UNIVERSIDADE FUMEC

FACULDADE DE CIENCIAS EMPRESARIAIS - FACE

DUANE PAIVA DE MORAES

SEGURANA DA INFORMAO:
Percepo dos funcionrios de uma empresa pblica prestadora de
servios de tecnologia da informao e comunicao

Belo Horizonte
2012

DUANE PAIVA DE MORAES

SEGURANA DA INFORMAO:
Percepo dos funcionrios de uma empresa pblica prestadora de
servios de tecnologia da informao e comunicao

Projeto de pesquisa apresentado ao Curso de

Mestrado Profissional em Sistemas de
Informao e Gesto do Conhecimento da
Universidade FUMEC como requisito parcial
para obteno do grau de mestre.
rea de Concentrao: Gesto de Sistemas de
informao e conhecimento.
Linha de pesquisa: Gesto da informao e
conhecimento.
Orientadora: Profa. Dra. Cristiana Fernandes
De Mulder

Belo Horizonte
2012

LISTA DE FIGURAS

Figura 1: Total de incidentes reportados ao CERT.br por ano

LISTA DE SIGLAS

COBIT

Control Objectives for Information and Related Technology

GCN

Gesto de Continuidade do Negcio

ITIL

Information Technology Infrastructure Library

SI

Sistema de Informao

TIC

Tecnologia da Informao e Comunicao

WAN

Wide Area Network - Rede de longa distncia

SUMRIO

1 INTRODUO ................................................................................................................................. 5
2 FUNDAMENTAO TERICA .................................................................................................... 9
2.1 Segurana da informao ................................................................................................................ 9
2.1.1 Polticas e gesto da segurana da informao .............................................................................. 12
2.1.2 Segurana em recursos humanos ......................................................................................................... 13
2.2 Outros estudos sobre segurana da informao ................................................................... 17
3 METODOLOGIA ........................................................................................................................... 19
3.1 Coleta de dados ................................................................................................................................ 19
3.2 Populao e amostra ...................................................................................................................... 20
3.3 Tratamento de dados ..................................................................................................................... 20
3.4 A empresa .......................................................................................................................................... 20
4 CRONOGRAMA ............................................................................................................................ 21
REFERNCIAS ................................................................................................................................. 22

1 INTRODUO
O uso intensivo da tecnologia da informao, em especial da Internet, provocou
transformaes significativas para a humanidade, que alguns pesquisadores interpretam como
uma verdadeira revoluo.
No fim do segundo milnio da Era Crist, vrios acontecimentos de
importncia histrica transformaram o cenrio social da vida humana. Uma
revoluo tecnolgica concentrada nas tecnologias da informao comeou a
remodelar a base material da sociedade em ritmo acelerado. (CASTELLS,
2007, p. 39).

Com o grande crescimento da rede mundial de computadores, a Internet, houve tambm um

crescimento contnuo de transaes eletrnicas, configurando uma espcie de um novo mundo,
o mundo digital. Correspondncias eletrnicas particulares, transaes comerciais, bancrias,
entre outras, passaram a ser frequentes no mundo atual, principalmente devido globalizao
do mercado. Este rpido crescimento trouxe tona um problema, a gesto da informao, que
se preocupa em administrar as informaes que navegam nas redes de computadores, e
tambm a segurana das informaes que so trocadas entre usurios e aplicaes.
Com a utilizao dos computadores em diversas organizaes, as informaes comearam a
se concentrar em um nico lugar e o grande volume dessas informaes passou a ser um
problema para a segurana. Os riscos aumentaram com o uso dos microcomputadores, a
utilizao de redes locais e remotas, a abertura comercial da Internet e a disseminao da
informtica para diversos setores da sociedade. Visando resolver estes problemas, a partir da
dcada de 1940, surgiram algumas normas tcnicas que tratam de boas prticas e controles
internos de Tecnologia da Informao (TI). As normas mais conhecidas e implementadas so:
ITIL, Cobit, BS15000 e ISO 20000. As normas especficas de segurana da informao so:
BS7799, ABNT NBR ISO/IEC 17799:2005, ABNT NBR ISO/IEC 27001:2006 e ABNT
NBR ISO/IEC 27002:2005.
Nas organizaes atuais, a informao necessria para compreender as mudanas de
mercado e competio. Os sistemas de informaes, segundo Laudon e Laudon (2004) so
essenciais para os gestores pois auxiliam nas decises com foco na manuteno e sucesso dos
negcios. O sistema de informao pode ser compreendido como um conjunto de

componentes inter-relacionados que processam, armazenam e distribuem as informaes com

