As pessoas nos sistemas de gestão da segurança da informação

Abstract

Este trabalho apresenta um enquadramento conceptual das necessidades organizacionais em termos da utilização da informação, de segurança da informação e do envolvimento das Pessoas nas actividades associadas quer à informação, quer à segurança dessa mesma informação. Consideram-se igualmente os impactos, em termos de segurança, da utilização dos sistemas de informação que permitem a partilha da informação organizacional e das tecnologias de informação e comunicação que suportam esses mesmos sistemas. Com estes objectivos foram estudadas diversas normas, directa ou indirectamente relacionadas com a segurança da informação, objectivando a sua utilização no suporte das necessidades de segurança identificadas. Neste âmbito, foram também estudadas normas relacionadas com a gestão dos sistemas de informação e das tecnologias de informação e comunicação, particularmente nos aspectos que envolvem as Pessoas. A construção do Modelo destinado a suportar a integração da segurança da informação nos sistemas desenvolvidos ou em desenvolvimento, baseou-se nas metodologias tradicionais que suportam a concepção e desenvolvimento quer dos sistemas de informação, quer dos sistemas de gestão de segurança da informação. O Modelo foi concebido com base em referenciais obtidos através quer da revisão da literatura, quer das métricas e do normativo considerado adequado ao estudo desta problemática. Este desenvolvimento tem como principal objectivo responder aos anseios e necessidades das Pessoas, quando confrontadas com a necessidade de assegurar a protecção da informação e dos sistemas e das tecnologias que a suportam. A pertinência do Modelo é tanto maior quanto maior for a importância das Pessoas como activos organizacionais e as suas capacidades em utilizar adequadamente a informação na prossecução dos objectivos organizacionais na actual Sociedade da Informação. A necessidade de obter a percepção das Pessoas acerca da segurança da informação foi colmatada através da realização de um questionário, sendo este construído com base na especificidade da organização que é objecto de estudo, tendo como suporte fundamental para as questões a revisão da literatura, as métricas e as normas relacionadas com esta problemática. A validação do Modelo, além das componentes relativas à legislação e normativos aplicáveis, foi efectuada tendo em consideração os tópicos pertinentes que foram obtidos através da análise das respostas aos questionários, considerando-se o seu enquadramento com os referenciais do referido Modelo. Como vantagens decorrentes do Modelo devem referenciar-se a possibilidade de, através da percepção das Pessoas, proporcionar o seu maior envolvimento nas actividades organizacionais que incluam a utilização dos sistemas de informação e das tecnologias de informação e comunicação, considerando igualmente os impactos decorrentes de mudanças efectuadas quer em termos de sistemas de informação quer de tecnologias de informação e comunicação. A aplicação do Modelo nas práticas de concepção, implementação e operação dos sistemas de gestão da segurança da informação na organização que suporta o estudo de caso, encontra vantagens na utilização dos referenciais do Modelo em conjunto com os itens e tópicos resultantes da análise dos resultados dos questionários, permitindo que as Pessoas utilizem esses aspectos como recomendações a incluir nessas actividades. Outra das vantagens, com um potencial de impacto superior, relaciona-se com a segurança da informação, pessoal ou organizacional, com que as Pessoas têm de lidar, e que envolve inevitavelmente a segurança dos sistemas de informação e das tecnologias de informação e comunicação que suportam os fluxos de informação, e a respectiva segurança.