Proposta de avaliação da Política Nacional de Segurança da Informação por Processo de Análise Hierárquica

Autores

Palavras-chave:

Segurança da Informação, Modelos de Maturidade, Processo de Análise Hierárquica

Resumo

Relatórios recentes de segurança cibernética evidenciam que o Brasil é um dos países com a maior quantidade de crimes cibernéticos, afetando mais de 60 milhões de pessoas e causando prejuízos estimados em mais de 20 bilhões de dólares. No âmbito da Administração Pública Federal, a Política Nacional de Segurança da Informação (PNSI) atribuiu ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR) a tarefa de monitorar e avaliar a sua execução, estimulando a ampla participação da sociedade e dos órgãos e das entidades do Poder Público na construção do processo, o que inclui a academia. A fim de contribuir com esse contexto, esta pesquisa analisou diferentes modelos de referência, cuja estrutura melhor se ajustasse à necessidade de avaliar instituições e um método quantitativo capaz de indicar objetivamente o peso das diversas variáveis envolvidas. O modelo de maturidade escolhido foi o CSF-NIST e o método selecionado foi o Processo de Análise Hierárquica (AHP), para a ponderação dos critérios e subcritérios. Um estudo de caso foi explorado para ilustrar a aplicação do modelo e do método selecionados, indicando o “como” implementá-los, considerando as especificidades da instituição avaliada.

Biografia do Autor

  • Clarice Saraiva Andrade dos Santos, Escola Superior de Guerra

    Possui graduação em Relações Internacionais pela Universidade Federal Rural do Rio de Janeiro (2016). Graduanda em Engenharia de Software no Instituto Infnet no Rio de Janeiro (2018). Mestre em Segurança Internacional e Defesa pela Escola Superior de Guerra (2020). Dedicada aos estudos concernentes ao setor cibernético em Segurança e Defesa.

  • Luiz Octávio Gavião, Escola Superior de Guerra

    Bacharelado em Ciências Navais pela Escola Naval (1986-1990). Mestrado em Estudos Militares na United States Marine Corps University (2002-2003) e MBA em Gestão Empresarial pela COPPEAD - UFRJ (2006). Concluiu os cursos de mestrado e doutorado em Engenharia de Produção na Universidade Federal Fluminense (UFF), em 2014 e 2017 respectivamente, ambos na área de concentração de Sistemas, Apoio à Decisão e Logística. Atualmente é Professor Adjunto na Escola Superior de Guerra (ESG). 

  • Leonardo Augusto dos Santos Oliveira, Escola Superior de Guerra

    Possui graduação em Engenharia Civil pela Universidade Federal de Santa Catarina (2005), Especialização em Gestão Empresarial pela Fundação Getulio Vargas (2013) e Mestrado em Administração de Empresas pela Fundação Getulio Vargas - EBAPE (2014). Doutorado em Administração de Empresas na Fundação Getulio Vargas - EBAPE (2017). Atualmente é professor adjunto na ESG - Escola Superior de Guerra.

  • José Cristiano Pereira

    Graduado em Engenharia Mecanica pela Universidade Católica de Petrópolis em 2005. MBA em Gerenciamento de Projetos pela FGV em 2009. Especialização em Engenharia de Produção pela UFJF em 2011. Mestrado em Sistemas de Gestão pela Universidade Federal Fluminense (UFF) em 2012. Doutorado em Engenharia de Produção pela UFF em 2014. Pos doutorado (em curso) no LNCC (Laboratorio Nacional de Computação Científica). Certificações Internacionais: PMP (Project Management Professional) pelo PMI (Project Management Institute), RMP (Risk Management Professional) pelo PMI (Project Management Institute), CQE (Certified Quality Engineer) pela ASQ (American Society for Quality), Proficiency in English pelas Universidades de Cambridge, Michigan e Oxford, DSQR (Designated Supplier Quality Representative) pela GE, DMIR (Designated Manufacturing Inspector Representative) pelo FAA (USA), RCI ( Regulatory Compliance Inspetor) pela GE Aviation (USA). Certificações Nacionais: SPR (Supervisor de Proteção Radiológica) pela CNEN (Comissão Nacional de Energia Nuclear). Desempenhou as funções de Supervisor de Proteção Radiológica, Engenheiro de Qualidade, Coordenador e Gerente da Qualidade na GE Aviation durante 33 anos. Professor nos cursos de Graduação e Mestrado em Engenharia na Universidade Católica de Petropolis (UCP) 

Referências

ACZÉL, J.; SAATY, T. L. Procedures for synthesizing ratio judgements. Journal of Mathematical Psychology, v. 27, n. 1, p. 93–102, 1983.

