SEGURANÇA E

AUDITORIA DE
INFORMAÇÃO

Allan de Souza Muniz

Plano de contingência
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:

„„ Definir as características de planos de contingência para incidentes

de segurança.
„„ Construir planos de contingência para incidentes de segurança.
„„ Organizar processos de manutenção para planos de contingência.

Introdução
Saber conduzir um negócio é sempre um desafio, principalmente porque,
por mais planejamento que uma organização tenha, ela nunca conse-
guirá garantir sua segurança integral. Isso ocorre porque há variáveis
externas à empresa que representam ameaças, como pessoas maliciosas
que tentarão obter dados sigilosos de forma ilícita, hackers que tentarão
atacar os bancos de dados para prejudicar a imagem da corporação,
demonstrando o quão frágil ela é, ou mesmo a ocorrência de desastres
naturais, impossibilitando que a organização funcione adequadamente.
Para minimizar esses cenários negativos, a empresa precisa ter sempre
um plano B para os assuntos mais críticos.
Se não houver planejamento para o cenário de crise, o resultado
será certamente um caos, pois, sem papéis definidos, o cenário que se
desenhará no desastre será semelhante ao de uma orquestra em que cada
um toca seu instrumento no tom que achar mais adequado à situação.
O resultado geral não será outro a não ser uma dissonância certamente
desagradável aos ouvidos. É por isso que um plano de contingência é
necessário.
Neste capítulo, você vai estudar o plano de contingência, vendo
quais são suas características e as nuances envolvidas em sua elaboração,
quando se trata de incidentes de segurança.
2 Plano de contingência

1 Características de planos de contingência

para incidentes de segurança
De acordo com a norma NBR ISO/IEC 27002 (ASSOCIAÇÃO BRASILEIRA
DE NORMAS TÉCNICAS, 2005, documento on-line), convém que “[...] planos
sejam desenvolvidos e implementados para a manutenção ou recuperação das
operações e para assegurar a disponibilidade da informação no nível requerido
e na escala de tempo requerida, após a ocorrência de interrupções ou falhas
dos processos críticos do negócio”. Complementando essa definição, uma
maneira de entendermos o que vem a ser um plano de contingência é por
meio de um exemplo prático, baseado em McCarthy (2014). Segundo o autor,
o exército norte-americano gasta cifras expressivas de dólares testando planos
de contingência para serem implementados em qualquer lugar do mundo em
casos de crise. No plano estão incluídas as simulações do que fazer a partir de
ações de adversários, envolvendo diversos personagens, que desempenharão
papéis diferentes no exercício. O plano de contingência é avaliado tanto pelas
pessoas previstas para a sua execução quanto pela ótica do próprio plano em si.

Um exemplo bastante conhecido de crise para a qual não existiu planejamento ocorreu
em 2008 com o vírus Conficker. A praga digital se espalhou rapidamente via internet,
infectando milhões de computadores no mundo, que respondiam a comandos en-
viados por um servidor remoto. Na ocasião, empresas importantes (algumas inclusive
listadas na revista Fortune) simplesmente não tinham um plano de respostas a incidentes
para a deflagração do vírus. As pessoas responsáveis pelas chamadas telefônicas
dessas empresas, e que deveriam verificar o problema, não tinham um protocolo
para seguir e, portanto, não sabiam o que fazer. A única coisa que sabiam era que os
computadores dessas empresas estavam se comunicando com a internet de forma
nada habitual (MCCARTHY, 2014).

Por falta de planejamento, quando um sinistro acontece, muitas vezes ninguém

consegue saber de perto o que está acontecendo. Exatamente pela insegurança
do desconhecido, a resposta natural do ser humano é descobrir rapidamente o
que está acontecendo para que recupere o domínio e a normalidade da situação.
Nesse contexto, também é comum que várias pessoas se apresentem para fornecer
suas opiniões, que podem causar paralisia no processo decisório.
 Plano de contingência 3

