O IMPACTO DA IMPLEMENTAO DA NORMA NBR ISO/IEC 17799 CDIGO DE PRTICA PARA A GESTO DA SEGURANA DA INFORMAO - NAS EMPRESAS

Alex Delgado Gonalves Casanas

Universidade Federal de Santa Catarina (UFSC); Programa de Ps-graduao em Engenharia da Produo, Centro Tecnolgico - Campus - Trindade, P.O Box 476 - CEP 88040-900 - Florianpolis, SC

Cesar de Souza Machado

Universidade Federal de Santa Catarina (UFSC); Programa de Ps-graduao em Engenharia da Produo, Centro Tecnolgico - Campus - Trindade, P.O Box 476 - CEP 88040-900 - Florianpolis, SC

Abstract The present article if propuse to analyze the project 21:204.01-010 of Technology of the Information - practice Code for administration of safety Information, put in consultation publishes on the 29/04/2001 for ABNT - Brazilian Association of Norms Technical - regarding international norm (ISO/IEC 17799:2000). The investigation worried about the impacts that will be caused in the corporate atmospheres by the implementation of the project after voting and approval of the norm. Keywords: Net security; ISO 17799; security policy; Introduo Ao longo da histria, desde a mais remota antigidade, o ser humano vem buscando controlar as informaes que julga serem importantes. Conforme relaciona Schneier (2001), na antiga China, a prpria linguagem escrita era usada como uma forma de criptografia na medida que somente as classes superiores podiam aprender a ler e a escrever. Outro povos como os egpcios e os romanos deixaram registrado na histria sua preocupao com o trato de certas informaes, especialmente as de valor estratgico e comercial. Com a Segunda Guerra Mundial, a questo da segurana ganhou uma nova dimenso na medida em que sistemas automticos, eletro-mecnicos foram criados tanto para criptografar como para efetuar a criptoanlise e quebrar a codificao (SCHNEIER, 2001). Tradicionalmente, as organizaes dedicam grande ateno para com seus ativos tangveis fsicos e financeiros, mas relativamente pouca ateno aos ativos de informao que possuem. Em anos recentes, contudo, a informao assumiu importncia vital para manuteno dos negcios, marcados pela dinamicidade da economia globalizada e permanentemente on-line, de tal forma que, atualmente, no h organizao humana que no dependente da tecnologia de informaes, em maior ou menor grau, de forma que o comprometimento do sistema de informaes por problemas de segurana pode causar grandes prejuzos ou mesmo levar a organizao a falncia (CARUSO, 1999). Visando minimizar esses riscos a ISO (International Standartization Organization), publicou recentemente uma norma internacional para garantir a segurana das informaes nas empresas. A ABNT (Associao Brasileira de Normas Tcnicas), operando em sintonia com a ISO e atenta as necessidades nacionais quanto a segurana da informao, disponibilizou o projeto na verso brasileira da norma ISO para consulta pblica e posterior votao e publicao. Percebe-se que, antes mesmo da publicao do documento oficial, as empresas brasileiras esto se antecipando no sentido de preparar suas estruturas para implementao dos itens que compem a norma. Tal procedimento justifica-se na medida em que as

