O impacto das crenças individuais dos profissionais na cultura de segurança da informação nas organizações : estudo no sector da água/saneamento em Portugal

Detalhes bibliográficos
Autor(a) principal: Silva, Maria Helena Ferreira da Cruz e
Data de Publicação: 2014
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10400.14/15263
Resumo: Este trabalho realizado no âmbito da finalização do mestrado em Segurança em Sistemas de Informação pela Faculdade de Engenharia da Universidade Católica Portuguesa, debruça-se sobre a temática da cultura organizacional em segurança da informação, segundo um dos pilares que é considerado de enorme relevância nas organizações – “o factor humano”, no sector empresarial das Águas e Saneamento em Portugal. Deste modo, partindo das questões de apoio “Q1-Quais as crenças individuais dos profissionais na cultura da segurança da informação?” e “Q2 – Qual o impacto das crenças individuais na cultura de Segurança da Informação?”, este estudo, de carácter exploratório e descritivo, tem como objectivos: 1. Investigar quais os Factores Motivadores (FM), Inibidores (FI), Críticos de Sucesso (FCS) e de Boas Práticas (FBP) que dão suporte à adopção/implementação de um Sistema de Gestão de Segurança da Informação (SGSI) nas organizações do sector de Águas e Saneamento em Portugal, tendo em conta a perspectiva do próprio (PP) e a perspectiva do próprio face à organização (PPO). 2. Comparar as duas perspectivas por meio do cálculo do nível médio de importância para cada elemento dos factores acima referidos. 3. Analisar os efeitos obtidos através do cruzamento do nível médio de importância dos elementos dos diferentes factores (FM, FI, FCS, FBP) com o mapeamento segundo a orientação do ISACA [1] que indica que «do ponto de vista da governação há seis principais resultados que o programa da segurança deverá trabalhar para atingir, a saber: 1) alinhamento estratégico; 2) gestão de risco; 3) entrega de valor; 4) gestão de recursos; 5) gestão de desempenho; e 6) garantia da integração de processos». A necessidade evidente da utilização da “informação” como um recurso estratégico nas organizações em geral e deste sector, em particular, bem como a imprescindibilidade de abordar a “gestão eficaz e eficiente dos recursos hídricos” de uma forma holística, tendo por base a “gestão da segurança” através de uma abordagem de avaliação de risco, em que o recurso “informação” deverá ser considerado, em paralelo com o recurso “água”, como factor de alinhamento à estratégia da organização, de forma a contribuir para a resolução de problemas, criação de valor e garantia da continuidade dos serviços em situação de contingência, coloca o “factor humano” indubitavelmente como um ponto-chave, pelo que “criar uma cultura de segurança” nas organizações torna-se num desafio para as mesmas, devendo ser um foco da atenção da governação corporativa, bem como um objectivo prioritário da governação da segurança da informação nas organizações. Assim, no presente estudo identificou-se primeiramente os Principais Conceitos-Chave que possibilitaram a realização da revisão bibliográfica sobre o Estado da Arte desta problemática, onde se procurou encontrar respostas metodológicas para a abordagem da avaliação da cultura organizacional em segurança da informação nas organizações, mas também descobrir contributos que auxiliassem na execução deste trabalho. Seguidamente, descreve-se o trabalho realizado expondo o racional, detalhando os objectivos e apresentando a abordagem efectuada, tendo por base a elaboração e divulgação de um questionário que serviu de apoio ao «Diagnóstico da Cultura em Segurança da Informação – Sector: Água e Saneamento em Portugal», cujo público-alvo foram os gestores de topo, de nível intermédio, das TI, consultores das TI, gestores/funcionários de segurança e funcionários das organizações neste sector, tais como entidades gestoras, entidades reguladoras, etc. … Depois, revela-se o detalhe do tratamento e análise dos dados obtidos, designadamente a caracterização da amostra, abordando os quatro sectores (FM, FI, FCS e FBP) segundo a PP e a PPO, assim como a análise comparativa entre as duas perspectivas e, ainda, a análise resultante do mapeamento dos elementos dos factores segundo orientação do ISACA [2], mostrando-se os respectivos resultados. Finalmente, tecem-se as conclusões e apresentam-se notas finais.
