So Paulo, 6 8 de outubro de 2015

X WORKSHOP DE PS-GRADUAO E PESQUISA DO CENTRO PAULA SOUZA -

ISSN: 2175-1897

Sistemas Produtivos e Desenvolvimento Profissional: Desafios e Perspectivas

Gesto de riscos de segurana da informao e sua

apresentao na governana de TI da administrao pblica

JACKSON GOMES SOARES SOUZA

Centro Paula Souza So Paulo Brasil
jackson.gomes@gmail.com

RODRIGO FIGUEREDO DE ALMEIDA

Centro Paula Souza So Paulo Brasil
rodrigof.almeida@gmail.com

LEONARDO KUSSAMA
Centro Paula Souza So Paulo Brasil
2007leok@gmail.com

CARLOS HIDEO ARIMA

Centro Paula Souza So Paulo Brasil
charima@uol.com.br

NAPOLEO VERARDI GALEGALE

Centro Paula Souza So Paulo Brasil
nvg@galegale.com.br

Resumo Devido dificuldade encontrada por algumas organizaes vinculadas

ao setor pblico em avaliar os riscos inerentes s suas atividades, especialmente
no que tange segurana de seus ativos de informao e as possveis
vulnerabilidades da TI, este estudo apresenta uma reviso bibliogrfica que fornece
subsdios e proporciona uma viso concisa de como futuras pesquisas podero
mensurar, por meio de indicadores, o grau de comprometimento destas instituies
com a Governana de TI e com a Gesto de Risco de Segurana da Informao.

Palavras-chave: Governana Corporativa, Governana de TI, Risco, Segurana

da Informao.

Abstract Considering the challenges experienced by some public institutions on

evaluating the risks concerning their activities, especially regarding the security of
their information assets and potential IT vulnerabilities, this issue presents a
literature review that provides a concise view of how future research could measure,
through indicators, the commitment level of these institutions with IT Governance as
well as Information Security Risk Management.

Keywords: Corporate Governance, IT Governance, Risk, Information Security.

753
 So Paulo, 6 8 de outubro de 2015
X WORKSHOP DE PS-GRADUAO E PESQUISA DO CENTRO PAULA SOUZA -
ISSN: 2175-1897

1. Introduo

A informao um recurso necessrio para o desenvolvimento do ciclo de

negcios das organizaes, desde sua criao, at o momento em que destruda.
A Tecnologia da Informao (TI) desempenha um papel significativo neste
processo, estando cada vez mais avanada e difundindo-se nas organizaes, nos
ambientes sociais, pblicos e corporativos devendo, portanto, ser tratada como um
ativo estratgico. (ISACA, 2012).
A governana corporativa integra componentes de forma holstica ao
envolver princpios, processos, informao, servios, infraestrutura, recursos
humanos e stakeholders internos e externos responsveis pela gesto destes
componentes, proporcionando a estrutura pela qual os objetivos da organizao
so estabelecidos, assim como determinando e monitorando os meios para
alcana-los (OECD, 2004).
Uma boa governana corporativa permite que as organizaes trabalhem
com eficincia e de forma produtiva, garantindo a transparncia da
responsabilidade gerencial tanto em organizaes privadas com no setor pblico
(AKABANE, 2012).
Para o Instituto de Governana de TI ITGI, a Governana de TI um
componente da governana corporativa, sendo de responsabilidade dos executivos
e da alta direo, consistindo em aspectos de liderana, estrutura organizacional e
processos que asseguram que a rea de TI da organizao suporte e aprimore os
objetivos e as estratgias da organizao, habilitando-a a obter todas as vantagens
de sua informao, maximizando os benefcios, oportunidades e capacidade
competitiva (ITGI, 2007).
Ainda segundo o ITGI, organizaes bem-sucedidas reconhecem os
benefcios da tecnologia da informao ao utiliz-la para direcionar os valores das
partes interessadas e gerenciar os riscos associados, tais como as crescentes
demandas regulatrias e a dependncia crtica de muitos processos de negcio da
TI.
A mensurao da performance essencial para a governana de TI, e
identificar os processos e controles crticos relacionados mesma so
fundamentais para que os executivos possam elevar esses processos ao nvel de
capacidade desejado. A Gesto de Risco uma das reas de foco que contribuem
para que haja transparncia dos custos, do valor e dos riscos de TI conforme o
modelo de Objetivos de Controle para Informao e Tecnologias Relacionadas
(COBIT) 4.1.
O processo de governana de TI envolve, deste modo, a gesto de riscos e
esta, por sua vez, trata dos riscos relacionados segurana da informao. A
identificao e mensurao destes riscos de grande interesse por parte dos
gestores e demais envolvidos no processo de gesto de riscos de segurana da
informao por proporcionar maior controle quanto s incertezas e o impacto destas
no objetivo do negcio.
Portanto, este estudo se justifica pela dificuldade encontrada por algumas
organizaes em avaliar os riscos e oportunidades inerentes s suas atividades,
especialmente no que tange segurana de seus ativos de informao e a TI,
buscando responder ao seguinte questionamento: Como verificar a forma pela qual
a Gesto de Risco de Segurana da Informao pode ser apresentada na
governana de TI em Instituies Pblicas?

