Information security management: practices used by federal higher education institutions for deployment of information security policy

Authors

  • Orlivaldo Kléber Lima Rios Universidade Federal de Pernambuco
  • José Gilson de Almeida Teixeira Filho Professor adjunto da Universidade Federal de Pernambuco (UFPE).
  • Vânia Patrícia da Silva Rios Instituto Federal Baibno - Campus Bonfim

DOI:

https://doi.org/10.22279/navus.2017.v7n2.p49-65.482

Keywords:

Security Information Management. Security Policy Information. Best Practices.

Abstract

Federal Institutions of Higher Education develop their academic and administrative activities based on their Planning.
Each institution develops its rules of conduct that must be carried out by its information and communication security
policies. However, in the last Survey of IT Governance in 2014, prepared by the Federal Audit Court, it was reported that
only 51% of the Federal Public Administration fully adopted the security policy of information and communication.
Considering that there are recommendations and guidelines of the Federal Government to institutionalize this policy in
all organs of the Federal Public Administration, both direct and indirectly, this research aimed to identify the scenario
where the Federal Higher Education Institutions regarding the existence and practices used to the design and
implementation of information and communication security policy. The inductive method with a quantitative approach
and documentary procedure was used, and a field study survey as data collection tool involving all federal institutions of
higher education in Brazil was applied. At the end of the survey it was realized that the human factor is the most critical
factor for success in the planning of Information Security Policy, especially the participation of the High Management.
The research has shown the need to promote strategic actions of information security processes in government
organizations, especially the Federal Institutions of Higher Education, concerning the implementation of Information
Security Policy.

Downloads

Download data is not yet available.

Author Biographies

Orlivaldo Kléber Lima Rios, Universidade Federal de Pernambuco

Possui especialidade em Administração de sistemas de Informação e Administração em Redes linux. Mestrando em Ciência da Computação na Universidade Federal de Pernambucio. É Analista de Tecnologia da Informação, Núcleo de Gestão e TI, IFBaiano - Campus Bonfim.

José Gilson de Almeida Teixeira Filho, Professor adjunto da Universidade Federal de Pernambuco (UFPE).

Possui doutorado em Ciências da Computação (2010), mestrado em Engenharia de Produção (2005), especialização em Finanças (2014), graduação em Sistemas de Informação (2003). Tem experiência nas áreas de Administração e Ciência da Computação, atuando principalmente nos seguintes temas: Governança Corporativa de TI, Planejamento Estratégico Institucional e de SI/TI, Gerenciamento de Projetos e Processos, Sistemas de Informação e Tecnologia da Informação, Inovação e Empreendedorismo.

Vânia Patrícia da Silva Rios, Instituto Federal Baibno - Campus Bonfim

Licencianda em Ciência da Computação pelo Instituto Federal de Ciência, Educação e Tecnologia Baiano. Tem experiência em sistemas Open Source e segurança da computação.

References

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO/IEC 27001:2013. Tecnologia da Informação –

Técnicas de Segurança – Sistema de gestão da segurança da informação. Rio de Janeiro: ABNT, 2013a.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO/IEC 27002:2013. Tecnologia da Informação –

Técnicas de Segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2013b.

ALBUQUERQUE JUNIOR, Antonio Eduardo de; SANTOS, Ernani Marques dos. Adoção de medidas de Segurança da

Informação: um modelo de análise para institutos de pesquisa públicos. Revista Brasileira de Administração

Científica, v. 5, n. 2, p. 46-59, 2014.

ARAÚJO, Wagner Junqueira de. Leis, decretos e normas sobre Gestão da Segurança da Informação nos órgãos da

Administração Pública Federal. Informação & Sociedade: Estudos, v. 22, Número Especial, p.13-24, 2012.

BRASIL. Decreto nº 3.505 de 13 de junho de 2000. Institui a Política de Segurança da Informação nos órgãos e

entidades da Administração Pública Federal. Casa Civil, Subchefia para Assuntos Jurídicos, 2000. Disponível em:

<http://www.planalto.gov.br/ccivil_03/decreto/d3505.htm>. Acessado em 11 dez. 2015.

