Information systems security governance evaluation in the Portuguese Local Public Administration

Abstract

In the recent years, an increase focus in the area of Information Systems Security Governance (ISSG) can be observed. Largely because of the dependency organizations have on information systems and the risks that may affect those systems. Should a failure occur, in the information security measures for these systems, the organization’s reputation can be directly impacted. Those information security concerns and a rise in regulatory requirements are particularly interesting within the context of these study, which evaluates the ISSG in Portuguese Local Public Administration. This context is derived from a shift in perspective, from previous studies from Lopes and de Sá-Soares [2010] and Lopes and Oliveira [2016], that shown an slow adoption of Information Systems Security policies by the Portuguese City Halls. The methodology that will be used in this study is the Design Science Research (DSR) strategy, because considers as artifacts, the instrument creation and the methodological guide. The process surrounding the instrument development, from the problem awareness to the conclusion, is included as a subject for this research. The DSR also presents clear cycles, processes and guidelines; and is largely used in the Information System (IS) field, due to the high regard for evaluation. The propose set of this study is the development of an instrument to evaluate the ISSG in Local Public Administration (more precisely, to evaluate ISSG of all three hundred and eight City Halls across the Portuguese territory, including the autonomous regions of Azores and Madeira). Alongside a secondary artifact will be constructed, which consists of a methodological guide that will help with the implementation of said instrument.

Nos últimos anos, tem vindo a ser observado um crescente interesse na área da Governação da Segurança dos Sistemas de Informação (GSSI) devido, em grande parte, à dependência que as organizações têm sobre os sistemas de informação e os riscos inerentes aos mesmos. Caso ocorra uma falha nas medidas de segurança da informação desses sistemas, a reputação da organização pode ser diretamente afetada. Estas preocupações com a segurança da informação e o aumento dos requisitos regulatórios são particularmente interessantes no contexto deste estudo uma vez que avaliam o GSSI na Administração Pública Local Portuguesa. Este contexto deriva de uma mudança de perspectiva, verificada em estudos anteriores como o de Lopes e de Sá-Soares [2010] e Lopes e Oliveira [2016], que mostram uma adoção lenta das políticas de Segurança de Sistemas de Informação pelas câmaras municipais portuguesas. A metodologia que será utilizada neste estudo é a Design Science Research (DSR), dado que considera como artefactos, a criação de um instrumento e o guia metodológico. O processo em torno do desenvolvimento do instrumento, desde a consciencialização do problema até à sua conclusão, está incluído como assunto nesta investigação. O DSR também apresenta ciclos, processos e diretrizes claras, que são amplamente utilizados na àrea dos Sistemas da Informação (SI), devido à importância da avaliação. O objetivo definido para este estudo é a criação de um instrumento para avaliar o GSSI na Administração Pública Local (mais precisamente, para avaliar a GSSI em todas as trezentas e oito Câmaras Municipais do território português, incluindo as Regiões Autónomas dos Açores e da Madeira). Posteriormente será construído um artefato secundário que consiste na elaboração de um guia metodológico, que ajude na implementação do instrumento referido.