fasciculo inf segredes_unidade_2
TRANSCRIPT
37
UNIDADE 2
Introdução
Vimos na semana passada, todo um embasamento para falar
de fato sobre ataques, tipos de ferramentas utilizadas em uma
possível invasão e pragas virtuais. Nesta semana, iremos falar
diretamente sobre as pragas virtuais, sobre as ferramentas e sobre um
dos mais bem sucedidos ataques: “A Engenharia Social”. Ao final
desta semana você será capaz de identificar os tipos de pragas
virtuais, as nomenclaturas utilizadas, os jargões técnicos, as “gírias”
que são utilizadas por pessoas deste meio, conhecerá o ataque mais
bem sucedido na Segurança da Informação, que é a Engenharia
Social e também terá uma breve visão sobre as principais normas de
segurança que são regidas por institutos nacionais e internacionais.
2 TIPOS DE ATAQUES A REDES DE COMPUTADORES
Doente.jpg
Fonte: http://catablogs.files.wordpress.com/
38
Já sabemos quem são os “bandidos virtuais”, geralmente
chamados de hackers. Mas como eles agem? Que técnicas são
utilizadas para tentar tirar proveito de um computador ou de uma rede
corporativa? Será que de fato toda invasão é concretizada? Qual o
leque de ferramentas que eles têm? Nesta primeira parte do fascículo,
vamos entender todas as pragas virtuais que circulam na internet e
como elas agem.
2.1 Vírus
São pequenos programas criados para causarem algum tipo
de dano a um computador. Este dano pode ser lentidão, exclusão de
arquivos e até a inutilização do Sistema Operacional. Os vírus têm
esse nome porque o comportamento desses programas são similares
aos vírus biológicos. Por exemplo, você não sabe como pegou, e sem
querer ainda acaba transmitindo para outras pessoas.
2.2 Worms
É um programa auto-replicante, semelhante a um vírus. O
vírus infecta um programa e necessita deste programa hospedeiro
para se propagar, o worm é um programa completo e não precisa de
outro programa para se propagar. A tradução de worm é verme.
Vírus.jpg
Fonte: http://portalphoenix.com.br
39
2.3 Spywares
Spyware consiste no software de computador que recolhe a
informação sobre um usuário do computador e transmite então esta
informação a uma entidade externa sem o conhecimento ou o
consentimento informado do usuário. O termo Spy em inglês quer
dizer espião. Alguns tipos de spywares podem ficar enviando
informações da sua máquina como senhas e números para um
computador remoto sem que você saiba.
Worm.jpg
Fonte: http://totomel.wordpress.com
Spyware.jpg
Fonte: online.localtel.net
40
2.4 Hijackers
Hijackers são programas ou scripts que "sequestram"
navegadores de Internet, principalmente o Internet Explorer. Quando
isso ocorre, o hijacker altera a página inicial do browser e impede o
usuário de mudá-la, exibe propagandas em pop-ups ou janelas novas,
instala barras de ferramentas no navegador e podem impedir acesso a
determinados sites (como sites de software antivírus, por exemplo).
2.5 Vírus de Macro
Os vírus de macro (ou macro vírus) vinculam suas macros a
modelos de documentos gabaritos e a outros arquivos de modo que,
quando um aplicativo carrega o arquivo e executa as instruções nele
contidas, as primeiras instruções executadas serão as do vírus.
Vírus de macro são parecidos com outros vírus em vários
aspectos: são códigos escritos para que, sob certas condições, este
código se "reproduza", fazendo uma cópia dele mesmo. Como outros
vírus, eles podem ser escritos para causar danos, apresentar uma
mensagem ou fazer qualquer coisa que um programa possa fazer.
SAIBA MAIS
Macros são semelhantes a scripts. São rotinas que são programadas
dentro de alguns aplicativos como o Microsoft Office (Word, Excel) para
fazer automação de tarefas.
2.6 Exploits
São pequenos programas escritos geralmente em linguagem
C que exploram vulnerabilidades conhecidas. Geralmente são
escritos pelos “verdadeiros hackers” e são utilizados por pessoas sem
um bom conhecimento da vulnerabilidade. Estes tipos de programas
atraem o público por que geralmente são muito pequenos, fáceis de
usar e o “benefício” que ele proporciona é imediato e satisfatório.
