There are several Information Security measures recommended by international standards and literature, but the adoption by the organizations should be buoyed by specific needs identified by Information Security Governance structure of each organization, although it may be influenced by forces of the institutional environment in which organizations are inserted. In public research institutes, measures may be adopted as a result of pressure from Government and other organizations that regulate their activities, or by the influence of Information Security professionals, or simply adopting the same measures of leading organizations in the organizational field. This study aimed to investigate whether in public research institutes the adoption of Information Security measures is influenced by organizational factors relating to the Information Security Governance, and by external factors relating to its institutional environment. The results show that these organizations are subject to institutional influences more than organizational influences.

information security, governance, adoption, measures, research institutes

Albrechtsen, E. (2008). Friend or foe? Information security management of employees. Doctoral thesis, Norwegian University of Science and Technology, Trondheim, Norway.

Albuquerque Junior, A. E., & Santos, E. M. (2013). Adoção de normas de segurança da informação em institutos de pesquisas no setor público: uma proposta de análise explorando as possibilidades da Teoria Institucional. Proceedings of International Conference on Information Resources Management, Natal, RN, Brazil, 6.

Albuquerque Junior, A. E., & Santos, E. M. (2014). Adoção de medidas de Segurança da Informação: um modelo de análise para institutos de pesquisa públicos. Revista Brasileira de Administração Científica, 5(2).

Albuquerque Junior, A. E., Santos, E. M., & Albuquerque, E. S. (2014). Segurança da Informação em um instituto de pesquisa: uma análise utilizando a norma ISO/IEC 27002:2005. Revista Formadores, 7(2), 71-89.

Alexandria, J. C. S. (2009). Gestão de Segurança da Informação – uma proposta para potencializar a efetividade da Segurança da Informação em ambiente de pesquisa científica. Doctoral thesis, University of São Paulo, São Paulo, SP, Brazil.

Alexandria, J. C. S. (2012). A Picture of Information Security in public institutions of scientific research in Brazil. Proceedings of International Conference on Information Systems and Technology Management, São Paulo, SP, Brazil, 9, 4209-4215.

Alexandria, J. C. S., & Quoniam, L. M. (2010). Proposta para a estruturação da Gestão da Segurança da Informação em um ambiente de pesquisa científica. Proceedings of International Conference on Information Systems and Technology Management, São Paulo, SP, Brazil, 7, 2175-2197.

Allen, J. H. (2005). Governing for Enterprise Security – Technical Note CMU/SEI-2005-TN-023. Pittsburgh: Carnegie Mellon University.

Araújo, W. J. (2012). Leis, decretos e normas sobre Gestão da Segurança da Informação nos órgãos da Administração Pública Federal. Informação & Sociedade: Estudos, 22(special issue), 13-24.

Associação Brasileira de Normas Técnicas (2005). NBR ISO/IEC 27002:2005: Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT.

Beal, A. (2005). Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas.

Belasco, K., & Wan, S.-P. (2006). Online retail banking: security concerns, breaches, and controls. In Bidgoli, H. (Org.). Handbook of Information Security: Threats, Vulnerabilities, Prevention, Detection, and Management (pp. 37-48). New Jersey: John Wiley & Sons, v.1.

Bernaschi, M., D’Aiutolo, E., & Rughetti, P. (1999). Enforcing network security: a real case study in a research organization. Computers & Security, 18(6), 533-543.

Björck, F. (2004). Institutional Theory: A new perspective for research into IS/IT security in organisations. Proceedings of Hawaii International Conference on System Sciences, Big Island, HI, United States of America, 37.

Björck, F. (2005). Discovering Information Security Management. Doctoral thesis, Stockholm University, Stockholm, Sweden.

Britto, T. D. (2011). Levantamento e Diagnóstico de Maturidade da Governança da Segurança de Informação na Administração Direta Federal Brasileira. Master’s thesis, Catholic University of Brasília, Brasília, DF, Brazil.

Burd, S. A. (2006). The Impact of Information Security in Academic Institutions on Public Safety and Security: Assessing the Impact and Developing Solutions for Policy and Practice. Rockville: NCJRS.

