segurança da informação - plano de continuidade

Pro

fe

sso

r A

nd

ré

C

am

po

s

Planejamento da continuidade

dos negócios

Elaborado pelo professor André Campos

Uma visão mais ampla sobre segurança da informação

poderá ser obtida no livro “Sistema de Segurança da

Informação – Controlando os riscos”, de André

Campos, Editora Visual Books.

Pro

fe

sso

r A

nd

ré

C

am

po

s

Planejamento da continuidade

dos negócios

Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com Tecnologia da Informação.

O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos.

Este material não pode ser vendido. Seu uso é permitido sem qualquer custo.

Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram utilizadas em seu estado original, com 72DPI.

Algumas imagens foram obtidas da obra "Sistema de Segurança da Informação Controlando Riscos".

Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro.

Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books, 2007.

Pro

fe

sso

r A

nd

ré

C

am

po

s

PCN – O que é isso?

O objetivo do Planejamento da Continuidade dos Negócios, ou PCN, é garantir que os sistemas críticos para o negócio sejam retornados a sua condição operacional normal em um prazo aceitável, nos casos em que ocorra um incidente de segurança da informação.

A elaboração de um plano de continuidade de negócios envolve a preparação, teste, e manutenção de ações específicas para proteger os processos críticos da organização.

Pro

fe

sso

r A

nd

ré

C

am

po

s

PCN – O que é isso?

Há uma diferença fundamental entre a Gestão de Riscos, e o Planejamento de Continuidade de Negócios.

No primeiro caso há uma preocupação específica em evitar ou minimizar o risco da ocorrência de um incidente de segurança da informação.

No segundo, o incidente já aconteceu. O objetivo passa a ser minimizar os prejuízos decorrentes deste incidente.

Pro

fe

sso

r A

nd

ré

C

am

po

s

PCN – Um pequeno glossário

Inicialmente, é importante entender alguns conceitos fundamentais.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Serviço de informação

Sistema que permita o processamento de dados, incluindo o hardware, o software, o ambiente e as pessoas essenciais a este processamento.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Função crítica do negócio

São as funções, ou atividades, do negócio mais relevantes para que os objetivos e metas do negócio sejam atingidos, para que seus bens tangíveis e intangíveis sejam preservados, e para que a organização mantenha-se de acordo com as leis e regulamentações que a ela se apliquem.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Sistema crítico

O hardware e o software necessários para garantir a viabilidade de um unidade de negócio, ou da própria organização, durante uma interrupção dos serviços de informação.

Um sistema crítico é um serviço de informação considerado essencial para uma função crítica do negócio.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Gestão da continuidade

A gestão da continuidade é um processo dentro da organização, que está preocupado em avaliar constantemente as funções críticas do negócio, os sistemas essenciais a estas funções, construindo os planos de continuidade. Além disso, a gestão da continuidade elabora planos de recuperação e elabora programas de treinamento, teste e manutenção do plano de continuidade.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Plano de continuidade de negócio

Um documento descrevendo como a organização responde a um evento para garantir que as funções críticas de negócio retornem a um nível operação aceitável dentro de um prazo considerado razoável.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Plano de comunicação durante crises

Um documento que demonstre os procedimentos para disseminação de relatórios de situação para os colaboradores, e eventualmente até para o público, durante um evento de interrupção dos serviços de informação ou de um desastre.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Planejamento de recuperação de desastres

Recuperação de desastre refere-se a uma restauração imediata e temporária dos serviços de informação, tipicamente computadores e rede local, após um desastre, natural ou não.

A organização deve documentar como pretende responder a um eventual desastre, restaurando as funções críticas do negócio por um determinado tempo, minimizando a perda enquanto os processo e ambiente originais são restaurados a condição de operação normal.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Plano de recuperação de desastres

Um documento que provê procedimentos detalhados para facilitar a recuperação dos serviços de informação que suportem as funções críticas do negócio em um local alternativo.

Geralmente aplicado apenas em casos de interrupções de longo prazo nos serviços.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Análise de impacto para o negócio (BIA)

O processo de analisar todas as funções de negócio da organização para determinar o impacto que a interrupção de um serviço de informação poderia gerar.