41
SAIBA MAIS
C é uma linguagem de programação de alto nível e padronizada criada em
1972, por Dennis Ritchie, no AT&T Bell Labs, para desenvolver o sistema
operacional UNIX (que foi originalmente escrito em Assembly). A
linguagem C é classificada de alto nível pela própria definição desse tipo de
linguagem. A programação em linguagens de alto nível tem como
característica não ser necessário conhecer o processador, ao contrário
das linguagens de baixo nível. As linguagens de baixo nível estão
fortemente ligadas ao processador. A linguagem C permite acesso de
baixo nível com a utilização de código Assembly no meio do código fonte.
Assim, o baixo nível é realizado por Assembly e não C. Desde então,
espalhou-se por muitos outros sistemas, e tornou-se uma das linguagens
de programação mais usadas, e influenciou muitas outras linguagens,
especialmente C++, que foi originalmente desenvolvida como uma
extensão para C. Hoje a maioria dos sistemas operacionais e programas
que utilizamos, tem toda a sua base escrita nessa linguagem.
2.7 Rootkits
Um invasor, ao realizar uma invasão, pode utilizar mecanismos
para esconder e assegurar a sua presença no computador
comprometido. O conjunto de programas que fornece estes
mecanismos é conhecido como rootkit.
2.8 Backdoors
Técnica que o invasor usa para deixar uma porta aberta depois
de uma invasão para que ele possa voltar facilmente ao sistema
invadido para novas realizações. Geralmente, os backdoors se
apresentam no sistema em forma de Rootkits.
42
2.9 Password Crackers
São programas utilizados para descobrir as senhas dos
usuários. Estes programas geralmente são muito lentos, pois usam
enormes dicionários com o máximo de combinações possíveis de
senhas e ficam testando uma a uma até achar a senha armazenada no
sistema. Este tipo de descoberta de senha é chamado de Ataque de
força bruta (force brute). Estes programas também podem ser
utilizados pelos administradores de sistema para descobrir senhas
fracas dos seus usuários.
2.10 Mail Bomb
É a técnica de inundar um computador com mensagens
eletrônicas. Em geral, o agressor usa um script para gerar um fluxo
contínuo de mensagens e abarrotar a caixa postal de alguém. A
sobrecarga tende a provocar negação de serviço no servidor de e-
mail.
SAIBA MAIS
O termo script é utilizado para designar uma seqüência de comando e
tarefas a serem executadas. Por exemplo, uma seqüência de comandos
que tem que ser executadas diariamente deve ser escrita em um script
para que esta tarefa seja automatizada.
Backdoor.jpg
Fonte: http://webtown.typepad.com/
43
2.11 Key Loggers
Software que captura os dados digitados no teclado do
computador, como senhas e números de cartões de crédito sem que o
usuário tenha ciência de que isto esteja acontecendo. Esta é uma das
maneiras mais simples utilizadas hoje para “roubar” informações.
2.12 Mouse Loggers
Software que captura os movimentos do mouse e cliques de
botões, com o objetivo de contornar os teclados virtuais dos bancos.
Os mais recentes capturam, inclusive, uma pequena imagem da área
onde o clique do mouse ocorreu, para driblar teclados virtuais que
embaralham suas teclas.
2.13 Spam
É o envio de mensagens não solicitadas, em grande número, a
destinatários desconhecidos. O Spam propriamente dito não é um
ataque. Mas o problema é que muitas vezes vem com links maliciosos
onde geralmente instalam vírus na máquina, spyware ou até um
keylogger. Cerca de 60% do tráfego da Internet hoje é somente de
Spam.
Spam.jpg
Fonte: http://www.cariocadocerrado.com.br/
44
SAIBA MAIS
O termo Spam, abreviação em inglês de “spiced ham” (presunto
condimentado), é uma mensagem eletrônica não-solicitada enviada em
massa.
