Trabalho
ESCOPO DA GOVERNANÇA ORGANIZACIONAL
Mauro Cesar Bernardes
Instituto de Ciências Matemáticas e de Computação - ICMC
Universidade de São Paulo
13560-970 São Carlos - SP mcesar@usp.br Edson dos Santos Moreira
Instituto de Ciências Matemáticas e de Computação - ICMC
Universidade de São Paulo
13560-970 São Carlos - SP edson@icmc.usp.br RESUMO
Este artigo descreve um modelo que permite ao conselho administrativo de uma organização a incorporação da
Governança da Segurança da Informação como parte do seu processo de Governança Organizacional. A partir da utilização desse modelo, pretende-se que o conhecimento sobre os riscos relacionados à infra-estrutura de TIC seja apresentado de forma objetiva no momento da definição do planejamento estratégico. Esse modelo é baseado na estrutura de tomada de decisão utilizada pelos Sistemas de Informações Gerenciais. Uma nova dimensão é apresentada para contemplar: controles (o que), processos (como), pessoas (quem) e tecnologia (ferramentas automatizadas). O modelos COBIT e a norma ISO 17799 foram utilizadas para definição dos objetivos de controle a serem implementados e o modelo ITIL foi utilizado para definir os processos responsáveis pela implementação.
ABSTRACT
This paper describes the development of a model thought to help the administration board of institutions to consider
Information Security Governance as part of their global governance structure. The idea is to provide the proper knowledge about the risks posed by the ICT infra-structure in a pragmatic way, allowing for an efficient strategic planning. The model is based on common, proven, decision making strategies used on Information Management
Systems. A new dimension is added to those traditional IMS in order to accomplish: control (what), processes (how), people (who) and technology (automated tools). Through a study of some models of management and governance of
ICT,