Primasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativo
| Ano de defesa: | 2018 |
|---|---|
| Autor(a) principal: | |
| Orientador(a): | |
| Banca de defesa: | |
| Tipo de documento: | Tese |
| Tipo de acesso: | Acesso aberto |
| Idioma: | por |
| Instituição de defesa: |
Universidade Federal de Pernambuco
|
| Programa de Pós-Graduação: |
Programa de Pos Graduacao em Ciencia da Computacao
|
| Departamento: |
Não Informado pela instituição
|
| País: |
Brasil
|
| Palavras-chave em Português: | |
| Link de acesso: | https://repositorio.ufpe.br/handle/123456789/33640 |
Resumo: | A falta de segurança em sistemas de informação tem provocado inúmeros prejuízos financeiros e morais para as organizações. As organizações dispõem de uma série de medidas de segurança da informação recomendadas por normas internacionais e pela literatura. Porém a implementação de políticas, ações e adequação a alguma norma não é algo simples, devendo ser balizada pelas necessidades específicas identificadas pela Governança da Segurança da Informação em cada organização. Muitos são os desafios enfrentados para estabelecer, manter e medir a segurança da informação de forma eficaz e que de fato agregue valor. Estas dificuldades demonstram a necessidade de pesquisar formas para tentar suprir esta carência. Este trabalho apresenta uma estratégia para mensurar a maturidade em segurança da informação visando, também, auxiliar a aplicação e priorização das ações de segurança da informação no meio corporativo. Para isto, a pesquisa alicerçou-se na Design Science Research, utilizando o survey como principal instrumento metodológico de coleta de dados, alcançando 157 empresas distintas. Para propor essa estratégia de priorização e maturidade optou-se por um estudo ad-hoc da literatura, seguido por um mapeamento sistemático da literatura e análises de revisões sistemáticas da literatura já existentes. Como resultado foi possível classificar os controles da ISO/IEC 27001 e 27002 em quatro estágios de acordo com a importância dada pelas empresas. Utilizou-se, também, os níveis de maturidade do COBIT e uma matriz para análise de riscos. Quatro versões do artefato foram geradas, sendo avaliadas por empresas e especialistas, utilizando questionários, aplicação em caso real e realizando um grupo focal. A quarta e última versão do artefato foi chamada de Estratégia Primasia, uma Estratégia para Priorização e Maturidade da Segurança da Informação Adaptável. Neste sentido, a principal contribuição desta pesquisa de doutorado é a estratégia de priorização e maturidade em segurança da informação adaptável que visa estabelecer boas práticas de segurança da informação para maximizar o seu sucesso nas empresas. Acredita-se que este trabalho também contribui com o ainda incipiente corpo de conhecimento da área de priorização e maturidade em segurança da informação. Este entendimento é útil não apenas para estudos futuros na academia, mas também para empresas que estejam iniciando ou pretendendo melhorar suas ações de segurança da informação. |
| id |
UFPE_f9228cb013c15a5cb58caff2bc08cc7c |
|---|---|
| oai_identifier_str |
oai:repositorio.ufpe.br:123456789/33640 |
| network_acronym_str |
UFPE |
| network_name_str |
Repositório Institucional da UFPE |
| repository_id_str |
|
| spelling |
ALENCAR, Gliner Diashttp://lattes.cnpq.br/8524627494079056http://lattes.cnpq.br/9906166020816798MOURA, Hermano Perrelli de2019-09-25T20:13:32Z2019-09-25T20:13:32Z2018-12-11https://repositorio.ufpe.br/handle/123456789/33640A falta de segurança em sistemas de informação tem provocado inúmeros prejuízos financeiros e morais para as organizações. As organizações dispõem de uma série de medidas de segurança da informação recomendadas por normas internacionais e pela literatura. Porém a implementação de políticas, ações e adequação a alguma norma não é algo simples, devendo ser balizada pelas necessidades específicas identificadas pela Governança da Segurança da Informação em cada organização. Muitos são os desafios enfrentados para estabelecer, manter