Na sua forma mais popular, um spam consiste numa mensagem de
correio eletrônico com fins publicitários. O termo spam, no entanto, pode
ser aplicado a mensagens enviadas por outros meios e em outras
situações até modestas. Geralmente os spams têm caráter apelativo e na
grande maioria das vezes são incômodos e inconvenientes.
2.14 Phishing
É uma forma de fraude eletrônica, caracterizada por tentativas
de adquirir informações sigilosas, tais como senhas e números de
cartão de crédito, ao se fazer passar como uma pessoa confiável ou
uma empresa enviando uma comunicação eletrônica oficial, como um
correio ou uma mensagem instantânea. Na prática do Phishing
surgem artimanhas cada vez mais sofisticadas para "pescar" (do
inglês fish) as informações sigilosas dos usuários. Geralmente são
links maliciosos que aparentam ser links idôneos mas na verdade são
verdadeiras armadilhas.
2.15 Sniffing
É a técnica de capturar as informações de uma determinada
máquina ou o tráfego de uma rede sem autorização para coletar
dados, senhas, nomes e comportamento dos usuários. Os programas
geralmente capturam tudo que passa e depois utilizam filtros para que
possa facilitar a vida do “sniffador”. Existem sniffers específicos de
protocolos como o imsniffer que captura apenas as conversas via
MSN Messenger em uma rede.
45
2.16 Probing ou Footprinting
Não é uma técnica de invasão propriamente dita, mas sim uma
forma de obter informações sobre a rede. A informação obtida pode ser
usada como base para uma possível invasão.
2.17 Buffer Overflow
É a técnica de tentar armazenar mais dados do que a memória
suporta, causando erros e possibilitado a entrada do invasor.
Geralmente em um ataque de buffer overflow o atacante consegue o
domínio do programa atacado e privilégio de administrador na
máquina hospedeira.
2.18 Denial Of Services (DOS)
A principal função desse ataque é impedir que os usuários
façam acesso a um determinado serviço. Consiste em derrubar
conexões e/ou serviços pelo excesso de dados enviados
simultaneamente a uma determinada máquina e/ou rede. Estes tipos
de ataques também são conhecidos como flood (inundação).
Sniffing.jpg
Fonte: http://www.collectivesearch.co.za/
46
SAIBA MAIS
Quando um DOS é feito através de uma grande rede de computadores,
distribuindo o ataque, é chamado de DDoS – Distributed Denial of Service.
Note na figura abaixo. Um computador comanda o ataque, onde existem
uma rede de comptuadores Zumbies (também chamada de Botnet) onde
todos se comunicam com o mesmo alvo ao mesmo tempo, provocando o
“flood” (inundação) da tabela de conexões do computador alvo
conseqüentemente fazendo este computador ficar fora do ar.
2.19 Spoofing
É uma técnica que consiste em mascarar (spoof) pacotes IP
com endereços remetentes falsificados. O atacante para não ser
identificado falsifica o seu número de IP ao atacar para que nenhuma
técnica de rastreá-lo tenha sucesso. Geralmente os números
utilizados são de redes locais, como 192.168.x.x, 10.x.x.x ou
172.16.x.x. Estes números não são roteáveis e fica quase impossível o
rastreamento.
2.20 Phreaking
É o uso indevido de linhas telefônicas, fixas ou celulares. No
passado, os phreakers empregavam gravadores de fita e outros
dispositivos para produzir sinais de controle e enganar o sistema de
telefonia. Conforme as companhias telefônicas foram reforçando a
segurança, as técnicas tornaram-se mais complexas. Hoje, o
phreaking é uma atividade elaborada, que poucos hackers dominam.
47
2.21 Smurf
Consiste em mandar sucessivos Pings para um endereço de
broadcast fingindo-se passar por outra máquina, utilizando a técnica
de Spoofing. Quando estas solicitações começarem a ser
respondidas, o sistema alvo será inundado (flood) pelas respostas do
servidor. Geralmente se escolhe para estes tipos de ataques,
servidores em backbones de altíssima velocidade e banda, para que o
efeito seja eficaz.
