Você está na página 1de 59

André CamposProfessor

Planejamento da continuidade

dos negócios

CamposProfessor Planejamento da continuidade dos negócios Elaborado pelo professor André Campos Uma visão mais ampla
CamposProfessor Planejamento da continuidade dos negócios Elaborado pelo professor André Campos Uma visão mais ampla
CamposProfessor Planejamento da continuidade dos negócios Elaborado pelo professor André Campos Uma visão mais ampla
CamposProfessor Planejamento da continuidade dos negócios Elaborado pelo professor André Campos Uma visão mais ampla

Elaborado pelo professor André Campos

Uma visão mais ampla sobre segurança da informação poderá ser obtida no livro “Sistema de Segurança da Informação Controlando os riscos”, de André Campos, Editora Visual Books.

André CamposProfessor

Planejamento da continuidade

dos negócios

CamposProfessor Planejamento da continuidade dos negócios Este material foi produzido como apoio didático para
CamposProfessor Planejamento da continuidade dos negócios Este material foi produzido como apoio didático para
CamposProfessor Planejamento da continuidade dos negócios Este material foi produzido como apoio didático para
CamposProfessor Planejamento da continuidade dos negócios Este material foi produzido como apoio didático para

Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com Tecnologia da Informação.

O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos.

Este material não pode ser vendido. Seu uso é permitido sem qualquer custo.

Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram utilizadas em seu estado original, com 72DPI.

Algumas imagens foram obtidas da obra "Sistema de Segurança da

Informação Controlando Riscos".

Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro.

Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books, 2007.

André CamposProfessor

PCN O que é isso?

André CamposProfessor PCN – O que é isso? O objetivo do Planejamento da Continuidade dos Negócios
André CamposProfessor PCN – O que é isso? O objetivo do Planejamento da Continuidade dos Negócios
André CamposProfessor PCN – O que é isso? O objetivo do Planejamento da Continuidade dos Negócios
André CamposProfessor PCN – O que é isso? O objetivo do Planejamento da Continuidade dos Negócios

O objetivo do Planejamento da Continuidade dos Negócios, ou PCN, é garantir que os sistemas críticos para o negócio sejam retornados a sua condição operacional normal em um prazo aceitável, nos casos em que ocorra um incidente de segurança da informação.

A elaboração de um plano de continuidade de negócios envolve a preparação, teste, e manutenção de ações específicas para proteger os processos críticos da organização.

André CamposProfessor

PCN O que é isso?

André CamposProfessor PCN – O que é isso? Há uma diferença fundamental entre a Gestão de
André CamposProfessor PCN – O que é isso? Há uma diferença fundamental entre a Gestão de
André CamposProfessor PCN – O que é isso? Há uma diferença fundamental entre a Gestão de
André CamposProfessor PCN – O que é isso? Há uma diferença fundamental entre a Gestão de

Há uma diferença fundamental entre a Gestão de Riscos, e o Planejamento de Continuidade de Negócios.

No primeiro caso há uma preocupação específica em evitar ou minimizar o risco da ocorrência de um incidente de segurança da

informação.

No segundo, o incidente já aconteceu. O objetivo passa a ser minimizar os prejuízos decorrentes deste incidente.

André CamposProfessor

PCN Um pequeno glossário

André CamposProfessor PCN – Um pequeno glossário Inicialmente, é importante entender alguns conceitos fundamentais.
André CamposProfessor PCN – Um pequeno glossário Inicialmente, é importante entender alguns conceitos fundamentais.
André CamposProfessor PCN – Um pequeno glossário Inicialmente, é importante entender alguns conceitos fundamentais.
André CamposProfessor PCN – Um pequeno glossário Inicialmente, é importante entender alguns conceitos fundamentais.

Inicialmente, é importante entender alguns conceitos fundamentais.

André CamposProfessor

PCN Um pequeno glossário

André CamposProfessor PCN – Um pequeno glossário Serviço de informação Sistema que permita o processamento de
André CamposProfessor PCN – Um pequeno glossário Serviço de informação Sistema que permita o processamento de
André CamposProfessor PCN – Um pequeno glossário Serviço de informação Sistema que permita o processamento de
André CamposProfessor PCN – Um pequeno glossário Serviço de informação Sistema que permita o processamento de

Serviço de informação

Sistema que permita o processamento de dados, incluindo o hardware, o software, o ambiente e as pessoas essenciais a este processamento.

André CamposProfessor

PCN Um pequeno glossário

André CamposProfessor PCN – Um pequeno glossário Função crítica do negócio São as funções, ou atividades,
André CamposProfessor PCN – Um pequeno glossário Função crítica do negócio São as funções, ou atividades,
André CamposProfessor PCN – Um pequeno glossário Função crítica do negócio São as funções, ou atividades,
André CamposProfessor PCN – Um pequeno glossário Função crítica do negócio São as funções, ou atividades,

Função crítica do negócio

São as funções, ou atividades, do

negócio mais relevantes para que os objetivos e metas do negócio sejam atingidos, para que seus bens tangíveis e intangíveis sejam preservados, e para

que a organização mantenha-se de

acordo com as leis e regulamentações que a ela se apliquem.

André CamposProfessor

PCN Um pequeno glossário

André CamposProfessor PCN – Um pequeno glossário Sistema crítico O hardware e o software necessários para
André CamposProfessor PCN – Um pequeno glossário Sistema crítico O hardware e o software necessários para
André CamposProfessor PCN – Um pequeno glossário Sistema crítico O hardware e o software necessários para
André CamposProfessor PCN – Um pequeno glossário Sistema crítico O hardware e o software necessários para

Sistema crítico

O hardware e o software necessários para garantir a viabilidade de um unidade de negócio, ou da própria organização, durante uma interrupção dos serviços de informação.

Um sistema crítico é um serviço de informação considerado essencial para uma função crítica do negócio.

André CamposProfessor

PCN Um pequeno glossário

André CamposProfessor PCN – Um pequeno glossário Gestão da continuidade A gestão da continuidade é um
André CamposProfessor PCN – Um pequeno glossário Gestão da continuidade A gestão da continuidade é um
André CamposProfessor PCN – Um pequeno glossário Gestão da continuidade A gestão da continuidade é um
André CamposProfessor PCN – Um pequeno glossário Gestão da continuidade A gestão da continuidade é um

Gestão da continuidade

A gestão da continuidade é um processo dentro da organização, que está preocupado em avaliar constantemente as funções críticas do negócio, os sistemas essenciais a estas funções,

construindo os planos de continuidade.

