Gestão de segurança da informação: práticas utilizadas pelas instituições federais de ensino superior para implantação de política de segurança da informação

Autores

  • Orlivaldo Kléber Lima Rios Universidade Federal de Pernambuco
  • José Gilson de Almeida Teixeira Filho Professor adjunto da Universidade Federal de Pernambuco (UFPE).
  • Vânia Patrícia da Silva Rios Instituto Federal Baibno - Campus Bonfim

DOI:

https://doi.org/10.22279/navus.2017.v7n2.p49-65.482

Palavras-chave:

Gestão de Segurança da Informação. Política de Segurança da Informação. Melhores Práticas.

Resumo

Instituições Federais do Ensino Superior desenvolvem suas atividades acadêmicas e administrativas com base em seus Planejamentos. Cada instituição desenvolve suas regras de conduta que devem estar asseguradas por suas políticas de segurança da informação e comunicação. Entretanto, no último Levantamento de Governança de TI em 2014, elaborado pelo Tribunal de Contas da União, foi divulgado que apenas 51% dos órgãos da Administração Pública Federal adotaram integralmente a política de segurança da informação e comunicação. Considerando que há recomendações e orientações do Governo Federal para a institucionalização dessa política em todos os órgãos da Administração Pública Federal, direta e indireta, essa pesquisa teve como objetivo identificar o cenário em que se encontram as Instituições Federais do Ensino Superior na área de gestão de segurança da informação, quanto a existência e as práticas utilizadas para elaboração e implantação da política de segurança da informação e comunicação. Foi utilizado o método indutivo de natureza aplicada com uma abordagem quantitativa e procedimento documental. Teve como instrumento de coleta de dados a aplicação de um questionário em estudo de campo envolvendo todas as instituições federais de ensino superior do Brasil. Ao final da pesquisa percebeu-se que o fator humano é a maior criticidade para o sucesso no planejamento da PoSIC, principalmente a participação da Alta Gestão.  A pesquisa mostrou a necessidade de promover ações estratégicas dos processos de segurança da informação, nas organizações governamentais, em especial as IFES, quanto à implantação da PoSIC.

Downloads

Não há dados estatísticos.

Biografia do Autor

Orlivaldo Kléber Lima Rios, Universidade Federal de Pernambuco

Possui especialidade em Administração de sistemas de Informação e Administração em Redes linux. Mestrando em Ciência da Computação na Universidade Federal de Pernambucio. É Analista de Tecnologia da Informação, Núcleo de Gestão e TI, IFBaiano - Campus Bonfim.

José Gilson de Almeida Teixeira Filho, Professor adjunto da Universidade Federal de Pernambuco (UFPE).

Possui doutorado em Ciências da Computação (2010), mestrado em Engenharia de Produção (2005), especialização em Finanças (2014), graduação em Sistemas de Informação (2003). Tem experiência nas áreas de Administração e Ciência da Computação, atuando principalmente nos seguintes temas: Governança Corporativa de TI, Planejamento Estratégico Institucional e de SI/TI, Gerenciamento de Projetos e Processos, Sistemas de Informação e Tecnologia da Informação, Inovação e Empreendedorismo.

Vânia Patrícia da Silva Rios, Instituto Federal Baibno - Campus Bonfim

Licencianda em Ciência da Computação pelo Instituto Federal de Ciência, Educação e Tecnologia Baiano. Tem experiência em sistemas Open Source e segurança da computação.

Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO/IEC 27001:2013. Tecnologia da Informação –

Técnicas de Segurança – Sistema de gestão da segurança da informação. Rio de Janeiro: ABNT, 2013a.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO/IEC 27002:2013. Tecnologia da Informação –

Técnicas de Segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2013b.

ALBUQUERQUE JUNIOR, Antonio Eduardo de; SANTOS, Ernani Marques dos. Adoção de medidas de Segurança da

Informação: um modelo de análise para institutos de pesquisa públicos. Revista Brasileira de Administração

Científica, v. 5, n. 2, p. 46-59, 2014.

