Os resultados desta pesquisa foram disponibilizados a partir da aplicação do questionário nos ministérios. No total foram coletados 10 questionários, definidos pela seção 3.4.2 (Delimitação da Amostra), com os níveis de maturidade de GovSI e seus respectivos motivos que dificultam a obtenção de um estágio mais elevado. Para fins desta pesquisa os órgãos serão representados e nomeados com números de 01 a 10, como, por exemplo: Órgão 01, Órgão 04 e Órgão 07.
O questionário aplicado nos órgãos busca levantar as informações necessárias para identificar o nível de maturidade de GovSI, bem como viabilizar uma análise dos pontos fortes e fracos desta governança nas entidades pesquisadas. As principais características das coletas encontram-se descritas a seguir:
Nível de Maturidade do Órgão: a pesquisa demonstra o nível de maturidade de
GovSI no qual se encontra o órgão em questão, que pode variar de 0 a 5;
Itens indicados com “SIM”: a pesquisa indica os principais requisitos de
GovSI que estão de acordo com as melhores práticas propostas pelo ITGI (2008);
Itens indicados com “NÃO”: a pesquisa indica a(s) questões(s) que
inviabiliza(m) a obtenção de um nível de maturidade de GovSI mais elevado; Causa(s) para o não cumprimento do(s) requisito(s) de GovSI: a pesquisa
indica a(s) causa(s) que justifica(m) o não cumprimento ou estabelecimento de um ou mais requisitos de GovSI no órgão;
Elemento de GovSI não Atendido: a pesquisa indica um ou mais elementos de
GovSI não atendidos pelo órgão, descritos no Quadro 4 (Classificação das questões de GovSI) da seção anterior;
Nível de maturidade desejado pelo órgão: a pesquisa indica o nível de
maturidade que ó órgão gostaria de possuir, caso o nível de maturidade não atenda as necessidades de negócio.
A coleta e apresentação das principais características extraídas a partir dos órgãos entrevistados encontram-se disponíveis nos quadros 5 a 14, sendo um quadro para cada ministério.
A seguir encontram-se disponibilizadas as principais características coletadas a partir do questionário respondido do Órgão 01.
CARACTERÍSTICAS DA PESQUISA RESULTADOS DO ÓRGÃO 01
Nível de Maturidade do Órgão Zero
Itens indicados com “SIM” 01, 02, 03, 04, 05, 06, 08, 09, 10
Questão indicada com “NÃO” 7) O órgão possui ações de contorno reativas para as falhas (incidentes) de segurança? Causa para o Não Cumprimento do Requisito
de GovSI b) Falta de pessoal ou equipe na unidade/órgão. Elemento de GovSI não Atendido
3) Implantação de mecanismos para continuidade dos serviços, como resposta aos incidentes ou interrupções nos serviços.
Nível de Maturidade desejado Quatro
Quadro 5 - Resultados da aplicação do questionário no “Órgão 01”. Fonte: O Autor.
A seguir encontram-se disponibilizadas as principais características coletadas a partir do questionário respondido do Órgão 02.
CARACTERÍSTICAS DA PESQUISA RESULTADOS DO ÓRGÃO 02
Nível de Maturidade do Órgão Um
Itens indicados com “SIM” 01,02, 03, 04, 05, 06, 07, 08, 09, 10, 11, 13, 15
Questões indicadas com “NÃO”
12) O órgão direciona as responsabilidades dos incidentes de segurança para um gestor ou área de segurança?
14) O órgão apresenta soluções de segurança da informação que ocorreram após um incidente de segurança?
16) O órgão direciona corretamente as falhas e interrupções de serviço para as áreas responsáveis?
Causa para o Não Cumprimento do Requisito
de GovSI c) Necessidade de treinamento e qualificação.
Elementos de GovSI não Atendidos
3) Implantação de mecanismos para continuidade dos serviços, como resposta aos incidentes ou interrupções nos serviços.
5) Atribuições dos papéis e responsabilidades pela Segurança de Informação.
Nível de Maturidade desejado Quatro
(no final de 2014) Quadro 6 - Resultados da aplicação do questionário no “Órgão 02”.
Fonte: O Autor.
A seguir encontram-se disponibilizadas as principais características coletadas a partir do questionário respondido do Órgão 03.
CARACTERÍSTICAS DA PESQUISA RESULTADOS DO ÓRGÃO 03
Nível de Maturidade do Órgão Dois
Itens indicados com “SIM” 01,02, 03, 04, 05, 06, 07, 08, 09, 10, 11, 12, 13, 14, 15, 16, 17, 18, 20, 21, 22
Questão indicada com “NÃO” 19) O órgão possui uma política de segurança escrita e divulgada, que inclui diversos procedimentos de segurança?
