Artigo cientifico da aula de Metodos de Pesquisa no Centro Universitário das Faculdades Metropolitanas Unidas sobre Sistemas de Gestão da Segurança da Informação para Startups no Brasil com base nas bibliográfias existentes
1. MBIS EM SEGURANÇA DA INFORMAÇÃO
APLICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA
INFORMAÇÃO PARA STARTUPS NO BRASIL
THIAGO RIBEIRO SANTA ROSA 1185311
Trabalho apresentado à Faculdades Metropolitanas
Unidas como requisito para matéria de métodos de
pesquisas cientificas no curso de MBIs em Segurança da
Informação e tendo como orientadorProf. Me. Antônio Carlos
deAlcântaraThimóteo
SÃO PAULO
2015
2. RESUMO
O presente estudo tem como base identificar a viabilidade do uso dos controles de um sistema
de gestão da segurança da informação para empresas de pequeno porte, chamadas de startups.
Estas companhias trabalham com um cenário completamente diferente da industria tradicional
e tem grande visibilidade após casos de sucesso no Brasil e no mundo. Para isso, durante este
estudo foram apresentados modelos de normas de segurança da informação, os controles
necessários para aplicação de um modelo de gestão e uma representação com base em
bibliografia acadêmica dos cenários de segurança da informação e de pequenas empresas
brasileiras para identificar a aplicabilidade do modelo.
Palavras-chave: Segurança da Informação, Startups, Sistemas de Gestão, ISO 27002,
Pequenas empresas, Brasil
ABSTRACT
The present study is based on identifying the feasibility of using the controls of a management
system of information security for small businesses, called startups. These companies work
with a completely different scenario of traditional industry and has high visibility after
successes in Brazil and around the world. For this research were presented models of
information security standards, controls necessary for the application of a management model
and a representation based on academic bibliography of information security scenarios and
small businesses for brazilian industries to identify the applicability of the model.
Keywords: Security Information, Startups, Management Systems, ISO 27002
3. INTRODUÇÃO
Toda empresa tem que estabelecer práticas de gestão desde o inicio do seu ciclo de
vida, para garantir competitividade e os controles adequados para todos os processos que
envolvem o negócio. Não existe grande empresa que não adote controles mínimos para
sobreviver nos dias de hoje.
Partindo desta premissa e sem entrar no mérito do tamanho da companhia, é
necessário controlar o fluxo de informações para garantir que o cenário seja adequado para a
continuidade de sua atividade fim. Para a segurança da informação, existem modelos
tradicionais e formalmente estabelecidos para este tipo de controle, além de cumprir as
obrigações estabelecidas em lei.
Mas fatores podem contribuir para que adoção destes controles. Buscando
compreender este cenário, o presente trabalho busca questionar a viabilidade da aplicação de
um sistema de gestão de segurança da informação para empresas cujo foco são serviços
inovadores, geograficamente estabelecidos no Brasil. Será que estas empresas tem condição
de gerar e manter uma estrutura com uma série de controles obrigatórios mesmo com tamanho
reduzido e o foco na entrega de um produto revolucionário?
Será que neste momento, cenário do Brasil é favorável a implementação destas
estruturas, mesmo elas tem orçamento reduzido? E como tratar estes valores dentro de metas e
objetivos enxutos de recursos?
Para identificar possíveis respostas a estas perguntas, este trabalho trata uma breve
visão do que é necessário para criar um sistema de gestão da segurança da informação, quais
ferramentas fazem parte dos controles necessários, o cenário do Brasil da segurança da
informação e da formação de startups de tecnologia dentro do que foi apresentado.
4. 2. REFERENCIAL TEÓRICO
Segurança da informação é um principio que garante que a informação esteja íntegra,
disponível e que somente pessoas autorizadas tenha acesso ao conteúdo delas, conforme
define Beal (2005). Para Sêmola (2003), a definição de segurança da informação é "uma área
do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados,
alterações indevidas ou sua indisponibilidade"
Para garantir que a informação tenha estes atributos, é necessário uma série de
controles protegendo os dados de manipulação ou qualquer outro tipo de risco que os ativos
de tecnologia estão submetidos. (BEAL, 2005)
2.1. SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (SGSI)
Todo sistema de gestão de segurança da informação (SGSI) descreve o método
utilizado para definir as atividades que uma estrutura de segurança da informação deve ter
numa corporação. Para a sistematização deste processo dentro de uma empresa (ISO 27002,
2005)
2.1.1 Etapas de um SGSI
Um SGSI deve ter outras quatro tarefas ou subprocessos que devem ser
implementados: Planejamento (Plan), Realização (Do), Verificação (Check) e Ação (Act),
compondo um ciclo de ação conhecido como PDCA, este obedecendo a mesma definição
descrita na norma ISO 9000. (ISO 27002, 2005).