foco no processo decisrio ou tarefa da organizao (LAUDON; LAUDON, 2004; TURBAN
et al., 2010).
O uso de sistemas de informaes cria um novo dilema tico que envolve o uso e acesso das
informaes eletrnicas pessoais e das organizaes. Neste contexto surge o termo segurana
da informao. A segurana da informao segundo a norma ABNT NBR ISO/IEC
27001:2006 consiste na preservao da confidencialidade, integridade e disponibilidade da
informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade,
no repdio e confiabilidade, podem tambm estar envolvidas.
Os princpios bsicos da segurana so a confidencialidade, integridade e disponibilidade das
informaes. Os benefcios evidentes so reduzir os riscos com vazamentos, fraudes, erros,
uso indevido, sabotagens, roubo de informaes e diversos outros problemas que possam
comprometer estes princpios bsicos.
A segurana visa tambm aumentar a produtividade dos usurios atravs de um ambiente
mais organizado, maior controle sobre os recursos de informtica e finalmente, viabilizar
aplicaes crticas das empresas.
O uso de Internet nas empresas trouxe novas vulnerabilidades na rede interna. Se no
bastassem as preocupaes existentes com espionagem industrial, fraudes, erros e acidentes,
as empresas precisam se preocupar agora com os hackers, invases, vrus, cavalos de tria e
outras ameaas que penetram atravs desta nova porta de acesso.
As ameaas segurana crescem de forma descontrolada, de acordo com os ndices de
incidentes reportados pelas organizaes (REDE NACIONAL DE ENSINO E PESQUISA,
2011). Atualmente, considera-se que nenhuma organizao est livre de ter sua infraestrutura
de rede, de computadores e de sistemas exploradas ou at mesmo comprometidas.
No Brasil, a organizao responsvel por receber, analisar e responder a notificaes e
atividades relacionadas a incidentes de segurana em computadores o Centro de Estudos,
Resposta e Tratamento de Incidentes de Segurana no Brasil - CERT.br. Em 1999 foram
reportados pouco mais de 3.100 incidentes ao CERT.br, e em 2011 este nmero quase chegou

a 400.000. Em 2012, at junho j foram reportados mais de 200.000 incidentes (CERT.br,

2012). Observa-se na Figura 1 que a expanso da microinformtica e seu uso cada vez mais
frequente nos negcios, principalmente por pessoas com pouco ou nenhum conhecimento
aprofundado em Tecnologia da Informao (TI), implica riscos crescentes segurana da
informao uma vez que os microcomputadores aumentam a capacidade de processamento,
facilidade de uso, armazenamento de dados e compartilhamento de informaes, com a
conseqente dependncia de muitas organizaes em relao aos mesmos.

Figura 1 - Total de incidentes reportados ao CERT.br por ano

Fonte: CERT.br, 2012.

Embora as organizaes tenham-se beneficiado desse avano e principalmente do uso da

Internet, utilizando sua infraestrutura para economizar custos de comunicao, facilidades na
divulgao de produtos, ganho de tempo na maior agilidade das operaes com bancos,
fornecedores e clientes, a Internet de uso pblico o que a torna disponvel praticamente a
qualquer pessoa, podendo ser utilizada com m inteno. Portanto, a segurana das
informaes das empresas fica comprometida e fcil de ser explorada, tornando-se assim
importante gerenci-la para uso eficiente dos seus sistemas internos e a garantia da
continuidade do negcio.

Diante deste cenrio, percebe-se a necessidade de desenvolver a gesto da segurana da

informao. A funo da gesto da segurana da informao delimitar estratgia para
conhecer riscos e definir controles adequados de forma a garantir a integridade e a
credibilidade das informaes e por conseguinte das organizaes. No entendimento de
Asciutti (2006), a norma ABNT NBR ISO/IEC 27002 um manual de boas prticas de gesto
de segurana da informao que tem como objetivo identificar os riscos e implantar medidas
que de forma efetiva torne estes riscos gerenciveis e minimizados. Ele conclui que a sua
importncia pode ser verificada pelo grande nmero de pessoas e ameaas a quem a
informao exposta na rede de computadores.
Nesse sentido, este estudo pretende responder a seguinte pergunta: Como os funcionrios de
uma empresa pblica de servios de tecnologia da informao e comunicao percebem a
segurana da informao?
Logo, pretende-se com a pesquisa, como objetivo geral, analisar a percepo dos usurios de
uma empresa prestadora de servios de sistemas de informaes e comunicao acerca da
segurana da informao descrevendo o perfil dos mesmos.
Especificamente, pretende-se:
Identificar a percepo dos usurios sobre segurana em recursos humanos;
Identificar a percepo dos usurios sobre gesto de incidentes;
Analisar o perfil dos respondentes frente aos indicadores de segurana da informao
percebidos.
Justifica-se a escolha do tema frente a necessidade de discutir sobre segurana da informao,
um tema to comentado porm pouco pesquisado: encontrada pouca literatura referente
usurios de sistemas de informao e segurana da informao. Alm disso, a gesto da
segurana da informao envolve no s recursos tecnolgicos, mas tambm recursos
humanos e culturais da organizao. Assim sua correta gesto pode ajudar a evitar fraudes
financeiras, perda da imagem e confiana por parceiros, fornecedores e clientes.
A pesquisa pode ser importante em dois aspectos: acadmico e profissional. Sob o ponto de
vista acadmico verifica-se a importncia de discutir e contribuir sobre segurana da

