Utilize este identificador para referenciar este registo:
https://hdl.handle.net/1822/20783
Título: | Adopção de políticas de segurança de sistemas de informação na Administração Pública Local em Portugal |
Autor(es): | Lopes, Isabel Maria |
Orientador(es): | Soares, Filipe de Sá |
Data: | 3-Jul-2012 |
Resumo(s): | Nas últimas décadas, com a crescente dependência das organizações dos seus
Sistemas de Informação (SI), o valor da informação assumiu uma importância vital
para as organizações. A atenção das organizações, que era focada primordialmente
nos seus activos tangíveis (físicos e financeiros), passou também a focar-se no activo
informação.
A Segurança de Sistemas de Informação (SSI) é um tema crítico a ter em conta nas
organizações de todo o mundo. Face à importância das tecnologias de informação
para o negócio e à utilização massiva da Internet e dos serviços que lhe estão
associados, o número de ameaças que a informação está sujeita é cada vez mais
elevado e consequentemente a necessidade de proteger os sistemas de informação
torna-se mais premente.
Tanto ou mais importante que atingir os níveis de segurança de informação
adequados a cada organização, é conseguir mantê-los. Não basta ter software e
hardware que contribua para a segurança da informação, mas também uma política
de segurança e uma boa gestão da segurança, de forma a alicerçar devidamente os
esforços de protecção dos activos do Sistema de Informação.
No que diz respeito à Administração Pública Local, os munícipes esperam das
autarquias o desenvolvimento e modernização dos seus SI, com vista a que a
disponibilização de diversos serviços de forma interactiva e online se torne numa
realidade cada vez mais acessível a todos e que a segurança dos dados associados a
esses serviços tenha sido devidamente considerada.
No domínio da investigação observa-se um número razoável de estudos sobre a
temática das políticas de segurança, contudo, o número de estudos é reduzido no que
diz respeito a trabalhos empíricos acerca das questões de adopção de políticas de
segurança. No caso da Administração Pública Local em Portugal, esses estudos são
praticamente inexistentes.
Dada a ausência de estudos sobre esta temática nas Câmaras Municipais, foi
elaborado e realizado um inquérito às 308 edilidades municipais, tendo por
finalidade contribuir para a constituição de uma base de reflexão acerca das opções
de investigação a desenvolver em torno da temática da “Adopção de Políticas de
Segurança de Sistemas de Informação na Administração Pública Local em Portugal”. O principal objectivo do inquérito foi a obtenção de resposta à seguinte questão: As
Câmaras Municipais Portuguesas têm implementadas políticas de SSI? Com base no
levantamento efectuado concluiu-se que das 308 Câmaras Municipais de Portugal,
12% (38) indicaram dispor de políticas de SSI e 88% (270) indicaram não ter ou
ainda se encontrarem em processo de formulação da política para posterior
implementação.
Esta constatação deu origem ao problema de investigação que se funda na reduzida
adopção de políticas de SSI por parte dos Municípios em Portugal. A diluição do
problema de investigação implicou satisfazer os seguintes objectivos: identificar as
componentes e características das políticas de segurança existentes; identificar
factores que afectam a adopção de políticas de SSI por parte das Câmaras
Municipais, classificar esses factores e propor um enquadramento para auxiliar na
compreensão da adopção de políticas de SSI nas Câmaras Municipais.
Para se alcançarem os objectivos mencionados, este trabalho passou, para além da
realização do levantamento já referido, por mais dois momentos fundamentais. O
segundo momento consistiu na realização de 44 entrevistas semi-estruturadas,
conduzidas presencialmente, gravadas, transcritas e posteriormente codificadas. O
objectivo da realização das entrevistas foi recolher um conjunto de dados que
possibilitasse dar resposta a questões intrínsecas ao problema de investigação.
O terceiro momento fundou-se na recolha de políticas de SSI junto das Câmaras
Municipais. O objectivo desta recolha foi, para além de verificar as características e
componentes presentes nestes documentos, aferir-se a homogeneidade entre eles e
com isso propor-se um modelo base de política de SSI a seguir pelos Municípios.
Depois de concluído o percurso de investigação descrito, constatou-se que não existe
uma única política ou modelo base partilhado pelos Municípios que já aprovaram ou
se preparam para aprovar uma política de SSI. Com efeito, a inexistência de um
modelo de referência que possa ser seguido pelas autarquias constitui um obstáculo à
adopção de políticas de SSI à escala administrativa local.
