A Alta Administração na Linha de Frente da Segurança da Informação: Utopia ou Necessidade?

• Adriana Marcílio ^[2] ; Edvan Gomes da Silva ^[1] ; Virgínia de Melo Dantas Trinks ^[1] ; Lucas Vinícius Andrade Ferreia ^[1] ; Rafael Rabelo Nunes ^[1]
  1. [1] Universidade de Brasília

     Universidade de Brasília

     Brasil

     
  2. [2] Agência Nacional do Petróleo, Gás Natural e Biocombustíveis – ANP, Rio de Janeiro, Brasil,
• Localización: RISTI: Revista Ibérica de Sistemas e Tecnologias de Informação, ISSN-e 1646-9895, Nº. Extra 78, 2026, págs. 98-113
• Idioma: portugués
• Títulos paralelos:
  • Challenges in implementing information security in the Brazilian public sector: The accountability of senior management
• Enlaces
  • Texto completo (pdf)
• Resumen
  • English

    The expansion of digitalization in the public sector and the recurrence of cyber incidents expose governance weaknesses, while the accountability of senior management remains diffuse and weakly enforceable. This study examines barriers to the implementation of information security in the Brazilian public sector, with a specific focus on the accountability of top management. Methodologically, the study adopts the Consolidated Meta-Analytical Approach Theory (TEMAC), combining a systematic review of national and international literature, bibliometric analysis, and an examination of recent audit decisions and regulatory frameworks. The findings reveal normative omissions, limited participation of senior management in decision-making processes, absence of clearly defined executive responsibilities, and insufficient accountability mechanisms, which constrain the capacity to prevent and respond to cyber risks. Based on these findings, the study maps regulatory and institutional obstacles and advances recommendations to clarify executive duties, strengthen governance structures, and refine accountability instruments, with a view to enhancing the maturity and cyber resilience of public organizations. Finally, the article outlines a research agenda to develop a conceptual frameworks and maturity indicators capable of objectively measuring the accountability of senior management in cybersecurity governance.

  • português

    A expansão da digitalização no setor público e a recorrência de incidentes cibernéticos expõem fragilidades de governança, enquanto a responsabilização da alta administração permanece difusa e pouco exigível. Este estudo analisa barreiras à implementação da segurança da informação no serviço público brasileiro, com foco na responsabilização da alta gestão. Metodologicamente, adota-se a Teoria do Enfoque Meta-Analítico Consolidado (TEMAC), articulando revisão sistemática da literatura nacional e internacional, análise bibliométrica e exame de acórdãos e marcos regulatórios recentes. Os achados evidenciam omissões normativas, baixa participação da alta administração nos processos decisórios, ausência de atribuições formais e mecanismos insuficientes de accountability, resultando em limitada capacidade de prevenção e resposta a riscos cibernéticos. Com base nesse diagnóstico, o estudo mapeia entraves regulatórios e institucionais, propõe recomendações para explicitar deveres da alta gestão, fortalecer estruturas de governança e aprimorar instrumentos de responsabilização, com vistas a elevar a maturidade e a resiliência cibernética dos órgãos públicos. Adicionalmente, o artigo sugere uma agenda de pesquisa voltada ao desenvolvimento de frameworks conceituais e indicadores de maturidade capazes de mensurar objetivamente a accountability da alta administração na governança da cibersegurança.