Além disso, a gestão da continuidade elabora planos de recuperação e elabora programas de treinamento, teste e manutenção do plano de continuidade.

André CamposProfessor

PCN Um pequeno glossário

André CamposProfessor PCN – Um pequeno glossário Plano de continuidade de negócio Um documento descrevendo como
André CamposProfessor PCN – Um pequeno glossário Plano de continuidade de negócio Um documento descrevendo como
André CamposProfessor PCN – Um pequeno glossário Plano de continuidade de negócio Um documento descrevendo como
André CamposProfessor PCN – Um pequeno glossário Plano de continuidade de negócio Um documento descrevendo como

Plano de continuidade de negócio

Um documento descrevendo como a

organização responde a um evento para garantir que as funções críticas de negócio retornem a um nível operação aceitável dentro de um prazo considerado

razoável.

André CamposProfessor

PCN Um pequeno glossário

André CamposProfessor PCN – Um pequeno glossário Plano de comunicação durante crises Um documento que demonstre
André CamposProfessor PCN – Um pequeno glossário Plano de comunicação durante crises Um documento que demonstre
André CamposProfessor PCN – Um pequeno glossário Plano de comunicação durante crises Um documento que demonstre
André CamposProfessor PCN – Um pequeno glossário Plano de comunicação durante crises Um documento que demonstre

Plano de comunicação durante crises

Um documento que demonstre os

procedimentos para disseminação de relatórios de situação para os colaboradores, e eventualmente até para o público, durante um evento de interrupção dos serviços de

informação ou de um desastre.

André CamposProfessor

PCN Um pequeno glossário

André CamposProfessor PCN – Um pequeno glossário Planejamento de recuperação de desastres Recuperação de
André CamposProfessor PCN – Um pequeno glossário Planejamento de recuperação de desastres Recuperação de
André CamposProfessor PCN – Um pequeno glossário Planejamento de recuperação de desastres Recuperação de
André CamposProfessor PCN – Um pequeno glossário Planejamento de recuperação de desastres Recuperação de

Planejamento de recuperação de desastres

Recuperação de desastre refere-se a uma restauração imediata e temporária dos serviços de informação, tipicamente computadores e rede local, após um desastre, natural ou não.

A organização deve documentar como

pretende responder a um eventual desastre,

restaurando as funções críticas do negócio por um determinado tempo, minimizando a perda enquanto os processo e ambiente originais são restaurados a condição de

operação normal.

André CamposProfessor

PCN Um pequeno glossário

André CamposProfessor PCN – Um pequeno glossário Plano de recuperação de desastres Um documento que provê
André CamposProfessor PCN – Um pequeno glossário Plano de recuperação de desastres Um documento que provê
André CamposProfessor PCN – Um pequeno glossário Plano de recuperação de desastres Um documento que provê
André CamposProfessor PCN – Um pequeno glossário Plano de recuperação de desastres Um documento que provê

Plano de recuperação de desastres

Um documento que provê procedimentos detalhados para facilitar a recuperação dos serviços de informação que suportem as funções críticas do negócio em um local alternativo.

Geralmente aplicado apenas em casos de interrupções de longo prazo nos serviços.

André CamposProfessor

PCN Um pequeno glossário

André CamposProfessor PCN – Um pequeno glossário Análise de impacto para o negócio (BIA) O processo
André CamposProfessor PCN – Um pequeno glossário Análise de impacto para o negócio (BIA) O processo
André CamposProfessor PCN – Um pequeno glossário Análise de impacto para o negócio (BIA) O processo
André CamposProfessor PCN – Um pequeno glossário Análise de impacto para o negócio (BIA) O processo

Análise de impacto para o negócio (BIA)

O processo de analisar todas as funções de negócio da organização para determinar o impacto que a interrupção de um serviço de informação poderia gerar.

Este impacto deve ser medido em termos de

perda financeira acumulada por períodos, o que possibilitará estimar quanto tempo uma função de negócio pode suportar sem um determinado serviço de informação.

André CamposProfessor

Definindo melhor um desastre

André CamposProfessor Definindo melhor um desastre Definir se uma interrupção de serviço de informação, ou de
André CamposProfessor Definindo melhor um desastre Definir se uma interrupção de serviço de informação, ou de
André CamposProfessor Definindo melhor um desastre Definir se uma interrupção de serviço de informação, ou de
André CamposProfessor Definindo melhor um desastre Definir se uma interrupção de serviço de informação, ou de

Definir se uma interrupção de serviço de informação, ou de um sistema crítico, é um desastre ou não, é uma questão de entender quanto tempo a função crítica do negócio pode suportar a interrupção.

Para uma empresa a interrupção do correio

por 8 horas pode ser considerado um

inconveniente, mas para outra organização pode representar um desastre.

A perda de informação, perda de acesso,

perda de um serviço, ou mesmo perda de

pessoas, podem configurar um desastre que

precisa ser tratado pelo PCN.

André CamposProfessor

Definindo melhor um desastre

André CamposProfessor Definindo melhor um desastre Um desastre pode ser caracterizado como: 1. Interrupção não
André CamposProfessor Definindo melhor um desastre Um desastre pode ser caracterizado como: 1. Interrupção não
André CamposProfessor Definindo melhor um desastre Um desastre pode ser caracterizado como: 1. Interrupção não
André CamposProfessor Definindo melhor um desastre Um desastre pode ser caracterizado como: 1. Interrupção não

Um desastre pode ser caracterizado como:

1. Interrupção não planejada de um serviço

de informação;

2. Interrupção ampliada de serviço de informação;

3. Interrupção que não pode ser tratada

pelos procedimentos de gestão de

problemas;

4. Eventos que causam grandes perdas ou prejuízos.

Cada organização deve catalogar seus sistemas críticos e definir um tempo máximo de

interrupção para cada um destes serviços.

