SEGURANA INFORMTICA EM AUDITORIA

O objectivo deste trabalho apresentar os aspectos mais relevantes da auditoria da segurana

informtica relacionando-os com os standards mais importantes. Pretende-se um documento
que aborde a questo sem recorrer a designaes e siglas complexas e habituais nos textos de
tecnologias de informao e comunicao (TIC). O ideal seria conseguir um documento
capaz de ser compreendido por todos os profissionais, mesmo que no possuam
conhecimentos profundos no domnio da informtica ou da auditoria.

Jos Maria Pedro

Julho de 2005
INTRODUO...........................................................................................................4

OS ANIS DA INSEGURANA INFORMTICA ......................................................6

ANLISE DE RISCO NA AUDITORIA DA SEGURANA INFORMTICA............10

A AVALIAO DO CONTROLO INTERNO NA AUDITORIA DE SEGURANA

INFORMTICA........................................................................................................15

A segurana nos Controlos Gerais das Tecnologias de Informao (CGTI)................................................ 16

a. Comunicaes e WEB (Internet, Extranet e Intranet) ................................................................................. 16
b. Utilizadores, acessos e autenticao ........................................................................................................... 18
c. Instalaes, ambiente e segurana fsica ..................................................................................................... 19
d. Software de Sistema ................................................................................................................................... 19
e. Hardware..................................................................................................................................................... 19
f. Negcio: Continuidade e Recuperao de Desastres................................................................................... 20

A Segurana nos Controlos Aplicacionais....................................................................................................... 21

a. Software aplicacional.................................................................................................................................. 21
b. DADOS, Classificao e Controlo ............................................................................................................. 23

A segurana nos Controlos de Utilizao ........................................................................................................ 23

CONCLUSO..........................................................................................................24

ANEXO - OS STANDARDS DE AUDITORIA DA SEGURANA INFORMTICA .26

CobiT Control Objectives for Information Technology.............................................................................. 26

COSO - Committee of Sponsoring Organizations of the Treadway Commission ....................................... 30

ISO/IEC 17799:2000 - Code of Practice for Information Security Management ........................................ 31

ISO/IEC TR 13335 ............................................................................................................................................ 34

ISO/IEC 15408 ................................................................................................................................................... 36

ISO/IEC 21827:2002(E) .................................................................................................................................... 37

ITIL .................................................................................................................................................................... 39

NIST 800-14 ....................................................................................................................................................... 41

OECD's Guidelines for the Security of Information Systems........................................................................ 42

TickIT ................................................................................................................................................................. 43

BIBLIOGRAFIA .......................................................................................................45

2
LOCAIS A VISITAR NA INTERNET........................................................................46

3
Introduo

De todas as mudanas empresariais at agora, nenhuma foi to significativa para os

profissionais de controlo como a provocada pelas TIC nos ltimos trinta anos. O
aparecimento da Internet e a sua utilizao generalizada para efectuar transaces, na sua
maior parte com significado, quer sejam financeiras quer sejam de qualquer outra natureza,
condicionaram decisivamente o trabalho dos profissionais de auditoria.

Tomando a banca como exemplo, hoje possvel para um cliente realizar movimentos entre
as suas contas mediante o acesso a um website. O cliente pode estar em qualquer parte do
globo sem limites geogrficos, polticos, fsicos ou legais. Tambm empresas das mais
variadas reas de negcio se servem das tecnologias de informao para integrar os seus
sistemas internos e proporcionar interfaces aos seus parceiros que permitam todo o tipo de
transaces.

Os circuitos de informao flexibilizaram-se, tornaram-se mais virtuais e deixaram de ser to

fixos como eram conhecidos tradicionalmente. Os suportes de informao tornaram-se
volteis, a fiabilidade dos documentos sobre papel ou electrnicos mais questionvel
actualmente.

Nesta fase os profissionais de auditoria sem competncias profissionais no domnio das

tecnologias de informao perdem a possibilidade de contacto com os suportes de
informao e com os dados que eles contm. A vida complica-se seriamente para os agentes
de controlo pouco qualificados!

Entre ns e de acordo com o Banco de Portugal1, os dados da utilizao dos instrumentos de

pagamento, de 1989 a 2002, revelam uma tendncia muito favorvel para os instrumentos
electrnicos de pagamento. O rcio notas e moedas/PIB variou de 7% para 3,5%,
aproximadamente, a parte das transaces por cheque no total variou de 80% para cerca de
30% e a parte das transaces por carto de pagamento evoluiu de 2% para 57%. Estes

1
Consulte http://www.bportugal.pt/; http://www.oecd.org/, http://www.ine.pt/ e http://epp.eurostat.cec.eu.int/
para mais dados sobre esta questo;

4
nmeros significam uma revoluo nos suportes da informao relativos s transaces e um
acrscimo nas dificuldades de auditar e certificar transaces.

Esta realidade no exclusivamente portuguesa, segundo a literatura da especialidade,

actualmente as maiores empresas mundiais e cerca de metade das grandes corporaes
internacionais esto centradas na segunda fase do negcio pela Internet (transaces)
obtendo grandes benefcios.

O comrcio electrnico um tema incontornvel na economia mundial que afecta

Instrumentos Legais associados s transaces econmicas, Normas e Metodologias
Contabilsticas, Normas e Metodologias de Auditoria.

A viso tradicional da empresa associando-a a um simples organigrama, est hoje

modificada pela presena das TIC, a estrutura organizacional suporta maior disperso das
pessoas devido aos meios de comunicao disponveis, apresenta-se mais difusa e assenta
sobre softwares que so sistemas de informao submersos em tecnologia que recolhe,
processa, guarda e transporta a informao atravs de toda a organizao. Podemos
perspectivar esta nova realidade no seguinte esquema:

Organizao (pessoas)

Sistemas de Informao (software)

Tecnologia (hardware)
!

5
Os procedimentos de auditoria direccionados apenas ao nvel organizacional superior atravs
de contactos pessoais so insuficientes para obter a evidncia suficiente na formao da
opinio do auditor porque ignoram o software e o hardware, ou seja, os sistemas de
informao e a tecnologia.

A segurana informtica uma consequncia desta nova realidade, um aspecto particular da

maior importncia porque est ligada a todos os sistemas de informao na empresa.
Constitui uma preocupao maior na actualidade e continuar a condicionar a fiabilidade dos
dados no futuro.

A anlise dos aspectos mais relevantes e actuais da segurana informtica relacionando-a

com a auditoria obriga-nos a apresentar de forma sumria em primeiro lugar os standards de
segurana informtica. Com efeito a auditoria faz-se de competncias profissionais e de
standards de referncia aceites de forma generalizada.

Os Anis da Insegurana Informtica

Naturalmente que ao falar de informtica estamos a referir-nos a informao automtica que

fli atravs de uma sucesso de camadas ou anis que comeam quando algum entra em
contacto com uma dada empresa ou organizao e acabam nos dados relativos a todos os
factos relevantes que ocorrem. Inclumos neste conceito todos os circuitos de informao
bem como a infraestrutura que os suporta.

Para ilustrar esta ideia de forma clara, apresentamos o seguinte esquema onde o negcio
aparece sustentado por anis sucessivos que condicionam a segurana e fiabilidade dos dados
e podem afectar seriamente a continuidade do negcio ou mesmo a sobrevivncia da
empresa quando o recurso s TIC generalizado.

6
Figura 1 Os Anis da Segurana Informtica

O ,
CI e
idad de
EG u o
N ntin ra res
o e t
C cup sas DADOS
Re De Classificao e Controlo

Hardware

Software Sistema

Software Aplicacional

Instalaes, Ambiente,
Seg. Fsica
Utilizadores, acessos,
autenticao
Comunicaes,
WEB

Polticas e Princpios de Segurana Organizacional

Conformidade, Legalidade, Gesto de Risco

Cada um destes anis coloca problemas particulares que importa analisar para compreender
at que ponto a auditoria deve ir. Por sua vez, todo este conjunto de anis condicionado
pelas polticas e princpios de segurana adoptados na organizao em causa e pelos graus de
conformidade com os standards, com a legalidade e com princpios de gesto de risco usados
como referencial.

Para entender a ideia de sustentao do negcio pelos anis preciso raciocinar com base em
organizaes onde a actividade operacional no pode funcionar sem as TIC. Lembre-se do
sector financeiro (bancos e seguros) onde praticamente impossvel o funcionamento
quando as TIC falham. Um banco pode ir falncia se a confiana nos seus sistemas for
abalada de forma sistemtica.

De acordo com Ernst Jan Oud2 podemos organizar os standards de TIC mais conhecidos em
nove ttulos principais:

Gesto de TI (COBIT3, BS15000, Microsoft Operations Framework e ITIL);

2
Auditor de SI certificado pela associao americana ISACA. Publicou um artigo recente The value to IT of
Using International Standards, in Informations Systems Control Journal da ISACA, Vol 3, 2005;

7
 Gesto de Projectos (PRINCE2 e PMBOK);
Gesto de Segurana (ISO13335, ISO13569 para os servios financeiros,
ISO17799/BS7799-2 muito traduzidos e adaptados por esse mundo fora, ITBaseline
Protection Manual alemo, ACSI-334 australiano, numerosos da NIST5 americana,
COBIT Security Baseline, ENV12924 para SI mdicos, Information Security Frum
Standard of Good Pratice6);
Gesto da Qualidade (ISO9001, EFQM e Baldrige National Quality Plan);
Desenvolvimento de Software (TickIT, Capability Maturity Model Integration
Software Engineering Institute);
Governo de TI (COBIT, IT Governance Implementing Guide, COSO Internal
Control Integrated Framework, e AS8015-2005 australiano);
Gesto de Risco (AS/NZS4360 australiano7);
Planos de Continuidade de Negcio (PAS-56 da British Standards Institution e
HB221-2004 Australiano).

