Please use this identifier to cite or link to this item: https://repositorio.esg.br/handle/123456789/1304
metadata.dc.type: Dissertação
Title: Monitoramento e avaliação da política nacional de segurança da informação por processo de análise hierárquica
Authors: Santos, Clarice Saraiva Andrade dos
Advisors: Gavião, Luiz Octávio
Course: Programa de Pós-Graduação em Segurança Internacional e Defesa (PPGSID)
Keywords: Segurança cibernética;Segurança da Informação - Brasil;Modelos de maturidade;Normalização
Issue Date: 2020
Publisher: Escola Superior de Guerra (Campus Rio de Janeiro)
Abstract: Recent cybersecurity reports show that Brazil is one of the countries with the highest amount of cybercrime, affecting more than 60 million people and causing losses estimated at more than 20 billion dollars. Increasingly, public and private sector institutions depend on the cyber environment to carry out their activities. Within the scope of the Public Administration, cyber security policies establish the levels of risk tolerance established for each institution. In this context, the National Information Security Policy (PNSI) assigned to the Institutional Security Office of the Presidency of the Republic (GSI/PR) the task of monitoring and evaluating its execution. Explicitly, three articles of Decree No. 9,637, of December 26th, 2018, which instituted this Policy, guided the context of this research. Article 6 invokes the broad participation of society and government agencies and entities in the construction of the process, which includes the academic effort; Article 12 determined GSI/PR to establish criteria to monitor and evaluate the implementation of this Policy; Article 17 assigns it the task of monitoring performance and evaluating the design, implementation and results of that execution. In order to contribute to this context, filling this gap between the text of the Policy and its implementation, this study analyzed different reference models, whose structure best suited the needs of the institutions evaluated and a quantitative method capable of objectively indicating the weight of all model variables. For this, it was necessary to review the literature in search of the main mechanisms for the management and evaluation of information security, to improve the level of maturity of the public sector in cybersecurity governance. The maturity model chosen was the CSF-NIST and the selected method was the Analytic Hierarchy Process (AHP), for weighting the criteria and sub-criteria. Two case studies were explored to illustrate the application of the selected model and method, indicating the “how” to implement them, considering the specificities of each institution evaluated.
Description: Relatórios recentes de segurança cibernética mostram que o Brasil é um dos países com a maior quantidade de crimes cibernéticos, afetando mais de 60 milhões de pessoas e causando prejuízos estimados em mais de 20 bilhões de dólares. Cada vez mais as instituições do setor público e privado dependem do ambiente cibernético para desempenhar suas atividades. No âmbito da Administração Pública Federal, políticas de segurança cibernética estabelecem os níveis de tolerância ao risco estabelecidos para cada instituição. Nesse contexto, a Política Nacional de Segurança da Informação (PNSI) atribuiu ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR) a tarefa de monitorar e avaliar a sua execução. De maneira explícita, três artigos do Decreto No 9.637, de 26 de dezembro de 2018, que instituiu essa Política, nortearam o contexto desta pesquisa. O Artigo 6º invoca a ampla participação da sociedade e dos órgãos e das entidades do Poder Público na construção do processo, o que inclui o esforço acadêmico; o Artigo 12º determinou ao GSI/PR a tarefa de estabelecer critérios para monitorar e avaliar a execução dessa Política; o Artigo 17º lhe atribui a tarefa de monitorar o desempenho e avaliar a concepção, a implementação e os resultados dessa execução. A fim de contribuir com esse contexto, preenchendo essa lacuna entre o texto da Política e a sua execução, este estudo analisou diferentes modelos de referência, cuja estrutura melhor se ajustasse à necessidade das instituições avaliadas e um método quantitativo capaz de indicar objetivamente o peso das diversas variáveis do modelo. Para tal, foi necessária uma revisão da literatura em busca dos principais mecanismos de gestão e avaliação da segurança da informação, para aprimorar o nível de maturidade do setor público na governança da segurança cibernética. O modelo de maturidade escolhido foi o CSF-NIST e o método selecionado foi o Processo de Análise Hierárquica (AHP), para a ponderação dos critérios e subcritérios. Dois estudos de caso foram explorados para ilustrar a aplicação do modelo e do método selecionados, indicando o “como” implementá-los, considerando as especificidades de cada instituição avaliada.
URI: https://repositorio.esg.br/handle/123456789/1304
Appears in Collections:Coleção de Dissertações (Segurança Cibernética)

Files in This Item:
File Description SizeFormat 
Dissertacao CLARICE [30 out 2020] rev2.pdf4.07 MBAdobe PDFThumbnail
View/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.