Proposta de avaliação da Política Nacional de Segurança da Informação por Processo de Análise Hierárquica
Palavras-chave:
Segurança da Informação, Modelos de Maturidade, Processo de Análise HierárquicaResumo
Relatórios recentes de segurança cibernética evidenciam que o Brasil é um dos países com a maior quantidade de crimes cibernéticos, afetando mais de 60 milhões de pessoas e causando prejuízos estimados em mais de 20 bilhões de dólares. No âmbito da Administração Pública Federal, a Política Nacional de Segurança da Informação (PNSI) atribuiu ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR) a tarefa de monitorar e avaliar a sua execução, estimulando a ampla participação da sociedade e dos órgãos e das entidades do Poder Público na construção do processo, o que inclui a academia. A fim de contribuir com esse contexto, esta pesquisa analisou diferentes modelos de referência, cuja estrutura melhor se ajustasse à necessidade de avaliar instituições e um método quantitativo capaz de indicar objetivamente o peso das diversas variáveis envolvidas. O modelo de maturidade escolhido foi o CSF-NIST e o método selecionado foi o Processo de Análise Hierárquica (AHP), para a ponderação dos critérios e subcritérios. Um estudo de caso foi explorado para ilustrar a aplicação do modelo e do método selecionados, indicando o “como” implementá-los, considerando as especificidades da instituição avaliada.
Referências
ACZÉL, J.; SAATY, T. L. Procedures for synthesizing ratio judgements. Journal of Mathematical Psychology, v. 27, n. 1, p. 93–102, 1983.
AZMI, R.; TIBBEN, W.; WIN, K. T. Review of cybersecurity frameworks: context and shared concepts. Journal of Cyber Policy, v. 3, n. 2, p. 258–283, maio 2018.
BADIE, N.; LASHKARI, A. H. A new evaluation criteria for effective security awareness in computer risk management based on AHP. Journal of Basic and Applied Scientific Research, v. 2, n. 9, p. 9331–9347, 2012.
BECKER, J. et al. Maturity models in IS research. In: 18th European Conference on Information Systems, ECIS 2010, Anais...2010.
BERNIERI, G. et al. A Multiple-Criteria Decision Making method as support for critical infrastructure protection and Intrusion Detection System. In: IECON Proceedings (Industrial Electronics Conference), Anais...IEEE, 2016.
BHASKAR, S.; KUMAR, M.; PATNAIK, A. Application of Hybrid AHP-TOPSIS Technique in Analyzing Material Performance of Silicon Carbide Ceramic Particulate Reinforced AA2024 Alloy Composite. Silicon, p. 1–10, 2019.
BHUSHAN, N.; RAI, K. Strategic decision making: applying the analytic hierarchy process. [s.l.] Springer Science & Business Media, 2007.
BOWEN, P.; KISSEL, R. NISTIR 7358: Program Review for Information Security Management Assistance (PRISMA). Disponível em: <https://nvlpubs.nist.gov/nistpubs/Legacy/IR/nistir7358.pdf>.
BRASIL. Ministério da Defesa. Política Nacional de Defesa e Estratégia Nacional de Defesa. Brasilia-DFMinistério da Defesa, 2012. Disponível em: <https://www.gov.br/defesa/pt-br/assuntos/copy_of_estado-e-defesa/pnd_end_congresso_.pdf>.
BRASIL. Senado Federal. Avaliação de Políticas Públicas - Resolução no 44, de 2013. Brasilia-DFSenado Federal, 2013. Disponível em: <http://www.senado.gov.br/noticias/especiais/politicas-publicas-pnbl/Plano-de-trabalho-Avaliacao-do-PNBL-maio_2014.pdf>.
BRASIL. Casa Civil. Decreto No 9.637, de 26 de dezembro de 2018. Diário Oficial da União. Brasília. Presidência da República, 2018a.
BRASIL. Casa Civil da Presidência da República. Instituto de Pesquisa Econômica Aplicada. Avaliação de Políticas Públicas: guia prático de análise Ex Ante, volume I. Brasilia-DF. Instituto de Pesquisa Econômica Aplicada, 2018b. Disponível em: <https://www.ipea.gov.br/portal/images/stories/PDFs/livros/livros/180319_avaliacao_de_politicas_publicas.pdf>.
BRASIL. Presidência da República. Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo. Estatísticas de Incidentes Computacionais em Órgãos de Governo e Vinculados – Dados Para Diagnóstico. Brasilia-DF. Presidência da República, 2020. Disponível em: <https://www.ctir.gov.br/arquivos/estatisticas/2018/Estatisticas_CTIR_Gov_Ano_2018.pdf>.
