ÜÇÜNCÜ BÖLÜM
3.1. Âşıklığa Başlama Nedenleri
3.1.1. Sazlı-Sözlü Ortamda Yetişme/ Âşık Dinleme
Na revisão da literatura realizada, foram identificados vários modelos de GovSI, de uso geral, ou seja, que podem ser utilizados em qualquer tipo de organização, elaborados por pesquisadores estrangeiros. Todavia, somente uma proposta, a do NIST, era direcionada ao setor público. Um estudo realizado por pesquisadores espanhóis, Mellado et al (2011), comparou frameworks de GovSI, incluindo entre os critérios de comparação a adequabilidade ao setor público. O NIST estava entre os modelos comparados.
Diante disso, para construção de um modelo de GovSI aderente à Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal 2015-2018, foram avaliados o modelo NIST, porque este modelo é destinado ao setor público, a norma ABNT NBR ISO/IEC 27014:2013, uma vez que esta é uma norma aceita no mercado nacional, e as normas publicadas pelo DSIC, de cumprimento obrigatório pela APF.
O modelo elaborado foi apresentado a um grupo focal formado por especialistas em SI da APF, que consideraram o estudo uma importante iniciativa e o modelo, com pequenos ajustes, adequado à APF. Ressalte-se que as contribuições do grupo focal foram fundamentais para o enriquecimento do modelo, uma vez que a experiência do grupo e a aderência do tema às suas atividades na APF permitiram uma avaliação crítica e realística da proposta.
Como resultado, o modelo de GovSI proposto apresenta as características de integração à governança corporativa apresentadas no modelo de Posthumus & Von Somls (2004), aos principais elementos do modelo de Da Veiga & Eloff (2007), quais sejam, tratamento de SI por meio da avaliação de riscos e inserção da cultura de SI na cultura organizacional. É, ainda, aderente ao preceito de níveis estratégico, tático-operacional e técnico, do modelo de Ula et al (2011). Em contraposição, o modelo proposto não é aderente ao modelo apresentado por Von Solms & Von Solms (2006), uma vez que este considera que um modelo de GovSI deve ser derivado de um modelo de governança corporativa. A não aderência a este modelo se justifica pelo fato de não haver um modelo de governança corporativa único para toda a APF, tendo cada órgão ou entidade
seu próprio sistema de governança corporativa, conforme pode ser depreendido do trabalho de Britto (2011).
10 CONCLUSÃO
Considerando a crescente utilização de soluções de TIC pelos Estados e pela sociedade e, paralelamente, o crescimento das ameaças e vulnerabilidades neste ambiente, e ainda, as fragilidades existentes nos processos e o baixo nível de maturidade de gestão de SIC na APF, o estabelecimento de uma governança de segurança da informação bem estruturada passa a ser condição indispensável à sustentabilidade de políticas públicas e a melhor prestação de serviços ao cidadão.
A publicação pelo Conselho de Defesa Nacional da Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal 2015-2018, elaborada pelo DSIC, explicita a relevância do assunto para o Estado brasileiro. Esta estratégia possui um objetivo estratégico, o OE-IV, que visa instituir um modelo de governança sistêmica de Segurança da Informação e Comunicações e de Segurança Cibernética para a APF, uma vez que o tema é considerado essencial. A academia é chamada a contribuir para o sucesso da Estratégia, explicitamente nos OE-III e OE-VI.
A revisão de literatura mostrou que não há uma proposta de modelo de GovSI específico para a Administração Pública Federal brasileira que considere, além dos elementos padrões de um modelo de governança, o arcabouço normativo existente relativo ao tema para a APF. Para construção de uma proposta aderente ao dueto normas existentes – Estratégia de SIC e Segciber da APF 2015-2018, foi utilizada a norma ABNT NBR ISO/IEC 27014:2013 como referencial para elaboração de uma proposta de modelo, uma vez que as normas ABNT são aceitas e entendidas como norteadoras no mercado nacional. O modelo do NIST, National Institute of Standards and Technology, dos Estados Unidos da América, apesar de ser direcionado às instituições daquele país, portanto aderente às leis e normas norte-americanas, foi também tomado como referencial, pois foi o único modelo internacional encontrado na revisão de literatura direcionado ao setor público. Como base comparativa dos modelos e normas tomados como referência, foram utilizados os critérios propostos pelos pesquisadores espanhóis, Mellado et al (2011), dado que seu trabalho foi voltado
exatamente para a avaliação de aderência dos frameworks de GovSI ao setor público.
