Segurança de Sistemas: A Spot Light - Parte I
Por Denis Augusto
Introdução
Este artigo está dividido em duas partes. A primeira parte tem a finalidade de guiar o leitor nos passos inicias para entender o universo que envolve a Segurança da Informação. Abordaremos as questões contidas no uso de produtos "Open Source" (código-aberto), conheceremos os pontos que devem ser analisados para tornar uma informação segura, veremos algumas certificações disponíveis para um profissional da área de Segurança da Informação e conheceremos o que a Microsoft fez para tornar seus produtos mais seguros.
Na segunda parte veremos as normas e estudaremos uma certificação com um destaque especial. Esta certificação dá uma visão importante do fluxo e da gestão de processos dentro de uma organização e é importante para quem visa cargos de níveis gerenciais.
Aspectos Iniciais
Segundo Sandresa Carvalho, do Jornal A Gazeta, o Núcleo de Repressão Contra Crimes Eletrônicos (Nureccel), registrou 172 ocorrências de crimes eletrônicos no ano de 2005, contra 106 em 2004. Isto mostra um crescimento de 62,26%. Outros dados assustadores são revelados pela Federação Brasileira de Bancos (Febraban) apontando para a cifra de mais de 300 milhões de reais em fraudes eletrônicas durante o ano de 2005.
Os informativos estatísticos de 2005 não param por aí. O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) registrou uma elevação das fraudes bancárias e financeiras, fazendo com que este tipo de ataque representasse 40% do total dos incidentes. Isto é um crescimento de 579% em relação ao ano de 2004. Este crescimento deixa as fraudes bancárias e financeiras em primeiro lugar quando comparadas com todos os incidentes relatados no ano de 2005.
As estatísticas são assustadoras e a tendência é termos uma elevação destes números. Certamente que tornar a informação segura não é, não foi e nunca será uma tarefa simples. Lembrando eventos históricos, vemos casos de criptografia de informações em quadros antigos, na escrita e até em índios dialogando em transmissões de rádio na Segunda Grande Guerra para guardar as informações norte-americanas dos nazistas. Quem tiver como meta de carreira cuidar da segurança da informação deverá elaborar um estudo constante, muita dedicação, compromisso, profissionalismo e ética profissional adequada à informação protegida.
Não importando a forma ou a velocidade com que a tecnologia, o hardware ou o software evoluem teremos sempre a segurança da informação baseada em três pilares ou princípios: integridade, confidencialidade e disponibilidade da informação.
Quando falamos de integridade estamos assegurando que apenas as pessoas autorizadas possam fazer alterações na forma e no conteúdo da informação, assim como no ambiente no qual ela é armazenada ou transportada. A informação deve ser precisa, sem impactos causados por terceiros ou eventualidades. Já a confidencialidade garante que as informações devem ser acessadas, lidas e modificadas somente por aqueles indivíduos que possuem permissão para tal e a disponibilidade garante que a informação está disponível para as pessoas autorizadas a qualquer momento.
Podemos, por exemplo, garantir a integridade da informação nomeando um grupo seleto de pessoas pertencentes à equipe de TI e designar este grupo para a manutenção do hardware, da estrutura física da rede de computadores e do link Internet. Além disto, podemos também nomear um membro da empresa para classificar e definir a importância da informação (sigilosa, pública etc).
Um método para garantir a confidencialidade é criar grupos de acesso e inserir nestes grupos somente os usuários autorizados. Cada grupo de acesso pode pertencer a uma informação e o controle dos membros destes grupos deve ser feito somente pelo proprietário da informação (funcionário capacitado para gerir a informação, por exemplo, o Gerente de Projeto).
Já a disponibilidade pode ser feita com projetos que previnam:
Falha em discos rígidos (RAID 1, RAID 5 etc);
Paralisação por defeitos em firewalls, roteadores ou servidores;
Backups eficientes com testes de recuperação e redundância de links Internet.