informao. Quando pesquisado de forma bibliomtrica os artigos cientficos disponveis para

download de peridicos classificados no sistema Qualis CAPES do extrato A1, A2 e B1,
considerados de alto impacto, das reas de Cincia da Computao e Interdisciplinar, foi
detectada uma significante lacuna no assunto segurana da informao. Apenas foram
encontrados artigos com referncia segurana da informao no Journal of Computer
Sciences, onde dentre os 646 artigos pesquisados deste peridico dos anos de 2009 a 2011,
somente 18 artigos citam a segurana da informao e, apenas um deles sobre o assunto. O
artigo intitulado Dominant Factors in National Information Security Policies, e foi
publicado em julho de 2010.
Este resultado demonstra uma lacuna de artigos relacionados segurana da informao no
meio acadmico e instiga esta pesquisa em questo.
Sob o mbito profissional, pode-se compreender a relevncia desta pesquisa frente a demanda
por aes de gesto em ambiente de possveis fraudes bem como o avano nas discusses de
treinamento e qualificao tanto em organizaes privadas quanto pblicas.
A pesquisa foi dividida em sees onde alm desta primeira onde o tema, problema, objetivos
e justificativa so tratados, so descritas outras trs sees. A segunda refere-se ao referencial
terico, a terceira a metodologia e a quarta s concluses e sugestes de novos estudos,
seguidos das referncias, anexos e apndices.

2 FUNDAMENTAO TERICA
Esta seo trata dos temas a seguir:

2.1 Segurana da informao

Segurana da informao a proteo da informao de vrios tipos de ameaas para
garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre
os investimentos e as oportunidades do negcio (ABNT NBR ISO/IEC 17799:2005, p. ix).

10

A segurana da informao tem como objetivo proteger a informao dos riscos a que est
exposta, de forma a garantir a confidencialidade, integridade e disponibilidade (PFLEEGER,
1997, p. 17).
A segurana da informao no se trata apenas de uma questo tecnolgica, mas uma questo
estratgica da organizao, alm de envolver uma gesto de riscos apropriada para proteger de
forma adequada a informao, alcanando todos os nveis da organizao (ITGI, 2006, p. 8).
KRUTZ e VINES (2001, p.3) afirmam que a segurana da informao sustentada nos
seguintes objetivos de controle: integridade, confidencialidade e disponibilidade, para
diminuir o impacto das ameaas e a probabilidade da ocorrncia destas se tornarem incidentes.
ALLEN (2005, p.7) sugere a segurana num mbito empresarial, defendendo a segurana
como sendo um conjunto de aes para proteger a informao em todas as formas que possam
apresentar riscos: sistemas de rede, eletrnica e fsica, rea de armazenagem, acesso,
processamento, transmisso. Alm disso afirma que as empresas devem ter nveis de
segurana adequados s suas necessidades de proteo ttica e estratgica.
Conforme a ABNT NBR ISO/IEC 17799:2005 (p.6), a anlise de risco se mostra como o uso
sistemtico de informaes de forma a identificar fontes e estimar riscos. Quando se aplica a
anlise de risco na segurana da informao, seu escopo deve estar previamente definido de
forma que a amplitude e complexidade da anlise possam ser dimensionadas. As seguintes
premissas devem ser levadas em considerao:
identificao, quantificao e priorizao dos riscos;
critrios para aceitao dos riscos dependendo do tipo de organizao;
determinar as aes da gesto de riscos, com o objetivo de adotar controles adequados;
determinar a periodicidade da avaliao de riscos, para conhecer mudanas nos
requisitos dos riscos e nas situaes de risco, para gerar resultados comparveis e
reproduzveis.
A segurana da informao a forma de se utilizar leis, normas e regulamentos afim de
garantir controles adequados para garantir a efetividade dos requerimentos de segurana