id RCAP_21fdecbe98e3448729a89fb20db1c74b
oai_identifier_str oai:repositorio.ucp.pt:10400.14/15263
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling O impacto das crenças individuais dos profissionais na cultura de segurança da informação nas organizações : estudo no sector da água/saneamento em PortugalInformaçãoSegurança da informaçãoGovernação corporativaGovernação das TIGovernação da Segurança da InformaçãoCultura de segurança da informaçãoInformationInformation securityCorporative governanceIT governanceInformation security governanceInformation security cultureDomínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e InformáticaEste trabalho realizado no âmbito da finalização do mestrado em Segurança em Sistemas de Informação pela Faculdade de Engenharia da Universidade Católica Portuguesa, debruça-se sobre a temática da cultura organizacional em segurança da informação, segundo um dos pilares que é considerado de enorme relevância nas organizações – “o factor humano”, no sector empresarial das Águas e Saneamento em Portugal. Deste modo, partindo das questões de apoio “Q1-Quais as crenças individuais dos profissionais na cultura da segurança da informação?” e “Q2 – Qual o impacto das crenças individuais na cultura de Segurança da Informação?”, este estudo, de carácter exploratório e descritivo, tem como objectivos: 1. Investigar quais os Factores Motivadores (FM), Inibidores (FI), Críticos de Sucesso (FCS) e de Boas Práticas (FBP) que dão suporte à adopção/implementação de um Sistema de Gestão de Segurança da Informação (SGSI) nas organizações do sector de Águas e Saneamento em Portugal, tendo em conta a perspectiva do próprio (PP) e a perspectiva do próprio face à organização (PPO). 2. Comparar as duas perspectivas por meio do cálculo do nível médio de importância para cada elemento dos factores acima referidos. 3. Analisar os efeitos obtidos através do cruzamento do nível médio de importância dos elementos dos diferentes factores (FM, FI, FCS, FBP) com o mapeamento segundo a orientação do ISACA [1] que indica que «do ponto de vista da governação há seis principais resultados que o programa da segurança deverá trabalhar para atingir, a saber: 1) alinhamento estratégico; 2) gestão de risco; 3) entrega de valor; 4) gestão de recursos; 5) gestão de desempenho; e 6) garantia da integração de processos». A necessidade evidente da utilização da “informação” como um recurso estratégico nas organizações em geral e deste sector, em particular, bem como a imprescindibilidade de abordar a “gestão eficaz e eficiente dos recursos hídricos” de uma forma holística, tendo por base a “gestão da segurança” através de uma abordagem de avaliação de risco, em que o recurso “informação” deverá ser considerado, em paralelo com o recurso “água”, como factor de alinhamento à estratégia da organização, de forma a contribuir para a resolução de problemas, criação de valor e garantia da continuidade dos serviços em situação de contingência, coloca o “factor humano” indubitavelmente como um ponto-chave, pelo que “criar uma cultura de segurança” nas organizações torna-se num desafio para as mesmas, devendo ser um foco da atenção da governação corporativa, bem como um objectivo prioritário da governação da segurança da informação nas organizações. Assim, no presente estudo identificou-se primeiramente os Principais Conceitos-Chave que possibilitaram a realização da revisão bibliográfica sobre o Estado da Arte desta problemática, onde se procurou encontrar respostas metodológicas para a abordagem da avaliação da cultura organizacional em segurança da informação nas organizações, mas também descobrir contributos que auxiliassem na execução deste trabalho. Seguidamente, descreve-se o trabalho realizado expondo o racional, detalhando os objectivos e apresentando a abordagem efectuada, tendo por base a elaboração e divulgação de um questionário que serviu de apoio ao «Diagnóstico da Cultura em Segurança da Informação – Sector: Água e Saneamento em Portugal», cujo público-alvo foram os gestores de topo, de nível intermédio, das TI, consultores das TI, gestores/funcionários de segurança e funcionários das organizações neste sector, tais como entidades gestoras, entidades reguladoras, etc. … Depois, revela-se o detalhe do tratamento e análise dos dados obtidos, designadamente a caracterização da amostra, abordando os quatro sectores (FM, FI, FCS e FBP) segundo a PP e a PPO, assim como a análise comparativa entre as duas perspectivas e, ainda, a análise resultante do mapeamento dos elementos dos factores segundo orientação do ISACA [2], mostrando-se os respectivos resultados. Finalmente, tecem-se as conclusões e apresentam-se notas finais.This work performed under the finalization of the MA in Security in Information Systems from the Faculty of Engineering, Catholic University, focuses on the theme of organizational culture in information security, according to one of the pillar which is considered extremely relevant in organizations – “ human factor” in the business sector of Water and Sanitation in Portugal . Thus, leaving the issues of support “Q1 - What are the beliefs of individual professionals in the culture of information security?” and “Q2 - What is the impact of individual beliefs in the culture of Information Security?” This study exploratory in nature and descriptive aims to: 1. Investigate what the Motivating Factors (FM) Inhibitors (FI), Critical Success (FCS) and Good Practice (FBP) that support the adoption / implementation of a Management System of Information Security (ISMS) in the organizations Water and Sanitation sector in Portugal, taking into account the perspective of their own (PP) and face the prospect own organization (PPO) . 