Olhando cuidadosamente estes temas visualizaremos vários pontos de falhas nas empresas. Isto acontece geralmente por três motivos: ausência de um Plano de Recuperação de Desastres (PRD), por incapacidade monetária ou inexistência de controles de processos. Um projeto pode ser totalmente afetado sem a presença de processos ou de mecanismos para o seu controle. Um ambiente sem a presença de processos é como um sistema de backup sem verificações de funcionamento ou sem rotinas de testes de recuperação. Antes de projetar soluções que contemplem a proteção da informação devemos nos perguntar:
"Quanto vale a informação a ser protegida?"
Quanto vale para a organização ficar 24h sem link Internet ou sem o servidor de arquivos? Esta é uma questão crítica e indispensável ao planejamento de todo o responsável pela área de Segurança da Informação.
Garantir os três pilares que conduzem a Segurança da Informação é uma tarefa complexa e devemos sempre ter em mente que as informações de maior valor para a empresa são encontradas em diversas formas e locais: papéis, meios digitais, reuniões, conversas telefônicas, elevadores, corredores e na mente dos membros da empresa. Proteger a informação é proteger o meio onde ela se encontra associado a todas as suas formas de armazenamento e representação.
Segundo Kevin Mitnick, um dos hackers mais famosos da atualidade, nem um computador desligado está seguro, pois com o uso da engenharia social poderemos conduzir uma pessoa a ligá-lo. Mas o que é engenharia social? Podemos dizer que engenharia social é a arte de obter informações sigilosas explorando as "falhas de segurança" do ser humano.
Vemos ataques de engenharia social não só no mundo computacional, mas também no mundo real. Podemos estar diante de um ataque usando engenharia social quando recebemos um telefonema de uma suposta funcionária ligada a uma empresa qualquer para atualização de dados cadastrais.
Existem casos de hacker que entram na empresa e observam o seu funcionamento para verificar como é o relacionamento entre os funcionários e tentar agir de forma semelhante para obter a informação desejada.
Imagine o caso de um diretor que grita desesperadamente com uma secretária para obter uma informação qualquer. Isto pode revelar a um observador externo que muitas tarefas na empresa são "obtidas no grito" e que por telefone esta técnica pode ser útil.
Nunca devemos esquecer que segurança é um conjunto de atividades unidas direcionando o caminho a seguir. Não adianta gastar milhares de dólares em equipamentos, salas cofre, sistemas de biometria ou câmeras de segurança se o fator humano pode ser facilmente afetado e iludido a fornecer uma senha qualquer. Devemos sempre investir em treinamento que conduzam os membros de uma empresa a uma conduta segura, a não deixar informações importantes em suas mesas, embaixo de teclados, coladas no monitor ou a destruir tal informação antes de jogá-la no lixo.
São atitudes simples, mas que fazem à diferença. Acredito que hoje um dos maiores obstáculos do responsável pela segurança empresarial é modificar os hábitos dos usuários. É extremamente importante mostrar que eles representam uma parte crucial da segurança empresarial.
Hoje vivemos na era em que um vírus pode chegar a vários continentes e afetar centenas de computadores em segundos. Este cenário inspirou a Microsoft a mudar a metodologia de elaboração de seus produtos e treinar seus funcionários para centrar seus desenvolvimentos no conceito chamado de Trustworthy Computing. Este conceito foi lançado em janeiro de 2002 e se apóia na Segurança, na Privacidade e na Confiabilidade fazendo com que tenhamos produtos finais com as características:
Seguro por Design. Políticas de segurança são usadas no desenho e desenvolvimento dos produtos, envolvendo treinamento obrigatório para a criação de código seguro, revisão de códigos e testes de penetração, uso de ferramentas automáticas para diagnóstico e arquitetura projetada para maximizar a resistência do software;
Seguro por Padrão. Foi maximizada a segurança nas configurações predeterminadas dos softwares fornecidos. Para reduzir os riscos de ataques, a Microsoft mudou as configurações default de maneira que vários parâmetros de serviço não estejam ativados após a instalação, sendo necessária uma intervenção direta para permitir o uso destes recursos;
Seguro na Distribuição. Ferramentas de segurança são providas gratuitamente para auxiliar no monitoramento, na identificação de vulnerabilidades e na atualização de produtos.
