AVALIAÇÃO DE PROCESSOS DE SEGURANÇA DA INFORMAÇÃO INTEGRANDO AS ÁREAS DE CONTROLADORIA E TECNOLOGIA DA INFORMAÇÃO
Mots-clés :
Controladoria, Tecnologia da Informação, Segurança da Informação, Gestão da Informação.Résumé
A Controladoria é responsável por informações que apoiam o processo de tomada de decisão nas organizações e devido a isso necessita participar dos processos de segurança da informação. Por isto, esta pesquisa avaliou de maneira aplicada os processos de segurança da informação integrando as áreas de Controladoria e de TI. Metodologicamente o trabalho se caracterizou como uma pesquisa descritiva em um processo quali-quanti, considerando a percepção de respondentes em 30 questões relacionadas ao problema proposto. Foi aplicado um questionário complementar com base na norma ISO/IEC 27002 inferindo explicação causal de integração de áreas, bem como definição de categorias de diferentes profissionais quando tratam a segurança da informação. Desenvolveu-se um estudo de caso aplicado com instrumentos de coleta de dados relacionados a questionários e entrevistas, identificando na análise de conteúdo os processos críticos de negócio e riscos associados ao ambiente da informação. Assim, foi possível aprimorar os processos operacionais dessas duas áreas, diminuindo riscos operacionais, através de ações conjuntas de participação de usuários, criação de equipes, maior padronização, alinhamento da comunicação, maior controle na alteração de sistemas, aprimoramento de políticas e normas de segurança da informação, uso de ferramenta de business intelligence, treinamentos, integração de informações, foco nos processos essenciais. Dessa maneira se atendeu ao objetivo de avaliar processos de segurança da informação integrando as áreas de Controladoria e de TI.
Téléchargements
Références
ARAÚJO, W.J. A segurança do conhecimento nas práticas da gestão da segurança da informação e da gestão do conhecimento. Tese (Doutorado em Ciência da Informação). UNB, Brasília, DF, 2009.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNINCAS (ABNT). Norma brasileira ISO/IEC 27002, 2007. Rio de Janeiro: ABNT, 2007.
ATKINSON, A. A., BANKER, R. D., KAPLAN, R. S., YOUNG, S. M. Contabilidade gerencial. 3. ed., São Paulo: Atlas, 2008.
BORINELLI, M.L. Estrutura Conceitual básica de controladoria: sistematização à luz da teoria e da práxis. Tese (Doutorado em Controladoria e Contabilidade). USP, São Paulo, SP, 2006.
BULGURCU, B.; CAVUSOGLU, H.; BENBASAT, I. Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly Executive, v. 34, n. 3 Set. 2010. ISSN 1540-1960.
CARMEN, A.A.; CORINA, G. A strategic approach of management accounting. Annals of the University of Oradea, Economic Science Series, v. 18 n. 3, p. 736-741, 2009. ISSN: 1582-5440.
COLLINS, J.; HUSSEY, R. Pesquisa em administração. 2° ed. Porto Alegre: Bookman, 2005.
COMITE DE PRONUNCIAMENTOS CONTÁBEIS (CPC). Pronunciamento conceitual básico – Estrutura conceitual para a elaboração e apresentação das demonstrações contábeis, 2008. Disponível em: <http://www.cpc.org.br>. Acesso em: 26 nov. 2010.
ELOFF, J.; ELOFF, M. Information security management – A new paradigm. In: 2003 annual research conference of the South African. Institute of computer scientists and information technologists on enablement through technology, 2003, p.130-136. Proceedings…, 2003. DOI: 10.1145/180921.2180933. ISBN:1-58113-774-5.
ITGI: Information Technology Governance Institute. CobiT 4.1 modelo, objetivos de controle, diretrizes de gerenciamento e modelos de maturidade, 2007. Disponível em: <http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf>. Acesso em: 28 fev. 2011.
ISO/IEC27002. Tecnologia da Informação – Código de prática para a gestão da segurança da informação. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2007.
KAYWORTH, T.; WHITTEN, D. Effective information security requires a balance of social and technology factors. MIS Quarterly Executive, v. 9, Set.2010. ISSN 1540-1960.
LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. 7. ed. São Paulo: Pearson, 2007.
MARTIN, N.C.; SANTOS, L.R.; DIAS, J.M. Governança empresarial, riscos e controles internos: A emergência de um novo modelo de controladoria. Revista Contabilidade e Finanças, n. 34, p. 7, jan./abr. 2004. ISSN: 1808-057X. http://dx.doi.org/10.1590/S1519-70772004000100001
MITHAS, S.; RAMASUBBU, N.; SAMBAMURTHY, V. How information management capability influences firm performance. MIS Quarterly Executive, v. 35, n. 1, Mar. 2011. ISSN 1540-1960.
O’BRIEN, J. A.; MARAKAS, G. M. Administração de Sistemas de Informação: uma introdução. São Paulo, SP: McGraw-Hill, 2007.
SAATY, The Analytical Hierarchy Process: Planning, Priority Setting, Resource Allocation. Mc Graw-Hill, New York, 1980.
SCHNEIDER, L.C. Avaliação de processos de segurança da informação na integração das áreas de controladoria e de tecnologia da informação, 2012. Disponível em: <http://biblioteca.asav.org.br/vinculos/000000/0000006F.pdf>. CDU 005.922.1.
SPEARS, J.L.; BARKI, H. User participation information systems security risk management. MIS Quarterly Executive, v. 34, n. 3 Set. 2010. ISSN 1540-1960.
YIN, R. K. Estudo de caso – Planejamento e métodos. 4ª ed. Porto Alegre: Bookman, 2010.
YOUNG, R. F.; WINDSOR J. Empirical evaluation of information security planning and integration. Communications of the Association for Information Systems, v. 26, Mar. 2010. ISSN: 1529-3181.
VANTI, A. A.; COBO, A.; ROCHA, R. Avaliação de modelo de governança de TI com o uso de FAHP. In: CONTECSI, São Paulo, 2011. Anais…, USP, 2011.
WILKIN, C.; CHENHALL, T.; A review of IT Governance: A Taxonomy to inform Accounting Information Systems. Journal of Information Systems. v. 24, n. 2, p.107-146, 2010. DOI: 10.2308/isys-50922.
Téléchargements
Publié-e
Comment citer
Numéro
Rubrique
Licence
Os direitos autorais para artigos publicados nesta revista são do autor, com direitos de primeira publicação para a revista. Em virtude de aparecerem nesta revista de acesso público, os artigos são de uso gratuito, com atribuições próprias, em aplicações educacionais e não-comerciais. A revista permitirá o uso dos trabalhos publicados para fins não-comerciais, incluindo direito de enviar o trabalho para bases de dados de acesso público. Os artigos publicados são de total e exclusiva responsabilidade dos autores.
• O(s) autor(es) autoriza(m) a publicação do artigo na revista;
• O(s) autor(es) garante(m) que a contribuição é original e inédita e que não está em processo de avaliação em outra(s) revista(s);
• A revista não se responsabiliza pelas opiniões, ideias e conceitos emitidos nos textos, por serem de inteira responsabilidade de seu(s) autor(es);
• É reservado aos editores o direito de proceder ajustes textuais e de adequação do artigo às normas da publicação;
• O(s) autor(es) declaram que o artigo não possui conflitos de interesse.