BRASIL. Tribunal de Contas da União. Levantamento acerca da Governança de Tecnologia da Informação na

Administração Pública Federal. Brasília: TCU, Secretaria de Fiscalização e Tecnologia da Informação. Sumário

Executivo, 2008. 48 p. Disponível em: <http://portal2.tcu.gov.br/portal/pls/portal/docs/2515176.PDF>. Acessado em: 14

dez. 2015.

BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento de Segurança da Informação e

Comunicações. Norma Complementar nº 03/IN01/DSIC/GSI/PR. Diretrizes para a Elaboração de Política de Segurança

da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal. Brasília, DF, GSI/PR, 2009. 5

p. Disponível em: <http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf >. Acessado em: 11 dez. 2015.

BRASIL. Tribunal de Contas da União. Levantamento de Governança de TI 2014. Brasília: TCU, Secretaria de

Fiscalização de Tecnologia da Informação, 2015. 94 p. Disponível em:

<http://portal3.tcu.gov.br/portal/pls/portal/docs/2705176.PDF>. Acessado em: 16 dez. 2015.

BRASIL. Demanda TCU nº 265-54 [mensagem pessoal]. Mensagem recebida por no-replay@tcu.gov.br em 30 maio

CASTILHO, Sérgio Duque. Política de segurança da informação aplicada em uma instituição de ensino mediante análise

de risco. RETEC-Revista de Tecnologias, v. 5, n. 2, p. 51-66, 2013.

COELHO, Flávia Estélia Silva; ARAÚJO, Luiz Geraldo Segadas; BEZERRA, Edson Kowask. Gestão da Segurança da

Informação NBR 27001 e NBR 27002. Rio de Janeiro-RJ: RNP/ESR, 2014.

DZAZALI, Suhazimah; HUSSEIN Zolait, Ali. Assessment of information security maturity: an exploration study of

Malaysian public service organizations. Journal of Systems and Information Technology, v. 14, n. 1, p. 23-57, 2012.

FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Marcio T. Política de segurança da informação: guia prático para

elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna, 2009.

FONTES, Edison. Políticas e normas para segurança da informação. Rio de janeiro: Brasport, 2012.

GERHARDT, Tatiana Engel; SILVEIRA, Denise Tolfo. Métodos de Pesquisa. Porto Alegre: UFRGS, 2009.

GIL, A. C. Métodos e técnicas de pesquisa social. 6. ed. São Paulo: Atlas, 2008.

GIL, A. C. Como Elaborar Projetos de Pesquisa. 5. ed. São Paulo: Atlas, 2010.

ISACA. COBIT 5 for Information Security. (2012). Disponível em: www.isaca.org/cobit. Acesso em: 7 abr. 2017.

IT GOVERNANCE INSTITUTE. COBIT, Aligning. 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit. USA: IT

Governance Institute, 2008.

KAUARK, Fabiana; MANHÃES, Fernanda Castro; MEDEIROS, Carlos Henrique. Metodologia da pesquisa: guia prático.

Itabuna: Via Litterarum, 2010.

MONTEIRO, Iná Lúcia Cipriano de Oliveira. Proposta de um Guia para elaboração de políticas de segurança da

informação e comunicação em órgãos da APF. Dissertação (Mestrado) - Universidade de Brasília. Brasília-DF, 2009.

PRODANOV, Cleber Cristiano; FREITAS, Ernani Cesar de. Metodologia do Trabalho Científico: Métodos e Técnicas da

Pesquisa e do Trabalho Acadêmico. 2. ed. Novo Hamburgo: Feevale, 2013.