Com estas iniciativas foram obtidos vários pontos positivos. Um deles foi a redução significativa do número de correções após a data de lançamento do produto. Como exemplo, vamos comparar o Windows 2003 Server com o Windows 2000 Server:
Vulnerabilidades Críticas |
Após 90 dias |
Após 150 dias |
|---|---|---|
|
|
9 |
17 |
|
|
3 |
4 |
.png "Cc668434.ASpotLight_001(pt-br,TechNet.10).png")
.png "Cc668434.ASpotLight_002(pt-br,TechNet.10).png")
Veja que a diferença é bastante significativa. Fazendo uma análise mais ampla, observe os dados publicados pelo Secunia (http://www.secunia.com) durante o período de 31/12/2004 a 29/03/2005:
Aplicação/Produto |
Alertas de Segurança |
|---|---|
Internet Explorer |
6 |
Firefox |
18 |
Família Windows |
10 |
Sun |
13 |
Red Hat |
56 |
Debian |
79 |
Mandrake |
213 |
Veja que a quantidade de alertas para correções de vulnerabilidades dos produtos que compõem toda a família Windows (Windows 9x, XP, 2000 e 2003) foram menores do que os demais produtos e o Internet Explorer demonstrou menos da metade das correções vistas em seu concorrente.
Assim como fez a Microsoft, estude e modifique o que é necessário para reduzir os pontos de vulnerabilidades nos produtos, nas equipes ou onde for.
Torna-se necessário chamar a atenção do leitor para algumas questões muito importantes. Vamos desvendar alguns mitos, lendas e alertas do mundo computacional.
Mitos, Lendas e Alertas
Uma das lendas mais freqüentes que encontramos está centrada na afirmativa: um "sistema operacional open source é mais seguro do que um sistema operacional proprietário". Vamos trabalhar melhor este tema. Deve ficar bem claro que é o Gerente de Segurança, o Administrador ou Engenheiro de Redes que deixa um ambiente computacional seguro ou não. Um ambiente só encontra seu grau de segurança elevado quando se reduz a sua Superfície de Ataque.
Chamaremos de Superfície de Ataque toda a área exposta a acessos que possui ou poderá possuir vulnerabilidades. Cabe ao responsável pela segurança calcular os riscos envolvidos, conhecer, definir e reduzir esta superfície de acordo com o valor da informação. Não adianta ter o melhor sistema operacional do mundo se não sabemos configurá-lo ou gerenciá-lo para reduzir suas vulnerabilidades. Isto é feito removendo serviços desnecessários, elaborando atualizações, estabelecendo políticas de segurança, testes de ataque, análise de risco, padronizando sistemas operacionais, planos de continuidade de negócio, treinando funcionários e contratando profissionais capacitados.
Um mito que vale ser analisado é a atualização de componentes de hardware e software pertencente a um firewall. O processo de atualização dos componentes que representam o hardware de um sistema de firewall (memória, disco rígido, processador etc) deve ser avaliado de acordo com a demanda de acessos e requisições. Para isto poderemos, por exemplo, fazer uso de várias ferramentas baseadas em consultas a agentes snmp, que representarão de forma gráfica a informação desejada para um melhor estudo.
Quanto à atualização de software, a resposta é simples: devemos fazer sempre que possível. Imagine o caso de um firewall sem atualizações que tem 15 anos de existência. Podemos dizer que grande parte de suas vulnerabilidades já são bem conhecidas por diversas comunidades de atacantes. Quando falamos de atualização de software, devemos pensar não só no firewall, mas também nos roteadores, servidores e computadores definidos para os usuários da organização. Lembre-se que tudo isto representa o ambiente por onde circula e reside a informação.
