Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras

Abstract

A crescente importância da TI nas organizações torna crucial o alinhamento estratégico da política de segurança da informação, definida pelas organizações em função de normas locais e nacionais, regulamentos e melhores práticas, com as estratégias de TI específicas para segurança da informação, definidas no Planejamento Estratégico de Sistemas de Informação (projetos e práticas implementadas de Segurança da Informação). Caso contrário, facilmente os resultados do planejamento de TI poderão ser comprometidos por problemas de segurança. Assim, analisar o alinhamento da política de segurança com o planejamento de TI passa a ser muito importante para o bom desempenho da organização. O objetivo desta Dissertação de Mestrado foi identificar as principais características encontradas nos modelos de alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI, assim como os principais fatores habilitadores e inibidores do mesmo, em organizações da área financeira com atuação no Rio Grande do Sul. Para atingir este objetivo foram realizados Estudos de Caso descritivos e exploratórios em três instituições financeiras: um banco comercial de economia mista, um banco comercial cooperativado e uma instituição financeira pública de fomento. Este último utilizado como caso de contraste. Para tanto foram entrevistados um total de 13 profissionais representativos ao teor desta pesquisa. Ao final deste estudo é gerada uma lista de fatores habilitadores (apoio ativo da Diretoria; criação de estrutura específica de Segurança da Informação, posicionada hierarquicamente no mesmo nível que a TI; Política de Segurança da Informação configurada em 3 (três) níveis: estratégico, tático e operacional; ameaça do impacto de uma quebra na segurança; conformidade com leis, regulamentações específicas, padrões relevantes, contratos e diretrizes estratégicas corporativas; aderência a padrões de TI, como COBIT e ITIL, e segurança da informação, como a norma ABNT ISO 17799:2005; efeitos da estratégia sobre a TI e segurança da informação; ferramentas de TI como ferramentas estratégicas; existência de políticas de segurança específicas; controles e procedimentos de segurança incorporados aos sistemas; participação da segurança da informação no ciclo de vida dos sistemas; projetos de TI como ameaça; consciência da segurança da informação por parte dos usuários internos; normas de relacionamento com usuários; critérios de aceitação de sistemas; controles e procedimentos de prevenção, detecção e recuperação contra incidentes de segurança; confiabilidade, segurança e estabilidade da infra-estrutura) e inibidores (pouca importânciapara a Segurança da Informação, com seu posicionamento hierárquico subordinado à TI; ausência de Política de Segurança da Informação formalizada em 3 níveis; falta de conformidade; efeitos negativos não detectados de novas estratégias corporativas na TI e na segurança da informação; a segurança da informação não fazendo parte do ciclo de vida dos sistemas; ameaças não detectadas de projetos de TI à segurança da informação; falta de consciência do uso seguro dos sistemas por parte dos usuários internos; falta de consciência do uso seguro dos sistemas por parte dos clientes). Por fim, uma das principais implicações práticas deste estudo foi confirmar o uso da norma ABNT ISO 17799:2005 como padrão para a implantação de políticas de segurança da informação nas instituições financeiras com atuação no Rio Grande do Sul. Como principal contribuição acadêmica pode-se dizer que esta dissertação vem somar-se a alguns poucos trabalhos acadêmicos, tais como Oliva (2003) e Lessa (2006), no sentido de refletir sobre o alinhamento estratégico da segurança da informação.

The growing importance of IT in organizations makes crucial the strategic alignment of the policy of information security, defined by the organizations on the basis of local and national standards, regulations and best practices, with the specific strategies of IT to the information security, defined in the Strategic Planning of Information Systems. Otherwise, easily the results of the planning of IT may be compromised by security problems. So the examine of the alignment of security policy with planning IT becomes very important to the performance of the organization. The goal of this dissertation was to identify the main features found in models of strategic alignment between the policies of information security and the strategies and practices adopted in the IT, as the main enablers and inhibitors factors of this alignment, in financial organizations in Rio Grande do Sul. To achieve this goal, Case Studies were performed descriptive and exploratory in three financial institutions: a commercial bank of mixed economy, a cooperative commercial bank and a public financial institution, the latter used as a case of contrast. There were interviewed a total of 13 highly professional representative to the content of this research. At the end of this study there are generated hypotheses about the strategic alignment in question, and a list of factors enablers and inhibitors. Finally, a major practical implications of this study was to confirm the use of the standard ABNT ISO 17799:2005 as standard for the implementation of policies of information security at financial institutions in Rio Grande do Sul. The main academic contribution can be said that this dissertation is to add a few scholarly works, such as Oliva (2003) and Lessa (2006), to reflect on the strategic alignment of the security of information.