Melhores práticas do COBIT, ITlL e ISO/IEC 27002 para implantação de política de segurança da informação em Instituições Federais do Ensino Superior

Orlivaldo Kleber Lima Rios, José Gilson de Almeida Teixeira Filho, Vânia Patrícia da Silva Rios

Resumo


Manter a segurança das informações das Instituições Federais do Ensino Superior é um fator preponderante para se alcançar os objetivos do planejamento estratégico institucional. Entretanto, tal segurança deve ser mantida através de ações que possibilitem a confiabilidade, autenticidade, integridade e disponibilidade das informações, tendo seu início com a implantação da política de segurança da informação. O objetivo principal do estudo consistiu em definir as melhores práticas em gestão de segurança da informação para implantação e revisão de PoSIC. A pesquisa utilizou de dados documentais e da revisão sistemática da literatura para a produção de um Guia de melhores práticas para Implantação de PoSIC nas IFES. O Guia foi elaborado a partir das práticas e controles dos processos de segurança da informação recomendadas pelo COBIT 5 for Information Security, ITIL v3 Service Design, controles da ABNT ISO/IEC 27002:2103, pesquisas acadêmicas, literatura relacionada a segurança da informação e de documentação da legislação exigida e recomendada nos órgãos da Administração Pública Federal, diretas e indiretas. Após sua elaboração, o Guia foi avaliado utilizando o Modelo de Aceitação de Tecnologia, onde sugere que fatores como a facilidade de uso percebida e utilidade percebida influenciam na intenção de uso de um novo sistema ou abordagem teórica e metodológica. Gestores de segurança da informação acreditam que esse documento pode ser utilizado nas instituições de ensino como forma de agregar valor no processo de implantação da política de segurança da informação.

Palavras-chave


Gestão de Segurança da Informação; Política de Segurança da Informação; Melhores Práticas.

Texto completo:

PDF

Referências


Albuquerque, A. E. Jr. & Santos, E. M. dos. (2014). Adoção de medidas de Segurança da Informação: um modelo de análise para institutos de pesquisa públicos. Revista Brasileira de Administração Científica, v. 5, n. 2, p. xx-xx.

Araujo, W. J de (2012). Leis, decretos e normas sobre Gestão da Segurança da Informação nos órgãos da Administração Pública Federal. Informação & Sociedade: Estudos, v. 22.

Anand, V., Saniie, J., & Oruklu, E. (2012). Security policy management process within Six Sigma framework. 2011. Journal of Information Security, 3, pp. 49-58.

Biolchini, J., Mian, P. G., Natali, A. C., & Travassos, G. H. (2005). Systematic Review in Software Engineering: relevance and utility. Relatório Técnico RT-ES-679/05, Programa de Engenharia de Sistemas e Computação (PESC), COPPE/UFRJ.

Cardoso, M. de O. (2011). Propostas de Diretrizes para o Desenvolvimento de uma Política de Segurança da Informação e Comunicações para o Centro de Processamento de Dados Distrito Federal da Dataprev Baseadas na Norma ABNT NBR ISO/IEC 27002:2005. Brasília: Universidade de Brasília. Dissertação de Especialização, Departamento de Ciência da computação.

Cardoso, J. (2013). IT Policy Framework Based on COBIT 5. ISACA Journal, vol. 1. Recuperado em 14 janeiro, 2015 de http://www.ISACA.org/Journal/archives/2013/Volume-1/Documents/13v1-IT-Policy-Framework-Based.pdf

Decreto nº 3.505 de 13 de junho de 2000 (2000). Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Presidência da República. Recuperado em 11 dezembro, 2015, de http://www.planalto.gov.br/ccivil_03/decreto/d3505.htm.

Davis F. D., (1989). Perceived usefulness, perceived ease of use, and user acceptance of information technology. MIS Quart

Dzazali, S. & Hussein Z., A. (2012). Assessment of information security maturity: an exploration study of Malaysian public service organizations. Journal of Systems and Information Technology, v. 14, n. 1, pp. 23-57.

