O processo de formulação de uma política de segurança de informações segundo a percepção dos gestores: um estudo em instituições hospitalares

Abstract

O objetivo desta pesquisa foi compreender a participação dos gestores no processo de formulação de estratégias de uma política de segurança de informação identificando os elementos norteadores para a elaboração de uma estrutura de análise em organizações hospitalares. O objeto desta pesquisa foi constituído por cinco organizações hospitalares escolhidas segundo os critérios: em função da tipicidade, do seu tempo de existência e posição no mercado, e pela facilidade de acesso aos dados. Esta pesquisa utilizou um desenho de estudo de multicasos e corte longitudinal (as entrevistas foram realizadas em dois momentos distintos caracterizando duas fases de exploração dos dados), de caráter contextual e processual de cunho exploratório e descritivo com a intenção de gerar uma classificação categórica para desenvolver uma teoria fundamentada em dados. A lógica interpretativa para o tratamento de dados utilizou a abordagem qualitativa, porque a pesquisa teve como pressuposto a obtenção de dados a partir de entrevistas individuais e em grupo visando compreender os fenômenos segundo as perspectivas dos sujeitos que foram representados por uma amostra de quatorze gestores envolvidos diretamente com planos estratégicos organizacionais e com a área de tecnologia de informação. O método utilizado nesta pesquisa foi a Grounded Theory que possibilitou analisar os aspectos subjetivos como as percepções e opiniões que os gestores têm quanto ao contexto organizacional específico nas organizações hospitalares. A pesquisa conduziu o desenvolvimento de uma estrutura de análise que foi batizada com o nome de “Ciclo contínuo de acompanhamento para o desenvolvimento de uma Política de Segurança de Informações em Organizações Hospitalares”. Com esta estrutura foi possível identificar as responsabilidades em relação à segurança da informação nos diferentes níveis organizacionais, delineando responsabilidades em relação à implementação, verificação da conformidade, auditoria e avaliação, estabelecendo orientações necessárias em relação a todas as medidas de proteção que serão implementadas. Como resultado, verificou-se que as organizações hospitalares deste estudo, em suas distintas naturezas, possuíram claras deficiências para formular uma política de segurança de informação devido à necessidade de definições claras nos papéis dos diversos grupos organizacionais, e de elementos norteadores para a percepção na tomada de decisão por parte dos gestores.

The purpose of this paper was to understand the participation of managers in the process of formulating strategies for information security policy, identifying the leading elements to develop an analysis system in hospital organizations. The object of this study was formed by five hospital organizations selected according to typical characteristics, time of existence and market position, and data availability. This research was carried out in a multicase, longitudinal, contextual and procedural, exploratory and descriptive fashion. It intended to generate specific criteria to develop data-based theory. Interviews were conducted in two different moments establishing two stages of data exploration. The data interpreting system was qualitative, as the research amassed information from individual and group interviews to understand the phenomena according to the perspective of the subjects — fourteen managers involved directly with IT and organizational and strategic plans. The Grounded Theory method was used to analyze the subjective aspects such as the managers’ perceptions and opinions about the specific organizational context in hospital organizations. The study led to the development of an analysis framework named “Continuous monitoring cycle for the development of an Information Security Policy in Hospital Organizations”. With this structure, it has been possible to identify information security accountability in various organizational levels, outlining responsibilities in relation to implementation, compliance, audit and evaluation, establishing necessary guidelines for all protection measures still to be implemented. As a result, it was found that the hospital organizations in this study, in their unique nature, displayed lack of qualification to formulate a clear, formal information security policy due to the need for straight forward definitions in the role of the various organizational groups, and the leading elements to managers’ perception in decision making.