5. Figura 1: Representação Ciclo PDCA
Fonte: ISO 27001 Security (2013).
2.1.1.1 Planejamento (Plan)
Segundo a ISO/IEC (2015), a fase de planejamento compõe as atividades principais
que deverão ser iniciadas para a elaboração do SGSI. Entre as etapas que deverão ser feitas
nesta primeira fase estão a elaboração das políticas de segurança da informação, quais são as
regras que deverão ser obedecidas pela companhia ao qual se implementa este sistema, além
de processos e procedimentos que serão seguidos por todos os envolvidos nas atividades
relacionadas, além da avaliação dos principais riscos envolvidos.
2.1.1.2 Realização (Do)
Nesta segunda fase, são implementadas as atividades levantadas na fase de
planejamento, colocando se em prática os controles estabelecidos por norma, além da
mitigação dos riscos identificados na fase anterior, sendo necessária a execução das atividades
neste momento. (ISO/IEC, 2015)
2.1.1.3 Verificação (Check)
6. Após a execução das atividades previamente levantadas, é necessário avaliar a
efetividade da sua execução. Para isso, a etapa de verificação realiza auditorias em cima de
uma atividade feita a partir de métodos previamente estabelecidos e documentados,
comparando o que foi planejado com o que foi executado. (ISO/IEC, 2015)
2.1.1.3 Ação (Act)
A etapa de ação é executada no final do processo para avaliar as lições apreendidas das
atividades que já passaram pelas fases anteriores, propondo melhorias que devem ser
aplicados aos cenários da corporação. Finalizando esta ação, retorna-se ao primeiro processo
de planejamento para novas atividades, gerando um ciclo de melhoria continua para a ação
necessária (ISO/IEC, 2015)
2.2. NORMA ISO 27002
A ISO 27002 é a norma internacional que estabelece o conjunto de requisitos técnicos
e operacionais para segurança da informação. São 15 seções dentro da norma, sendo que 1
delas explica a estrutura da norma. São ao todo 114 objetivos de controles definidos nestas
seções na versão publicada em 2013. Em comparação com a versão 2005, a nova edição é
mais granular em termos de objetivo por conta do maior número de seções, uma vez que a
publicação anterior tinha 133 objetivos e 11 seções (ISO Directory, 2013)
As seções descritas nesta norma são as seguintes: Política de segurança; Organização
da Segurança da Informação; Recursos Humanos de Segurança; Gerenciamento de ativos;
Controle de acessos; Criptografia; Segurança Física e de Ambiente; Segurança de Operações,
Segurança de Comunicações; Manutenção, Desenvolvimento e Aquisição de Sistemas de
Informação; Relacionamento com fornecedores, Gerenciamento de Incidentes de Segurança
da Informação; Aspectos de Continuidade de Negócio de Segurança da Informação;
Conformidade.
2.3 OUTRAS NORMAS DE SEGURANÇA DA INFORMAÇÃO
Existem outras normas de segurança da informação que podem ser utilizadas para
implementação de um sistema de gestão, com seu próprio modelo de certificação para os
requisitos e controles documentados em relação ao padrão internacional (JO/KIM/WON,
7. 2011). Entre vários institutos podemos mencionar o ITSEC (Information Technology Security
Evaluation Criteria), ISCS Korea (Information Security Check Service of Korea), ITBPM
Germany (Information Technology Baseline Protection Manual of Germany).
2.4 CAMADAS DA SEGURANÇA DA INFORMAÇÃO
Para Schneier (2001), vulnerabilidades podem ser exploradas para ataques em
diferentes tipos de ativos de uma corporação, seja eles tecnológicos, físicos ou humanos. Um
atacante pode potencializar um ataque descobrindo um ponto fraco em qualquer um dos níveis
acima.
Neste ponto, Sêmola (2003) define três tipos de classificações diferentes: aspectos
tecnológicos, aspectos físicos e aspectos humanos. Adachi (2004) representa as camadas com
terminologias diferentes: física, lógica e humana.
