Proposta de uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002: 2005

Detalhes bibliográficos
Autor(a) principal: Johnson, Luciano
Data de Publicação: 2012
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Institucional da UFPR
Texto Completo: https://hdl.handle.net/1884/32224
Resumo: Orientador : Prof. Dr. José Simão de Paula Pinto
id UFPR_f0f46a98e60c334add2aea4ea668fcd3
oai_identifier_str oai:acervodigital.ufpr.br:1884/32224
network_acronym_str UFPR
network_name_str Repositório Institucional da UFPR
repository_id_str 308
spelling Pinto, José Simão de Paula, 1963-Universidade Federal do Paraná. Setor de Ciências Sociais Aplicadas. Programa de Pós-Graduação em Gestão da InformaçãoJohnson, Luciano2024-01-08T19:00:22Z2024-01-08T19:00:22Z2012https://hdl.handle.net/1884/32224Orientador : Prof. Dr. José Simão de Paula PintoDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Sociais Aplicadas, Programa de Pós-Graduação em Ciência, Gestão e Tecnologia da Informação. Defesa: Curitiba, 23/02/2012Bibliografia: fls. 48-51Área de concentração: Gestão e Tecnologia da InformaçãoResumo: Os conceitos e práticas de segurança da informação têm evoluído nos últimos anos, e as empresas têm buscado se adaptar a esta evolução. O esforço para esta adaptação reflete, na maioria das vezes, a visão da tecnologia da informação. Neste contexto é possível identificar a necessidade de um modelo para avaliar como a segurança da informação é tratada nas organizações. A segurança da informação não possui uma estrutura de processos ou mesmo um modelo de maturidade que apoie as organizações na identificação de melhorias. Este trabalho tem por objetivo propor uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002:2005 que busque fechar a lacuna identificada anteriormente. Para alcançar este objetivo foram modelados processos com base na norma de segurança da informação ABNT NBR ISO/IEC 27002:2005 (ABNT, 2005). Os processos foram derivados dos objetivos de controle estabelecidos na norma técnica e as atividades dos processos foram derivadas dos controles de cada objetivo de controle normativo. A partir deste ponto foi utilizado o modelo genérico de maturidade, proposto pelo CMMI e amplamente utilizado em boas práticas internacionais, para se desenvolver os modelos de maturidade dos processos de segurança da informação. Para avaliar a maturidade através dos modelos propostos, foi desenvolvido um questionário de análise de maturidade e uma ferramenta computacional para apoiar a aplicação do mesmo. O questionário foi aplicado em dez organizações da região de Curitiba-PR, que possuem acima de mil usuários internos de tecnologia da informação. Os resultados indicam que o tema ainda é foco da área de tecnologia da informação - TI, pois somente os processos diretamente relacionados com a TI se mostraram mais evoluídos. Por outro lado, os processos relacionados à gestão e planejamento se mostraram os menos desenvolvidos. Através das análises foi possível concluir que a segurança da informação é abordada como uma responsabilidade de TI e não corporativa. Outra conclusão importante é que o tema é ainda novo nas organizações, pela baixa maturidade dos processos identificada na pesquisa. Isso sugere que de fato existem melhorias a serem desenvolvidas, principalmente nas questões de gestão da segurança da informação.Abstract: The concepts and information security practices have evolved in recent years and companies have sought to adapt to this evolution. The effort for this adaptation reflects, in most cases, the vision of information technology. In this context it is possible to identify the need for a model to assess how information security is handled in organizations. Information security does not have a process structure or even a maturity model to support organizations in identifying improvements. This paper aims to propose a framework for analysis of information security process maturity based on standard ABNT NBT ISO/IEC 27002:2005 that seeks to close the gap identified above. To achieve this objective processes were modeled based on the information security standard ABNT NBR ISO/IEC 27002:2005 (ABNT, 2005). The processes were derived from the control objectives set out in the technical standard and the activities of these processes were derived from the controls of each control objective normative. From this point was used the generic maturity model proposed by CMMI and widely used in international practice, to develop models of information security maturity process. In order to