Assim, a adopção por via legislativa ou por recomendação da Associação Nacional
de Municípios Portugueses de um modelo coerente, uniforme e flexível de políticas
de SSI para as Câmaras Municipais, constituiria um contributo ou passo decisivo
para a institucionalização dessas políticas.
Neste trabalho de investigação evidenciam-se como principais contributos, para além
dos dois modelos base de política de SSI, o destaque no que diz respeito ao conteúdo das políticas, processo e contexto na sua adopção Due to the growing dependence of organizations on their Information Systems (IS), the value of information assumed a vital importance to the organizations in the last decades. The organizations, which used to focus their attention mainly on their tangible assets (physical and financial), are now focusing their attention on the information asset. Information Systems Security (ISS) is a critical issue to bear in mind in the organizations all around the world. With the information technology advent and the increasingly massive use of the Internet and its services, the number of attacks to which information is subject is higher and higher and, consequently, the need to protect information systems is now more important than ever. Being able to maintain the information security levels adequate to each organization has become as important, or perhaps even more important than reaching those levels in the first place. Having the right software and hardware for information security is not enough. There must also be a security policy and a good security management in order to effectively lay the foundations of the efforts for the protection of IS assets. As far as Local Public Administration is concerned, what citizens expect from their local government is the development and updating of their IS, hoping that the offer of several online interactive services becomes a reality available to all, and that the security of the data used in those services has been carefully handled. In the IS research domain, there is a reasonable number of studies into the security policies theme. However, the number of studies is reduced when we consider empirical works related to the uptake of security policies. With respect to Local Public Administration in Portugal, these studies are almost inexistent. In consequence of the absence of studies into this area in the Town Councils, a survey was made and carried out in 308 municipalities, aiming to contribute to the establishment of a basis for reflection on the research options to be developed concerning the theme “Uptake of Information Systems Security Policies in the Local Public Administration in Portugal”. The main goal of this survey was to obtain an answer to the following question: “Do the Portuguese Town Councils have ISS policies implemented?” The results of the survey showed that 12% (38) of the 308 Town Councils in Portugal reported having ISS policies and 88% (270) reported either not having any ISS policy implemented, or still being in the process of creating one for further implementation. These conclusions gave place to a research problem consisting in the reduced levels of ISS policies uptake by the Portuguese municipalities. The solution to this research problem implied the achievement of the following goals: identify the components and features of the existent security policies; identify factors which affect the uptake of ISS policies by the Town Councils, classify those factors and propose a framework to help understand the uptake of ISS policies by the Town Councils. In order to achieve these goals, and apart from the referred survey, this work went through two more key moments. The second moment consisted in holding 44 semi-structured interviews, conducted personally, recorded, transcribed and then codified. The purpose of the interviews was to collect data that would enable us to answer the intrinsic questions of the research problem. The third moment was grounded in collecting ISS policies by the municipalities. Apart from verifying the characteristics and components of these documents, the purpose of this data collection was to assess the homogeneity among them, and thus propose an ISS policy model to be followed by the Town Councils. After completing the course of research described above, the conclusion was that there is not a single policy or model that is shared by the Town Councils which have approved or are preparing to approve an ISS policy. Indeed, the inexistence of a reference model which can be followed by the municipalities represents an obstacle to the uptake of ISS policies on a local administration scale. Therefore, the uptake of a coherent, uniform and flexible model of ISS policies by the Town Councils, whether it is through legislation or on recommendation from the National Association of Portuguese Municipalities, would represent a contribution or a decisive step towards the institutionalization of such policies. The main contributions of this research work lie on the two ISS policy models presented, and on the emphasis regarding the policies content, as well as their uptake process and context. |
Tipo: | Tese de doutoramento |
Descrição: | Tese de doutoramento em Tecnologias e Sistemas de Informação |
URI: | https://hdl.handle.net/1822/20783 |
Acesso: | Acesso aberto |
Aparece nas coleções: |
Ficheiros deste registo:
Ficheiro | Descrição | Tamanho | Formato | |
---|---|---|---|---|
Tese_IL_2012.pdf | 3,94 MB | Adobe PDF | Ver/Abrir |