empresas esto mudando seu comportamento quanto a questo da segurana da informao, premidas pelo risco crescente de roubos e ataques a seus sistemas. Por outro lado, compreendem que as normas ISO e ABNT so o resultado de um esforo internacional que consumiu anos de pesquisa e desenvolvimento para se obter um modelo de segurana eficiente e universal. Surgimento das Normas de Segurana Informao O esforo no qual resultaram a ISO17799 e a Norma ABNT remontam a 1987 quando o departamento de comrcio e indstria do Reino Unido (DTI) criou um centro de segurana de informaes, o CCSC (Commercial Computer Security Centre) que dentre suas atribuies tinha a tarefa de criar uma norma de segurana das informaes para companhias britnicas que comercializavam produtos para segurana de TI (Tecnologia da Informao) atravs da criao de critrios para avaliao da segurana (SOLMS, 1998). Outro objetivo do CCSC era a criao de um cdigo de segurana para os usurios das informaes. Com base nesse segundo objetivo, em 1989 foi publicado a primeira verso do cdigo se segurana, denominado PD0003 - Cdigo para Gerenciamento da Segurana da Informao. Em 1995 esse cdigo foi revisado e publicado como uma norma britnica (BS), a BS7799:1995. Em 1996, essa norma foi proposta ao ISO para homologao mas foi rejeitada (HEFFERAN, 2000) Uma Segunda parte desse documento foi criada posteriormente e publicada em novembro de 1997 para consulta pblica e avaliao. Em 1998 esse documento foi publicado como BS7799-2:1998 e, aps revisado, foi publicado junto com a primeira parte em abril de 1999 como BS7799:1999. (HEFFERAN, 2000) Em 1998 a lei britnica, denominada Ato de Proteo de Dados, recomendou a aplicao da norma na Inglaterra, o que viria a ser efetivado em 1o de maro de 2000. Ao longo de seu desenvolvimento, norma foi sendo adotada no s pela Inglaterra como tambm por outros pases da Comunidade Britnica, tal como Austrlia, frica do Sul e Nova Zelndia (SOLMS, 1998). A parte 1 desse documento foi levada a ISO e proposta para homologao pelo mecanismo de "Fast Track" para um trmite rpido, pois normalmente, uma norma leva at 5 anos para ser avaliada e homologada pela ISO. Em outubro de 2000, na reunio do comit da ISO em Tquio, a norma foi votada e aprovada pela maioria dos representantes. Os representantes dos pases do primeiro mundo, excetuando a Inglaterra, foram contrrios a homologao, mas, sob votao, venceu a maioria, e a norma foi homologada como ISO/IEC 17799:2000 em 01 de dezembro de 2000. Atualmente, o comit BDD/2 do BSI/DISC est preparando a parte 2 da BS7799 para apresentao a ISO para Homologao. Com a homologao, diversos pases, incluindo o Brasil, esto criando suas prprias normas nacionais de segurana de dados, baseados na norma ISO. Ao mesmo tempo, est surgindo a Certificao de Segurana ISO 17799 que empresas e organizaes podem obter ao aplicar a norma, assim como, aps a homologao da norma brasileira, surgira a respectiva certificao para empresas nacionais. Objetivos e Abrangncia O objetivo fundamental da norma ISO e da norma brasileira, nela baseada, assegurar a continuidade e minimizar o dano empresarial prevenindo e minimizando o impacto de incidentes de segurana. (ISO/IEC 17799:2000). Segurana da Informao conforme definido pela ISO/IEC 17799:2000, a proteo contra um grande nmero de ameaas s informaes, de forma a assegurar a continuidade do negcio, minimizando danos comerciais e maximizando o retorno de investimentos e

