Análise de riscos em segurança da informação: modelo integrado e simplificado de ações de segurança da informação para Instituições Federais de Ensino Superior (IFES)
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2022 |
| Tipo de documento: | Tese |
| Idioma: | por |
| Título da fonte: | Biblioteca Digital de Teses e Dissertações da UFPB |
| Texto Completo: | https://repositorio.ufpb.br/jspui/handle/123456789/26291 |
Resumo: | Today's society has information as its transforming element. In the Federal Institutions of Higher Education (IFES) it could not be different, since the information flow has progressively become a structuring element. Therefore, identifying and addressing the security risks that affect these flows is a requirement for such organizations. However, it is observed that the absence of information security (IS) actions in these institutions is, in general, due to the difficulty in applying the existing risk analysis models, considered the pillar of this process. This difficulty occurs because models are proposed for more general purposes that the context of a university requires. The research proposed to develop an integrated and simplified model of actions for risk analysis, specific to the context of the technology sectors of the IFES. After a systematic review of the literature, the internationally recognized framework OCTAVE Forte was chosen for the elaboration of the model, together with the federal government's information security standards and recommendations, which govern the bodies and entities of the Federal Public Administration on the subject of security of information. To achieve this objective, an applied research was carried out, classified as exploratory, in its first phase, and descriptive, in its second phase, based on a mixed approach research that combined qualitative and quantitative research techniques. The information was obtained by the methods of collection used: documental research and application of an online survey. For data analysis, content analysis and statistical analysis were used. Thus, it was intended to identify the conceptual elements for the development of an integrated and simplified model of information security actions. The conceptual elements obtained in this thesis allowed the creation of the MISASI STI model, which can be used as a guide to explore and evaluate existing IS actions and/or necessary for the technology sectors of the IFES. This model was applied on a survey, used as a data collection instrument, and was sent to 102 IFES, being available for just over 4 months, obtaining 101 respondents, however, only 32 completed the survey and had their responses analyzed. Through the analysis of the data collected, it was possible to conclude that the reality of the IFES in relation to the IS needs attention and support from the top management, because, although the rules list several applicable IS actions, the IFES apply actions in an ad hoc way in their majority. The research concluded that it is possible to implement information security actions in the IFES in an integrated and simplified way, for this, however, the support of the top management is essential, from financial to the promotion of culture in IS, through awareness and qualification actions. |
| id |
UFPB_82d7fc4b217332105c7122007774d2bd |
|---|---|
| oai_identifier_str |
oai:repositorio.ufpb.br:123456789/26291 |
| network_acronym_str |
UFPB |
| network_name_str |
Biblioteca Digital de Teses e Dissertações da UFPB |
| repository_id_str |
|
| spelling |
Análise de riscos em segurança da informação: modelo integrado e simplificado de ações de segurança da informação para Instituições Federais de Ensino Superior (IFES)Gestão da segurança da informaçãoGestão de riscos de segurança da informaçãoInstituições federais de ensino superiorOCTAVE ForteInformation security managementInformation security risk managementFederal institutions of higher educationTechnology sectorsCNPQ::CIENCIAS SOCIAIS APLICADAS::CIENCIA DA INFORMACAOToday's society has information as its transforming element. In the Federal Institutions of Higher Education (IFES) it could not be different, since the information flow has progressively become a structuring element. Therefore, identifying and addressing the security risks that affect these flows is a requirement for such organizations. However, it is observed that the absence of information security (IS) actions in these institutions is, in general, due to the difficulty