AZMI, R.; TIBBEN, W.; WIN, K. T. Review of cybersecurity frameworks: context and shared concepts. Journal of Cyber Policy, v. 3, n. 2, p. 258–283, maio 2018.

BADIE, N.; LASHKARI, A. H. A new evaluation criteria for effective security awareness in computer risk management based on AHP. Journal of Basic and Applied Scientific Research, v. 2, n. 9, p. 9331–9347, 2012.

BECKER, J. et al. Maturity models in IS research. In: 18th European Conference on Information Systems, ECIS 2010, Anais...2010.

BERNIERI, G. et al. A Multiple-Criteria Decision Making method as support for critical infrastructure protection and Intrusion Detection System. In: IECON Proceedings (Industrial Electronics Conference), Anais...IEEE, 2016.

BHASKAR, S.; KUMAR, M.; PATNAIK, A. Application of Hybrid AHP-TOPSIS Technique in Analyzing Material Performance of Silicon Carbide Ceramic Particulate Reinforced AA2024 Alloy Composite. Silicon, p. 1–10, 2019.

BHUSHAN, N.; RAI, K. Strategic decision making: applying the analytic hierarchy process. [s.l.] Springer Science & Business Media, 2007.

BOWEN, P.; KISSEL, R. NISTIR 7358: Program Review for Information Security Management Assistance (PRISMA). Disponível em: <https://nvlpubs.nist.gov/nistpubs/Legacy/IR/nistir7358.pdf>.

BRASIL. Ministério da Defesa. Política Nacional de Defesa e Estratégia Nacional de Defesa. Brasilia-DFMinistério da Defesa, 2012. Disponível em: <https://www.gov.br/defesa/pt-br/assuntos/copy_of_estado-e-defesa/pnd_end_congresso_.pdf>.

BRASIL. Senado Federal. Avaliação de Políticas Públicas - Resolução no 44, de 2013. Brasilia-DFSenado Federal, 2013. Disponível em: <http://www.senado.gov.br/noticias/especiais/politicas-publicas-pnbl/Plano-de-trabalho-Avaliacao-do-PNBL-maio_2014.pdf>.

BRASIL. Casa Civil. Decreto No 9.637, de 26 de dezembro de 2018. Diário Oficial da União. Brasília. Presidência da República, 2018a.

BRASIL. Casa Civil da Presidência da República. Instituto de Pesquisa Econômica Aplicada. Avaliação de Políticas Públicas: guia prático de análise Ex Ante, volume I. Brasilia-DF. Instituto de Pesquisa Econômica Aplicada, 2018b. Disponível em: <https://www.ipea.gov.br/portal/images/stories/PDFs/livros/livros/180319_avaliacao_de_politicas_publicas.pdf>.

BRASIL. Presidência da República. Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo. Estatísticas de Incidentes Computacionais em Órgãos de Governo e Vinculados – Dados Para Diagnóstico. Brasilia-DF. Presidência da República, 2020. Disponível em: <https://www.ctir.gov.br/arquivos/estatisticas/2018/Estatisticas_CTIR_Gov_Ano_2018.pdf>.

BUCHANAN, B. The Hacker and the State: Cyber Attacks and the New Normal of Geopolitics. [s.l.] Harvard University Press, 2020.

CAVELTY, M. D.; BRUNNER, E. M. Introduction: Information, power, and security – An outline of debates and implications. In: Power and Security in the Information Age: Investigating the Role of the State in Cyberspace. [s.l.] Ashgate, 2013. p. 1–18.

CESG. Good Practice Guide (GPG40). The Information Assurance Maturity Model and Assessment Framework. London, National Technical Authority for Information Assurance, 2015. Disponível em: <https://www.ncsc.gov.uk/information/hmg-ia-maturity-model-iamm>.

CIS. CENTER FOR INTERNET SECURITY. About us. New York, Center for Internet Security, 2020. Disponível em: <https://www.cisecurity.org/about-us/>.

