Return to search

Proposta de uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002: 2005

Resumo: Os conceitos e práticas de segurança da informação têm evoluído nos últimos anos, e as empresas têm buscado se adaptar a esta evolução. O esforço para esta adaptação reflete, na maioria das vezes, a visão da tecnologia da informação. Neste contexto é possível identificar a necessidade de um modelo para avaliar como a segurança da informação é tratada nas organizações. A segurança da informação não possui uma estrutura de processos ou mesmo um modelo de maturidade que apoie as organizações na identificação de melhorias. Este trabalho tem por objetivo propor uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002:2005 que busque fechar a lacuna identificada anteriormente. Para alcançar este objetivo foram modelados processos com base na norma de segurança da informação ABNT NBR ISO/IEC 27002:2005 (ABNT, 2005). Os processos foram derivados dos objetivos de controle estabelecidos na norma técnica e as atividades dos processos foram derivadas dos controles de cada objetivo de controle normativo. A partir deste ponto foi utilizado o modelo genérico de maturidade, proposto pelo CMMI e amplamente utilizado em boas práticas internacionais, para se desenvolver os modelos de maturidade dos processos de segurança da informação. Para avaliar a maturidade através dos modelos propostos, foi desenvolvido um questionário de análise de maturidade e uma ferramenta computacional para apoiar a aplicação do mesmo. O questionário foi aplicado em dez organizações da região de Curitiba-PR, que possuem acima de mil usuários internos de tecnologia da informação. Os resultados indicam que o tema ainda é foco da área de tecnologia da informação - TI, pois somente os processos diretamente relacionados com a TI se mostraram mais evoluídos. Por outro lado, os processos relacionados à gestão e planejamento se mostraram os menos desenvolvidos. Através das análises foi possível concluir que a segurança da informação é abordada como uma responsabilidade de TI e não corporativa. Outra conclusão importante é que o tema é ainda novo nas organizações, pela baixa maturidade dos processos identificada na pesquisa. Isso sugere que de fato existem melhorias a serem desenvolvidas, principalmente nas questões de gestão da segurança da informação.

Identiferoai:union.ndltd.org:IBICT/oai:dspace.c3sl.ufpr.br:1884/32224
Date30 September 2013
CreatorsJohnson, Luciano
ContributorsPinto, Jose Simão de Paula, Universidade Federal do Paraná. Setor de Ciencias Sociais Aplicadas. Programa de Pós-Graduação em Ciência, Gestão e Tecnologia da Informação
Source SetsIBICT Brazilian ETDs
LanguagePortuguese
Detected LanguagePortuguese
Typeinfo:eu-repo/semantics/publishedVersion, info:eu-repo/semantics/masterThesis
Formatapplication/pdf
Sourcereponame:Repositório Institucional da UFPR, instname:Universidade Federal do Paraná, instacron:UFPR
Rightsinfo:eu-repo/semantics/openAccess

Page generated in 0.0015 seconds