André CamposProfessor

Criando o PCN

André CamposProfessor Criando o PCN O PCN provê uma descrição detalhada das ações a serem tomadas
André CamposProfessor Criando o PCN O PCN provê uma descrição detalhada das ações a serem tomadas
André CamposProfessor Criando o PCN O PCN provê uma descrição detalhada das ações a serem tomadas
André CamposProfessor Criando o PCN O PCN provê uma descrição detalhada das ações a serem tomadas

O PCN provê uma descrição detalhada das ações a serem tomadas em resposta a uma interrupção inaceitável de um serviço de informação.

Trata-se de uma tarefa árdua e de longo prazo. Por causa disso, muitas vezes parece

que a elaboração e manutenção de um PCN é

um grande investimento de tempo e dinheiro sem retorno. No entanto, assim como o seguro de um bem, o ideal é nunca precisar do PCN, mas se um dia ele for necessário,

pode representar um retorno financeiro

incalculável.

Criando o PCN O PDCA

Criando o PCN – O PDCA André CamposProfessor
Criando o PCN – O PDCA André CamposProfessor
Criando o PCN – O PDCA André CamposProfessor
Criando o PCN – O PDCA André CamposProfessor
André CamposProfessor
André CamposProfessor

André CamposProfessor

PLAN Um projeto

André CamposProfessor PLAN – Um projeto É sempre importante lembrar que o processo de elaboração do
André CamposProfessor PLAN – Um projeto É sempre importante lembrar que o processo de elaboração do
André CamposProfessor PLAN – Um projeto É sempre importante lembrar que o processo de elaboração do
André CamposProfessor PLAN – Um projeto É sempre importante lembrar que o processo de elaboração do

É sempre importante lembrar que o processo de elaboração do PCN guarda forte relação com o processo de condução de um projeto.

Por isso, antes de tudo, é fundamental definir uma equipe de trabalho para este fim, e principalmente um colaborador deve ser

designado como gerente pelo “projeto”.

Como em qualquer projeto, é importante o apoio explícito da alta direção.

O escopo deve ser claramente definido, e os

recursos garantidos, tanto os internos quanto

os externos.

André CamposProfessor

PLAN Um coordenador

André CamposProfessor PLAN – Um coordenador É importante definir claramente quem será o coordenado do Planejamento
André CamposProfessor PLAN – Um coordenador É importante definir claramente quem será o coordenado do Planejamento
André CamposProfessor PLAN – Um coordenador É importante definir claramente quem será o coordenado do Planejamento
André CamposProfessor PLAN – Um coordenador É importante definir claramente quem será o coordenado do Planejamento

É importante definir claramente quem será o

coordenado do Planejamento da Continuidade dos Negócios.

Ele é responsável por garantir que todos os elementos do Planejamento tenham sido endereçados, e que os colaboradores

envolvidos no PCN tenham feito sua parte no

que se refere a planejamento, preparação, e treinamento.

É importante lembrar que o coordenador do

PCN é diferente do gerente do projeto de

implantação de um PCN.

André CamposProfessor

PLAN Funções do

Coordenador

André CamposProfessor PLAN – Funções do Coordenador As principais funções do coordenador são: 1. Ser
André CamposProfessor PLAN – Funções do Coordenador As principais funções do coordenador são: 1. Ser
André CamposProfessor PLAN – Funções do Coordenador As principais funções do coordenador são: 1. Ser
André CamposProfessor PLAN – Funções do Coordenador As principais funções do coordenador são: 1. Ser

As principais funções do coordenador são:

1.

Ser interlocutor entre a equipe do PCN e a alta direção;

2.

Ter acesso e autoridade para contatar qualquer colaborador da organização;

3.

Conhecer o negócio da organização a fim de desenvolver planos aderentes ao negócio;

4.

Ter acesso direto ao corpo executivo da

organização.

André CamposProfessor

PLAN Funções da Equipe de Recuperação (Recovery

Teams)

– Funções da Equipe de Recuperação (Recovery Teams) A equipe de recuperação está pronta para assumir
– Funções da Equipe de Recuperação (Recovery Teams) A equipe de recuperação está pronta para assumir
– Funções da Equipe de Recuperação (Recovery Teams) A equipe de recuperação está pronta para assumir
– Funções da Equipe de Recuperação (Recovery Teams) A equipe de recuperação está pronta para assumir

A equipe de recuperação está pronta para assumir o controle das operações de recuperação caso ocorra um incidente que seja considerado um desastre.

As operações de recuperação podem incluir:

1.

Responder ao desastre e determinar a necessidade de ativar um PCN/PRD (BCP/DRP);

2.

Recuperar sistemas críticos em local (site) alternativos;

3.

Recuperar local (site) primário;

4.

Retornar as operações ao local (site)

primário.

André CamposProfessor

PLAN Funções da Equipe de Gestão de Crises (Crises

Management Team)

da Equipe de Gestão de Crises (Crises Management Team) A equipe de gestão de crises tem
da Equipe de Gestão de Crises (Crises Management Team) A equipe de gestão de crises tem
da Equipe de Gestão de Crises (Crises Management Team) A equipe de gestão de crises tem
da Equipe de Gestão de Crises (Crises Management Team) A equipe de gestão de crises tem

A equipe de gestão de crises tem a responsabilidade de tomar decisões de nível executivo após a ocorrência de um desastre, além da autoridade e conhecimento para avaliar um incidente e determinar se este incidente configura um desastre ou não.

Dependendo desta decisão, a equipe de

Recuperação de Desastre entra em ação, ou não.

André CamposProfessor

PLAN Funções do Departamento de Segurança

da Informação

– Funções do Departamento de Segurança da Informação O Escritório de Segurança da Informação é responsável,
– Funções do Departamento de Segurança da Informação O Escritório de Segurança da Informação é responsável,
– Funções do Departamento de Segurança da Informação O Escritório de Segurança da Informação é responsável,
– Funções do Departamento de Segurança da Informação O Escritório de Segurança da Informação é responsável,

O Escritório de Segurança da Informação é responsável, entre outras coisas, por orientar as ações do PCN, apoiar com seus conhecimentos nas decisões quanto as opções mais adequadas de recuperação.