2.4.1 Camada Física
Segundo Adachi (2004), camada física da segurança da informação é onde estão todos
os componentes de tecnologia da informação fisicamente instalados. Estes componentes pode
ser estações de trabalho, equipamento telefônicos, servidores ou qualquer outro tipo de
hardware que seja um ativo valido da corporação.
2.4.2 Camada Lógica
Conforme descrito no trabalho de Adachi (2004), camada lógica da segurança da
informação são todos os softwares que controlam ou gerenciam ações a serem executadas por
um determinado equipamento físico. Por exemplo: uma interface para gerenciamento de um
equipamento de firewall. Para controlar os equipamentos da camada física, um software
utiliza regras definidas pelo negócio para garantir o controle efetivo que uma política
estabelece para o uso daquele equipamento.
2.4.3 Camada Humana
Esta camada constitui de todos os ativos humanos de uma corporação que tem acesso
ao ambiente de tecnologia de informação do empreendimento. A utilização dos ativos de
8. tecnologia pelos usuários finais podem constituir riscos altos se não forem analisados
devidamente. Por isso, denota-se a importância dos treinamentos dos usuários para uso do
ambiente e de técnicas para obtenção de informações não autorizadas como a engenharia
social (ADACHI, 2004)
2.5. IMPLANTAÇÃO DE UM SGSI
Segundo Martins e Santos (2005), deve ser de ciência de todos os setores da
corporação a implementação de uma política de segurança da informação, através de um
aceite formal da mesma. Além disso, deve ser criado um escritório de segurança da
informação (Security Officer) com objetivo de aproximar a estratégia do negócio dos
controles gerenciados pela TI.
2.5.1 Metodologia de Implantação de um SGSI
Martins e Santos (2005) desenvolveram uma metodologia para implementar um SGSI
dentro de uma corporação, independente do tamanho da empresa, com limitações para o
detalhamento dos requisitos específicos para cada organização. Esta metodologia mostra a
etapa a ser executada e qual é a entrega da mesma, baseada no ciclo PDCA e em quais normas
estão referenciadas.
Figura 3: Metodologia para Implantação de um SGSI
Fonte: TECSI FEA USP – 2005
9. 2.5.1.1 Política de Segurança da Informação
A política de segurança da Informação e o documento base para implementação de um
SGSI, pois contêm todos os controles, regras e definições de responsabilidades que devem ser
feitas pela corporação impactada. Ela deve ser divulgada para todos os membros da empresa e
deve ser baseada nos requisitos da companhia. (IETF, 2000).
Uma política de segurança da informação deve ser elaborada pelo escritório ou comitê
de segurança da empresa e ser desenvolvida dentro de um fluxo com a classificação das
informações da companhia, as definições e metas de segurança da organização, as
necessidades de segurança, uma proposta de política para ser discutida com os membros da
envolvidos na elaboração e, por conseguinte, apresentação, aprovação e implementação do
documento formal para a empresa, conforme determina a ISO/IEC27002 (2011). Como
características, a normal também descreve a necessidade do documento ser revisado
periodicamente e que qualquer mudança, a mesma deve ser alterada, além de estar de acordo
com leis e contratos de trabalho vigentes dos colaboradores da corporação.
2.5.1.2 Definição de Escopo
Definir o escopo dos ativos é listar quais são os itens que serão necessários dentro de
um sistema de gestão da segurança da informação, que vão desde equipamentos físicos,
sistemas de apoio, nome e estrutura da organização, fluxo de comunicação interna e externa,
pessoas e serviços relacionados e a classificação da informação (MARTINS E SANTOS,
2005).
2.5.1.3 Analise de Risco
Com o escopo definido, o próximo passo é definir quais são os riscos envolvidos para
cada um dos ativos da informação inventariados e sua classificação para o negócio. Com este
tipo de conhecimento, é possível tomar ações para mitigar o risco caso seja possível. Se não,
podemos reduzir ele utilizando controles adequados, transferir o risco para uma outra empresa
para gestão dele ou mesmo aceitar e negar o risco. (COBRA, 2002)
Para esta fase Martins e Santos (2005), indicam dois tipos de métricas para as
informações coletadas: qualitativa ou quantitativa, sem assegurar qual é a melhor abordagem
para este tema. Porém, denota uma tendência de mercado em escolher a abordagem
10. qualitativa para facilitar métricas de uso. Independente do método, uma analise deve
identificar e classificar ativos e processo do negócio, a análise das ameaças e vulnerabilidades
presentes, além da parametrização e definição do tratamento dos riscos identificados.