Nem todos so utilizados da mesma forma e com a mesma frequncia, alguns tm maior
divulgao.

A gesto da segurana est intimamente ligada gesto do risco empresarial e no possvel

abordar o tema sem uma viso universal do que existe actualmente sobre a matria. As
propostas mais defendidas actualmente pelos profissionais de TIC baseiam-se em diversos
modelos aceites internacionalmente. A teoria dos anis que apresentamos anteriormente
uma sntese simplificadora da enorme variedade de fontes que existem. A tabela abaixo
apresenta uma lista dos referenciais internacionais mais conhecidos e mais utilizados.

ALGUNS REFERENCIAIS INTERNACIONAIS USADOS EM SEGURANA

8
INFORMTICA

3
www.bsi-global;
4
www.dsd.gov.au/infosec/publications/acsi33.html - instrues para a segurana das comunicaes
electrnicas Australianas;
5
www.nist.gov;
6
www.isfsecuritystandard.com;
7
www.standards.com.au
8
SINFIC - Newsletter Sinfic Insight n.15 - ERM (Enterprise Risk Management);

8
Referncia Objectivo Audincia Alvo Entidade Emitente
Objectivos de Controlo de Gestores de Topo, Gestores de
CobiT IT Governance Institute9
Governao de TIC (uso dirio) TIC, Utilizadores e Auditores
Gesto e Controlo do Risco das CIO, CEO, CFO, CxOs, Committee of Sponsoring Organizations of the
COSO
Organizaes Utilizadores e Auditores Internos Tradeway Comission (COSO), USA
Abordagem para Fornecedores de Pessoas Responsveis por British Office of Government Commerce (OCG)
ITIL
Servios de Gesto de TIC Servios de Gesto de TIC UK.
International Organizational for Standardization
ISO/IEC Orientaes para Implementao da Pessoas Responsveis pela and International Electrotechnical Comission
17799:2000 Segurana da Informao Segurana da Informao Joint Technical Committee (ISO/IEC JTC 1),
Switzerland
International Organizational for Standardization
Gestores Seniores e Pessoas
ISO/IEC TR Orientaes sobre aspectos da and International Electrotechnical Comission
Responsveis pela Medio da
13335 Gesto da Segurana de TIC Joint Technical Committee (ISO/IEC JTC 1),
Segurana de TIC
Switzerland
International Organizational for Standardization
Definio de Critrios para
ISO/IEC Consumidores, Programadores e and International Electrotechnical Comission
Avaliao da Segurana da
15408 Avaliadores Joint Technical Committee (ISO/IEC JTC 1),
Informao
Switzerland
"Baseline" para o Estabelecimento e Terceiras Partes Responsveis Computer Security Resource Centre (CSRC),
NIST 800-14 Reviso de Planos de Segurana de pela Segurana de TIC para National Institute of Standards and Technology
TIC Organizaes Governamentais (NIST), US Department of Commerce, USA
Orientaes para a Segurana dos Gestores, CIO, CEO, CFO,
OCDE OCDE
Sistemas de Informao utilizadores
Sistemas de Gesto da Qualidade
Clientes, Fornecedores e TickIT Office, British Standards Institute (BSI),
TickIT para Desenvolvimento de Software
Auditores UK
e Critrios de Certificao

Os profissionais de auditoria informtica, na prtica escolhem um destes standards ou uma

parte deles em funo das necessidades de cada misso. O ISO/IEC 1779910 e o COBIT so
talvez os mais utilizados actualmente.

A Comisso Europeia est a proceder alterao do Reg EC n 1663/95 com regras

detalhadas relativas aos procedimentos de aprovao das contas do FEOGA Garantia e
Orientao, exigindo uma certificao de segurana dos sistemas de informao alm da
tradicional certificao de contas anual. Esta certificao de segurana dos sistemas de
informao no se dirige exclusivamente tecnologia e dever ser efectuada com base num
dos referenciais internacionais de segurana informtica combinado com uma escala de nveis
feita com o CMM (Capability Maturity Model)

As normas referenciais sugeridas foram o ISO/IEC17799, o BSI (norma alem do tipo do

ISO/IEC 17799, mas mais pormenorizada) e o COBIT. At ao momento o ISO/IEC17799 foi
preferido pela maioria das autoridades de pagamento dos estados europeus para efectuar esta

9
O COBIT tem sido amplamente patrocinado pela associao americana Information Systems Audititng and Control
Association (www.isaca.org);
10
ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission)

9
certificao de segurana dos sistemas de informao. A adopo deste standard pelos
estados europeus dar-lhe- maior divulgao e projeco internacional. Por outro lado, os
estados podero vir a adoptar a mesma exigncia para acompanhar a certificao das contas
pblicas.

Trata-se de uma exigncia forte em termos de sistemas de informao, o standard ISO17799

bastante exigente e se for combinado com os nveis de maturidade do CMM, d chumbo
certo a qualquer sistema de informao de perfil mediano nas empresas portuguesas.
Provavelmente, tendo em conta a tendncia dos portugueses para a intuio e averso a
sistemas rgidos, s o sector financeiro estar em condies de situar os seus processos de
TIC acima do nvel 2 do CMM.

Mostramos em anexo uma sntese de cada um destes standards, embora sem grande
profundidade, para fornecer uma ideia objectiva do seu contedo a usar na opo por cada
um deles durante o processo de auditoria.

Anlise de Risco na Auditoria da Segurana Informtica

Apesar da existncia de uma infinidade de standards em permanente actualizao que

acompanham o ritmo de evoluo das tecnologias de informao e comunicao, ainda no
existe uma metodologia aceite generalizadamente para a auditoria da segurana informtica.

A maior parte dos textos de auditoria informtica abordam a questo do risco quando se fala
em segurana. Isto acontece porque os riscos tm incrementado em espiral nos sistemas de
informao desde que as tecnologias de informao foram adoptadas generalizadamente. A
anlise de risco est sempre orientada para proteger algum, pode proteger o auditor ou pode
proteger a empresa.

Actualmente existem vrias correntes metodolgicas, mas podemos reduzir todo o conjunto a
duas grandes lgicas de aco, uma dirigida proteco do auditor e outra proteco da
organizao. Assumimos ento que existem em auditoria informtica duas vises do risco:

10
 a. Anlise de Risco da Auditoria: orientada para reduo do risco do auditor poder
emitir uma opinio incorrecta. A primeira preocupao do auditor obter informao
suficiente para emitir uma opinio adequada. Para alm do risco de auditoria, o
auditor est tambm exposto a perdas e danos no exerccio da sua actividade
profissional resultante de litgios, publicidade adversa ou outros eventos, que surjam
em conexo com a informao que ele examinou e sobre as quais emitiu uma
opinio;

b. Anlise de Risco da Organizao: orientada para os riscos que a empresa corre ao

depender em absoluto de sistemas de informao automatizados. A primeira
preocupao da empresa funcionar sem acidentes de percurso e sem falhas dos
sistemas de informao que so essenciais aos objectivos do negcio. Os riscos so
analisados nos processos associados funo informtica na empresa, discutindo as
exigncias que podem ser feitas aos sistemas de informao e aos recursos
envolvidos. O COBIT o melhor exemplo desta corrente.

Vamos abordar a perspectiva da Anlise de Risco da auditoria (proteco do auditor).

Durante a minha experincia de ensino na rea de auditoria informtica, um dos processos
mais fceis de explicar a profissionais de informtica o que se faz em auditoria, foi a
utilizao do Standard de Auditoria relativo anlise de risco. Por um lado, os profissionais
de auditoria captam facilmente o problema dos anis quando apresentado na lgica da
anlise de risco porque a conhecem bem. Por outro lado, os profissionais de informtica
gostam de esquemas, usam-nos no seu dia-a-dia com tanta frequncia que acabam por
apreender rapidamente os conceitos transmitidos por esta via.

Observe o esquema seguinte preparado com base na norma dedicada Avaliao do Risco
em Auditoria, pode v-la no site da Ordem dos Revisores Oficiais de Contas (OROC)11:

11
http://www.cidadevirtual.pt/croc/index.html

11
 Relao entre os Riscos em Auditoria

RA = RI * RCI * RD
RCGTI * RCA * RCU
Instalaes
Hardware
Software de Sistema
Comunicaes
DADOS Utilizadores
Continuidade
Aplicaes Privilgios
Polticas

RA: Risco de Auditoria

RI: Risco Inerente
RCI: Risco de Controlo Interno
RD: Risco de Deteco
RCGTI: Risco dos Controlos Gerais das TI
RCA: Risco dos Controlos Aplicacionais
RCU: Risco dos Controlos de Utilizao

Esta norma/standard de auditoria proporciona orientao aos profissionais de auditoria12 na

avaliao do risco de auditoria e seus componentes: risco inerente, risco de controlo e risco
de deteco13.

