Gestão da segurança da informação em bibliotecas: elementos para elaboração de uma política de segurança da informação na Biblioteca Central da Universidade Federal da Paraíba

Souza, Fernando Antonio Ferreira de

02 August 2017

Submitted by Fernando Souza (fernando@biblioteca.ufpb.br) on 2017-10-03T16:52:37Z No. of bitstreams: 1 arquivototal.pdf: 2097465 bytes, checksum: d3bdb832ed8d7ca2faa35f212ab6ca2b (MD5) / Made available in DSpace on 2017-10-03T16:52:37Z (GMT). No. of bitstreams: 1 arquivototal.pdf: 2097465 bytes, checksum: d3bdb832ed8d7ca2faa35f212ab6ca2b (MD5) Previous issue date: 2017-08-02 / The information protection has become an extremely critical factor for organizations and Government entities. This involves not only the conventional environment, but also the technological and informational networking infrastructure. This study set out to address the information security as part of a University Library context. Even though a familiar environment with the information management processes, the libraries come suffering with problems related to lack of information on security management. For this purpose, this research studies the elements of information security management that allow the elaboration of a minute of information security policy for the Central Library of the Federal University of Paraíba. As the methodological aspects, is characterized as qualitative, descriptive type. As instrument methodology of data collection, tabulation and analysis, uses the Facilitated Process of risk analysis and assessment (FRAAP), which was supplemented with quiz and analysis of content according to Bardin. The results indicat a group of fifteen threats, among which detected nine physical threats, two logical threats and four threats related to processes. Finally, it was found that the Central Library of UFPB needs to reflect on an action plan directed to information security, to guarantee the confidentiality, integrity and safeguard of the organization's critical management information. With the results, it is expected to contribute with information security in the context of the Central Library of UFPB with the proposed minute information security policy, enabling new contributions to the development of the processes of management of the University Library. / A proteção da informação tornou-se fator de extrema criticidade para as organizações e entidades de governo. Esta envolve não somente o ambiente convencional, mas a infraestrutura tecnológica e de redes informacionais. Este estudo se propôs abordar a Segurança da Informação no âmbito de uma biblioteca universitária. Mesmo sendo um ambiente familiarizado com os processos de gestão da informação, as bibliotecas vêm sofrendo com os problemas relacionados à falta de gestão da segurança da informação. Para tanto, esta pesquisa estuda os elementos de Gestão da Segurança da Informação que permitam a elaboração de uma minuta de Política de Segurança da Informação para a Biblioteca Central da Universidade Federal da Paraíba. Quanto os aspectos metodológicos, se caracteriza como qualitativa, do tipo descritiva. Como instrumento metodológico de coleta de dados, tabulação e análise, utiliza o Processo Facilitado de Análise e Avaliação de Risco (FRAAP), que foi complementado com questionário e a análise de conteúdo conforme Bardin. Os resultados apresentados indicam um grupo de quinze ameaças, dentre as quais se detectou nove ameaças físicas, duas ameaças lógicas e quatro ameaças relacionadas aos processos gerenciais. Por fim, verifica-se que a Biblioteca Central da UFPB necessita refletir sobre um plano de ação direcionado à segurança da informação, para a garantia de confidencialidade, integridade e salvaguarda das informações gerenciais críticas da organização. Com os resultados, espera-se contribuir com a Segurança da Informação no âmbito da Biblioteca Central da UFPB com uma proposta de minuta para Política de Segurança da Informação, permitindo novas contribuições para o desenvolvimento dos processos de gestão da Biblioteca Universitária.

Gestão da Segurança da Informação

Biblioteca Universitária

Política de Segurança da Informação

Information Security Management

University Library

CIENCIAS HUMANAS::EDUCACAO

O IMPACTO DA UTILIZAÇÃO DE TÉCNICAS DE ENDOMARKETING NA EFETIVIDADE DAS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO / THE IMPACT OF THE INTERNAL MARKETING ON INFORMATION SECURITY POLICY EFECTIVENESS

