Melhores práticas do COBIT, ITlL e ISO/IEC 27002 para implantação de política de segurança da informação em Instituições Federais do Ensino Superior

Autores

  • Orlivaldo Kleber Lima Rios Universidade Federal de Pernambuco (UFPE).
  • José Gilson de Almeida Teixeira Filho Universidade Federal de Pernambuco
  • Vânia Patrícia da Silva Rios Instituto Federal Baiabno - Campus Bonfim

DOI:

https://doi.org/10.20397/2177-6652/2017.v17i1.1084

Palavras-chave:

Gestão de Segurança da Informação, Política de Segurança da Informação, Melhores Práticas.

Resumo

Manter a segurança das informações das Instituições Federais do Ensino Superior é um fator preponderante para se alcançar os objetivos do planejamento estratégico institucional. Entretanto, tal segurança deve ser mantida através de ações que possibilitem a confiabilidade, autenticidade, integridade e disponibilidade das informações, tendo seu início com a implantação da política de segurança da informação. O objetivo principal do estudo consistiu em definir as melhores práticas em gestão de segurança da informação para implantação e revisão de PoSIC. A pesquisa utilizou de dados documentais e da revisão sistemática da literatura para a produção de um Guia de melhores práticas para Implantação de PoSIC nas IFES. O Guia foi elaborado a partir das práticas e controles dos processos de segurança da informação recomendadas pelo COBIT 5 for Information Security, ITIL v3 Service Design, controles da ABNT ISO/IEC 27002:2103, pesquisas acadêmicas, literatura relacionada a segurança da informação e de documentação da legislação exigida e recomendada nos órgãos da Administração Pública Federal, diretas e indiretas. Após sua elaboração, o Guia foi avaliado utilizando o Modelo de Aceitação de Tecnologia, onde sugere que fatores como a facilidade de uso percebida e utilidade percebida influenciam na intenção de uso de um novo sistema ou abordagem teórica e metodológica. Gestores de segurança da informação acreditam que esse documento pode ser utilizado nas instituições de ensino como forma de agregar valor no processo de implantação da política de segurança da informação.

Biografia do Autor

Orlivaldo Kleber Lima Rios, Universidade Federal de Pernambuco (UFPE).

Analista de TI do Instituto Federal Baiano (IFBaiano). É mestrando em Ciência da Computação pela Universidade Federal de Pernambuco (2014), especialista em Redes Linux (2012) e Administração de Sistema de Informação (2005), graduação em Ciência da Computação Universidade de Alfenas (2002). Tem experiência em Gestão de Redes de Computadores e Segurança da Informação.

José Gilson de Almeida Teixeira Filho, Universidade Federal de Pernambuco

Professor adjunto da Universidade Federal de Pernambuco (UFPE). Possui doutorado em Ciências da Computação (2010), mestrado em Engenharia de Produção (2005), especialização em Finanças (2014), graduação em Sistemas de Informação (2003). Tem experiência nas áreas de Administração e Ciência da Computação, atuando principalmente nos seguintes temas: Governança Corporativa de TI, Planejamento Estratégico Institucional e de SI/TI, Gerenciamento de Projetos e Processos, Sistemas de Informação e Tecnologia da Informação, Inovação e Empreendedorismo.

Vânia Patrícia da Silva Rios, Instituto Federal Baiabno - Campus Bonfim

Licencianda em Ciência da Computação pelo Instituto Federal de Ciência, Educação e Tecnologia Baiano. Tem experiência em sistemas Open Source e segurança da computação.

Referências

Albuquerque, A. E. Jr. & Santos, E. M. dos. (2014). Adoção de medidas de Segurança da Informação: um modelo de análise para institutos de pesquisa públicos. Revista Brasileira de Administração Científica, v. 5, n. 2, p. xx-xx.

Araujo, W. J de (2012). Leis, decretos e normas sobre Gestão da Segurança da Informação nos órgãos da Administração Pública Federal. Informação & Sociedade: Estudos, v. 22.

Anand, V., Saniie, J., & Oruklu, E. (2012). Security policy management process within Six Sigma framework. 2011. Journal of Information Security, 3, pp. 49-58.

Biolchini, J., Mian, P. G., Natali, A. C., & Travassos, G. H. (2005). Systematic Review in Software Engineering: relevance and utility. Relatório Técnico RT-ES-679/05, Programa de Engenharia de Sistemas e Computação (PESC), COPPE/UFRJ.

Cardoso, M. de O. (2011). Propostas de Diretrizes para o Desenvolvimento de uma Política de Segurança da Informação e Comunicações para o Centro de Processamento de Dados Distrito Federal da Dataprev Baseadas na Norma ABNT NBR ISO/IEC 27002:2005. Brasília: Universidade de Brasília. Dissertação de Especialização, Departamento de Ciência da computação.