A norma coloca em primeiro plano o risco da auditoria para o auditor que a entidade a
proteger. A norma no dirigida ao risco da organizao na perspectiva global do COSO que
refere o risco empresarial nos seguintes termos:

Gesto do risco empresarial um processo, levado a efeito pelo quadro de directores de

uma entidade, gestores e outro pessoal, aplicado na definio da estratgia em toda a
empresa, desenhado para identificar potenciais acontecimentos que podem afectar a
entidade, e para gerir o risco mantendo-o em nveis aceitveis, tendo em vista oferecer
segurana razovel relativamente concretizao dos objectivos da entidade14

12
os ROC so um exemplo destes profissionais
13
A frmula apresentada pela OROC, que traduz um dos modelos existentes para a avaliao do risco de
reviso/auditoria, descreve o risco de reviso/auditoria no nos trs componentes de risco aqui apresentados,
mas atravs de quatro componentes do risco. O risco de deteco dividido em duas componentes: o risco dos
procedimentos analticos e outros relevantes testes substantivos poderem falhar na deteco de distores iguais
s distores tolerveis e o risco tolervel de aceitao incorrecta para os testes substantivos de pormenor.
14
O texto original o seguinte: Enterprise risk management is a process, effected by an entitys board of
directors, management and other personnel, applied in strategy setting and across the enterprise, designed to
identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide
reasonable assurance regarding the achievement of entity objectives

12
A necessidade de determinao do risco vem referida no pargrafo 15 das Normas Tcnicas
de Reviso/Auditoria seguidas pelos ROC: 15. O revisor/auditor deve planear o trabalho
de campo e estabelecer a natureza, extenso, profundidade e oportunidade dos
procedimentos a adoptar, com vista a atingir o nvel de segurana que deve proporcionar e
tendo em conta a sua determinao do risco da reviso/auditoria e a sua definio dos
limites de materialidade.

O que se pretende dizer com o esquema , em primeiro lugar, que o risco da auditoria
provm de trs fontes principais que podem ser decompostas noutras dimenses especficas
como veremos mais frente. Uma adaptao das definies com base no conceito de
susceptibilidade na norma para a auditoria informtica, ampliando o contedo de dados
financeiros para qualquer informao produzida por qualquer sistema de informao,
pode resultar nas seguintes definies:

Risco de auditoria: a susceptibilidade do auditor dar uma opinio de auditoria no

apropriada quando uma informao produzida pelo sistema esteja distorcida de forma
materialmente relevante.

Risco inerente: a susceptibilidade de uma informao conter uma distoro que

possa ser materialmente relevante, considerada individualmente ou quando agregada
com distores em outros dados, assumindo que no existem os respectivos controlos
internos.

Risco de controlo interno: a susceptibilidade de uma distoro, que possa ocorrer

numa informao e que possa ser materialmente relevante, considerada
individualmente ou quando agregada com distores em outros dados, no vir a ser
prevenida ou detectada e corrigida atempadamente pelo sistema de controlo interno.
O conceito de controlo interno faz parte do processo de gesto. constitudo pelas
aces tomadas pela gesto para planear, organizar e dirigir as suficientes aces
que providenciem adequada certeza que os seguintes objectivos so atingidos:

o cumprimento de metas estabelecidas para os programas e operaes;

o uso econmico e eficiente dos recursos;
o salvaguarda de recursos;

13
 o fiabilidade e integridade da informao;
o conformidade com as polticas, planos, procedimentos, leis e regulamentos
(Institutr of Internal Auditors)15.

Risco de deteco: a susceptibilidade dos procedimentos substantivos executados

pelo auditor no virem a detectar uma distoro que exista numa informao que
possa ser materialmente relevante, considerada individualmente ou quando agregada
com distores em outros dados.

No estamos preocupados em analisar as TIC como instrumento de auditoria. Interessa-nos

sobretudo a anlise das TIC como fonte de risco para a auditoria.

As TIC intervm como instrumento na avaliao de qualquer destes trs tipos de risco
associados ao risco de auditoria nos termos em que o definimos. As TIC so determinantes
como condicionantes do risco em qualquer dos trs tipos de risco (inerente, controlo,
deteco), mas onde assumem um papel verdadeiramente decisivo no controlo interno.

O controlo interno, montado tradicionalmente com base em encontros e desencontros de

documentos nos circuitos de informao, ou atravs da comparao dos dados de vrias
fontes e circuitos, passou progressivamente para dentro do software e hardware. A clebre
comparao da guia de entrada em armazm com a factura para autorizar a emisso do
cheque, em muitos casos, j no pode ser feita com recurso ao papel porque o que existe
actualmente so transaces gravadas pelo software em estruturas de dados complexas.

Hoje, no possvel avaliar adequadamente o controlo interno sem ter em conta as TIC,
porque os dados circulam electronicamente e so tratados por software posto em aco por
utilizadores autorizados pelo seu user/password que algum deve gerir. Actualmente, h
poucos sistemas de informao que no recorram a algum hardware e software.

A anlise dos referenciais internacionais usados em segurana informtica da mxima

importncia para quem precisar de fundamentar a sua opinio. Como os standards nasceram de
motivaes diferentes, algumas pouco relacionadas com a auditoria, revelam muitas zonas de
sobreposio e vrias perspectivas de abordagem em funo das preocupaes de cada grupo que
as desenvolveu.

14
A abrangncia e actualidade so determinantes na escolha de um standard para aplicar. O
ISO/IEC 17799 tem-se mostrado irresistvel porque amplo e surgiu relativamente cedo na
sequncia de publicao e divulgao dos standards. O COBIT tem sido defendido pela
associao americana Information Systems and Control Association16 que se sustenta em
milhares de auditores certificados de sistemas de informao (os CISA e os CISM17) e pela
utilizao de recursos electrnicos bastante ricos para os seus membros espalhados por todo o
mundo.

A avaliao do controlo interno na auditoria de segurana

informtica

Por necessidade de organizao do trabalho de auditoria, separamos os anis18 relativos

segurana informtica em vrios componentes relevantes para avaliar o risco de controlo
interno:

Controlos Gerais das Tecnologias de Informao (CGTI): compreendem tudo o que

diz respeito infraestrutura das TIC bem como a continuidade de negcio e
recuperao de desastres nas TIC, polticas e princpios de segurana organizacional,
conformidade, legalidade e gesto de risco.

Controlos Aplicacionais (CA): compreendem a anlise do software aplicacional e dos

respectivos dados. Naturalmente que a anlise de dados feita no mbito dos controlos
aplicacionais se destina a recolher evidncia sobre conformidade, a anlise
substantiva ser efectuada posteriormente;

Controlos de Utilizao (CU): compreendem as questes directamente relacionadas

com os utilizadores dos sistemas de informao19. Podemos incluir neste ponto as
questes relacionadas com as necessidades e a utilidade da informao;

15
veja www.theiia.org
16
veja www.isaca.org
17
CISA = Certified Information Systems Auditor; CISM = Certified Information Security Manager

15
A segurana nos Controlos Gerais das Tecnologias de Informao (CGTI)

De acordo com o esquema da Figura 1 Os Anis da Segurana Informtica, os CGTI so a

base dos mecanismos de controlo interno porque incluem aspectos de infraestrutura.
Funciona como o esqueleto da segurana e controlo das TIC numa organizao. Vamos
tentar mostrar a importncia de cada um dos anis e a forma como podem condicionar a
segurana e o risco da auditoria.

a. Comunicaes e WEB (Internet, Extranet e Intranet)

Nenhuma organizao pblica ou privada pode funcionar e ser eficiente sem comunicao
entre os seus colaboradores. Actualmente, a reduo de custos est irremediavelmente
associada aos meios de comunicao aplicados aos diferentes processos na cadeia de valor
das empresas.

H um papel crescente desempenhado pelas redes e pelos sistemas de informao na

actualidade que importa conhecer e proteger porque estamos a assistir a muitos modos de
condicionamento destes meios por indivduos sem qualquer responsabilidade social
espalhados pelo globo. Sempre existiram pessoas deste gnero, mas nunca tiveram tanto
poder para afectar tanto a sociedade.

As consequncias so dramticas para algumas empresas, a indisponibilidade temporria dos

sistemas, as falhas de desempenho ou o funcionamento incorrecto, condicionam
negativamente os processos de negcio afastando os clientes das empresas que dependem
destes meios de comunicao.

Algumas organizaes tomaram iniciativas no sentido de prevenir esta ameaa:

18
Veja o esquema dos anis de insegurana que apresentmos no incio deste trabalho.
19
Alguns autores incluem os controlos de utilizao nos controlos aplicacionais. Esta opo pode ser til em
alguns casos, mas em regra melhor separar a utilizao porque cobre aspectos relacionados com a necessidade
de informao para determinadas funes e processos de negcio

16
 OCDE: Em Setembro de 2002, depois dos acontecimentos do 11 de Setembro
publicou as Guidelines for the Security of Information Systems manifestando as
preocupaes neste domnio;

ENISA20: Foi criada pela Unio Europeia para responder s preocupaes com as
infraestruturas de comunicao na Europa.

A segurana das telecomunicaes compreende vrias dimenses:

Segurana no acesso interno s redes

Segurana no acesso externo s redes
Segurana no envio de informao
Segurana de circuitos

Comeando com o acesso interno s redes, de forma controlada com autorizao de algum
responsvel pela segurana, com registo e anlise peridica dos acessos. Convm lembrar
que segundo algumas estatsticas, mais de metade dos acessos indevidos e intruso so
originados a partir do interior das organizaes.

