PROPOSTA DE ESTRATÉGIA DE MATURIDADE E PRIORIZAÇÃO PARA SEGURANÇA DA INFORMAÇÃO BASEADA NA ISO/IEC 27001 E 27002 ADERENTE AOS PRINCÍPIOS DA GOVERNANÇA ÁGIL
A adoção de um modelo para gestão
da segurança da informação, implementação
de políticas e adequação a alguma norma de
segurança da informação não é algo simples,
consequentemente, tem-se dificuldades em
sua implantação devido, muitas vezes, a
complexidade das normas. Esses desafios
demonstram a necessidade de mais
investigações que abordem o problema. Para
isso, este trabalho propõem uma estratégia
de maturidade e priorização para a segurança
da informação como base nos princípios
expostos nas normas ISO/IEC 27001 e 27002
e na Governança Ágil. A pesquisa proposta
realizou uma revisão sistemática da literatura
e questionários para levantamento da situação
atual da área de Segurança da Informação
nas empresas e dos principais controles
necessários, alcançando 157 empresas
distintas. Como resultado, foi possível classificar
os controles ISO / IEC 27001 e 27002 em quatro
estágios, de acordo com a importância dada
pelas empresas. Também foram utilizados os
níveis de maturidade do COBIT e uma matriz
de análise de risco. Finalmente, a proposta foi
testada com sucesso em uma empresa.
PROPOSTA DE ESTRATÉGIA DE MATURIDADE E PRIORIZAÇÃO PARA SEGURANÇA DA INFORMAÇÃO BASEADA NA ISO/IEC 27001 E 27002 ADERENTE AOS PRINCÍPIOS DA GOVERNANÇA ÁGIL
-
DOI: 10.22533/at.ed.4691916019
-
Palavras-chave: Segurança da Informação, Modelo de Maturidade, Governança de TIC, Governança Ágil.
-
Keywords: Information Security, Maturity Model, IT Governance, Agile Governance.
-
Abstract:
The adoption of a model for
information security management, along with
the implementation of its policies and the
required adjustments to some of its norms are
not simple tasks. Therefore, the implementation
of a model for information security management
often implies in difficulties due to the complexity
of the norms. Those challenges demonstrate a
need for further investigations which address
the problem. To achieve this goal, this work
proposes a strategy to measure the maturity
and prioritization of information security based
on the principles exposed on the ISO/IEC 27001
and 27002 Standards and Agile Governance.
The proposed research realized a systematic
review of the literature and surveys regarding
the current situation of information security in
the industry and the main controls currently
required, reaching 157 distinct companies. As
a result, it was possible to classify the ISO/
IEC 27001 and 27002 controls in four stages according to the importance given by
the companies. The COBIT maturity levels and a risk analysis matrix were also used.
Finally, the adaptable strategy was successfully tested in a company.
-
Número de páginas: 15
- Gliner Dias Alencar
- Hermano Perrelli de Moura