Além disso, o Escritório realizará auditorias de

primeira parte que envolverão os planos do

PCN, sua equipe de trabalho, e suas metodologias.

André CamposProfessor

PLAN Análise de Impacto nos Negócios (Business Impact

Analysis) AIN/BIA

nos Negócios (Business Impact Analysis) – AIN/BIA A Análise de Impacto nos Negócio (AIN) não é
nos Negócios (Business Impact Analysis) – AIN/BIA A Análise de Impacto nos Negócio (AIN) não é
nos Negócios (Business Impact Analysis) – AIN/BIA A Análise de Impacto nos Negócio (AIN) não é
nos Negócios (Business Impact Analysis) – AIN/BIA A Análise de Impacto nos Negócio (AIN) não é

A Análise de Impacto nos Negócio (AIN) não é exatamente uma técnica ou uma ferramenta definida. Por isso, cada organização construirá

sua própria metodologia.

O importante é lembrar o objetivo da AIN, que vem a ser demonstrar o impacto que um incidente de segurança da informação pode

causar para o negócio.

O AIN está mais concentrado em incidentes que envolvam a disponibilidade dos ativos tecnológicos.

Um AIN deve demonstrar em um nível executivo o Maximum Tolerable Downtime (MTD) para cada recurso que suporta as funções críticas do negócio.

André CamposProfessor

PLAN Análise de Impacto nos Negócios (Business Impact

Analysis) AIN/BIA

nos Negócios (Business Impact Analysis) – AIN/BIA A partir do AIN (BIA) é possível elaborar planos
nos Negócios (Business Impact Analysis) – AIN/BIA A partir do AIN (BIA) é possível elaborar planos
nos Negócios (Business Impact Analysis) – AIN/BIA A partir do AIN (BIA) é possível elaborar planos
nos Negócios (Business Impact Analysis) – AIN/BIA A partir do AIN (BIA) é possível elaborar planos

A partir do AIN (BIA) é possível elaborar

planos de recuperação realistas em termos de custo e eficiência.

O AIN não considera os tipos de incidentes

que podem causar a queda nos serviços, mas está basicamente concentrada na avaliação das consequências destas quedas para o negócio, em termos de perdas financeiras, de eventuais investimentos adicionais a serem feitos, e de constrangimentos causados em

função da duração do tempo de downtime.

A condução de uma AIN, em geral, envolvem

pelo menos 5 etapas.

André CamposProfessor

PLAN Análise de Impacto nos Negócios (Business Impact

Analysis) AIN/BIA

nos Negócios (Business Impact Analysis) – AIN/BIA Os passos necessários para executar um AIN/BIA: 1 –
nos Negócios (Business Impact Analysis) – AIN/BIA Os passos necessários para executar um AIN/BIA: 1 –
nos Negócios (Business Impact Analysis) – AIN/BIA Os passos necessários para executar um AIN/BIA: 1 –
nos Negócios (Business Impact Analysis) – AIN/BIA Os passos necessários para executar um AIN/BIA: 1 –

Os passos necessários para executar um AIN/BIA:

1 Definindo técnicas de coleta de informação.

2 Selecionar os colaboradores a serem entrevistados.

3 Elaborar questionários estruturados.

4 Analisar dados e gerar estrutura de

informações.

5 Gerar relatório de recomendações.

André CamposProfessor

PLAN Análise de Impacto nos Negócios (Business Impact

Analysis) AIN/BIA

nos Negócios (Business Impact Analysis) – AIN/BIA 1 – Definindo técnicas de coleta de informação.
nos Negócios (Business Impact Analysis) – AIN/BIA 1 – Definindo técnicas de coleta de informação.
nos Negócios (Business Impact Analysis) – AIN/BIA 1 – Definindo técnicas de coleta de informação.
nos Negócios (Business Impact Analysis) – AIN/BIA 1 – Definindo técnicas de coleta de informação.

1 Definindo técnicas de coleta de informação.

Existem diversas metodologias e técnicas para a coleta de informações necessárias à realização de uma AIN. Entrevistas, oficinas, questionários, e softwares são alguns dos mecanismos que podem ser utilizados.

Uma ferramenta utilizada com bastante

sucesso tem sido a Checkup Tool®, da empresa Módulo Security.

André CamposProfessor

PLAN Análise de Impacto nos Negócios (Business Impact

Analysis) AIN/BIA

nos Negócios (Business Impact Analysis) – AIN/BIA 2 – Selecionar os colaboradores a serem entrevistados.
nos Negócios (Business Impact Analysis) – AIN/BIA 2 – Selecionar os colaboradores a serem entrevistados.
nos Negócios (Business Impact Analysis) – AIN/BIA 2 – Selecionar os colaboradores a serem entrevistados.
nos Negócios (Business Impact Analysis) – AIN/BIA 2 – Selecionar os colaboradores a serem entrevistados.

2 Selecionar os colaboradores a serem

entrevistados.

Cada unidade organizacional, cada processo de negócio, possui um grau relativo dentro

das operações da organização.

Identificar as funções críticas do negócio não é uma tarefa trivial, e seria impossível sem considerar as pessoas que executam o negócio no dia a dia.

É importante identificar e documentar os grupos de pessoas a serem entrevistas e o que se espera de contribuição de cada um destes grupos.

André CamposProfessor

PLAN Análise de Impacto nos Negócios (Business Impact

Analysis) AIN/BIA

nos Negócios (Business Impact Analysis) – AIN/BIA 3 – Elaborar questionários estruturados. Não existe
nos Negócios (Business Impact Analysis) – AIN/BIA 3 – Elaborar questionários estruturados. Não existe
nos Negócios (Business Impact Analysis) – AIN/BIA 3 – Elaborar questionários estruturados. Não existe
nos Negócios (Business Impact Analysis) – AIN/BIA 3 – Elaborar questionários estruturados. Não existe

3 Elaborar questionários estruturados.

Não existe uma receita de questionário pronta, aplicável a qualquer organização que queira realizar uma AIN. Para cada organização deve ser elaborado um conjunto específico de questionários.

Basicamente, dois tipos de questões serão

consideradas: as quantitativas e as

qualitativas.

