Adopção de políticas de segurança de sistemas de informação na Administração Pública Local em Portugal

Abstract

Nas últimas décadas, com a crescente dependência das organizações dos seus Sistemas de Informação (SI), o valor da informação assumiu uma importância vital para as organizações. A atenção das organizações, que era focada primordialmente nos seus activos tangíveis (físicos e financeiros), passou também a focar-se no activo informação. A Segurança de Sistemas de Informação (SSI) é um tema crítico a ter em conta nas organizações de todo o mundo. Face à importância das tecnologias de informação para o negócio e à utilização massiva da Internet e dos serviços que lhe estão associados, o número de ameaças que a informação está sujeita é cada vez mais elevado e consequentemente a necessidade de proteger os sistemas de informação torna-se mais premente. Tanto ou mais importante que atingir os níveis de segurança de informação adequados a cada organização, é conseguir mantê-los. Não basta ter software e hardware que contribua para a segurança da informação, mas também uma política de segurança e uma boa gestão da segurança, de forma a alicerçar devidamente os esforços de protecção dos activos do Sistema de Informação. No que diz respeito à Administração Pública Local, os munícipes esperam das autarquias o desenvolvimento e modernização dos seus SI, com vista a que a disponibilização de diversos serviços de forma interactiva e online se torne numa realidade cada vez mais acessível a todos e que a segurança dos dados associados a esses serviços tenha sido devidamente considerada. No domínio da investigação observa-se um número razoável de estudos sobre a temática das políticas de segurança, contudo, o número de estudos é reduzido no que diz respeito a trabalhos empíricos acerca das questões de adopção de políticas de segurança. No caso da Administração Pública Local em Portugal, esses estudos são praticamente inexistentes. Dada a ausência de estudos sobre esta temática nas Câmaras Municipais, foi elaborado e realizado um inquérito às 308 edilidades municipais, tendo por finalidade contribuir para a constituição de uma base de reflexão acerca das opções de investigação a desenvolver em torno da temática da “Adopção de Políticas de Segurança de Sistemas de Informação na Administração Pública Local em Portugal”. O principal objectivo do inquérito foi a obtenção de resposta à seguinte questão: As Câmaras Municipais Portuguesas têm implementadas políticas de SSI? Com base no levantamento efectuado concluiu-se que das 308 Câmaras Municipais de Portugal, 12% (38) indicaram dispor de políticas de SSI e 88% (270) indicaram não ter ou ainda se encontrarem em processo de formulação da política para posterior implementação. Esta constatação deu origem ao problema de investigação que se funda na reduzida adopção de políticas de SSI por parte dos Municípios em Portugal. A diluição do problema de investigação implicou satisfazer os seguintes objectivos: identificar as componentes e características das políticas de segurança existentes; identificar factores que afectam a adopção de políticas de SSI por parte das Câmaras Municipais, classificar esses factores e propor um enquadramento para auxiliar na compreensão da adopção de políticas de SSI nas Câmaras Municipais. Para se alcançarem os objectivos mencionados, este trabalho passou, para além da realização do levantamento já referido, por mais dois momentos fundamentais. O segundo momento consistiu na realização de 44 entrevistas semi-estruturadas, conduzidas presencialmente, gravadas, transcritas e posteriormente codificadas. O objectivo da realização das entrevistas foi recolher um conjunto de dados que possibilitasse dar resposta a questões intrínsecas ao problema de investigação. O terceiro momento fundou-se na recolha de políticas de SSI junto das Câmaras Municipais. O objectivo desta recolha foi, para além de verificar as características e componentes presentes nestes documentos, aferir-se a homogeneidade entre eles e com isso propor-se um modelo base de política de SSI a seguir pelos Municípios. Depois de concluído o percurso de investigação descrito, constatou-se que não existe uma única política ou modelo base partilhado pelos Municípios que já aprovaram ou se preparam para aprovar uma política de SSI. Com efeito, a inexistência de um modelo de referência que possa ser seguido pelas autarquias constitui um obstáculo à adopção de políticas de SSI à escala administrativa local. Assim, a adopção por via legislativa ou por recomendação da Associação Nacional de Municípios Portugueses de um modelo coerente, uniforme e flexível de políticas de SSI para as Câmaras Municipais, constituiria um contributo ou passo decisivo para a institucionalização dessas políticas. Neste trabalho de investigação evidenciam-se como principais contributos, para além dos dois modelos base de política de SSI, o destaque no que diz respeito ao conteúdo das políticas, processo e contexto na sua adopção

Due to the growing dependence of organizations on their Information Systems (IS), the value of information assumed a vital importance to the organizations in the last decades. The organizations, which used to focus their attention mainly on their tangible assets (physical and financial), are now focusing their attention on the information asset. Information Systems Security (ISS) is a critical issue to bear in mind in the organizations all around the world. With the information technology advent and the increasingly massive use of the Internet and its services, the number of attacks to which information is subject is higher and higher and, consequently, the need to protect information systems is now more important than ever. Being able to maintain the information security levels adequate to each organization has become as important, or perhaps even more important than reaching those levels in the first place. Having the right software and hardware for information security is not enough. There must also be a security policy and a good security management in order to effectively lay the foundations of the efforts for the protection of IS assets. As far as Local Public Administration is concerned, what citizens expect from their local government is the development and updating of their IS, hoping that the offer of several online interactive services becomes a reality available to all, and that the security of the data used in those services has been carefully handled. In the IS research domain, there is a reasonable number of studies into the security policies theme. However, the number of studies is reduced when we consider empirical works related to the uptake of security policies. With respect to Local Public Administration in Portugal, these studies are almost inexistent. In consequence of the absence of studies into this area in the Town Councils, a survey was made and carried out in 308 municipalities, aiming to contribute to the establishment of a basis for reflection on the research options to be developed concerning the theme “Uptake of Information Systems Security Policies in the Local Public Administration in Portugal”. The main goal of this survey was to obtain an answer to the following question: “Do the Portuguese Town Councils have ISS policies implemented?” The results of the survey showed that 12% (38) of the 308 Town Councils in Portugal reported having ISS policies and 88% (270) reported either not having any ISS policy implemented, or still being in the process of creating one for further implementation. These conclusions gave place to a research problem consisting in the reduced levels of ISS policies uptake by the Portuguese municipalities. The solution to this research problem implied the achievement of the following goals: identify the components and features of the existent security policies; identify factors which affect the uptake of ISS policies by the Town Councils, classify those factors and propose a framework to help understand the uptake of ISS policies by the Town Councils. In order to achieve these goals, and apart from the referred survey, this work went through two more key moments. The second moment consisted in holding 44 semi-structured interviews, conducted personally, recorded, transcribed and then codified. The purpose of the interviews was to collect data that would enable us to answer the intrinsic questions of the research problem. The third moment was grounded in collecting ISS policies by the municipalities. Apart from verifying the characteristics and components of these documents, the purpose of this data collection was to assess the homogeneity among them, and thus propose an ISS policy model to be followed by the Town Councils. After completing the course of research described above, the conclusion was that there is not a single policy or model that is shared by the Town Councils which have approved or are preparing to approve an ISS policy. Indeed, the inexistence of a reference model which can be followed by the municipalities represents an obstacle to the uptake of ISS policies on a local administration scale. Therefore, the uptake of a coherent, uniform and flexible model of ISS policies by the Town Councils, whether it is through legislation or on recommendation from the National Association of Portuguese Municipalities, would represent a contribution or a decisive step towards the institutionalization of such policies. The main contributions of this research work lie on the two ISS policy models presented, and on the emphasis regarding the policies content, as well as their uptake process and context.