Primasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativo
A falta de segurança em sistemas de informação tem provocado inúmeros prejuízos financeiros e morais para as organizações. As organizações dispõem de uma série de medidas de segurança da informação recomendadas por normas internacionais e pela literatura. Porém a implementação de políticas, ações e...
| Author: | |
|---|---|
| Format: | doctoral thesis |
| Status: | Published version |
| Publication Date: | 2018 |
| Country: | Brasil |
| Institution: | Universidade Federal de Pernambuco (UFPE) |
| Repository: | Repositório Institucional da UFPE |
| Language: | Portuguese |
| OAI Identifier: | oai:repositorio.ufpe.br:123456789/33640 |
| Online Access: | https://repositorio.ufpe.br/handle/123456789/33640 |
| Access Level: | Open access |
| Keyword: | Segurança da informação Priorização |
| Summary: | A falta de segurança em sistemas de informação tem provocado inúmeros prejuízos financeiros e morais para as organizações. As organizações dispõem de uma série de medidas de segurança da informação recomendadas por normas internacionais e pela literatura. Porém a implementação de políticas, ações e adequação a alguma norma não é algo simples, devendo ser balizada pelas necessidades específicas identificadas pela Governança da Segurança da Informação em cada organização. Muitos são os desafios enfrentados para estabelecer, manter e medir a segurança da informação de forma eficaz e que de fato agregue valor. Estas dificuldades demonstram a necessidade de pesquisar formas para tentar suprir esta carência. Este trabalho apresenta uma estratégia para mensurar a maturidade em segurança da informação visando, também, auxiliar a aplicação e priorização das ações de segurança da informação no meio corporativo. Para isto, a pesquisa alicerçou-se na Design Science Research, utilizando o survey como principal instrumento metodológico de coleta de dados, alcançando 157 empresas distintas. Para propor essa estratégia de priorização e maturidade optou-se por um estudo ad-hoc da literatura, seguido por um mapeamento sistemático da literatura e análises de revisões sistemáticas da literatura já existentes. Como resultado foi possível classificar os controles da ISO/IEC 27001 e 27002 em quatro estágios de acordo com a importância dada pelas empresas. Utilizou-se, também, os níveis de maturidade do COBIT e uma matriz para análise de riscos. Quatro versões do artefato foram geradas, sendo avaliadas por empresas e especialistas, utilizando questionários, aplicação em caso real e realizando um grupo focal. A quarta e última versão do artefato foi chamada de Estratégia Primasia, uma Estratégia para Priorização e Maturidade da Segurança da Informação Adaptável. Neste sentido, a principal contribuição desta pesquisa de doutorado é a estratégia de priorização e maturidade em segurança da informação adaptável que visa estabelecer boas práticas de segurança da informação para maximizar o seu sucesso nas empresas. Acredita-se que este trabalho também contribui com o ainda incipiente corpo de conhecimento da área de priorização e maturidade em segurança da informação. Este entendimento é útil não apenas para estudos futuros na academia, mas também para empresas que estejam iniciando ou pretendendo melhorar suas ações de segurança da informação. |
|---|