Document details

Dissertação apresentada para cumprimento dos requisitos necessários à obtenção do grau de Mestre em Sistemas de Informação Organizacionais

Vivemos na era da informação e é com base nesta que são tomadas importantes decisões, mas nem sempre lhe é dada a devida importância enquanto recurso estratégico, descurando-se também a área de segurança de informação. A informação é essencial e conduz à aquisição de vantagens competitivas por parte das organizações, o que implica impreterivelmente garantir a sua segurança. Com este trabalho académico pretendeu-se aferir a importância da segurança de informação na prossecução dos objetivos estratégicos de determinada empresa, cujo desempenho foi medido recorrendo ao Balanced Scorecard (BSC), com a respetiva definição de indicadores e ações a tomar para alcançar a visão definida pela empresa. O BSC foi precedido do mapa estratégico que levou em consideração os objetivos estratégicos, a missão, a visão e valores da entidade alvo de estudo, estabelecendo relações causa-efeito entre os vários objetivos das quatro perspetivas, dando especial ênfase à vertente de segurança de informação. O estudo teve em linha de conta as boas práticas dos principais referenciais de segurança de informação, nomeadamente a ISO/IEC 27002:2013, que apresenta uma vasta lista de controlos a verificar para que um sistema de gestão de segurança de informação (SGSI) se considere bem implementado. Como metodologia, recorreu-se à revisão de literatura através da qual se pretendeu evidenciar o estado de arte dos temas abordados, recorrendo tanto a fontes internas como externas. Aplicou-se também o estudo de caso realizado acerca da empresa Motor, procedendo à recolha de materiais empíricos por observação direta e por entrevista. Através da sua análise pôde-se concluir que a empresa reconhece a importância da informação enquanto recurso intangível de suma importância na prossecução dos seus objetivos. Como tal, o valor da segurança de informação é também reconhecido, já que aplica a maior parte dos controlos da norma ISO 27002:2013 adequados à estratégia. No entanto, será necessário dar maior atenção à sensibilização/formação dos funcionários acerca da temática da Segurança de Informação. Os tempos são extremamente competitivos e muito facilmente os competidores poderão tentar explorar as imperfeições da informação, tornando-a numa arma letal a nível estratégico. É cada vez mais crucial que a informação crítica de negócio seja protegida.

Abstract: We live in the information age and important decisions are taken based on that, but it is not always given due importance as a strategic resource, neglecting also the information security area. Information is essential and leads to competitive advantages acquisition for organizations, which implies imperatively ensure their safety. With this academic work was intended to approach the Information Security importance in the company strategic goals achievement, whose performance was measured using the Balanced Scorecard, which was preceded by the strategic map including the respective indicators and actions taking to achieve the company´s vision. The BSC was preceded by the strategic map, which considered the company strategic goals, mission, vision and values and established cause-effect relations between the several four perspectives goals, emphasising the security information dimension. The study considered the principal security information good practices, such as ISO/IEC 27002:2013, that includes a large controls list to verify in order to guarantee a good Security Information System Management implementation. It was used as a methodology, not only the literature review in these areas, which was intended to show the state of art about the topics, using both internal and external sources, but also the Case Study applied to the company "Motor", using the collection of empirical materials through direct observation and interviews. Through its analysis it was concluded that the company recognize the information importance as intangible resource in achieving its strategic objectives. The information security value is also recognized in the organization, which applies most part of the ISO 27002:2013 controls according to its strategy. However, it will be necessary to give more attention to the employees training/ awareness in security information thematic. The circumstances are extremely competitive and rivals easily could try to explore the information imperfections, making it a lethal weapon on the strategy significance. The business critical information should be more and more protected.