Este impacto deve ser medido em termos de perda financeira acumulada por períodos, o que possibilitará estimar quanto tempo uma função de negócio pode suportar sem um determinado serviço de informação.

Pro

fe

sso

r A

nd

ré

C

am

po

s

Definindo melhor um desastre

Definir se uma interrupção de serviço de informação, ou de um sistema crítico, é um desastre ou não, é uma questão de entender quanto tempo a função crítica do negócio pode suportar a interrupção.

Para uma empresa a interrupção do correio por 8 horas pode ser considerado um inconveniente, mas para outra organização pode representar um desastre.

A perda de informação, perda de acesso, perda de um serviço, ou mesmo perda de pessoas, podem configurar um desastre que precisa ser tratado pelo PCN.

Pro

fe

sso

r A

nd

ré

C

am

po

s

Definindo melhor um desastre

Um desastre pode ser caracterizado como:

1. Interrupção não planejada de um serviço de informação;

2. Interrupção ampliada de serviço de informação;

3. Interrupção que não pode ser tratada pelos procedimentos de gestão de problemas;

4. Eventos que causam grandes perdas ou prejuízos.

Cada organização deve catalogar seus sistemas críticos e definir um tempo máximo de interrupção para cada um destes serviços.

Pro

fe

sso

r A

nd

ré

C

am

po

s

Criando o PCN

O PCN provê uma descrição detalhada das ações a serem tomadas em resposta a uma interrupção inaceitável de um serviço de informação.

Trata-se de uma tarefa árdua e de longo prazo. Por causa disso, muitas vezes parece que a elaboração e manutenção de um PCN é um grande investimento de tempo e dinheiro sem retorno. No entanto, assim como o seguro de um bem, o ideal é nunca precisar do PCN, mas se um dia ele for necessário, pode representar um retorno financeiro incalculável.

Pro

fe

sso

r A

nd

ré

C

am

po

s

Criando o PCN – O PDCA

Pro

fe

sso

r A

nd

ré

C

am

po

s

PLAN – Um projeto

É sempre importante lembrar que o processo de elaboração do PCN guarda forte relação com o processo de condução de um projeto.

Por isso, antes de tudo, é fundamental definir uma equipe de trabalho para este fim, e principalmente um colaborador deve ser designado como gerente pelo “projeto”.

Como em qualquer projeto, é importante o apoio explícito da alta direção.

O escopo deve ser claramente definido, e os recursos garantidos, tanto os internos quanto os externos.

Pro

fe

sso

r A

nd

ré

C

am

po

s

PLAN – Um coordenador

É importante definir claramente quem será o coordenado do Planejamento da Continuidade dos Negócios.

Ele é responsável por garantir que todos os elementos do Planejamento tenham sido endereçados, e que os colaboradores envolvidos no PCN tenham feito sua parte no que se refere a planejamento, preparação, e treinamento.

É importante lembrar que o coordenador do PCN é diferente do gerente do projeto de implantação de um PCN.

Pro

fe

sso

r A

nd

ré

C

am

po

s

PLAN – Funções do

Coordenador

As principais funções do coordenador são:

1. Ser interlocutor entre a equipe do PCN e a alta direção;

2. Ter acesso e autoridade para contatar qualquer colaborador da organização;

3. Conhecer o negócio da organização a fim de desenvolver planos aderentes ao negócio;

4. Ter acesso direto ao corpo executivo da organização.

Pro

fe

sso

r A

nd

ré

C

am

po

s

PLAN – Funções da Equipe de

Recuperação (Recovery

Teams)

A equipe de recuperação está pronta para assumir o controle das operações de recuperação caso ocorra um incidente que seja considerado um desastre.

As operações de recuperação podem incluir:

1. Responder ao desastre e determinar a necessidade de ativar um PCN/PRD (BCP/DRP);

2. Recuperar sistemas críticos em local (site) alternativos;

3. Recuperar local (site) primário;

4. Retornar as operações ao local (site) primário.

Pro

fe

sso

r A

nd

ré

C

am

po

s

PLAN – Funções da Equipe de

Gestão de Crises (Crises

Management Team)

A equipe de gestão de crises tem a responsabilidade de tomar decisões de nível executivo após a ocorrência de um desastre, além da autoridade e conhecimento para avaliar um incidente e determinar se este incidente configura um desastre ou não.