Ellwanger, Cristiane

12 June 2009

Protecting the information resources has been a big challenge to organizations. The constitution of an information security policy PSI can solve part of problems related to security but it can t solve them completely, because of the human resources, present in the internal environment of organizations, they can seriously compromise the effectiveness of an PSI. Since the endomarketing (internal marketing) is an instrument that can contribute to obtain or even to rescue the users commitment with the PSI, this present dissertation shows impact of endomarketing techniques in the policy effectiveness using the experimental research. Performed in the Intensive Cardiology Unit (UCI) and Intensive Care Adult (UTI) at Santa Maria University Hospital (HUSM), the experiment was constituted in an experimentation group (UCI), under the endomarketing directed different techniques and a control group (UTI) which it served as a basis to observation. In order to find the effectiveness of PSI on the referred units it was performed internal audits where the procedures, defined by the PSI were classified under the percentage way following the criteria: Non-Run Procedures (PNEs), Partially Implemented Procedures (PPEs) and Fully Implemented Procedures (PTEs).The experiment results show that both the control group as the experimentation group after the initial application of endomarketing techniques joined to implanted PSI on the respective units. However, after discontinuing the application of these techniques on the control group, it was observed a gradual decrease of percentages of PTEs by the components of this group that it decreased from 14,6% to 4,1% which it shows a decrease of 71,92% in the support to PSI in this group, if considered the PTEs. Already the continuous application of endomarketing techniques in the experimentation group did with that the procedures described in PSI were always presents in the users' mind, what generated a gradual increase in the percentage of PTEs. The percentage increased from 8,3% to 41,7% what reflects an improvement of 402,4% in the support to PSI in this group, if considered to PTEs. If considered the PNEs procedures, the continued application of endomarketing techniques in the experimentation group enabled a decrease of 88% against a increase of 12,6% in the control group and a high concentration of percentages on the partially or totally run procedures that added they reach 93,7% in the final evaluation. It is concluded then that the continuous application of endomarketing techniques improves the PSI effectiveness. / Proteger os recursos de informação tem sido um grande desafio às organizações. O estabelecimento de uma Política de Segurança da Informação (PSI) pode resolver parte dos problemas relacionados à segurança, mas não pode resolvê-los integralmente, pois os recursos humanos, presentes no ambiente interno das organizações, podem comprometer seriamente a efetividade de uma PSI. O endomarketig (marketing interno) é um instrumento que pode contribuir para se obter ou até mesmo resgatar o comprometimento dos usuários para com a PSI. A presente dissertação investiga o impacto da utilização de técnicas de endomarketing na efetividade da PSI, utilizando-se para tanto da pesquisa experimental. Realizado junto às Unidades de Cardiologia Intensiva (UCI) e Terapia Intensiva-Adulto (UTI) do Hospital Universitário de Santa Maria HUSM, o experimento foi constituído de um grupo de experimentação (UCI), sob o qual foram aplicadas diferentes técnicas de endomarketing e um grupo de controle (UTI), o qual recebeu apenas um nivelamento inicial. Para constatar a efetividade da PSI foram realizadas auditorias internas, nas quais os procedimentos definidos na PSI foram testados e classificados como: Procedimentos Não-Executados (PNEs); Procedimentos Parcialmente Executados (PPEs) e Procedimentos Totalmente Executados (PTEs). Os resultados do experimento demonstram que tanto o grupo de controle (UTI) quanto o grupo de experimentação (UCI) aderiram à PSI após a aplicação inicial de técnicas de endomarketing (nivelamento). Entretanto, após descontinuar a aplicação dessas técnicas no grupo de controle, observou-se uma diminuição gradativa dos percentuais de PTE pelos componentes deste grupo, que caiu de 14,6% para 4,1%, o que demonstra uma queda de 71,92% na adesão à PSI neste grupo, se considerado os PTE. Já a aplicação continuada de técnicas de endomarketing no grupo de experimentação fez com que os procedimentos descritos na PSI estivessem sempre presentes na mente dos usuários, o que gerou um aumento gradativo nos percentuais de PTEs. O percentual subiu de 8,3% para 41,7%, o que reflete uma melhora de 402,4% na adesão à PSI neste grupo, se considerado os PTEs. Se considerado os procedimentos PNEs, a aplicação contínuada de técnicas de endomarketing no grupo de experimentação possibilitou uma redução de 88%, contra um aumento de 12,6% no grupo de controle, e uma alta concentração de percentuais nos procedimentos parcialmente ou totalmente executados, que somados chegam a 93,7% na avaliação final. Conclui-se então que a aplicação contínua de técnicas de endomarketing melhora a efetividade da PSI.