2.5.1.4 Gerenciamento dos Riscos
Para Sêmola (2003), gerenciar a segurança da informação é algo critico as
corporações, devido a todos os desafios inerentes a esta responsabilidade e quais os tipos de
de impacto no negócio para cada tipo de ativo impactado.
Dentro deste contexto, Martins e Santos (2005) colocam o processo de gerenciamento
de riscos como um fluxo continuo, que não acaba após a implementação de um controle de
segurança. É necessário estimar o impacto do risco em relação ao negócio e que sejam
especificados os controles de segurança necessário, como a implementação de um plano de
continuidade de negócios e time de resposta para gerenciamento de incidentes de segurança
da informação. A gestão de riscos é uma forma de antecipar eventos e a tomada de ação neste
momento, podendo acabar com a implantação de controles mais adequados a necessidade da
companhia.
2.5.1.5 Controles de Declaração de Aplicabilidade
Após as etapas anteriores, se faz necessário identificar em relação a normal os
controles a serem colocados a gestão da segurança da informação para a companhia. A partir
deste ponto, serão listados controles aplicáveis para o cenário, entre ferramentas que vão
auxiliar na governança da operação, na disponibilidade dos dados e na proteção de
informações, através de métodos como criptografia, certificados digitais, firewall, proxies,
antivírus e antisspam, entre outros. Deve se elencar qual a função da ferramenta em questão
em relação ao objetivo de controle mencionado na norma seguida. (MARTINS E SANTOS,
2005).
2.5.1.6 Implementação e Acompanhamento de Indicadores
Para garantir a efetividade do processo, são necessários indicadores de desempenho dos
processos. Estes indicadores devem ser específicos ao processo analisado e deve estar de
11. acordo com o negócio. O controle neste caso pode ser feito por software de gestão ou por
normas já previamente estabelecidas dentro das políticas de segurança da informação.
2.5.1.7 Auditoria do Sistema
Segundo o Michaelis (1998), a palavra auditoria origina de um cargo de auditor, ou
seja, aquele que é encarregado de analisar a aplicação das regras. Para Martins e Santos
(2005) a auditoria interna de um sistema de gestão de segurança da informação assegura sua
aplicação e se estão sendo eficazes os processos da companhia e os requisitos da corporação
estão aderentes ao proposto no processo. Caso seja encontradas não conformidades dentro da
avaliação dos auditores, o mesmo deve ser registrado para alterações no sistema e melhoria no
processo de gestão.
2.6 CENÁRIO DE SISTEMA DA SEGURANÇA DA INFORMAÇÃO NO BRASIL
Segundo Cortez e Kubota (2012), o cenário da Segurança da informação no Brasil em
2009 a partir de evidencias empíricas constado em modelo analítico é positivo. Entre as
medidas que são aplicadas em segurança em relação a probabilidade de ocorrência de um
incidente relacionado alguma falha é controlada. Isso ocorre pelo grau de investimento
adotado pelas empresas em relação às variáveis dimensionadas, conforme a figura 3:
Figura 3: Proporção de usuários com acesso a internet
Fonte: CETIC 2009 – Comitê Gestor de Informática – CGI (2010).
12. Figura 4: Contramedidas de Segurança da Informação
Fonte: CETIC 2009 – Comitê Gestor de Informática – CGI (2010).
Os dados apresentados pelo CGI (2010) mostram que a quantidade de usuários e o
tamanho das empresas influem diretamente na proporção de incidentes de segurança da
informação. Quanto mais usuários tem acesso aos ativos de tecnologia da informação mais
incidentes ocorrem. Além disso, a percepção de incidentes de segurança de informação
diminui em empresas onde não existem departamentos ou política de segurança da
informação.
Contudo, Cortez e Kubota (2012) trabalharam com dois modelos diferentes para
variáveis de controle (probit e logit) que direcionam ao fato que as empresas com maiores
investimentos em controles de segurança tenham proteção mais eficiente do que as outras do
cenário discutido acima.