ARAÚJO, Wagner Junqueira de. Leis, decretos e normas sobre Gestão da Segurança da Informação nos órgãos da

Administração Pública Federal. Informação & Sociedade: Estudos, v. 22, Número Especial, p.13-24, 2012.

BRASIL. Decreto nº 3.505 de 13 de junho de 2000. Institui a Política de Segurança da Informação nos órgãos e

entidades da Administração Pública Federal. Casa Civil, Subchefia para Assuntos Jurídicos, 2000. Disponível em:

<http://www.planalto.gov.br/ccivil_03/decreto/d3505.htm>. Acessado em 11 dez. 2015.

BRASIL. Tribunal de Contas da União. Levantamento acerca da Governança de Tecnologia da Informação na

Administração Pública Federal. Brasília: TCU, Secretaria de Fiscalização e Tecnologia da Informação. Sumário

Executivo, 2008. 48 p. Disponível em: <http://portal2.tcu.gov.br/portal/pls/portal/docs/2515176.PDF>. Acessado em: 14

dez. 2015.

BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento de Segurança da Informação e

Comunicações. Norma Complementar nº 03/IN01/DSIC/GSI/PR. Diretrizes para a Elaboração de Política de Segurança

da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal. Brasília, DF, GSI/PR, 2009. 5

p. Disponível em: <http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf >. Acessado em: 11 dez. 2015.

BRASIL. Tribunal de Contas da União. Levantamento de Governança de TI 2014. Brasília: TCU, Secretaria de

Fiscalização de Tecnologia da Informação, 2015. 94 p. Disponível em:

<http://portal3.tcu.gov.br/portal/pls/portal/docs/2705176.PDF>. Acessado em: 16 dez. 2015.

BRASIL. Demanda TCU nº 265-54 [mensagem pessoal]. Mensagem recebida por no-replay@tcu.gov.br em 30 maio

CASTILHO, Sérgio Duque. Política de segurança da informação aplicada em uma instituição de ensino mediante análise

de risco. RETEC-Revista de Tecnologias, v. 5, n. 2, p. 51-66, 2013.

COELHO, Flávia Estélia Silva; ARAÚJO, Luiz Geraldo Segadas; BEZERRA, Edson Kowask. Gestão da Segurança da

Informação NBR 27001 e NBR 27002. Rio de Janeiro-RJ: RNP/ESR, 2014.

DZAZALI, Suhazimah; HUSSEIN Zolait, Ali. Assessment of information security maturity: an exploration study of

Malaysian public service organizations. Journal of Systems and Information Technology, v. 14, n. 1, p. 23-57, 2012.

FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Marcio T. Política de segurança da informação: guia prático para

elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna, 2009.

FONTES, Edison. Políticas e normas para segurança da informação. Rio de janeiro: Brasport, 2012.

GERHARDT, Tatiana Engel; SILVEIRA, Denise Tolfo. Métodos de Pesquisa. Porto Alegre: UFRGS, 2009.

GIL, A. C. Métodos e técnicas de pesquisa social. 6. ed. São Paulo: Atlas, 2008.

GIL, A. C. Como Elaborar Projetos de Pesquisa. 5. ed. São Paulo: Atlas, 2010.

ISACA. COBIT 5 for Information Security. (2012). Disponível em: www.isaca.org/cobit. Acesso em: 7 abr. 2017.

IT GOVERNANCE INSTITUTE. COBIT, Aligning. 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit. USA: IT

Governance Institute, 2008.

KAUARK, Fabiana; MANHÃES, Fernanda Castro; MEDEIROS, Carlos Henrique. Metodologia da pesquisa: guia prático.

Itabuna: Via Litterarum, 2010.

MONTEIRO, Iná Lúcia Cipriano de Oliveira. Proposta de um Guia para elaboração de políticas de segurança da

informação e comunicação em órgãos da APF. Dissertação (Mestrado) - Universidade de Brasília. Brasília-DF, 2009.

PRODANOV, Cleber Cristiano; FREITAS, Ernani Cesar de. Metodologia do Trabalho Científico: Métodos e Técnicas da

Pesquisa e do Trabalho Acadêmico. 2. ed. Novo Hamburgo: Feevale, 2013.