Editora ABNT (2013). NBR ISO/IEC 27001:2013. Tecnologia da Informação – Técnicas de Segurança – Sistema de gestão da segurança da informação. Rio de Janeiro: ABNT. Autor.

Editora ABNT (2013). NBR ISO/IEC 27002:2013. Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT. Autor.

Editora ISACA (2012). COBIT. 5: A Business Framework for the Governance and Management of Enterprise IT. Author.

Editora ISACA (2012). COBIT 5 for Information Security. Author.

Fontes, E. (2012). Políticas e normas para segurança da informação. Rio de janeiro: Brasport,

Gehrmann, M. (2012). Combining ITIL, COBIT and ISO/IEC 27002 for structuring comprehensive information technology for management in organizations. Navus-Revista de Gestão e Tecnologia, v. 2, n. 2, pp. 66-77.

Kauark, F., Manhaes. F. C., & Medeiros. C. H. (2010). Metodologia da pesquisa : guia prático. Itabuna : Via Litterarum.

Lei No 8.159, de 8 de janeiro de 1991 (1991). Dispõe sobre a política nacional de arquivos públicos e privados e dá outras providências. Recuperado em 26 setembro, 2016, de http://www.planalto.gov.br/ccivil_03/leis/L8159.htm.

Nascimento, E. C. L. do. (2012). Fatores culturais e estruturais que impactam na implantação da política de segurança da informação: um estudo de caso sobre o Ministério do Desenvolvimento Agrário. Universitas: Gestão e TI, v. 2, n. 1.

Monteiro, I. L. C. O. (2009). Proposta de um Guia para elaboração de políticas de segurança da informação e comunicação em órgãos da APF. Universidade de Brasília. Dissertação de Especialização, Departamento de Ciência da computação. Dissertação de mestrado. Brasília-DF.

Presidência da República (2009). Norma Complementar nº 03/IN01/DSIC/GSI/PR. Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal. Recuperado em 11 dezembro, 2015, de http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf

Sengupta, A., Mazumdar, C., & Bagchi, A., (2011). A Methodology for Conversion of Enterprise-Level Information Security Policies to Implementation-Level Policies/Rule. In: Emerging Applications of Information Technology (EAIT), Second International Conference on. IEEE, 2011. pp. 280-283.

Taylor, S., (2011). ITIL: Service Design. Best management Pratice. TSO The Stationary, London, edition.

Teixeira, J. G. A. Filho (2010). MMPE-SI/TI (Gov) - Modelo de Maturidade para Planejamento Estratégico de SI/TI direcionado às Organizações Governamentais Brasileiras baseado em Melhores Práticas. vol. 1 e 2, 2010. Tese (Doutorado em Ciências da Computação) – Universidade Federal de Pernambuco (UFPE), Recife.

Tribunal de Contas da União (2015). Levantamento de Governança de TI 2014. Recuperado em 16 dezembro, 2015, de http://portal3.tcu.gov.br/portal/pls/portal/docs/2705176.pdf.

Tribunal de Contas da União (2016). Demanda nº 265-54 [mensagem pessoal]. Mensagem recebida por no-replay@tcu.gov.br em 30 maio de 2016.

Tuyikeze, T., & Flowerday, S., (2014). Information Security Policy Development and Implementation: A Content Analysis Approach. In:HAISA. pp. 11-20.

Veiga, A. da.(2015). The Influence of Information Security Policies on Information Security Culture: Illustrated through a Case Study. HAISA.




DOI: http://dx.doi.org/10.20397/2177-6652/2017.v17i1.1084

Métricas do artigo

Carregando Métricas ...

Metrics powered by PLOS ALM

Apontamentos

  • Não há apontamentos.




Direitos autorais 2017 Revista Gestão & Tecnologia

Licença Creative Commons
Esta obra está licenciada sob uma licença Creative Commons Atribuição - NãoComercial 4.0 Internacional.