As quantitativas referem-se a perdas financeiras causadas por uma parada de

serviço de informação, ao passo que as

qualitativas referem-se a perdas intangíveis e

mais difíceis de medir, com a imagem da empresa, por exemplo.

André CamposProfessor

PLAN Análise de Impacto nos Negócios (Business Impact

Analysis) AIN/BIA

nos Negócios (Business Impact Analysis) – AIN/BIA Itens que podem constar do questionário: • Nome da
nos Negócios (Business Impact Analysis) – AIN/BIA Itens que podem constar do questionário: • Nome da
nos Negócios (Business Impact Analysis) – AIN/BIA Itens que podem constar do questionário: • Nome da
nos Negócios (Business Impact Analysis) – AIN/BIA Itens que podem constar do questionário: • Nome da

Itens que podem constar do questionário:

Nome da função de negócio

Número de colaboradores envolvidos

Horas de operação

Número de clientes

Momentos de picos operacionais

Interdependência com outras unidades organizacionais

Custo da operação por período

Lucro da operação por período

Prejuízo por tempo parado

André CamposProfessor

PLAN Análise de Impacto nos Negócios (Business Impact

Analysis) AIN/BIA

nos Negócios (Business Impact Analysis) – AIN/BIA Continuação • Aspectos legais de uma interrupção de
nos Negócios (Business Impact Analysis) – AIN/BIA Continuação • Aspectos legais de uma interrupção de
nos Negócios (Business Impact Analysis) – AIN/BIA Continuação • Aspectos legais de uma interrupção de
nos Negócios (Business Impact Analysis) – AIN/BIA Continuação • Aspectos legais de uma interrupção de

Continuação

Aspectos legais de uma interrupção de serviço;

Aspectos de imagem e demais prejuízos intangíveis;

Dependência de hardware, software,

aplicações, rede, comunicação, entre outros;

Opções alternativas de suporte informacional;

André CamposProfessor

PLAN Análise de Impacto nos Negócios (Business Impact

Analysis) AIN/BIA

nos Negócios (Business Impact Analysis) – AIN/BIA 4 – Analisar dados e gerar estrutura de informações.
nos Negócios (Business Impact Analysis) – AIN/BIA 4 – Analisar dados e gerar estrutura de informações.
nos Negócios (Business Impact Analysis) – AIN/BIA 4 – Analisar dados e gerar estrutura de informações.
nos Negócios (Business Impact Analysis) – AIN/BIA 4 – Analisar dados e gerar estrutura de informações.

4 Analisar dados e gerar estrutura de

informações.

As informações obtidas nas etapas anteriores precisam ser estruturadas de maneira que

permitam uma análise adequada e a

consequente tomada de decisões.

Dentro desta estrutura, algumas informações são essenciais:

Funções críticas do negócio por processo;

Tempo máximo de downtime, ou impacto (MTD);

Interdependência entre funções de negócio;

Sistemas que suportam as funções de negócio.

André CamposProfessor

PLAN Análise de Impacto nos Negócios (Business Impact

Analysis) AIN/BIA

nos Negócios (Business Impact Analysis) – AIN/BIA Abaixo segue um possível exemplo de tabela a ser
nos Negócios (Business Impact Analysis) – AIN/BIA Abaixo segue um possível exemplo de tabela a ser
nos Negócios (Business Impact Analysis) – AIN/BIA Abaixo segue um possível exemplo de tabela a ser
nos Negócios (Business Impact Analysis) – AIN/BIA Abaixo segue um possível exemplo de tabela a ser

Abaixo segue um possível exemplo de tabela a ser construída:

Processo

Função

MTD

Setor/Contato

Tecnologias

Depende de

André CamposProfessor

PLAN Análise de Impacto nos Negócios (Business Impact

Analysis) AIN/BIA

nos Negócios (Business Impact Analysis) – AIN/BIA 5 – Gerar relatório de recomendações. Após
nos Negócios (Business Impact Analysis) – AIN/BIA 5 – Gerar relatório de recomendações. Após
nos Negócios (Business Impact Analysis) – AIN/BIA 5 – Gerar relatório de recomendações. Após
nos Negócios (Business Impact Analysis) – AIN/BIA 5 – Gerar relatório de recomendações. Após

5 Gerar relatório de recomendações.

Após estruturados e analisados todos os dados, é a hora de gerar um relatório de recomendações.

É importante lembrar que este relatório será avaliado por pessoal executivo, e não técnico. Portanto, o mesmo deve ser estruturado com formato e conteúdo executivo.

Este relatório deve ser aprovado antes que a próxima etapa comece, que é a de elaboração das estratégias de recuperação.

André CamposProfessor

Estratégias de recuperação

André CamposProfessor Estratégias de recuperação Compreendendo as estratégias de recuperação envolve As
André CamposProfessor Estratégias de recuperação Compreendendo as estratégias de recuperação envolve As
André CamposProfessor Estratégias de recuperação Compreendendo as estratégias de recuperação envolve As
André CamposProfessor Estratégias de recuperação Compreendendo as estratégias de recuperação envolve As

Compreendendo as estratégias de

recuperação envolve

As estratégias de recuperação são as possibilidades de contingência aplicáveis para cada incidente de segurança da informação. Estas estratégias estão divididas em 4 grandes áreas:

1 Processos;

2 Ambientes;

3 Pessoas;

4 Tecnologias.

André CamposProfessor

Estratégias de recuperação

André CamposProfessor Estratégias de recuperação Compreendendo as estratégias de recuperação envolve Ao definir o
André CamposProfessor Estratégias de recuperação Compreendendo as estratégias de recuperação envolve Ao definir o
André CamposProfessor Estratégias de recuperação Compreendendo as estratégias de recuperação envolve Ao definir o
André CamposProfessor Estratégias de recuperação Compreendendo as estratégias de recuperação envolve Ao definir o

Compreendendo as estratégias de

recuperação envolve

Ao definir o conjunto aceitável de estratégias de recuperação para a organização, três questões devem estar presentes:

1 O custo de cada estratégia;

2 A janela de tempo de aplicação da estratégia;

3 O grau de eficácia de cada estratégia.

Estas informações ajudarão a decidir que estratégia aplicar para cada caso.