oportunidades. A segurana da informao caracterizada pela preservao dos seguintes atributos bsicos: a) Confidencialidade: segurana de que a informao pode ser acessada apenas por quem tem autorizao. b) Integridade: certeza da preciso e do completismo da informao. c) Disponibilidade: garantia de que os usurios autorizados tenham acesso a informao e aos recursos associados, quando necessrio. A preservao desses atributos, constitui no paradigma bsico da Norma Internacional para Gerenciamento da Segurana da Informao, a ISO17799 e de toda a cincia da Segurana da Informao. A ISO17799 bem abrangente, pretendendo contemplar todos os aspectos da segurana da informao. Nesse sentido, divide-se em 12 captulos ou partes, cada qual abordando um aspecto da segurana da informao. A norma brasileira segue a mesma estrutura de captulos, itens e controles. Os Captulos que compem a norma so os seguintes: 1- Objetivo 2- Termos e definies 3- Poltica de segurana 4- Segurana organizacional 5- Classificao e controle dos ativos de informao 6- Segurana em pessoas 7- Segurana ambiental e fsica 8-Gerenciamento das operaes e comunicaes 9- Controle de acesso 10- Desenvolvimento de sistemas e manuteno 11- Gesto de continuidade do negcio 12- Conformidade A ISO17799 cobre os mais diversos tpicos da rea de segurana, possuindo mais de 100 controles que devem ser atendidos para garantir a segurana das informaes de uma empresa, de forma que a obteno da certificao pode ser um processo demorado e muito trabalhoso, consistindo num desafio para as empresas. Em contrapartida, a certificao uma forma bastante clara de mostrar a sociedade que a empresa d a segurana de suas informaes e de seus clientes a importncia que merecem, de tal forma que espera-se que em poucos anos todas as grandes empresas tero aderido a norma e obtido suas certificaes como forma de no s assegurar sua sobrevivncia mas tambm como parte do marketing de suas imagens junto ao pblico e como fator mais um diferencial de competitividade no mercado. Situao atual nas empresas Os cenrios sociais, tecnolgicos, educacionais e econmicos tm sofrido grandes mudanas nesta virada de sculo, com o surgimento de novas atividades, e ao mesmo tempo em que outras desaparecem ou so profundamente transformadas. As tecnologias de informao e comunicao vem tomando espao cada vez maior na sociedade, alterando de forma significativa os meios de produo e disseminao do conhecimento humano (HUGHES,1997). O computador presente nas empresas no significa necessariamente melhoria na qualidade em relao a produtividade, diminuio dos custos operacionais e expanso no seu segmento de mercado (HAWKINS, 1995). No presente trabalho sobre o impacto da norma de segurana da informao, pode-se perceber que, por mais que se trabalhe nesse objetivo, dificilmente se conseguir cobrir todas as lacunas que esta rea proporciona.

H uma interessante passagem de autor annimo, de onde podemos partir para discutir essa questo: A Internet segura, eles dizem, ento no se preocupe!Isso uma verdade? No. As pessoas de marketing esto mentindo. Ou isso, ou eles no tm absolutamente nenhuma idia do que esto falando. A verdade , a Internet no segura nem mesmo moderadamente... (ANNIMO, 2000: pg. 05, Maximus Security) Estamos atravessando a era da informao, um perodo jamais visto desde a criao da escrita por nossos ancestrais. Com o crescimento das redes de computadores e o advento da Internet trouxeram grande demanda pela conectividade. As pessoas esto cada vez mais sentindo a necessidade de se interconectar, e sempre na expectativa de suprir a necessidade de informao. A cada momento somos surpreendidos por novidades tecnolgicas que facilitam em muito a vida, tais como recebimento de informaes atravs dos celulares (tecnologia Wap1), geladeiras que possuem conexo com os supermercados e atravs da internet realizam as compras on-line sem a interferncia do proprietrio e os SmartCards2 que j podem ser recarregados com valores financeiros sem a necessidade do deslocamento at o banco. Esta revoluo traz os produtos e servios para bem prximo de nossos lares e escritrios. Cada dia mais, os segmentos da economia esto se voltando para formas de disponibilizao on-line das informaes. No setor da iniciativa privada e rea publica no diferente; todos esto preparando as suas estruturas para uma futura disponibilizao e acesso da informao atravs da grande rede mundial de computadores. No Brasil poucas empresas e instituies esto valorizando este mecanismo de comunicao de forma adequada. Existem grupos de estudos na rea acadmica que enfocam os assuntos de segurana em informtica, tal como a a UNICAMP e a UFRGS. Estes movimentos so ainda muito isolados, j que o potencial que as redes possuem de disponibilizao de servios, tais como troca de informaes entre indivduos da mesma empresa ou entre empresas (Bussiness to Bussiness), acesso interno ou externo a base de dados e conhecimento e servios de atendimento on-line aos clientes de maior porte. Todos estes itens ficaram consagrados por serem burocrticos, agora poderiam ser automatizados atravs das redes e principalmente no sentido de buscar a lucratividade e consolidao das transaes envolvendo a informao de forma segura (HELVECIO,1999). Na Amrica Latina no diferente do contexto encontrado no Brasil, h uma carncia enorme de grupos de estudos para viabilizar de forma precisa a informao dentro dos ambientes corporativos. Nos demais paises, notamos uma preocupao maior por parte apenas ingleses e americanos. Na Inglaterra como foi observado anteriormente neste documento, foi elaborado um estudo chamado de BS-77993 no qual podemos constatar uma preocupao da segurana da informao para empresas. Esta norma possui um detalhamento muito interessante de como a empresa deve-se colocar no ambiente da internet. Nos Estados Unidos, esto surgindo varias empresas que oferecem servios de implantao de procedimentos de segurana, e elas esto se proliferando em uma velocidade muito alta. Estas empresas esto sendo criadas com o foco de adequar corporaes em relao a segurana da informao. No momento atual brasileiro, todos os acontecimentos na rea de segurana no tm impactado em mudanas ou transformaes profundas na rea de segurana da informao corporativa. Com as discusses iniciais dos projetos internacionais e ate mesmo os nacionais, esto surgindo dentro destas empresas, uma preocupao maior das pessoas envolvidas, no sentido de como e quais sero as diretrizes de segurana para se alcanar, coletar, solicitar, acessar, trocar, manipular um de seus principais patrimnios: as informaes que devero circular na instituio. Antigamente nas dcadas de 50 at 70, a segurana das informaes e dos sistemas de computao de uma instituio no eram muito preocupantes devido ao limitado acesso