754
 So Paulo, 6 8 de outubro de 2015
X WORKSHOP DE PS-GRADUAO E PESQUISA DO CENTRO PAULA SOUZA -
ISSN: 2175-1897

2. Referencial Terico

2.1 Contextualizao sobre Governana Corporativa

Governana uma palavra que traz consigo a conotao de sabedoria e

responsabilidade; de o que apropriado. Pode ser definida como o sistema pelo
qual as empresas so dirigidas e controladas (CADBURY, 1992) e tem como
significado tanto a ao ou o mtodo de governar, sendo este ltimo o mais utilizado
como referncia pelas empresas.
Artero (2007) afirma que, dentre as possveis definies para governana,
as que demonstram particular relevncia so as de controlar, direcionar e regular;
a maneira como algo administrado, gerenciamento e o sistema de regulao.
Destaca ainda que a definio do termo corporao inclui um corpo de pessoas
unidas, autorizados legalmente a agir como um nico indivduo, criados e regidos
por certos direitos e deveres.
Para o Instituto Brasileiro de Governana Corporativa IBGC, governana
corporativa o sistema pelo qual as organizaes so dirigidas, monitoradas e
incentivadas, envolvendo os relacionamentos entre proprietrios, conselho de
administrao, diretoria e rgos de controle (IBGC, 2015). As boas prticas de
governana corporativa convertem princpios em recomendaes objetivas,
alinhando interesses com a finalidade de preservar e otimizar o valor da
organizao, facilitando seu acesso ao capital e contribuindo para a sua
longevidade.
O ITGI (2003) destaca que so os valores das partes interessadas que
impulsionam o empreendimento, de modo que a definio da estratgia, o
desempenho, os recursos e a gesto de riscos so ncleos de responsabilidade da
governana corporativa, englobando assim as relaes entre a administrao da
entidade e seu corpo diretivo, seus proprietrios e demais partes interessadas,
fornecendo a estrutura pela qual:
Os objetivos globais da entidade so definidos.
O mtodo para se atingir esses objetivos determinado.
A maneira como o desempenho ser mensurado.
Os recursos sero utilizados de forma responsvel.
Os riscos sero adequadamente gerenciados.

A governana corporativa um processo metdico de avaliao e moldada

para os sistemas de deciso (ALEXANDER, 2000; BRIS et al., 2008) e, apesar de
no haver um modelo nico, possvel identificar elementos em comum que
delimitam as boas prticas de governana corporativa (OECD, 2004).
A governana pode ser aplicada a diversas reas da empresa e a direo da
organizao geralmente possui como foco a eficincia, reduo de custos e
ampliao da a receita e capacidades, os quais esto interligados com a
informaes e a Tecnologia da Informao (TI), sendo vital considerar a TI como
um importante ativo (HARDY, 2006).
Segundo o IBGC (2015), a governana corporativa surgiu para superar o
"conflito de agncia" clssico. Nesta situao, o proprietrio (acionista) delega a um
agente especializado (administrador) o poder de deciso sobre a empresa (nos
termos da lei), situao em que podem surgir divergncias no entendimento de
cada um dos grupos daquilo que consideram ser o melhor para a empresa e que
as prticas de governana corporativa buscam superar. Este tipo de conflito mais