11

frente aos riscos que a informao est exposta (NIST, 800-100, 2006, p.1). Porm os riscos
em que as empresas esto sujeitas, em seus diversos ambientes operacionais, so os fatores
que determinam a necessidade da individualidade do modelo de segurana da informao das
organizaes. Inicialmente os riscos devem ser conhecidos para que, a partir da, a poltica de
segurana e os procedimentos a serem adotados sejam definidos.
entos a serem adotados.
Conforme KRUTZ e VINES (2001, p. 15), importante para a empresa entender que um
risco pode ser mitigado, mas nunca totalmente eliminado. Mitigar os riscos significa
estabelecer um nvel tolervel de risco e continuar efetivamente o funcionamento pleno das
aes de uma organizao.
O risco a probabilidade de um evento de ocorrer e suas consequncias (ABNT ISO/IEC
Guia 73:2005, p. 2).
A norma brasileira ABNT NBR ISO/IEC 17799:2005 (p.6) sugere a anlise de risco como a
primeira ao a ser empreendida pela organizao antes de se tomar decises sobre os
investimentos nos diversos segmentos do negcio. Alm disso, sugere que o tratamento de
riscos tenha como prever mecanismos de controle que verifiquem o nvel do risco, se o nvel
aceitvel, alm de definir sistemas de monitorao com ferramentas de coleta de evidncias,
estabelecendo a periodicidade que ser aplicada para a reviso da anlise de risco.
A Gesto de Continuidade dos Negcios (GCN), de forma complementar anlise de riscos,
objetiva entender os riscos s operaes e negcios, alm de suas consequncias de modo a
evitar a interrupo na entrega de servios e produtos (NBR 25999-1:2007, p. 6).
O foco da gesto de continuidade dos negcios o servio ou produto que a organizao
depende para sobreviver, no caso de um incidente com o poder de provocar danos
organizao. Ela informa o que deve ser feito, com o objetivo de proteger as pessoas
envolvidas, as tecnologias, as instalaes, a cadeia de fornecimento, as informaes, as partes
interessadas alm da reputao da organizao (NBR 25999-1:2007, p. 6-7).
A norma britnica BS 25999-1:2006, publicada pelo British Standard Institute (BSI),
intitulada Business Continuity Management (BCM), Part 1: Code of Practice, (p. 5), conceitua

12

a gesto da continuidade dos negcios como Apetite a Riscos, que significa a quantidade
total dos riscos que determinada organizao se encontra preparada para aceitar ou tolerar ou
ser exposta, a qualquer momento.
Conforme a ABNT NBR ISO/IEC 17799:2005 (p.103), a continuidade do negcio precisa ser
vista como um processo que agrega informaes compatveis com a gesto dos riscos, no
mbito dos riscos que a organizao est exposta. Percebe-se que a continuidade do negcio
deve estar alinhada gesto de riscos, de forma a no colocar em risco o processo de
continuidade do negcio.
necessrio lembrar que a implementao da gesto de continuidade do negcio est
condicionada tambm ao apoio e envolvimento da alta direo e das partes interessadas,
devido ao fato de requerer responsabilidades atravs de uma cadeia de comando (NBR 259991:2007, p. 5).

2.1.1 Polticas e gesto da segurana da informao

A informao se transformou em um ativo fornecedor de vantagem no processo de negcios
das organizaes e ento deve ser protegida. Para tal, importante mapear os riscos que a
informao est submetida. Por exemplo, para um caso onde informaes de contas de
clientes se encontram centralizadas em um nico equipamento de armazenamento na rede,
uma falha crtica impedir o acesso s informaes, ocorrendo um problema na
disponibilidade dos dados. Portanto, a identificao dos riscos e o conhecimento do impacto
que a sua ocorrncia pode causar fundamental para viabilizar o mapeamento do que deve ser
protegido.
Desta forma aparece a poltica de segurana da informao. Nela, a organizao explicita o
que proteger e as restries e descries que os controles devem obedecer de forma a
implementar a poltica. Porm, estas restries e descries necessariamente no devem entrar
na forma de como esta proteo ser feita (BARMAN, 2001). As descries devem constar
em um nvel mais alto, baseadas em uma anlise e avaliao dos riscos da organizao. Na
seo 5 da norma brasileira que define o cdigo de prtica da gesto da segurana da
informao, descrito o objetivo da poltica de segurana para a organizao:

13

Prover uma orientao e apoio da direo para a segurana da informao de

acordo com os requisitos do negcio e com as leis e regulamentaes
pertinentes. (ASSOCIAO BRASILEIRA DE NORMAS TCNICAS,
2005, p. 8)

Ento, sem uma poltica de segurana definida, uma organizao alm de no saber o que
proteger, desconhecer os riscos existentes e potenciais. Desta forma, as organizaes devem
estar atentas para no dispender esforos em pontos especficos, como a configurao de um
filtro de contedo, pois esta ao poder acontecer totalmente fora do alinhamento estratgico
da organizao. A preocupao sobre a segurana da informao deve ser global para este fato
no ocorrer.
preciso saber quais os sistemas, processos e ativos so fundamentais para alcanar o
objetivo da organizao. Os objetivos que constam na poltica de segurana devem ser
definidos baseados no que ser protegido e a necessidade desta proteo. Para isto, os
usurios sempre so de fundamental importncia: so eles que operam e mantm os ativos
informacionais da organizao.

2.1.2 Segurana em recursos humanos

Os indivduos constituem um importante fator da segurana da informao. Na literatura, so
conhecidos como o elo fraco que compe a corrente da segurana (Dias, 2001), j que podem
representar uma ameaa segurana quando burlam esquemas de segurana ou adotam
comportamentos maliciosos. No entanto, podem representar uma barreira para prevenir
incidentes na medida em que adotam prticas preventivas, como etiqueta de senhas e cuidado
com manuseio de e-mails. Tais comportamentos so influenciados por diversos fatores, a
saber: caractersticas pessoais; estruturas administrativas; ativos fsicos e tecnolgicos; e
normas sociais.
Nesse sentido, o elo fraco da segurana no deve ser explicado apenas por falhas e violaes
do indivduo, como tambm, por fatores do contexto de seu ambiente de trabalho que podem
gerar comportamentos negativos (Albrechtsen, 2007). Lidar com barreiras humanas muito
mais complexo do que lidar com medidas tecnolgicas, sendo esse um desafio para os

14

gerentes de segurana da informao. Afinal, como as organizaes podem influenciar o

comportamento e atitudes de seus funcionrios?
A literatura da rea tem enfatizado a importncia em se adotar aes voltadas para os
indivduos nas organizaes, tais como programas de conscientizao, treinamento e
educao. Albrechtsen (2007) afirma que fatores organizacionais e culturais tambm devem
ser considerados ao se tratar de comportamentos e atitudes em segurana da informao.
Albrechtsen (2007) aponta que o principal problema com relao ao papel do usurio na
Segurana da Informao a falta de motivao e conhecimento com relao ao assunto, o
que pode ser explicado por caractersticas individuais ou mesmo por valores do grupo.
Embora os indivduos estejam cientes de seu papel na segurana da informao no trabalho,
existe uma lacuna entre o comportamento real e intencional, pois, na prtica, no
desempenham muitas aes de SI e nem, ao menos, esto familiarizados com suas prticas e
procedimentos.
Para Vroom e Solms (2004), quando a organizao passa a se preocupar com a segurana da
informao e adota prticas e procedimentos, o comportamento do funcionrio se adapta
nova situao. Tal conscientizao o resultado de uma mudana cultural que ocorre no nvel
do indivduo, do grupo e da organizao. Os autores enfatizam que como cada pessoa nica
e traz consigo caractersticas diferentes para a empresa, ao se estudar o comportamento em
segurana da informao importante entender como as caractersticas individuais
influenciam e so influenciadas pelo ambiente de trabalho. Os valores e normas dos grupos
precisam, igualmente, ser analisados, pois influenciam a forma como indivduos agem e se
comportam nas tarefas do trabalho.
Consoante os autores, para que a organizao incorpore comportamentos de segurana da
informao na rotina de seus funcionrios preciso que haja uma mudana cultural nos nveis
do indivduo, do grupo e da organizao. Nessa linha de raciocnio, o comportamento
influencia a mudana cultural na medida em que provoca alteraes no comportamento do
indivduo, do grupo, e posteriormente na organizao. Pode-se dizer, portanto, que
comportamento de segurana da informao aquele que est em conformidade com as
diretrizes, normas e procedimentos de segurana; j a cultura de segurana alcanada