que se tinha a esses estes recursos. Em relao aos sistemas, eles eram praticamente confinados ao ambiente interno e estavam protegidos de qualquer acesso externo. Com a evoluo das geraes da informtica, o surgimento da microinformtica (IBM-PC4 ), a facilidade na aquisio de computadores pessoais e o advento dessas redes de computadores. Tornou-se possvel uma integrao das estruturas atravs das redes, um compartilhamento globalizado dos recursos (networking) e das informaes (internetworking). A segurana das informaes passou a ser uma rea crtica, pois quanto maior a facilidade de acessa-las, maior a probabilidade de usurios externos compartilharem tambm desse acesso (NORTHCUTT,2001). Com o crescimento do uso da informtica e telecomunicaes dentro das corporaes, e sua integrao com os usurios dessas facilidades, mudou-se o paradigma de segurana. Na poca dos mainframes, quando ainda no existia a comunicao entre as redes, o objetivo central era a proteo dos dados dentro do CPD (Centro de Processamento de Dados) e a sua utilizao em terminais sem capacidade de processamento e armazenamento local; era a poca da segurana de dados. Hoje os ambientes so heterogneos, as empresas possuem um parque de informtica muito hbrido com equipamentos cujas velocidades, espaos de armazenamento, recursos e perifricos se diferenciam em entre as demais maquinas. Os riscos so diferentes nas diversas arquiteturas de computadores, de redes e ainda por cima com sistemas operacionais diferentes dentro do mesmo local. Existem novas ameaas, e as vulnerabilidades esto sempre aumentando. Dependemos no somente do computador local mas da informao armazenada em lugares distantes e em vrias mdias, desde Compact Disc at meios magnticos, tais como discos rgidos redundantes e fitas com alta capacidade de armazenamento. A definio e adoo de uma poltica de segurana de rede, torna-se fundamental, pois coloca a informtica sob controle, evitando perda de produtividade, aumentando a disponibilidade dos sistemas e protegendo as informaes contra qualquer tipo de uso indevido. Hoje, vivemos um perodo de grandes avanos tecnolgicos, principalmente nas reas de telecomunicaes e transporte de informaes entre as intranets, extranets e internet. O fcil acesso internet, tanto na empresa quanto no prprio domicilio, leva as pessoas a exigir uma forma mais segura e adequada para acessar a informao. As empresas, espalhadas por todo o Brasil, comearam a se preocupar com a importncia da facilitao e disponibilizao de sua estrutura atravs das intranets, extranets e internet. No mbito das empresas pblicas, os recursos so mais difceis e demorados. J no caso das particulares a disponibilizao de servios de rede primando pela segurana, est sendo encarada como um diferencial no sentido de ser um atrativo a mais para novos clientes, ate mesmo para os clientes fieis. Os ambientes corporativos esto se tornando extremamente complexos integrando vrios sistemas operacionais, o que dificulta ainda mais o planejamento por parte dos administradores de redes. As informaes geradas internamente precisam de tratamento muito cuidadoso antes de ser disponibilizadas. A necessidade de segurana para a proteo dos estes dados organizacionais, exige um instrumento que garanta a sua integridade. Comea a despertar uma conscientizao a em nvel de segurana das informaes em todos os lugares onde a informtica est presente. E as empresas j pensam neste assunto com uma maior seriedade. A democratizao da informao e quais os critrios para a sua utilizao se tornaram questo de sobrevivncia para estas empresas (PFLEEGER,1997). As premissas bsicas em relao a segurana relacionadas ao acesso das informaes so: confidencialidade, integridade e disponibilidade. A partir da, irei buscar-se- a elaborao de uma poltica de segurana de redes voltada adequada natureza das

