MESTRADO EM CIÊNCIAS EMPRESARIAIS

RAMO: Gestão de PME

Metodologias de Investigação/Seminário
_________________________________________________________________________
Nome: RLRdS
Número: - Ano letivo: 2023-2024

1. Tema do projeto:
A classificação da informação enquanto mecanismo fundamental para a gestão e segurança
da informação organizacional

2. Pergunta(s) de Partida ou Questão(ões)de partida? /Objectivo(s):

No âmbito das Unidades Curriculares de Seminários de Projeto de Investigação e de
Metodologias de Investigação, foi sugerido o preenchimento desta ficha com o objetivo de
iniciar o processo de investigação para o projeto do trabalho final de mestrado, que neste caso
será na modalidade de dissertação.
Nesta sequência, o tema a abordar tem como objetivo perceber as práticas que podem, e
devem, ser adotadas para efetivar o sistema de classificação da informação organizacional,
estando patente a necessidade de criar um mecanismo com critérios uniformizados para que
os trabalhadores possam classificar corretamente a informação da organização. Pretende-se
enfatizar que a questão da classificação não se prende apenas com as áreas operacionais,
nomeadamente aquelas ligadas às Tecnologias de Informação (IT), mas com todos os
departamentos. O estudo a realizar terá como foco aferir a perceção da gestão de topo
quanto a esta temática, por ser aquela que pode desencadear a formalização de
procedimentos, e dinamizar contactos entre organizações que estejam ligadas à segurança da
informação classificada, para melhor entender a extensão e pertinência deste tema.
A questão de partida para o estudo que se irá desenvolver será:
Qual o papel da gestão de topo na aplicação de um sistema de classificação da informação de
modo a assegurar a boa gestão da segurança da informação organizacional?

3. Breve enquadramento teórico sobre tema.

Para demonstrar a relevância teórica do estudo desta temática, realizou-se uma pesquisa
bibliográfica na qual se verificou que a classificação da informação se revela, cada vez mais,
uma necessidade das organizações. De acordo com Peltier (1998), esta importância vem da
necessidade de priorizar e identificar qual a informação que necessita de maior proteção e
quais os recursos da organização devem ser alocados para a proteger e, para colmatar essa
carência deverá existir um mecanismo que facilite a identificação e a classificação da
informação mais crítica para a organização.
De acordo com a revisão de literatura sistemática dos autores Bergström et. al (2012) sobre a
classificação da informação, verificou-se que a investigação neste campo é limitada. Este
estudo revelou que a literatura entende que os fatores impulsionadores de procedimentos
para a classificação da informação estão, maioritariamente, dentro do âmbito operacional, ou
seja, a automatização dos processos e ferramentas para a classificação, a etiquetagem e
formação dos trabalhadores. No entanto, da literatura analisada pelos autores, verifica-se que
existem menores resultados quando o foco é a gestão de topo, como principais
impulsionadores, para a criação de processos de classificação de informação e da necessidade
de estar em compliance com a legislação. Verificou-se, porém, que ao nível dos gestores
intermédios, a investigação encontrou resultados que indicam a existência de interesse em
sensibilizar os trabalhadores para adoção das melhores práticas no que concerne a
classificação da informação e para criação de uma cultura de segurança.
Bergström et. al (2014) vem, neste sentido, indicar que a segurança da informação apenas se
pode atingir após identificar a informação que seja considerada um ativo e que a proteção
desta apenas se poderá efetivar com a existência de políticas, processos e medidas técnicas.
Sugere, para que tal suceda, que a organização adote critérios para categorizar a informação
de modo que não existam problemáticas associadas a esta. Na revisão de literatura
sistemática conduzida por estes autores, foram identificados problemas relacionados com a
classificação da informação, tais como fatores externos à organização, erro humano, o papel
da gestão e do papel do CISO (Chief Information Security Officer), políticas existentes, gestão
de recursos, performance da gestão e tecnologia. Face a estes, os autores concluíram que a
investigação científica se dedica muito mais aos temas relacionados com as políticas do que
ao papel do CISO e da gestão, bem como incide variadas vezes sobre a tecnologia e os fatores
externos, mas olvida a gestão de recursos, o erro humano e a performance da gestão. Desta
forma, o Centro Nacional de Cibersegurança (CNCS) publicou um estudo da autoria do
Instituto de Engenharia de Sistemas e Computadores (2023), o qual teve como finalidade
identificar se a tríade confidencialidade, integridade e disponibilidade (CIA) da informação
eram asseguradas pelas entidades, no âmbito da gestão e governança da informação. Neste,
verificou-se que apenas 7% das entidades inquiridas têm qualquer atividade relacionada com
a segurança da informação, de acordo com a vertente indicada.
A tríade confidencialidade, integridade e disponibilidade, está preconizada nas normas ISO,
nomeadamente na 27001:2013 e 27002:2013 (International Organization for Standardization,
2013) que são direcionadas para a segurança da informação. Nestas normas são referidos
quais os controlos cuja adoção é recomendada para assegurar um bom nível de segurança da
informação, correspondendo respetivamente à proteção contra acessos indevidos, alterações
não autorizadas e a sua perda. Nestas normas também é indiciada a importância de
estabelecer papéis relevantes dentro da organização e as responsabilidades de cada um para
a gestão da segurança da informação.
Peltier (1998) descreve a classificação da informação como um processo de decisão do
negócio, pois deve ser a própria organização a decidir sobre os elementos que caracterizam
melhor a segurança da informação, para o seu caso concreto, e deverá ser uma equipa interna
a desenvolver o trabalho de classificação da informação com o suporte dos núcleos aos quais
a informação concerne, através do desenvolvimento de políticas de classificação de
informação. Para tal, Bergström et. al (2020) indica que para a caracterização da informação
deverá existir um modelo hierárquico ou um esquema de classificação, sendo que uma das
limitações à implementação deste passa pelas diferentes incongruências por falta de critérios
de identificação objetivos ou que não são adaptados à realidade da organização.
Neste sentido, verifica-se no caso português, a gestão da informação classificada pertence ao
âmbito de atuação do Gabinete Nacional de Segurança (GNS), que rege a criação de normas
técnicas com base nas Resoluções de Conselho de Ministros (RCM) denominadas de SegNac
por dizerem respeito à classificação das normas de acordo com a sua relevância para questões
de segurança e defesa ao nível nacional, de acordo com o constante na sua Norma Técnica-
F01 (2016).
Andersson (2023) no seu estudo conclui da mesma forma, os principais problemas das
organizações prendem-se com a dificuldade em adaptar os guias existentes, a subjetividade
dos conceitos e da sua aplicação e sugere que as investigações conduzidas sobre estes temas
sejam levadas às organizações de modo a existir operacionalidade dos modelos que são
criados pelos investigadores.
Soomro et. al (2015) defende que a classificação da informação deve ser realizada
considerando uma perspetiva holística, pois não pode ser entendida como uma
responsabilidade exclusiva dos departamentos de TI. Refere que a influência dos gestores
intermédios e de topo é cada vez mais relevante para assegurar que a classificação é realizada
nos trâmites devidos, esses processos espelhem as necessidades da organização, reforçando
a existência de responsáveis pela gestão da segurança da informação como um CISO ou ISM
(Information Secutiry Manager).