2. Compare the two approaches by calculating the average level of importance for each element of the above factors. 3. To analyze the effects obtained by crossing the middle level of importance of the various factors elements (FM, FI, FCS, FBP) with the mapping according to the orientation of ISACA [3] indicating that «from a governance perspective there are six major outcomes that security programme should work to achieve, namely: 1) strategic alignment; 2) risk management; 3) value deliver; 4) resource management; 5) performance management and 6) assurance process integration». The obvious need for the use of “information” as a strategic resource in organizations in general and this sector, in particular, as well as the indispensability of addressing the “effective and efficient management of water resources” in a holistic way, based on the “safety management” through a risk assessment approach, in which the application “information” should be considered in parallel with the resource “water” as alignment with the organization's strategy factor, in order to contribute to the resolution of problems, creating value and ensuring the continuity of services in a contingency situation, puts the “human factor” as undoubtedly a key point at which “create a safety culture” in organizations becomes a challenge for them, should be a focus of attention of corporate governance, as well as a priority objective of the governance of information security in organizations. Thus, in this study we identified the first Major Key Concepts that made possible the realization of the literature review on the state of the art of this problem, where we tried to find answers to the methodological approach to the assessment of organizational culture in information security in organizations, but also find contributions that aided in the execution of this work. Next, we describe the work done by exposing the rational, detailing the objectives and presenting the approach taken, based on the preparation and dissemination of a questionnaire which was used to support the “Diagnosis of Culture in Information Security - Sector: Water and Sanitation in Portugal” audience, which were top managers, middle-level, IT, IT consultants, managers / security officials and employees of organizations in this sector, such as operators, regulators, etc. … Then it turns out the detail of the processing and analysis of data, including sample characterization, addressing the four sectors (FM, FI, FCS, FBP) according to PP and PPO, as well as comparative analysis between the two perspectives and furthermore, the analysis of the resulting mapping of the elements of the second orientation factors of ISACA [4], showing off the results. Finally, weave the findings are presented and endnotes.Silva, Tito SantosVeritati - Repositório Institucional da Universidade Católica PortuguesaSilva, Maria Helena Ferreira da Cruz e2014-10-16T15:21:06Z2014-05-0620142014-05-06T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10400.14/15263TID:203184971porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-07-12T17:20:36Zoai:repositorio.ucp.pt:10400.14/15263Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T18:12:41.744371Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv O impacto das crenças individuais dos profissionais na cultura de segurança da informação nas organizações : estudo no sector da água/saneamento em Portugal
title O impacto das crenças individuais dos profissionais na cultura de segurança da informação nas organizações : estudo no sector da água/saneamento em Portugal
spellingShingle O impacto das crenças individuais dos profissionais na cultura de segurança da informação nas organizações : estudo no sector da água/saneamento em Portugal
Silva, Maria Helena Ferreira da Cruz e
Informação
Segurança da informação
Governação corporativa
Governação das TI
Governação da Segurança da Informação
Cultura de segurança da informação
Information
Information security
Corporative governance
IT governance
Information security governance
Information security culture
Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática
title_short O impacto das crenças individuais dos profissionais na cultura de segurança da informação nas organizações : estudo no sector da água/saneamento em Portugal
title_full O impacto das crenças individuais dos profissionais na cultura de segurança da informação nas organizações : estudo no sector da água/saneamento em Portugal
title_fullStr O impacto das crenças individuais dos profissionais na cultura de segurança da informação nas organizações : estudo no sector da água/saneamento em Portugal
title_full_unstemmed O impacto das crenças individuais dos profissionais na cultura de segurança da informação nas organizações : estudo no sector da água/saneamento em Portugal
title_sort O impacto das crenças individuais dos profissionais na cultura de segurança da informação nas organizações : estudo no sector da água/saneamento em Portugal
author Silva, Maria Helena Ferreira da Cruz e
