Método de planeamento de segurança da informação para organizações militares em ambiente de guerra de informação

Abstract

A investigação realizada responde à questão: - Como garantir a confidencialidade, a integridade e a disponibilidade da informação de uma organização militar, inserida num ambiente de Guerra de Informação, de forma a minimizar o risco de segurança da informação? A resposta a esta questão, que é o foco da investigação e cujo nível de análise é a organização militar, segue predominantemente uma abordagem de investigação de orientação epistemológica interpretativista, qualitativa e indutiva, que utiliza como métodos de investigação, a Análise de Conteúdo, o Focus Group e o Estudo de Caso. Apoia-se simultaneamente num quadro conceptual de referência desenvolvido para o estudo e em disciplinas académicas de foco tecnológico, (Segurança de Redes de Computadores, Segurança no Software). A tese apresentada é de Design Science, em que se obtém um método de planeamento de segurança da informação para apoio aos decisores militares do Exército Português. Este interliga um modelo de métodos de ataque à informação, uma framework de categorias de controlos de segurança da informação e uma matriz de apoio à decisão que permite planear a seleção dos controlos de segurança da informação a implementar na organização. O método proposto permite efetuar a gestão das lições aprendidas com os incidentes de segurança da informação. Considera-se neste estudo que a segurança da informação se consegue através de um processo de gestão onde exista uma integração de dimensões de segurança e onde é fundamental ter em consideração, para as organizações militares, a Cadeia de Comando e o princípio da Unidade de Comando.

The research answer the following question: how to ensure the confidentiality, integrity and availability of information of a military organization that is part of an Information Warfare Environment, in order to minimize the risk of information security? The answer to this question, which is the focus of this research and its level of analysis, is the military organization. The author follows a predominately interpretive, qualitative and inductive research approach of epistemological orientation. The following research methods are used: Content Analysis, the Focus Groups and the Case Study. The author relies on both a conceptual framework developed for the study and in academic disciplines of technological focus (Network Security Computer Safety Software). The presented thesis is of Design Science, where a method of planning of information security support is obtained, to aid military decision-makers of the Portuguese Army. This interconnects a model of attack method to information, a framework of categories of information security controls, and a matrix of support for the decision that allows one to plan the selection of controls of information security to implement in the organization. The proposed method allows one to manage the lessons learned from the incidents of information security. It is considered in this study that information security is achieved through a management process where there exists an integration of security dimensions, and where it is fundamental for military organizations to regard: the Chain of Command and the Unity of Command principle.