Cabe aqui um alerta. Como atualizar de forma segura os servidores ou os computadores dos usuários? Primeiramente é indispensável o uso de um ambiente de testes para aplicar as correções e obserear o comportamento do sistema operacional e de suas aplicações. Em muitas empresas por questões de custo um ambiente com computadores de testes nem sempre pode ser usado. Para estes casos podemos fazer uso de produtos como o Microsoft Virtual PC para a criação de máquinas virtuais que usarão um único hardware. Assim, podemos ter um computador com Windows XP nativos e simultaneamente várias máquinas virtuais com Windows 2003 Server, Windows 2000 ou outro Windows XP.
Tente automatizar tarefas sempre que possível. O processo de atualização é sempre cansativo se for feito manualmente. A Microsoft possui excelentes ferramentas para isto. Veja a quantidade de tarefas, recursos e relatórios que podemos encontrar com o uso do SMS-Systems Management Server ou do WSUS-Windows Server Update Services (gratuito).
Vamos analisar agora o que podemos encontrar para melhorar o conhecimento de um profissional quanto às opções de certificação. Encontraremos opções para todos os gostos e preços.
Certificações
Os profissionais que desejarem obter certificações na área de segurança podem optar por vários caminhos, mas quais os benefícios, qual o motivo que leva um profissional a ter uma certificação? A resposta é simples: devemos sempre ver a certificação como um método para melhoria profissional e não como alavanca para impulsos salariais. A melhoria salarial vem naturalmente e não deve ser vista como o combustível que incentiva a certificação. Para melhor exemplificar, veremos nas linhas seguintes algumas das certificações conhecidas no mercado separadas por profissão. Lembrando que esta é uma visão resumida, pois precisaria de um artigo para descrever em detalhes cada certificação:
Administrador de Segurança/Analista de Segurança de Sistemas
Vou mostrar abaixo os caminhos a seguir e logo em seguida veremos maiores detalhes sobre cada certificação.
.png "Cc668434.ASpotLight_003(pt-br,TechNet.10).png")
Existem várias formas de se obter as habilidades para este cargo. Vamos à primeira opção. Para quem trabalha a mais de 2 anos com Segurança de Redes de Computadores recomendo iniciar pela certificação Security+ da CompTIA pois auxilia na eliminação de requerimentos para a especialização em segurança da Microsoft. Desta forma teremos quatro exames a efetuar para MCSA Security (Microsoft Certified Systems Administrator Security) e o resultado final é a composição de duas certificações.
Se o candidato possui mais de um ano trabalhando na área de segurança da informação pode-se elaborar a prova para SSCP (Systems Security Certified Practitioner) da (ISC)2. Esta certificação é bem completa em conhecimentos e prepara para diversas atividades. Entretanto, indico primeiramente a associação como membro da organização (ISC)2 para facilitar estudos, contatos etc.
Para os casos onde o candidato possui menos de um ano de trabalho na área de segurança da informação ele poderá elaborar as cinco provas para a certificação MCSA Security. Neste caso a melhor indicação é elaborar os cursos preparatórios Microsoft acompanhados de livros referentes a cada prova escolhida.
Cada certificação possui conhecimentos importantes e conduzem a um profissional mais completo. Certificações Microsoft concebem um conhecimento profundo dos produtos oferecidos pela Microsoft e sabemos que estes produtos são adotados em praticamente todas as partes do globo. As certificações SSCP e Security+ apresentam o universo da segurança de dados e conduzem a um conhecimento mais geral. Vejamos mais detalhes sobre as certificações faladas:
CompTIA/Security+. A certificação Security+ destina-se aos profissionais com 2 anos ou mais de atividades na área de Segurança de Redes de Computadores. Esta certificação é considerada eletiva ou preparatória para várias outras certificações no mercado. Para obtê-la deve-se ter a pontuação mínima em um exame de certificação fornecido pelo CompTIA. No final do ano de 2005 a CompTIA registrou mais de 20.000 profissionais com esta certificação. Acredito que é um bom caminho para iniciar os estudos.
