O aumento crescente da interconectividade no ambiente de negócio, aliado à dependência cada vez maior dos sistemas de informação nas organizações, faz da gestão da segurança da informação uma importante ferramenta de governança corporativa. A segurança da informação tem o objetivo de salvaguardar a efetividade das transações e, por conseguinte, a própria continuidade do negócio. As ameaças à informação vão desde ataques hackers, fraudes eletrônicas, espionagem e vandalismo; a incêndio, interrupção de energia elétrica e falhas humanas. Segurança da informação é obtida a partir da implementação de um conjunto de controles, incluindo-se dentre outros, políticas, processos, procedimentos, estruturas organizacionais, software e hardware, o que exige uma gestão contínua e uma estrutura administrativa bem estabelecida para fazer frente aos seus desafios. O presente trabalho procurou investigar as razões relacionadas às dificuldades que muitas organizações enfrentam para a estruturação da segurança da informação. Muitas delas se limitam a adotarem medidas pontuais e inconsistentes com a realidade em que vivem. O mercado conta com um arcabouço legal e normativo para a implementação da segurança da informação NBR ISO/IEC 27002, Lei Americana Sarbanes-Oxley, acordo de capital da Basiléia, regulamentações das agências regulatórias (ANATEL, ANVISA e CVM). As pesquisas de mercado mostram que a implementação da segurança da informação está concentrada em instituições de grande porte e de segmentos específicos da economia como, por exemplo, bancário-financeiro e telecomunicação. Entretanto, a segurança da informação faz-se necessária em qualquer organização que utilize sistema de informação nos seus processos de trabalho, independentemente do porte ou do setor econômico de atuação. A situação da segurança da informação no setor governamental do Brasil, e dentro deste, nas instituições de pesquisas científicas é considerada preocupante, de acordo com o Tribunal de Contas da União. Este trabalho apresenta um método de diagnóstico e avaliação da segurança da informação, aplicado na forma de levantamento de dados, que tem a intenção de servir de ponto de partida para fomentar uma discussão interna visando à estruturação da segurança da informação na organização. O referido método é destinado em especial àquelas organizações que não se enquadram no perfil das empresas atingidas pelas leis e regulamentos existentes, mas que necessitam igualmente protegerem seus ativos de informação para o bom e fiel cumprimento de seus objetivos e metas de negócio. / The increase of the connectivity in the business environment, combined with the growing dependency of information systems, has become the information security management an important governance tool. Information security has as main goal to protect the business transactions in order to work normally. In this way, It will be safeguarding the business continuity. The threats of information come from hackers attacks, electronic frauds and spying, as well as fire, electrical energy interruption and humans fault. Information security is made by implementation of a set of controls, including of the others politics, processes, procedures, organizational structures, software and hardware, which require a continuous management and a well established structure to be able to face such challenges. This work tried to search the reasons why the organizations have difficulties to make a practice of information security management. Many of them just limit to adopt points measures, sometimes they are not consistent with their realities. The market counts on enough quantity of standards and regulations related to information security issues, for example, ISO/IEC 27002, American Sarbanes-Oxley act, Basel capital accord, regulations from regulatory agency (such as the Brazilians ones ANATEL, ANVISA and CVM). The market researches have showed that the information security implementation is concentrated on a well-defined group of organization mainly formed by large companies and from specifics sectors of economy, for example, financial and telecommunication. However, information security must be done by all organizations that use information systems to carry out their activities, independently of its size or economic area that it belongs. The situation of information security in the governmental sector of Brazil, and inside its research institutions, is considered worrying by the Brazilian Court of Accounts (TCU). This research work presents an assessment and diagnostic proposal of information security, applied in the form of a data survey, which intend to be a tool that can be used as a starting point to foment debates about information security concerns into organization. This can lead them to a well-structured information security implementation. The referred proposal is specially addressed to those organizations that do not have the profile that put them among those companies which are forced to follow some law or regulation. But in the same way they need to protect their information assets to reach their goals and their business objectives.
Identifer | oai:union.ndltd.org:IBICT/oai:teses.usp.br:tde-22092011-095831 |
Date | 30 November 2009 |
Creators | João Carlos Soares de Alexandria |
Contributors | Luc Marie Quoniam, Wilson Aparecido Parejo Calvo, Ailton Fernando Dias, Leandro Innocentini Lopes de Faria, Rodolfo Politano |
Publisher | Universidade de São Paulo, Tecnologia Nuclear, USP, BR |
Source Sets | IBICT Brazilian ETDs |
Language | Portuguese |
Detected Language | Portuguese |
Type | info:eu-repo/semantics/publishedVersion, info:eu-repo/semantics/doctoralThesis |
Source | reponame:Biblioteca Digital de Teses e Dissertações da USP, instname:Universidade de São Paulo, instacron:USP |
Rights | info:eu-repo/semantics/openAccess |
Page generated in 0.0105 seconds