Esta pesquisa se propôs apresentar um modelo de GovSI para a APF, considerando as restrições e requerimentos legais e normativos existentes e as características inerentes ao setor público, portanto, entende-se que foi atingido o objetivo geral e os objetivos específicos apresentados, uma vez que o modelo proposto foi submetido à avaliação de um grupo focal formado por especialistas da APF em SIC, sendo considerado adequado à realidade atual da APF.
A pesquisa teve como limitações o fato de apresentar um modelo conceitual, que não foi implementado para teste de sua viabilidade e de sua efetividade. Apresenta-se também como limitador o fato de não ter sido submetida ao GSI e ao comitê da APF que o assessora, nem às altas autoridades da APF, para avaliação, críticas e discussão desses atores sobre o modelo, considerando que estes exercem atividades essenciais para o sucesso de GovSI na APF.
Dada a importância e abrangência do tema GovSI para a sociedade e Estado brasileiro, sugere-se que mais estudos futuros sejam realizados de modo a fomentar discussões elevadas sobre o assunto, com reflexos positivos à APF. Especificamente derivados desta pesquisa, sugere-se como trabalhos futuros: a elaboração de um framework de SIC para a APF, integrando em um modelo a governança e a gestão de SIC; um modelo de maturidade em GovSI para as organizações da APF; um estudo sobre delimitação de foco de atuação de SIC e Segciber no Brasil; uma proposta sobre como inserir na cultura corporativa existente na APF os elementos requeridos de SIC; um estudo aprofundado para elaboração de um modelo de governança corporativa para a APF brasileira.
Por fim, entende-se que a maior contribuição dessa pesquisa foi estimular a discussão sobre Governança de Segurança da Informação e Comunicações na Administração Pública Federal brasileira, em atendimento aos objetivos estratégicos OE-III e OE-VI da Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal 2015-2018.
REFERÊNCIAS
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2013. Técnicas de segurança — Código de prática para controles de
segurança da informação. 2013. (ABNTa)
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27014:2013. Técnicas de segurança — Governança de segurança da
informação. 2013. (ABNTb)
ALLEN, J.; WESTBY, J. Governing for Enterprise Security (GES).
Implementation Guide (CMU/SEI-2007-TN-020). 2007. Retrieved May 15, 2016, from the Software Engineering Institute, Carnegie Mellon University. Disponivel
em: http://resources.sei.cmu.edu/library/asset-view.cfm?AssetID=8251 Acesso
em: 30 Mai 2015.
ALMEIDA, T. A. R. Modelo de Maturidade em Gestão de Portfólio de Projetos
Alinhado à Metodologia de Gestão de Portfólio de Projetos do Sistema de Administração dos Recursos de Tecnologia da Informação (MGPP-SISP)
2016. 65 f. Dissertação (Mestrado em Gestão do Conhecimento e da Tecnologia da Informação) – Universidade Católica de Brasília, Brasília, 2016.
ALVES, V. et al. Segurança Cibernética e Políticas Públicas no Brasil. SEGeT – Simpósio de Excelência em Gestão e Tecnologia. Artigo. 2013. Disponível em:
http://www.aedb.br/seget/arquivos/artigos14/38620415.pdf Acesso em: 07 Jun
2015.
AMORIM, C. Segurança Internacional: novos desafios para o Brasil. Contexto int., Rio de Janeiro , v. 35, n. 1, p. 287-311, Junho 2013 . Disponível em:
http://www.scielo.br/scielo.php?script=sci_arttext&pid=S0102-
85292013000100010&lng=en&nrm=iso. Acesso em: 07 Jun 2015.
http://dx.doi.org/10.1590/S0102-85292013000100010.
BRASIL. Decreto nº 99.244, de 10 de maio de 1990. Disponível em:
http://www.planalto.gov.br/ccivil_03/decreto/D99244.htm . Acesso em: 18 jul 2015.
BRASIL. Decreto nº 3.505, de 13 de junho de 2000. Disponível em:
http://www.planalto.gov.br/ccivil_03/decreto/D3505.htm . Acesso em: 06 jun 2015.
BRASIL. SAE. Desafios estratégicos para segurança e defesa cibernética. Secretaria de Assuntos Estratégicos da Presidência da República. 2011. Disponivel em: http://www.sae.gov.br/wp-
content/uploads/Seguranca_Cibernetica_web.pdf Acesso em: 20 Jun 2015.
BRASIL. Decreto nº 8.100, de 04 de setembro de 2013. Disponível em:
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2013/Decreto/D8100.htm .
Acesso em: 06 jun 2015.