André CamposProfessor

Estratégias de recuperação Processos

CamposProfessor Estratégias de recuperação Processos As estratégias de recuperação de processos concentram-se
CamposProfessor Estratégias de recuperação Processos As estratégias de recuperação de processos concentram-se
CamposProfessor Estratégias de recuperação Processos As estratégias de recuperação de processos concentram-se
CamposProfessor Estratégias de recuperação Processos As estratégias de recuperação de processos concentram-se

As estratégias de recuperação de processos

concentram-se nos processos críticos da organização, e das funções críticas destes processos.

A definição do que é crítico e do que não é crítico guarda uma relação direta com o Tempo Máximo de Downtime (TMD / MTD).

A seguir são apresentados os elementos mínimos que precisam ser definidos nas

estratégias de recuperação de processos.

André CamposProfessor

Estratégias de recuperação Processos

CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Processos críticos .
CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Processos críticos .
CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Processos críticos .
CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Processos críticos .

Recuperação de processos, elementos

Processos críticos. Os processos críticos são aqueles apontados pelo AIN/BIA como os menores TMD/MDT.

Funções críticas. Dentro dos processos críticos, podem haver funções muito relevantes e funções menos relevantes. As mais importantes terão um TMD/MDT menor.

Sistemas críticos. Os sistemas críticos referem ao hardware e ao software que suportam as funções e processos críticos, incluindo os sistemas de telecomunicações.

André CamposProfessor

Estratégias de recuperação Processos

CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Conectividade . Os
CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Conectividade . Os
CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Conectividade . Os
CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Conectividade . Os

Recuperação de processos, elementos

Conectividade. Os procedimentos para estabelecer a conectividade da infra-estrutura de Tecnologia da Informação, envolvendo LAN, WAN, mainframe, entre outros.

Espaço. A identificação clara do espaço mínimo essencial necessário para a operação da função do processo de negócio, e o número que colaboradores suportados.

Pessoas chave. A identificação das pessoas

essenciais para garantir a operação das funções dos processos de negócio.

André CamposProfessor

Estratégias de recuperação Processos

CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Redirecionamentos . Os
CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Redirecionamentos . Os
CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Redirecionamentos . Os
CamposProfessor Estratégias de recuperação Processos Recuperação de processos, elementos Redirecionamentos . Os

Recuperação de processos, elementos

Redirecionamentos. Os direcionamentos essenciais para a operação, tais como telefonia, correio eletrônico, e dados.

Interdependências. Os outros processos e funções que dependem ou causam dependência.

Armazenamento off-site. Procedimentos, mídias, e documentos armazenados fora do site.

Fornecedores. Serviços prestados por fornecedores.

André CamposProfessor

Estratégias de recuperação Ambientes

CamposProfessor Estratégias de recuperação Ambientes A recuperação de ambientes envolve definir planos de
CamposProfessor Estratégias de recuperação Ambientes A recuperação de ambientes envolve definir planos de
CamposProfessor Estratégias de recuperação Ambientes A recuperação de ambientes envolve definir planos de
CamposProfessor Estratégias de recuperação Ambientes A recuperação de ambientes envolve definir planos de

A recuperação de ambientes envolve definir

planos de recuperação que considerem o espaço necessário, questões de segurança física, proteção contra incêndio, infra- estrutura, utilidades tais com água, gás e

outros, e requisitos ambientais tais como

temperatura, umidade, e outras.

Espaço. Nesta dimensão o espaço mínimo para a instalação das operações acessórias aos processos essenciais de negócio devem ser consideradas. Por exemplo, salas de reunião, auditório, espaços para treinamento, entre outros, desde que considerados essenciais para apoio aos processos de negócio.

André CamposProfessor

Estratégias de recuperação Ambientes

CamposProfessor Estratégias de recuperação Ambientes Segurança . A área onde serão restaurados os serviços
CamposProfessor Estratégias de recuperação Ambientes Segurança . A área onde serão restaurados os serviços
CamposProfessor Estratégias de recuperação Ambientes Segurança . A área onde serão restaurados os serviços
CamposProfessor Estratégias de recuperação Ambientes Segurança . A área onde serão restaurados os serviços

Segurança. A área onde serão restaurados os

serviços precisa contar com segurança compatível. Isto pode envolver a contratação de guardas, a instalação de portões com dispositivos de segurança, portas com

controles de acesso, câmeras de vigilância,

alarmes de invasão, controle de acesso a andares e salas, detectores silenciosos de presença, entre outros mercanismos.

Proteção contra incêndio. Deve haver preocupação com incêndios, o que pode envolver a instalação de extintores, dispositivos supressores de fogo, detectores de fumaça e fogo, entre outros.

André CamposProfessor

Estratégias de recuperação Ambientes

CamposProfessor Estratégias de recuperação Ambientes Infra-estrutura . A infra-estrutura do prédio deve ser
CamposProfessor Estratégias de recuperação Ambientes Infra-estrutura . A infra-estrutura do prédio deve ser
CamposProfessor Estratégias de recuperação Ambientes Infra-estrutura . A infra-estrutura do prédio deve ser
CamposProfessor Estratégias de recuperação Ambientes Infra-estrutura . A infra-estrutura do prédio deve ser

Infra-estrutura. A infra-estrutura do prédio

deve ser considerada quanto a necessidade de reformas e reparos, linhas telefônicas, linhas elétricas, etc.

Utilidades gerais. As utilidades gerais incluem o sistema de ventilação, ar condicionado, energia, geradores de emergência, e demais utilidades.

André CamposProfessor

Estratégias de recuperação Pessoas

André CamposProfessor Estratégias de recuperação Pessoas Refere-se basicamente a procedimentos registrados, registros
André CamposProfessor Estratégias de recuperação Pessoas Refere-se basicamente a procedimentos registrados, registros
André CamposProfessor Estratégias de recuperação Pessoas Refere-se basicamente a procedimentos registrados, registros
André CamposProfessor Estratégias de recuperação Pessoas Refere-se basicamente a procedimentos registrados, registros

Refere-se basicamente a procedimentos

registrados, registros operacionais essenciais,

e procedimentos de restauração das atividades.