755
 So Paulo, 6 8 de outubro de 2015
X WORKSHOP DE PS-GRADUAO E PESQUISA DO CENTRO PAULA SOUZA -
ISSN: 2175-1897

comum em sociedades como os Estados Unidos e Inglaterra, onde a propriedade

das companhias mais pulverizada.
De forma a integrar os principais ativos ou recursos de governana
corporativa e governana de TI, Weill e Ross (2007) propem o modelo que
contempla as relaes da diretoria com a equipe de executivos snior como
agentes articuladores de estratgias, atuando para execut-las conforme a
necessidade da diretoria.
Portanto, possvel concluir que a Governana Corporativa primeiramente
de responsabilidade da alta direo ao criar valor por meio de seus principais ativos,
consistindo em aspectos de liderana e atuao estratgica, onde os mecanismos
de governana criados pelos executivos integram a estrutura organizacional de
forma independente ou interligada buscando garantir que as diversas reas, assim
como a de TI, suporte e aprimore os objetivos da organizao.

2.2 Governana de Tecnologia da Informao e o Setor Pblico

Cada vez mais a Tecnologia da Informao (TI) vista como um importante

ativo das empresas, sejam pblicas ou privadas, agindo como uma fora motriz que
prov solues cada vez mais complexas, de modo que sua governana um fator
crtico de sucesso (HARDY, 2006).
Como consequncia, as organizaes e seus executivos se esforam para
manter informaes de alta qualidade que iro apoiar decises corporativas de
modo a agregar valor ao negcio a partir dos investimentos em TI, atingindo
objetivos estratgicos pela utilizao eficiente de TI (ISACA, 2012).
Visando aprimorar o foco neste sentido, integrantes do Comit Tcnico de
Tecnologia da Informao desenvolveram um guia de governana para
gerenciamento de processos e decises relativas informao e servios de
comunicao utilizados pelas organizaes, de modo que estes processos
pudessem ser controlados por especialistas de TI: a norma ISO/IEC 38500/2008.
Baseando-se na norma supracitada, a Associao Brasileira de Normas
Tcnicas (ABNT) elaborou a NBR ISO/IEC 38500/2009, cujo objetivo fornecer
uma estrutura de princpios que possam ser utilizados pelos dirigentes na
avaliao, tomada de deciso, gerenciamento e monitoramento do uso da Tl em
suas organizaes.
Os princpios elencados pela norma so:
Responsabilidade: Os indivduos e grupos da organizao
compreendem suas responsabilidades e atuam respeitando a
demanda de TI.
Estratgia: A estratgia de negcio considera as capacidades atuais
e futuras de TI
Aquisio: As aquisies de TI possuem razes vlidas embasadas
em anlises transparentes, contnuas e apropriadas.
Desempenho: A TI se adequa e apoia a organizao fornecendo
servios baseados em nveis e com qualidade.
Conformidade: A TI cumpre com toda a legislao e regulamentos
obrigatrios, possuindo polticas e prticas claramente definidas,
implementadas e fiscalizadas.
Comportamento humano: As polticas, prticas e decises de TI
demonstram respeito pelo comportamento humano, incluindo as
necessidades atuais e futuras das pessoas.