BRASIL. Tribunal de Contas da União. Acórdão 3.051/2014-Plenário. Disponível em: < http://www.jusbrasil.com.br/diarios/80031307/dou-secao-1-13-11-2014-pg- 202> . Acesso em: 08 Jun 2015. (2014a)
BRASIL. Tribunal de Contas da União. IGovTI 2014 - Perfil de Governança de TI
- ciclo 2014. TCU. Disponível em:
http://portal.tcu.gov.br/comunidades/fiscalizacao-de-tecnologia-da-
informacao/atuacao/perfil-de-governanca-de-ti/ Acesso em: 20 Jun 2015. (2014b)
BRITTO, T. D. e., Neto, J. S. Levantamento e diagnóstico de maturidade da
governança da segurança da informação na administração direta federal brasileira. Universidade Católica de Brasília. 2011. Disponivel em:
http://www.bdtd.ucb.br/tede/tde_busca/arquivo.php?codArquivo=1429 Acesso em:
20 Jun 2015.
CABRAL, C.; CAPRINO, W. Trilhas em Segurança da Informação : Caminhos e ideias para a proteção de dados. Ebook. Editora Brasport, 2015 .
CDN. Portaria nº 14, de 11 de maio de 2015, Homologa a "Estratégia de
Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal - 2015/2018, versão 1.0", desdobramento da
Instrução Normativa GSI/PR nº 01/2008. Disponível em:
http://www.gsi.gov.br/arquivos/portaria-dsic.pdf. Acesso em: 11 mai 2015.
CHAMA, D. C. O comitê gestor da internet no Brasil: gestão, segurança e
comunicação. 2008. 135 f. Dissertação (mestrado) - Universidade Estadual
Paulista, Faculdade de Arquitetura, Artes e Comunicação, 2008. Disponível em:
http://hdl.handle.net/11449/89435. Acesso em: 20 Jun 2015.
CANONGIA, C.; MANDARINO JR., R. Segurança cibernética: o desafio da
nova Sociedade da Informação. Revista Parcerias Estratégicas. v. 14, n. 29,
pag. 21, dezembro de 2009, Brasília-DF. Disponível em:
http://www.cgee.org.br/parcerias/p29.php. Acesso em: 21 Jun 2015.
DA VEIGA, A.; ELOFF, J.H.P. An Information Security Governance
Framework. Information Systems Management, 24:4, págs. 361 – 372, 2007.
Disponivel em: URL: http://dx.doi.org/10.1080/10580530701586136. Acesso em: 30 Ago 2015.
DALFOVO, M. S.; LANA, R. A.; SILVEIRA, A. Métodos quantitativos e
qualitativos: um resgate teórico. Revista Interdisciplinar Científica Aplicada,
Blumenau, v.2, n.4, p.01- 13, Sem II. 2008. Disponível em:
http://www.unisc.br/portal/upload/com_arquivo/metodos_quantitativos_e_qualitativ
os_um_resgate_teorico.pdf. Acesso em: 30 Abr 2016.
DISCURSO de S. E. a Senhora Dilma Rousseff, Presidenta da República
Federativa do Brasil, na abertura do Debate Geral da 68ª Sessão da Assembleia Geral das Nações Unidas. Nova Iorque, 24 set. 2013. Disponível em:
http://www.un.int/brazil/speech/13d-PR-DR-68-AG-Abertura-Port.html. Acesso em:
DSIC. Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008. Disponível em:
http://dsic.planalto.gov.br/documentos/in_01_gsidsic.pdf. Acesso em: 06 Jun
2015.
ELOFF, J.H.P.; ELOFF, M.M. Information security architecture. Computer Fraud & Security, volume 5, edição n° 11, págs. 10-16, 2005. Disponível em:
http://www.sciencedirect.com/science/article/pii/S136137230570275X. Acesso em:
30 Ago 2015.
FEDEROFF, J. Getting Real About Information Governance. CIO. 2014. Disponível em: http://www.cio.com/article/2861118/governance/getting-real-about-
information-governance.html. Acesso em: 30 Mai 2015.
FONTES, E. Políticas e Normas para a Segurança da Informação. Brasport, 2012.
FRANCO, M. L. P. B. Análise de Conteúdo. Brasília, 4° edição: Liber Livro, 2012, 96 págs., Série Pesquisa, volume 6.
GUI , R.T. Grupo focal em pesquisa qualitativa aplicada: intersubjetividade e
construção de sentido. Rev. Psicol. Organ. Trab. Jun 2003, vol.3, no.1,
p.135- 159. I SSN 1984- 6657. Disponível em :
ht t p: / / pepsic.bvsalud.org/ pdf/ rpot / v3n1/ v3n1a07.pdf. Acesso em : 02
Abr 2016.