Por esses motivos é que se justifica a criação e manutenção de um plano

de resposta às crises, ou plano de contingência. Nesse sentido, é mais do que
fundamental saber o que a empresa faz, sua missão, visão, valores, o que
a torna atrativa para os clientes/mercado ou o que é feito que a diferencia
das concorrentes. Ter a capacidade de responder a essas perguntas ajudará
a organização a agir em tempos de crise, pois, certamente, ela saberá o que
proteger ou terá uma boa noção de como sua oferta de produtos ou serviços
aos clientes será afetada no período da adversidade.
Adicionalmente, a organização poderá instruir os responsáveis que com-
baterão a crise a proteger aquilo que realmente interessa à empresa. Pode
ser a marca da organização ou outros aspectos da propriedade intelectual
(uma patente, por exemplo). Entretanto, um fator muito importante durante o
momento da crise é a unidade de comando. Sem planejamento e com muita
gente querendo tomar a melhor decisão, a organização pode, como já vimos,
se paralisar — e pior do que tomar uma decisão errada é não tomar decisão
alguma (MCCARTHY, 2014).

Com uma unidade de comando, ganha-se em coesão, pois todo o processo de to-
mada de decisão é unificado. Todavia, há organizações que preferem a decisão na
forma coletiva. Independentemente do tipo de decisão, o fator mais importante a ser
lembrado é que o mecanismo de tomada de decisão seja capaz de gerar um caminho
a ser tomado durante a crise.

Um princípio sólido da disciplina de gestão da segurança da informação é

que as organizações adotem medidas de proteção, detecção e medidas corretivas
para o resguardo da confidencialidade, integridade e disponibilidade de suas
informações. O planejamento é de suma importância e, para ser eficaz, ele
precisa ser testado e atualizado constantemente (FONTES, 2008). Outro ponto
muito importante a ser destacado é que a segurança da informação é um dever
de todos, e não somente da área de tecnologia da informação (TI). Portanto,
o plano de segurança da informação, bem como o seu plano de contingência,
deve ser conhecido por todos em uma empresa.
4 Plano de contingência

Antes de a empresa se dedicar à tarefa de elaboração de um plano de con-

tingência, é importante verificar qual problema exatamente deseja resolver.
Se um risco ocorrer, quem será afetado dentro da empresa? Qual será o impacto
dentro da corporação, caso não haja uma resposta? Para desenvolver um plano
de contingência, o requisito mais importante é que haja o apoio incondicional
da alta administração. Se a camada executiva não estiver realmente engajada
no assunto, é melhor não seguir em frente, pois certamente será tempo gasto
em vão. Nesse caso, o apoio deve ser do presidente ou do vice-presidente da
empresa. No caso de um plano que envolva violação de dados, certamente outros
personagens entrarão em cena, como o diretor de segurança da informação/
diretor de segurança e o diretor de informações.
A tarefa é árdua porque, dentro das organizações, há outras priorida-
des concorrentes que envolvem o dia a dia da empresa, as atividades que
são realizadas para gerar lucro organizacional ou, em casos mais extremos,
o apagar de incêndios com o qual muitos colaboradores se envolvem diaria-
mente. Ademais, pouca gente enxerga valor em um plano de contingência
que só será disparado se houver um sinistro. Na cabeça de muitos gerentes
e até mesmo diretores fica a pergunta: por que gastar dinheiro em algo que
só talvez, algum dia, se houver algum descuido, acontecerá? Certamente há
muitas outras prioridades que merecem atenção.
Lamentavelmente, grande parte das empresas só enxerga o valor de um
plano de contingência quando o sinistro, de fato, acontece e ninguém sabe o
que fazer. As operações mais importantes da organização param e os prejuízos
podem levar a empresa à falência. Mas depois que a porteira foi arrombada,
do que adianta comprar o cadeado?
O desafio se mostra desde o início do planejamento da contingência, pois,
se os apoiadores são da alta administração, certamente eles terão pouco tempo
para se dedicar à análise de um plano de contingência. Felizmente há uma
saída para isso. Após sensibilizar a camada de governança da empresa para
a necessidade de elaboração de um plano de contingência, será fundamental
que eles tomem conhecimento da evolução da construção do plano ao longo
do caminho de forma frequente. Nesse caso, reuniões serão necessárias, mas
aqui o ponto fundamental é que o tempo gasto nessas reuniões seja breve e
investido de forma sábia.
Um recurso muito utilizado em metodologias ágeis são as stand-up
meetings, ou reuniões em pé. São reuniões curtas, que duram 15 minutos,
que ocorrem todos os dias entre os membros de um time, que permanecem
 Plano de contingência 5

o tempo todo de pé. Esse princípio pode ser adaptado a qualquer empresa,
independentemente do seu tamanho e área de atuação, e utilizado para tornar
os encontros mais produtivos e o planejamento, mais eficaz. Evitar reuniões
em salas confortáveis, com café e água à disposição, pode ajudar. Pode parecer
meio estranho, mas quando se está em uma cadeira confortável com serviço
de copa à disposição, o risco de se desviar do assunto a ser tratado é grande.
O responsável pela elaboração do plano de contingência precisa ser focado e
mostrar aos executivos que suas reuniões, de fato, não são tempo jogado fora.

