Primasia: uma estratégia para priorização e avaliação da maturidade da segurança da informação adaptável ao ambiente corporativo

Abstract

A falta de segurança em sistemas de informação tem provocado inúmeros prejuízos financeiros e morais para as organizações. As organizações dispõem de uma série de medidas de segurança da informação recomendadas por normas internacionais e pela literatura. Porém a implementação de políticas, ações e adequação a alguma norma não é algo simples, devendo ser balizada pelas necessidades específicas identificadas pela Governança da Segurança da Informação em cada organização. Muitos são os desafios enfrentados para estabelecer, manter e medir a segurança da informação de forma eficaz e que de fato agregue valor. Estas dificuldades demonstram a necessidade de pesquisar formas para tentar suprir esta carência. Este trabalho apresenta uma estratégia para mensurar a maturidade em segurança da informação visando, também, auxiliar a aplicação e priorização das ações de segurança da informação no meio corporativo. Para isto, a pesquisa alicerçou-se na Design Science Research, utilizando o survey como principal instrumento metodológico de coleta de dados, alcançando 157 empresas distintas. Para propor essa estratégia de priorização e maturidade optou-se por um estudo ad-hoc da literatura, seguido por um mapeamento sistemático da literatura e análises de revisões sistemáticas da literatura já existentes. Como resultado foi possível classificar os controles da ISO/IEC 27001 e 27002 em quatro estágios de acordo com a importância dada pelas empresas. Utilizou-se, também, os níveis de maturidade do COBIT e uma matriz para análise de riscos. Quatro versões do artefato foram geradas, sendo avaliadas por empresas e especialistas, utilizando questionários, aplicação em caso real e realizando um grupo focal. A quarta e última versão do artefato foi chamada de Estratégia Primasia, uma Estratégia para Priorização e Maturidade da Segurança da Informação Adaptável. Neste sentido, a principal contribuição desta pesquisa de doutorado é a estratégia de priorização e maturidade em segurança da informação adaptável que visa estabelecer boas práticas de segurança da informação para maximizar o seu sucesso nas empresas. Acredita-se que este trabalho também contribui com o ainda incipiente corpo de conhecimento da área de priorização e maturidade em segurança da informação. Este entendimento é útil não apenas para estudos futuros na academia, mas também para empresas que estejam iniciando ou pretendendo melhorar suas ações de segurança da informação.