Análise de tratamento da segurança da informação na gestão de riscos da governança de tecnologia da informação de uma instituição de ensino público federal

Abstract

A informação é um recurso crescente para o desenvolvimento do ciclo de negócios das organizações, e a Tecnologia da Informação (T.I.), assim como as pessoas envolvidas nesse ciclo, desempenha um papel significativo. A governança de T.I. consiste em aspectos de liderança, estrutura e processos para que a área de tecnologia da informação suporte e aprimore estratégias e objetivos organizacionais, tratando também dos riscos relacionados à segurança dos ativos de informação, uma vez que sua identificação e mensuração proporciona maior controle quanto às incertezas e oportunidades. Portanto, o presente trabalho tem por objetivo verificar o tratamento dado à segurança da informação dentro da gestão de riscos na governança de T.I. em uma instituição de ensino público federal, analisando aspectos da gestão de risco, que envolvem princípios como organização de segurança e infraestrutura, políticas de segurança, normas e procedimentos, programa de segurança, treinamento e conscientização da cultura de segurança e adequação. Trata-se de uma pesquisa exploratória mista, com estudo de uma instituição de ensino público federal desenvolvido por meio de questionários para levantamento e análise dos dados relativos às práticas de segurança da informação dentro da governança de T.I. A partir dos dados analisados, observou-se que os componentes verificados possuem aplicação na instituição, permitindo a implementação e manutenção de princípios, compreensão do ambiente de riscos no qual opera e oportunidades que este oferece.Information is a growing asset in businesses life cycle, while Information Technology (I.T.) and the people involved in this cycle play a significant role. I.T. governance consists on aspects of leadership, structure and processes by enabling information technology to improve business strategies and objectives while securing the risks related to information assets, since their identification and measurement provides greater control over uncertainties and opportunities. Thus, this study aims to verify how is information security processed through risk management within I.T. governance in a federal public education institution, by analyzing risk management aspects involving principles such as security organization and infrastructure, security policies, standards and procedures, security program, security culture awareness and training and monitoring compliance. As a mixed exploratory research, this study was developed in a federal public education institution through questionnaires for data survey and analysis regarding information security practices within I.T. governance. Data analysis suggests that the verified components are applicable to the institution, enabling principles implementation, maintenance and acknowledgement of its risk environment and opportunities.