Use stand-up meetings com muito cuidado, porque os propósitos dessa reunião são
para conversas e alinhamentos rápidos. Se você precisar decidir algo mais denso,
desconsidere esta opção!

2 Construção de planos de contingência

para incidentes de segurança
Se, por exemplo, um vírus atacar um sistema e tornar a TI inoperante (podendo
durar dias), a organização pode perder clientes e ter sua reputação manchada
se não tiver uma noção mínima do que deve ser feito. A organização deve
estar protegida com software antivírus e antimalware; sistemas de prevenção
contra perda de dados (data loss prevention); sistemas de prevenção contra
intrusão de rede; sistemas de proteção contra intrusão de host. Entretanto, de
nada adianta todo esse arsenal se houver falha na configuração desses sistemas,
ou se a manutenção desses sistemas falhar, ou ainda se violações acontecerem
pelo lado humano. É exatamente por isso que uma gestão baseada em riscos
ajuda a fechar tais brechas.
Para evitar dissabores com clientes, a organização deve incluir a segurança
da informação para todos os seus colaboradores, além dos seus fornecedo-
res. Se isso falhar, o cliente não vai querer saber de quem foi a falha, mas
que aquele que ele contratou é que deve garantir a entrega do serviço como
especificado no contrato.
6 Plano de contingência

Muitos executivos não dão a devida importância a um plano de contingência,

pois não querem gastar expressivas cifras em frentes que não trazem lucros,
mas evitam prejuízos. No entanto, um plano de contingência não necessaria-
mente é um plano reativo. Ele pode ser usado de forma proativa. McCarthy
(2014) relembra um plano bem documentado de resposta a malware. Sabia-se,
antecipadamente, que a empresa em questão representava um potencial-alvo
para uma possível infestação de malware global. O passo seguinte foi garantir
que todas as tecnologias instaladas na organização estivessem devidamente
atualizadas e preparadas para confrontar o vírus.
Os recursos, em sua totalidade, estavam prontos para a resposta em caso de
ataque à rede. De fato, houve o ataque e, como a empresa já estava preparada,
a execução do plano ajudou a organização a lidar com o maior ataque por
e-mail em quase dez anos. Embora seja pouco conhecido das pessoas, esse
fato comprova que um plano de contingência é extremamente útil não somente
para a reação ao sinistro.
McCarthy (2014) introduz ideias relevantes para a construção de um plano
de contingências. A primeira delas é uma discussão sobre os seguintes tópicos:

„„ Objetivo: em termos gerais, qual é o benefício esperado pela construção

do plano de contingência? Aqui pode ser útil um recurso como a lista
dos 5Ws: who (quem), what (o que), when (quando), where (onde) e
why (por que).
„„ Escopo: os limites do plano.
„„ Responsabilidades: quais executivos são responsáveis pelo plano e
seus dados de contato.
„„ Topologias de execução e comando: esquema visual do plano para
facilitar a comunicação com a camada executiva, conforme exempli-
ficado na Figura 1.
„„ Estrutura do plano: considerando que o plano terá uma série de infor-
mações, algumas poderão se desatualizar, como uma lista dos contatos
ou informações que dependem de entidades externas, mas o plano deve
ser razoavelmente atual para ser realmente importante.
 Plano de contingência 7

Preparação para a ocorrência

de incidentes

Detecção e análise
de incidentes

Declaração do incidente
e mobilização

Sequência operacional Prioridades operacionais Foco operacional

Observar Retenção Vulnerabilidade
Orientar Erradicação Ameaça
Decidir Recuperação Consequência
Agir
Repetir (laço)

Pós-incidente
1. Término
2. Estatísticas
3. Lições aprendidas

Manutenção do plano
1. Atualizações trimestrais
2. Teste anual
3. Treinamento periódico

Figura 1. Topologia de execução e comando do plano.