15

quando tais comportamentos so adotados pelo grupo de forma natural, como parte de sua
rotina.
Consoante Leach (2003), os seguintes fatores podem afetar o comportamento dos indivduos
quanto segurana da informao: informao sobre o assunto (conscientizao); relao
custo-benefcio de proteger ou revelar a informao; ideologia e falta de motivao. Para o
autor, a viso do indivduo sobre SI criada por diversos fatores individuais, tecnolgicos e
organizacionais. J os fatores organizacionais se referem s normas sociais e interaes no
trabalho, polticas e qualidade da gesto de SI, que influenciam a compreenso acerca do tema,
bem como, a conscientizao e comportamento do indivduo.
As solues de tecnologia da informao voltadas para segurana, por sua vez, influenciam o
comportamento na medida em que restringem o que possvel realizar nos sistemas de
informao, por meio de mecanismos de segurana para controlar as aes dos usurios. Os
fatores individuais, tais como motivao, conhecimento, atitudes e valores influenciam as
vises individuais de SI e sua percepo de risco, influenciando, igualmente, no
comportamento por eles apresentado. Para Leach (2003), diversas medidas podem ser
adotadas para influenciar o comportamento e conscientizao dos indivduos nas organizaes
em relao segurana da informao, tais como: campanhas, programas educacionais,
recompensas, medidas de proteo fsicas e tecnolgicas e legislao.
Leach (2003) ressalta que comportamentos adversos segurana nas organizaes podem
representar uma ameaa interna a ela devido, dentre outros, aos erros e falhas dos indivduos,
falta de ateno, negligncia e aos ataques. Para gerenciar tal ameaa, necessrio
entender como a cultura e as prticas organizacionais afetam o comportamento dos
funcionrios.
O autor apresenta os fatores influenciadores em um modelo dividido em duas reas. Na
primeira, so apresentadas variveis relacionadas compreenso do indivduo quanto ao
comportamento de segurana que esperado pela organizao, tais como: valores, polticas,
padres, procedimentos, comportamento demonstrado pelos gerentes e colegas de trabalho,
senso comum de segurana da informao e habilidades para tomada de deciso. A
combinao desses fatores gera a compreenso do usurio de aceitao e aprovao
comportamental de normas no trabalho.

16

A segunda rea, por sua vez, se refere disposio em mudar o comportamento com o intuito
de se adequar as normas aceitveis e os fatores relacionados so: valores pessoais e padres
de conduta, contrato psicolgico com o empregador, esforo requerido para estar em
conformidade e para no estar.
No entanto, a organizao no pode gerenciar todos os fatores que afetam o comportamento
dos indivduos como, por exemplo, valores pessoais ou padres de conduta. Por isso, esta
deve focar primeiramente nos fatores que esto, de fato, sob seu controle. Para tanto, a
organizao deve fazer um esforo continuo para assegurar que seus controles sejam
eficientes, efetivos e propriamente implementados (Leach, 2003).
Para o autor, existem trs fatores chaves para melhorar o comportamento de segurana dos
usurios. O primeiro o comportamento demonstrado pelo gerente e colegas, afinal os
indivduos tendem a ser guiados mais pelo que eles veem do que pelo que dito a eles.
Formas de melhorar o comportamento da equipe consistem em fornecer gratificao pelo bom
comportamento em segurana e oferecimento de treinamentos, demonstrando quais so os
comportamentos inaceitveis. Outro fator chave o senso comum de segurana do indivduo
e habilidades para tomada de deciso (o senso comum algo que pode ser ensinado por meio
de princpios que guiam a tomada de deciso.) e, por fim, a fora do contrato psicolgico com
a instituio.
Para Leach (2003), a criao de uma cultura de segurana a melhor forma de motivar a
equipe a se comportar de uma forma consciente em relao a Segurana da Informao. A
importncia da alta direo na criao dessa cultura fundamental, afinal uma liderana forte
cria uma cultura forte e uma cultura forte fornece uma direo clara para a equipe em todos os
nveis. O autor ressalta, ainda, que um comportamento de segurana fraco um fator
determinante de incidentes na empresa. Por isso, a organizao deve criar uma cultura de
segurana e fortalecer a sua influncia no comportamento dos indivduos.
Stanton et al (2005) criaram uma taxonomia composta por dois fatores e seis categorias a fim
de organizar comportamentos em segurana da informao. Para os autores, uma liderana
que apoie a segurana, sistema de recompensas, intervenes motivacionais e designao
clara do papel e responsabilidades dos indivduos em relao segurana so fatores

