Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras

Detalhes bibliográficos
Ano de defesa: 2008
Autor(a) principal: Benz, Karl Heinz
Orientador(a): Brodbeck, Angela Freitag
Banca de defesa: Não Informado pela instituição
Tipo de documento: Dissertação
Tipo de acesso: Acesso aberto
Idioma: por
Instituição de defesa: Não Informado pela instituição
Programa de Pós-Graduação: Não Informado pela instituição
Departamento: Não Informado pela instituição
País: Não Informado pela instituição
Palavras-chave em Português:
Tecnologia da informação
Sistemas de informação
Política de informação
Planejamento estratégico
Alinhamento estratégico
Palavras-chave em Inglês:
Strategic alignment
Information security
ISO 17799
Information technology
Link de acesso: http://hdl.handle.net/10183/12905
Resumo: A crescente importância da TI nas organizações torna crucial o alinhamento estratégico da política de segurança da informação, definida pelas organizações em função de normas locais e nacionais, regulamentos e melhores práticas, com as estratégias de TI específicas para segurança da informação, definidas no Planejamento Estratégico de Sistemas de Informação (projetos e práticas implementadas de Segurança da Informação). Caso contrário, facilmente os resultados do planejamento de TI poderão ser comprometidos por problemas de segurança. Assim, analisar o alinhamento da política de segurança com o planejamento de TI passa a ser muito importante para o bom desempenho da organização. O objetivo desta Dissertação de Mestrado foi identificar as principais características encontradas nos modelos de alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI, assim como os principais fatores habilitadores e inibidores do mesmo, em organizações da área financeira com atuação no Rio Grande do Sul. Para atingir este objetivo foram realizados Estudos de Caso descritivos e exploratórios em três instituições financeiras: um banco comercial de economia mista, um banco comercial cooperativado e uma instituição financeira pública de fomento. Este último utilizado como caso de contraste. Para tanto foram entrevistados um total de 13 profissionais representativos ao teor desta pesquisa. Ao final deste estudo é gerada uma lista de fatores habilitadores (apoio ativo da Diretoria; criação de estrutura específica de Segurança da Informação, posicionada hierarquicamente no mesmo nível que a TI; Política de Segurança da Informação configurada em 3 (três) níveis: estratégico, tático e operacional; ameaça do impacto de uma quebra na segurança; conformidade com leis, regulamentações específicas, padrões relevantes, contratos e diretrizes estratégicas corporativas; aderência a padrões de TI, como COBIT e ITIL, e segurança da informação, como a norma ABNT ISO 17799:2005; efeitos da estratégia sobre a TI e segurança da informação; ferramentas de TI como ferramentas estratégicas; existência de políticas de segurança específicas; controles e procedimentos de segurança incorporados aos sistemas; participação da segurança da informação no ciclo de vida dos sistemas; projetos de TI como ameaça; consciência da segurança da informação por parte dos usuários internos; normas de relacionamento com usuários; critérios de aceitação de sistemas; controles e procedimentos de prevenção, detecção e recuperação contra incidentes de segurança; confiabilidade, segurança e estabilidade da infra-estrutura) e inibidores (pouca importânciapara a Segurança da Informação, com seu posicionamento hierárquico subordinado à TI; ausência de Política de Segurança da Informação formalizada em 3 níveis; falta de conformidade; efeitos negativos não detectados de novas estratégias corporativas na TI e na segurança da informação; a segurança da informação não fazendo parte do ciclo de vida dos sistemas; ameaças não detectadas de projetos de TI à segurança da informação; falta de consciência do uso seguro dos sistemas por parte dos usuários internos; falta de consciência do uso seguro dos sistemas por parte dos clientes). Por fim, uma das principais implicações práticas deste estudo foi confirmar o uso da norma ABNT ISO 17799:2005 como padrão para a implantação de políticas de segurança da informação nas instituições financeiras com atuação no Rio Grande do Sul. Como principal contribuição acadêmica pode-se dizer que esta dissertação vem somar-se a alguns poucos trabalhos acadêmicos, tais como Oliva (2003) e Lessa (2006), no sentido de refletir sobre o alinhamento estratégico da segurança da informação.