Cardoso, J. (2013). IT Policy Framework Based on COBIT 5. ISACA Journal, vol. 1. Recuperado em 14 janeiro, 2015 de http://www.ISACA.org/Journal/archives/2013/Volume-1/Documents/13v1-IT-Policy-Framework-Based.pdf

Decreto nº 3.505 de 13 de junho de 2000 (2000). Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Presidência da República. Recuperado em 11 dezembro, 2015, de http://www.planalto.gov.br/ccivil_03/decreto/d3505.htm.

Davis F. D., (1989). Perceived usefulness, perceived ease of use, and user acceptance of information technology. MIS Quart

Dzazali, S. & Hussein Z., A. (2012). Assessment of information security maturity: an exploration study of Malaysian public service organizations. Journal of Systems and Information Technology, v. 14, n. 1, pp. 23-57.

Editora ABNT (2013). NBR ISO/IEC 27001:2013. Tecnologia da Informação – Técnicas de Segurança – Sistema de gestão da segurança da informação. Rio de Janeiro: ABNT. Autor.

Editora ABNT (2013). NBR ISO/IEC 27002:2013. Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT. Autor.

Editora ISACA (2012). COBIT. 5: A Business Framework for the Governance and Management of Enterprise IT. Author.

Editora ISACA (2012). COBIT 5 for Information Security. Author.

Fontes, E. (2012). Políticas e normas para segurança da informação. Rio de janeiro: Brasport,

Gehrmann, M. (2012). Combining ITIL, COBIT and ISO/IEC 27002 for structuring comprehensive information technology for management in organizations. Navus-Revista de Gestão e Tecnologia, v. 2, n. 2, pp. 66-77.

Kauark, F., Manhaes. F. C., & Medeiros. C. H. (2010). Metodologia da pesquisa : guia prático. Itabuna : Via Litterarum.

Lei No 8.159, de 8 de janeiro de 1991 (1991). Dispõe sobre a política nacional de arquivos públicos e privados e dá outras providências. Recuperado em 26 setembro, 2016, de http://www.planalto.gov.br/ccivil_03/leis/L8159.htm.

Nascimento, E. C. L. do. (2012). Fatores culturais e estruturais que impactam na implantação da política de segurança da informação: um estudo de caso sobre o Ministério do Desenvolvimento Agrário. Universitas: Gestão e TI, v. 2, n. 1.

Monteiro, I. L. C. O. (2009). Proposta de um Guia para elaboração de políticas de segurança da informação e comunicação em órgãos da APF. Universidade de Brasília. Dissertação de Especialização, Departamento de Ciência da computação. Dissertação de mestrado. Brasília-DF.

Presidência da República (2009). Norma Complementar nº 03/IN01/DSIC/GSI/PR. Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal. Recuperado em 11 dezembro, 2015, de http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf

Sengupta, A., Mazumdar, C., & Bagchi, A., (2011). A Methodology for Conversion of Enterprise-Level Information Security Policies to Implementation-Level Policies/Rule. In: Emerging Applications of Information Technology (EAIT), Second International Conference on. IEEE, 2011. pp. 280-283.

Taylor, S., (2011). ITIL: Service Design. Best management Pratice. TSO The Stationary, London, edition.

Teixeira, J. G. A. Filho (2010). MMPE-SI/TI (Gov) - Modelo de Maturidade para Planejamento Estratégico de SI/TI direcionado às Organizações Governamentais Brasileiras baseado em Melhores Práticas. vol. 1 e 2, 2010. Tese (Doutorado em Ciências da Computação) – Universidade Federal de Pernambuco (UFPE), Recife.

Tribunal de Contas da União (2015). Levantamento de Governança de TI 2014. Recuperado em 16 dezembro, 2015, de http://portal3.tcu.gov.br/portal/pls/portal/docs/2705176.pdf.

Tribunal de Contas da União (2016). Demanda nº 265-54 [mensagem pessoal]. Mensagem recebida por no-replay@tcu.gov.br em 30 maio de 2016.

Tuyikeze, T., & Flowerday, S., (2014). Information Security Policy Development and Implementation: A Content Analysis Approach. In:HAISA. pp. 11-20.

Veiga, A. da.(2015). The Influence of Information Security Policies on Information Security Culture: Illustrated through a Case Study. HAISA.

Downloads

Publicado

2017-04-27

Como Citar

Rios, O. K. L., Teixeira Filho, J. G. de A., & Rios, V. P. da S. (2017). Melhores práticas do COBIT, ITlL e ISO/IEC 27002 para implantação de política de segurança da informação em Instituições Federais do Ensino Superior. Revista Gestão & Tecnologia, 17(1), 130–153. https://doi.org/10.20397/2177-6652/2017.v17i1.1084

Edição

Seção

ARTIGO