Dependendo desta decisão, a equipe de Recuperação de Desastre entra em ação, ou não.

Pro

fe

sso

r A

nd

ré

C

am

po

s

PLAN – Funções do

Departamento de Segurança

da Informação

O Escritório de Segurança da Informação é responsável, entre outras coisas, por orientar as ações do PCN, apoiar com seus conhecimentos nas decisões quanto as opções mais adequadas de recuperação.

Além disso, o Escritório realizará auditorias de primeira parte que envolverão os planos do PCN, sua equipe de trabalho, e suas metodologias.

Pro

fe

sso

r A

nd

ré

C

am

po

s

PLAN – Análise de Impacto nos

Negócios (Business Impact

Analysis) – AIN/BIA

A Análise de Impacto nos Negócio (AIN) não é exatamente uma técnica ou uma ferramenta definida. Por isso, cada organização construirá sua própria metodologia.

O importante é lembrar o objetivo da AIN, que vem a ser demonstrar o impacto que um incidente de segurança da informação pode causar para o negócio.

O AIN está mais concentrado em incidentes que envolvam a disponibilidade dos ativos tecnológicos.

Um AIN deve demonstrar em um nível executivo o Maximum Tolerable Downtime (MTD) para cada recurso que suporta as funções críticas do negócio.

Pro

fe

sso

r A

nd

ré

C

am

po

s




A partir do AIN (BIA) é possível elaborar planos de recuperação realistas em termos de custo e eficiência.

O AIN não considera os tipos de incidentes que podem causar a queda nos serviços, mas está basicamente concentrada na avaliação das consequências destas quedas para o negócio, em termos de perdas financeiras, de eventuais investimentos adicionais a serem feitos, e de constrangimentos causados em função da duração do tempo de downtime.

A condução de uma AIN, em geral, envolvem pelo menos 5 etapas.

Pro

fe

sso

r A

nd

ré

C

am

po

s




Os passos necessários para executar um AIN/BIA:

1 – Definindo técnicas de coleta de informação.

2 – Selecionar os colaboradores a serem entrevistados.

3 – Elaborar questionários estruturados.

4 – Analisar dados e gerar estrutura de informações.

5 – Gerar relatório de recomendações.

Pro

fe

sso

r A

nd

ré

C

am

po

s




1 – Definindo técnicas de coleta de informação.

Existem diversas metodologias e técnicas para a coleta de informações necessárias à realização de uma AIN. Entrevistas, oficinas, questionários, e softwares são alguns dos mecanismos que podem ser utilizados.

Uma ferramenta utilizada com bastante sucesso tem sido a Checkup Tool®, da empresa Módulo Security.

Pro

fe

sso

r A

nd

ré

C

am

po

s




2 – Selecionar os colaboradores a serem entrevistados.

Cada unidade organizacional, cada processo de negócio, possui um grau relativo dentro das operações da organização.

Identificar as funções críticas do negócio não é uma tarefa trivial, e seria impossível sem considerar as pessoas que executam o negócio no dia a dia.

É importante identificar e documentar os grupos de pessoas a serem entrevistas e o que se espera de contribuição de cada um destes grupos.

Pro

fe

sso

r A

nd

ré

C

am

po

s




3 – Elaborar questionários estruturados.

Não existe uma receita de questionário pronta, aplicável a qualquer organização que queira realizar uma AIN. Para cada organização deve ser elaborado um conjunto específico de questionários.

Basicamente, dois tipos de questões serão consideradas: as quantitativas e as qualitativas.

As quantitativas referem-se a perdas financeiras causadas por uma parada de serviço de informação, ao passo que as qualitativas referem-se a perdas intangíveis e mais difíceis de medir, com a imagem da empresa, por exemplo.

