Uma contribuição para a segurança da informação: um estudo de casos múltiplos com organizações brasileiras

RESUMO A política de segurança da informação figura dentre os fatores críticos para o sucesso da proteção da informação, devendo declarar controles adequados. A literatura acadêmica sobre este tema é reduzida e os gestores se deparam com dificuldades em selecionar controles para a política de uma organização. Este trabalho tem como objetivo compreender os controles citados nas políticas de segurança da informação das organizações visando identificar a existência de controles recorrentes para subsidiar a tomada de decisão pelo gestor da informação, acerca da definição dos controles comuns que devem ser considerados na elaboração da política. Como metodologia, utiliza uma abordagem qualitativa, com objetivo descritivo por meio de pesquisa bibliográfica, estudo de casos múltiplos e análise de documentos primários com análise de conteúdo e síntese de casos cruzados. A coleta de dados foi realizada com base em uma amostragem não probabilística com dez organizações brasileiras distintas, com políticas de segurança da informação maduras. Como resultados foram identificados 40 controles citados de forma recorrente em políticas, os quais também foram associados à principal referência da literatura da área, descritos e agrupados em quatro extratos de frequência: 12 controles citados por 100% das políticas, 15 por 90%, 16 por 80% e 40 por 70%