Caminha, J., Leal, R. T., Marques Junior, R. O. P. C., & Nascimento, M. G. (2006). Implantação da Gestão da Segurança da Informação em um instituto de pesquisa tecnológica. Proceedings of Congresso da Associação Brasileira das Instituições de Pesquisa Tecnológica e Inovação, Campinas, SP, Brazil, 4.

Cepik, M., Canabarro, D. R., & Possamai, A. J. (2014). A institucionalização do SISP e a era digital no Brasil. In Cepik, M., & Canabarro, D. R. (Orgs.). Governança de TI: Transformando a Administração Pública no Brasil (pp. 37-74). Porto Alegre: UFRGS.

Cepik, M., Canabarro, D. R., Possamai, A. J., & Sebben, F. D. (2014). Alinhando TI e políticas públicas: quatro temas prioritários. In Cepik, M., & Canabarro, D. R. (Orgs.). Governança de TI: Transformando a Administração Pública no Brasil (pp. 157-204). Porto Alegre: UFRGS.

Castro, R. A. A. (2010). Segurança e garantia da informação: um estudo de caso em organização pública. Master’s thesys, Catholic University of Brasília, Brasília, DF, Brazil.

Coles-Kemp, L. (2009). Information Security Management: an entangled research challenge. Information Security Technical Report, 14(4), 181-185.

Cooper, M. H. (2009). Information security training: what will you communicate? Proceedings of Annual ACM SIGUCCS Fall Conference, St. Louis, MO, United States of America, 37, 217-222.

Costa, R. G., & Almeida, H. A. (2011). IT outsourcing services: security issues. Proceedings of International Conference on Information Systems and Technology Management, São Paulo, SP, Brazil, 8, 3626-3648.

Dhillon, G., & Backhouse, J. (2001). Current directions in IS security research: towards socio-organizational perspectives. Information Systems Journal, 11(2), 127-153.

DiMaggio, P. J., & Powell, W. W. (1983). The Iron Cage revisited: institutional isomorphism and collective rationality in organizational fields. American Sociological Review, 48(2), 147-160.

Donner, M. L., & Oliveira, L. R. (2008). Análise de satisfação com a segurança no uso de internet banking em relação aos atuais recursos disponíveis no canal eletrônico. Proceedings of Encontro da Associação Nacional de Pós-Graduação e Pesquisa em Administração, Rio de Janeiro, RJ, Brazil, 32.

Dresner, D. G. (2011). A Study of Standards and the Mitigation of Risk in Information Systems. Doctoral thesis, The University of Manchester, Manchester, United Kingdom.

Dzazali, S., & Zolait, A. H. (2012). Assessment of information security maturity – An exploration study of Malaysian public service organizations. Journal of Systems and Information Technology, 14(1), 23-57.

Fontes, E. L. G. (2006). Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva.

Grant, I. (2007). Public sector staff ‘ignore IT security’. ComputerWeekly.com, 12. Retrieved from http://www.computerweekly.com/news/2240084242/Public-sector-staff-ignore-IT-security

Holgate, J. A., Williams, S. P., & Hardy, C. A. (2012). Information Security Governance: investigating diversity in critical infrastructure organizations. Proceedings of Bled eConference, Bled, Slovenia, 25.

Hu, Q., Hart, P., & Cooke, D. (2007). The role of external and internal influences on Information Systems Security – a neo-institutional perspective. The Journal of Strategic Information Systems, 16(2), 153-172.

Kam, H.-J., Katerattanakul, P., Gogolin, G., & Hong, S. (2013). Information Security Police compliance in higher education: a neo-institutional perspective. Proceedings of Pacific Asia Conference on Information Systems, Jeju Island, South Korea, 17.

Koh, K., Ruighaver, A. B., Maynard, S. B., & Ahmad, A. (2005). Security Governance: its impact on security culture. Proceedings of Australian Information Security Management Conference, Perth, WA, Australia, 3, 47-57.

Luesebrink, M. (2011). The institutionalization of Information Security Governance structures in academic institutions: a case study. Tese de Doutorado, Florida State University, Tallahassee, FL, Estados Unidos da América.