756
 So Paulo, 6 8 de outubro de 2015
X WORKSHOP DE PS-GRADUAO E PESQUISA DO CENTRO PAULA SOUZA -
ISSN: 2175-1897

Juiz e Toomey (2015) destacam em seus estudos que agregar valor envolve
planejamento, liderana, controle e corroboram com a abordagem destes princpios
de modo a orientar a governana de TI e apoiar lderes no planejamento,
construo e execuo das capacidades de TI. Baseando-se na norma ISO/IEC
38500, apresentam um modelo conceitual de governana de TI que contempla as
atividades de governana, gerenciamento e objetivo do negcio para a utilizao
efetiva de TI pela perspectiva dos diretores.
A TI se tornou, portanto, uma espcie de habilitador estratgico de negcio,
sendo interessante que organizaes ampliem ainda mais sua abrangncia de
modo a agilizar o alinhamento dos objetivos do negcio e aprimorar produtos e
servios (LUNARDI et al. 2014).
Segundo Raghupathi (2007), a governana de TI reflete na liderana, nas
estruturas organizacionais e nos processos, certificando-se de que a TI apoie e
amplie as estratgias e objetivos organizacionais e, Lunardi et al. (2012) aponta
para o fato de que algumas empresas que podem melhorar seu desempenho por
meio da governana de TI. Seus estudos permitiram concluir que o desempenho
organizacional de um grupo de empresas que havia adotado mecanismos formais
de governana de TI melhorou significativamente quando comparado ao grupo que
no adotava tais mecanismos, os quais vm sendo essencialmente adotados por
empresas para aumentar sua eficincia, reduzir custos e aprimorar a utilizao da
infraestrutura de TI.
Em diversos pases, mais de um tero da economia consiste em
organizaes governamentais incluindo educao, sade e servios que, de forma
similar s organizaes com fins lucrativos, utilizam servios e infraestrutura de TI
adquiridos por meio de seus recursos. Porm, o desempenho da governana
nestas organizaes geralmente baixo e, uma governana de TI efetiva deve
abordar os seguintes questionamentos: Quais decises devem ser tomadas?
Quem deveria tomar estas decises? Como tomadas e monitorar essas decises?
(WEILL, 2004).
Weill e Woodham (2002) reiteram que a governana de TI no pode ser
considerada de forma isolada, pois relaciona a governana de outros ativos da
empresa que, por sua vez, esto interligados governana corporativa, destacando
as 5 (cinco) principais decises a serem tomadas pela governana de TI: Princpios
de TI, Arquitetura de TI, Infraestrutura de TI, Aplicaes de TI e Priorizao de
investimentos em TI.
No setor pblico, o conceito de valor possui como caracterstica a sua
extrema amplitude e, segundo Weill e Ross (2004), as complexidades a serem
mensuradas podem abordar performance, transparncia, investimento em
infraestrutura, liberdade de atuao, reduo de custos e outros. As habilidades, o
conceito de valor e o ambiente no qual atuam estas organizaes cria desafios para
a governana de TI e, buscando alinhar estes fatores, os autores adaptaram um
modelo de criao de valor voltado a gerentes de organizaes pblicas.
Thompson et al. (2013) afirmam ainda que papel dos gestores alinhar os
investimentos de TI com a estratgia da organizao, buscando minimizar custos
de tecnologia, assegurando que a infraestrutura de TI possa acomodar e se
adequar utilizao crescente de novas aplicaes.
Desta forma, para manter a organizao alinhada ao seu negcio estratgico
no setor pblico, os diretores, gerentes executivos e gestores devem entender
como atuar em relao governana de TI, dando a esta o mesmo nvel de ateno
desprendido aos demais ativos da organizao.

757
 So Paulo, 6 8 de outubro de 2015
X WORKSHOP DE PS-GRADUAO E PESQUISA DO CENTRO PAULA SOUZA -
ISSN: 2175-1897

2.3 Reviso Bibliogrfica

O risco inerente a toda atividade humana. A capacidade de definir o que

acontecer no futuro e optar entre vrias alternativas central s sociedades
contemporneas. A administrao do risco nos guia por uma ampla gama de
tomada de decises, sendo necessria ateno s possveis falhas ou erros e isto
inclui a informao e a complexa tecnologia envolvida em seu processo
(BERNSTEIN, 1997).
As organizaes enfrentam influncias de fatores e externos incertos que
afetam seus objetivos. De modo a reduzir incertezas, necessrio monitorar e
identificar o risco de modo a avaliar se este deve ser modificado ou tratado, uma
vez que sua compreenso nos permite tomar decises de modo racional. (ISO,
2009)
Atualmente, os padres de governana de risco tendem a ser de alto nvel,
porm existe margem para sua aplicao em diferentes empresas e situaes.
Bromiley et al. (2015), destacam que as potenciais particularidades e desafios na
avaliao do risco oferecem tambm oportunidades para que as organizaes
observem problemas em seus processos internos.
Segundo a OECD (2014), as instituies pblicas podem adotar prticas de
governana similares s adotadas por empresas privadas, sendo crucial que haja
o controle de risco tanto pela ao direta dos gestores, assim como por delegaes
dos diretores, que podem se utilizar de qualquer oportunidade para formular
diretivas estratgicas e de liderana. O objetivo da governana criar valor por
meio da realizao de benefcios e otimizao dos riscos e recursos, portanto uma
governana de TI eficiente gerencia e avalia constantemente as atividades e os
riscos relativos TI de modo a mant-los em um nvel aceitvel (ITGI, 2007; ISACA,
2012).
A norma ABNT NBR ISO 31000/2009 fornece princpios e diretrizes para a
gesto de riscos e pode ser aplicada tanto no setor pblico ou privado, assim como
avaliar qualquer tipo de risco, independentemente de sua natureza. Segundo a
norma, o sucesso da gesto de riscos depende da estrutura de gesto, que ir
fornecer fundamentos e arranjos de modo a incorporar este processo a toda a
organizao, auxiliando a gerenciar os riscos de maneira eficaz por meio de sua
aplicao em diferentes nveis e contextos organizacionais e assegurando que o
risco seja adequadamente identificado e reportado, podendo, assim, ser utilizado
como base na tomada de decises.
Hardy (2006) afirma que uma pequena brecha, roubo, erro, violao de
sistema ou ataque de vrus na TI pode resultar em srios danos ao oramento e
reputao da organizao. Por consequncia disto, os gerentes, stakeholders,
funcionrios e clientes se preocupam com a segurana das informaes. Os
diretores e os conselhos de administrao devem, portanto, buscar meios de
assegurar a proteo dos ativos de informao organizacional.
A norma ABNT NBR ISO/IEC 27005/2011 por sua vez apresenta diretrizes
para o processo de Gesto de Riscos de Segurana da Informao (GRSI) e pode
ser aplicada em organizaes pblicas que pretendam gerir riscos relacionados
segurana da informao organizacional.
Segundo a referida norma, o processo de GRSI pode ser utilizado de forma
iterativa na avaliao ou para atividades de tratamento de risco. Seu enfoque
iterativo torna possvel o detalhamento da avaliao a cada repetio, minimizando

