Gestão de riscos em tecnologia da informação como fator crítico de sucesso na gestão da segurança da informação dos órgãos da administração pública federal : estudo de caso da Empresa Brasileira de Correios e Telégrafos - ECT

Abstract

Este estudo visa investigar o contexto da segurança da informação e da gestão de riscos no ambiente da Empresa Brasileira de Correios e Telégrafos (ECT). Parte-se do pressuposto de que a ECT, ambiente empírico da pesquisa, assim como a maioria dos órgãos da Administração Pública Federal, não tem conhecimento suficiente sobre Gestão de Riscos para implementar uma Gestão de Segurança da Informação eficiente e eficaz. A empresa carece de uma orientação específica sobre "o que fazer" e "como fazer" acerca da implementação de uma Gestão de Riscos em Tecnologia da Informação que fomente a Gestão de Segurança de suas informações. O estado pouco desenvolvido em que se encontra os órgãos da Administração Pública Federal, tanto em nível de conhecimento quanto no tocante às implementações de sua Gestão de Riscos em Tecnologia da Informação, faz com que as orientações governamentais tenham que ser baseadas na mera aplicação das melhores práticas de Segurança da Informação adotadas nacional e internacionalmente. A pesquisa de caráter qualitativo e exploratório, envolvendo pesquisa bibliográfica, pesquisa documental e estudo de caso no ambiente da ECT, tem por objetivo verificar ações que tornam mais eficiente o processo de Gestão de Segurança da Informação, no âmbito da Administração Pública Federal (APF), a partir da Gestão de Riscos em Tecnologia da Informação, considerando a política, o comportamento e a cultura informacional. _________________________________________________________________________________________ ABSTRACT

Studies aimed at investigating the context of information security and of risk management in the environment of the Brazilian Agency for Post and Telegraphs (ECT). It has been assumed that the ECT, empirical environment of this research, and most organizations of the Federal Public Administration, is not aware enough about Risk Management to implement an Information Security Management efficiently and effectively. The company lacks of the one specific guidance about "what to do" and "how to do" for the implementation of Risk Management in Information Technology to promote the Security Management of your informations. The inceptive state where the organizations of the Federal Public Administration, both at the level of knowledge as regards the implementation of Risk Management in Information Technology, makes the government guidelines have to be based on application best practices of Information Security adopted nationally and internationally. The research qualitative and exploratory in nature, involving literature research, documentary research and case study in the ECT's environment aims to verify actions that make more efficient the process of Information Security Management within the Federal Public Administration (APF) from the Risk Management in Information Technology, considering the policy, behavior and culture information.