Lopes, I. M. (2012). Adopção de Políticas de Segurança de Sistemas de Informação na Administração Pública Local em Portugal. Doctoral thesis, Universidade do Minho, Braga, Portugal.

Marciano, J. L. P. (2006). Segurança da Informação – uma abordagem social. Doctoral thesis, University of Brasília, Brasília, DF, Brazil.

Marciano, J. L. P., & Lima-Marques, M. (2006). O enfoque social da segurança da informação. Ciência da Informação, 35(3), 89-98.

Meyer, J. W., & Rowan, B. (1977). Institutionalized Organizations: formal structure as myth and ceremony. The American Journal of Sociology, 83(2), 340-363.

Mitnick, K. D., & Simon, W. L. (2003). Mitnick – A arte de enganar – ataques de hackers: controlando o fator humano na Segurança da Informação. São Paulo: Makron Books.

Mizruchi, M.S., Fein, L.C. (1999). The social construction of organizational knowledge: a study of the uses of coercive, mimetic, and normative isomorphism. Administrative Science Quarterly, 44(4), 653–683.

Moulton, R., & Coles, R. S. (2003). Applying Information Security Governance. Computers & Security, 22(7), 580-584.

National Institute of Standards and Technology (2006). Information security handbook: a guide for managers. Gaithersburg: NIST.

Papadimitriou, A., & Westerheijden, D. F. (2010). Adoption of ISO-oriented quality management system in Greek universities: reactions to isomorphic pressures. The TQM Journal, 22(3), 229-241.

Peci, A. (2006). A Nova Teoria Institucional em Estudos Organizacionais: uma abordagem critica. Cadernos EBAPE.BR, 4(1).

Perkel, J. (2010). Cybersecurity: how safe are your data? Nature, 464, 1260-1261.

Pimenta, R. C. Q., Sousa Neto, M. V. (2010). Gestão da Informação: um estudo de caso em um instituto de pesquisa tecnológica. Prisma.com, (9).

Posada, L. M. L. (2009). Instituciones e isomorfismo: implicaciones en la incertidumbre organizacional. Revista Mundo Económico y Empresarial, 7(7), 42-49.

Posthumus, S., & Von Solms, R. (2004). A framework for the Governance of Information Security. Computers & Security, 23(8), 638-646.

Quinello, R. (2007). A Teoria Institucional aplicada à Administração: entenda como o mundo invisível impacta na gestão dos negócios. São Paulo: Novatec Editora.

Rezgui, Y., & Marks, A. (2008). Information Security awareness in higher education: an exploratory study. Computers & Security, 27(7-8), 241-253.

Scott, W. R. (1992). Organizations: rational, natural, and open systems. New Jersey: Prentice-Hall.

Silva, D. R. P., Stein, L. M. (2007). Segurança da Informação: uma reflexão sobre o componente humano. Ciências & Cognição, 10, 43-56.

Spears, J. L., Barki, H., & Barton, R. R. (2013). Theorizing the concept and role of assurance in Information Systems Security. Information & Management, 50(7), 598–605.

Tyukala, M. (2007). Governing Information Security using organisational Information Security profiles. Master’s thesis, Nelson Mandela Metropolitan University, Port Elizabeth, South Africa.

Da Veiga, A., & Eloff, J. H. P. (2007). An Information Security Governance Framework. Information Systems Management, 24(4), 361-372.

Von Solms, B. (2000). Information Security – The Third Wave? Computers & Security, 19(7), 615-620.

Von Solms, B. (2005). Information Security Governance – compliance management vs operational management. Computers & Security, 24(6), 443-447.

Von Solms, B. (2006). Information Security: The Fourth Wave. Computers & Security, 25(3), 165-168.

Von Solms, R., & Von Solms, S. H. (2006a). Information Security Governance: a model based on the direct–control cycle. Computers & Security, 25(6), 408-412.

Von Solms, R., & Von Solms, S. H. (2006b). Information Security Governance: due care. Computers & Security, 25(7), 494-497.

Williams, P. (2001). Information Security Governance. Information Security Technical Report, 6(3), 60-70.