INSIDERS: ANÁLISE E POSSIBILIDADES DE MITIGAÇÃO DE AMEAÇAS INTERNAS

In our current globalized and highly competitive world, information is one of the most valuable organizational assets. In this context, information security has become a constant concern. To achieve reliable levels of safety, the focus of many companies has been to invest primarily in technology and processes, forgetting the human resources that necessarily work with these technologies and run processes. Those people could also become threats. Thinking about this gap, particularly focusing on people as an internal threat (insiders), this study investigated the current situation and trends in information security. By applying a questionnaire to public and private companies in Recife and the surrounding (called, in this study, Greater Recife), aspects of information security were analyzed, focusing on internal threats, where it was established that, in general, information security has a low level of maturity, is not aligned to the business, plays a simplistic role of only seeking protection against external threats. In this vulnerable environment, the active participation of internal threats was noticed. The situation is worse in the public sector. Finally, the work proposed actions to mitigate internal threats involving a broader view of information security, so that people are seen as another layer of security and not just a vulnerability.No mundo atual, globalizado e altamente competitivo, a informação é um dos mais valiosos ativos das empresas. Nesse contexto, a segurança da informação tornou-se um motivo de preocupações constantes. Para atingir níveis confiáveis de segurança, o foco de muitas empresas tem sido investir primariamente em tecnologia e processos, esquecendo-se dos recursos humanos que necessariamente trabalharão com estas tecnologias e farão funcionar os processos. Pessoas essas que poderão, também, se tornar ameaças. Pensando nesta lacuna existente, especificamente nas pessoas como ameaças internas (insiders), o presente trabalho investigou o panorama atual e tendências para a segurança da informação. Analisou, por meio da aplicação de um questionário, os aspectos de segurança da informação, focando nas ameaças internas, de empresas públicas e privadas da cidade do Recife e circunvizinhança (denominada, no presente trabalho, Grande Recife) onde foi possível constatar que, de uma forma geral, a segurança da informação tem um baixo nível de maturidade, não está alinhada ao negócio, exerce um papel simplório com foco na proteção contra ameaças externas. Neste ambiente vulnerável, percebeu-se a participação ativa das ameaças internas, com situação ainda mais precária no setor público. Finalizando, o trabalho propôs ações para mitigar as ameaças internas envolvendo uma visão mais ampla da segurança da informação de forma que as pessoas sejam vistas como mais uma camada de segurança e não apenas uma vulnerabilidade

INSIDERS: ANÁLISE E POSSIBILIDADES DE MITIGAÇÃO DE AMEAÇAS INTERNAS

In our current globalized and highly competitive world, information is one of the most valuable organizational assets. In this context, information security has become a constant concern. To achieve reliable levels of safety, the focus of many companies has been to invest primarily in technology and processes, forgetting the human resources that necessarily work with these technologies and run processes. Those people could also become threats. Thinking about this gap, particularly focusing on people as an internal threat (insiders), this study investigated the current situation and trends in information security. By applying a questionnaire to public and private companies in Recife and the surrounding (called, in this study, Greater Recife), aspects of information security were analyzed, focusing on internal threats, where it was established that, in general, information security has a low level of maturity, is not aligned to the business, plays a simplistic role of only seeking protection against external threats. In this vulnerable environment, the active participation of internal threats was noticed. The situation is worse in the public sector. Finally, the work proposed actions to mitigate internal threats involving a broader view of information security, so that people are seen as another layer of security and not just a vulnerability.No mundo atual, globalizado e altamente competitivo, a informação é um dos mais valiosos ativos das empresas. Nesse contexto, a segurança da informação tornou-se um motivo de preocupações constantes. Para atingir níveis confiáveis de segurança, o foco de muitas empresas tem sido investir primariamente em tecnologia e processos, esquecendo-se dos recursos humanos que necessariamente trabalharão com estas tecnologias e farão funcionar os processos. Pessoas essas que poderão, também, se tornar ameaças. Pensando nesta lacuna existente, especificamente nas pessoas como ameaças internas (insiders), o presente trabalho investigou o panorama atual e tendências para a segurança da informação. Analisou, por meio da aplicação de um questionário, os aspectos de segurança da informação, focando nas ameaças internas, de empresas públicas e privadas da cidade do Recife e circunvizinhança (denominada, no presente trabalho, Grande Recife) onde foi possível constatar que, de uma forma geral, a segurança da informação tem um baixo nível de maturidade, não está alinhada ao negócio, exerce um papel simplório com foco na proteção contra ameaças externas. Neste ambiente vulnerável, percebeu-se a participação ativa das ameaças internas, com situação ainda mais precária no setor público. Finalizando, o trabalho propôs ações para mitigar as ameaças internas envolvendo uma visão mais ampla da segurança da informação de forma que as pessoas sejam vistas como mais uma camada de segurança e não apenas uma vulnerabilidade

Proposal for Simplified Security Model for Small and Medium Business

The adoption of information security model, implementation of policies and fitness for any information security standard is rare for Small and Medium Enterprises (SMEs) because, often, the complexity of the rules. As these organizations contribute to much of the national economy, being the largest employers in Brazil, it was necessary to research ways to try to fill the gap. For this purpose the present study analyzed with real sample of 48 SMEs, through a questionnaire, which the vision of information security for SMEs and proposed a model simplifying controls 133 of ISO / IEC 27002 for just 22. This simplified model was , later also validated via questionnaire with ICT professionals in SMEs