HM Government. UK. Cyber Essentials Scheme. 2014. Disponível em:
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/317
481/Cyber_Essentials_Requirements.pdf. Acesso em: 27 Jun 2015.
INTERNET WORLD STATS. Relatório de usuários de internet no Brasil. Disponível em: http://www.internetworldstats.com/stats15.htm. Acesso em 13 Jun 2014.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27002:2005. Code of practice for information security management. 2005. ISACA. Glossário. 2015.Disponível em: https://www.isaca.org/Knowledge-
Center/Documents/Glossary/glossary.pdf. Acesso em: 06 Jun 2015.
JOHNSTON, A.C.; HALE, R. Improved Security through Information Security
Governance. Communications of the ACM, vol. 52, n. 1, janeiro de 2009.
Disponivel em:
https://www.researchgate.net/publication/220420549_Improved_Security_through
_Information_Security_Governance. Acesso em: 30 Ago 2015.
KIND, L.; Notas para o trabalho com a técnica de grupos focais. Psicologia em Revista, Belo Horizonte, v. 10, n. 15, p. 124-136, jun. 2004. Disponível em:
http://periodicos.pucminas.br/index.php/psicologiaemrevista/article/view/202/213.
MAY, T. We All Work In Information Security Now. CIO. 2015. Disponível em: http://www.cio.com/article/2886325/security0/we-all-work-in-information-security-
now.html. Acesso em: 30 Mai 2015.
MAY, T. The Time Is Now for Information Governance. But Do You Even
Know What It Is? . CIO. 2014. Disponível em:
http://www.cio.com/article/2375646/data-management/the-time-is-now-for-
information-governance--but-do-you-even-know-what-it-is-.html. Acesso em: 30
Mai 2015.
MANDARINO, R., CANONGIA, C. Livro verde : segurança cibernética no
Brasil / Gabinete de Segurança Institucional, Departamento de Segurança da
Informação e Comunicações. Brasília: GSIPR/SE/DSIC, 2010.XIII Encontro Nacional de Estudos Estratégicos (ENEE), RJ, 2013. Disponível em:
http://dsic.planalto.gov.br/documentos/publicacoes/1_Livro_Verde_SEG_CIBER.p
df . Acesso em: 07 Jun 2015.
MANDARINO, R. Apresentação sobre Segurança da Informação e
Comunicações na APF. XIII Encontro Nacional de Estudos Estratégicos (ENEE),
RJ, 2013. Disponível em: http://pt.slideshare.net/saepr/1mandarino. Acesso em: 07 Jun 2015.
MANOEL, S. da S. Governança de Segurança da Informação: Como criar
oportunidades para o seu negócio. Brasport, 2014.
MENDONÇA, M. do C. S. de, et al. A Percepção Gerencial Sobre O Modelo De
Gestão Da Segurança Da Informação De Uma Empresa Pública De TIC: Perspectiva De Evolução Para Um Modelo De Governança. Universidade
Católica de Brasília, 2007. Disponivel em:
http://www.bdtd.ucb.br/tede/tde_busca/arquivo.php?codArquivo=733. Acesso em:
20 Jun 2015.
MELLADO, D., CRESPO, L.E.S., REBOLLO, O., FERNÁNDEZ-MEDINA, E.
Comparative Analysis of Information Security Governance Frameworks: A Public Sector Approach. Conferência: 11th European Conference on e-
Coverment (ECEG’11), Ljubljani, Slovenia, dias 16 e17 de Junho de 2011, páginas 482 a 490. Disponível em:
http://www.researchgate.net/publication/232252326 . Acesso em: 30 Ago 2015.
MOULTON, R.; COLES, R.S. Applying information security governance. Artigo. Computers & Security Vol 22, No 7. 2003
MORESI, E.A.D.; SILVA, O.C.C. A segurança e as ameaças cibernéticas. XII
Conferência Iberoamericana em sistemas, cibernética e informática. 2013.
Disponível em: http://pt.slideshare.net/moresi/cisic2013-art1-final. Acesso em 06 Jun 2015.
MOZZATO, A.R., Grzybovski, D.; Análise de Conteúdo como Técnica de
Análise de Dados Qualitativos no Campo da Administração: Potencial e Desafios. Universidade de Passo Fundo – FEAC/UPF. RAC, Curitiba, v. 15, n. 4,
páginas 731-747, Jul./Ago. 2011. Disponível em: http://www.anpad.org.br/rac. Acesso em: 02 Abr 2016.