Microsoft/MCSA Security - A certificação MCSE Security (Microsoft Certified Systems Administrator) é oferecida pela Microsoft e destina-se a todos que desejam ocupar o cargo de Administrador de Sistemas com especialização em segurança. São necessários 5 exames para obter esta certificação.
(ISC)2/SSCP-Systems Security Certified Practitioner. Esta certificação é mais indicada para profissionais que já atuam ou desejam atuar em cargos como Engenheiro de Segurança de Redes, Analista de Segurança de Sistemas ou Administrador de Segurança. O candidato a esta certificação deverá passar no exame de avaliação, comprovar experiência profissional em pelo menos 1 ano trabalhando com segurança da informação em uma das 7 áreas definidas e obedecer ao código de ética do (ICS)2.
A experiência informada deverá ser confirmada por um profissional que tenha uma credencial (ISC)2 ou por um profissional credenciado que comprove (um gerente na corporação onde o profissional atua, por exemplo). Para manter esta certificação deve-se a cada 3 anos acumular um total de 60 horas de atividades que envolvam a segurança da informação: palestras, cursos, publicação de artigos ou participação em trabalho voluntário nos grupos de estudo da (ISC)2.
Áreas de conhecimento definidas para esta certificação: Controle de Acesso, Administração, Auditoria e Monitoramento, Criptografia, Comunicação de Dados, Código Malicioso/Malware, Risco, Resposta e Recuperação.
Engenheiro de Sistemas
.gif "Cc668434.ASpotLight_004(pt-br,TechNet.10).gif")
Os caminhos traçados aqui são bem semelhantes aos caminhos de um Administrador de Segurança. A única diferença é que temos mais provas para a certificação Microsoft MCSE Security. O caminho que indico aqui é começar por Security+ e seguir para MCSA Security e MCSE Security. Vejamos maiores detalhes sobre a certificação MCSE Security:
Microsoft/MCSE Security - Esta certificação concedida pela Microsoft permite orientar o profissional a tornar-se um Engenheiro de Sistemas (Microsoft Certified System Engineer) habilitado a atuar na área de segurança para produtos Microsoft. São requeridos 8 exames para obter esta certificação.
Nota: Indico fazer a prova para SSCP só depois de concluída as demais certificações para o cargo de Engenheiro de Sistemas.
Auditor de Sistemas de Informação
.gif "Cc668434.ASpotLight_005(pt-br,TechNet.10).gif")
Não se engane com esta certificação internacional da ISACA(Information Systems Audit and Control Association). Devemos ter no mínimo 5 anos de experiência trabalhando com segurança da informação ou como auditor de sistemas. A dúvida clássica aqui se refere a "O que faz este auditor?". Este profissional é especializado em encontrar provas de ações específicas em ambientes computacionais. Para isto são usadas técnicas especiais e ferramentas que auxiliam na descoberta de provas criminais, por exemplo.
Uma técnica muito usada para isto é a Perícia Forense (http://www.istf.com.br/vb/forumdisplay.php?f=112) que auxilia na investigação, análise de logs, recuperação de dados, levantamento de evidências e preservação da cena do crime. Esta é uma profissão que será bastante exigida com o crescimento da segurança da informação. O conhecimento exigido para esta prova é vasto e deve receber atenção especial. Vamos conhecer um pouco mais sobre esta certificação:
- ISACA/CISA - Certified Information System Auditor. É a principal certificação do ISACA. Desde 1978, o exame CISA mensura a excelência nas áreas de auditoria, controle e segurança de TI. A CISA cresceu ao ponto de ser reconhecida globalmente e adotada por todo o mundo como símbolo de sucesso. Somente no ano de 2002 foram registrados mais de 29.000 CISAs ao redor do mundo e mais de 10.000 profissionais passaram pelo exame CISA. Até o ano de 2005 os dados eram de 44.000 profissionais CISA. Para obter esta certificação são necessários 5 anos de experiência como profissional atuando em auditoria, controle ou segurança da informação. Além disto, deve-se ser aprovado no exame de certificação, aderir às práticas e regras para a auditoria de sistemas e obedecer ao código de ética definido pela ISACA. O profissional deve participar do programa de educação continuada para renovar a certificação a cada 5 anos.
Diretor de Segurança da Informação
.gif "Cc668434.ASpotLight_006(pt-br,TechNet.10).gif")
O cargo de Diretor ou Executivo de Segurança da Informação requer um profissional mais maduro e experiente que saiba analisar todas as etapas dentro da organização. Tais etapas podem estar ligadas à gestão de risco, legislação, normas, políticas de segurança, gestão em continuidade de negócio, controle de acesso, criptografia, sistemas de firewalls, auditorias e muito mais. Este executivo deve ter fluência para percorre todas as áreas da empresa.
Aponto aqui duas certificações internacionais e uma nacional. Todas elas abordam temas importantes. Minha indicação pessoal aqui seria MCSO e depois CISSP, mas cabe uma avaliação para cada caso:
ISACA/CISM - Certified Information Security Manager. Esta certificação internacional é direcionada aos profissionais que desejam trabalhar com o gerenciamento ou com o projeto de Segurança da Informação. Para obtê-la o candidato deverá estar de acordo com o Código Professional de Ética adotado pelo ISACA, comprovar experiência de 3 anos trabalhando com segurança da informação em 3 ou mais áreas definidas pelo ISACA e é claro passar no exame de certificação. A certificação CISM é válida por 3 anos, mas a cada ano deve-se enviar um relatório comprobatório de estudos/atividades na área de segurança da informação. As atividades contidas neste relatório contribuirão com pontos necessários para a renovação da certificação.
As áreas definidas para a atuação de um profissional CISM no mercado de trabalho são: Gerenciamento de Risco, Governança da Segurança da Informação, Gerenciamento do Programa de Segurança da Informação, Gerenciamento da Segurança da Informação e Gerenciamento de Resposta a Incidentes.
Módulo/MCSO - Módulo Certified Security Officer. Esta certificação tem como objetivo capacitar técnicos e administradores para Gestão da Segurança da Informação. É uma certificação adaptada à realidade brasileira e elaborada por uma das maiores empresa na área de segurança do Brasil, a Módulo Security Solutions S.A. Para obter esta certificação deve-se passar por duas etapas. A primeira etapa é composta por um curso preparatório oferecido pela Módulo ou pode-se comprovar 2 anos de experiência trabalhando com Segurança da Informação. A segunda etapa consta em obter sucesso na prova de certificação.
O conhecimento necessário para esta certificação aborda dentre outros temas: controle de acesso, arquitetura e modelos de segurança, topologias, gestão de pessoas em segurança da informação, legislação, políticas de segurança, sistemas de firewalls e defesas de perímetro, IDS, testes de invasão, segurança em redes wireless, perícia forense, regulamentação, normas e gestão de risco.
A renovação da certificação deve ser feita de 3 em 3 anos com a elaboração de uma nova prova ou participando do Programa de Educação Continuada MCSO. Os participantes deste programa têm como objetivo atingir uma pontuação mínima de 200 UDPS (Unidade de Desenvolvimento Profissional em Segurança). Esta pontuação pode ser obtida com artigos publicados ou participando de eventos ligados a Segurança da Informação.
