal Reserve (Estados Unidos) e é

utilizado em todo o sistema bancário norte-americano.

O COBIT está dividido em 4 partes. Em cada parte existem

alguns procedimentos, totalizando 34 procedimentos. As áreas

principais são as seguintes:

- Planejamento e Organização de TI (PO)

- Aquisição e Implementação (AI)

- Delivery e Suporte (DS)

- Monitoramento (M)

E ainda usa alguns critérios para avaliar a instituição como

integridade, confidencialidade e disponibilidade que já abordados

55

neste fascículo.

Para suportar os processos de TI e a qualidade da informação,

a estrutura COBIT considera os seguintes recursos de tecnologia da

informação na avaliação:

- Pessoas: qualificação, conscientização e produtividade para

organizar, adquirir, entregar, suportar e monitorar sistemas e serviços;

- Dados: objetos de dados estruturados, não estruturados,

gráficos, etc...

- Sistemas Aplicativos: O sistema aplicativo é entendido como

a soma de procedimentos manuais e automatizados;

- Tecnologia: a tecnologia contempla hardwares, sistemas

operacionais, gerenciadores de banco de dados, redes, multimídia,

etc...

- Instalações: recursos para abrigar e suportar os sistemas de

informação.

O COBIT possui também uma aplicação específica chamada

CONCT (Control Objectives for Net Centric Tecnology), que é um

modelo de estrutura de controles internos voltados a Intranet / Extranet

/ Internet (Web), transações on line e Data Warehouse.

3.2 BS 7799

O BSI (Britsh Standard Institute) criou a norma BS 7799 que é

considerada o mais completo padrão para o gerenciamento da

Segurança da Informação no mundo. Com ela é possível implementar

um sistema de gestão de segurança baseado em controles definidos

por normas e práticas internacionais. Em dezembro de 2000, a Parte 1

da BS 7799 se tornou norma oficial da isso sob o código ISO/IEC

17799. Em agosto do ano seguinte, o Brasil adotou esta norma isso

como seu padrão, por meio da ABNT, sob o código NBR ISO/IEC

17799.

Em suma, a norma contempla os seguintes aspectos de

56

qualidade da informação:

- Confidencialidade

- Integridade

- Disponibilidade

- Confiabilidade

A norma possui aproximadamente 127 controles distribuídos

em 10 seções:

3.3 Como as empresas se tornam certificadas nas normas BS

7799 ou isso 17799?

Com certeza nós já ouvimos falar na certificação ISO 9000 ou

ISO 9002, que muitas empresas estampam nas fachadas e anúncios

de revistas. Isso quer dizer que a empresa passou por todos os

procedimentos que a norma exige e está de acordo com os padrões do

instituto ISO. Mas o que isso trás de benefício para a empresa? Além

de seguir padrões mundiais de produtividade, qualidade e excelência

em diversas áreas como atendimento, higiene e segurança a empresa

ganha confiabilidade no mercado e conseqüentemente mais clientes e

mais dinheiro no caixa.

Atualmente existem no Brasil, empresas com equipes de

auditores e consultores com amplo conhecimento da norma e

certificados como o BS 7799. Estes profissionais preparam as

empresas para a certificação e acompanham o trabalho dos auditores

durante o processo. Por motivos éticos, a empresa que presta

consultoria no processo de preparação não efetua a auditoria de

certificação.

O processo de certificação, passa por diversas etapas, mas em

resumo acontece os seguintes passos:

- Revisão de toda a documentação de acordo com as normas

BS 7799 ou ISO 17799;

- Visita inicial para obtenção de informações antes da auditoria

57

inicial e determinação do escopo (limites);

- Auditoria de certificação que consiste na realização de

entrevistas e análise do quadro atual da empresa;

- Emissão do certificado, desde que o ambiente esteja em

conformidade com todos os itens da norma;

- Auditoria anual, para certificar que a empresa continua

satisfatoriamente operando de acordo com as normas.

Este é apenas um “aperitivo” de como uma empresa se

submete a uma certificação. Para um amplo estudo, você deve

estudar as normas e entrar em contato com os institutos reguladores.

58

REFERÊNCIAS

ASP. Wikipédia. Disponível em: <http://pt.wikipedia.org/wiki/ASP>.

C: linguagem de programação. Wikipédia. Disponível em:

<http://pt.wikipedia.org/wiki/C_%28linguagem_de_programa%C3%A

7%C3%A3o%29>.

CARTILHA DE SEGURANÇA PARA INTERNET. Desenvolvida pelo

C E R T. b r , m a n t i d o p e l o N I C . b r . D i s p o n í v e l e m :

<http://cartilha.cert.br/>. Acesso em: 12 Jul. 2009.

E N G E N H A R I A S o c i a l . W i k i p é d i a . D i s p o n í v e l e m :

<http://pt.wikipedia.org/wiki/Engenharia_social_%28seguran%C3%A

7a_da_informa%C3%A7%C3%A3o%29>.

FERNANDES, Dailson. O blog do Fofão. Disponível em:

<http://www.dailson.com.br/2008/06/tipos-de-ataques-redes-de-

computadores.html>.

FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. [S.

l.]: Ciência Moderna, 2003.

IDENTIFICA pulhas. Disponível em:

<http://www.quatrocantos.com/LENDAS/identifica_pulhas.htm>.

JAVA Script. Wikipédia. Disponível em:

http://pt.wikipedia.org/wiki/JavaScript>.

KUROSE, James F. Redes de Computadores e a Internet. 3. ed. [S. l.]:

Pearson, 2006.

59

PHP. Wikipédia. Disponível em: <http://pt.wikipedia.org/wiki/PHP>.

RELAY Chat. Wikipédia. Disponível em:

<http://pt.wikipedia.org/wiki/Internet_Relay_Chat>.

SHELL Script. Wikipédia. Disponível em:

<http://pt.wikipedia.org/wiki/Shell_script>.

VÍRUS de computador. Wikipédia. Disponível em:

<http://pt.wikipedia.org/wiki/V%C3%ADrus_de_computador>.