CURTIS, P.; MEHRAVARI, N.; STEVENS, J. Cybersecurity Capability Maturity Model for Information Technology Services (C2M2 for IT Services), Version 1.0. [s.l.] CARNEGIE-MELLON UNIV PITTSBURGH PA PITTSBURGH United States, 2015.

DEAN BROWN, R. Towards a Qatar Cybersecurity Capability Maturity Model with a Legislative Framework. International Review of Law, v. 2018, n. 4, dez. 2019.

DUNN CAVELTY, M.; BRUNNER, E. Introduction: Information, Power, and Security: An Outline of Debates and Implications. In: Power and security in the information age. [s.l.] Ashgate, 2007. p. 1–18.

ENGLBRECHT, L.; MEIER, S.; PERNUL, G. Towards a capability maturity model for digital forensic readiness. Wireless Networks, v. 26, n. 7, p. 4895–4907, 2020.

ERDOĞAN, M. et al. A Fuzzy Based MCDM Methodology for Risk Evaluation of Cyber Security Technologies. In: International Conference on Intelligent and Fuzzy Systems, Anais...Springer, 2019.

FORMAN, E. H. Facts and fictions about the analytic hierarchy process. Mathematical and computer modelling, v. 17, n. 4–5, p. 19–26, 1993.

GOIS, A. B. Segurança Cibernética. O Comunicante, v. 8, n. 3, p. 40–47, 2018.

HASSAN, M. H.; LEE, J. Policymakers’ perspective about e-Government success using AHP approach: Policy implications towards entrenching Good Governance in Pakistan. Transforming Government: People, Process and Policy, v. 13, n. 1, p. 93–118, 2019.

ISA. INTERNATIONAL SOCIETY OF AUTOMATION. New ISA/IEC 62443 standard specifies security capabilities for control system components. Disponível em: <https://www.isa.org/intech/201810standards/>. Acesso em: 4 nov. 2020.

ISACA. Information Systems Audit and Control Association. COBIT - Why Cobit? Disponível em: <https://www.isaca.org/resources/cobit>. Acesso em: 2 nov. 2020.

ISO/IEC. Information Security Management System - ISO/IEC 27000:2018. Disponível em: <https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en>. Acesso em: 2 nov. 2020.

ITU. Guide to developing a National Cybersecurity Strategy - Strategic Engagement in Cybersecurity. Disponível em: <https://ccdcoe.org/uploads/2018/10/D-STR-CYB_GUIDE.01-2018-PDF-E.pdf>. Acesso em: 11 jul. 2019.

KATSIANIS, D. et al. Factors influencing market adoption and evolution of NFV/SDN Cybersecurity Solutions. Evidence from SHIELD Project. In: European Conference on Networks and Communications (EuCNC), Anais...IEEE, 2018.

LE, N. T.; HOANG, D. B. Can maturity models support cyber security? In: 2016 IEEE 35th International Performance Computing and Communications Conference, IPCCC 2016, Anais...IEEE, 2017.

LIMA, P. A. L. Segurança Cibernética: a necessidade de se estruturar, sistematizar e integrar a proteção cibernética das Infraestruturas Críticas Nacionais, Órgãos Estratégicos do Governo e Forças Armadas. In: X Encontro Nacional da Associação de Estudos de Defesa (ENABED), São Paulo. Anais... São Paulo: ABED, 2018. Disponível em: <https://www.enabed2018.abedef.org/resources/anais/8/1534802448_ARQUIVO_Artigo-PedroALinharesLima-X-ENABED-SegurancaeDefesaCibernetica.pdf>.

LIU, C. H.; LIN, C.-W. R. The Comparative of the AHP Topsis Analysis Was Applied for the Commercialization Military Aircraft Logistic Maintenance Establishment. International Business Management, v. 10, n. 4, p. 6428–6432, 2016.

MOMANI, A. M.; AHMED, A. A. Material handling equipment selection using hybrid Monte Carlo simulation and analytic hierarchy process. World Academy of Science, Engineering and Technology, v. 59, p. 953–958, 2011.

NASSER, A. A.; AL-KHULAIDI, A. A.; ALJOBER, M. N. Measuring the Information Security Maturity of Enterprises under Uncertainty Using Fuzzy AHP. International Journal of Information Technology and Computer Science, v. 10, n. 4, p. 10–25, 2018.