id UFRGS-2_4747a48fbcd607a501e5cd43ae743e6c
oai_identifier_str oai:www.lume.ufrgs.br:10183/12905
network_acronym_str UFRGS-2
network_name_str Repositório Institucional da UFRGS
repository_id_str
spelling Benz, Karl HeinzBrodbeck, Angela Freitag2008-05-20T04:11:48Z2008http://hdl.handle.net/10183/12905000636569A crescente importância da TI nas organizações torna crucial o alinhamento estratégico da política de segurança da informação, definida pelas organizações em função de normas locais e nacionais, regulamentos e melhores práticas, com as estratégias de TI específicas para segurança da informação, definidas no Planejamento Estratégico de Sistemas de Informação (projetos e práticas implementadas de Segurança da Informação). Caso contrário, facilmente os resultados do planejamento de TI poderão ser comprometidos por problemas de segurança. Assim, analisar o alinhamento da política de segurança com o planejamento de TI passa a ser muito importante para o bom desempenho da organização. O objetivo desta Dissertação de Mestrado foi identificar as principais características encontradas nos modelos de alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI, assim como os principais fatores habilitadores e inibidores do mesmo, em organizações da área financeira com atuação no Rio Grande do Sul. Para atingir este objetivo foram realizados Estudos de Caso descritivos e exploratórios em três instituições financeiras: um banco comercial de economia mista, um banco comercial cooperativado e uma instituição financeira pública de fomento. Este último utilizado como caso de contraste. Para tanto foram entrevistados um total de 13 profissionais representativos ao teor desta pesquisa. Ao final deste estudo é gerada uma lista de fatores habilitadores (apoio ativo da Diretoria; criação de estrutura específica de Segurança da Informação, posicionada hierarquicamente no mesmo nível que a TI; Política de Segurança da Informação configurada em 3 (três) níveis: estratégico, tático e operacional; ameaça do impacto de uma quebra na segurança; conformidade com leis, regulamentações específicas, padrões relevantes, contratos e diretrizes estratégicas corporativas; aderência a padrões de TI, como COBIT e ITIL, e segurança da informação, como a norma ABNT ISO 17799:2005; efeitos da estratégia sobre a TI e segurança da informação; ferramentas de TI como ferramentas estratégicas; existência de políticas de segurança específicas; controles e procedimentos de segurança incorporados aos sistemas; participação da segurança da informação no ciclo de vida dos sistemas; projetos de TI como ameaça; consciência da segurança da informação por parte dos usuários internos; normas de relacionamento com usuários; critérios de aceitação de sistemas; controles e procedimentos de prevenção, detecção e recuperação contra incidentes de segurança; confiabilidade, segurança e estabilidade da infra-estrutura) e inibidores (pouca importânciapara a Segurança da Informação, com seu posicionamento hierárquico subordinado à TI; ausência de Política de Segurança da Informação formalizada em 3 níveis; falta de conformidade; efeitos negativos não detectados de novas estratégias corporativas na TI e na segurança da informação; a segurança da informação não fazendo parte do ciclo de vida dos sistemas; ameaças não detectadas de projetos de TI à segurança da informação; falta de consciência do uso seguro dos sistemas por parte dos usuários internos; falta de consciência do uso seguro dos sistemas por parte dos clientes). Por fim, uma das principais implicações práticas deste estudo foi confirmar o uso da norma ABNT ISO 17799:2005 como padrão para a implantação de políticas de segurança da informação nas instituições financeiras com atuação no Rio Grande do Sul. Como principal contribuição acadêmica pode-se dizer que esta dissertação vem somar-se a alguns poucos trabalhos acadêmicos, tais como Oliva (2003) e Lessa (2006), no sentido de refletir sobre o alinhamento estratégico da segurança da informação.The growing importance of IT in organizations makes crucial the strategic alignment of the policy of information security, defined by the organizations on the basis of local and national standards, regulations and best practices, with the specific strategies of IT to the information security, defined in the Strategic Planning of Information Systems. Otherwise, easily the results of the planning of IT may be compromised by security problems. So the examine of the alignment of security policy with planning IT becomes