QUINTELLA, Heitor Luiz Murat de Meirelles; BRANCO, Marcelo Pereira de Oliveira. Fatores Críticos de Sucesso em

Segurança da Informação em Um Órgão da Administração Pública Federal. In: SIMPÓSIO NACIONAL DE INOVAÇÃO E

SUSTENTABILIDADE (SINGEP), 2., 2013, São Paulo. Anais do II SINGEP e I S2IS. São Paulo: Uninove, 2013. p. 1-16.

SENGUPTA, Anirban; MAZUMDAR, Chandan; BAGCHI, Aditya. A Methodology for Conversion of Enterprise-Level

Information Security Policies to Implementation-Level Policies/Rule. In: INTERNATIONAL CONFERENCE ON EMERGING

APPLICATIONS OF INFORMATION TECHNOLOGY, 2., 2011, Kolkata. Proceedings… Kolkata, India: IEEE, 2011. p. 280-283.

TUYIKEZE, Tite.; POTTAS, Dalenca. An Information Security Policy Development Life Cycle. In: MULTI-CONFERENCE

SEISMC, 2010, Port Elizabeth. Proceedings of the South African Information Security. Port Elizabeth: ISSA, 2010. p.

-176.

TUYIKEZE, Tite; FLOWERDAY, Stephen. Information Security Policy Development and Implementation: A Content

Analysis Approach. In: INTERNATIONAL SYMPOSIUM ON HUMAN ASPECTS OF INFORMATION SECURITY & ASSURANCE,

, 2014. Proceedings… East London, South Africa: Nelson Mandela Metropolitan University, 2014. p. 11-20.

TAYLOR, Sharon. ITIL: Service Design. Best management Pratice. London: TSO The Stationary, 2011.

VEIGA, Adele Da. The Influence of Information Security Policies on Information Security Culture: Illustrated through a

Case Study. In: INTERNATIONAL SYMPOSIUM ON HUMAN ASPECTS OF INFORMATION SECURITY & ASSURANCE, 9., 2015.

Proceedings… Lesvos, Greece: University of Plymouth, 2015. p. 11-20.

Downloads

Publicado

2017-04-10

Edição

v. 7 n. 2 (2017)

Seção

Artigos

Licença

O conteúdo da revista é de acesso público e gratuito, podendo ser compartilhado de acordo com os termos da Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 4.0 Brasil. Você tem a liberdade de compartilhar — copiar, distribuir e transmitir a obra, sob as seguintes condições:

a) Atribuição — a atribuição deve ser feita quando alguém compartilhar um de seus artigos e deve sempre citar o nome da revista e o endereço do conteúdo compartilhado.
b) Uso não-comercial — você não pode usar esta obra para fins comerciais.
c) Vedada à criação de obras derivadas — você não pode alterar, transformar ou criar em cima desta obra.

Ficando claro que:
Renúncia — qualquer das condições acima pode ser renunciada se você obtiver permissão do titular dos direitos autorais. Domínio Público — onde a obra ou qualquer de seus elementos estiver em domínio público sob o direito aplicável, esta condição não é, de maneira alguma, afetada pela licença.

Outros Direitos — os seguintes direitos não são, de maneira alguma, afetados pela licença:

  • Limitações e exceções aos direitos autorais ou quaisquer usos livres aplicáveis;
  • os direitos morais do autor;
  • direitos que outras pessoas podem ter sobre a obra ou sobre a utilização da obra, tais como direitos de imagem ou privacidade.

Aviso — para qualquer reutilização ou distribuição, você deve deixar claro a terceiros os termos da licença a que se encontra submetida esta obra.

A revista se reserva o direito de efetuar, nos originais, alterações de ordem normativa, ortográfica e gramatical, com vistas a manter o padrão culto da língua, respeitando, porém, o estilo dos autores.

Os trabalhos publicados passam a ser propriedade da revista Navus: Revista de Gestão e Tecnologia que deve ser consignada a fonte de publicação original. Os originais não serão devolvidos aos autores.

As opiniões emitidas pelos autores nos artigos são de sua exclusiva responsabilidade.


Esta obra está licenciada sob uma Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 4.0 Brasil.