in applying the existing risk analysis models, considered the pillar of this process. This difficulty occurs because models are proposed for more general purposes that the context of a university requires. The research proposed to develop an integrated and simplified model of actions for risk analysis, specific to the context of the technology sectors of the IFES. After a systematic review of the literature, the internationally recognized framework OCTAVE Forte was chosen for the elaboration of the model, together with the federal government's information security standards and recommendations, which govern the bodies and entities of the Federal Public Administration on the subject of security of information. To achieve this objective, an applied research was carried out, classified as exploratory, in its first phase, and descriptive, in its second phase, based on a mixed approach research that combined qualitative and quantitative research techniques. The information was obtained by the methods of collection used: documental research and application of an online survey. For data analysis, content analysis and statistical analysis were used. Thus, it was intended to identify the conceptual elements for the development of an integrated and simplified model of information security actions. The conceptual elements obtained in this thesis allowed the creation of the MISASI STI model, which can be used as a guide to explore and evaluate existing IS actions and/or necessary for the technology sectors of the IFES. This model was applied on a survey, used as a data collection instrument, and was sent to 102 IFES, being available for just over 4 months, obtaining 101 respondents, however, only 32 completed the survey and had their responses analyzed. Through the analysis of the data collected, it was possible to conclude that the reality of the IFES in relation to the IS needs attention and support from the top management, because, although the rules list several applicable IS actions, the IFES apply actions in an ad hoc way in their majority. The research concluded that it is possible to implement information security actions in the IFES in an integrated and simplified way, for this, however, the support of the top management is essential, from financial to the promotion of culture in IS, through awareness and qualification actions.NenhumaA sociedade atual tem na informação o seu elemento transformador. Nas Instituições Federais de Ensino Superior (IFES) não poderia ser diferente, uma vez que o fluxo informacional tornou-se elemento estruturador de forma progressiva. Portanto, identificar e tratar os riscos de segurança que incidem nestes fluxos é um requisito para tais organizações. Contudo, observa-se que a ausência de ações de segurança da informação (SI) nessas instituições se dá, em geral, pela dificuldade de aplicação dos modelos de análise de riscos existentes, considerados o pilar desse processo. Essa dificuldade ocorre, pois modelos são propostos para fins mais genéricos que o contexto de uma universidade exige. A pesquisa propôs desenvolver um modelo integrado e simplificado de ações para análise de riscos, específico para o contexto dos setores de tecnologia das IFES. Após revisão sistemática de literatura, foi escolhido o framework reconhecido internacionalmente OCTAVE Forte, para elaboração do modelo, em conjunto com as normas e recomendações de segurança da informação do governo federal, que regem os órgão e entidades da Administração Pública Federal na temática de segurança de informação. Para alcançar esse objetivo, foi feito uma pesquisa aplicada, classificada como exploratória, em sua primeira fase, e descritiva, em sua segunda fase, fundamentada a partir de uma pesquisa de abordagem mista que combinou técnicas de pesquisa qualitativa e quantitativa. As informações foram obtidas pelos métodos de coleta utilizados: pesquisa documental e aplicação questionário on-line. Para análise dos dados, foi utilizada a análise de conteúdo e análise estatística. Assim, pretendeu-se identificar os elementos conceituais para o desenvolvimento de um modelo integrado e simplificado de ações de segurança da informação. Os elementos conceituais obtidos nesta tese permitiram a criação do modelo MISASI STI, que pode ser utilizado como guia para explorar e avaliar as ações de SI existentes e/ou necessárias aos setores de tecnologia das IFES. Esse modelo foi aplicado no questionário, utilizado como instrumento de coleta de