758
 So Paulo, 6 8 de outubro de 2015
X WORKSHOP DE PS-GRADUAO E PESQUISA DO CENTRO PAULA SOUZA -
ISSN: 2175-1897

o tempo e esforo necessrios na identificao de controles, assegurando que

riscos de alto impacto e probabilidade sejam adequadamente avaliados.
Conforme destaca Nist (2006), a gesto de risco pode ser vista, portanto,
como uma atividade holstica que envolve todos os aspectos da organizao, e seu
processo de gesto busca fornecer uma base slida para que seja possvel
determinar quais riscos so aceitveis, assim como obter informaes necessrias
ao seu tratamento (PURDY, 2010). No obstante, mesmo no setor pblico, prevenir
perda, dano, destruio ou acesso no autorizado informao organizacional
um processo contnuo, uma vez que a constante evoluo dos riscos internos e
externos podem resultar em violaes e perdas para a organizao como um todo
(VEIGA; MARTINS, 2015).

3. Mtodo

A pesquisa realizada neste trabalho pode ser classificada como qualitativa e

exploratria que, segundo Sampieri et al. (2006), baseada em um processo
indutivo que explora, descreve e em seguida gera perspectivas tericas.
Desta forma, a reviso bibliogrfica em publicaes como livros, artigos,
peridicos, normas tcnicas e Internet apresentada no item 2.3, buscou de uma
forma concisa proporcionar uma viso de como Gesto de Riscos de Segurana
da Informao poder ser apresentada Governana de TI em Instituies
Pblicas.

4. Resultados e Discusso

Para algumas organizaes a informao e a tecnologia que a suporta

representam o seu bem mais valioso. Elas reconhecem os benefcios da tecnologia
da informao e a utilizam para direcionar os valores das partes interessadas no
negcio. No mercado global atual, capacitado pela Internet e tecnologias
avanadas, a dependncia crtica de muitos processos de negcios da TI exige que
as organizaes gerenciem os riscos associados e cumpram um crescente nmero
de exigncias legais e regulatrias. (ITGI, 2012)
Valor, risco e controle constituem a essncia da governana de TI e, a
necessidade da avaliao do valor, o gerenciamento dos riscos e as crescentes
necessidades de controle sobre as informaes de TI so agora vistos como
elementos-chave da governana corporativa. (ITGI, 2007)
Deste modo, na Administrao Pblica cabe Governana de TI atender s
normas e aos princpios da legalidade, impessoalidade, moralidade, publicidade e
eficincia (BRASIL, 1988), para que a TI agregue valor ao negcio. Normas como
a ABNT NBR ISO/IEC 38500/2009 e ABNT NBR ISO/IEC 31000/2009 apresentam
diretrizes que auxiliam rgos pblicos a atenderem alguns destes estes princpios.
Este estudo se justifica pela dificuldade encontrada por algumas organizaes
em avaliar os riscos inerentes s suas atividades, especialmente no que tange
segurana de seus ativos de informao e as possveis vulnerabilidades da TI,
buscando, ainda, contribuir para que as incertezas envolvidas neste processo
possam ser mitigadas.
De modo a verificar como Gesto de Risco de Segurana da Informao
(GRSI) est sendo implementada e a forma como ela apresentada na
Governana de TI (GTI), sugere-se o levantamento de indicadores e a verificao
da conformidade destes s boas prticas.