4. Objetivos
O desenvolvimento deste tema, pela sua atualidade, tem como fundamento a necessidade de
conhecer a realidade das organizações forma como lida com informação e de que forma a
gestão intervém no sentido de ser consciente no tratamento e proteção de toda a informação
pela qual é responsável. A informação tem vindo a tornar-se no ativo mais relevante para uma
organização, no entanto, para que seja possível oferecer a devida proteção, é necessária a
existência de critérios que justifiquem o grau de importância atribuído. Assim, existe hoje a
constante necessidade de adaptação e desenvolvimento de meios apropriados que assegurem
a segurança da informação armazenada pelas organizações, face aos riscos que hoje se
apresentam, por serem ativos fundamentais (Bergström et al., 2020).
Considerando a extensa revisão de literatura sistemática conduzida em diferentes momentos
por Bergström et. al (2012 e 2014 e 2020), verifica-se a existência de uma falha de produção
científica por parte da comunidade de investigação, no que concerne o estudo do papel da
gestão para a classificação da informação e a sua independência da tecnologia, criando um
vácuo que sustenta os objetivos supra enunciados, quanto à necessidade de criação de diálogo
entre as organizações responsáveis e gestores de topo.

5. Metodologia preconizada
Na sequência da revisão de literatura efetuada, enquanto enquadramento teórico da
investigação a desenvolver a posteriori, será agora indiciada a metodologia de investigação
mais adequada para a análise da questão colocada.
No presente caso, a metodologia seguida será a qualitativa que, de acordo com Creswell
(2009), tem como finalidade a obtenção de dados, a análise documental, visa a exploração da
temática de modo a compreender a visão do participante e da realidade em que este está
inserido de modo que seja possível obter uma interpretação própria dos dados recolhidos.
Esta metodologia será conduzida através de estudo de caso, que se configura como estratégia
para obtenção de dados relativamente a uma atividade, processo ou atores que possibilitam
o estudo aprofundado de determinada temática, de acordo com a própria perspetiva e
interpretação do investigador (Stake, 2012). No caso concreto, a investigação terá como
propósito compreender os métodos utilizados e os mecanismos existentes para a classificação
da informação, num âmbito mais alargado do que somente o estudo de um caso particular e,
segundo Stake (2012) revestirá a forma de estudo de caso instrumental. O estudo de caso
promove a investigação num âmbito em que se pressupõe o interesse em conhecer as
interrelações, procura compreender as narrativas dos diferentes atores para “o leitor obter
uma compreensão experiencial do caso” (Stake, 2012). Devido ao largo espectro de questões
que influenciam a classificação da informação em ambientes organizacionais, para o estudo
de caso e, de acordo com Stake (2012), terá de ser considerada uma abordagem holística para
que estes estejam contemplados e que a sua interpretação não seja indevidamente limitada
a critérios que restrinjam a verdadeira caracterização da questão em estudo, levando a que o
contexto relevante seja considerado.
O estudo de caso a ser desenvolvido no decurso do trabalho de fim de mestrado, incidirá sobre
um Instituto Público e pretende-se, através da atuação deste, aprofundar a importância da
utilização de um modelo de classificação da informação. Como foi mencionado anteriormente,
tem-se como objetivo uma interpretação holística dos factos que serão obtidos direcionando-
os para percecionar o tema numa dimensão menos limitadora. No que concerne a recolha de
dados, entende-se que esta começa quando o investigador se aproxima da sua questão de
estudo (Stake, 2012), e embora esta recolha possa começar a ser desenvolvida de um modo
informal terá influência numa fase embrionária do estudo que impenderá sobre as questões
de investigação.
Como técnica de investigação qualitativa adaptada ao estudo de caso seguindo uma corrente
empírica, este trabalho também passará pela organização e realização de grupos focais. O
estudo de Morgan et. al (1984) descreve o grupo focal como um método qualitativo para
constituir um corpus de informação relevante para a temática em estudo. Indica que este
