Modelo de Avaliação da Maturidade da Segurança da Informação
Resumo
Os processos de negócio das organizações são suportados por tecnologias da informação, apesar de muitos processos e sistemas não terem sido projetados para serem seguros. A falta de um método para avaliar a segurança poderá expor a organização ao risco em diversas situações. Este artigo apresenta um processo para a gestão da maturidade da segurança da informação através de um método de medição e um conjunto de controles que tratam a segurança da informação de forma abrangente. Os resultados indicam que o método é eficiente para avaliar o estado atual da segurança, auxiliar no processo de gestão da segurança da informação e identificação de riscos, e apoiar a melhoria dos processos e controles internos da organização.
Referências
ABNT. NBR ISO/IEC 27001:2006: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro, 2006. 34 p.
ABNT. NBR ISO/IEC 27002:2005: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005. 120 p.
ABNT. NBR ISO/IEC 27005:2008: Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança de informação. Rio de Janeiro, 2008. 55 p.
CHAPIN, D. A. e AKRIDGE, S. "How can security be measured," Information Systems Control Journal, vol. 2, pp. 43-47, 2005.
CUNHA, Renato Menezes da. Modelo de Governança da Segurança da Informação no Escopo da Governança Computacional. UFPE. 2008. Disponível em <http://www.bdtd.ufpe.br/tedeSimplificado/tde_arquivos/26/TDE-2009-03-09T123252Z5469/Publico/rmc.pdf>. Acesso em: 29 abril 2010.
ITGI – IT GOVERNANCE INSTITUTE. CobiT 4.1 - Control Objectives for Information and related Technology - Framework. Rolling Meadows - USA: [s.n.], 2007. Disponível em <http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx>. Acesso em: 12 setembro 2010.
JANSSEN, Luis Antonio. Instrumento de avaliação de maturidade em processos de segurança da informação: estudo de caso em instituições hospitalares. PUC-RS. 2008. Disponível em <http://tede.pucrs.br/tde_arquivos/2/TDE-2008-04-22T140541Z-1200/Publico/400421.pdf >. Acesso em: 29 abril 2010.
MARANHÃO, Mauriti; ISO Série 9000: manual de implementação: versão ISO 2000. 6a ed. Rio de Janeiro: Qualitymark, 2001. 220p.
PARK, Jung-Oh; KIM, Sang-Geun; CHOI, Byeong-Hun; JUN, Moon-Seog. The Study on the Maturity Measurement Method of Security Management for ITSM. In: Proc. of the International Conference on Convergence and Hybrid Information Technology, pp.826-830, 2008. IEEE Press.
PINHEIRO, Patrícia Peck; SLEIMAN, Cristina Moraes. Tudo o que você precisa saber sobre direito digital no dia-a-dia. São Paulo: Saraiva, 2009. 58p.
RAMOS, Anderson (org.). Security Officer - 1: guia oficial para formação de gestores em segurança da informação. Porto Alegre: Zouk, 2006. 460p.
RIGON, Evandro Alencar. Modelo de Avaliação da Maturidade da Segurança da Informação. UFSC. 2010. Disponível em <http://projetos.inf.ufsc.br/arquivos_projetos/projeto_1055/Modelo_Avaliacao_Matu ridade_Seguranca_Informacao_Rigon.pdf>. Acesso em: 08 abril 2011.
WOODHOUSE, Steven. 2008. An ISMS (Im)-Maturity Capability Model. In: Proceedings of the 2008 IEEE 8th International Conference on Computer and Information Technology Workshops (CITWORKSHOPS '08). IEEE Computer Society, Washington, DC, USA, pp. 242-247.