very important to the performance of the organization. The goal of this dissertation was to identify the main features found in models of strategic alignment between the policies of information security and the strategies and practices adopted in the IT, as the main enablers and inhibitors factors of this alignment, in financial organizations in Rio Grande do Sul. To achieve this goal, Case Studies were performed descriptive and exploratory in three financial institutions: a commercial bank of mixed economy, a cooperative commercial bank and a public financial institution, the latter used as a case of contrast. There were interviewed a total of 13 highly professional representative to the content of this research. At the end of this study there are generated hypotheses about the strategic alignment in question, and a list of factors enablers and inhibitors. Finally, a major practical implications of this study was to confirm the use of the standard ABNT ISO 17799:2005 as standard for the implementation of policies of information security at financial institutions in Rio Grande do Sul. The main academic contribution can be said that this dissertation is to add a few scholarly works, such as Oliva (2003) and Lessa (2006), to reflect on the strategic alignment of the security of information.application/pdfporTecnologia da informaçãoSistemas de informaçãoPolítica de informaçãoPlanejamento estratégicoAlinhamento estratégicoStrategic alignmentInformation securityISO 17799Information technologyAlinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeirasinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisUniversidade Federal do Rio Grande do SulEscola de AdministraçãoPrograma de Pós-Graduação em AdministraçãoPorto Alegre, BR-RS2008mestradoinfo:eu-repo/semantics/openAccessreponame:Repositório Institucional da UFRGSinstname:Universidade Federal do Rio Grande do Sul (UFRGS)instacron:UFRGSORIGINAL000636569.pdf000636569.pdfTexto completoapplication/pdf963951http://www.lume.ufrgs.br/bitstream/10183/12905/1/000636569.pdf28506089d435debace91034d56eebe92MD51TEXT000636569.pdf.txt000636569.pdf.txtExtracted Texttext/plain333744http://www.lume.ufrgs.br/bitstream/10183/12905/2/000636569.pdf.txtc85f3bec24da635d47eaa4d6252bd192MD52THUMBNAIL000636569.pdf.jpg000636569.pdf.jpgGenerated Thumbnailimage/jpeg1046http://www.lume.ufrgs.br/bitstream/10183/12905/3/000636569.pdf.jpge02249d7add793b6d39f651650a031dcMD5310183/129052018-10-17 08:48:24.852oai:www.lume.ufrgs.br:10183/12905Repositório InstitucionalPUBhttps://lume.ufrgs.br/oai/requestlume@ufrgs.bropendoar:2018-10-17T11:48:24Repositório Institucional da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS)false
dc.title.pt_BR.fl_str_mv Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras
title Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras
spellingShingle Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras
Benz, Karl Heinz
Tecnologia da informação
Sistemas de informação
Política de informação
Planejamento estratégico
Alinhamento estratégico
Strategic alignment
Information security
ISO 17799
Information technology
title_short Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras
title_full Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras
title_fullStr Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras
title_full_unstemmed Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras
title_sort Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras
author Benz, Karl Heinz
author_facet Benz, Karl Heinz
author_role author
dc.contributor.author.fl_str_mv Benz, Karl Heinz
dc.contributor.advisor1.fl_str_mv Brodbeck, Angela Freitag
contributor_str_mv Brodbeck, Angela Freitag
dc.subject.por.fl_str_mv Tecnologia da informação
Sistemas de informação
Política de informação
Planejamento estratégico
Alinhamento estratégico
topic Tecnologia da informação
Sistemas de informação
Política de informação
Planejamento estratégico
Alinhamento estratégico
Strategic alignment
Information security
ISO 17799
Information technology
dc.subject.eng.fl_str_mv Strategic alignment
Information security
ISO 17799
Information technology