759
 So Paulo, 6 8 de outubro de 2015
X WORKSHOP DE PS-GRADUAO E PESQUISA DO CENTRO PAULA SOUZA -
ISSN: 2175-1897

Estes poderiam ser fragmentados em de 2 (dois) grupos de indicadores

obtidos por meio de questionamentos elaborados e fundamentados principalmente
com base nas normas NBR ISO/IEC 38500, 31000 e 27005.
1 grupo de indicadores: GTI
2 grupo de indicadores: GRSI
Para o levantamento dos indicadores do primeiro grupo, poderiam ser
considerados os princpios elencados pelo ISACA (2012) em seu modelo
corporativo para governana e gesto de TI (COBIT 5), os quais esto em
conformidade com a norma e ISO/IEC 38500 e permitiro uma avaliao de alto
nvel do comprometimento da organizao com a Governana de TI.
Exemplo de questionamentos para o 1 grupo:

Os indivduos e grupos da organizao compreendem suas

responsabilidades e atuam respeitando a demanda de TI?
o Indicador: Responsabilidade
A estratgia de negcio considera as capacidades atuais e futuras de
TI?
o Indicador: Estratgia
As aquisies de TI possuem razes vlidas embasadas em anlises
transparentes, contnuas e apropriadas?
o Indicador: Aquisio
A TI se adequa e apoia a organizao fornecendo servios baseados
em nveis e com qualidade?
o Indicador: Desempenho
A TI cumpre com toda a legislao e regulamentos obrigatrios,
possuindo polticas e prticas claramente definidas, implementadas e
fiscalizadas?
o Indicador: Conformidade
As polticas, prticas e decises de TI demonstram respeito pelo
comportamento humano, incluindo as necessidades atuais e futuras
das pessoas?
o Indicador: Comportamento humano

Para o levantamento dos indicadores do segundo grupo, poderia ser feita uma
avaliao de alto nvel que, conforme a normas ABNT ISO/IEC 31000/2009 e
27005/2011, permite identificar os riscos com alto potencial impacto ao negcio e,
consequentemente, o nvel de comprometimento da organizao com a GRSI.
Exemplo de questionamentos para o 2 grupo:

Qual o nvel de apoio e compreenso dos diretores quanto aos riscos

inerentes TI e seus impactos para o negcio?
o Indicador: Nvel de apoio e entendimento da governana
Os controles implementados pelos gerentes de TI atendem aos
requisitos do negcio?
o Indicador: Conformidade dos controles com o objetivo do
negcio
A organizao atende aos requisitos legais e normativos de segurana
da informao?
o Indicador: Conformidade legal e normativa

760
 So Paulo, 6 8 de outubro de 2015
X WORKSHOP DE PS-GRADUAO E PESQUISA DO CENTRO PAULA SOUZA -
ISSN: 2175-1897

Em que nvel a segurana da informao relacionada aos ativos de

informao atende as expectativas e percepes dos stakeholders?
o Indicador: Conformidade com os interesses dos stakeholders
Qual o valor estratgico do processo que trata as informaes do
negcio?
o Indicador: Valor estratgico das informaes
Qual a criticidade dos ativos de informao envolvidos com as
informaes do negcio?
o Indicador: Valor crtico das informaes
Qual a importncia, do ponto de vista do negcio, da disponibilidade,
confidencialidade e integridade das informaes?
o Indicador: Importncia da informao para o negcio
Qual a importncia, do ponto de vista operacional, da disponibilidade,
confidencialidade e integridade das informaes?
o Indicador: Importncia da informao para o operacional
Com que frequncia ocorrem perdas da disponibilidade,
confidencialidade e integridade de informaes?
o Indicador: Frequncia de perda de informaes
Qual o nvel de importncia das operaes comprometidas com a TI?
o Indicador: Nvel de comprometimento operacional com a TI
Qual o nvel do impacto para o negcio da perda de informao
causada por um incidente de segurana da informao?
o Indicador: Impacto da perda de informaes
Qual o impacto para da interrupo do negcio causado por um
incidente de segurana da informao?
o Indicador: Impacto da interrupo do negcio
Qual o nvel do impacto causado por um incidente de segurana da
informao para a reputao da organizao?
o Indicador: Impacto na reputao
Qual impacto o no atendimento de requisitos legais e normativos de
segurana da informao trariam para o negcio?
o Indicador: Impacto de violao legal

Deste modo, cada um dos grupos permitiria ao pesquisador verificar o grau

de comprometimento da instituio tanto com a Governana de TI quanto com a
Gesto de Risco de Segurana da Informao.