2.22 Scamming
Técnica que visa roubar senhas e números de contas de
clientes bancários enviando um e-mail falso oferecendo um serviço na
página do banco. A maioria dos bancos não envia e-mails oferecendo
nada, portanto qualquer e-mail desta espécie é falso.
2.23 Teclado virtual falso
Software malicioso que abre uma tela de teclado virtual
clonado exatamente sobre o teclado virtual legítimo do banco, para
que o usuário informe os seus dados nele.
Telefone.jpg
Fonte: http://www.receita.fazenda.gov.br
48
2.24 DNS Poisoning
Um atacante compromete um servidor DNS para, quando este
receber a solicitação de resolução de uma URL de interesse (por
exemplo, www.bb.com.br), devolver o endereço IP de um site clonado
ou malicioso, desviando o usuário sem que este perceba. Este tipo de
ataque também é conhecido como “Envenenamento de DNS”.
2.25 BHOs - Browser Helper Objects
São DLLs que funcionam como plugins do Internet Explorer,
podendo ver (e alterar) todos os dados que trafegam entre o
computador e um servidor web. Nem todos são, necessariamente,
maliciosos, mas são muito usados para construir em cavalos-de-tróia
e spyware.
2.26 Clonagem de URLs
U R L s p o d e m s e r c l o n a d a s p o r s e m e l h a n ç a
(wwwbancobrasil.com.br, www.bbrasil.com.br, www.bbrazil.com.br,
www.bancodobrasil.com.br, www.bbrasill.com.br) ou por falhas de
segurança de browsers. Este tipo de ataque, leva o usuário a sites
falsos que possui rotinas para roubar senhas e números de contas.
2.27 Scanning de memória/DLL Injection
Técnicas usadas por um programa para acessar a memória
ocupada por outro programa, podendo assim ler dados sensíveis
como a senha informada pelo usuário.
2.28 SQL Injection
Trata-se da manipulação de uma instrução SQL através das
variáveis que compõem os parâmetros recebidos por um script, tal
como PHP, ASP, entre outros.
Este tipo de ataque consiste em passar parâmetros a mais via
49
barra de navegação do navegador, inserindo instruções não
esperadas pelo banco de dados. Geralmente o atacante utiliza destas
ferramentas para roubar dados ou danificar a base de dados que está
no servidor.
SAIBA MAIS
PHP - "PHP: Hypertext Preprocessor" é uma linguagem de programação de
computadores interpretada, livre e muito utilizada para gerar sites na
internet, como por exemplo o site da SECTMA, que você acessa para ler
esta aula.
ASP - "Active Server Pages" é uma estrutura de programação (não uma
linguagem) que utiliza várias estruturas de scripts para gerar páginas na
web.
Geralmente os sites de bancos utilizam linguagens como estas para prover
as funcionalidades desejadas para seus clientes.
SAIBA MAIS
IRC – “Internet Relay Chat” é um protocolo de comunicação bastante
utilizado na Internet. Ele é utilizado basicamente como bate-papo (chat) e
troca de arquivos, permitindo a conversa em grupo ou privada. Foi
documentado formalmente pela primeira vez em 1993. O IRC é o precursor
do tão conhecido MSN Messenger.
SQLInjection.jpg
Fonte: http://www.zoomdigital.org/
50
2.29 Bots
Como um worm, o bot é um programa capaz se propagar
automaticamente, explorando vulnerabilidades existentes ou falhas
na configuração de softwares instalados em um computador.
Normalmente, o bot se conecta a um servidor de IRC e mantém
contato com seu “dono”, esperando por instruções. O bot sozinho não
faz nada, ele apenas é uma porta de entrada para o invasor. Os bots
funcionam como backdoors.
FIQUE DE OLHO
Em 1983, Len Eidelmen demonstrou em um seminário sobre segurança
computacional, um programa auto-replicante em um sistema VAX11/750.