e medir a segurança da informação de forma eficaz e que de fato agregue valor. Estas dificuldades demonstram a necessidade de pesquisar formas para tentar suprir esta carência. Este trabalho apresenta uma estratégia para mensurar a maturidade em segurança da informação visando, também, auxiliar a aplicação e priorização das ações de segurança da informação no meio corporativo. Para isto, a pesquisa alicerçou-se na Design Science Research, utilizando o survey como principal instrumento metodológico de coleta de dados, alcançando 157 empresas distintas. Para propor essa estratégia de priorização e maturidade optou-se por um estudo ad-hoc da literatura, seguido por um mapeamento sistemático da literatura e análises de revisões sistemáticas da literatura já existentes. Como resultado foi possível classificar os controles da ISO/IEC 27001 e 27002 em quatro estágios de acordo com a importância dada pelas empresas. Utilizou-se, também, os níveis de maturidade do COBIT e uma matriz para análise de riscos. Quatro versões do artefato foram geradas, sendo avaliadas por empresas e especialistas, utilizando questionários, aplicação em caso real e realizando um grupo focal. A quarta e última versão do artefato foi chamada de Estratégia Primasia, uma Estratégia para Priorização e Maturidade da Segurança da Informação Adaptável. Neste sentido, a principal contribuição desta pesquisa de doutorado é a estratégia de priorização e maturidade em segurança da informação adaptável que visa estabelecer boas práticas de segurança da informação para maximizar o seu sucesso nas empresas. Acredita-se que este trabalho também contribui com o ainda incipiente corpo de conhecimento da área de priorização e maturidade em segurança da informação. Este entendimento é útil não apenas para estudos futuros na academia, mas também para empresas que estejam iniciando ou pretendendo melhorar suas ações de segurança da informação.The lack of security in information systems has caused numerous financial and moral losses to several organizations. The organizations have a series of information security measures recommended by literature and international standards. However, the implementation of policies, actions, and adjustment to such standards is not simple and must be addressed by specific needs identified by the Information Security Governance in each organization. There are many challenges in effectively establishing, maintaining, and measuring information security in a way that adds value. Those challenges demonstrate a need for further investigations which address the problem. This work presents a strategy to measure the maturity in information security aiming, also, to assist in the application and prioritization of information security actions in the corporate environment. For this, the research was based on Design Science Research. A survey was used as the main methodological instrument of data collection, reaching 157 distinct companies. To propose this prioritization and maturity strategy, an ad-hoc review of the literature was chosen, followed by a systematic mapping and analysis of existing systematic reviews of the literature. As a result, it was possible to classify the ISO/IEC 27001 and 27002 controls in four stages according to the importance given by the companies. The COBIT maturity levels and a risk analysis matrix were also used. Four versions of the artifact were generated, being evaluated by companies and specialists, using questionnaires, application in a real case and realizing a focus group. The fourth and final version of the artifact was the Primasia Strategy, an Adaptable Prioritization and Maturity Strategy for Information Security. Therefore, the main contribution of this doctoral research is the Adaptable Prioritization and Maturity Strategy for Information Security that aims to establish good information security practices to maximize its success in companies. It is believed that this work also contributes to the still incipient body of knowledge about prioritization and maturity