Causa para o Não Cumprimento do Requisito de GovSI
f) Outros Motivos: “O órgão já possui a política de segurança, entretanto, está em fase de divulgação e procedimentos”.
Elemento de GovSI não Atendido 6) Estabelecimento de políticas de segurança.
Nível de Maturidade desejado Cinco
Quadro 7 - Resultados da aplicação do questionário no “Órgão 03”. Fonte: O Autor.
A seguir encontram-se disponibilizadas as principais características coletadas a partir do questionário respondido do Órgão 04.
CARACTERÍSTICAS DA PESQUISA RESULTADOS DO ÓRGÃO 04
Nível de Maturidade do Órgão Dois
Itens indicados com “SIM” 01,02, 03, 04, 05, 06, 07, 08, 09, 10, 11, 12, 13, 14, 15, 16, 21 e 22
Questões indicadas com “NÃO”
17) No âmbito da Segurança da Informação, o órgão possui uma gestão de risco estruturada e formalmente definida?
18) No âmbito da Segurança da Informação, o levantamento de risco segue um modelo documentado e com instruções bem definidas para a sua execução?
19) O órgão possui uma política de segurança escrita e divulgada, que inclui diversos procedimentos de segurança?
20) O órgão realiza testes preventivos de intrusão e apresenta as informações dos relatórios de segurança para os gestores com frequência?
Causas para o Não Cumprimento dos Requisitos de GovSI
b) Falta de pessoal ou equipe na unidade/órgão. c) Necessidade de treinamento e qualificação. d) Ausência de perfil ou interesse gerencial para tratar a questão.
f) Outros Motivos: “política em construção” (item 19) e “proposta de serviços elevados no mercado” (item 20).
Elementos de GovSI não Atendidos
2) Implantação da Gestão de Riscos e elementos de análise do risco para o negócio.
6) Estabelecimento de políticas de segurança. 7) Implantação de Mecanismos Preventivos, como testes de intrusão, planos de recuperação e alta disponibilidade.
Nível de Maturidade desejado Cinco
Quadro 8 - Resultados da aplicação do questionário no “Órgão 04”. Fonte: O Autor.
A seguir encontram-se disponibilizadas as principais características coletadas a partir do questionário respondido do Órgão 05.
CARACTERÍSTICAS DA PESQUISA RESULTADOS DO ÓRGÃO 05
Nível de Maturidade do Órgão Zero
Itens indicados com “SIM” 01, 02, 03, 04, 05, 06, 08, 09 e 10
Questão indicada com “NÃO” 07) O órgão possui ações de contorno reativas para as falhas (incidentes) de segurança? Causa para o Não Cumprimento do Requisito
de GovSI
d) Ausência de perfil ou interesse gerencial para tratar a questão
Elemento de GovSI não Atendido
3) Implantação de mecanismos para continuidade dos serviços, como resposta aos incidentes ou interrupções nos serviços.
Nível de Maturidade desejado Quatro
Quadro 9 - Resultados da aplicação do questionário no “Órgão 05”. Fonte: O Autor.
A seguir encontram-se disponibilizadas as principais características coletadas a partir do questionário respondido do Órgão 06.
CARACTERÍSTICAS DA PESQUISA RESULTADOS DO ÓRGÃO 06
Nível de Maturidade do Órgão Zero
Itens indicados com “SIM” 01, 02 e 05
Questão indicada com “NÃO”
03) O órgão considera ou entende os impactos no negócio que podem ocorrer devido a uma falha de segurança?
04) O órgão possui alguma monitoração ou relatório sobre as vulnerabilidades de segurança? Causas para o Não Cumprimento dos
Requisitos de GovSI
a) Não é motivada por diretrizes ou normas internas.
d) Ausência de perfil ou interesse gerencial para tratar a questão.
Elemento(s) de GovSI não Atendido(s)
1) Entendimento da importância da Segurança de Informação, bem como seu alinhamento e impacto para o negócio.
4) Monitoramento e relatórios de segurança.
Nível de Maturidade desejado Quatro
Quadro 10 - Resultados da aplicação do questionário no “Órgão 06”. Fonte: O Autor.
A seguir encontram-se disponibilizadas as principais características coletadas a partir do questionário respondido do Órgão 07.