Pro

fe

sso

r A

nd

ré

C

am

po

s




Itens que podem constar do questionário:

• Nome da função de negócio

• Número de colaboradores envolvidos

• Horas de operação

• Número de clientes

• Momentos de picos operacionais

• Interdependência com outras unidades organizacionais

• Custo da operação por período

• Lucro da operação por período

• Prejuízo por tempo parado

Pro

fe

sso

r A

nd

ré

C

am

po

s




Continuação...

• Aspectos legais de uma interrupção de serviço;

• Aspectos de imagem e demais prejuízos intangíveis;

• Dependência de hardware, software, aplicações, rede, comunicação, entre outros;

• Opções alternativas de suporte informacional;

Pro

fe

sso

r A

nd

ré

C

am

po

s




4 – Analisar dados e gerar estrutura de informações.

As informações obtidas nas etapas anteriores precisam ser estruturadas de maneira que permitam uma análise adequada e a consequente tomada de decisões.

Dentro desta estrutura, algumas informações são essenciais:

• Funções críticas do negócio por processo;

• Tempo máximo de downtime, ou impacto (MTD);

• Interdependência entre funções de negócio;

• Sistemas que suportam as funções de negócio.

Pro

fe

sso

r A

nd

ré

C

am

po

s




Processo Função MTD Setor/Contato Tecnologias Depende de

Abaixo segue um possível exemplo de tabela a ser construída:

Pro

fe

sso

r A

nd

ré

C

am

po

s




5 – Gerar relatório de recomendações.

Após estruturados e analisados todos os dados, é a hora de gerar um relatório de recomendações.

É importante lembrar que este relatório será avaliado por pessoal executivo, e não técnico. Portanto, o mesmo deve ser estruturado com formato e conteúdo executivo.

Este relatório deve ser aprovado antes que a próxima etapa comece, que é a de elaboração das estratégias de recuperação.

Pro

fe

sso

r A

nd

ré

C

am

po

s

Estratégias de recuperação

Compreendendo as estratégias de recuperação envolve

As estratégias de recuperação são as possibilidades de contingência aplicáveis para cada incidente de segurança da informação. Estas estratégias estão divididas em 4 grandes áreas:

1 – Processos;

2 – Ambientes;

3 – Pessoas;

4 – Tecnologias.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Compreendendo as estratégias de recuperação envolve

Ao definir o conjunto aceitável de estratégias de recuperação para a organização, três questões devem estar presentes:

1 – O custo de cada estratégia;

2 – A janela de tempo de aplicação da estratégia;

3 – O grau de eficácia de cada estratégia.

Estas informações ajudarão a decidir que estratégia aplicar para cada caso.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Processos

As estratégias de recuperação de processos concentram-se nos processos críticos da organização, e das funções críticas destes processos.

A definição do que é crítico e do que não é crítico guarda uma relação direta com o Tempo Máximo de Downtime (TMD / MTD).

A seguir são apresentados os elementos mínimos que precisam ser definidos nas estratégias de recuperação de processos.

Pro

fe

sso

r A

nd

ré

C

am

po

s

Recuperação de processos, elementos...

Processos críticos. Os processos críticos são aqueles apontados pelo AIN/BIA como os menores TMD/MDT.

Funções críticas. Dentro dos processos críticos, podem haver funções muito relevantes e funções menos relevantes. As mais importantes terão um TMD/MDT menor.

Sistemas críticos. Os sistemas críticos referem ao hardware e ao software que suportam as funções e processos críticos, incluindo os sistemas de telecomunicações.


Processos

Pro

fe

sso

r A

nd

ré

C

am

po

s


Conectividade. Os procedimentos para estabelecer a conectividade da infra-estrutura de Tecnologia da Informação, envolvendo LAN, WAN, mainframe, entre outros.

Espaço. A identificação clara do espaço mínimo essencial necessário para a operação da função do processo de negócio, e o número que colaboradores suportados.

Pessoas chave. A identificação das pessoas essenciais para garantir a operação das funções dos processos de negócio.


Processos

Pro

fe

sso

r A

nd

ré

C

am

po

s


Redirecionamentos. Os direcionamentos essenciais para a operação, tais como telefonia, correio eletrônico, e dados.

Interdependências. Os outros processos e funções que dependem ou causam dependência.