Política de segurança da informação

Endomarketing

Recursos humanos

Segurança

Information security policy

Endomarketing

Human resources

Security

Gestão da segurança da informação : o caso do Grupo Lactogal

Coutinho, Susana Paula da Silva

January 2012

Trabalho realizado na Lactogal - Produtos Alimentares, S.A., orientado pela Eng.ª Teresa Sampaio / Tese de mestrado. Engenharia de Serviços e Gestão. Faculdade de Engenharia. Universidade do Porto. 2012

Gestão da segurança da informação

Utilizadores finais

Processo core

Política de segurança da informação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO: UMA ESTRATÉGIA PARA GARANTIR A PROTEÇÃO E A INTEGRIDADE DAS INFORMAÇÕES ARQUIVÍSTICAS NO DEPARTAMENTO DE ARQUIVO GERAL DA UFSM / INFORMATION SECURITY POLICY: A STRATEGY TO ENSURE THE SECURITY AND INTEGRITY OF THE DEPARTMENT OF ARCHIVAL INFORMATION IN THE GENERAL ARCHIVING DEPARTMENT OF THE UFSM

Sfreddo, Josiane Ayres

06 December 2012

Presents a study on information security in order to propose an Information Security Policy for the Department of General Archives (DAG), Federal University of Santa Maria (UFSM) as a way of enabling the protection, availability and secure access to archival information (not digital), in the university context. It is characterized as an exploratory qualitative approach, assuming a case study form, because it involves the study of a certain subject allowing its wide and detailed knowledge. It was first conducted a more detailed study of the Standard ISO/IEC 27002 which is a code of practice for information security, providing guidelines for the implementation of an Information Security Policy, based on regulations according to the institutional purposes. The study aimed, at first, to adapt the requirements and controls present in this standard archival context, focusing on the protection of not digital information, a research in the Heritage Documentary line. Thus, the adaptation of the standard for archival followed the structure of the original standard, seeking to provide for the archival institutions a tool to subsidize the development of an Information Security Policy, providing a more secure and reliable protection. In order to compose this policy a data collection was carried out through interviews, structured within questions about security information, based on the standard ISO/IEC 27002, on the previous study and the Adaptation of the Standard for the archival context. With the data collected and analyzed, along with the DAG, it can be verified that the problems causer of threats to the security of not digital archives in the department are directly related to the lack of security to the perimeter and to the absence of a physical control, including entries and exits. These security actions made it possible, together with the adaption of the standard, to propose control in order to prevent further incidents. This way it was possible to structure the Document of the Security Policy representing the materialization of the Security Policy according to the needs presented by DAG. This document will serve as an instrument to support and guide employees, users and third parties in the conduct of institutional activities. However, it is up to the department to approve it and implement it for the purpose of preventing incidents, thereby providing safe reliable and continuous access to not digital information by him guarded. / Apresenta um estudo sobre a segurança da informação a fim de propor uma Política de Segurança da Informação para o Departamento de Arquivo Geral (DAG) da Universidade Federal de Santa Maria (UFSM), possibilitando a proteção, a disponibilidade e o acesso seguro às informações arquivísticas (não digitais), no contexto universitário. Caracteriza-se como uma pesquisa exploratória com abordagem qualitativa, assumindo a forma de estudo de caso, pois envolve o estudo sobre um determinado assunto permitindo o seu amplo e detalhado conhecimento. Primeiramente foi realizado um estudo mais aprofundado da Norma ABNT NBR ISO/IEC 27002 que é um código de prática para a segurança da informação, apresentando diretrizes para a aplicação de uma Política de Segurança da Informação, baseada em regulamentos de acordo com os propósitos institucionais. O estudo objetivou, em um primeiro momento, adaptar os requisitos e controles presentes nessa norma ao contexto arquivístico, tendo como foco a proteção de informação não digital, caracterizando, deste modo, uma pesquisa na linha do Patrimônio Documental. Assim, a Adaptação da Norma para a arquivologia seguiu a estrutura da Norma original, buscando proporcionar às instituições arquivísticas um instrumento que subsidiasse a elaboração de uma Política de Segurança da Informação, possibilitando a proteção de informações não digitais de uma forma mais segura e confiável. Para a composição dessa Política, foi realizada a coleta de dados por meio de entrevista estruturada com questões sobre a segurança da informação, fundamentada na Norma ABNT NBR ISO/IEC 27002, tendo como base o estudo anterior e a Adaptação da Norma para o contexto arquivístico. Com a análise dos dados coletados junto ao DAG, podese verificar que os problemas que causam ameaças à segurança da informação não digital no departamento estão relacionados diretamente à deficiência dos perímetros de segurança e à inexistência de um controle de acesso físico incluindo entradas e saídas. A partir dessas ações de segurança, foi possível, juntamente com a Adaptação da Norma, propor controles a serem aplicados a fim de evitar a ocorrência de novos incidentes. Dessa forma, foi possível estruturar o Documento da Política de Segurança da Informação representando a materialização da Política de Segurança de acordo com as necessidades apresentadas pelo DAG. Esse documento servirá com um instrumento de apoio fundamental para instruir funcionários, usuários e terceiros na realização das atividades institucionais. No entanto, cabe ao departamento aprová-lo e implementá-lo, a fim de prevenir incidentes proporcionando, assim, acesso seguro, confiável e contínuo às informações não digitais por ele custodiadas.