Este conseguia instalar-se em vários locais do sistema. Um ano depois, na
7th Annual Information Security Conference, o termo vírus de computador
foi definido como um programa que infecta outros programas,
modificando-os para que seja possível instalar cópias de si mesmo. O
primeiro vírus para PC nasceu em 1986 e chamava-se Brain, era da classe
dos Vírus de Boot, ou seja, danificava o sector de inicialização do disco
rígido. A sua forma de propagação era através de um disquete
contaminada. Apesar do Brain ser considerado o primeiro vírus conhecido,
o título de primeiro código malicioso pertence ao Elk Cloner, escrito por
Rich Skrenta.
Alguns dados interessantes:
Até 1995 - 5.000 vírus conhecidos;
Até 1999 - 20.500 vírus conhecidos;
Até 2000 - 49.000 vírus conhecidos;
Até 2001 - 58.000 vírus conhecidos;
Até 2005 - Aproximadamente 75.000 vírus conhecidos;
Até 2007 - Aproximadamente 200.000 vírus conhecidos;
Até Novembro de 2008 - Mais de 530.000 vírus conhecidos.
Até Março de 2009 - Mais 630.000 vírus conhecidos.
51
2.30 HOAX
Hoax (ou boato em inglês), na verdade pode não ser
considerado uma praga virtual, mas é uma maneira enorme de
propagar Spams e mensagens falsas. São mensagens do tipo “Vírus
Urgente”, “Repasse Urgente”, “Aconteceu comigo”, “Noticiou a CNN” e
outras mensagens afins, que trazem informações falsas de vírus que
apaga todo o hd, ou de mensagens que nunca deverão ser abertas ou
de informações errôneas sobre sistemas, arquivos que devem ser
apagado entre outros. Esses tipos de mensagens afetam
principalmente usuários iniciantes que acham que estão fazendo um
bem ao próximo, mas na verdade só estão disseminando mensagens
falsas e divulgando emails para spammers se aproveitarem.
Vejam os tipos mais comuns de HOAX:
- Virus Alert!
- Urgente!
- Atenção!
- Se você receber uma mensagem ...
- Não leia a mensagem
- Não abra a mensagem...
- Por favor, passe esta informação para amigos e família.
- ...é importante que essa informação SEJA PASSADA para
TODOS: vizinhos, parentes, amigos, listas na Internet ao qual você
pertence, enfim, qualquer lugar onde ela possa ser vista.
- Re-enviem esta mensagem a todas as pessoas que puderem
- Passe essa informação para seus amigos.
- Assim que acabar de ler esse aviso, envie esta mensagem
para máximo de pessoas que for possível
- SUGERIMOS QUE CADA PESSOA QUE RECEBA ESTE
ARTIGO O DIVULGUE PARA O MAIOR NÚMERO POSSÍVEL DE
PESSOAS E ENTIDADES.
Antes de encaminhar qualquer mensagem que você julga ser
52
importante ou que você acha que é realmente verdadeira, vá neste site
e veja a procedência dela.
www.quatrocantos.com.br
2.31 Engenharia Social
Na verdade este não é propriamente dito um tipo de ataque a
redes de computadores, porém é um ataque ao ser humano. Usar de
técnicas como: passar por outra pessoa no telefone pedir informações
sigilosas da empresa ou até recompensar um funcionário por dados
importantes fazem parte da Engenharia Social.
Em Segurança da informação, chama-se Engenharia Social as
práticas utilizadas para obter acesso a informações importantes ou
sigilosas em organizações ou sistemas por meio da enganação ou
exploração da confiança das pessoas. Para isso, o golpista pode se
passar por outra pessoa, assumir outra personalidade, fingir que é um
profissional de determinada área, etc. É uma forma de entrar em
organizações que não necessita da força bruta ou de erros em
Espião.jpg
Fonte: fotocomedia.com
53
máquinas. Explora as falhas de segurança das próprias pessoas que,
quando não treinados para esses ataques, podem ser facilmente
manipuladas.
Embora se tenha dado um grande avanço no sentido de se
tornar sistemas computacionais cada vez mais seguros, isso pode de
nada valer frente as engenharia social, que são técnicas de convencer
o usuário a entregar dados como senhas bancárias, número do cartão
de crédito, dados financeiros em geral, seja numa conversa informal e
despreocupada em uma sala de bate papo, em um messenger, onde
geralmente costumam ocorrer tais atos, e até mesmo pessoalmente.