(ISC)2/CISSP-Certified Information Systems Security Professional. Considerada uma das mais completas certificações, o profissional que desejar obtê-la deverá conhecer 10 áreas de segurança da informação definidas pelo (ISC)2-Information System Security Certification Consortium e passar por várias etapas de avaliação: Examination, Certification, Endorsement e Audit. Vamos comentar melhor cada uma destas etapas.
Examination (Avaliações Iniciais). Aqui o candidato tem sua experiência profissional avaliada e deve comprovar no mínimo 4 anos de experiência em segurança da informação. Comprovada esta etapa o candidato será avaliado quanto ao código de ética da (ICS)2 e será verificada a existência de antecedentes criminais, condutas irregulares etc.
Certification (Certificação). O candidato deve passar na prova de certificação com no mínimo 700 pontos.
Endorsement (Comprovação por Teceiros). Nesta etapa o profissional deve receber o aval de um outro profissional qualificado e detentor da certificação CISSP.
Audit (Auditoria). Uma percentagem dos profissionais que obtiveram a certificação CISSP é aleatoriamente escolhida para investigação de suas atividades. Comprovada qualquer irregularidade ou conduta contra o código de ética da organização a certificação é anulada.
Áreas de conhecimento definidas para esta certificação: Sistemas de Controle e Metodologias de Acesso, Segurança no Desenvolvimento de Sistemas e Aplicações, Planejamento de Continuidade de Negócio e Planejamento de Recuperação de Desastres, Criptografia, Leis, Investigação e Ética, Segurança de Operações, Segurança Física, Arquitetura da Segurança e Modelos, Práticas em Gerencia da Segurança e Segurança em Redes de Computadores e Telecomunicações.
No próximo artigo veremos algumas certificações em destaque e as normas usadas para auxiliar o trabalho com segurança da informação. Concluo a primeira parte deste artigo esperando ter deixado um pequeno guia de estudo. Se você gostou do tema, comece pela Academia Latino Americana de Segurança da Informação (veja abaixo), procure os cursos e livros da área e jamais pare de estudar. A mensagem que deixo a todos é:
"Comece pequeno, pense grande e cresça rápido"
Abraços a todos,
Denis Augusto A. de Souza
MCSE, MCSA Messaging
Links Indicados:
Academia Latino Americana de Segurança da Informação:
http://www.technetbrasil.com.br/academia
Certificações Microsoft: https://www.microsoft.com/learning/
2ª Pesquisa Nacional sobre o Perfil do Profissional de Segurança da Informação: http://www.modulo.com.br/pdf/pesquisa_perfil_2004.pdf
ISSA Brasil: http://www.issabrasil.org
(ISC)2: https://www.isc2.org/
ISACA: http://www.isaca.org/
Certificação MCSO:
http://www.modulo.com.br/empresa/site/modulo_interna_cursos.jsp?pLinkMenu=Cursos&pMenuPai=3
O Artigo completo da Sandresa Carvalho (Jornal A Gazeta) pode ser visto na URL: www.gazetaonline.com.br/agazeta
CERT.br: http://www.cert.br/stats/incidentes/2005-jan-dec/tipos-ataque.html
MSF: https://www.microsoft.com/msf
MOF: https://www.microsoft.com/mof
IDGNow:
http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=27CF3F17-9070-4EEA-A14F-A0E7A5494944&ChannelID=21080105
http://idgnow.uol.com.br/AdPortalv5/InternetInterna_170106.html
Basiléia 2:
http://www2.uol.com.br/canalexecutivo/artigosout10.htm
http://www.itweb.com.br/hotsites/storage/artigo.asp?id=76550
Sarbanes-Oxley:
http://sixsigmatutorial.com/SOX/sarbanes-oxley.aspx?ref=aw&gclid=CPjN9ZvZ_IICFQNXSgod9mP6og
http://www.aicpa.org/info/sarbanes_oxley_summary.htm
Segurança da Informação - Notas:
http://www.sobresites.com/segurancadainformacao/certificacoes.htm