Fonte: Adaptada de McCarthy (2014, p. 126)

Nesta primeira etapa da elaboração do plano, devem estar reunidos todos os

documentos necessários para a resposta a uma crise (estratégia de contenção e
análise de impacto em um plano contra deflagração de malware, por exemplo).
Em ato contínuo da elaboração do plano de contingência, seria relevante que a
organização soubesse identificar o que exatamente se configura uma situação
8 Plano de contingência

de crise, assim como uma análise técnica se faz necessária para determinar
a gravidade de uma crise.
Toda essa documentação deve ser examinada pelos especialistas da orga-
nização, que são da área de negócios, pois eles é que são capazes de avaliar
os impactos e suas consequências quando uma ameaça se concretizar. A TI
só implementa, na forma da tecnologia, o desejado pela área de negócios na
hora de dar a continuidade a um serviço quando a ameaça se concretizar.
E, quando a ameaça se concretiza, é fundamental saber quem faz o que e
quando durante a crise. Ao fim da crise, será hora de avaliar o aprendizado,
o que saiu bem e o que não foi exemplar e, a partir dessas entradas, melhorar
o plano com as lições aprendidas.
Mas o que devemos elencar em um plano de contingência? O objetivo do
plano é reduzir ao máximo as consequências negativas para a empresa. Neste
sentido, o risco deve ser quantificado de forma a listar as prioridades a serem
tratadas como preparo à continuidade do negócio. McCarthy (2014) sugere
uma fórmula simples:

Risco = Vulnerabilidade + Ameaça + Consequência

Para quantificar cada um desses itens, especialistas em gestão de riscos,

de TI e da área de negócios, assim como a camada de governança, deverão
se reunir para desenvolver o método de quantificação. É fundamental notar
que essa fórmula é somente uma sugestão. Há certamente outros métodos de
quantificação, e cada organização deverá utilizar o que for melhor para as suas
necessidades. Em alguns casos, a contratação de consultoria especializada
pode ser outra alternativa viável para auxiliar no desenvolvimento de uma
metodologia. A vantagem da contratação de uma empresa especialista é que,
certamente, ela oferecerá um produto que já foi validado em projetos anteriores
de outros clientes, conferindo robustez e confiança no uso do método.

3 Organização de processos de manutenção

para planos de contingência
Uma as tarefas mais desafiadoras de um plano de continuidade de negócios
é sua manutenção e melhoria constantes. O problema residente em planos
de contingência é que os planos são escritos e colocados “congelados” em
um local dentro da empresa (em uma biblioteca, se impresso, ou em uma
 Plano de contingência 9

intranet, se eletrônico). A palavra que entra em campo aqui é o conformismo,

pois, com o plano pronto, todos os envolvidos na segurança se ocuparão com
outras atividades. Com o passar do tempo, à medida que a organização e seus
processos vão mudando, o plano se desatualiza e, quando for invocado, ele
de nada servirá.
Assim, o objetivo de manter o plano de contingência atualizado é assegurar
que, no momento em que ele for necessário, ele forneça informações seguras
para garantir sua execução com sucesso. As informações a serem atualizadas
e mantidas ficam contidas na seção “Estrutura do plano” (citada no tópico
anterior) em base periódica. Quando da manutenção, é fundamental registrar
as lições aprendidas na versão subsequente do plano, para que seja possível
rastrear o caminho da maturidade do plano.
Outro benefício das lições aprendidas é que elas ensinam como manter o
plano relevante com o passar do tempo. Segundo McCarthy (2014), as melhores
práticas da indústria e o PCI DSS (Payment Card Industry — Data Security
Standard, o padrão de segurança de dados para a indústria de cartões de cré-
dito e afins) sugerem que os planos de respostas a incidentes sejam testados
em base anual, envolvendo todos os participantes previstos, para que, se for
necessário colocar o plano em prática, ele apresente informações precisas e
efetivas com a estrutura e a equipe atuais.
A última parte da manutenção é a seção de recomendação. Nesse tópico
serão documentadas as sugestões de mudanças. O resultado de que algo não
está bom não é suficiente — a ideia é a melhoria constante. Daí a razão da
recomendação ser a última parte do plano.