QUINTELLA, Heitor Luiz Murat de Meirelles; BRANCO, Marcelo Pereira de Oliveira. Fatores Críticos de Sucesso em

Segurança da Informação em Um Órgão da Administração Pública Federal. In: SIMPÓSIO NACIONAL DE INOVAÇÃO E

SUSTENTABILIDADE (SINGEP), 2., 2013, São Paulo. Anais do II SINGEP e I S2IS. São Paulo: Uninove, 2013. p. 1-16.

SENGUPTA, Anirban; MAZUMDAR, Chandan; BAGCHI, Aditya. A Methodology for Conversion of Enterprise-Level

Information Security Policies to Implementation-Level Policies/Rule. In: INTERNATIONAL CONFERENCE ON EMERGING

APPLICATIONS OF INFORMATION TECHNOLOGY, 2., 2011, Kolkata. Proceedings… Kolkata, India: IEEE, 2011. p. 280-283.

TUYIKEZE, Tite.; POTTAS, Dalenca. An Information Security Policy Development Life Cycle. In: MULTI-CONFERENCE

SEISMC, 2010, Port Elizabeth. Proceedings of the South African Information Security. Port Elizabeth: ISSA, 2010. p.

-176.

TUYIKEZE, Tite; FLOWERDAY, Stephen. Information Security Policy Development and Implementation: A Content

Analysis Approach. In: INTERNATIONAL SYMPOSIUM ON HUMAN ASPECTS OF INFORMATION SECURITY & ASSURANCE,

, 2014. Proceedings… East London, South Africa: Nelson Mandela Metropolitan University, 2014. p. 11-20.

TAYLOR, Sharon. ITIL: Service Design. Best management Pratice. London: TSO The Stationary, 2011.

VEIGA, Adele Da. The Influence of Information Security Policies on Information Security Culture: Illustrated through a

Case Study. In: INTERNATIONAL SYMPOSIUM ON HUMAN ASPECTS OF INFORMATION SECURITY & ASSURANCE, 9., 2015.

Proceedings… Lesvos, Greece: University of Plymouth, 2015. p. 11-20.

Downloads

Published

2017-04-10

Issue

Vol. 7 No. 2 (2017)

Section

Articles

License

O conteúdo da revista é de acesso público e gratuito, podendo ser compartilhado de acordo com os termos da Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 4.0 Brasil. Você tem a liberdade de compartilhar — copiar, distribuir e transmitir a obra, sob as seguintes condições:

a) Atribuição — a atribuição deve ser feita quando alguém compartilhar um de seus artigos e deve sempre citar o nome da revista e o endereço do conteúdo compartilhado.
b) Uso não-comercial — você não pode usar esta obra para fins comerciais.
c) Vedada à criação de obras derivadas — você não pode alterar, transformar ou criar em cima desta obra.

Ficando claro que:
Renúncia — qualquer das condições acima pode ser renunciada se você obtiver permissão do titular dos direitos autorais. Domínio Público — onde a obra ou qualquer de seus elementos estiver em domínio público sob o direito aplicável, esta condição não é, de maneira alguma, afetada pela licença.

Outros Direitos — os seguintes direitos não são, de maneira alguma, afetados pela licença:

  • Limitações e exceções aos direitos autorais ou quaisquer usos livres aplicáveis;
  • os direitos morais do autor;
  • direitos que outras pessoas podem ter sobre a obra ou sobre a utilização da obra, tais como direitos de imagem ou privacidade.

Aviso — para qualquer reutilização ou distribuição, você deve deixar claro a terceiros os termos da licença a que se encontra submetida esta obra.

A revista se reserva o direito de efetuar, nos originais, alterações de ordem normativa, ortográfica e gramatical, com vistas a manter o padrão culto da língua, respeitando, porém, o estilo dos autores.

Os trabalhos publicados passam a ser propriedade da revista Navus: Revista de Gestão e Tecnologia que deve ser consignada a fonte de publicação original. Os originais não serão devolvidos aos autores.

As opiniões emitidas pelos autores nos artigos são de sua exclusiva responsabilidade.


Esta obra está licenciada sob uma Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 4.0 Brasil.