modelo cria uma oportunidade para encorajar a triangulação de dados na investigação e poder
avaliar a mesma questão sob diferentes prismas. Creswell (2009) salienta que a triangulação
de dados tem como propósito a validade da informação recolhida e que será posteriormente
analisada para a produção científica do investigador.
Morgan et. al (1984) refere que o grupo focal poderá ser considerado o método ideal para
realizar estudos onde não exista quantidade significativa de estudos realizados ou cuja
qualidade se revela insuficiente, sendo que permite a quebra de paradigmas metodológicos
por ser um método aliado importante para utilizar em consonância com outro método de
coleta de dados. Os autores destacam como fator diferenciador e importante, a possibilidade
de debate que o grupo focal oferece. A possibilidade de observar as interações baseadas em
conhecimentos e experiências pessoais e profissionais que se consubstanciam em aspetos
relevantes para o investigador. Porém, as interações se não forem devidamente guiadas e
orientadas (Gundumogula, 2021), podem ser prejudiciais e remeter para a necessidade de
sujeitar os intervenientes a possíveis entrevistas para conseguir obter clareza na questão que
se pretende ver respondida.
Gundumogula (2021) reforça a ideia de Morgan et. al (1984) quanto à inobservância de
estudos correntes em que o grupo focal seja o método escolhido para obter informação. A
 autora refere grupo focal é definido como uma entrevista mais alargada na qual se reúne um
conjunto de pessoas para explorar com alguma profundidade determinado tópico, guiados
por um moderador que irá conduzir o debate de uma forma estruturada e organizada. Os
indivíduos escolhidos devem ter algum conhecimento técnico ou académico ou experiência
profissional sobre o tema a abordar, pois devem acrescentar valor para o estudo. O grupo
focal deverá ter uma dimensão apropriada tendo em conta o seu objetivo e poderá ter o
número de sessões que for relevante para a investigação, considerando que Creswell (2009)
sugere que o número ideal de participantes centra-se entre os seis a oito, por grupo focal.
Neste caso em concreto, o grupo focal será dinamizado com o intuito de juntar alguns
elementos da academia e gestores de topo das organizações que participam no
desenvolvimento de normas relativas à necessidade da classificação da informação, com o
objetivo de criar uma ponte entre os estudos desenvolvidos academicamente e a prática que
é proposta para as organizações. Noutra perspetiva, sendo que o estudo será realizado
abordando a realidade de um Instituto Público, seria oportuno criar espaço de debate entre
gestores intermédios no que concerne às atuais práticas de classificação de informação e de
que modo estas podem ser melhoradas. Uma terceira possível abordagem, seria proporcionar
o diálogo entre a gestão de topo e as organizações encarregues pela criação das normas a
aplicar neste âmbito, facilitando o conhecimento da realidade quanto à aplicabilidade destas,
e para a gestão verificar se a estratégia de aplicação e de governance organizacional está
coerente com os objetivos. Os indivíduos que serão intervenientes dos grupos focais fazem
parte da amostra não causal, selecionados através do método da amostragem por
conveniência, conforme definido por Hill et al (1998), sendo que são aqueles que estão mais
próximos para realizar a investigação.
Na impossibilidade de poder realizar os grupos focais ou na insuficiência dos dados recolhidos
no decurso dos mesmos, como método de recolha de dados complementar será utilizada a
entrevista semi-estruturada ou semidiretiva, como refere Bardin (2011). A autora indica que
as entrevistas têm algum grau de rigidez e devem ser gravadas para posterior análise e
transcrição. No entanto, o método de análise de conteúdo será semelhante para ambos os
métodos de recolha de dados.
Bardin (2011) alerta que a análise da metodologia qualitativa pode levar à mudança de rumo
de investigação devido às interpretações efetuadas ao longo do seu estudo, criando uma
instabilidade no processo sendo que o investigador terá de atentar para as perspetivas e
contextos dos dados recolhidos, para proceder do modo que lhe seja mais conveniente.

