Construção da escala do nível da cultura organizacional de segurança da informação

Abstract

O presente estudo objetivou a construção de uma escala de medi-da do nível de cultura organizacional de segurança da informação. Nesse sentido, a partir de uma ampla revisão bibliográfica, foi conceituada a cultura organizacional de segurança da informação, objeto de avaliação do estudo. Em seguida, procedeu-se a definição do traço latente Cultura Organizacional de Segurança da Informação, estabelecendo que os atributos que caracterizam o traço latente são os nove princípios da Organização para Cooperação e Desenvolvimento Econômico OCDE, e os controles de segurança da informação da norma ABNT NBR ISO/IEC 27002. Para a construção da escala, foi elaborado um instrumento de avaliação, questionário, e aplicado em organizações públicas federais. Após a análise e validação do instrumento, com fundamento na Teoria da Resposta ao Item TRI obteve-se um conjunto de 55 itens que estruturam a escala. O estudo apresentou os seguintes resultados: a proposta de um conceito de cultura organizacional aplicada à segurança da informação e a criação de uma escala padronizada e interpretada de avaliação do nível de cultura organizacional de segurança da informação, definida em cinco níveis: 0 Caos, 1 Elementar, 2 Em evolução 3 Encaminhado e 4 Otimizado. A escala desenvolvida, fundamentada na TRI, permite avaliar todos os tipos de organizações, possibilita a comparabilidade entre organizações, inclusive aquelas pertencentes a uma cadeia de suprimentos, e fornece as informações necessárias para o autoconhecimento da organização, auxiliando os gestores na otimização dos investimentos em segurança da informação e nas tomadas de decisões gerenciais.

Abstract : The present study s goal was to build a measurement scale of the level of information security in an institution s organizational culture. Therefore, based on a broad bibliographical review, the study conceptualized the organizational culture of information security, which was our object of evaluation. Then, the study defined the latent trait Organizational Culture of Information Security, establishing that the attributes that characterize the latent trait are: the nine principles of the Organization for Economic Cooperation and Development OECD; and the information security controls of the ABNT NBR ISO / IEC 27002 s standard. In order to build the scale, we developed an evaluation instrument, a questionnaire, and applied it to federal public organizations. After the analysis and validation of the instrument, based on Item Response Theory - IRT, we obtained a set of 55 items that structure the scale. The study yielded the following results: a proposal of a concept of organizational culture applied to information security; and the development of a standardized and interpreted scale of evaluation of the organizational culture level of information security, defined in five levels: 0 - Chaos, 1 - Elementary, 2 - In Progress 3 - Advanced and 4 - Optimized. The scale developed based on IRT allows us to evaluate all types of organizations, enables comparing organizations in a supply chain, and provides the necessary information for self-knowledge of the organization, helping managers to optimize investments in information security and in managerial decision-making.