Por isso, NUNCA se deve fornecer qualquer tipo de senha de
qualquer espécie, pois a porta de entrada para a perda de
informações, espionagem, furto de dinheiro em uma conta bancária e
detalhes pessoais podem cair nas mãos de pessoas desconhecidas
que não se sabe que tipo de destino podem dar a essas informações.
Atualmente, são obtidos dados dessa espécie e dados mais
específicos também (tipo senhas de redes de computadores de
empresas, localização de back door, etc.).
A Engenharia Social, não possui o menor vínculo com o
hacking, são técnicas totalmente diferentes uma da outra. "O
Engenheiro Social prevê a suspeita e a resistência, e ele está sempre
preparado para transformar a desconfiança em confiança. Um bom
Engenheiro planeja o seu ataque como um jogo de xadrez.
FIQUE DE OLHO
Partes dos Textos deste capítulo tem os seguintes créditos:
“Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo
CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/”
54
3 METODOLOGIAS E MELHORES PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO
Atualmente existem algumas metodologias e melhores
práticas em segurança da informação para o ambiente de tecnologia.
Estas metodologias são reconhecidas mundialmente e são utilizadas
em larga escala em grandes corporações. Nossa intenção aqui não é
estudar a fundo as normas e os institutos reguladores, mas conhecer
um pouco dessas normas e a área de abrangência de cada uma delas.
Iremos conhecer o COBIT a BS7799 ou ISO17799 que foi
regulamentada no Brasil pela ABNT – Associação Brasileira de
Normas Técnicas sob a designação NBR ISO/IEC 17799.
3.1 COBIT
O COBIT (Control Objectives for Information and Related
Technology), elaborado pelo ISACA (Information Systems Audit and
Control Association) é um modelo de estrutura de controle interno
orientado para o entendimento e o gerenciamento dos riscos
associados ao uso da Tecnologia da Informação. As estruturas de
controle utilizadas pelo COBIT são aceitos mundialmente. Segundo o
site da ISACA, foi adotado pelo Federal Reserve (Estados Unidos) e é
utilizado em todo o sistema bancário norte-americano.
O COBIT está dividido em 4 partes. Em cada parte existem
alguns procedimentos, totalizando 34 procedimentos. As áreas
principais são as seguintes:
- Planejamento e Organização de TI (PO)
- Aquisição e Implementação (AI)
- Delivery e Suporte (DS)
- Monitoramento (M)
E ainda usa alguns critérios para avaliar a instituição como
integridade, confidencialidade e disponibilidade que já abordados
55
neste fascículo.
Para suportar os processos de TI e a qualidade da informação,
a estrutura COBIT considera os seguintes recursos de tecnologia da
informação na avaliação:
- Pessoas: qualificação, conscientização e produtividade para
organizar, adquirir, entregar, suportar e monitorar sistemas e serviços;
- Dados: objetos de dados estruturados, não estruturados,
gráficos, etc...
- Sistemas Aplicativos: O sistema aplicativo é entendido como
a soma de procedimentos manuais e automatizados;
- Tecnologia: a tecnologia contempla hardwares, sistemas
operacionais, gerenciadores de banco de dados, redes, multimídia,
etc...
- Instalações: recursos para abrigar e suportar os sistemas de
informação.
O COBIT possui também uma aplicação específica chamada
CONCT (Control Objectives for Net Centric Tecnology), que é um
modelo de estrutura de controles internos voltados a Intranet / Extranet
/ Internet (Web), transações on line e Data Warehouse.
3.2 BS 7799
O BSI (Britsh Standard Institute) criou a norma BS 7799 que é
considerada o mais completo padrão para o gerenciamento da
Segurança da Informação no mundo. Com ela é possível implementar
um sistema de gestão de segurança baseado em controles definidos
por normas e práticas internacionais. Em dezembro de 2000, a Parte 1
da BS 7799 se tornou norma oficial da isso sob o código ISO/IEC
17799. Em agosto do ano seguinte, o Brasil adotou esta norma isso
como seu padrão, por meio da ABNT, sob o código NBR ISO/IEC
17799.