2.7 STARTUPS
Segundo o Merrian-Webster (2009) Startups é uma definição para empresas recém
criadas, em tradução livre do autor deste trabalho. Estas empresas pequenas, cujo o capital
intelectual envolve um ativo original, normalmente iniciam com baixo custo de
implementação. No cenário atual, estas micro companhias são escaláveis e com modelos de
negócio bem definidos, incluindo um entendimento que uma startup deve ter um serviço que
possa ser executado repetidamente independente da demanda. Além disso, a Startup deve
13. trabalhar com um cenário incerto, ou seja, que seja uma ideia completamente original e que
não se comprove que irá dar certo (EXAME, 2010).
2.8. CENÁRIO PARA STARTUPS NO BRASIL
Segundo Mizumoto et al (2008) existem diversos aspectos para que empreendedores
consigam ter sucesso com seu empreendimento, quando este se trata de uma pequena
empresa. Entre as variáveis demonstradas estão a competição do setor empreendido,
condições macroeconômicas e características dos empreendedores. Além disso, Djankov et al
(2007) indica que aspectos sociais como a ligação familiar entre os empreendedores,
influencia diretamente na oportunidade de levar uma pequena empresa adiante.
Segundo Fernando (2001) a adoção de práticas gerencias permitem que o
empreendedor possa ter uma eficiência em seus processos de negócio após o inicio de suas
atividades e uma maior eficácia de sua organização.
Dentro de um modelo estatístico, Mizumoto et al (2010) fez avaliação sobre o motivo
que leva uma pequena empresa ao sucesso ou ao fracasso. Dentro de três fatores identificados
e pesquisados (capital humano, capital social e práticas gerencias), não houve um fator
determinante para o fechamento. Porém, conforme notação no mesmo estudo que "vale notar
que, nas análises aqui realizadas, o maior poder explicativo, em conjunto, foi obtido com as
variáveis relacionadas à adoção de práticas gerenciais. Esse resultado sugere que
empreendedores podem, eventualmente,compensar um baixo estoque de capital humano ou
social por meio da adoção de práticas que aumentam a eficiência ou eficácia organizacional
do novo negócio".
14. 3. METODOLOGIA
O vigente trabalho utiliza como metodologia a pesquisa bibliográfica que tem como
base a definição de diversos autores de áreas relacionadas ao tema escolhido. Com base na
NBR (2000), referência bibliográfica são elementos que identificam documentos impressos
em qualquer tipo de mídia, sendo na sua totalidade ou em sua parcialidade.
Segundo Cervo, Bervian e da Silva (2007), a pesquisa bibliográfica constitui um
método ao qual busca o domínio sobre o tema escolhido, para analise das teorias expressadas
no tema da pesquisa acadêmica em questão.
Apesar de Gil (2008) mencionar que o trabalho deve ser desenvolvido com base em
material de diversas literaturas e artigos científicos reconhecidos, Santos, Firme e Barros
(2008) reconhecem a importância da utilização da internet como fonte bibliográfica, mesmo
ressaltando que a informação não possa ser classificada ou graduada da maneira que as
academias fazem.
15. 4. APRESENTAÇÃO E ANÁLISE DE DADOS
Com base nos dados apresentados neste documento, indica-se uma necessidade de
implementação de um sistema de gestão da informação logo na implantação da Startup.
Empresas deste tipo tem estratégia baseada em risco e inovação e devem ter controles que
garantam a operabilidade do negócio. Na pesquisa realizada é possível identificar que,
independente do tamanho da corporação, existem normas que determinam quais são os
controles e atividades necessárias para implementação de um modelo de Sistema de Gestão da
Segurança da Informação.
Como é demonstrada na bibliografia analisada, processos que apoiem a eficiência do
negócio tem a tendência em auxiliar na gestão de uma startup. Além disso, como melhor
prática de mercado, não é necessário auditar o processo logo no seu inicio. Dentro de um ciclo
de melhoria continua, isso pode sugerir uma garantia de sucesso do negócio e implementação
de controles básicos que se fazem necessários.
Contudo, é preciso analisar que a limitação deste estudo em não utilizar um método de
pesquisa capaz de conciliar dados que efetivamente apontem qual processo ou controle deve
ser utilizado pode negar as condições de uso de um processo de gestão conforme é indicado
nas normas estudadas.