É importante garantir que processos que

normalmente acontecem com o apoio de sistemas computacionais possam operar com

suporte manual durante um período de tempo,

e que todos os registros gerados no período

manual possam ser transportados para o sistema informatizado após a restauração dos serviços.

André CamposProfessor

Estratégias de recuperação Pessoas

André CamposProfessor Estratégias de recuperação Pessoas Algumas questões importantes são: 1. Os processos críticos
André CamposProfessor Estratégias de recuperação Pessoas Algumas questões importantes são: 1. Os processos críticos
André CamposProfessor Estratégias de recuperação Pessoas Algumas questões importantes são: 1. Os processos críticos
André CamposProfessor Estratégias de recuperação Pessoas Algumas questões importantes são: 1. Os processos críticos

Algumas questões importantes são:

1. Os processos críticos podem ser operados manualmente?

2. Os registros poderão ser revertidos para o

sistema posteriormente, ou os dados serão

perdidos?

3. Quais são as informações vitais que não podem deixar se ser registradas?

4. Quais serão as necessidades especiais de logística para que os colaboradores realizem as operações manuais?

André CamposProfessor

Estratégias de recuperação Tecnologia

CamposProfessor Estratégias de recuperação Tecnologia Concentrando-nos em Tecnologia da Informação, as
CamposProfessor Estratégias de recuperação Tecnologia Concentrando-nos em Tecnologia da Informação, as
CamposProfessor Estratégias de recuperação Tecnologia Concentrando-nos em Tecnologia da Informação, as
CamposProfessor Estratégias de recuperação Tecnologia Concentrando-nos em Tecnologia da Informação, as

Concentrando-nos em Tecnologia da

Informação, as estratégias de recuperação devem se preocupar com as seguintes áreas:

1.

2.

3.

4.

Recuperação do Data Center;

Recuperação da rede;

Recuperação das telecomunicações;

Recuperação dos dados.

André CamposProfessor

Estratégias de recuperação Tecnologia

CamposProfessor Estratégias de recuperação Tecnologia Recuperação do Data Center As áreas de concentração
CamposProfessor Estratégias de recuperação Tecnologia Recuperação do Data Center As áreas de concentração
CamposProfessor Estratégias de recuperação Tecnologia Recuperação do Data Center As áreas de concentração
CamposProfessor Estratégias de recuperação Tecnologia Recuperação do Data Center As áreas de concentração

Recuperação do Data Center

As áreas de concentração dos ativos concentradores de informação, tais como servidores de arquivos, banco de dados, storages, entre outros, são conhecidas como Data Center.

Por ocasião da ocorrência de um desastre nesta área, inicialmente é feito uma análise dos prejuízos e da situação gerada. Em

seguida será decidido pela execução ou não

dos planos de continuidade para a área, que envolverão procedimentos, tecnologias, e demais ações para recuperar os serviços de informação.

André CamposProfessor

Estratégias de recuperação Tecnologia

CamposProfessor Estratégias de recuperação Tecnologia Recuperação da rede A rede local de computadores (LAN)
CamposProfessor Estratégias de recuperação Tecnologia Recuperação da rede A rede local de computadores (LAN)
CamposProfessor Estratégias de recuperação Tecnologia Recuperação da rede A rede local de computadores (LAN)
CamposProfessor Estratégias de recuperação Tecnologia Recuperação da rede A rede local de computadores (LAN)

Recuperação da rede

A rede local de computadores (LAN) suporta

toda a transferência de dados e muitas vezes voz e vídeo em uma organização.

É importante definir claramente os requisitos

mínimos para manutenção deste serviço, incluindo software e hardware, e identificar também os mecanismos de transmissão disponíveis na organização, que pode incluir

a rede cabeada, a utilização de wireless, o

sistema telefônico, a utilização de fibras óticas, e tecnologias similares.

André CamposProfessor

Estratégias de recuperação Tecnologia

CamposProfessor Estratégias de recuperação Tecnologia Recuperação das telecomunicações Os serviços de
CamposProfessor Estratégias de recuperação Tecnologia Recuperação das telecomunicações Os serviços de
CamposProfessor Estratégias de recuperação Tecnologia Recuperação das telecomunicações Os serviços de
CamposProfessor Estratégias de recuperação Tecnologia Recuperação das telecomunicações Os serviços de

Recuperação das telecomunicações

Os serviços de telecomunicação são essenciais para manter a organização conectada ao resto do mundo no que se refere a dados, voz, e vídeo.

É importante haver uma preocupação

concreta com este serviço, que envolve todo

o sistema de telefonia, e os componentes de rede externa e Internet.

André CamposProfessor

Estratégias de recuperação Tecnologia

CamposProfessor Estratégias de recuperação Tecnologia Recuperação de dados Os dados são um elemento central e
CamposProfessor Estratégias de recuperação Tecnologia Recuperação de dados Os dados são um elemento central e
CamposProfessor Estratégias de recuperação Tecnologia Recuperação de dados Os dados são um elemento central e
CamposProfessor Estratégias de recuperação Tecnologia Recuperação de dados Os dados são um elemento central e

Recuperação de dados

Os dados são um elemento central e fundamental para a continuidade dos negócios em uma organização.

Por isso, os procedimentos de backup e restore devem ser implementados e considerados importantes. Não resta dúvida de que o sistema de backup é um componente essencial em qualquer plano da

continuidade dos negócios.

Falaremos mais de dados à frente.

André CamposProfessor

Estratégias de recuperação Categorias de estratégia

Estratégias de recuperação Categorias de estratégia As estratégias de recuperação aplicados em Tecnologia da
Estratégias de recuperação Categorias de estratégia As estratégias de recuperação aplicados em Tecnologia da
Estratégias de recuperação Categorias de estratégia As estratégias de recuperação aplicados em Tecnologia da
Estratégias de recuperação Categorias de estratégia As estratégias de recuperação aplicados em Tecnologia da

As estratégias de recuperação aplicados em

Tecnologia da Informação podem ser classificadas basicamente em quatro categorias:

1.

Sites alternativos;

2.

Acordos de ajuda mútua;

3.

Múltiplos centros;

4.

Escritórios de serviço.

