Document details

Este trabalho realizado no âmbito da finalização do mestrado em Segurança em Sistemas de Informação pela Faculdade de Engenharia da Universidade Católica Portuguesa, debruça-se sobre a temática da cultura organizacional em segurança da informação, segundo um dos pilares que é considerado de enorme relevância nas organizações – “o factor humano”, no sector empresarial das Águas e Saneamento em Portugal. Deste modo, partindo das questões de apoio “Q1-Quais as crenças individuais dos profissionais na cultura da segurança da informação?” e “Q2 – Qual o impacto das crenças individuais na cultura de Segurança da Informação?”, este estudo, de carácter exploratório e descritivo, tem como objectivos: 1. Investigar quais os Factores Motivadores (FM), Inibidores (FI), Críticos de Sucesso (FCS) e de Boas Práticas (FBP) que dão suporte à adopção/implementação de um Sistema de Gestão de Segurança da Informação (SGSI) nas organizações do sector de Águas e Saneamento em Portugal, tendo em conta a perspectiva do próprio (PP) e a perspectiva do próprio face à organização (PPO). 2. Comparar as duas perspectivas por meio do cálculo do nível médio de importância para cada elemento dos factores acima referidos. 3. Analisar os efeitos obtidos através do cruzamento do nível médio de importância dos elementos dos diferentes factores (FM, FI, FCS, FBP) com o mapeamento segundo a orientação do ISACA [1] que indica que «do ponto de vista da governação há seis principais resultados que o programa da segurança deverá trabalhar para atingir, a saber: 1) alinhamento estratégico; 2) gestão de risco; 3) entrega de valor; 4) gestão de recursos; 5) gestão de desempenho; e 6) garantia da integração de processos». A necessidade evidente da utilização da “informação” como um recurso estratégico nas organizações em geral e deste sector, em particular, bem como a imprescindibilidade de abordar a “gestão eficaz e eficiente dos recursos hídricos” de uma forma holística, tendo por base a “gestão da segurança” através de uma abordagem de avaliação de risco, em que o recurso “informação” deverá ser considerado, em paralelo com o recurso “água”, como factor de alinhamento à estratégia da organização, de forma a contribuir para a resolução de problemas, criação de valor e garantia da continuidade dos serviços em situação de contingência, coloca o “factor humano” indubitavelmente como um ponto-chave, pelo que “criar uma cultura de segurança” nas organizações torna-se num desafio para as mesmas, devendo ser um foco da atenção da governação corporativa, bem como um objectivo prioritário da governação da segurança da informação nas organizações. Assim, no presente estudo identificou-se primeiramente os Principais Conceitos-Chave que possibilitaram a realização da revisão bibliográfica sobre o Estado da Arte desta problemática, onde se procurou encontrar respostas metodológicas para a abordagem da avaliação da cultura organizacional em segurança da informação nas organizações, mas também descobrir contributos que auxiliassem na execução deste trabalho. Seguidamente, descreve-se o trabalho realizado expondo o racional, detalhando os objectivos e apresentando a abordagem efectuada, tendo por base a elaboração e divulgação de um questionário que serviu de apoio ao «Diagnóstico da Cultura em Segurança da Informação – Sector: Água e Saneamento em Portugal», cujo público-alvo foram os gestores de topo, de nível intermédio, das TI, consultores das TI, gestores/funcionários de segurança e funcionários das organizações neste sector, tais como entidades gestoras, entidades reguladoras, etc. … Depois, revela-se o detalhe do tratamento e análise dos dados obtidos, designadamente a caracterização da amostra, abordando os quatro sectores (FM, FI, FCS e FBP) segundo a PP e a PPO, assim como a análise comparativa entre as duas perspectivas e, ainda, a análise resultante do mapeamento dos elementos dos factores segundo orientação do ISACA [2], mostrando-se os respectivos resultados. Finalmente, tecem-se as conclusões e apresentam-se notas finais.

This work performed under the finalization of the MA in Security in Information Systems from the Faculty of Engineering, Catholic University, focuses on the theme of organizational culture in information security, according to one of the pillar which is considered extremely relevant in organizations – “ human factor” in the business sector of Water and Sanitation in Portugal . Thus, leaving the issues of support “Q1 - What are the beliefs of individual professionals in the culture of information security?” and “Q2 - What is the impact of individual beliefs in the culture of Information Security?” This study exploratory in nature and descriptive aims to: 1. Investigate what the Motivating Factors (FM) Inhibitors (FI), Critical Success (FCS) and Good Practice (FBP) that support the adoption / implementation of a Management System of Information Security (ISMS) in the organizations Water and Sanitation sector in Portugal, taking into account the perspective of their own (PP) and face the prospect own organization (PPO) . 2. Compare the two approaches by calculating the average level of importance for each element of the above factors. 3. To analyze the effects obtained by crossing the middle level of importance of the various factors elements (FM, FI, FCS, FBP) with the mapping according to the orientation of ISACA [3] indicating that «from a governance perspective there are six major outcomes that security programme should work to achieve, namely: 1) strategic alignment; 2) risk management; 3) value deliver; 4) resource management; 5) performance management and 6) assurance process integration». The obvious need for the use of “information” as a strategic resource in organizations in general and this sector, in particular, as well as the indispensability of addressing the “effective and efficient management of water resources” in a holistic way, based on the “safety management” through a risk assessment approach, in which the application “information” should be considered in parallel with the resource “water” as alignment with the organization's strategy factor, in order to contribute to the resolution of problems, creating value and ensuring the continuity of services in a contingency situation, puts the “human factor” as undoubtedly a key point at which “create a safety culture” in organizations becomes a challenge for them, should be a focus of attention of corporate governance, as well as a priority objective of the governance of information security in organizations. Thus, in this study we identified the first Major Key Concepts that made possible the realization of the literature review on the state of the art of this problem, where we tried to find answers to the methodological approach to the assessment of organizational culture in information security in organizations, but also find contributions that aided in the execution of this work. Next, we describe the work done by exposing the rational, detailing the objectives and presenting the approach taken, based on the preparation and dissemination of a questionnaire which was used to support the “Diagnosis of Culture in Information Security - Sector: Water and Sanitation in Portugal” audience, which were top managers, middle-level, IT, IT consultants, managers / security officials and employees of organizations in this sector, such as operators, regulators, etc. … Then it turns out the detail of the processing and analysis of data, including sample characterization, addressing the four sectors (FM, FI, FCS, FBP) according to PP and PPO, as well as comparative analysis between the two perspectives and furthermore, the analysis of the resulting mapping of the elements of the second orientation factors of ISACA [4], showing off the results. Finally, weave the findings are presented and endnotes.