Instrumento de avaliação de maturidade em processos de segurança da informação: estudo de caso em instituições hospitalares

Abstract

As mudanças no cenário internacional têm levado as organizações a preocuparem-se com o valor e responsabilidades em relação ao uso das informações, as quais têm reconhecido seu papel como um ativo de importância crescente. As informações estão cada vez mais disponíveis a todos os segmentos de negócios, com um papel importante no suporte à tomada de decisões em níveis operacionais e estratégicos. Este cenário também ocorre em instituições hospitalares, onde pode estar relacionada com a vida humana e todos os aspectos sociais e éticos que isto pode envolver. Este trabalho tem por objetivo propor um instrumento de avaliação da maturidade dos processos de Segurança da Informação para instituições hospitalares. Para a elaboração do instrumento foi realizada uma revisão da literatura procurando relacionar assuntos relativos a Segurança da Informação, incluindo modelos existentes e formas de avaliação de processos no contexto de instituições hospitalares. Para análise do instrumento proposto foram aplicados pré-testes com especialistas em segurança da informação. A seguir foi elaborado um estudo exploratório de natureza qualitativa com estudos de caso aplicados a profissionais de 3 instituições hospitalares. Este estudo foi elaborado com questionário semi-estruturado para posterior análise do conteúdo das entrevistas com as opiniões sobre a aplicabilidade do instrumento, estrutura lógica, clareza das questões e aderência aos objetivos propostos. Ao final, foram feitas as análises e inferências dos resultados obtidos com as percepções dos entrevistados. Como conclusão do trabalho cabe destacar a aprovação do instrumento em relação a sua utilidade para avaliar a maturidade de processos de segurança da informação em instituições hospitalares e a atual carência em relação as melhores práticas preconizadas pela literatura.

Changes in the international business market has taken organizations to be worried about the value and responsibilities regarding the use of information, which has been recognized as an asset of increasing importance. Information is currently available at all sectors and organizational levels, taking an important role for the decision making process for operational and strategic business activities. This scenario also occurs at hospitals, where it can be related to the human life and all the social and ethical aspects that this could involve. This work has the objective of proposing an instrument for the maturity evaluation of Information Security processes for hospitals. The instrument development was carried out based on a literature review on issues as Information Security, including existing models and processes evaluation methods, with special attention in the context of hospitals and health care institutions. For the instrument analysis were applied pre-tests with information security specialists. It has been followed by an exploratory research of qualitative nature with case studies interviewing professionals of 3 hospitals. The interviews were carried out based on a semi-structured questionnaire and the content analysis of the results have considered the instrument applicability, logical structure, questions clarity and adherence to its objectives. Conclusion taken from this work lead to the approval of the instrument regarding its application for evaluating the maturity of information security processes of hospitals and the current gap considering the best practices present in the literature reviewed.