André CamposProfessor

Estratégias de recuperação Sites alternativos

Estratégias de recuperação Sites alternativos Os sites alternativos são áreas disponíveis para a
Estratégias de recuperação Sites alternativos Os sites alternativos são áreas disponíveis para a
Estratégias de recuperação Sites alternativos Os sites alternativos são áreas disponíveis para a
Estratégias de recuperação Sites alternativos Os sites alternativos são áreas disponíveis para a

Os sites alternativos são áreas disponíveis

para a ativação dos serviços de informação que foram interrompidos por um desastre.

Vejamos as possibilidades de sites alternativos, que podem ser:

1.

Hot site;

2.

Warm site;

3.

Cold site;

4.

Mirror site;

5.

Mobile site;

André CamposProfessor

Estratégias de recuperação Sites alternativos

Estratégias de recuperação Sites alternativos Mirror Site Um mirror site é um serviço que mantém uma
Estratégias de recuperação Sites alternativos Mirror Site Um mirror site é um serviço que mantém uma
Estratégias de recuperação Sites alternativos Mirror Site Um mirror site é um serviço que mantém uma
Estratégias de recuperação Sites alternativos Mirror Site Um mirror site é um serviço que mantém uma

Mirror Site

Um mirror site é um serviço que mantém uma cópia exata de um determinado grupo de transações em um outro local, em tempo

real.

MIRROR BARATO CARO CUSTO TEMPO DE RECUPERAÇÃO ENTO RÁPI DOL
MIRROR
BARATO
CARO
CUSTO
TEMPO DE RECUPERAÇÃO
ENTO RÁPI DOL

André CamposProfessor

Estratégias de recuperação Sites alternativos

Estratégias de recuperação Sites alternativos Hot site Um hot site é aquele que encontra-se totalmente
Estratégias de recuperação Sites alternativos Hot site Um hot site é aquele que encontra-se totalmente
Estratégias de recuperação Sites alternativos Hot site Um hot site é aquele que encontra-se totalmente
Estratégias de recuperação Sites alternativos Hot site Um hot site é aquele que encontra-se totalmente

Hot site

Um hot site é aquele que encontra-se totalmente preparado e configurado para receber os serviços de informação que foram

interrompido, incluindo todo o software e

hardware necessário.

HOT BARATO CARO CUSTO TEMPO DE RECUPERAÇÃO ENTO RÁPI DOL
HOT
BARATO
CARO
CUSTO
TEMPO DE RECUPERAÇÃO
ENTO RÁPI DOL

André CamposProfessor

Estratégias de recuperação Sites alternativos

Estratégias de recuperação Sites alternativos Mobile Site Um mobilie site é um serviço que mantém uma
Estratégias de recuperação Sites alternativos Mobile Site Um mobilie site é um serviço que mantém uma
Estratégias de recuperação Sites alternativos Mobile Site Um mobilie site é um serviço que mantém uma
Estratégias de recuperação Sites alternativos Mobile Site Um mobilie site é um serviço que mantém uma

Mobile Site

Um mobilie site é um serviço que mantém uma cópia exata de um determinado grupo de transações em um outro local, em tempo

real.

MOBILE BARATO CARO CUSTO TEMPO DE RECUPERAÇÃO ENTO RÁPI DOL
MOBILE
BARATO
CARO
CUSTO
TEMPO DE RECUPERAÇÃO
ENTO RÁPI DOL

André CamposProfessor

Estratégias de recuperação Sites alternativos

Estratégias de recuperação Sites alternativos Warm site Um warm site é similar ao hot site ,
Estratégias de recuperação Sites alternativos Warm site Um warm site é similar ao hot site ,
Estratégias de recuperação Sites alternativos Warm site Um warm site é similar ao hot site ,
Estratégias de recuperação Sites alternativos Warm site Um warm site é similar ao hot site ,

Warm site

Um warm site é similar ao hot site, mas não inclui os equipamentos mais caros, como servidores específicos, ou mainframes.

WARM BARATO CARO CUSTO TEMPO DE RECUPERAÇÃO ENTO RÁPI DOL
WARM
BARATO
CARO
CUSTO
TEMPO DE RECUPERAÇÃO
ENTO RÁPI DOL

André CamposProfessor

Estratégias de recuperação Sites alternativos

Estratégias de recuperação Sites alternativos Cold Site Um cold site não possui qualquer equipamento
Estratégias de recuperação Sites alternativos Cold Site Um cold site não possui qualquer equipamento
Estratégias de recuperação Sites alternativos Cold Site Um cold site não possui qualquer equipamento
Estratégias de recuperação Sites alternativos Cold Site Um cold site não possui qualquer equipamento

Cold Site

Um cold site não possui qualquer equipamento técnico ou recurso, apenas o elementos básicos como energia, ar

condicionado, links de comunicação, e

similares.

COLD BARATO CARO CUSTO TEMPO DE RECUPERAÇÃO ENTO RÁPI DOL
COLD
BARATO
CARO
CUSTO
TEMPO DE RECUPERAÇÃO
ENTO RÁPI DOL

André CamposProfessor

BIBLIOGRAFIA

André CamposProfessor BIBLIOGRAFIA ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –
André CamposProfessor BIBLIOGRAFIA ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –
André CamposProfessor BIBLIOGRAFIA ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –
André CamposProfessor BIBLIOGRAFIA ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –

ABNT. Norma ABNT NBR ISO/IEC 17799:2005 Tecnologia da informação Técnicas de segurança Código de práticas para a gestão da segurança da informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.

Alencar, Antonio; Schmitz, Eber. Análise de Risco em Gerência de Projetos; Editora Brasport, Brasil, 2005.

Campos, André. Sistema de Segurança da Informação Controlando o Risco; Editora Visual Books, Brasil, 2005.

Hansche, Susan; Berti, John; Hare, Chris. Official (ISC2) Guide to the CISSP Exam; Estados Unidos, 2003.

NIST. An Introduction to Computer Security: The NIST handbook; National Institute of Standards and Technology; Estados Unidos, 2003.

PMI. Project Management Book of Knowledge PMBOK; Project Management Institute, Estados Unidos, 2005.

Vilar, Carlos; Schmitz, Eber, Alencar, Antonio; Análise de Risco em projetos de Tecnologia a Informação; Editora ExpertBooks, Brasil, 2005.