MODELO DE AVALIAÇÃO DA MATURIDADE DA SEGURANÇA DA INFORMAÇÃO

Evandro Alencar Rigon, Carla Merkle Westphall

Resumo


Os processos de negócio das organizações são suportados por tecnologias da informação, apesar de muitos processos e sistemas não terem sido projetados para serem seguros. A falta de um método para avaliar a segurança pode expor a organização a riscos em diversas situações. Este artigo apresenta um processo para a gestão da maturidade da segurança da informação por meio de um método de medição e um conjunto de controles que tratam a segurança da informação de forma abrangente. Os resultados indicam que o método é eficiente para avaliar o estado atual da segurança, auxiliar no processo de gestão da segurança da informação e identificação de riscos, e apoiar a melhoria dos processos e controles internos da organização.

Palavras-chave


segurança; maturidade; riscos

Referências


ACEITUNO, Vicente. ISM3 - Information Security Managemente Maturity Model v. 2.1. ISM3 Consortium, 2007. Disponível em: http://www.ism3.com. Acesso em: 20 dez 2012.

ABNT. NBR ISO/IEC 27001:2006: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro: ABNT, 2006.

ABNT. NBR ISO/IEC 27002:2005: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.

ABNT. NBR ISO/IEC 27005:2008: Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança de informação. Rio de Janeiro: ABNT, 2008.

BREIER, J.; HUDEC, L. New approach in information system security evaluation. In: IEEE First AESS European Conference on Satellite Telecommunications (ESTEL), 1., Rome, Italy, Proceedings…, p. 1-6, IEEE, 2012.

CHAPIN, D. A.; AKRIDGE, S. How can security be measured. Information Systems Control Journal, v. 2, p. 43-47, 2005.

CUNHA, Renato Menezes da. Modelo de governança da segurança da informação no escopo da governança computacional. Dissertação – Mestrado em Engenharia de Produção, Universidade Federal de Pernambuco, Recife, 2008.

GARCIA, Carlos Kleber da Silva. Avaliação do serviço de perícia criminal baseada em confiança institucional. 2012. xiv, 109 f., il. Dissertação (Mestrado em Engenharia Elétrica) - Universidade de Brasília, 2012.

ITGI – IT GOVERNANCE INSTITUTE. CobiT 4.1 - Control Objectives for Information and related Technology - Framework. Rolling Meadows - USA: [s.n.], 2007. Disponível em: http://www.isaca.org/Knowledge-Center/cobit/ Pages/Downloads.aspx. Acesso em: 12 dez 2012.

JANSSEN, Luis Antonio. Instrumento de avaliação de maturidade em processos de segurança da informação: estudo de caso em instituições hospitalares. Dissertação – Curso de Mestrado em Administração e Negó-cios, Pontifícia Universidade Católica do Rio Grande do Sul, Porto Alegre, 2008. Disponível em: http://tede.pucrs.br/tde_arquivos/2/TDE-2008-04-22T140541Z-1200/Publico/400421.pdf. Acesso em: 12 dez 2012.

KAROKOLA, G.; KOWALSKI, S; YNGSTRÖM, L. Towards an information security maturity model for secure e-government services: a stakeholders view. In: International Symposium on Human Aspects of Information Security & Assurance (HAISA 2011), 5., London, UK. Proceedings…, p. 58-73, HAISA, 2011. Disponível em: http://su.diva-portal.org/smash/record.jsf?pid= diva2:469623. Acesso em: 15 dez 2012.

MARANHÃO, Mauriti. ISO Série 9000: manual de implementação: versão ISO 2008. Rio de Janeiro: Qualitymark, 2011.

PARK, Jung-Oh; KIM, Sang-Geun; CHOI, Byeong-Hun; JUN, Moon-Seog. The study on the maturity measurement method of security management for ITSM. In: International Conference on Convergence and Hybrid Information Technology, Daejeon, Korea. Proceedings... SERC: IEEE Press, 2008. p. 826-830.

PINHEIRO, Patrícia Peck; SLEIMAN, Cristina Moraes. Tudo o que você pre-cisa saber sobre direito digital no dia-a-dia. São Paulo: Saraiva, 2009.

RAMOS, Anderson. Security officer - 1: guia oficial para formação de gestores em segurança da informação. Porto Alegre: Zouk, 2006.

THE OPEN GROUP. Open information security management maturity model (O-ISM3). Netherlands: Van Haren Publishing, 2011.

WALKER, Alastair; McBRIDE, Tom; BASSON, Gerhard; OAKLEY, Robert. ISO/IEC 15504 measurement applied to COBIT process maturity. Benchmarking: an International Journal, v. 19, n. 2, p. 159-176, 2012.

WOODHOUSE, Steven. An ISMS (Im)-Maturity Capability Model. In: IEEE International Conference on Computer and Information Technology, 8., Washington, DC, USA, Proceedings… IEEE: Computer Society Press, 2008, p. 242-247.


Texto completo: PDF

Licença Creative Commons
Este trabalho está licenciado sob uma Licença Creative Commons Attribution 3.0 .