author_facet Silva, Maria Helena Ferreira da Cruz e
author_role author
dc.contributor.none.fl_str_mv Silva, Tito Santos
Veritati - Repositório Institucional da Universidade Católica Portuguesa
dc.contributor.author.fl_str_mv Silva, Maria Helena Ferreira da Cruz e
dc.subject.por.fl_str_mv Informação
Segurança da informação
Governação corporativa
Governação das TI
Governação da Segurança da Informação
Cultura de segurança da informação
Information
Information security
Corporative governance
IT governance
Information security governance
Information security culture
Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática
topic Informação
Segurança da informação
Governação corporativa
Governação das TI
Governação da Segurança da Informação
Cultura de segurança da informação
Information
Information security
Corporative governance
IT governance
Information security governance
Information security culture
Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática
description Este trabalho realizado no âmbito da finalização do mestrado em Segurança em Sistemas de Informação pela Faculdade de Engenharia da Universidade Católica Portuguesa, debruça-se sobre a temática da cultura organizacional em segurança da informação, segundo um dos pilares que é considerado de enorme relevância nas organizações – “o factor humano”, no sector empresarial das Águas e Saneamento em Portugal. Deste modo, partindo das questões de apoio “Q1-Quais as crenças individuais dos profissionais na cultura da segurança da informação?” e “Q2 – Qual o impacto das crenças individuais na cultura de Segurança da Informação?”, este estudo, de carácter exploratório e descritivo, tem como objectivos: 1. Investigar quais os Factores Motivadores (FM), Inibidores (FI), Críticos de Sucesso (FCS) e de Boas Práticas (FBP) que dão suporte à adopção/implementação de um Sistema de Gestão de Segurança da Informação (SGSI) nas organizações do sector de Águas e Saneamento em Portugal, tendo em conta a perspectiva do próprio (PP) e a perspectiva do próprio face à organização (PPO). 2. Comparar as duas perspectivas por meio do cálculo do nível médio de importância para cada elemento dos factores acima referidos. 3. Analisar os efeitos obtidos através do cruzamento do nível médio de importância dos elementos dos diferentes factores (FM, FI, FCS, FBP) com o mapeamento segundo a orientação do ISACA [1] que indica que «do ponto de vista da governação há seis principais resultados que o programa da segurança deverá trabalhar para atingir, a saber: 1) alinhamento estratégico; 2) gestão de risco; 3) entrega de valor; 4) gestão de recursos; 5) gestão de desempenho; e 6) garantia da integração de processos». A necessidade evidente da utilização da “informação” como um recurso estratégico nas organizações em geral e deste sector, em particular, bem como a imprescindibilidade de abordar a “gestão eficaz e eficiente dos recursos hídricos” de uma forma holística, tendo por base a “gestão da segurança” através de uma abordagem de avaliação de risco, em que o recurso “informação” deverá ser considerado, em paralelo com o recurso “água”, como factor de alinhamento à estratégia da organização, de forma a contribuir para a resolução de problemas, criação de valor e garantia da continuidade dos serviços em situação de contingência, coloca o “factor humano” indubitavelmente como um ponto-chave, pelo que “criar uma cultura de segurança” nas organizações torna-se num desafio para as mesmas, devendo ser um foco da atenção da governação corporativa, bem como um objectivo prioritário da governação da segurança da informação nas organizações. Assim, no presente estudo identificou-se primeiramente os Principais Conceitos-Chave que possibilitaram a realização da revisão bibliográfica sobre o Estado da Arte desta problemática, onde se procurou encontrar respostas metodológicas para a abordagem da avaliação da cultura organizacional em segurança da informação nas organizações, mas também descobrir contributos que auxiliassem na execução deste trabalho. Seguidamente, descreve-se o trabalho realizado expondo o racional, detalhando os objectivos e apresentando a abordagem efectuada, tendo por base a elaboração e divulgação de um questionário que serviu de apoio ao «Diagnóstico da Cultura em Segurança da Informação – Sector: Água e Saneamento em Portugal», cujo público-alvo foram os gestores de topo, de nível intermédio, das TI, consultores das TI, gestores/funcionários de segurança e funcionários das organizações neste sector, tais como entidades gestoras, entidades reguladoras, etc. … Depois, revela-se o detalhe do tratamento e análise dos dados obtidos, designadamente a caracterização da amostra, abordando os quatro sectores (FM, FI, FCS e FBP) segundo a PP e a PPO, assim como a análise comparativa entre as duas perspectivas e, ainda, a análise resultante do mapeamento dos elementos dos factores segundo orientação do ISACA [2], mostrando-se os respectivos resultados. Finalmente, tecem-se as conclusões e apresentam-se notas finais.
publishDate 2014
dc.date.none.fl_str_mv 2014-10-16T15:21:06Z
2014-05-06
2014
2014-05-06T00:00:00Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10400.14/15263
TID:203184971
url http://hdl.handle.net/10400.14/15263
identifier_str_mv TID:203184971
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799131804304670720

Registros relacionados