Uma visão organizacional na formulação de políticas de segurançade informações em instituições hospitalares / An organizational view on formulating information security policies in hospitals / An organizational view on formulating information security policies in hospitalsUna visión organizacional en la formulación de políticas de seguridad de informaciones eninstituciones hospitalarios

RESUMO

O objetivo desta pesquisa foi compreender a participação dos gestores no processo de formulação de estratégias de uma política de segurança de informação, identificando os elementos norteadores para a elaboração de uma estrutura de análise em organizaçõeshospitalares. O objeto desta pesquisa foi constituído por cinco organizações hospitalares, escolhidas segundo os critérios em função da tipicidade, do seu tempo de existência e posição no mercado, e pela facilidade de acesso aos dados. Esta pesquisa utilizou um desenho de estudo de multicasos e corte transversal, de caráter contextual e processual, de cunho exploratório e descritivo, com a intenção de gerar uma classificação categórica para desenvolver uma teoria fundamentada em dados. A pesquisa conduziu o desenvolvimento de uma estrutura de análise que foi batizada com o nome de “Ciclo contínuo de acompanhamento para o desenvolvimento de uma Política deSegurança de Informações em Organizações Hospitalares”. Com esta estrutura foi possível identificar as responsabilidades em relação àsegurança da informação nos diferentes níveis organizacionais, delineando responsabilidades em relação à implementação, verificaçãoda conformidade, auditoria e avaliação, estabelecendo orientações necessárias em relação a todas as medidas de proteção que serãoimplementadas. Como resultado, verificou-se que as organizações hospitalares deste estudo, em suas distintas naturezas, apresentaramclaras deficiências para formular uma política de segurança de informação devido à necessidade de definições claras nos papéis dos diversos grupos organizacionais, e de elementos norteadores para a percepção na tomada de decisão por parte dos gestores.(AU)

ABSTRACT

This research aimed at understanding the participation of the managers in the process of devising strategies of a policy on information security, identifying the guiding elements to make an analysis structure about hospitals. The object of this researchwas composed by five hospitals, chosen according to the following criteria type, duration and position in the market, and easy accessto data. This research used a multi-case and cross-section study design of a contextual and process and exploratory and descriptivenature to create a categorical classification to develop a theory based on data. This research conducted the development of an analysis structure that was named as “Continuous Follow-up Cycle for the Development of a Policy on Information Security about Hospitals”.With this structure, it was possible to identify the duties about the information security in the different organizational levels, definingresponsibilities as to the compliance, evaluation and audit verification and implementation and establishing guidelines needed for allthe protection measures that will be implemented. As a result, it was observed that the studied hospitals in their different naturesshowed clear deficiencies to formulate a policy on information security due to the need for clear definitions in the roles of the several organizational groups and for guiding elements for the perception in the decision-making of the managers.(AU)

RESUMEN

El objetivo de esta investigación fue comprender la participación de los gestores en el proceso de formulación de estrategias de una política de seguridad de información, identificando los elementos orientadores para la elaboración de una estructura de análisisen organizaciones hospitalarias. El objeto de esta investigación fue constituido por cinco organizaciones hospitalarias, elegidas segúnlos criterios en función de la tipicidad, de su tiempo de existencia y posición en el mercado, y por la facilidad de acceso a los datos. Estainvestigación utilizó un diseño de estudio de multicasos y corte transversal, de carácter contextual y procesal, de cuño exploratorio ydescriptivo, con la intención de generar una clasificación categórica para desarrollar una teoría fundamentada en datos. La investigación condujo el desarrollo de una estructura de análisis que fue denominada de “Ciclo Continuo de Acompañamiento para el Desarrollo deuna Política de Seguridad de Informaciones en Organizaciones Hospitalarias”. Con esta estructura fue posible identificar las responsabilidades en relación a la seguridad de la información en los diferentes niveles organizacionales, delineando responsabilidades en relación a la implementación, verificación de la conformidad, auditoría y evaluación, estableciendo orientaciones necesarias en relación a todas las medidas de protección que serán implementadas. Como resultado, se verificó que las organizaciones hospitalarias de este estudio, en sus distintas naturalezas, presentaron claras deficiencias para formular una política de seguridad de información debido a la necesidadde definiciones claras en los papeles de los diferentes grupos organizacionales, y de elementos orientadores para la percepción en latoma de decisión por parte de los gestores.(AU)