Política de segurança da informação

Segurança da informação

Informação arquivística não digital

Patrimônio documental

Information security policy

Information security

Archival information not digital

Documentary heritage

CNPQ::CIENCIAS HUMANAS::HISTORIA

A dimensão humana no processo de gestão da segurança da informação: um estudo aplicado à Pró-Reitoria de Gestão de Pessoas da Universidade Federal da Paraíba

Araujo, Sueny Gomes Leda

21 March 2016

Submitted by Viviane Lima da Cunha (viviane@biblioteca.ufpb.br) on 2017-04-26T12:11:40Z No. of bitstreams: 1 arquivototal.pdf: 4891600 bytes, checksum: e47187dc1816954c4d1cf20a19490124 (MD5) / Made available in DSpace on 2017-04-26T12:11:40Z (GMT). No. of bitstreams: 1 arquivototal.pdf: 4891600 bytes, checksum: e47187dc1816954c4d1cf20a19490124 (MD5) Previous issue date: 2016-03-21 / The information is presented as an important asset for institutions and needs to be protected adequately against undue destruction, temporary unavailability, adulteration or unauthorized disclosure. Various forms of physical, virtual and human threats jeopardize the security of information. Although the technology is responsible for providing part of the solution to these problems, many of the vulnerabilities of information systems can be attributed to man's actions. In this sense, it is salutary to study the human dimension in these processes. Concerned about the security of information in Federal Public Institutions the government published a series of laws, decrees, rules and reports that guides the implementation of information security management actions in public institutions. Thus, this study aimed to analyze the human dimension in the information security management process in the Dean of Personnel Management (Progep) of the Federal University of Paraíba (UFPB) from the perspective of the rules of the federal government. This research is characterized as descriptive research with qualitative and quantitative approach and case study as the method of investigation. Therefore, the documentary research was used, participant observation and interview as data collection techniques. From the triangulation of the three collection methods for data analysis was applied to content analysis. The sample was made up of nine directors who compose the Dean of Personnel Management. The results allowed identifying the need of UFPB on elaborate a policy of information classification, since its absence turns impossible the management of information security. As for information security awareness, it was noted the absence of actions that could contribute in the awareness of the public employee process, such as information security mentioned at the time of entry / ownership of public employees and collaborators; preparation of the responsibility and confidentiality term; formal disciplinary proceedings for breach of information security; and actions as informative manuals, campaigns, lectures and meetings. In the use of information security controls, there were initiatives of implementation of certain controls, however, the procedures were eventually made in error, without compliance of the regulatory guidelines. Based on the above, the results of this research can help minimize the impact of threats to information security in Progep /UFPB and, as well, contribute to the creation of a safety culture in federal institutions. / A informação apresenta-se como um importante ativo para as instituições, necessitando ser protegida de forma adequada contra destruição indevida, indisponibilidade temporária, adulteração ou divulgação não autorizada. Várias formas de ameaças físicas, virtuais e humanas, comprometem a segurança das informações. Apesar de a tecnologia ser responsável por fornecer parte da solução para esses problemas, muitas das vulnerabilidades dos sistemas de informação podem ser atribuídas às ações do homem. Nesse sentido, torna-se salutar estudar a dimensão humana nesses processos. Preocupado com a segurança da informação nas Instituições Públicas Federais, o governo publicou uma série de leis, decretos, normas e relatórios que orientam a implementação de ações de gestão de segurança da informação nas instituições públicas. Assim, o presente estudo teve por objetivo analisar a dimensão humana no processo de gestão de segurança da informação na Pró-Reitoria de Gestão de Pessoas (Progep) da Universidade Federal da Paraíba (UFPB) sob a ótica das normas do governo federal. Esta pesquisa caracteriza-se como pesquisa descritiva, com abordagem quali-quantitativa e, quanto ao método de investigação, estudo de caso. Para tanto, foi utilizada a pesquisa documental, observação participante e entrevista, como instrumentos de coleta de dados. A partir da triangulação dos três instrumentos de coleta, para a análise dos dados, foi aplicada a análise de conteúdo. A amostra desta pesquisa foi constituída pelos nove diretores que compõem a Pró-Reitoria de Gestão de Pessoas. Os resultados possibilitaram identificar a necessidade da UFPB em elaborar uma política de classificação da informação, uma vez que sua inexistência impossibilita a gestão da segurança da informação. Quanto à conscientização em segurança da informação, observou-se a inexistência de ações que poderiam contribuir no processo de conscientização dos servidores, como: menção à segurança da informação no momento de ingresso/posse de colaboradores e servidores; elaboração do termo de responsabilidade e confidencialidade; processo disciplinar formal para a violação da segurança da informação; e ações como manuais informativos, campanhas, palestras e reuniões. Na utilização dos controles de segurança da informação, observaram-se iniciativas de implantação de determinados controles, entretanto, os procedimentos acabaram sendo realizados de forma equivocada, sem a observância das orientações normativas. Com base no exposto, os resultados desta pesquisa podem auxiliar a minimizar a incidência de ameaças à segurança da informação na Progep/UFPB, bem como contribuir com a criação de uma cultura de segurança em instituições federais.