NETO, W. B. F. Cibernética como Setor Estratégico no Brasil e seus Reflexos para a Estrutura da Defesa. Centro de Estudos Estratégicos do Exército: Análise Estratégica, v. 17, n. 3, p. 45–64, 2020.

NIST. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Framework for improving critical infrastructure cybersecurity, version 1.1. Disponível em: <https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf>.

NSCS. NATIONAL CYBER SECURITY CENTRE. Cyber Assessment Framework. London: National Cyber Security Centre, 2018. . Disponível em: <https://www.ncsc.gov.uk/information/cyber-assessment-framework--caf--changelog>.

PAULK, M. C. et al. Capability Maturity Model. IEEE software, v. 10, n. 4, p. 1–7, 1993.

POMEROL, J.-C.; BARBA-ROMERO, S. Multicriterion decision in management: principles and practice. New York: Springer, 2012.

PÖPPELBUSS, J.; RÖGLINGER, M. What makes a useful maturity model? A framework of general design principles for maturity models and its demonstration in business process management. In: 19th European Conference on Information Systems, ECIS 2011, Anais...2011.

RAHIM, N. H. A. et al. A systematic review of approaches to assessing cybersecurity awareness. Kybernetes, v. 44, n. 4, p. 606–622, abr. 2015.

RAMOS, W. M.; GOLDONI, L. R. F. Os Projetos do Exército Brasileiro e o alinhamento com as diretrizes da Estratégia Nacional de Defesa. Revista Política Hoje, v. 25, n. 1, p. 153–175, 2016.

REA-GUAMAN, A. M. et al. Modelos de Madurez en Ciberseguridad: una revisión sistemática. In: Iberian Conference on Information Systems and Technologies, CISTI, Anais...2017.

SAATY, T. L. The Analytic Hierarchy Process. New York: McGraw-Hill, 1980. v. 324

SAATY, T. L. Priority Setting in Complex Problems. IEEE Transactions on Engineering Management, v. EM-30, n. 3, p. 140–155, 1982.

SAATY, T. L. Decision making with the Analytic Hierarchy Process. Scientia Iranica, v. 9, n. 3, p. 215–229, 2002.

SAATY, T. L.; VARGAS, L. G. Models, methods, concepts & applications of the analytic hierarchy process. [s.l.] Springer Science & Business Media, 2012. v. 175

STERLING, B. The hacker crackdown: Law and disorder on the electronic frontier. [s.l.] Open Road Media, 2020.

SYAMSUDDIN, I. Multicriteria Evaluation and Sensitivity Analysis on Information Security. International Journal of Computer Applications, v. 69, n. 24, p. 22–25, 2013.

SYMANTEC. Cyber Security Insights Report - Global Results. [s.l: s.n.]. Disponível em: <https://www.nortonlifelock.com/content/dam/nortonlifelock/pdfs/reports/2017-ncsir-global-results-en.pdf>.

TEICHERT, R. Digital transformation maturity: A systematic review of literatureActa Universitatis Agriculturae et Silviculturae Mendelianae Brunensis, 2019.

VARGAS, L. G. Reciprocal matrices with random coefficients. Mathematical modelling, v. 3, n. 1, p. 69–81, 1982.

VIANNA, E. W.; DE SOUSA, R. T. B. Ciber Proteção: a segurança dos sistemas de informação no espaço cibernético. Revista Ibero-Americana de Ciência da Informação, v. 10, p. 110–131, 2018.

WHITE, G. Crime Dot Com: From Viruses to Vote Rigging, How Hacking Went Global. [s.l.] Reaktion Books, 2020.

WIND, Y.; SAATY, T. L. Marketing Applications of the Analytic Hierarchy Process. Management Science, v. 26, n. 7, p. 641–658, 1980.

YUEN, K. K. F. Towards a Cybersecurity Investment Assessment method using Primitive Cognitive Network Process. In: 2019 International Conference on Artificial Intelligence in Information and Communication (ICAIIC), Anais...IEEE, 2019.

Downloads

Publicado

2022-12-29

Edição

Seção

Artigos

Como Citar

Proposta de avaliação da Política Nacional de Segurança da Informação por Processo de Análise Hierárquica. (2022). Perspectivas Em Ciência Da Informação, 27(4). https://periodicos.ufmg.br/index.php/pci/article/view/29373