evaluate the maturity through the proposed models, a questionnaire was developed for the analysis of maturity and a computational tool to support the application. The questionnaire was administered in ten organizations in the region of Curitiba-PR-Brazil, which have over one thousand internal users of information technology. The results indicate that the theme is still the focus of information technology area - IT, because only the processes directly related to IT were more evolved. On the other hand, processes related to planning and management proved the least developed. Through the analysis it was concluded that information security is addressed as an IT responsibility rather than corporate responsibility. Another important conclusion is that the subject is still new in organizations, because the low processes maturity identified in the survey. This suggests that in fact there are improvements to be developed mainly on the management of information security.54f : il. [algumas color.], grafs., tabs.application/pdfDisponível em formato digitalTecnologia da informaçãoSistemas de segurançaGerenciamento da informaçao - Medidas de segurançaProposta de uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002: 2005info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisporreponame:Repositório Institucional da UFPRinstname:Universidade Federal do Paraná (UFPR)instacron:UFPRinfo:eu-repo/semantics/openAccessORIGINALR - D - LUCIANO JOHNSON.pdfapplication/pdf3043456https://acervodigital.ufpr.br/bitstream/1884/32224/1/R%20-%20D%20-%20LUCIANO%20JOHNSON.pdf96d4a7a9fc5aa912953d96dec9b36ca7MD51open access1884/322242024-01-08 16:00:22.736open accessoai:acervodigital.ufpr.br:1884/32224Repositório de PublicaçõesPUBhttp://acervodigital.ufpr.br/oai/requestopendoar:3082024-01-08T19:00:22Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR)false
dc.title.pt_BR.fl_str_mv Proposta de uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002: 2005
title Proposta de uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002: 2005
spellingShingle Proposta de uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002: 2005
Johnson, Luciano
Tecnologia da informação
Sistemas de segurança
Gerenciamento da informaçao - Medidas de segurança
title_short Proposta de uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002: 2005
title_full Proposta de uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002: 2005
title_fullStr Proposta de uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002: 2005
title_full_unstemmed Proposta de uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002: 2005
title_sort Proposta de uma estrutura de análise de maturidade dos processos de segurança da informação com base na norma ABNT NBR ISO/IEC 27002: 2005
author Johnson, Luciano
author_facet Johnson, Luciano
author_role author
dc.contributor.other.pt_BR.fl_str_mv Pinto, José Simão de Paula, 1963-
Universidade Federal do Paraná. Setor de Ciências Sociais Aplicadas. Programa de Pós-Graduação em Gestão da Informação
dc.contributor.author.fl_str_mv Johnson, Luciano
dc.subject.por.fl_str_mv Tecnologia da informação
Sistemas de segurança
Gerenciamento da informaçao - Medidas de segurança
topic Tecnologia da informação
Sistemas de segurança
Gerenciamento da informaçao - Medidas de segurança
description Orientador : Prof. Dr. José Simão de Paula Pinto
publishDate 2012
dc.date.issued.fl_str_mv 2012
dc.date.accessioned.fl_str_mv 2024-01-08T19:00:22Z
dc.date.available.fl_str_mv 2024-01-08T19:00:22Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv https://hdl.handle.net/1884/32224
url https://hdl.handle.net/1884/32224
dc.language.iso.fl_str_mv por
language por
dc.relation.pt_BR.fl_str_mv Disponível em formato digital
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv 54f : il. [algumas color.], grafs., tabs.
application/pdf
dc.source.none.fl_str_mv reponame:Repositório Institucional da UFPR
instname:Universidade Federal do Paraná (UFPR)
instacron:UFPR
instname_str Universidade Federal do Paraná (UFPR)
instacron_str UFPR
institution UFPR
reponame_str Repositório Institucional da UFPR
collection Repositório Institucional da UFPR
bitstream.url.fl_str_mv https://acervodigital.ufpr.br/bitstream/1884/32224/1/R%20-%20D%20-%20LUCIANO%20JOHNSON.pdf
bitstream.checksum.fl_str_mv 96d4a7a9fc5aa912953d96dec9b36ca7
bitstream.checksumAlgorithm.fl_str_mv MD5
repository.name.fl_str_mv Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR)
repository.mail.fl_str_mv
_version_ 1801860673514242048

Registros relacionados