5. Consideraes finais

Apesar das dificuldades de deteco e preveno de ameaas e

oportunidades, Akabane (2012) destaca que uma das metodologias utilizadas na
gesto de riscos e protocolos de segurana leva em conta processo de definio e
anlise dos perigos inerentes os indivduos, empresas e agncias governamentais,
os quais ser provocados pelo agente natural e/ou humano e causados por eventos
adversos, podendo ainda ser de natureza quantitativa ou qualitativa. A anlise
qualitativa de riscos, utilizada com maior frequncia, envolve a definio de vrias
ameaas e seu grau de vulnerabilidade, podendo ser utilizada em TI para alinhar
os objetivos relacionados tecnologia aos objetivos de negcio da empresa.
Futuros estudos podem utilizar-se da ferramenta do estudo de caso que,
segundo Yin (2001), permite uma investigao que preserva as caractersticas
761
 So Paulo, 6 8 de outubro de 2015
X WORKSHOP DE PS-GRADUAO E PESQUISA DO CENTRO PAULA SOUZA -
ISSN: 2175-1897

holsticas e significativas dos eventos da vida real tais como ciclos de vida
individuais, processos organizacionais e administrativos, mudanas ocorridas em
regies urbanas, relaes internacionais e a maturao de alguns setores.
H ainda, portanto, vasto campo de trabalho quanto avaliao e aplicao
prtica deste estudo em futuras pesquisas, que podero auxiliar a incorporao da
Segurana da Informao por meio da Gesto de Riscos dentro da Governana de
TI em Instituies Pblicas.

Referncias

ABNT. NBR ISO 31000 Governana corporativa de tecnologia da informao.

Associao brasileira de normas tcnicas. Rio de Janeiro, 2009. 32p
ABNT. NBR ISO/IEC 38500 Governana corporativa de tecnologia da
informao. Associao brasileira de normas tcnicas. Rio de Janeiro, 2009. 21p.
ABNT. NBR ISO/IEC 27005 Gesto de riscos de segurana da informao.
Associao brasileira de normas tcnicas. Rio de Janeiro, 2011. 87p.
AKABANE, Getulio K.. Gesto estratgica da tecnologia da informao:
conceitos, metodologias, planejamento e avaliaes. So Paulo. Atlas, 2012.
ALEXANDER, Lucy. Corporate governance and cross-border mergers. Conference
Board Research Report, Nova York, jun. 2000.
ARTERO, Juan P.. Corporate Governance: The revival of an academic,
professional and policy field. Bronx, NY, p.1-25, dez. 2007.
BERNSTEIN, Peter L.. Desafio aos Deuses: A fascinante histria do risco. Rio de
Janeiro: Campus, 1997. 212 p. Traduo de: Ivo Korytowski.
BRASIL. Constituio (1988). Constituio da Repblica Federativa do Brasil.
Braslia, DF: Senado Federal, 1988.
BRIS, Arturo; BRISLEY, Neil; CABOLIS, Christos. Adopting better corporate
governance: Evidence from cross-border mergers. Journal of Corporate Finance,
Grcia, v. 3, n. 14, p.224-240, fev. 2008.
BROMILEY, Philip et al. Enterprise Risk Management: Review, Critique, and
Research Directions. Long Range Planning, [S.l.], v. 48, n. 1, p.265-276, jan. 2015.
CADBURY, Adrian. The Financial Aspects of Corporate Governance. Londres:
Committee on the Financial Aspects of Corporate Governance, 1992. 90 p.
CHAU, S L. An Anatomy of Corporate Governance. Hang Seng Management
College, Hong Kong, p.1-16, dez. 2011.
HARDY, Gary. Using IT governance and COBIT to deliver value with IT and respond
to legal, regulatory and compliance challenges. Information Security Technical
Report, [S.l.], v. 11, n. 1, p.55-61, jan. 2006. Disponvel em:
<http://dx.doi.org/10.1016/j.istr.2005.12.004>. Acesso em: 03 jun. 2015.
IBGC. Governana Corporativa. Instituto Brasileiro de Governana Corporativa,
2015. Disponvel em: <http://www.ibgc.org.br/>. Acesso em: 12 jun. 2015.
ISACA. COBIT 5: Modelo Corporativo para Governana e Gesto de TI. Rolling
Meadows, IL (EUA): Information Systems Audit and Control Association, 2012. 98p.
ISO. ISO 31000 Risk Management: Principles and guidelines. Suia:
International Organization for Standardization, 2009. 36 p.
ITGI. Board Briefing on IT Governance, Second Edition. Rolling Meadows, IL
(EUA): IT Governance Institute, 2003. 7 p.
ITGI. COBIT 4.1: Objetivos de Controle para Informaes e Tecnologias
Correspondentes. Rolling Meadows, IL (EUA): IT Governance Institute, 2007. 212
p.