dados, enviado para 102 IFES, ficando disponível por pouco mais de 4 meses, obtendo 101 respondentes, porém, apenas 32 finalizaram o questionário e tiveram as respostas analisadas. Pela análise dos dados coletados, foi possível concluir que a realidade das IFES em relação à SI precisa de atenção e apoio da alta administração, pois, apesar de as normas elencarem diversas ações de SI aplicáveis, as IFES aplicam ações de forma ad hoc em sua maioria. A tese concluiu que é possível implementar de forma integrada e simplificada ações de segurança da informação nas IFES, para isso, porém, é fundamental o apoio da alta administração, desde financeiro à promoção de cultura em SI, passando por ações de conscientização e qualificação.Universidade Federal da ParaíbaBrasilCiência da InformaçãoPrograma de Pós-Graduação em Ciência da InformaçãoUFPBAraújo, Wagner Junqueira dehttp://lattes.cnpq.br/6762905361803183Batista, Rafaela Romaniuc2023-02-13T17:18:36Z2022-08-082023-02-13T17:18:36Z2022-05-26info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/doctoralThesishttps://repositorio.ufpb.br/jspui/handle/123456789/26291porAttribution-NoDerivs 3.0 Brazilhttp://creativecommons.org/licenses/by-nd/3.0/br/info:eu-repo/semantics/embargoedAccessreponame:Biblioteca Digital de Teses e Dissertações da UFPBinstname:Universidade Federal da Paraíba (UFPB)instacron:UFPB2023-05-22T13:03:09Zoai:repositorio.ufpb.br:123456789/26291Biblioteca Digital de Teses e Dissertaçõeshttps://repositorio.ufpb.br/PUBhttp://tede.biblioteca.ufpb.br:8080/oai/requestdiretoria@ufpb.br|| diretoria@ufpb.bropendoar:2023-05-22T13:03:09Biblioteca Digital de Teses e Dissertações da UFPB - Universidade Federal da Paraíba (UFPB)false |
| dc.title.none.fl_str_mv |
Análise de riscos em segurança da informação: modelo integrado e simplificado de ações de segurança da informação para Instituições Federais de Ensino Superior (IFES) |
| title |
Análise de riscos em segurança da informação: modelo integrado e simplificado de ações de segurança da informação para Instituições Federais de Ensino Superior (IFES) |
| spellingShingle |
Análise de riscos em segurança da informação: modelo integrado e simplificado de ações de segurança da informação para Instituições Federais de Ensino Superior (IFES) Batista, Rafaela Romaniuc Gestão da segurança da informação Gestão de riscos de segurança da informação Instituições federais de ensino superior OCTAVE Forte Information security management Information security risk management Federal institutions of higher education Technology sectors CNPQ::CIENCIAS SOCIAIS APLICADAS::CIENCIA DA INFORMACAO |
| title_short |
Análise de riscos em segurança da informação: modelo integrado e simplificado de ações de segurança da informação para Instituições Federais de Ensino Superior (IFES) |
| title_full |
Análise de riscos em segurança da informação: modelo integrado e simplificado de ações de segurança da informação para Instituições Federais de Ensino Superior (IFES) |
| title_fullStr |
Análise de riscos em segurança da informação: modelo integrado e simplificado de ações de segurança da informação para Instituições Federais de Ensino Superior (IFES) |
| title_full_unstemmed |
Análise de riscos em segurança da informação: modelo integrado e simplificado de ações de segurança da informação para Instituições Federais de Ensino Superior (IFES) |
| title_sort |
Análise de riscos em segurança da informação: modelo integrado e simplificado de ações de segurança da informação para Instituições Federais de Ensino Superior (IFES) |
| author |
Batista, Rafaela Romaniuc |
| author_facet |
Batista, Rafaela Romaniuc |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Araújo, Wagner Junqueira de http://lattes.cnpq.br/6762905361803183 |
| dc.contributor.author.fl_str_mv |
Batista, Rafaela Romaniuc |
| dc.subject.por.fl_str_mv |
Gestão da segurança da informação Gestão de riscos de segurança da informação Instituições federais de ensino superior OCTAVE Forte Information security management Information security risk management Federal institutions of higher education Technology sectors CNPQ::CIENCIAS SOCIAIS APLICADAS::CIENCIA DA INFORMACAO |
| topic |
Gestão da segurança da informação Gestão de riscos de segurança da informação Instituições federais de ensino superior OCTAVE Forte Information security management Information security risk management Federal institutions of higher education Technology sectors CNPQ::CIENCIAS SOCIAIS APLICADAS::CIENCIA DA INFORMACAO |