CARACTERÍSTICAS DA PESQUISA RESULTADOS DO ÓRGÃO 07
Nível de Maturidade do Órgão Zero
Itens indicados com “SIM” 02, 03 e 05
Questões indicadas com “NÃO”
01) No âmbito da Segurança da Informação, o órgão possui algum tipo de levantamento ou mapeamento de risco, mesmo que informalmente, para os processos ou decisões de negócio?
04) O órgão possui alguma monitoração ou relatório sobre as vulnerabilidades de segurança?
Causas para o Não Cumprimento dos Requisitos de GovSI
a) Não é motivada por diretrizes ou normas internas;
b) Falta de pessoal ou equipe na unidade/órgão; c) Necessidade de treinamento e qualificação; d) Ausência de perfil ou interesse gerencial para tratar a questão;
e) Processo lento e trabalhoso; Elementos de GovSI não Atendidos
2) Implantação da Gestão de Riscos e elementos de análise do risco para o negócio.
4) Monitoramento e relatórios de segurança.
Nível de Maturidade desejado Quatro
Quadro 11 - Resultados da aplicação do questionário no “Órgão 07”. Fonte: O Autor.
A seguir encontram-se disponibilizadas as principais características coletadas a partir do questionário respondido do Órgão 08.
CARACTERÍSTICAS DA PESQUISA RESULTADOS DO ÓRGÃO 08
Nível de Maturidade do Órgão Dois
Itens indicados com “SIM” 01,02, 03, 04, 05, 06, 07, 08, 09, 10, 11, 12, 13, 14, 15, 16, 18, 19, 20, 21 e 22
Questão indicada com “NÃO” 17) No âmbito da Segurança da Informação, o órgão possui uma gestão de risco estruturada e formalmente definida?
Causa para o Não Cumprimento do Requisito de GovSI
f) Outros Motivos: Gestão de Risco não é formalizada pela instituição.
Elemento de GovSI não Atendido 2) Implantação da Gestão de Riscos e elementos de análise do risco para o negócio.
Nível de Maturidade desejado
Dois
(O nível existente atende as demandas do negócio)
Quadro 12 - Resultados da aplicação do questionário no “Órgão 08”. Fonte: O Autor.
A seguir encontram-se disponibilizadas as principais características coletadas a partir do questionário respondido do Órgão 09.
CARACTERÍSTICAS DA PESQUISA RESULTADOS DO ÓRGÃO 09
Nível de Maturidade do Órgão Zero
Itens indicados com “SIM” 01,02, 03, 04, 05, 07, 08, 09, 10
Questão indicada com “NÃO”
6) No âmbito da Segurança da Informação, o órgão realiza um levantamento de riscos, sem processo formal, sob-demanda ou necessidade de projeto (ad hoc)?
Causa para o Não Cumprimento do Requisito
de GovSI b) Falta de pessoal ou equipe na unidade/órgão. Elemento de GovSI não Atendido 2) Implantação da Gestão de Riscos e elementos
de análise do risco para o negócio.
Nível de Maturidade desejado Quatro
Quadro 13 - Resultados da aplicação do questionário no “Órgão 09”. Fonte: O Autor.
A seguir encontra-se disponibilizado as principais características coletadas a partir do questionário respondido do Órgão 10.
CARACTERÍSTICAS DA PESQUISA RESULTADOS DO ÓRGÃO 10
Nível de Maturidade do Órgão Zero
Itens indicados com “SIM” 01, 02, 03 e 05
Questão indicada com “NÃO” 04) O órgão possui alguma monitoração ou relatório sobre as vulnerabilidades de segurança? Causas para o Não Cumprimento dos
Requisitos de GovSI
b) Falta de pessoal ou equipe na unidade/órgão. c) Necessidade de treinamento e qualificação. Elemento(s) de GovSI não Atendido(s) 4) Monitoramento e relatórios de segurança.
Nível de Maturidade desejado
Zero
(O nível existente atende as demandas do negócio)
Quadro 14 - Resultados da aplicação do questionário no “Órgão 10”. Fonte: O Autor.
5 DIAGNÓSTICO DE MATURIDADE DE GOVSI
Esta seção apresenta um diagnóstico das respostas coletadas e apresentadas na seção anterior (4.3 - Resultados das Coletas dos Questionários na ADF). Esta análise é construída a partir dos requisitos e referencial teórico de Governança da Segurança de Informação (GovSI), no contexto da Administração Direta Federal. Além disso, este diagnóstico encontra- se dividido em duas seções: o diagnóstico geral, que apresenta uma análise holística a partir dos requisitos, elementos e causas de GovSI; e o diagnóstico por órgão, que apresenta uma análise da GovSI em cada ministério.