O comportamento do nível de maturidade em governança de segurança da informação

Abstract

O conflito de agência, decorrente da divergência de interesses entre a propriedade e a gestão empresarial, e os recentes casos de fraudes causaram nas organizações uma maior necessidade de adesão à Governança de Segurança da Informação (GSI) e seus pilares: a tecnologia da informação (TI), a segurança da informação e a conformidade com a legislação. Por ser de responsabilidade e governo dos altos escalões das organizações, a GSI proporciona melhor gestão dos riscos corporativos como base de sustentação para os valores da Governança Corporativa (GC), portanto, verifica-se a sua importância para a pesquisa do seu nível de maturidade. A pesquisa qualitativa, de caráter exploratório, apoiada no referencial teórico e nos modelos do ITGI, CGTF, COBIT, COSO, BASILÉIA, ISO/IEC 27001, 17799/27002, 27005 e 27014, foi realizada com apoio do estudo de múltiplos casos em organizações brasileiras sujeitas ou não à regulação. A amostragem contemplou 12 entrevistas semiestruturadas, com gestores de segurança e executivos, em 6 empresas. O nível 2 (repetível) de maturidade em GSI foi predominante, ressaltando-se que a maioria dos executivos revelou comportamento de desconhecimento quanto à necessidade e priorização do alinhamento estratégico de segurança da informação. No geral, há um entendimento emergente sobre a necessidade de se tratar melhor a gestão dos riscos, entretanto, ainda é reativa e focada em segurança de TI. A conscientização de segurança nas organizações ainda é fragmentada e limitada. O posicionamento da área de segurança da informação na estrutura organizacional ainda é vinculado à área de TI refletindo negativamente nos níveis de maturidade. A adoção dos modelos que compõem a GSI, em muitos casos, ainda é dispersa e não faz parte de uma estratégia global. Diante de todo esse cenário, certas organizações que informam optar pelas práticas da GC estão comprometendo a eficácia no tratamento dos valores dessa na medida em que não priorizam estrategicamente a adesão à GSI.

The agency conflict, due to the divergence of interests between the property and business management, and recent fraud cases in organizations have caused a greater need for adherence to the Information Security Governance (ISG) and its pillars: information technology (IT), information security and compliance with legislation. Because it is the responsibility of the government and upper echelons of organizations, GSI provides better management of corporate risks as a basis for support for the values of Corporate Governance (CG), so there is its importance for research on their level of maturity. A qualitative research, exploratory, based on theoretical models as ITGI, CGTF, COBIT, COSO, BASEL, ISO / IEC 27001, 17799/27002, 27005 and 27014, was accomplished with support of multiple cases studies in Brazilian organizations subject to regulation or not. The sample included 12 semistructured interviews with security managers and executives in 6 companies. The level 2 (repeatable) prevailed in ISG maturity, emphasizing that most executives revealed behavior of ignorance about the need and prioritization of the strategic alignment of information security. Overall, there is an emerging understanding about the need to better address risk management, however, is still reactive and focused on IT security. The security awareness in organizations is still limited and fragmentary. The positioning of the area of information security in the organizational structure is still tied to the IT field reflecting negatively on levels of maturity. The adoption of models that comprise the ISG, in many cases, is still scattered and not is part of an overall strategy. Faced with this whole scenario, certain organizations that inform the choice of CG practices are compromising the effectiveness of the treatment of values as it does not prioritize strategically to join the ISG.