16. 5. CONSIDERAÇÕES FINAIS
Como considerações finais do presente estudo, é possível identificar pelas
bibliografias pesquisadas que o uso de sistema de gestão da segurança da informação se faz
necessário independente do tamanho da empresa. Dentro da visão proposta, como o estudo se
limitou apenas em analisar o cenário brasileiro e pelas literaturas citadas, é provável aplicar os
controles em Startups.
Não existe uma metodologia que demonstra como deve ser estruturada uma empresa
de pequeno porte, porém a base de informação desta analise indica que estas companhias
tenham mais sucesso com o uso de métodos de gestão adequados para controle do negócio.
Assim, o modelo de governança de uma startup pode ser concebido iniciando o sistema de
gestão.
Aplicação de políticas de segurança, avaliação dos controles a serem utilizadas, a
implementação dos controles e a revisão periódica sendo alinhadas com práticas gerencias
próxima da direção do negócio, e apoiados por uma estrutura de TI focada em segurança é
uma tendência a ser utilizada.
17. 6. REFERÊNCIAS
ADACHI, T. Gestão de Segurança em Internet Banking – São Paulo, FGV, 2004. 121p.
BEAL, A. Segurança da Informação: princípios e melhores práticas para a proteção dos
ativos de informação nas organizações, São Paulo, Atlas, 2005
CGI. "Pesquisa sobre o uso das tecnologias da informação e da comunicação no Brasil:
TIC Domicílios e TIC Empresas", São Paulo, 2009.
CERVO, A. L; BERVIAN, P. A; DA SILVA, R. Metodologia Científica. 6. ed. Brasil,
Pearson Prentice Hall, 2007
COBRA, Iso Compliance Analyst, Release 3.1.8b. C&A Systems Security Ltd, 2002.
CORTEZ, I. S; KUBOTA, L. C; Contramedidas em segurança da informação e
vulnerabilidade cibernética: evidência empírica de empresas brasileiras, Brasil, RAUSP,
2012
DJANKOV, S. et al. What makes a successful entrepreneur? Evidence from Brazil., Russia,
Working Paper 104 Cefir/ NES, 2007
EXAME, O que é uma startup. Brasil, 2010. Disponível em <
http://exame.abril.com.br/pme/noticias/o-que-e-uma-startup>. Acesso em 01 ago. 2015
FERNANDO, M. Are popular management techniques a waste of time?, Academy of
Management Executive, Estados Unidos, 2001
GIL, A.C. Metodologia do ensino superior. Brasil, Editora Atlas, 1990.
JO, H; KIM, S; WON, D. Advanced Information Security Management Evaluation System.
- Coréia do Sul, 2011.
18. IETF, Internet Security Glossary - RFC 2828, Inglaterra, 2000. Disponível em <
http://www.ietf.org/rfc/rfc2828.txt>. Acesso em 02 ago. 2015>
ISO/IEC27002:2005. “Information Technology Security Techniques” , Suiça, 2005
ISO/IEC, "Directives Supplement", Suiça, 2015
ISO Directory, "Introduction To ISO 27002", Inglaterra, 2013. Disponível em
<http://www.27000.org/iso-27002.htm>. Acesso em 28 jul. 2015
ISO, NBR. 9000: 2000–Sistemas de gestão da qualidade–Fundamentos e
vocabulário. Brasil, ABNT, 2000.
MARTINS, A.B; SANTOS, C. A. B; Uma metodologia para implantação de um sistema
de gestão da segurança da informação, Brasil, TECSI FEA USP, 2005
MERRIAN WEBSTER, Merriam-Webster's Dictionary and Thesaurus, Estados Unidos,
2009
MICHAELIS, Moderno dicionário da língua portuguesa, Brasil, Editora Melhoramentos,
1998.
MIZUMOTO, F. M; ARTES, R; LAZZARINI, S. G.; HASHIMOTO, M; BEDÊ, M. A. A
sobrevivência de empresas nascentes no estado de São Paulo: um estudo sobre capital
humano, capital social e práticas gerenciais, Brasil, RAUSP, 2010
DOS SANTOS, A. R; FIRME, C. L; BARROS, J. C. A internet como fonte de informação
bibliográfica em química. Editoria Quim. Nova, Brasil, 2008.
SÊMOLA, M. Gestão da segurança da informação, Editora Elsevier, Brasil, 2003.
SCHNEIER, B. Segurança.com: segredos e mentiras sobre a proteção na vida digital,
Editora Campus, Brasil, 2001.