Todo esse registro de documentação precisa ser bem gerenciado para futuras consultas,
demonstrações para auditorias e até mesmo defesa contra ações civis para demonstrar
que o assunto foi conduzido de forma séria. Considere uma solução de ECM (enterprise
content management) para isto.
10 Plano de contingência

Em tempos nos quais toda a comunicação dentro de uma organização acontece

digitalmente, é fundamental centralizar a gestão de conteúdo em soluções con-
fiáveis. Soluções de ECM são excepcionais para gerenciar conteúdo corporativo.
Se quiser saber mais sobre essa disciplina, acesse o site da The Association for Intelligent
Information Management (AIIM) (em inglês). Você encontra o site facilmente em uma
busca na internet.

Entre as muitas informações geradas, como entradas para o processo de

melhoria, uma que aparece recorrentemente nas discussões sobre o assunto
é a contenção funcional, defendida por McCarthy (2014). Para entendê-la,
o exercício do vírus pode ajudar bastante. Se um vírus se espalhar rapidamente
pela Ásia e as autoridades de outros continentes desejarem proteger suas
populações, a medida de contenção seria o rompimento da conexão com o
continente asiático, o que tem reflexos imediatos nas viagens de avião.
Com a possibilidade de equipamentos como smartphones e laptops indi-
viduais acessarem a rede corporativa a partir da rede de casa ou de outros
locais fora da empresa, as superfícies de ataque se multiplicam considera-
velmente. No momento em que ocorre uma deflagração de um vírus global,
esses dispositivos portáteis poderiam ser impedidos de se conectarem à rede
como uma medida de contenção. Muito embora o bloqueio possa ser fácil de
compreender, ele não necessariamente será fácil de implementar — e não
por conta da tecnologia. Há que se considerar, por exemplo, o impacto da
contenção, pois o custo da “cura” pode ser mais alto do que o da “doença”,
dependendo do tempo de retenção.
Naturalmente, o exemplo é um entre muitos inputs para a melhoria de um
plano de contingência. O plano de resposta a emergências deve ser mantido
em outras frentes também, como operações de backup, recuperação pós-
-desastre para sistemas de informação organizacionais, entre outras (BROWN;
STALLINGS, 2014).
Muito embora a manutenção objetive a melhoria contínua de um plano
de continuidade de negócios, é fundamental que, após uma crise, haja um
planejamento para trazer a organização de volta à normalidade. Esse plano é
conhecido como PRD, ou plano de recuperação de desastres. Neste tipo de
planejamento estão contempladas catástrofes naturais, problemas derivados
 Plano de contingência 11

de manutenção ou ações de hackers. Nesse sentido, há opções como backup

para a recuperação de dados.
Quando se fala em backup, é fundamental envolver todos na organização
para um fato extremamente simples, mas que pode ser fatal na hora de recuperar
documentos importantes após um desastre: o local de armazenamento nas
estações locais. Há usuários que insistem em salvar documentos corporativos
em seus discos locais (C:) ou em pen drives, por exemplo, em vez de os salvarem
nos sistemas corporativos que estão cobertos pelo backup. Todos os usuários
devem ter ciência desse ponto — do contrário, a organização pode perder
ativos de informação importantes se sofrer um desastre. Por isso a segurança
é assunto de todos. Ignorar ações simples, como esse exemplo pode trazer
consequências expressivas para a empresa.
Nos casos de sinistros, o backup precisa ser recuperado rapidamente para
que a organização possa voltar a funcionar em pouco tempo. Em algumas
organizações, é uma prática guardar as mídias de backup fora da organização
(em guarda externa). Para implementar uma política de recuperação de desas-
tres, há que se pensar em ferramentas adequadas para o sucesso do projeto.
Para recuperação de desastres em ambientes físicos e virtuais, a organização
precisa considerar, por exemplo, o arquivamento de suas cópias na nuvem,
reduzindo custos com servidores locais. Uma grande vantagem da nuvem é
evitar que os dados estejam vulneráveis às ocorrências de desastres naturais
ou sinistros que possam acontecer dentro da organização.
Dependendo da criticidade do negócio, a antecipação é um fator mais do
que essencial. A contratação de um serviço de recuperação de desastres para
o caso de ataque de hackers pode ser a solução para garantir que a recupera-
ção seja imediata, além de garantir que todos os dados sejam recuperados e
minimizar os impactos negativos.
Muitos são os desafios para garantir que os dados possam ser recupera-
dos no menor tempo possível. Um deles, por exemplo, envolve a aquisição
de um gerador de energia capaz de manter a organização funcionando em
casos de queda de energia. Para evitar problemas com operadoras de internet,
a contratação de duas operadoras é outro, pois se o serviço com uma opera-
dora estiver indisponível, a outra deve suprir a comunicação. Data centers,
por exemplo, podem estar em outro local geograficamente distante, para que
a empresa tenha uma estrutura que a atenda em situações de emergência.
Neste ponto, a solução de cloud computing (computação em nuvem) pode
oferecer uma infraestrutura de TI on-line, segura e com alta disponibilidade,
para minimizar a obsolescência em ambientes cada vez mais complexos e que
demandam recuperação em tempos cada vez menores.
12 Plano de contingência