A segurana no acesso externo s redes outra grande preocupao quando existem

entidades externas organizao que acedem rede. Todos os acessos concedidos devem ser
autorizados e atribudos pelo responsvel de segurana com anlise peridica de quem
entrou. Alm da verificao de login, conveniente estabelecer outros tipos de verificaes
que permitam identificar eventuais piratas informticos.

O servio de Internet deve ser devidamente protegido, tal como o envio de informao e a
transferncia de dados para fora da rede com encriptao de dados confidenciais.

Outro grande problema actual a multiplicidade de vrus produzidos diariamente que entram
atravs das ligaes de rede. Ter um antivrus eficaz e actualizado instalado nos servidores
da rede e em todos os computadores pessoais uma condio base de sobrevivncia de toda
a rede.

20
ENISA = European Network and Information Security Agency. Veja em
http://europa.eu.int/agencies/enisa/index_en.htm

17
A segurana de circuitos com meios de proteco adequados, designadamente contra
software peer-to-peer que consegue por um computador pessoal a comunicar com outro de
outra rede sem qualquer controlo da nossa rede, um problema maior para a segurana. A
moda de troca de msicas e filmes fez divulgar este tipo de software de uma forma incrvel.
A instalao de software de firewall que destrua os pacotes associados a estas aplicaes
uma soluo cada vez mais adoptada.

Os sistemas de Firewall instalados nas redes e nos computadores pessoais foram uma
esperana para todos os responsveis de segurana, mas a habilidade dos piratas parece
imbatvel. Criaram outros meios de aco como o Spyware e outro software do mesmo tipo
que se instala sorrateira e disfaradamente nos computadores e capta dados importantes
como passwords de acesso.

b. Utilizadores, acessos e autenticao

A gesto de utilizadores e respectivas passwords um aspecto de primeirssima importncia.

Quando algum recrutado e entra na empresa, necessrio criar-lhe uma identificao na
rede com os direitos de acesso adequados sua funo.

Quando um utilizador sai da empresa para trabalhar noutra organizao, pode ser, por
exemplo, um concorrente, necessrio eliminar a sua identificao na rede de origem para
evitar que continue a usar os privilgios de acesso que detinha. Os meios de autenticao de
utilizadores na rede devem estar activos a 100% para que um estranho no a possa usar.

A gesto de passwords de acesso rede e s aplicaes uma matria sempre actual, a

melhor proteco dos dados da empresa. Por isso essencial que sejam alteradas
periodicamente. O ideal configurar os servidores para forarem a alterao peridica de
password, porque se algum pirata estiver na posse da identificao e password de um
empregado, ficar sem poder entrar na rede quando a password for alterada.

18
c. Instalaes, ambiente e segurana fsica

As instalaes tambm merecem cuidados especiais de segurana, embora parea que no.
Muitas empresas colocam os servidores na cave o que uma vantagem porque evita acesso
de curiosos, mas pode ter uma enorme desvantagem perante inundaes porque a gua corre
para os pisos inferiores e pode entrar nos servidores destruindo todo o seu contedo
incluindo os dados gravados nos seus discos.

d. Software de Sistema

Para o software de sistema todo o cuidado pouco. Especialmente porque algum deste
software pode intervir nas aplicaes em explorao e respectivos dados. A maioria das
aplicaes actuais desenvolvida sobre sistemas de gesto de base de dados (ORACLE,
SQLServer, etc.) que dispem de ferramentas de alterao directa dos dados sem passar
pelos controlos aplicacionais.

As responsabilidades pelo desenvolvimento e pela operao de software devem ser

segregadas. Quem desenvolve software no deve ter acesso s aplicaes que esto j em
explorao para no poder fazer alteraes sem controlo e autorizao.

Os sistemas abertos que esto hoje em voga e em expanso tornar-se-o um perigo devido
facilidade da sua alterao. Obrigando por isso a esquemas apertados de controlo e
autorizao nas alteraes.

e. Hardware

Quanto ao hardware, embora parea que menos importante que o software, convm ter em
ateno que os componentes dos computadores so cada vez mais pequenos e mais portveis.
O disco de um servidor pode ser retirado ou copiado facilmente. Por outro lado, o acesso ao
hardware de sistema pode ter consequncias se for permitido livremente.

19
A gesto de contratos de assistncia tcnica importante porque os custos vo aumentando
com a idade do hardware e porque deixa de haver componentes de substituio nos ltimos
anos de vida dos servidores.

f. Negcio: Continuidade e Recuperao de Desastres

Nos ltimos anos houve um grande crescimento na utilizao das TIC nas organizaes.
Algumas empresas ficaram completamente dependentes das TIC, por exemplo os bancos, as
companhias areas, as seguradoras, etc. Uma paragem de um dia pode significar a falncia!
Por isso e dada a falibilidade e riscos associados s TIC agravados pelos acontecimentos dos
ltimos tempos (terrorismo, hackers, vrus, ) tornou-se indispensvel dispor de controlos
adequados (CGTI) e especialmente de bons planos de contingncia, testados periodicamente
e a funcionar em pleno. Um Plano de Contingncia deve tratar pelo menos os seguintes
contedos:

Objectivos do plano de contingncia;

Estratgia e metodologia adoptadas;
Limitaes do plano;
Processos de negcio crticos e sistemas envolvidos;
Cenrios de falha dos sistemas e impactos na actividade;
Medidas de contingncia e aces necessrias sua operacionalizao;
Responsabilidades por cada fase do processo de recuperao e pela
actualizao do plano de contingncia.

Por ocasio do ano 2000, houve uma enorme preocupao com este tipo de planos devido s
preocupaes que se generalizaram quanto aos riscos de falha dos sistemas. Hoje, j todos
esquecemos esta euforia de preveno e estamos a viver alegremente como se no existissem
riscos.

As empresas que usam as TIC de forma extensiva devem proceder a auditorias peridicas
segurana e continuidade de funcionamento dos seus sistemas de informao com incidncia
especial nas reas de segurana de acessos, continuidade de funcionamento e recuperao de

20
desastres. Os controlos gerais das tecnologias de informao devem merecer ateno especial
em contextos inseguros como existem actualmente.

A Segurana nos Controlos Aplicacionais

A avaliao dos controlos aplicacionais uma tarefa difcil que obriga a anlise do software
e dos dados. A experincia diz-nos que a maior parte das aplicaes dispe apenas de
verses executveis nas empresas que as usam. Os fornecedores de software guardam as
linhas de cdigo para si (sources) porque so a sua garantia de no haver cpia.

O facto de no dispormos do cdigo fonte e sendo to extenso quando existe, inviabiliza a

anlise do software. Resta a hiptese de reprocessar os dados para avaliar a qualidade do
software e analisar os dados atravs de software especializado como WinIdea ou ACL.

De facto, porque a auditoria intervm em regra depois do processamento, nunca temos

certezas quando avaliamos controlos aplicacionais. Os dados de input podem ser alterados, o
software que processou pode ter usado vrias verses, os dados de output podem ter sido
modificados. Os dados podem ter sido martelados. Pode no existir segregao de funes
entre a operao dos sistemas centrais e o desenvolvimento de software.

a. Software aplicacional

Certo que nunca poderemos certificar documentos produzidos a partir de um sistema de

informao sem avaliar os controlos gerais e aplicacionais.

21
 software
Software
Inserir dados Compilar SourceFonte
Cdigo
Ver1.01
Source

Programa
Alterado
dados
martelar dados

operao
desenvolvimento
Docs

A melhor abordagem aos controlos aplicacionais faz-se aps a avaliao do Controlos Gerais
das Tecnologias de Informao, dirigindo-nos aos dados que consideramos crticos ou
sensveis para a segurana, atravs do percurso seguinte:

Autorizao de Input
Verificao de Dados depois de inseridos e antes do processamento
Controlo de erros de Input
Controlo de processamento em lotes (Batch) ou on-line
Controlo de Ficheiros
Controlo sobre output electrnico ou de papel

A existncia de sistemas empresariais (ERP Enterprise Resouce Planning) do tipo SAP traz
alguma tranquilidade porque tm componentes de auditoria que podem ser postos em aco.

22
b. DADOS, Classificao e Controlo

Com a modificao dos suportes preferenciais, do papel para os electrnicos, verificou-se

uma grande transformao. At aqui, praticamente s um incndio ou uma inundao
podiam destruir os dados da empresa. A partir deste ponto tudo se complicou porque alm
destes acidentes juntaram-se outros riscos que foi necessrio considerar. Acessos indevidos,
vrus, avaria nos discos, facilidade de cpia, rapidez de processamento para outras
utilizaes, etc.

Um bom software de Data Mining pode facilitar a segmentao de clientes e reduzir custos
de marketing e publicidade por evitar desperdcios com campanhas desajustadas aos
interesses dos clientes.

Os gestores das empresas tomaram conscincia da importncia que os dados tm e passaram

a classific-los e a proteg-los. Por isso o controlo de acesso aos dados se tornou to
importante nos nossos dias.

A segurana nos Controlos de Utilizao

Controlos de utilizador so avaliados relativamente aos controlos de aplicao. Por exemplo

quando h um controlo de aplicao que produz uma lista de erros, deve existir um
procedimento de utilizao para lidar com estes erros. Se os utilizadores no esto
empenhados no controlo do sistema ento provvel que existam falhas desconhecidas dos
responsveis pelos sistemas.