OCDE. Cybersecurity Strategy of the European Union: An Open, Safe and
Secure Cyberspace. 2013. Disponível em:
https://www.sites.oas.org/cyber/Documents/Cyber%20Security%20Strategy%20of %20the%20European%20Union%20An%20Open,%20Safe%20and%20Secure%
20Cyberspace.pdf. Acesso em: 20 Jun 2015.
OECD/IFP Project on “Future Global Shocks”. Report. 2011. Disponível em:
http://www.oecd.org/gov/risk/46889922.pdf> . Acesso em: 07 jun 2014.
PONTE, V. et al. Análise das Metodologias e Técnicas de Pesquisas
Adotadas nos Estudos Brasileiros sobre Balanced Scorecard: Um Estudo dos Artigos Publicados no Período de 1999 a 2006. Disponível em:
http://congressos.anpcont.org.br/congressos-antigos/i/images/epc%20079.pdf.
Acesso em: 12 jul 2015.
POSTHUMUS, S.; VON SOLMS, R. A framework for the governance of
information security. Computers & Security, 23, páginas 638 a 646, 2004.
Disponível em:
http://www.sciencedirect.com/science/article/pii/S0167404804002639. Acesso em:
30 Mai 2015.
PWC. Global State of Information Security Survey 2015. Disponível em: http://www.pwc.com/gx/en/consulting-services/information-security-survey/key-
findings.jhtml. Acesso em 06 jun 2015.
SENCIOLES, S. V. O. Proposta de critérios para avaliação da segurança da
informação de uma organização. 2011. 56 f. Trabalho de Conclusão de Curso
(Especialização) – Universidade Tecnológica Federal do Paraná, Curitiba, 2011. Disponível em: http://repositorio.roca.utfpr.edu.br/jspui/handle/1/420. Acesso em: 13 Jul 2015.
SOLMS, R; VAN NIEKERK, J. From information security to cyber security. Artigo. Computers & Security, 2013, Vol. 38. Disponível em:
http://www.sciencedirect.com/science/article/pii/S0167404813000801. Acesso em:
30 Mai 2015.
SOMMER, P.; BROWN I. Reducing Systemic Cybersecurity Risk. MULTI- DISCIPLINARY ISSUES INTERNATIONAL FUTURES PROGRAMME. Artigo. 2011. Disponível em: http://www.oecd.org/gov/risk/46889922.pdf. Acesso em: 30 Mai 2015.
SILVA, E.; MENEZES, E. Metodologia da pesquisa e elaboração de
http://soniaa.arq.prof.ufsc.br/roteirosmetodologicos/metpesq.pdf. Acesso em: 11 Jul 2015.
SYMANTECH. - 2013 Norton Report. Disponível em:
http://www.symantec.com/content/en/us/about/presskits/b-norton-report-
2013.pt_br.pdf. Acesso em: 07 jun 2014.
TAKAHASHI, T. Sociedade da Informação no Brasil - Livro Verde. MCTI. 2000. Disponível em: http://livros01.livrosgratis.com.br/ci000005.pdf. Acesso em: 31 Mai 2015.
ULA, M.; ISMAIL, Z.B.; SIDEK, Z.M. A Framework for the Governance of
Information Security in Banking System. Artigo. IBIMA Publishing, Journal of
Information Assurance & Cybersecurity, vol. 2011, 2011. Disponível em:
http://www.ibimapublishing.com/journals/JIACS/2011/726196/a726196.html.
Acesso em 30 Ago 2015.
VEIGA, A.; ELOFF, J.H.P. An Information Security Governance Framework.
Information Systems Management, 24:4, 361 – 372. 2007. Disponível em:
http://dx.doi.org/10.1080/10580530701586136. Acesso em 13 jun 2014.
VON SOLMS, R.; VON SOLMS, S.H.B. Information Security Governance: A
model based on the Direct–Control Cycle. Computers & Security, Volume 25,
Issue 6, Págs. 408-412, Set 2006. Disponível em:
http://www.sciencedirect.com/science?_ob=ArticleListURL&_method=list&_Article ListID=-
993282952&_sort=r&_st=4&md5=4bee1a5aa2112897b716bbb9d3201b9b&search
type=a. Acesso em: 30 Mai 2015.
WEBSHOPPERS 2015 - 31ª EDIÇÃO. Relatório de comércio eletrônico no
Brasil. Disponível em:
http://img.ebit.com.br/webshoppers/pdf/31_webshoppers.pdf. Acesso em: 14 Jun
2015.
WILLIAMS, A.P. Information Security Governance. Artigo. Information Security Technical Report, Vol 6, No. 3, páginas 60-70, 2001. Disponível em:
http://www.sciencedirect.com/science/article/pii/S1363412701003090. Acesso em: