Dissertação

{pt_PT=O CISO nas Organizações: Análise do impacto do enquadramento organizacional do CISO na Maturidade da Segurança de Informação} {} EVALUATED

{pt=A informação constitui, nos dias de hoje, um dos ativos mais importantes das organizações, elevando a segurança de informação para um nível estratégico e até mesmo de sobrevivência. Maior parte das organizações possui sistemas de informação e nas suas estruturas organizacionais têm definida a função de Diretor de Segurança de Informação (Chief Information Security Officer – CISO), embora em muitos casos sem essa designação específica. A questão que tem sido, de certo modo, problemática é o enquadramento do CISO nessas estruturas, relativamente à sua subordinação e seu envolvimento na tomada de decisões estratégicas das organizações, relativas à segurança de informação. Este trabalho propõe um modelo de avaliação, através de uma pesquisa quantitativa e qualitativa, da relação entre o enquadramento do CISO na estrutura organizacional e o nível de maturidade da segurança de informação de uma organização. Para o efeito, foram realizadas entrevistas a vinte e cinco (25) organizações portuguesas públicas e privadas, com base num modelo de maturidade de segurança de informação e no gráfico RACI (Responsible, Accountable Consulted and Informed) de alto nível do papel do CISO definido pelo COBIT 5, cujos dados são analisados estatisticamente, através de matrizes de correlação e gráficos de dispersão. Desta amostra verificou-se que, com um grau de confiança de 95% e uma margem de erro de 0,326, a relação entre o nível de maturidade da segurança de informação e o envolvimento do CISO nos processos e práticas da segurança de informação tem um coeficiente de correlação de 0,800282997. , en=In today’s world Information is one of the most important assets for any organization, and securing information has become strategic and even critical to the survival of the organization. Most organizations have information systems and organizational structures that typically include the role of Chief Information Security Officer (CISO), although not necessarily under this specific title. One issue that has been to some extent problematic is how to incorporate CISOs into these organizational structures in terms of chain of command and involvement in strategic business decisions on information security. This paper proposes a model using a quantitative and qualitative research to evaluate the relationship between a CISO's place within the organizational structure and an organization's current level of information security maturity. Interviews were conducted with twenty-five Portuguese public and private organizations based on an information security maturity model and the high-level RACI (Responsible, Accountable, Consulted and Informed) chart of the CISO´s role, outlined in COBIT 5. The resulting data was statistically analysed using correlation matrices and scatter plots. From this sample, a correlation was established between the level of information security maturity and CISO involvement in information security processes and practices, with a correlation coefficient of 0.800282997, at a confidence level of 95% and with a margin of error of 0.326. }
{pt=CISO, Maturidade da Segurança de Informação, Estrutura Organizacional, COBIT 5, en=CISO, Information Security Maturity, Organizational Structure, COBIT 5}

Janeiro 23, 2017, 13:30

Publicação

Obra sujeita a Direitos de Autor

Orientação

ORIENTADOR

André Ferreira Ferrão Couto e Vasconcelos

Departamento de Engenharia Informática (DEI)

Professor Auxiliar