762
 So Paulo, 6 8 de outubro de 2015
X WORKSHOP DE PS-GRADUAO E PESQUISA DO CENTRO PAULA SOUZA -
ISSN: 2175-1897

ITGI. Enterprise Value Governance of IT Investments The Val IT Framework

2.0 Extract. Rolling Meadows, IL (EUA): IT Governance Institute, 2008. 45p.
JUIZ, Carlos; TOOMEY, Mark. To govern IT, or not to govern IT? Communications
of the ACM, [S.l.], v. 58, n. 2, p.58-64, fev. 2015.
LUNARDI, G. L.; BECKER, J. L.; MAADA, A. C. G. Um estudo emprico do impacto
da governana de TI no desempenho organizacional. Produo, v. 22, n. 3, p. 612-
624, maio/ago 2012.
LUNARDI, G. L.; BECKER, J. L.; MAADA, A. C. G.; DOLCI, P. C.. The impact of
adopting IT governance on financial performance: An empirical analysis among
Brazilian firms. International Journal of Accounting Information Systems, [S.I,],
v. 15, n. 1, p.66-81, mar. 2014.
NIST. Guide for Applying the Risk Management Framework to Federal
Information Systems: A Security Life Cycle Approach. 800-37 ed. Gaithersburg,
National Institute of Standards and Technology, 2010. 93 p.
OECD. Principles of Corporate Governance. Organization for Economic Co-
operation and Development. OECD Publishing. Disponvel em:
<http://www.oecd.org/corporate/ca/corporategovernanceprinciples/31557724.pdf>.
Acesso em: 10 jun. 2015.
OECD. Risk Management and Corporate Governance. Organization for
Economic Co-operation and Development. OECD Publishing. Disponvel em: <
http://www.oecd.org/daf/ca/risk-management-corporate-governance.pdf>. Acesso
em: 09 jun. 2015.
PURDY, Grant. ISO 31000: 2009 - Setting a New Standard for Risk Management.
Risk Analysis, [S.l.], v. 30, n. 6, p.881-886, 8 abr. 2010.
RAGHUPATHI, W. Corporate governance of IT: A framework for development.
Communications of the ACM, [S.l.], v. 8, n. 1, p.94-99, ago. 2007.
SAMPIERI, Roberto H.; COLLADO, Carlos F.; LUCIO, Maria P. B.. Metodologa de
la Investigacin. 4 ed. Mxico, MX. Mac Graw Hill, 2006. 736 p.
THOMPSON, Steven et al. A model to support IT infrastructure planning and the
allocation of IT governance authority. Decision Support Systems, [S.l.], v. 59, n.
1, p.108-118, nov. 2013.
VEIGA, Adle da; MARTINS, Nico. Information security culture and information
protection culture: A validated assessment instrument. Computer Law & Security
Review, [S.l.], v. 31, n. 2, p.243-256, abr. 2015.
WEILL, Peter. Dont just lead, govern: How top-performing firms govern IT. Center
For Information Systems Research, Massachusetts, v. 3, n. 1, 17p, mar. 2004.
WEILL, Peter; ROSS, Jeanne W. IT governance: how top performers manage IT
decisions rights for superior results. Boston: HBS Press, 2004.
WEILL, Peter; WOODHAM, Richard. Dont Just Lead, Govern: Implementing
Effective IT Governance. Center For Information Systems Research,
Massachusetts, v. 326, n. 1, 20 p, abr. 2002.
YIN, Robert K. Estudo de caso: planejamento e mtodos. Porto Alegre:
Bookman, 2001.

763