A obsolescência é um tema constante em TI. Por isso, uma análise profunda

de sua estrutura, de forma proativa, se faz necessária (estrutura de bancos de
dados, rede, equipamentos, etc.). Se a TI estiver desatualizada, ela não performará
no momento em que se fizer necessária. Por outro lado, há um custo de manter
a TI sempre atualizada com a última geração de sistemas e infraestrutura. Uma
análise de riscos sensata parece ser a opção mais razoável para que a TI esteja
pronta sem exigir, por parte da organização, um extremo esforço financeiro.
Para que não haja dúvida, é importante que se diferencie o PCN (plano
de continuidade de negócios) do PRD (plano de recuperação de desastres).
O PCN trata das contingências, dos caminhos alternativos a serem seguidos
no caso de uma crise, ou seja, ele é tratado antes do desastre. Já o PRD toma
as medidas necessárias para que a normalidade seja retomada enquanto a
crise está em curso.
Para garantir um modelo sólido computacional, é essencial garantir as
propriedades de segurança que deverão ser asseguradas, antecipar os tipos
de ataque que poderão ser lançados e, então, desenvolver defesas específicas
(GOODRICH; TAMASSIA, 2013). Nesse sentido, é fundamental considerar
também a perspectiva do risco, pois um plano de contingência, em alguns
casos, acaba por ser uma extensão mais do que natural da gestão de riscos.
Perceba que o gerenciamento de riscos engloba a identificação daquilo que
pode, em algum momento futuro, afetar a organização. Entretanto, como é
conhecido, várias empresas não realizam a gestão de riscos e acabam por ter
de lidar com os desastres da forma mais traumática.
Há várias formas de tratar o risco, como as listadas a seguir:

„„ prevenir ou evitar o risco, eliminando a possibilidade de ele ocorrer;

„„ mitigar o risco, reduzindo a chance de ele ocorrer;
„„ transferir ou terceirizar o risco para outra pessoa;
„„ ignorar o risco, aceitando que ele pode ocorrer.

Uma ressalva importante sobre o último item (ignorar o risco): ele não necessariamente
representa algo negativo. Uma empresa, ao identificar determinado risco, pode nada
fazer a seu respeito, porque pode ter avaliado que, se ele se materializar, não gerará
impacto, ou o impacto será mínimo. Pode ocorrer ainda que o custo para minimizar
o risco seja muito maior do que o prejuízo gerado pela ocorrência do desastre.
 Plano de contingência 13

Como pode ser percebido, um plano de contingência, apesar de ser simples

de entender, é difícil de elaborar e manter, pois envolve expressivos recursos
dentro da organização. É fundamental que haja o apoio incondicional da
alta administração para a sua criação; se ela realmente não se engajar no
assunto, todo e qualquer movimento em relação a um plano de continuidade
de negócios será em vão.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR/ISO/IEC 17799: tecnologia da

informação: técnicas de segurança: código de prática para a gestão da segurança da
informação. Rio de Janeiro: ABNT, 2005. Substituída por: ABNT NBR ISO/IEC 27002:2005
em 2010.
BROWN, L.; STALLINGS, W. Segurança de computadores: princípios e práticas. Rio de
Janeiro: Elsevier, 2014.
FONTES, E. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008.
GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. Porto Alegre:
Bookman, 2013.
MCCARTHY, N. K. Resposta a incidentes de segurança em computadores - planos para
proteção de informação em risco. Porto Alegre: Bookman, 2014.

Leitura recomendada
PEIXOTO, M. C. P. Engenharia social e segurança da informação. Rio de Janeiro: Brasport,
2006.