Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras

AUTOR(ES)

Benz, Karl Heinz

DATA DE PUBLICAÇÃO

2008

RESUMO

A crescente importância da TI nas organizações torna crucial o alinhamento estratégico da política de segurança da informação, definida pelas organizações em função de normas locais e nacionais, regulamentos e melhores práticas, com as estratégias de TI específicas para segurança da informação, definidas no Planejamento Estratégico de Sistemas de Informação (projetos e práticas implementadas de Segurança da Informação). Caso contrário, facilmente os resultados do planejamento de TI poderão ser comprometidos por problemas de segurança. Assim, analisar o alinhamento da política de segurança com o planejamento de TI passa a ser muito importante para o bom desempenho da organização. O objetivo desta Dissertação de Mestrado foi identificar as principais características encontradas nos modelos de alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI, assim como os principais fatores habilitadores e inibidores do mesmo, em organizações da área financeira com atuação no Rio Grande do Sul. Para atingir este objetivo foram realizados Estudos de Caso descritivos e exploratórios em três instituições financeiras: um banco comercial de economia mista, um banco comercial cooperativado e uma instituição financeira pública de fomento. Este último utilizado como caso de contraste. Para tanto foram entrevistados um total de 13 profissionais representativos ao teor desta pesquisa. Ao final deste estudo é gerada uma lista de fatores habilitadores (apoio ativo da Diretoria; criação de estrutura específica de Segurança da Informação, posicionada hierarquicamente no mesmo nível que a TI; Política de Segurança da Informação configurada em 3 (três) níveis: estratégico, tático e operacional; ameaça do impacto de uma quebra na segurança; conformidade com leis, regulamentações específicas, padrões relevantes, contratos e diretrizes estratégicas corporativas; aderência a padrões de TI, como COBIT e ITIL, e segurança da informação, como a norma ABNT ISO 17799:2005; efeitos da estratégia sobre a TI e segurança da informação; ferramentas de TI como ferramentas estratégicas; existência de políticas de segurança específicas; controles e procedimentos de segurança incorporados aos sistemas; participação da segurança da informação no ciclo de vida dos sistemas; projetos de TI como ameaça; consciência da segurança da informação por parte dos usuários internos; normas de relacionamento com usuários; critérios de aceitação de sistemas; controles e procedimentos de prevenção, detecção e recuperação contra incidentes de segurança; confiabilidade, segurança e estabilidade da infra-estrutura) e inibidores (pouca importânciapara a Segurança da Informação, com seu posicionamento hierárquico subordinado à TI; ausência de Política de Segurança da Informação formalizada em 3 níveis; falta de conformidade; efeitos negativos não detectados de novas estratégias corporativas na TI e na segurança da informação; a segurança da informação não fazendo parte do ciclo de vida dos sistemas; ameaças não detectadas de projetos de TI à segurança da informação; falta de consciência do uso seguro dos sistemas por parte dos usuários internos; falta de consciência do uso seguro dos sistemas por parte dos clientes). Por fim, uma das principais implicações práticas deste estudo foi confirmar o uso da norma ABNT ISO 17799:2005 como padrão para a implantação de políticas de segurança da informação nas instituições financeiras com atuação no Rio Grande do Sul. Como principal contribuição acadêmica pode-se dizer que esta dissertação vem somar-se a alguns poucos trabalhos acadêmicos, tais como Oliva (2003) e Lessa (2006), no sentido de refletir sobre o alinhamento estratégico da segurança da informação.

ASSUNTO(S)

tecnologia da informação strategic alignment sistemas de informação information security iso 17799 política de informação planejamento estratégico information technology alinhamento estratégico

Documentos Relacionados

• Alinhamento estratégico entre negócios e tecnologia da informação : práticas promovidas em empresas industriais da região sul do Brasil
• Alinhamento estratégico entre TI e negócio : uma abordagem conversacional
• Alinhamento estratégico das operações : estudos de caso na interface com marketing
• Alinhamento Estratégico entre Negócio e Tecnologia de Informação na Perspectiva da Teoria Ator-Rede: O Caso da Internet em um Banco Brasileiro
• Alinhamento Estratégico de TI: Avaliando as Percepções de Executivos de Negócio e TI