MODELO DE AVALIAÇÃO DA MATURIDADE DA SEGURANÇA DA INFORMAÇÃO

Business processes are supported by information technologies, although many processes and information systems were not designed to be secure. The lack of a security evaluation method might expose organizations to several risky situations. This work presents an information security maturity management process which uses a measurement method and a set of controls which treat information security on a comprehensive way. The results indicate that the method is efficient for evaluating the current state of information security, to support information security management, risks identification, the improvement of business processes and internal control processes.Os processos de negócio das organizações são suportados por tecnologias da informação, apesar de muitos processos e sistemas não terem sido projetados para serem seguros. A falta de um método para avaliar a segurança pode expor a organização a riscos em diversas situações. Este artigo apresenta um processo para a gestão da maturidade da segurança da informação por meio de um método de medição e um conjunto de controles que tratam a segurança da informação de forma abrangente. Os resultados indicam que o método é eficiente para avaliar o estado atual da segurança, auxiliar no processo de gestão da segurança da informação e identificação de riscos, e apoiar a melhoria dos processos e controles internos da organização