description A crescente importância da TI nas organizações torna crucial o alinhamento estratégico da política de segurança da informação, definida pelas organizações em função de normas locais e nacionais, regulamentos e melhores práticas, com as estratégias de TI específicas para segurança da informação, definidas no Planejamento Estratégico de Sistemas de Informação (projetos e práticas implementadas de Segurança da Informação). Caso contrário, facilmente os resultados do planejamento de TI poderão ser comprometidos por problemas de segurança. Assim, analisar o alinhamento da política de segurança com o planejamento de TI passa a ser muito importante para o bom desempenho da organização. O objetivo desta Dissertação de Mestrado foi identificar as principais características encontradas nos modelos de alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI, assim como os principais fatores habilitadores e inibidores do mesmo, em organizações da área financeira com atuação no Rio Grande do Sul. Para atingir este objetivo foram realizados Estudos de Caso descritivos e exploratórios em três instituições financeiras: um banco comercial de economia mista, um banco comercial cooperativado e uma instituição financeira pública de fomento. Este último utilizado como caso de contraste. Para tanto foram entrevistados um total de 13 profissionais representativos ao teor desta pesquisa. Ao final deste estudo é gerada uma lista de fatores habilitadores (apoio ativo da Diretoria; criação de estrutura específica de Segurança da Informação, posicionada hierarquicamente no mesmo nível que a TI; Política de Segurança da Informação configurada em 3 (três) níveis: estratégico, tático e operacional; ameaça do impacto de uma quebra na segurança; conformidade com leis, regulamentações específicas, padrões relevantes, contratos e diretrizes estratégicas corporativas; aderência a padrões de TI, como COBIT e ITIL, e segurança da informação, como a norma ABNT ISO 17799:2005; efeitos da estratégia sobre a TI e segurança da informação; ferramentas de TI como ferramentas estratégicas; existência de políticas de segurança específicas; controles e procedimentos de segurança incorporados aos sistemas; participação da segurança da informação no ciclo de vida dos sistemas; projetos de TI como ameaça; consciência da segurança da informação por parte dos usuários internos; normas de relacionamento com usuários; critérios de aceitação de sistemas; controles e procedimentos de prevenção, detecção e recuperação contra incidentes de segurança; confiabilidade, segurança e estabilidade da infra-estrutura) e inibidores (pouca importânciapara a Segurança da Informação, com seu posicionamento hierárquico subordinado à TI; ausência de Política de Segurança da Informação formalizada em 3 níveis; falta de conformidade; efeitos negativos não detectados de novas estratégias corporativas na TI e na segurança da informação; a segurança da informação não fazendo parte do ciclo de vida dos sistemas; ameaças não detectadas de projetos de TI à segurança da informação; falta de consciência do uso seguro dos sistemas por parte dos usuários internos; falta de consciência do uso seguro dos sistemas por parte dos clientes). Por fim, uma das principais implicações práticas deste estudo foi confirmar o uso da norma ABNT ISO 17799:2005 como padrão para a implantação de políticas de segurança da informação nas instituições financeiras com atuação no Rio Grande do Sul. Como principal contribuição acadêmica pode-se dizer que esta dissertação vem somar-se a alguns poucos trabalhos acadêmicos, tais como Oliva (2003) e Lessa (2006), no sentido de refletir sobre o alinhamento estratégico da segurança da informação.
publishDate 2008
dc.date.accessioned.fl_str_mv 2008-05-20T04:11:48Z
dc.date.issued.fl_str_mv 2008
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10183/12905
dc.identifier.nrb.pt_BR.fl_str_mv 000636569
url http://hdl.handle.net/10183/12905
identifier_str_mv 000636569
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Institucional da UFRGS
instname:Universidade Federal do Rio Grande do Sul (UFRGS)
instacron:UFRGS
instname_str Universidade Federal do Rio Grande do Sul (UFRGS)
instacron_str UFRGS
institution UFRGS
reponame_str Repositório Institucional da UFRGS
collection Repositório Institucional da UFRGS
bitstream.url.fl_str_mv http://www.lume.ufrgs.br/bitstream/10183/12905/1/000636569.pdf
http://www.lume.ufrgs.br/bitstream/10183/12905/2/000636569.pdf.txt
http://www.lume.ufrgs.br/bitstream/10183/12905/3/000636569.pdf.jpg
bitstream.checksum.fl_str_mv 28506089d435debace91034d56eebe92
c85f3bec24da635d47eaa4d6252bd192
e02249d7add793b6d39f651650a031dc
bitstream.checksumAlgorithm.fl_str_mv MD5
MD5
MD5
repository.name.fl_str_mv Repositório Institucional da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS)
repository.mail.fl_str_mv lume@ufrgs.br
_version_ 1864541956127850496

Registros relacionados