organizaes. Os benefcios evidentes so: reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagem, roubo de informaes e diversos outros problemas que possam comprometer os princpios bsicos que norteiam a segurana de redes citadas acima. Esta poltica de segurana visa, tambm, aumentar a produtividade dos usurios em um ambiente mais organizado e com regras. O uso com maior intensidade da internet e com maior freqncia nas empresas aumentou a vulnerabilidade de suas prprias redes internas, com a abertura de novas portas para a quebra de segurana. O pr-estabelecimento com a implantao de regras e rotinas, ou seja, o estabelecimento de uma poltica interna na qual todos estejam envolvidos, dificultar os ataques e a perda da integridade dessas informaes. O primeiro passo na busca de uma soluo precisa em relao ao tema, ser a identificao do que realmente se deve proteger, de quem se est tentando proteger, qual a possibilidade real dessas ameaas, levantamento de dificuldades na uma implementao de medidas de proteo. Nas quais protegero de maneira efetiva os recursos importantes, e como ser feito o processo contnuo de reviso com a finalidade de melhorar cada vez mais, e estar sempre em busca de identificar supostas fraquezas. Existe um velho axioma em segurana que diz: o custo de se proteger contra uma ameaa deve ser menor que o custo da recuperao se a ameaa o atingir. (DAVIS, 1997). Neste contexto, custo significa incluir perdas expressadas em moeda corrente real, reputao da empresa, confiana e outras medidas menos bvias. Com a integrao de todos os servios e sua disponibilizao, a empresa poder se tornar foco de tentativas de rompimento da segurana interna. Vrias portas podero ficar abertas caso no haja a preocupao constante com a poltica de proteo a ser implementada. As decises que o administrador tomar vo determinar a vulnerabilidade na rede. A apresentao dos servios que sero fornecidos, a facilidade de uso, o custo da segurana versus o risco da perda sero os fatores mais importantes nesta proposta de pesquisa. Uma poltica de segurana no ambiente corporativo ser a expresso das regras pelas quais poder ser fornecido o acesso aos recursos tecnolgicos da empresa. O principal propsito ser estabelecer tais regras, de que forma sero disseminadas e especificar atravs de quais mecanismos podem ser alcanadas. Outro propsito ser determinar um ponto de referncia a partir do qual se possa configurar e auditar os sistemas computacionais e as redes envolvidas, para que sejam adequados aos requisitos de segurana. Os componentes a serem avaliados so: autenticao, acesso, privacidade, relatrios de violaes, procedimentos de backup e recuperao, combate a vrus, monitorao e anlise de dados, parte fsica, parte lgica, responsabilidades, manuteno de toda a estrutura de forma a no prejudicar as pessoas envolvidas no ambiente, guias de orientao para compra de tecnologias computacionais que especifiquem os requisitos ou caractersticas que os produtos devero possuir correlacionados com segurana e um meio pelo qual os usurios dessa estrutura podero relatar problemas e falhas(SCHNEIER,2001). Uma vez feito um estudo aprofundado sobre estes componentes, deve haver um plano de contingncia que dever estar disponvel, testado e atualizado de forma a assegurar o funcionamento da estrutura da rede nas situaes de emergncia ou desastre. A tendncia de mercado neste momento mostra uma crescente preocupao em relao segurana no contexto da informtica; o pas dever, nos prximos anos, trabalhar muito com este tema em busca de solues viveis e que garantam as premissas bsicas de segurana. Polticas de segurana para as informaes devero ser colocadas em prtica para que as empresas possam realmente confirmar o seu importantssimo papel no sociedade capitalista.