in the information security area. This understanding is useful not only to further studies in the academy but also to companies that are starting or intending their information security actions.porUniversidade Federal de PernambucoPrograma de Pos Graduacao em Ciencia da ComputacaoUFPEBrasilAttribution-NonCommercial-NoDerivs 3.0 Brazilhttp://creativecommons.org/licenses/by-nc-nd/3.0/br/info:eu-repo/semantics/openAccessSegurança da informaçãoPriorizaçãoPrimasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativoinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/doctoralThesisdoutoradoreponame:Repositório Institucional da UFPEinstname:Universidade Federal de Pernambuco (UFPE)instacron:UFPETHUMBNAILTESE Gliner Dias Alencar.pdf.jpgTESE Gliner Dias Alencar.pdf.jpgGenerated Thumbnailimage/jpeg1338https://repositorio.ufpe.br/bitstream/123456789/33640/5/TESE%20Gliner%20Dias%20Alencar.pdf.jpg8db828238850f84b41621f17bffdbff4MD55ORIGINALTESE Gliner Dias Alencar.pdfTESE Gliner Dias Alencar.pdfapplication/pdf4649450https://repositorio.ufpe.br/bitstream/123456789/33640/1/TESE%20Gliner%20Dias%20Alencar.pdf942b88e30648900231512e4fbcfbbee4MD51CC-LICENSElicense_rdflicense_rdfapplication/rdf+xml; charset=utf-8811https://repositorio.ufpe.br/bitstream/123456789/33640/2/license_rdfe39d27027a6cc9cb039ad269a5db8e34MD52LICENSElicense.txtlicense.txttext/plain; charset=utf-82310https://repositorio.ufpe.br/bitstream/123456789/33640/3/license.txtbd573a5ca8288eb7272482765f819534MD53TEXTTESE Gliner Dias Alencar.pdf.txtTESE Gliner Dias Alencar.pdf.txtExtracted texttext/plain603351https://repositorio.ufpe.br/bitstream/123456789/33640/4/TESE%20Gliner%20Dias%20Alencar.pdf.txt22ee404f8c9ae2cf5b44318168f986d0MD54123456789/336402019-10-25 06:11:20.624oai:repositorio.ufpe.br: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ório InstitucionalPUBhttps://repositorio.ufpe.br/oai/requestattena@ufpe.bropendoar:22212019-10-25T09:11:20Repositório Institucional da UFPE - Universidade Federal de Pernambuco (UFPE)false |
| dc.title.pt_BR.fl_str_mv |
Primasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativo |
| title |
Primasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativo |
| spellingShingle |
Primasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativo ALENCAR, Gliner Dias Segurança da informação Priorização |
| title_short |
Primasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativo |
| title_full |
Primasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativo |
| title_fullStr |
Primasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativo |
| title_full_unstemmed |
Primasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativo |
| title_sort |
Primasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativo |
| author |
ALENCAR, Gliner Dias |
| author_facet |
ALENCAR, Gliner Dias |
| author_role |
author |
| dc.contributor.authorLattes.pt_BR.fl_str_mv |
http://lattes.cnpq.br/8524627494079056 |
| dc.contributor.advisorLattes.pt_BR.fl_str_mv |
http://lattes.cnpq.br/9906166020816798 |
| dc.contributor.author.fl_str_mv |
ALENCAR, Gliner Dias |
| dc.contributor.advisor1.fl_str_mv |
MOURA, Hermano Perrelli de |
| contributor_str_mv |
MOURA, Hermano Perrelli de |
| dc.subject.por.fl_str_mv |
Segurança da informação Priorização |
| topic |
Segurança da informação Priorização |
| description |
A falta de segurança em sistemas de informação tem provocado inúmeros prejuízos financeiros e morais para as organizações. As organizações dispõem de uma série de medidas de segurança da informação recomendadas por normas internacionais e pela literatura. Porém a implementação de políticas, ações e adequação a alguma norma não é algo simples, devendo ser balizada pelas necessidades específicas identificadas pela Governança da Segurança da Informação em cada organização. Muitos são os desafios enfrentados para estabelecer, manter e medir a segurança da informação de forma eficaz e que de fato agregue valor. Estas dificuldades demonstram a necessidade de pesquisar formas para tentar suprir esta