17

relacionados com os comportamentos classificados como benficos. Nesse sentido, a anlise

do comportamento dos indivduos em segurana pode ajudar a assegurar que trabalhadores
tenham motivao e conhecimento para seguir as polticas que a organizao promove em sua
agenda de segurana.
Furnell e Thomson (2009), por sua vez, apresentam nveis de aceitao de segurana da
informao por meio de uma escala de compromisso dos indivduos com a segurana. Tais
categorias foram extradas dos comportamentos observados no ambiente de trabalho. O autor
afirma que se o funcionrio encontra-se no nvel cultura, ele estar alinhado com as prticas
corretas de segurana. Por outro lado, se o indivduo estiver no nvel de desobedincia, ele
no estar alinhado com os valores de segurana da organizao. O autor acrescenta, que no
nvel ignorncia, o indivduo no tem a inteno de trabalhar contra a segurana, no entanto,
falta-lhe base para saber o que preciso ser feito.
J no nvel de conscientizao, o indivduo consciente das prticas corretas, mas estas ainda
no refletem completamente nos conhecimentos e comportamento deste. Isto demonstra que
apenas dizer o que a pessoa tem que fazer no o suficiente para que se alcance um nvel
satisfatrio de conformidade com a segurana da informao. O autor ressalta, ainda, que o
grau de conformidade com a SI raramente homogneo entre os funcionrios de uma mesma
organizao.

2.2 Outros estudos sobre segurana da informao

2.2.1 A percepo gerencial sobre o modelo de gesto da segurana da informao de uma
empresa pblica de TIC: Perspectiva de evoluo para um modelo de governana,
dissertao defendida na Universidade Catlica de Braslia, por Maria do Carmo Soares de
Mendona.
2.2.2 Um estudo sobre a segurana e a defesa do espao ciberntico brasileiro, escrito em
2009 por Raphael Mandarino Junior, atualmente diretor do Departamento de Segurana da
Informao e Comunicaes (DSIC) do Gabinete de Segurana Institucional (GSI) da
Presidncia da Repblica (PR). Tambm coordena o Comit Gestor da Segurana da
Informao (CGSI), parte do Conselho de Defesa Nacional (CDN), rgo de consulta

18

Presidncia da Repblica nos assuntos relacionados soberania nacional e defesa do Estado

democrtico.
Este trabalho contempla de forma ampla o surgimento da Sociedade da Informao e como a
humanidade se encontra parte dela praticamente sem perceber o ocorrido. Discorre sobre
como os valores sociais, profissionais, polticos e econmicos mudaram sem questionamentos;
de como foram derrubadas as fronteiras com a informao digital trafegando livremente pelo
mundo, permitindo uma troca de informaes alm do que se imaginava h at pouco tempo.
Porm esta nova fronteira ainda no est perfeitamente demarcada, e atrai pessoas que
buscam vantagens e ganhos ilcitos, aproveitando-se da falta de regras e escondendo-se pela
sensao de anonimato e distncia.
Neste momento a segurana ganha destaque. Sendo a informao um bem intangvel, foca-se
nos equipamentos necessrios para o ciclo de vida da informao: armazenamento,
transmisso, processamento, sistemas e pessoas fazendo uso de toda esta estrutura. Um
subconjunto destes ativos afetam diretamente a consecuo e continuidade da misso do
Estado e a segurana da sociedade, e denominado Infraestrutura Crtica e Informao,
fundamental para a existncia do ciberespao.

19

3 METODOLOGIA
A importncia da metodologia utilizada em uma pesquisa justificada devido necessidade
de um embasamento cientfico adequado, buscando a melhor abordagem para esclarecer as
questes da pesquisa (MIGUEL, 2010).
De acordo com Berto e Nakano (2000), abordagens de pesquisa so formas ou maneiras que
permitem aproximao do problema fenmeno que se pretende estudar. As abordagens
quantitativas so baseadas em mtodos lgico-dedutivos, e buscam explicar relaes de
causa/efeito e possibilitar replicaes. Apresentam tambm caractersticas de conduta de
investigao como a seleo das amostras e a ausncia de contato entre o pesquisador e o
objeto de estudo. Os relatos dos resultados devem ser objetivos, alm de primar por
descries externas e metrificadas.
Esta pesquisa ser descritiva de natureza quantitativa onde pretende-se realizar um survey
envolvendo todos os funcionrios da empresa pblica prestadora de servios de tecnologia da
informao e comunicao.
Survey um mtodo de pesquisa que se baseia em levantamento de dados atravs de
questionrios aplicados a amostras. uma documentao direta, utilizada com o objetivo de
conseguir informaes e/ou conhecimento acerca de um problema, uma hiptese que se queira
comprovar, ou ainda, descobrir novos fenmenos ou as relaes entre eles. (MARCONI;
LAKATOS, 2006, p.83).