| description |
Today's society has information as its transforming element. In the Federal Institutions of Higher Education (IFES) it could not be different, since the information flow has progressively become a structuring element. Therefore, identifying and addressing the security risks that affect these flows is a requirement for such organizations. However, it is observed that the absence of information security (IS) actions in these institutions is, in general, due to the difficulty in applying the existing risk analysis models, considered the pillar of this process. This difficulty occurs because models are proposed for more general purposes that the context of a university requires. The research proposed to develop an integrated and simplified model of actions for risk analysis, specific to the context of the technology sectors of the IFES. After a systematic review of the literature, the internationally recognized framework OCTAVE Forte was chosen for the elaboration of the model, together with the federal government's information security standards and recommendations, which govern the bodies and entities of the Federal Public Administration on the subject of security of information. To achieve this objective, an applied research was carried out, classified as exploratory, in its first phase, and descriptive, in its second phase, based on a mixed approach research that combined qualitative and quantitative research techniques. The information was obtained by the methods of collection used: documental research and application of an online survey. For data analysis, content analysis and statistical analysis were used. Thus, it was intended to identify the conceptual elements for the development of an integrated and simplified model of information security actions. The conceptual elements obtained in this thesis allowed the creation of the MISASI STI model, which can be used as a guide to explore and evaluate existing IS actions and/or necessary for the technology sectors of the IFES. This model was applied on a survey, used as a data collection instrument, and was sent to 102 IFES, being available for just over 4 months, obtaining 101 respondents, however, only 32 completed the survey and had their responses analyzed. Through the analysis of the data collected, it was possible to conclude that the reality of the IFES in relation to the IS needs attention and support from the top management, because, although the rules list several applicable IS actions, the IFES apply actions in an ad hoc way in their majority. The research concluded that it is possible to implement information security actions in the IFES in an integrated and simplified way, for this, however, the support of the top management is essential, from financial to the promotion of culture in IS, through awareness and qualification actions. |
| publishDate |
2022 |
| dc.date.none.fl_str_mv |
2022-08-08 2022-05-26 2023-02-13T17:18:36Z 2023-02-13T17:18:36Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/doctoralThesis |
| format |
doctoralThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
https://repositorio.ufpb.br/jspui/handle/123456789/26291 |
| url |
https://repositorio.ufpb.br/jspui/handle/123456789/26291 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
Attribution-NoDerivs 3.0 Brazil http://creativecommons.org/licenses/by-nd/3.0/br/ info:eu-repo/semantics/embargoedAccess |
| rights_invalid_str_mv |
Attribution-NoDerivs 3.0 Brazil http://creativecommons.org/licenses/by-nd/3.0/br/ |
| eu_rights_str_mv |
embargoedAccess |
| dc.publisher.none.fl_str_mv |
Universidade Federal da Paraíba Brasil Ciência da Informação Programa de Pós-Graduação em Ciência da Informação UFPB |
| publisher.none.fl_str_mv |
Universidade Federal da Paraíba Brasil Ciência da Informação Programa de Pós-Graduação em Ciência da Informação UFPB |
| dc.source.none.fl_str_mv |
reponame:Biblioteca Digital de Teses e Dissertações da UFPB instname:Universidade Federal da Paraíba (UFPB) instacron:UFPB |
| instname_str |
Universidade Federal da Paraíba (UFPB) |
| instacron_str |
UFPB |
| institution |
UFPB |
| reponame_str |
Biblioteca Digital de Teses e Dissertações da UFPB |
| collection |
Biblioteca Digital de Teses e Dissertações da UFPB |
| repository.name.fl_str_mv |
Biblioteca Digital de Teses e Dissertações da UFPB - Universidade Federal da Paraíba (UFPB) |
| repository.mail.fl_str_mv |
diretoria@ufpb.br|| diretoria@ufpb.br |
| _version_ |
1801843006193532928 |