Em suma, a norma contempla os seguintes aspectos de
56
qualidade da informação:
- Confidencialidade
- Integridade
- Disponibilidade
- Confiabilidade
A norma possui aproximadamente 127 controles distribuídos
em 10 seções:
3.3 Como as empresas se tornam certificadas nas normas BS
7799 ou isso 17799?
Com certeza nós já ouvimos falar na certificação ISO 9000 ou
ISO 9002, que muitas empresas estampam nas fachadas e anúncios
de revistas. Isso quer dizer que a empresa passou por todos os
procedimentos que a norma exige e está de acordo com os padrões do
instituto ISO. Mas o que isso trás de benefício para a empresa? Além
de seguir padrões mundiais de produtividade, qualidade e excelência
em diversas áreas como atendimento, higiene e segurança a empresa
ganha confiabilidade no mercado e conseqüentemente mais clientes e
mais dinheiro no caixa.
Atualmente existem no Brasil, empresas com equipes de
auditores e consultores com amplo conhecimento da norma e
certificados como o BS 7799. Estes profissionais preparam as
empresas para a certificação e acompanham o trabalho dos auditores
durante o processo. Por motivos éticos, a empresa que presta
consultoria no processo de preparação não efetua a auditoria de
certificação.
O processo de certificação, passa por diversas etapas, mas em
resumo acontece os seguintes passos:
- Revisão de toda a documentação de acordo com as normas
BS 7799 ou ISO 17799;
- Visita inicial para obtenção de informações antes da auditoria
57
inicial e determinação do escopo (limites);
- Auditoria de certificação que consiste na realização de
entrevistas e análise do quadro atual da empresa;
- Emissão do certificado, desde que o ambiente esteja em
conformidade com todos os itens da norma;
- Auditoria anual, para certificar que a empresa continua
satisfatoriamente operando de acordo com as normas.
Este é apenas um “aperitivo” de como uma empresa se
submete a uma certificação. Para um amplo estudo, você deve
estudar as normas e entrar em contato com os institutos reguladores.
58
REFERÊNCIAS
ASP. Wikipédia. Disponível em: <http://pt.wikipedia.org/wiki/ASP>.
C: linguagem de programação. Wikipédia. Disponível em:
<http://pt.wikipedia.org/wiki/C_%28linguagem_de_programa%C3%A
7%C3%A3o%29>.
CARTILHA DE SEGURANÇA PARA INTERNET. Desenvolvida pelo
C E R T. b r , m a n t i d o p e l o N I C . b r . D i s p o n í v e l e m :
<http://cartilha.cert.br/>. Acesso em: 12 Jul. 2009.
E N G E N H A R I A S o c i a l . W i k i p é d i a . D i s p o n í v e l e m :
<http://pt.wikipedia.org/wiki/Engenharia_social_%28seguran%C3%A
7a_da_informa%C3%A7%C3%A3o%29>.
FERNANDES, Dailson. O blog do Fofão. Disponível em:
<http://www.dailson.com.br/2008/06/tipos-de-ataques-redes-de-
computadores.html>.
FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. [S.
l.]: Ciência Moderna, 2003.
IDENTIFICA pulhas. Disponível em:
<http://www.quatrocantos.com/LENDAS/identifica_pulhas.htm>.
JAVA Script. Wikipédia. Disponível em:
http://pt.wikipedia.org/wiki/JavaScript>.
KUROSE, James F. Redes de Computadores e a Internet. 3. ed. [S. l.]:
Pearson, 2006.
59
PHP. Wikipédia. Disponível em: <http://pt.wikipedia.org/wiki/PHP>.
RELAY Chat. Wikipédia. Disponível em:
<http://pt.wikipedia.org/wiki/Internet_Relay_Chat>.
SHELL Script. Wikipédia. Disponível em:
<http://pt.wikipedia.org/wiki/Shell_script>.
VÍRUS de computador. Wikipédia. Disponível em:
<http://pt.wikipedia.org/wiki/V%C3%ADrus_de_computador>.