Armazenamento off-site. Procedimentos, mídias, e documentos armazenados fora do site.

Fornecedores. Serviços prestados por fornecedores.


Processos

Pro

fe

sso

r A

nd

ré

C

am

po

s

A recuperação de ambientes envolve definir planos de recuperação que considerem o espaço necessário, questões de segurança física, proteção contra incêndio, infra-estrutura, utilidades tais com água, gás e outros, e requisitos ambientais tais como temperatura, umidade, e outras.

Espaço. Nesta dimensão o espaço mínimo para a instalação das operações acessórias aos processos essenciais de negócio devem ser consideradas. Por exemplo, salas de reunião, auditório, espaços para treinamento, entre outros, desde que considerados essenciais para apoio aos processos de negócio.


Ambientes

Pro

fe

sso

r A

nd

ré

C

am

po

s

Segurança. A área onde serão restaurados os serviços precisa contar com segurança compatível. Isto pode envolver a contratação de guardas, a instalação de portões com dispositivos de segurança, portas com controles de acesso, câmeras de vigilância, alarmes de invasão, controle de acesso a andares e salas, detectores silenciosos de presença, entre outros mercanismos.

Proteção contra incêndio. Deve haver preocupação com incêndios, o que pode envolver a instalação de extintores, dispositivos supressores de fogo, detectores de fumaça e fogo, entre outros.


Ambientes

Pro

fe

sso

r A

nd

ré

C

am

po

s

Infra-estrutura. A infra-estrutura do prédio deve ser considerada quanto a necessidade de reformas e reparos, linhas telefônicas, linhas elétricas, etc.

Utilidades gerais. As utilidades gerais incluem o sistema de ventilação, ar condicionado, energia, geradores de emergência, e demais utilidades.


Ambientes

Pro

fe

sso

r A

nd

ré

C

am

po

s

Refere-se basicamente a procedimentos registrados, registros operacionais essenciais, e procedimentos de restauração das atividades.

É importante garantir que processos que normalmente acontecem com o apoio de sistemas computacionais possam operar com suporte manual durante um período de tempo, e que todos os registros gerados no período manual possam ser transportados para o sistema informatizado após a restauração dos serviços.


Pessoas

Pro

fe

sso

r A

nd

ré

C

am

po

s

Algumas questões importantes são:

1. Os processos críticos podem ser operados manualmente?

2. Os registros poderão ser revertidos para o sistema posteriormente, ou os dados serão perdidos?

3. Quais são as informações vitais que não podem deixar se ser registradas?

4. Quais serão as necessidades especiais de logística para que os colaboradores realizem as operações manuais?


Pessoas

Pro

fe

sso

r A

nd

ré

C

am

po

s


Tecnologia

Concentrando-nos em Tecnologia da Informação, as estratégias de recuperação devem se preocupar com as seguintes áreas:

1. Recuperação do Data Center;

2. Recuperação da rede;

3. Recuperação das telecomunicações;

4. Recuperação dos dados.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Tecnologia

Recuperação do Data Center

As áreas de concentração dos ativos concentradores de informação, tais como servidores de arquivos, banco de dados, storages, entre outros, são conhecidas como Data Center.

Por ocasião da ocorrência de um desastre nesta área, inicialmente é feito uma análise dos prejuízos e da situação gerada. Em seguida será decidido pela execução ou não dos planos de continuidade para a área, que envolverão procedimentos, tecnologias, e demais ações para recuperar os serviços de informação.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Tecnologia

Recuperação da rede

A rede local de computadores (LAN) suporta toda a transferência de dados e muitas vezes voz e vídeo em uma organização.

É importante definir claramente os requisitos mínimos para manutenção deste serviço, incluindo software e hardware, e identificar também os mecanismos de transmissão disponíveis na organização, que pode incluir a rede cabeada, a utilização de wireless, o sistema telefônico, a utilização de fibras óticas, e tecnologias similares.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Tecnologia

Recuperação das telecomunicações

Os serviços de telecomunicação são essenciais para manter a organização conectada ao resto do mundo no que se refere a dados, voz, e vídeo.