O envolvimento dos utilizadores no desenvolvimento e manuteno dos sistemas do maior

interesse porque pode reduzir custos em diversas tarefas e melhorar a segurana. Um
utilizador mal informado sobre a importncia de um sistema um risco srio na maior parte
dos casos.

23
Neste sentido, o relacionamento dos utilizadores com o sistema deve ser cuidado atravs de
treino e a sua satisfao relativamente ao Sistema de Informao que usa deve ser conhecida.

Concluso

Como se referiu, tanto o sector pblico como o sector privado, dispem de sistemas de
informao que funcionam atravs de software variadssimo, sobre computadores e circuitos
de comunicaes dispersos, torna-se pouco aconselhvel que algum se pronuncie sobre um
mapa em papel sem previamente saber quem produziu os dados que contm, por onde
passaram, quem os guarda e para onde foram enviados.

Assim, em nosso entender, a certificao de informao relativa a um perodo de tempo,

pressupe uma avaliao da qualidade e do controlo dos sistemas que a processam. A
disperso dos sistemas e a facilidade de alterao e cpia dos dados tal que o auditor deve
acautelar a sua opinio.

A tendncia dos sistemas de informao da generalidade das entidades para a interligao

com outros, formando macrosistemas de informao que importa conhecer, controlar e
auditar. Por exemplo, os grandes grupos econmicos dispem de contabilidades interligadas
e controladas internamente com possibilidade de balancear diariamente os resultados
previstos, podendo actuar sobre os preos de transferncia dos produtos e servios em funo
das convenincias. Ao nvel do Estado temos tambm os sistemas de controlo da receita,
tesouraria e despesa pblica que incluem, designadamente, vrios servios e subsistemas,
algumas dezenas de programas de contabilidade espalhados pelas entidades.

Assim, a avaliao do controlo interno quando existem meios informticos nos sistemas de
informao auditados, s pode ser levada a cabo por auditores que saibam valorizar o efeito
desses meios na respectiva fiabilidade e integridade dos dados. A ideia de que possvel
auditar volta do computador, ou que basta introduzir dados de teste nos sistemas e observar
os resultados, considerada hoje demasiado simplista para ser usada isoladamente em
auditoria.

24
Ainda que actualmente se defenda, numa ptica de anlise de custo-benefcio no curto prazo,
que prefervel contratar servios externos para cobrir esta necessidade, existem pelo menos
trs razes que aconselham alguma prudncia nessa abordagem:

Quem contrata servios deve saber sempre o que est a contratar (uma entidade
responsvel pelo controlo financeiro, no deve depender de outra para saber o que deve
contratar para executar a sua misso);

O auditor responsvel pela opinio emitida deve primeiro entender / compreender /

conhecer, para depois saber valorizar o que lhe transmitido (isto , mesmo que algum
contrate os servios especializados por ele, isso no dispensa a capacidade tcnica para
os integrar na sua opinio);

Os servios contratados externamente so, em regra, extremamente caros e o

conhecimento adquirido com cada interveno perde-se, porque fica no exterior da
organizao, no sendo possvel a sua reutilizao em idnticas aces de auditoria no
futuro.

25
Anexo - OS STANDARDS DE AUDITORIA DA SEGURANA
INFORMTICA

CobiT Control Objectives for Information Technology21

Foi desenvolvido pela associao americana ISACA (Information Systems Audit and
Control Association).

O Cobit um modelo orientado para a gesto das tecnologias de informao. A sua viso
sustenta que a sobrevivncia das organizaes depende da gesto efectiva da informao e da
tecnologia associada a quatro problemas actuais:

O aumento da dependncia da generalidade das organizaes relativamente s TIC22;

Aumento das vulnerabilidades e ameaas, muito conhecidas actualmente em alguns

sectores de actividade, por exemplo, o sector bancrio que no pode deixar de usar as
TIC;

Escala de custos com os SI. Todas as empresas investem somas considerveis nas
suas TIC independentemente do sector de actividade onde actuam;

Potencial das TIC. H um grande potencial associado utilizao adequada das TIC
em todos os processos organizacionais desde os recursos, produo e s vendas e
apoio ao cliente.

Este standard ou modelo assenta da ideia de que o negcio determina as necessidades de

informao e esta determina as necessidades de tecnologia23.

21
Information Systems Audit and Control Association (ISACA) got its start in 1967, when a small group of
individuals with similar jobsauditing controls in the computer systems that were becoming increasingly
critical to the operations of their organizationssat down to discuss the need for a centralized source of
information and guidance in the field. In 1969, the group formalized, incorporating as the EDP Auditors
Association. In 1976 the association formed an education foundation to undertake large-scale research efforts to
expand the knowledge and value of the IT governance and control field.
22
Para os americanos o conceito de sistemas de informao inclui os circuitos de informao e as TIC. Na
Europa usa-se ainda o conceito de sistema de informao independente do de TIC.

26
 negcio

informao

planeamento e
recursos organizao
monitorizao

aquisio e
servio e implementao
suporte

muito fcil entender a lgica deste modelo, talvez seja por isso que tem tanto xito: a
estratgia e os correspondentes processos de negcio definem as necessidades de informao
bem como as condies da sua utilizao; a informao e as condies em que deve ser
tratada determinam os recursos a afectar.

As exigncias a considerar nos sistemas de informao para que possam fornecer a

informao necessria ao negcio so as seguintes:

Eficcia: a informao deve ser relevante, pertinente, entregue a tempo, correcta,

utilizvel e consistente;
Eficincia: os recursos so aproveitados de modo ptimo para a sua produo;
Confidencialidade: a informao deve ser protegida de acessos no autorizados;
Integridade: a informao deve ser completa e correcta;

23
Houve alguns tempos em que parecia o contrrio, isto , primeiro compravam-se os computadores e o
software, porque estava na moda, e depois decidia-se para que serviam. Esta viso considerada muito errada
nos nossos dias.

27
 Disponibilidade: a informao deve estar disponvel quando necessrio. Afectar
recursos que garantam a continuidade da disponibilidade;
Conformidade: Respeita as normas e exigncias legais, ou contratuais do negcio;
Fiabilidade: a informao dever ser fivel relativamente s fontes, aos circuitos e
contedos para permitir tomar deciso de qualidade.

Os recursos so tratados de uma forma abrangente, incluindo os seguintes tipos:

Dados - Sentido amplo (estruturados, no-estruturados, vdeo, som, grficos, );

Aplicaes - Procedimentos manuais e automticos;
Tecnologia - Hardware, Sistemas Operativos, Rede, Sistemas de Gesto de Base de
Dados (SGBD) ... ;
Instalaes - Recursos necessrios para alojar e suportar os SI, edifcios, ar
condicionado, energia, ;
Pessoas - Competncias necessrias para motivar, planear, organizar, adquirir,
entregar, suportar e monitorar os SI e servios associados.

Uma vez clarificados os objectivos relativos informao e os recursos a afectar este

standard considera quatro domnios da gesto das TIC desde o planeamento at a
monitorizao do seu funcionamento:

Planeamento e Organizao: Estratgia; Identificao do modo com a funo IT vai

contribuir para os objectivos do negcio;
Aquisio e Implementao: A realizao da estratgia. Identificao das solues
IT adequadas, aquisio ou desenvolvimento e integrao nos processos de negcio;
Disponibilizao e Suporte: Preocupa-se com a continuidade das operaes, a sua
segurana e o treino das equipas de TIC;
Monitorizao: Todos os processos IT necessitam de avaliao regular da sua
qualidade e conformidade com os requisitos de controlo e de negcio.

Cada um destes domnios inclui diversos processos, num total de 34, a avaliar atravs dos
nveis do CMM como j se referiu. Para cada processo IT possvel obter informao de

28
apoio auditoria muito pormenorizada a partir do Cobit-Online no site da associao
ISACA24 sobre:

Framework (enquadramento metodolgico do modelo);

Control Objectives (explicao dos objectivos de controlo);
Audit Guidelines (orientaes de auditoria);
Key Goal Indicators (indicadores chave dos objectivos de controlo a usar);
Key Performance Indicators (indicadores chave de performance);
Critical Success Factors (factores crticos de sucesso);
Maturity Models (nveis de maturidade ajustados do CMM);

O Cobit On-line est preparado para filtrar o material aplicvel a uma misso de auditoria e
fornec-lo por via electrnica.

A associao ISACA tem vindo a expandir o nmero de utilizadores em todo o mundo. Em

2005 candidataram-se mais de 20000 profissionais certificao em todo o mundo25.
Oferece actualmente dois tipos de certificao profissional com algumas exigncia de
formao continua para quem quiser manter o ttulo:

CISA - Certified Informations Systems Auditor. Obriga a exame em matrias

como Processo de Auditoria de Sistemas de Informao, Gesto, Planeamento e
Organizao dos SI, Insfraestrutura Tecnolgica e Prticas Operacionais, Proteco
de Activos de Informao, Recuperao de Desastres e Continuidade de Negcio,
Desenvolvimento de Sistemas Aplicacionais, Aquisio, Implantao e Manuteno e
Avaliao de Processos de Negcio e Gesto de Risco;

CISM - Certified Information Security Manager. Obtido com exame de

certificao sobre Gesto da segurana, Gesto de risco e Gesto de programas de
segurana da informao. Alm disso deve aderir associao ISACA, ter cinco anos
de experincia em segurana informtica e trs anos de gesto da segurana
informtica.

