Avaliação de processos de segurança da informação integrando as áreas de controladoria e tecnologia da informação

Abstract

RESUMO: A Controladoria é responsável por informações que apoiam o processo de tomada de decisão nas organizações e devido a isso necessita participar dos processos de segurança da informação. Por isto, esta pesquisa avaliou de maneira aplicada os processos de segurança da informação integrando as áreas de Controladoria e de TI. Metodologicamente o trabalho se caracterizou como uma pesquisa descritiva em um processo quali-quanti, considerando a percepção de respondentes em 30 questões relacionadas ao problema proposto. Foi aplicado um questionário complementar com base na norma ISO/IEC 27002 inferindo explicação causal de integração de áreas, bem como definição de categorias de diferentes profissionais quando tratam a segurança da informação. Desenvolveu-se um estudo de caso aplicado com instrumentos de coleta de dados relacionados a questionários e entrevistas, identificando na análise de conteúdo os processos críticos de negócio e riscos associados ao ambiente da informação. Assim, foi possível aprimorar os processos operacionais dessas duas áreas, diminuindo riscos operacionais, através de ações conjuntas de participação de usuários, criação de equipes, maior padronização, alinhamento da comunicação, maior controle na alteração de sistemas, aprimoramento de políticas e normas de segurança da informação, uso de ferramenta de business intelligence, treinamentos, integração de informações, foco nos processos essenciais. Dessa maneira se atendeu ao objetivo de avaliar processos de segurança da informação integrando as áreas de Controladoria e de TI.

ABSTRACT: The Controllership is responsible for the support decision-making process in organizations and because of that, it needs to participate in the information security processes. Therefore, this study evaluated the way of applied information security processes by integrating the areas of Controllership and IT. Methodologically the work was characterized as a descriptive research in a quali-quanti process, considering the perception of respondents in 30 questions related to the proposed problem. A supplementary questionnaire was applied based on ISO / IEC 27002 standard implying causal explanation of areas of integration and definition of different categories of professionals when they deal information security. We developed a case study applied to data collection instruments related to questionnaires and interviews, content analysis in identifying the critical business processes and risks associated with information environment. Thus, it was possible to improve the operational processes of these two areas, reducing operational risks through different actions related with participation of users, creating teams, greater standardization, communication alignment, greater control in changing systems, improvements to policies and safety standards information, use of business intelligence tools, training, information integration and focus in core process. Finally, it responded to objective of evaluating information security processes by integrating the areas of Controllership and IT.

RESUMEN: La controladoría es responsable por informaciones que suportan el proceso de toma de decisiones en las organizaciones y debido a esto necesita participar de los procesos de seguridad de información. Así, esta investigación evaluó de manera aplicada los procesos de seguridad de información, integrando las áreas de Controladoría y Tecnología de Información. Metodológicamente el trabajo se caracterizó como una investigación descriptiva en un proceso cuali-cuanti que consideró la percepción de respondientes en 30 cuestiones relacionadas al problema propuesto. Ha sido aplicado un cuestionario complementar basado en la ISO/IEC 27002 infiriendo explicación causal de integración de áreas, bien como la definición de categorías de diferentes profesionales cuando tratan la seguridad de la información. Se ha desarrollado un estudio de caso aplicado con instrumentos de coleta de datos relacionados a cuestionarios y entrevistas, identificando en un análisis de contenido los procesos críticos de negocio e riesgo al ambiente de la información. De esta manera, ha sido posible perfeccionar los procesos operacionales de estas dos áreas, disminuyendo riesgos operacionales, a través de acciones conjuntas de participación de usuarios, creación de equipos, mayor sistematización, alineación en la comunicación, mayor control en la alteración de sistemas, perfeccionamiento de políticas y normas de seguridad de información, uso de herramienta de inteligencia organizacional, entrenamientos, integración de informaciones y foco en los procesos esenciales. Así, se ha atendido al objetivo principal de evaluar los procesos de seguridad de información integrando las áreas de controladoría y tecnología de información.