BUCHANAN, B. The Hacker and the State: Cyber Attacks and the New Normal of Geopolitics. [s.l.] Harvard University Press, 2020.
CAVELTY, M. D.; BRUNNER, E. M. Introduction: Information, power, and security – An outline of debates and implications. In: Power and Security in the Information Age: Investigating the Role of the State in Cyberspace. [s.l.] Ashgate, 2013. p. 1–18.
CESG. Good Practice Guide (GPG40). The Information Assurance Maturity Model and Assessment Framework. London, National Technical Authority for Information Assurance, 2015. Disponível em: <https://www.ncsc.gov.uk/information/hmg-ia-maturity-model-iamm>.
CIS. CENTER FOR INTERNET SECURITY. About us. New York, Center for Internet Security, 2020. Disponível em: <https://www.cisecurity.org/about-us/>.
CURTIS, P.; MEHRAVARI, N.; STEVENS, J. Cybersecurity Capability Maturity Model for Information Technology Services (C2M2 for IT Services), Version 1.0. [s.l.] CARNEGIE-MELLON UNIV PITTSBURGH PA PITTSBURGH United States, 2015.
DEAN BROWN, R. Towards a Qatar Cybersecurity Capability Maturity Model with a Legislative Framework. International Review of Law, v. 2018, n. 4, dez. 2019.
DUNN CAVELTY, M.; BRUNNER, E. Introduction: Information, Power, and Security: An Outline of Debates and Implications. In: Power and security in the information age. [s.l.] Ashgate, 2007. p. 1–18.
ENGLBRECHT, L.; MEIER, S.; PERNUL, G. Towards a capability maturity model for digital forensic readiness. Wireless Networks, v. 26, n. 7, p. 4895–4907, 2020.
ERDOĞAN, M. et al. A Fuzzy Based MCDM Methodology for Risk Evaluation of Cyber Security Technologies. In: International Conference on Intelligent and Fuzzy Systems, Anais...Springer, 2019.
FORMAN, E. H. Facts and fictions about the analytic hierarchy process. Mathematical and computer modelling, v. 17, n. 4–5, p. 19–26, 1993.
GOIS, A. B. Segurança Cibernética. O Comunicante, v. 8, n. 3, p. 40–47, 2018.
HASSAN, M. H.; LEE, J. Policymakers’ perspective about e-Government success using AHP approach: Policy implications towards entrenching Good Governance in Pakistan. Transforming Government: People, Process and Policy, v. 13, n. 1, p. 93–118, 2019.
ISA. INTERNATIONAL SOCIETY OF AUTOMATION. New ISA/IEC 62443 standard specifies security capabilities for control system components. Disponível em: <https://www.isa.org/intech/201810standards/>. Acesso em: 4 nov. 2020.
ISACA. Information Systems Audit and Control Association. COBIT - Why Cobit? Disponível em: <https://www.isaca.org/resources/cobit>. Acesso em: 2 nov. 2020.
ISO/IEC. Information Security Management System - ISO/IEC 27000:2018. Disponível em: <https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en>. Acesso em: 2 nov. 2020.
ITU. Guide to developing a National Cybersecurity Strategy - Strategic Engagement in Cybersecurity. Disponível em: <https://ccdcoe.org/uploads/2018/10/D-STR-CYB_GUIDE.01-2018-PDF-E.pdf>. Acesso em: 11 jul. 2019.
KATSIANIS, D. et al. Factors influencing market adoption and evolution of NFV/SDN Cybersecurity Solutions. Evidence from SHIELD Project. In: European Conference on Networks and Communications (EuCNC), Anais...IEEE, 2018.
LE, N. T.; HOANG, D. B. Can maturity models support cyber security? In: 2016 IEEE 35th International Performance Computing and Communications Conference, IPCCC 2016, Anais...IEEE, 2017.
LIMA, P. A. L. Segurança Cibernética: a necessidade de se estruturar, sistematizar e integrar a proteção cibernética das Infraestruturas Críticas Nacionais, Órgãos Estratégicos do Governo e Forças Armadas. In: X Encontro Nacional da Associação de Estudos de Defesa (ENABED), São Paulo. Anais... São Paulo: ABED, 2018. Disponível em: <https://www.enabed2018.abedef.org/resources/anais/8/1534802448_ARQUIVO_Artigo-PedroALinharesLima-X-ENABED-SegurancaeDefesaCibernetica.pdf>.
LIU, C. H.; LIN, C.-W. R. The Comparative of the AHP Topsis Analysis Was Applied for the Commercialization Military Aircraft Logistic Maintenance Establishment. International Business Management, v. 10, n. 4, p. 6428–6432, 2016.
MOMANI, A. M.; AHMED, A. A. Material handling equipment selection using hybrid Monte Carlo simulation and analytic hierarchy process. World Academy of Science, Engineering and Technology, v. 59, p. 953–958, 2011.
NASSER, A. A.; AL-KHULAIDI, A. A.; ALJOBER, M. N. Measuring the Information Security Maturity of Enterprises under Uncertainty Using Fuzzy AHP. International Journal of Information Technology and Computer Science, v. 10, n. 4, p. 10–25, 2018.
NETO, W. B. F. Cibernética como Setor Estratégico no Brasil e seus Reflexos para a Estrutura da Defesa. Centro de Estudos Estratégicos do Exército: Análise Estratégica, v. 17, n. 3, p. 45–64, 2020.
NIST. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Framework for improving critical infrastructure cybersecurity, version 1.1. Disponível em: <https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf>.
NSCS. NATIONAL CYBER SECURITY CENTRE. Cyber Assessment Framework. London: National Cyber Security Centre, 2018. . Disponível em: <https://www.ncsc.gov.uk/information/cyber-assessment-framework--caf--changelog>.
PAULK, M. C. et al. Capability Maturity Model. IEEE software, v. 10, n. 4, p. 1–7, 1993.
POMEROL, J.-C.; BARBA-ROMERO, S. Multicriterion decision in management: principles and practice. New York: Springer, 2012.
PÖPPELBUSS, J.; RÖGLINGER, M. What makes a useful maturity model? A framework of general design principles for maturity models and its demonstration in business process management. In: 19th European Conference on Information Systems, ECIS 2011, Anais...2011.
RAHIM, N. H. A. et al. A systematic review of approaches to assessing cybersecurity awareness. Kybernetes, v. 44, n. 4, p. 606–622, abr. 2015.
RAMOS, W. M.; GOLDONI, L. R. F. Os Projetos do Exército Brasileiro e o alinhamento com as diretrizes da Estratégia Nacional de Defesa. Revista Política Hoje, v. 25, n. 1, p. 153–175, 2016.
REA-GUAMAN, A. M. et al. Modelos de Madurez en Ciberseguridad: una revisión sistemática. In: Iberian Conference on Information Systems and Technologies, CISTI, Anais...2017.
SAATY, T. L. The Analytic Hierarchy Process. New York: McGraw-Hill, 1980. v. 324
SAATY, T. L. Priority Setting in Complex Problems. IEEE Transactions on Engineering Management, v. EM-30, n. 3, p. 140–155, 1982.
SAATY, T. L. Decision making with the Analytic Hierarchy Process. Scientia Iranica, v. 9, n. 3, p. 215–229, 2002.
SAATY, T. L.; VARGAS, L. G. Models, methods, concepts & applications of the analytic hierarchy process. [s.l.] Springer Science & Business Media, 2012. v. 175
STERLING, B. The hacker crackdown: Law and disorder on the electronic frontier. [s.l.] Open Road Media, 2020.
SYAMSUDDIN, I. Multicriteria Evaluation and Sensitivity Analysis on Information Security. International Journal of Computer Applications, v. 69, n. 24, p. 22–25, 2013.
SYMANTEC. Cyber Security Insights Report - Global Results. [s.l: s.n.]. Disponível em: <https://www.nortonlifelock.com/content/dam/nortonlifelock/pdfs/reports/2017-ncsir-global-results-en.pdf>.
TEICHERT, R. Digital transformation maturity: A systematic review of literatureActa Universitatis Agriculturae et Silviculturae Mendelianae Brunensis, 2019.
VARGAS, L. G. Reciprocal matrices with random coefficients. Mathematical modelling, v. 3, n. 1, p. 69–81, 1982.
VIANNA, E. W.; DE SOUSA, R. T. B. Ciber Proteção: a segurança dos sistemas de informação no espaço cibernético. Revista Ibero-Americana de Ciência da Informação, v. 10, p. 110–131, 2018.
WHITE, G. Crime Dot Com: From Viruses to Vote Rigging, How Hacking Went Global. [s.l.] Reaktion Books, 2020.
WIND, Y.; SAATY, T. L. Marketing Applications of the Analytic Hierarchy Process. Management Science, v. 26, n. 7, p. 641–658, 1980.
YUEN, K. K. F. Towards a Cybersecurity Investment Assessment method using Primitive Cognitive Network Process. In: 2019 International Conference on Artificial Intelligence in Information and Communication (ICAIIC), Anais...IEEE, 2019.
Downloads
Publicado
Edição
Seção
Licença
Copyright (c) 2022 Perspectivas em Ciência da Informação
Este trabalho está licenciado sob uma licença Creative Commons Attribution 4.0 International License.