Objetivos Especficos que as empresas esto se preparando para implantar Como objetivos especficos tem-se: propor um documento com diretivas de segurana especificas para empresa; contextualizar os princpios de segurana da informao dentro das empresas; enfocar um estudo dentro das empresas sobre: confidencialidade proteo da informao compartilhada contra acessos no autorizados; controle das operaes individuais de cada usurio atravs do log; autenticidade; garantia da identidade dos usurios; integridade garantia da veracidade da informao, alteraes acidentais ou no autorizadas que podem corromp-la; disponibilidade; preveno de interrupes na operao de todo o sistema (hardware / software), ou seja, uma quebra do sistema no deve impedir o acesso aos dados. Concluso A segurana eletrnica esta cada vez mais ocupando uma das primeiras posies em prioridades de investimento das empresas. Entende-se que um projeto de segurana, alm de definir as tecnologias a serem utilizadas, deve contemplar tambm a definio dos procedimentos para que a soluo seja realmente efetiva. A poltica de segurana nortear todo o sistema de segurana de acesso rede. Por se tratar de uma definio poltica, no existe um produto pronto e que seja facilmente encontrado no mercado, tendo de ser desenvolvido em conjunto com a necessidade de cada empresa. O resultado desta analise ser um produto focando as caractersticas de disponibilidade da informao. As normas e procedimentos que refletem as diretrizes das empresas no item segurana, tais como definies de formas de conexes, procedimentos operacionais, escopo de responsabilidade dos usurios e administradores, polticas de utilizao de senhas, procedimentos para situaes de contingncia, procedimentos de recuperao da rede em caso de violaes e as penalidades a serem aplicadas. A monitorao da soluo de segurana de acesso a rede no tm garantia eterna. Estas solues so seguras apenas enquanto no so violadas. Existe a necessidade de monitorar permanentemente as solues de segurana definidas. Sendo a nica forma de evitar surpresas quase sempre desagradveis. O produto tem que ser criado de forma a se adequar a esta necessidade, atravs do qual determina os procedimentos necessrios para a monitorao contnua e em tempo real da segurana. Contemplando o aprimoramento das solues de segurana (poltica e arquitetura) atravs do acompanhamento de casos sobre problemas de segurana j ocorridos, evitando que os mesmos ocorram novamente. Para empresas que j implantaram uma norma ou soluo de segurana de rede, a realizao testes coordenados para verificar os pontos vulnerveis eventualmente existentes sempre ser necessria. Estes testes simulam a ao de um invasor (interno ou externo) dotado de grande conhecimento e recursos. Aps os testes, sua empresa tem um diagnstico preciso com as indicaes de melhorias a serem adotadas. Outra forma de atuao nesta rea ser a contemplao de planos de atendimentos emergenciais diante de ataques de hackers, crackers e outros agentes externos ou internos. Determinando metodologias eficientes para rastrear evidncias e apresentamos um plano de ao imediata para interveno e bloqueio da vulnerabilidade exposta. A necessidade de organizar a segurana da informao no ambiente corporativo, de forma que estas informaes somente sero acessadas pelos respectivos interessados, e uma ampla facilidade de consulta, buscando sempre o conforto do cliente, do fornecedor

