Segurança da Informação

O objetivo desta obra é apresentar um método de mensuração dos níveis de maturidade dos controles de segurança da informação (SI), utilizados nas empresas, com um conjunto de controles e avaliação dos riscos, sugeridos por um código de prática na gestão da SI. As empresas participantes responderam a um questionário, contendo dimensões de controles da SI e gestão de riscos. Os controles utilizados nas organizações foram submetidos a uma avaliação a partir da análise da vulnerabilidade, ameaças e impacto com base em critérios definidos. Estes critérios associados a uma escala de qualificação e valores permitem calcular e classificar o nível do risco, os valores encontrados foram comparados a uma tabela de qualificação do nível do risco, determinando o nível de maturidade do controle a partir da escala de maturidade de um framework. Por fim calculou-se a média geral do grupo de controles do código de prática para a gestão da SI. O método apresentou um resultado satisfatório e mostrou que alguns desses itens de controle não atingiam o nível de conformidade esperado pelas organizações, evidenciando a necessidade de se corrigir e melhorar a aplicação dos controles avaliados e revisar o plano de continuidade do negócio. O diferencial do método está na praticidade da aplicação, com padrões quantitativos e qualitativos, simples e específicos, mas sem deixar de ser estratégico, atendendo aos objetivos.