6. Cronograma:
2023 2024

Actividades Out Nov Dez Jan Fev Mar Abr Mai Jun Jul Ago Set Out
Pesquisa bibliográfica inicial X X
Entrevistas exploratórias X X
Pesquisa bibliográfica X X X X

Redação do enquadramento teórico X X X X X X X X

Preparação e realização de grupos focais X X X
Preparação e Realização de entrevistas X X X
Análise dos resultados X X X
Discussão dos resultados X X X
Redação da dissertação X X X X X X X X X

Entrega do trabalho final X

7. Referências bibliográficas

Andersson, S. (2023). Problems in information classification: insights from practice.

Information and Computer Security. https://doi.org/10.1108/ICS-10-2022-0163
Autoridade Nacional de Segurança. (2016). Norma Técnica –
F01 (Vol.01). https://www.gns.gov.pt/docs/f01.pdf
Bardin, L. (2011). Análise de conteúdo (4ªedição). Edições 70, LDA.
Bergström, E., & Åhlfeldt, R. M. (2012). Information Classification Enablers Erik. Encyclopedia
of the Sciences of Learning, February 2016, 1560–1560. https://doi.org/10.1007/978-14419-
1428-6_4357
Bergström, E., & Åhlfeldt, R. M. (2014). Information Classification Issues. In Secure IT Systems
(Vol. 8788, Issue October 2014). https://doi.org/10.1007/978-3-319-11599-3
Bergström, E., Karlsson, F., & Åhlfeldt, R. M. (2020). Developing an information classification
method. Information and Computer Security, 29(2), 209–239. https://doi.org/10.1108/ICS-
072020-0110
Creswell, J. W. (2009). Research design: Qualitative, quantitative, and mixed methods
approaches. SAGE.
Gundumogula, M. (2021). Importance of Focus Groups in Qualitative Research. THE
INTERNATIONAL JOURNAL OF HUMANITIES & SOCIAL STUDIES, 8(11), 299–302.
https://doi.org/10.24940/theijhss/2020/v8/i11/HS2011-082
Hill, M. M., & Hill, A. (1998). INVESTIGAÇÃO EMPÍRICA EM CIÊNCIAS SOCIAIS: Um Guia
Introdutório. DINÂMIA - Centro de Estudos Sobre a Mudança Socioeconómica.
Instituto de Engenharia de Sistemas e Computadores, T., & e Ciência (INESC TEC). (2023).
Estudo sobre a comunidade de competências em cibersegurança.
https://www.cncs.gov.pt/docs/comcompciber-obcibercncs.pdf
International Organization for Standardization. (2013). ISO/IEC 27001:2013 Information
technology Security techniques Information security management systems. Acedido em 20 de
outubro de 2023 em https://www.iso.org/contents/data/standard/05/45/54534.html
International Organization for Standardization. (2013). ISO/IEC 27002:2013 Information
technology Security techniques Code of practice for information security controls. . Acedido
em 20 de outubro de 2023 em https://www.iso.org/standard/54533.html
Morgan, D. L., & Spanish, M. T. (1984). Focus Groups: A New Tool for Qualitative Research.
Qualitative Sociology. https://doi.org/10.1007/BF00987314
Peltier, T. R. (1998). Information classification. Information Systems Security, 7(3), 31–43.
https://doi.org/10.1201/1086/43300.7.3.19980901/31007.8
Soomro, Z. A., Shah, M. H., & Ahmed, J. (2015). Information security management needs more
holistic approach: A literature review. International Journal of Information Management,
36(2), 215–225. https://doi.org/10.1016/j.ijinfomgt.2015.11.009
Stake, R. E. (2012). A Arte da Investigação com Estudos de Caso (3ªedição). Fundação Calouste
Gulbenkian.