Benefícios e factores condicionadores da obtenção de certificação em gestão da segurança de sistemas de informação

Abstract

O reconhecimento do valor e da importância da informação por parte das organizações justifica a aplicação de medidas de protecção desse activo organizacional. Essa aplicação concretiza-se mediante iniciativas de Segurança de Sistemas de Informação. A obtenção de certificações através de normas de Gestão da Segurança de Sistemas de Informação é tida como promotora e evidenciadora dos esforços de protecção do sistema de informação por parte das organizações. Observa-se, no entanto, que o número de organizações certificadas parece não reflectir esse interesse. Embora as normas de Gestão da Segurança de Sistemas de Informação sejam apontadas como instrumentos úteis para as organizações alcançarem níveis de segurança de sistemas de informação mais elevados, constata-se que existem poucos estudos empíricos que se tenham debruçado sobre a aplicação dessas normas. Na tentativa de preencher esta lacuna no conhecimento actual, com este estudo exploratório procurou-se compreender melhor o fenómeno de certificação na área da Gestão da Segurança de Sistemas de Informação realizado pelas organizações. O trabalho consistiu na avaliação de duas experiências concretas de organizações que encetaram processos conducentes à obtenção de certificação via norma ISO/IEC 27001, tendose identificado benefícios e factores que condicionam aquela obtenção, mediante a aplicação do método de investigação de Estudo de Casos. Os dados da investigação foram obtidos através de entrevistas e de recolha de documentos. A identificação de benefícios e de factores condicionadores da obtenção de certificação poderá auxiliar os responsáveis organizacionais a antever condições favoráveis ou desfavoráveis para o desenrolar de um processo de certificação sucedido, actuar com vista a gerirem os factores inibidores da obtenção da certificação, alavancar o processo de certificação em factores facilitadores e ponderar os possíveis benefícios que a organização poderá recolher com a obtenção da certificação na vertente da Gestão da Segurança de Sistemas de Informação.

The acknowledgment of the value and importance of information by organizations justifies the application of protective measures to that organizational asset. This application is materialized through initiatives of Information System Security. Obtaining certifications through Information Systems Security Management standards is understood as a promoter and revealer of the efforts to protect the information systems by organizations. However, the number of certified organizations does not seem to reflect that interest. Albeit the Information Systems Security Management standards are pointed as useful instruments for organizations to achieve higher levels of information systems security, there are few empirical studies that lean on the application of these standards. In an attempt to fill this gap in current knowledge, this exploratory study sought to better understand the phenomenon of certification in the area of Information Systems Security Management conducted by organizations. The work consisted in the evaluation of two specific experiences of organization that have embarked upon and lead to the certification via ISO/IEC 27001, having been identified benefits and factors that influence that attainment, by applying the research method of Case Studies. The data were obtained through interviews and documents collection. The identification of benefits and factors conditioning the obtaining of certification can help practitioners foresee favorable or unfavorable conditions for the conduct of a successful certification process, act in order to manage the factors inhibiting the attainment of certification, leverage the certification process in facilitating factors and weigh the possible benefits that the organization may collect with the achievement of certification in Information Systems Security Management.