• Referencias bibliográficas
  • ABNT. (2023). ABNT NBR ISO/IEC 27032:2023 — Segurança cibernética – Diretrizes para segurança na Internet. Rio de Janeiro: ABNT.
  • ABNT. (2023). ISO/IEC 27000:2023 – Information technology – Security techniques – Information security management systems – Overview and vocabulary....
  • Adriaanse, L., & Rensleigh, C. (2013). Web of Science, Scopus and Google Scholar: A content comprehensiveness comparison. doi:10.1108/EL...
  • Alves, R. S., Georg, M. A., & Nunes, R. R. (2023). Judiciário sob ataque hacker: riscos de negócio para segurança cibernética em tribunais...
  • Balaji, K. (2025). E-government and e-governance: Driving digital transformation in public administration. Em I. Global (Ed.), Public Governance...
  • Barbala, A., Sporsem, T., & Stray, V. (2023). Data-Driven Development in Public Sector: How Agile Product Teams Maneuver Data Privacy...
  • Brasil. (2018). Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD). Fonte: http://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/L13709.htm
  • Brasil. (2023). Guia de Referência para Elaboração do Plano de Proteção de Segurança da Informação – PPSI. Brasilia. http://bit.ly/4nQ0GGm.
  • Brasil. (2011). Decreto nº 7.579, de 11 de outubro de 2011. Fonte: Planalto: https://www. planalto.gov.br/ccivil_03/_ato2011-2014/2011/decreto/d7579.htm.
  • Brasil. (2017). Decreto nº 9.203, de 22 de novembro de 2017. Dispõe sobre a política de governança da administração pública federal direta,...
  • Brasil. (2020). Projeto de Lei nº 2.630, de 2020 – Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet. Câmara dos Deputados,...
  • Brasil. (2023). Projeto de Lei nº 2.338, de 2023 – Marco Legal da Inteligência Artificial. Câmara dos Deputados, Brasilia. Fonte: https://www25.senado.leg.br/web/ atividade/materias/-/materia/157233.
  • Brasil. Ministério da Gestão e da Inovação em Serviços Públicos. (2023). SGD/MGI nº 852, de 28 de março de 2023. Fonte: Governo Federal: http://bit.ly/3IuPYGz.
  • Canedo, E. D., Ribeiro, V. C., Cerqueira, A. J., Gravina, R. M., Camões, R., Dos Reis, V. E., De Sousa, R. T. (2022). Evaluating and Evolving...
  • Catalano, C., Afrune, P., Angelelli, M., Maglio, G., Striani, F., & Tommasi, F. (2021). Security testing reuse enhancing active cyber...
  • Center for Internet Security. (s.d., s.d., acesso em 2025). CIS Critical Security Controls. Fonte: Center for Internet Security: https://www.cisecurity.org/controls. Centre...
  • De La Cruz, E., Gonaygunta, H., Oni, O., Meduri, S. S., Nadella, G. S., & De La Cruz, A. M. (2024). Cybersecurity Data Analytics System...
  • Ferreira, L. V. (2022). Cybersecurity and Ransomware in the Brazilian Government. InterAção, v. 15, pp. 107–123.
  • Georg, M. A., Rodrigues, W. M., Alves, C. A., Silveira Júnior, A., & Nunes, R. R. (nov de 2022). Os desafios da Segurança Cibernética...
  • Gil, A. C. (2017). Métodos e técnicas de pesquisa social (6 ed.). São Paulo: Atlas. Goldoni, L. R., Rodrigues, K. F., & Medeiros, B. P....
  • Kingsman, N., Kazim, E., Chaudhry, A., Hilliard, A., Koshiyama, A., Polle, R., . . . Mohammed, H. U. (2021). Exploring the Governance of Algorithmic...
  • Laginestra, A. (2021). Cibersegurança no Território Brasileiro: Impacto da LGPD e normas de Segurança da Informação na Defesa Nacional (1...
  • Magnusson, L., Dalipi, F., & Elm, P. (2023). Cybersecurity compliance in the public sector: are the best security practices properly addressed?...
  • Mariano, A. M., & Rocha, M. S. (2017). Revisão da Literatura: Apresentação de uma Abordagem Integradora. XXVI Congreso Internacional AEDEM...
  • Mijwil, M. M., Filali, Y., Aljanabi, M., Bounabi, M., & Al-Shahwani, H. (2023). The Purpose of Cybersecurity Governance in the Digital...
  • Nakamura, E. T. (2024). O papel da segurança cibernética no universo digital: a importância do fator humano. Rio de Janeiro: Instituto de...
  • OECD – Organisation for Economic Co-operation and Development. (2020). OECD Public Integrity Handbook. Paris: OECD Publishing.
  • Pakhnenko, O., & Kuan, Z. (2023). Ethics of Digital Innovation in Public Administration. Business Ethics and Leadership, pp. 113-121....
  • Presidência da República. (1992). Lei nº 8.443, de 16 de julho de 1992. Fonte: Lei Orgânica do Tribunal de Contas da União: https://www.planalto.gov.br/ccivil_03/ leis/l8443.htm.
  • Ribeiro, M. M., & Segatto, C. I. (2025). Inteligência artificial nas organizações públicas brasileiras: heterogeneidades e capacidades...
  • Romanovská, F., & Pitner, T. (2022). Multi-Level Cybersecurity Governance Frameworks for Public Administration. roceedings of IDIMT-2022,...
  • Santiago Paz, M. L. (2025). Cibersegurança nos estados brasileiros: diagnóstico e recomendações. Banco Interamericano de Desenvolvimento.
  • Santos, R. B., & Silva, T. B. (2021). Gestão da segurança da informação e comunicações: análise ergonômica para avaliação de comportamentos...
  • Serpa, D. (2024). Transformação digital da inteligência nacional brasileira. Revista Brasileira de Inteligência (ABIN).
  • Silva, M. A., & Santos, F. R. (2020). Fundamentos da Governança, Riscos e Compliance. São Paulo: Atlas.
  • Suksi, M. (2021). Administrative due process when using automated decision-making in public administration: some notes from a Finnish perspective....
  • Thompson, N., Ravindran, R., & Nicosia, S. (2015). Government data does not mean data governance: Lessons learned from a public sector...
  • Tribunal de Contas da União. (2020). Referencial Básico de Governança Organizacional: aplicações ao setor público. TCU, Brasília. Fonte: http://bit.ly/4pFhZvT....
  • de Contas da União. (2024). Acórdão nº 2387/2024 – Plenário. Brasília: Tribunal de Contas da União. Fonte: http://bit.ly/46Is3eT
  • Tribunal de Contas da União. (2024). Acórdão nº 2430/2024 – Plenário. Brasília: Tribunal de Contas da União.
  • Tribunal de Contas da União. (2025). Resposta à manifestação nº 382507 enviada à Ouvidoria do TCU pelos autores. Brasília: TCU. Fonte: https://pesquisa.apps.tcu. gov.br/pesquisa/acordao-completo.
  • Vatamanu, A. F., & Tofan, M. (2025). Integrating Artificial Intelligence into Public Administration: Challenges and Vulnerabilities. Administrative...
  • Viter, D., Guzonova, V., Shevchuk, V., Molochko, T., & Kutova, M. (2025). Mechanisms Of Public Administration To Ensure National And Information...