Segurança da Informação

Política de Segurança da Informação

Normas de Segurança da Informação

Information Security

Information Security Policy

Standards of Information Security

Análise de risco no Sistema de Concessão de Diárias e Passagens (SCDP): estudo de caso sob a ótica da segurança da informação no Departamento Contábil da UFPB

Ferreira, Josivan de Oliveira

25 March 2013

Made available in DSpace on 2015-04-16T15:23:28Z (GMT). No. of bitstreams: 1 arquivototal.pdf: 2561530 bytes, checksum: a1d41fd6bed806649d21232868b6d22e (MD5) Previous issue date: 2013-03-25 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior - CAPES / The power of technology has generated computerized systems for implementation of various tasks with their databases linked through powerful networks. The federal government aimed at equipping public service efficiently deployed Sistema de Concessão de Diárias e Passagens (SCDP) that integrates the activities of grant, registration, monitoring, management and control of daily and passages, resulting from trips taken in the interest of administration. This environment full of content and digital interconnected spheres is subject to various types of physical or virtual threats that jeopardize the safety of its users and the information processed. The present study aims at analyzing the perspective of the management of information security, the SCDP accounting department at the Universidade Federal da Paraíba. Investigates the assurance of confidentiality, integrity and availability of information through a risk analysis of the evidence and documents that comprise the system. In the methodological aspect, the research is characterized as a case study, set up as a study of qualitative and quantitative, exploratory and descriptive. Used as instruments to collect data to structured interview that recognized actions of a Security Policy Information (PSI) through the Facilitated Risk Analysis and Assessment Process (FRAAP), and direct observation technique, performed by notes in a field journal. For organizing and analyzing the data, we used content analysis. With these results it was possible to identify aspects of SCDP as the influence on the view of users, the security features and information flow. Regarding the risk analysis carried out, it can be concluded that there are threats in the process of granting and daily tickets, but with the adoption of selected controls can mitigate risk. / O poder da tecnologia tem gerado sistemas informatizados para a execução das mais diversas tarefas, com suas bases de dados interligadas por meio de poderosas redes. O governo federal, visando instrumentalizar eficientemente o serviço público, implantou o Sistema de Concessão de Diárias e Passagens (SCDP), que integra as atividades de concessão, registro, acompanhamento, gestão e controle de diárias e passagens, decorrentes de viagens realizadas com o interesse da administração. Esse meio, repleto de conteúdos e de esferas digitais interligados, está sujeito a diversos tipos de ameaças físicas ou virtuais que comprometem a segurança dos seus usuários e das informações processadas. O presente estudo tem como objetivo geral analisar, sob a ótica da gestão da segurança da informação, o SCDP do Departamento Contábil da Universidade Federal da Paraíba. Procura investigar a garantia de confidencialidade, da integridade e da disponibilidade da informação, através de uma análise de risco nos elementos e nos documentos que integram o sistema. No aspecto metodológico, a pesquisa é caracterizada como um estudo de caso, de caráter qualitativo e quantitativo, exploratório e descritivo. Utiliza como instrumentos de coleta de dados a entrevista estruturada, que permitiu reconhecer ações de uma Política de Segurança da Informação (PSI) por meio do Facilitated Risk Analysis and Assessment Process (FRAAP), e a técnica de observação direta, realizada por meio de anotações em diário de campo. Para organizar e analisar os dados, recorreu-se à análise de conteúdo. Com os resultados obtidos, foi possível identificar aspectos do SCDP como: a influência na visão dos usuários, os elementos de segurança e o fluxo informacional. Em relação à análise de risco efetuada, concluiu-se que existem ameaças no processo de concessão de diárias e de passagens, mas, com a adoção de controles selecionados, é possível mitigar o risco.