ou de qualquer pessoa que faa parte deste universo, independente de onde estiver, e para finalizar, preservar a imagem da empresa perante o mercado.
Referncias 1 - WAP - Nome denominado para a tecnologia de Wireless Aplication Protocol; 2 SmartCard -Carto inteligente, os usurios podem utiliza-los ao invs de cheques; 3 BS 7799 Norma inglesa de segurana da informao British Security; 4 IBM-PC Computador Pessoal, denominao generalizada pelo mercado ; Fontes Bibliogrficas ____________, Good Securyty Praticces form Ownership and Classification, IBM Corporation, G360-270500, California: November 1986, p.9.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Projeto 21:204.01-010. Rio de Janeiro, 2001. 50 p.

ANONYMOUS. Segurana Mxima para Linux. So Paulo: Editora CAMPUS, 2000. ANONYMOUS. Segurana Mxima. So Paulo: Editora CAMPUS, 2000. BISHOP, Matt; KLEIN, Daniel. Improving system security via proactive password checking. Computers & Security, Oxford, v.14, n.3, p. 233-249, 1995. CARISSIMI, Leonardo S. Segurana em Transaes Comerciais Eletrnicas. Porto Alegre: CPGCC da UFRGS, 1997. 55p. (T.I.-665). CARUSO, Carlos A. A Segurana em Microinformtica e em redes locais. So Paulo. Editora: LTC, 1995 CUSTER, Helen; Windows NT .; So Paulo : Makron Books 1993. DESCARTES, Ren. Discurso do mtodo, in Col. Os Pensadores. So Paulo: Abril Cultural, 1973. FIORESE, Mauricio. Mecanismos de Autenticao de Usurios. Porto Alegre: CPGCC da UFRGS, 1997. 67-101 p. HAWKINS, J. O uso de novas Tecnologias na Educao. Rio de Janeiro: Revista TB, vol 120, Jan/Mar 1995. HEFFERAN, Rossylenne; BS 7799 Information Security Management, 2000, disponvel em http://www.istc.org.uk HELVECIO, Jose Teixeira Jr. Redes de Computadores: Servios, Adm. e Segurana. So Paulo: Editora: Makron Books, 1999. HUGHES, Larry J. Jr. Actually Useful Internet Security Techniques. Pratice Hall 1997. INTERNATION STANDARTIZATION ORGANIZATIO ISO/IEC 17799. USA 2000. KESSLER, Gary C. Passwords - Strengths and Weaknesses. Disponvel em <http://www.hill.com/library/staffpubs/password.html>. Acesso em:08 de maio de 1999. MANBER, Udi. A simple scheme to make passwords based on one-way functions much harder to crack. Computers & Security, Oxford, v.15, n.2, p.171-176, 1996. MCCLURE, Stuar; SCAMBRAY, Joel; KURTZ, George Hacking Exposed - 2a edition. McGraw Hill, 2000. NORTHCUTT; STEPHEN. Segurana e Preveno de Redes. Editora: EDITORA BERKELEY, 2001. PFLEEGER, Charles P. Security in Computing. 2.ed. New Jersey, USA: Prentice Hall, 1997. 574p. SCHNEIER, Bruce Segurana.com: Segredos e mentiras sobre a proteo na vida digital. So Paulo. Editora: CAMPUS, 2001. STALLINGS, William; Operating Systems, Internal and design principles; New Jersey : Prentice Hall 1998. SOLMS, Rossouw von,; Information security management (3): the Code of Practice for Information Security Management (BS7799), Information Management & Computer Security, Vol 6 Issue 5, Port Elizabeth, South Africa, 1998. TERADA, Routo. Segurana de Dados: Criptografia em Redes de Computadores Editora: Edgard Blucher, 2000.