PROPOSTA DE UMA ESTRUTURA DE ANÁLISE DE MATURIDADE DOS PROCESSOS DE SEGURANÇA DA INFORMAÇÃO COM BASE NA NORMA ABNT NBR ISO/IEC 27002:2005

Informações adicionais

  • Autor: Johnson, Luciano
  • Nome completo: LUCIANO JOHNSON
  • Imprenta: 2012, UFPR, Curitiba-PR
  • Orientador: Dr. José Simão de Paula Pinto
  • Resumo:

     

    Os conceitos e práticas de segurança da informação têm evoluído nos últimos anos, e as empresas têm buscado se adaptar a esta evolução. O esforço para esta adaptação reflete, na maioria das vezes, a visão da tecnologia da informação. Neste contexto é possível identificar a necessidade de um modelo para avaliar como a segurança da informação é tratada nas organizações. A segurança da informação não possui uma estrutura de processos ou mesmo um modelo de maturidade que apoie as organizações na identificação de melhorias. Este trabalho tem por objetivo propor uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002:2005 que busque fechar a lacuna identificada anteriormente. Para alcançar este objetivo foram modelados processos com base na norma de segurança da informação ABNT NBR ISO/IEC 27002:2005 (ABNT, 2005). Os processos foram derivados dos objetivos de controle estabelecidos na norma técnica e as atividades dos processos foram derivadas dos controles de cada objetivo de controle normativo. A partir deste ponto foi utilizado o modelo genérico de maturidade, proposto pelo CMMI e amplamente utilizado em boas práticas internacionais, para se desenvolver os modelos de maturidade dos processos de segurança da informação. Para avaliar a maturidade através dos modelos propostos, foi desenvolvido um questionário de análise de maturidade e uma ferramenta computacional para apoiar a aplicação do mesmo. O questionário foi aplicado em dez organizações da região de Curitiba-PR, que possuem acima de mil usuários internos de tecnologia da informação. Os resultados indicam que o tema ainda é foco da área de tecnologia da informação - TI, pois somente os processos diretamente relacionados com a TI se mostraram mais evoluídos. Por outro lado, os processos relacionados à gestão e planejamento se mostraram os menos desenvolvidos. Através das análises foi possível concluir que a segurança da informação é abordada como uma responsabilidade de TI e não corporativa. Outra conclusão importante é que o tema é ainda novo nas organizações, pela baixa maturidade dos processos identificada na pesquisa. Isso sugere que de fato existem melhorias a serem desenvolvidas, principalmente nas questões de gestão da segurança da informação.

  • Palavras-chave: Segurança da informação. Maturidade de processo. Gestão de processo. CMMI.
  • Abstract:

     

    The concepts and information security practices have evolved in recent years and companies have sought to adapt to this evolution. The effort for this adaptation reflects, in most cases, the vision of information technology. In this context it is possible to identify the need for a model to assess how information security is handled in organizations. Information security does not have a process structure or even a maturity model to support organizations in identifying improvements. This paper aims to propose a framework for analysis of information security process maturity based on standard ABNT NBT ISO/IEC 27002:2005 that seeks to close the gap identified above. To achieve this objective processes were modeled based on the information security standard ABNT NBR ISO/IEC 27002:2005 (ABNT, 2005). The processes were derived from the control objectives set out in the technical standard and the activities of these processes were derived from the controls of each control objective normative. From this point was used the generic maturity model proposed by CMMI and widely used in international practice, to develop models of information security maturity process. In order to evaluate the maturity through the proposed models, a questionnaire was developed for the analysis of maturity and a computational tool to support the application. The questionnaire was administered in ten organizations in the region of Curitiba-PR-Brazil, which have over one thousand internal users of information technology. The results indicate that the theme is still the focus of information technology area - IT, because only the processes directly related to IT were more evolved. On the other hand, processes related to planning and management proved the least developed. Through the analysis it was concluded that information security is addressed as an IT responsibility rather than corporate responsibility. Another important conclusion is that the subject is still new in organizations, because the low processes maturity identified in the survey. This suggests that in fact there are improvements to be developed mainly on the management of information security.

  • Keywords: Information security. Process maturity. Process management. CMMI.
Ler 2535 vezes

Curta nossa Fan Page

Linguagem do site

 

Fale conosco: (41) 3360-4191
Localização:Localização através do Gogle Maps  
  • Facebook do Mestrado PPGCGTI
  • Twitter: PPGCGTI
© 2013 Francisco Soares - Universidade Federal do Paraná, Setor de Ciências Sociais Aplicadas, Campus III, Jardim Botânico - Curitiba - Paraná - Brasil.