24
www.isaca.org naturalmente que s os membros tm acesso informao mais detalhada.

29
COSO - Committee of Sponsoring Organizations of the Treadway Commission26

O comit COSO uma organizao privada americana, foi formada inicialmente em 1985
para apoiar a National Commission on Fraudulent Financial Reporting, uma iniciativa
independente do sector privado que estudou as causas da publicao de relatrios financeiros
fraudulentos e desenvolveu recomendaes para as empresas privadas e seus auditores, para
a SEC (Stock Exchange Comission) e outros reguladores e instituies de eduo.

Esta Comisso Nacional Americana (COSO) foi patrocinada por cinco grandes associaes
profissionais dos Estados Unidos da Amrica, American Accounting Association, American
Institute of Certified Public Accountants, Financial Executives International, Institute of
Internal Auditors e National Association of Accountants (hoje Institute of Management
Accountants). A comisso funcionava independente dos patrocinadores e inclua
representantes da indstria, da contabilidade pblica, de empresas de investimento e da Bolsa
de Nova York (New York Stock Exchange).

Trata-se de um modelo global de gesto de risco empresarial que embora no seja totalmente
aplicado segurana informtica e auditoria, pode ser til no desenho do enquadramento
para a auditoria das tecnologias de informao e comunicao. A definio adoptada para
gesto de risco a seguinte:

Gesto do risco empresarial um processo, levado a efeito pelo quadro de directores de

uma entidade, gestores e outro pessoal, aplicado na definio da estratgia em toda a
empresa, desenhado para identificar potenciais acontecimentos que podem afectar a
entidade, e para gerir o risco mantendo-o em nveis aceitveis, tendo em vista oferecer
segurana razovel relativamente concretizao dos objectivos da entidade27

No entendimento do COSO, as premissas subjacentes gesto de risco empresarial so que

qualquer entidade existe para fornecer valor aos seus donos (stakeholders). Todas as

25
Consulte www.isaca.org
26
http://www.coso.org
27
O texto original o seguinte: Enterprise risk management is a process, effected by an entitys board of
directors, management and other personnel, applied in strategy setting and across the enterprise, designed to

30
entidades enfrentam incerteza, o desafio de gesto determinar quanta incerteza pretende
aceitar para ampliar o valor da empresa. A incerteza constituda em simultneo por risco e
oportunidade, com potencial para criar ou destruir valor. A gesto de risco empresarial
permite aos gestores lidar eficazmente com a incerteza e risco associado, melhorando a
capacidade de criar valor.

A gesto de risco empresarial prope:

Alinhar a apetncia por risco com as alternativas estratgicas;

Melhorar as decises de resposta ao risco;
Reduzir surpresas operacionais e perdas;
Identificar e gerir riscos mltiplos e cruzados em toda a empresa ou nos seus
departamentos;
Recolher oportunidades a partir dos eventos potenciais;
Melhorar a rentabilidade do capital.

ISO/IEC 17799:2000 - Code of Practice for Information Security Management28

Foi desenvolvido pela ISO (the International Organization for Standardization) e IEC (the
International Electrotechnical Commission) com base num standard inicial desenhado pelo
BSI (British Standard Institute).

um standard detalhado de segurana29. Est organizado em dez seces, cada uma cobre
uma rea ou tpico relevante:

Politica de Segurana

identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide
reasonable assurance regarding the achievement of entity objectives
28
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized
system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International
Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO
and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-
governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established
a joint technical committee, ISO/IEC JTC 1.
29
http://www.ansi.org/, www.bsi.gov.uk, www.iso.org

31
 Segurana Organizacional
Classificao e Controlo
Segurana Pessoal
Segurana Fsica e de Ambiente
Gesto de Comunicaes e de Operao
Controlo de Acessos
Desenvolvimento e Manuteno de Sistemas
Gesto de Continuidade de Negcio
Conformidade

Existem variadssimas entidades certificadas para avaliar a conformidade com este standard,
o facto de ter sido muito divulgado, ser bastante pormenorizado e de ter aparecido num
momento oportuno, tornaram-no bastante popular entre os profissionais de TIC.

Trata-se de um standard bastante exigente e completo como podemos verificar pelos tpicos
abrangidos em cada uma das reas ou anis de segurana no conceito que estamos a seguir:

Politica de Segurana refere-se documentao das polticas de segurana da informao

e avaliao.

Segurana Organizacional trata a gesto, coordenao e atribuio de responsabilidades na

segurana de informao. Inclui tambm a cooperao entre organizaes, riscos de acesso
por terceiros e outsourcing.

Classificao e Controlo - Inventrio de activos de informao, regras de classificao,

catalogao e movimentao de informao.

Segurana Pessoal versa a incluso de segurana de informao nas responsabilidades

funcionais, nas polticas de seleco de pessoal e condies de emprego, educao e treino
em segurana de informao. Inclui ainda o relato de incidentes, fraquezas, deficincias de
funcionamento no software bem como as consequncias disciplinares.

Segurana Fsica e de Ambiente trata da segurana fsica, especialmente controlos fsicos

de entrada em instalaes, salas e escritrios, isolamentos indispensveis e localizao.

32
Inclui tambm fornecimento de energia, segurana de cablagem, garantias e manuteno e
remoo de equipamento.

Gesto de Comunicaes e de Operao trata os procedimentos de operao, incidentes,

segregao de funes e de instalaes de desenvolvimento e operao, planeamento de
capacidade. Inclui ainda regras de backup, proteco contra vrus, intruso nas redes, gesto
e circulao de suportes de informao e documentao dos sistemas. Considera tambm a
segurana relativa a acordos de troca de software e informao, comrcio electrnico, correio
electrnico, escritrio electrnico.

Controlo de Acesso trata a poltica de controlo de acessos, registo de utilizadores, gesto de

privilgios, passwords de utilizadores, direitos de acesso. Polticas de utilizao de servios
de rede, circuitos obrigatrios, autenticao de utilizadores em ligaes externas. Inclui o
diagnstico remoto de proteco de portas, a segregao em redes, controlo de conexes de
rede, de routing e segurana de servios de rede. Trata tambm identificao automtica de
terminal, logon via terminal, uso de utilitrios de sistema, time-out de terminal e limitao de
tempo de conexo, monitorizao do uso do sistema, sincronizao de relgio, computao
mvel e teletrabalho

Desenvolvimento e Manuteno de Sistemas versa a especificao de requisitos de

segurana, validao de dados de Input, controlo de processamento interno, validao de
dados de Output, uso de controlos de criptografia, assinaturas digitais e gesto de chaves.
Inclui o controlo de software operacional, de acessos a livrarias de programas fonte e
procedimentos de alteraes de controlo. Inclui tambm a verificao tcnica de alteraes
de sistema operativo, de packages de software e outsourcing de desenvolvimento de
software

Gesto de Continuidade de Negcio refere-se ao processo de gesto, anlise de impacto,

teste, manuteno e reavaliao de planos de continuidade de negcio.

Conformidade considera a identificao de legislao aplicvel, direitos de propriedade

intelectual, salvaguarda de registos organizacionais, proteco de dados e privacidade na
informao pessoal. Inclui ainda a regulamentao de controlos de criptografia, de recolha de

33
evidncia. Trata tambm a conformidade com a poltica de segurana, os testes de
conformidade tcnica e a auditoria de controlos de sistema.

O Standard ISO/IEC 17799:2000 est em reviso e esperado para finais de 2005 a

concluso. A alterao maior ser na estrutura de controlos, para distinguir claramente entre
requisitos, orientao de implantao e posterior informao. Prev-se alguma racionalizao
e aditamento de novos controlos.

A seguir publicao da parte 2 deste Standard BS 7799-2:2002 em Setembro de 2002,

surgiu ainda um maior interesse em todo o globo com um aumento de certificaes em todo
o mundo. A parte 2 explica o que uma organizao ou um consultor precisa de fazer para
obter a certificao neste standard.

Provavelmente haver ainda no futuro uma parte 3 deste standard para melhoramento
contnuo30.

ISO/IEC TR 1333531

Foi desenvolvido pela ISO (the International Organization for Standardization) e IEC (the
International Electrotechnical Commission).

constitudo por um conjunto de orientaes genricas de gesto da segurana das TI, com 5
partes produzidas nos ltimos oito anos:

2004 - Parte 1: Conceitos e modelos para a segurana de TI

1997 - Parte 2: Gerir e planear a segurana de TI

30
Consulte a histria do Standard 7799 em http://www.gammassl.co.uk/bs7799/history.html
31
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized
system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International
Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO
and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-
governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established
a joint technical committee, ISO/IEC JTC 1.