carência. Este trabalho apresenta uma estratégia para mensurar a maturidade em segurança da informação visando, também, auxiliar a aplicação e priorização das ações de segurança da informação no meio corporativo. Para isto, a pesquisa alicerçou-se na Design Science Research, utilizando o survey como principal instrumento metodológico de coleta de dados, alcançando 157 empresas distintas. Para propor essa estratégia de priorização e maturidade optou-se por um estudo ad-hoc da literatura, seguido por um mapeamento sistemático da literatura e análises de revisões sistemáticas da literatura já existentes. Como resultado foi possível classificar os controles da ISO/IEC 27001 e 27002 em quatro estágios de acordo com a importância dada pelas empresas. Utilizou-se, também, os níveis de maturidade do COBIT e uma matriz para análise de riscos. Quatro versões do artefato foram geradas, sendo avaliadas por empresas e especialistas, utilizando questionários, aplicação em caso real e realizando um grupo focal. A quarta e última versão do artefato foi chamada de Estratégia Primasia, uma Estratégia para Priorização e Maturidade da Segurança da Informação Adaptável. Neste sentido, a principal contribuição desta pesquisa de doutorado é a estratégia de priorização e maturidade em segurança da informação adaptável que visa estabelecer boas práticas de segurança da informação para maximizar o seu sucesso nas empresas. Acredita-se que este trabalho também contribui com o ainda incipiente corpo de conhecimento da área de priorização e maturidade em segurança da informação. Este entendimento é útil não apenas para estudos futuros na academia, mas também para empresas que estejam iniciando ou pretendendo melhorar suas ações de segurança da informação. |
| publishDate |
2018 |
| dc.date.issued.fl_str_mv |
2018-12-11 |
| dc.date.accessioned.fl_str_mv |
2019-09-25T20:13:32Z |
| dc.date.available.fl_str_mv |
2019-09-25T20:13:32Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/doctoralThesis |
| format |
doctoralThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
https://repositorio.ufpe.br/handle/123456789/33640 |
| url |
https://repositorio.ufpe.br/handle/123456789/33640 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
Attribution-NonCommercial-NoDerivs 3.0 Brazil http://creativecommons.org/licenses/by-nc-nd/3.0/br/ info:eu-repo/semantics/openAccess |
| rights_invalid_str_mv |
Attribution-NonCommercial-NoDerivs 3.0 Brazil http://creativecommons.org/licenses/by-nc-nd/3.0/br/ |
| eu_rights_str_mv |
openAccess |
| dc.publisher.none.fl_str_mv |
Universidade Federal de Pernambuco |
| dc.publisher.program.fl_str_mv |
Programa de Pos Graduacao em Ciencia da Computacao |
| dc.publisher.initials.fl_str_mv |
UFPE |
| dc.publisher.country.fl_str_mv |
Brasil |
| publisher.none.fl_str_mv |
Universidade Federal de Pernambuco |
| dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UFPE instname:Universidade Federal de Pernambuco (UFPE) instacron:UFPE |
| instname_str |
Universidade Federal de Pernambuco (UFPE) |
| instacron_str |
UFPE |
| institution |
UFPE |
| reponame_str |
Repositório Institucional da UFPE |
| collection |
Repositório Institucional da UFPE |
| bitstream.url.fl_str_mv |
https://repositorio.ufpe.br/bitstream/123456789/33640/5/TESE%20Gliner%20Dias%20Alencar.pdf.jpg https://repositorio.ufpe.br/bitstream/123456789/33640/1/TESE%20Gliner%20Dias%20Alencar.pdf https://repositorio.ufpe.br/bitstream/123456789/33640/2/license_rdf https://repositorio.ufpe.br/bitstream/123456789/33640/3/license.txt https://repositorio.ufpe.br/bitstream/123456789/33640/4/TESE%20Gliner%20Dias%20Alencar.pdf.txt |
| bitstream.checksum.fl_str_mv |
8db828238850f84b41621f17bffdbff4 942b88e30648900231512e4fbcfbbee4 e39d27027a6cc9cb039ad269a5db8e34 bd573a5ca8288eb7272482765f819534 22ee404f8c9ae2cf5b44318168f986d0 |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Repositório Institucional da UFPE - Universidade Federal de Pernambuco (UFPE) |
| repository.mail.fl_str_mv |
attena@ufpe.br |
| _version_ |
1862741885815095296 |