Gestão da Segurança da Informação

Ciência da Informação

Política de Segurança da Informação

Análise de risco

Management of information security

Information Science

Policy information security

Risk analysis

Melhores práticas para implantar política de segurança da informação e comunicação em instituições federais de ensino superior

RIOS, Orlivaldo Kléber Lima

30 November 2016

Submitted by Rafael Santana (rafael.silvasantana@ufpe.br) on 2017-08-31T19:26:08Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Dissertação_Orlivaldo_Kléber_Ciência da Computação_UFPE_.pdf: 2557373 bytes, checksum: ce725c091789d262ff35ae1f87b18a37 (MD5) / Made available in DSpace on 2017-08-31T19:26:08Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Dissertação_Orlivaldo_Kléber_Ciência da Computação_UFPE_.pdf: 2557373 bytes, checksum: ce725c091789d262ff35ae1f87b18a37 (MD5) Previous issue date: 2016-11-30 / O Tribunal de Contas da União, por meio da Secretaria de Fiscalização de TI, publicou, em 2015, por meio do Acórdão 3117/2014-TCU-Plenário, o quadro crítico em que se encontravam os órgãos da Administração Pública Federal, direta e indireta, concernente aos processos de segurança da informação, onde apenas 51% daqueles órgãos utilizavam integralmente a Política de Segurança da Informação. Considerando que há recomendações e orientações do Governo Federal para a institucionalização da Política de Segurança da Informação e Comunicação em todos seus órgãos, essa pesquisa buscou identificar o cenário em que se encontram as Instituições Federais de Ensino Superior, quanto à existência e às práticas utilizadas para implantação de Política de Segurança da Informação, considerando que tais instituições estão inseridas nesse panorama de fiscalização do Tribunal de Contas da União. Como objetivo de pesquisa, buscou-se a elaboração de um guia de melhores práticas para implantação e revisão de Política de Segurança da Informação e Comunicação nas Instituições Federais de Ensino Superior. Como metodologia foram utilizadas as abordagens quantitativa e qualitativa, empregando procedimentos bibliográficos, com o uso da revisão sistemática, e o levantamento de campo com aplicação de questionário Survey. Ao final da pesquisa, percebeu-se que o fator humano é a maior criticidade para o sucesso da implantação da Política de Segurança da Informação e Comunicação, principalmente a participação da Alta Gestão, entretanto, a elaboração do guia promoverá ações estratégicas nos processos de segurança da informação das Instituições Federais de Ensino Superior, quanto à implantação e revisão de Política de Segurança da Informação e Comunicação. / The Court of Auditors of Unity, IT Supervisory Office, published in 2015, through Decision 3117/2014 - TCU-Plenary, the critical situation in which they found the agencies of the Federal Public Administration Office, both direct as indirectly, concerning the information security processes, where only 51% of those agencies fully used the Security Policy information. Whereas there are recommendations and guidelines of the Federal Government for the institutionalization of the Information and Communication Security Policy in all its agencies, this research sought to identify the scenario where the Federal Institutions of Higher Education are, regarding the existence and the practices adopted in the implementation of information security policy, considering that such institutions are inserted in this prospect of the Brazilian Federal Accountability Office surveillance. In this research we aimed to formulate the a Guide for the best practices to the implementation and revision of Information Security Policy in Federal Institutions of Higher Education. It were used both quantitative and qualitative approaches, employing, employing bibliographic procedures, with the use of a systematic review and also a field survey. At the end of this research it was realized that the human factor is the most critical aspect for the successful implementation of Security Policy information, especially the participation of the High Management. However, the formulation of a guidance will promote strategic actions in the information security processes of Federal Institutions of Higher Education, towards the implementation and revision of Information and Communication Security Policy.