34
 1998 - Parte 3: Tcnicas de gesto da segurana de TI
2000 - Parte 4: Seleco de proteco
2001 - Parte 5: Orientaes de gesto na segurana de redes

A parte 1 deste standard oferece uma viso de alto nvel da gesto. adequada para gestores
e para quem tem responsabilidades na segurana das TIC. Foca a ateno em conceitos e
modelos de gesto, planeamento, implantao e operaes da segurana das TIC e contm:

Definies aplicveis em todo o standard;

Descrio dos elementos de segurana mais importantes e do seu relacionamento no
mbito da segurana das TIC;
Objectivos de segurana da empresa, estratgias e polticas necessrias para tornar
efectiva a segurana das TIC;
Organizao da segurana eficaz, modelos de responsabilizao e atribuio explcita
e conhecimento das responsabilidades;

A informao fornecida pelo ISO/IEC 13335-1 pode no ser directamente aplicvel a todas
as organizaes, especialmente as mais pequenas podero no possuir todos os recursos
necessrios para executar plenamente as funes determinadas pelo standard. Nestas
situaes importante que os conceitos base sejam postos em prtica de forma adequada
sua dimenso.

A Parte 2 (ISO/IEC 13335-2 refere-se s tcnicas de gesto de risco apropriadas na

segurana das tecnologias da informao

As partes 3, 4 e 5 so documentos tcnicos. A parte 4 refere a seleco de proteces e o

modo como pode ser suportada pelo uso de controlos e como se complementa com a parte 2

A Parte 5 refere-se a orientao de gesto da segurana de redes e comunicaes para quem

for responsvel pela gesto da segurana. Esta orientao suporta a identificao e anlise
dos factores relacionados com comunicaes a ter em conta no estabelecimento da segurana
de redes.

35
ISO/IEC 1540832

Foi desenvolvido pela ISO (International Organization for Standardization) e IEC

(International Electrotechnical Commission).

ISO/IEC 15408 consiste nas seguintes partes subordinadas ao ttulo geral de Tecnologias de
Informao Tcnicas de Segurana Critrios de avaliao da segurana das TI:

Parte 1: Introduo e modelo geral - define conceitos gerais e princpios do modelo

geral de avaliao tambm apresenta objectivos de segurana para seleco de
requisitos;

Parte 2: Requisitos funcionais de segurana - estabelece um conjunto de componentes

funcionais como meio de exprimir requisitos funcionais catalogados em famlias e
classes;

Parte 3: Requisitos de certificao de segurana - estabelece um conjunto de

componentes de certificao com critrios de avaliao e escalas para nivelar;

Este standard pouco utilizado entre ns. O esquema de conceitos e relacionamento deste
standard pode ilustrar-se da seguinte forma:

32
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized
system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International
Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO
and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-
governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established
a joint technical committee, ISO/IEC JTC 1.

36
 Esquema de conceitos usado no standard
ISO/IEC 15408
Donos

Contramedidas

Vulnerabilidades

Agentes de ameaa Risco

Ameaas Activos

ISO/IEC 21827:2002(E)33

Foi desenvolvido pela ISO (the International Organization for Standardization) e IEC (the
International Electrotechnical Commission).

Trata-se de um standard de avaliao de maturidade dos sistemas de segurana: Tecnologias

de Informao Engenharia de Sistemas de Segurana Capability Maturity Model (SSE-
CMM).

33
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized
system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International
Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO
and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-
governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established
a joint technical committee, ISO/IEC JTC 1.

37
O modelo considera seis nveis de maturidade que vo desde a no existncia de segurana
at ao nvel mais elevado quando o sistema est plenamente seguro e optimizado:

0 No existente
1 Inicial ou ad hoc
2 Repetvel mas intuitivo
3 Processo definido
4 Gerido e mensurvel
5 Optimizado

Um vasto nmero de entidades pratica a engenharia de segurana no desenvolvimento de

software de sistemas operativos, gerindo e reforando as funes de proteco. So
necessrios mtodos adequados e boas prticas de referncia.

O SSE-CMM um modelo de referncia de processo. Foca-se nos requisitos para

implantar a segurana num sistema ou srie de sistemas de Tecnologias de Informao. Pode
sugerir um processo especfico para uma organizao em particular.

O seu mbito considera:

A engenharia das actividades do sistema de segurana para um produto seguro ou um

sistema de confiana, tratando o ciclo de vida completo desde a definio do
conceito, anlise de requisitos, desenho, desenvolvimento, integrao, instalao e
operao, manuteno e desactivao;

Requisitos para programadores de software, programadores de sistemas seguros e

integradores, organizaes que forneam servios de segurana de computadores ou
construo de computadores;

Aplica-se a todos os tipos e tamanhos de organizaes de engenharia de segurana,

comerciais ou estatais

38
ITIL34

Foi produzido pelo Office of Government Commerce (OGC) um servio com autonomia
funcional inserido no Ministrio das Finanas do Reino Unido que reporta ao Chief
Secretary to the Treasury.

O ITIL um conjunto de boas prticas em gesto de TI, desenvolvido pelo OGC e

sustentado em publicaes, certificados de qualificao e por um grupo de utilizadores
internacionais.

Pretende apoiar as organizaes no desenvolvimento de um framework para ajudar gestores

de outsourcing a controlar a qualidade e os custos. O ITIL destina-se a fornecedores de
servios de TI, directores de TI e CIOS (Chief Information Officers), gestores, clientes e
utilizadores finais.

Os seus promotores dizem que o ITIL oferece uma aproximao sistemtica e profissional
gesto das TI que permite reduzir custos, melhorar os servios de TI devido ao uso das
melhores prticas nos processos, melhorar a satisfao dos clientes, orientar, estandardizar e
melhorar a produtividade entre outras vantagens.

A aplicao deste standard a todos os processos internos de uma organizao obriga a

combinar diferentes tipos de informao, desde o inventrio da infraestrutura, o impacto das
ocorrncias tecnolgicas nos servios e processos de negcio, at reiterao de ocorrncias
associadas a um determinado componente. O ITIL suporta a maior parte dos processos
tratados no COBIT. Distribui-se por oito documentos principais:

Servios e apoio
Servios de disponibilizao
Planeamento de implantao da gesto do servio
Gesto de aplicaes
Gesto de infra-estruturas de TIC
Gesto da segurana
Gesto dos activos de software

34
Para obter mais informao consulte http://www.ogc.gov.uk e http://www.itil.co.uk

39
 Perspectiva de negcio: A abordagem dos sistemas de informao na
disponibilizao de servios ao negcio

Esto previstos trs nveis de certificao profissional no esquema do ITIL:

Foundation Certificate Certificado em Fundamentos de Gesto de Servios TI.

Oferece um nvel basilar de conhecimento em gesto TI e destinado a todos os
profissionais que pretendem estar familiarizados com as melhores prticas ITIL.
Teste de uma hora realizado em papel ou via Web, consistindo em quarenta perguntas
com resposta de escolha mltipla. No requer qualquer certificao prvia;

Practitioners Certificate Certificado de Praticantes em Gesto de Servios de TI.

Destinado a todos os profissionais com responsabilidades pelo desenho de processos
relativos gesto de TI. O exame consiste em dois testes de trs horas. Os
examinandos devem j possuir o Certificado em Fundamentos de Gesto de Servios
TI.;

Managers Certificate Certificado de Gestores em Gesto de Servios de TI.

Destina-se aos profissionais que gerem as TI. Certificado de Gestores em Gesto de
Servios de TI. O exame consiste em dois testes de trs horas. Os examinandos
devem j possuir o Certificado em Fundamentos de Gesto de Servios TI.

A certificao ITIL, tal como noutros standards garante que os seus detentores so
tecnicamente qualificados para usar as melhores prticas ITIL. A certificao atribuda por
um grupo de certificao constitudo por representantes do prprio OGC, do itSMF e vrios
institutos examinadores. Actualmente, os institutos que oferecem formao profissional so:

ISEB (The Information Systems Examination Board), uma subsidiria da British

Computer Society;
ISEB ITIL Service Management training;
ISEB ITIL Infrastructure Management training;
EXIN - the Examination Institute for Information Science in the Netherlands;
EXIN accredited trainers.

40
O OGC trabalhou em ligao com o BSI (British Standard Institute) e itSMF (IT Service
Management Forum )35 na elaborao da sua documentao de modo a que o BSI
Management Overview (PD0005), BS15000-1 (especificaes para gesto de servios),
BS15000-2 (cdigo de prtica para a gesto de servios) e os documentos ITIL faam parte
de uma estrutura lgica. O documento BSI Management Overview serve como uma
introduo de gesto aos guias detalhados ITIL36

O BS15000 consiste em duas partes:

BS15000-1 com 10 seces: mbito, termos e definies, requisitos para um sistema

de gesto, plano e implantao do servio de gesto, planeamento e implantao de
novos servios ou servios modificados, processos de disponibilizao de servios,
processos de relacionamento, processos de resoluo, processos de controlo e
processos de desafectao;

BS15000-2 oferece assistncia s organizaes que esperam ser auditadas contra o

standard BS15000-1 ou planeiam melhorar os servios.

NIST 800-1437

Esta norma foi produzida pelo National Institute of Standards and Technology - Technology
Administration - U.S. Department of Commerce. Foi-lhe atribuda a designao Generally
Accepted Principles and Practices for Securing Information Technology Systems.