É importante haver uma preocupação concreta com este serviço, que envolve todo o sistema de telefonia, e os componentes de rede externa e Internet.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Tecnologia

Recuperação de dados

Os dados são um elemento central e fundamental para a continuidade dos negócios em uma organização.

Por isso, os procedimentos de backup e restore devem ser implementados e considerados importantes. Não resta dúvida de que o sistema de backup é um componente essencial em qualquer plano da continuidade dos negócios.

Falaremos mais de dados à frente.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Categorias de estratégia

As estratégias de recuperação aplicados em Tecnologia da Informação podem ser classificadas basicamente em quatro categorias:

1. Sites alternativos;

2. Acordos de ajuda mútua;

3. Múltiplos centros;

4. Escritórios de serviço.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Sites alternativos

Os sites alternativos são áreas disponíveis para a ativação dos serviços de informação que foram interrompidos por um desastre.

Vejamos as possibilidades de sites alternativos, que podem ser:

1. Hot site;

2. Warm site;

3. Cold site;

4. Mirror site;

5. Mobile site;

Pro

fe

sso

r A

nd

ré

C

am

po

s

CUSTO

TE

MP

O D

E R

EC

UP

ER

AÇ

ÃO

RÁ

PID

OL

EN

TO

BARATO CARO


Sites alternativos

Mirror Site

Um mirror site é um serviço que mantém uma cópia exata de um determinado grupo de transações em um outro local, em tempo real.

MIRROR

Pro

fe

sso

r A

nd

ré

C

am

po

s

CUSTO

TE

MP

O D

E R

EC

UP

ER

AÇ

ÃO

RÁ

PID

OL

EN

TO

BARATO CARO


Sites alternativos

Hot site

Um hot site é aquele que encontra-se totalmente preparado e configurado para receber os serviços de informação que foram interrompido, incluindo todo o software e hardware necessário.

HOT

Pro

fe

sso

r A

nd

ré

C

am

po

s

CUSTO

TE

MP

O D

E R

EC

UP

ER

AÇ

ÃO

RÁ

PID

OL

EN

TO

BARATO CARO


Sites alternativos

Mobile Site

Um mobilie site é um serviço que mantém uma cópia exata de um determinado grupo de transações em um outro local, em tempo real.

MOBILE

Pro

fe

sso

r A

nd

ré

C

am

po

s

CUSTO

TE

MP

O D

E R

EC

UP

ER

AÇ

ÃO

RÁ

PID

OL

EN

TO

BARATO CARO


Sites alternativos

Warm site

Um warm site é similar ao hot site, mas não inclui os equipamentos mais caros, como servidores específicos, ou mainframes.

WARM

Pro

fe

sso

r A

nd

ré

C

am

po

s

CUSTO

TE

MP

O D

E R

EC

UP

ER

AÇ

ÃO

RÁ

PID

OL

EN

TO

BARATO CARO


Sites alternativos

Cold Site

Um cold site não possui qualquer equipamento técnico ou recurso, apenas o elementos básicos como energia, ar condicionado, links de comunicação, e similares.

COLD

Pro

fe

sso

r A

nd

ré

C

am

po

s

BIBLIOGRAFIA

ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação – Técnicas de segurança – Código de práticas para a gestão da segurança da informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.

Alencar, Antonio; Schmitz, Eber. Análise de Risco em Gerência de Projetos; Editora Brasport, Brasil, 2005.

Campos, André. Sistema de Segurança da Informação – Controlando o Risco; Editora Visual Books, Brasil, 2005.

Hansche, Susan; Berti, John; Hare, Chris. Official (ISC2) Guide to the CISSP Exam; Estados Unidos, 2003.

NIST. An Introduction to Computer Security: The NIST handbook; National Institute of Standards and Technology; Estados Unidos, 2003.

PMI. Project Management Book of Knowledge – PMBOK; Project Management Institute, Estados Unidos, 2005.

Vilar, Carlos; Schmitz, Eber, Alencar, Antonio; Análise de Risco em projetos de Tecnologia a Informação; Editora ExpertBooks, Brasil, 2005.

segurança da informação - plano de continuidade

Documents