Este standard aborda os princpios e prticas, bem como os relacionamentos entre princpios.
Tem preocupaes com a audincia e terminologia a usar nos princpios de segurana de

35
A itSMF - IT Service Management Forum - uma organizao independente e sem fins lucrativos, que rene cerca de 3 mil
organizaes em todo o mundo nos sectores das Tecnologias de Informao, Administrao Pblica, Retalho, Banca, Telecomunicaes e
Grande consumo. Em Portugal desde 2003, esta organizao representa um importante passo no processo de desenvolvimento e promoo
dos standards e Melhores Prticas nos Servios de Gesto de TI. Consulte http://www.itsmf.pt/
36
Para mais informao sobre o BS15000 visite http://www.bs15000.org.uk/index.htm
37
NIST = National Institute of Standards and Technology - Technology Administration - U.S. Department of Commerce. Generally
Accepted Principles and Practices for Securing Information Technology Systems

41
sistemas geralmente aceites. Trata-se de um documento com intenes semelhante aos
princpios contabilsticos ou de auditoria geralmente aceites.

Sustenta que a segurana dos computadores suporta a misso da organizao e um

elemento integral da gesto slida moderna. As responsabilidades devem ser tornadas
explcitas e avaliadas regularmente de forma integrada e compreensiva tendo em conta que a
segurana muito influenciada actualmente por factores sociais. H quem crie problemas de
segurana nas redes pelo prazer de conseguir fazer algo difcil!

As polticas so um aspecto chave, tal como a gesto do risco, identificao de ameaas e a

sua mitigao. A segurana vista como um processo que deve ser controlado desde a fase
de planeamento fase de monitorizao, tal como se faz no Cobit.

O standard NIST trata ainda de diversos domnios comuns como a gesto de utilizadores,
contingncia, recuperao de desastres com cenrios alternativos hipotticos, gesto de
incidentes, treino dos utilizadores, identificao, autenticao e gesto de passwords e
encriptao. O Audit Trail tambm uma preocupao saliente do standard,

OECD's Guidelines for the Security of Information Systems

A OCDE procurou intervir nas questes emergentes de insegurana decorrentes da adopo

generalizada das TIC. Publicou as seguintes recomendaes:

Responsabilizao (Accountability) As responsabilidades e a responsabilizao de

proprietrios, fornecedores e utilizadores de sistemas de Informao e outras partes
devem ser explcitas;

Preveno (Awareness) - Proprietrios, fornecedores e utilizadores devem estar alinhados

quanto antes, com a manuteno da segurana, para obterem conhecimento apropriado e
estarem informados sobre a existncia e extenso geral de medidas para a segurana de
sistemas de informao;

42
Etica (Ethics) Os sistemas de informao e a segurana dos sistemas de informao devem
ser disponibilizados e usados de modo a respeitar os direitos e interesses legtimos dos
outros.

Multidisciplinariedade (Multidisciplinary) As medidas, prticas e procedimentos para a

segurana dos sistemas de informao devem mencionar e ter em conta todos as
consideraes e pontos de vista

Proporcionalidade (Proportionality) Nveis de Segurana, custos, medidas, prticas e

procedimentos devem ser adequados e proporcionais ao valor e ao grau de fiabilidade dos
sistemas de informao e severidade, probabilidade e extenso dos danos potenciais

Integrao (Integration) Medidas, prticas e procedimentos para a Segurana dos sistemas

de Informao devem ser coordenadas e integradas entre si e com outras medidas, prticas e
procedimentos da organizao de modo a criar um sistema de segurana coerente

Oportunidade (Timeliness) As partes pblicas e privadas ao nvel nacional e internacional,

devem actuar de modo oportuno e coordenado para prevenir e responder s brechas na
segurana dos sistemas de informao.

Reavaliao (Reassessment) A segurana dos sistemas de informao deve ser reavaliada

periodicamente, medida que os sistemas de informao e requisitos de segurana variam ao
longo do tempo.

Democracia (Democracy) A Segurana dos sistemas de Informao deve ser compatvel

com o uso legtimo de fluxos de dados e informao numa sociedade democrtica.

TickIT38

O programa TickIT foi criado pelo governo do Reino Unido para assegurar um mtodo de
registo do desenvolvimento de software baseado no standard ISO 9000-3. O esquema foi
desenvolvido conjuntamente pelo United Kingdom Department of Trade and Industry (DTI)
e British Computer Society.

38
" #$
"% % % $
%&'( %) *
+%,)-% . #% .%/ +
% %01%12 3
%

43
O standard TickIT mantido e gerido por um Departamento dentro do BSI Standards
(British Standards Institute), um departamento com responsabilidades por todos os aspectos
de standardizao de sistemas de informao e comunicaes.

O grande propsito do TickIT, suportado pela indstria de software do Reino Unido e

tambm da Sucia, estimular os programadores de software de sistema a pensar e aceitar:

Que a qualidade existe no contexto dos processos de desenvolvimento de software;

Que pode ser conseguida a qualidade;
Que podemos melhorar continuamente os sistemas da gesto da qualidade.

Embora seja exigida a certificao na ISO 9001 aos fornecedores de software de sistemas,
em certas reas do mercado justificam-se maiores preocupaes de qualidade. Relativamente
certificao neste standard, so objectivos da indstria:

Melhorar a confiana em sistemas de terceiros atravs de esquemas de certificao no

sector do software;
Melhorar as prticas profissionais entre os auditores de sistemas de gesto da
qualidade no sector do software;
Publicar orientaes para todos os interessados.

44
Bibliografia

SOBEL, Paul J.; Auditor'

s Risk Management Guide: Integrating Auditing & ERM 2005
Edition

HUNTON, James E. & BRYANT, Stephanie M. & BAGRANOFF, Nancy A.; Core
Concepts of Information Technology Auditing

HALL, James A. (2000); Information Systems Auditing and Assurance, South-Western;

WEBER (1999); Information Systems Control and Audit;

KRIST (1999); A Standard for Auditing Computer Applications;

IT Governance Institute; Governance of the Extended Enterprise: Bridging Business & IT

Strategies

HILES, Andrew; Enterprise Risk Assessment and Business Impact Analysis

HICKMAN; Practical IT Auditing;

MONTEIRO, Edmundo & Boavida, Fernando; Engenharia de Redes Informticas, 3 edio,

FCA, ISBN 972-722-203-X

Handbook of International Auditing, Assurance, and Ethics Pronouncements, 2005 Edition;

International Federation of Accountants

International Standards on Information Systems

45
Locais a visitar na Internet

http://www.oit.nsw.gov.au/content/2.3.16-Security-Pt1.asp -
.NET Development (General)
ADO Code Examples in Microsoft Visual Basic
ASP diversos
Extensible Markup Language (XML)
Extensible Markup Language Version 1.0 Part I Syntax
HTML com registos
MSN
Open and Close Methods Example (VB)
WDVL PHP - Aprender
XML.com XML From the Inside Out -- XML development, XML resources, XML
specifications
ACTIVE Information - ISO 9000 Compliance Checklists - ISO 9000 Software
Assinatura electrnica
British Standards Institution
BS 7799 Taxonomy of Reference Documents
BS7799 Taxonomy - Queries
BSI-DISC website for BS 7799
Buy Products -- Customer Profile
Certipor - Sociedade Portuguesa de Certificados Digitais, S.A.
Cisco Secure PIX Firewall FTP Vulnerability
Como Funciona o PGP
Direct Hit Web Search network security
Ecora
Global Information Assurance Certification
Guide to Enabling Secure Payment Processing on Your Site
Hackers
ICSA 2000 WE SECURE THE WEB !
MCSE Braindumps, all you'
ll ever need to get certified!

46
Microsoft TechNet Security
Net Detective people search utility software- HDP Corporate Website
Network Associates Downloads - Updates
Network Associates Products - NAI Survey
NIST Computer Security Special Publications
O Lado Negro da WEB - Tecnologia e Extras
SANS Resources - The Twenty Most Critical Internet Security Vulnerabilities (Updated)
SecurityFocus
Seguritec Lda
The ITIL Toolkit
Vigias - The Web Information Company
VNC - Virtual Network Computing from AT&T Laboratories Cambridge
What is firewall
whatis.com
Windows 2000 Security Technical Overview [Microsoft Windows 2000 Server, security,
distributed security services, authenticat
ACL para Windows
ANACOM - Autoridade Nacional de Comunicaes
Audit Methodology
Auditing & Fraud Examination
Auditoria Informtica - BS 7799 Popular Products
COSO
ecommerce - Novo
EDI
EESSI-Assinatura Electrnica
EUROPA - MISSOC - Comparative Tables on Social Protection in the Member States
FEE Homepage - English
Guideline Menu - NSW Department of Commerce da Australia
History of BS 7799
IASB - International Accounting Standards Board
IASPlus Home Page - News about International Financial Reporting
IFAC - The International Federation of Accountants

47
INTOSAI EDP Directory
ISACA Chapter Seminar Schedule by Location
ISO 17799 - The Information Directory for ISO17799
NetDetective 7.0
Office of the Auditor General of Canada - Bureau du vrificateur gnral du Canada
Pleier Corporation - ADM PLUS Audit Management System, CD-DVD production, Web
design, multimedia.
PowerPoint in the Classroom
Rational Unified Process - Metodologia
Regras AntiSPAM - Pathway Communications
RIA -- Handbook of IT
SCRIPTS VMware -- Virtual Computing Throughout the Enterprise
Spam Remedy
SPAMM Pew Internet & American Life Project
Spreadshet Templates
Symantec Security Response - W32.Klez Removal Tool
The United States General Accounting Office
UK National Audit Office home page
What is monte carlo simulation
Win32 Scripting.... Everything you need to get up and running
Word of Mouth Connection - A Background Research Tool

48