3.1 Coleta de dados

A coleta dos dados ser feita utilizando questionrio estruturado adaptado da dissertao de
Maria do Carmo Soares de Mendona, onde elencou-se os seguintes indicadores descritos
acerca da segurana da informao: gesto de incidentes e segurana em recursos humanos
(APENDICE A).
Os questionrios sero disponibilizados em rede atravs de um sistema informatizado
desenvolvido especificamente para pesquisas pela prpria empresa, e ficar disposio dos
entrevistados por um perodo de 30 dias.

20

3.2 Populao e amostra

A populao refere-se ao total de funcionrios da instituio escolhida, atualmente mais de
10.000 funcionrios. A amostragem ser probabilstica.

3.3 Tratamento de dados

O tratamento de dados proposto ser uma anlise fatorial, e ser utilizado o IBM SPSS. De
acordo com a Wikipedia (2012),
Anlise Fatorial uma tcnica da estatstica destinada representar um
processo aleatrio multi-variado por meio da criao de novas variveis,
derivadas das variveis originais e, geralmente, em menor nmero, que
representa as comunalidades do processo restando s variveis esprias
serem no descritas pelo modelo fatorial.

3.4 A empresa
A organizao analisada uma empresa pblica de Tecnologia da Informao e Comunicao
TIC, com atuao fortemente ligada prestao de servios para o setor pblico.

21

4 CRONOGRAMA
Atividades
Reviso bibliogrfica
Redao do projeto
Defesa do projeto
Aplicao dos questionrios
Anlise e interpretao
Redao do documento
Reviso da redao
Defesa da dissertao

2012
Ago

Set

Out

2013
Nov

Dez

Jan

Fev

Mar

Abr

Mai

22

REFERNCIAS
ALBRECHTSEN, E. A qualitative study of users view on information security. Computer
& Security, Volume 26, Issue 4, 276-289. Elsevier, 2007.
ALLEN, Julia, Governing for Enterprise Security. Networked Systems Survivability
Program, June 2005. Carnegie Mellon University and Software Engineering Institute
Material.
Technical
Note
CMU/SEI2005TN023.
Disponvel
em:
<http://www.sei.cmu.edu/publications/pubweb.html>. acesso em: jan. 2012.
ANLISE FATORIAL. In: WIKIPDIA, a enciclopdia livre. Flrida: Wikimedia
Foundation,
2012.
Disponvel
em:
<http://pt.wikipedia.org/w/index.php?title=Anlise_fatorial&oldid=31534841>. Acesso em:
17 out. 2012.
ASCIUTTI, Csar Augusto, Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a
Administrao Pblica USP, So Paulo (SP), 2006. Disponvel em:
http://www.security.usp.br/palestras/Normas-Encontro-USP-Seguranca-Computacional-II-V1-02.pdf. Acesso em: 15 set. 2012.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT ISO/IEC Guia 73:2005.
Gesto de Riscos. Vocabulrio. Recomendaes para uso em normas.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 17799:2005.
Tecnologia da Informao. Tcnicas de Segurana. Cdigo de prtica para a gesto da
Segurana da Informao.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27001. 2006.
Tecnologia da Informao. Tcnicas de segurana Sistemas de gesto de segurana da
informao Requisitos .
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27002: 2005;
Tecnologia da informao. Tcnicas de segurana - Cdigo de prtica para a gesto da
segurana da informao. ISBN 978-85-07-00648-0. Rio de Janeiro, 2005.
BAKER, W. H.; WALLACE, L. Is Information Security Under Control? Investigating
Quality in Information Security Management; Publicado por: THE IEEE COMPUTER
SOCIETY; IEEE SECURITY & PRIVACY; Jan./Fev. 2007.
BARMAN, S. Writing Information Security Policies. New Riders. Primeira Edio, Nov.
2001.
BERTO, R. M. V. S; NAKANO, D. N. A produo cientfica nos anais do Encontro
Nacional de Engenharia de Produo: um levantamento de mtodos e tipos de pesquisa.
Revista Produo, vol. 9, n. 2, 2000.
BRITISH STANDARD BS 25999-1:2006, Business Continuity Management (BCM), Part 1:
Code of Practice. British Standard Institute (BSI).
CASTELLS, Manuel. A Sociedade em Rede. Editora Paz e Terra S/A, So Paulo, 2007.

23

CERT.br. Estatsticas dos Incidentes Reportados ao CERT.br.

<http://www.cert.br/stats/incidentes/>. Acesso em: 01 ago. 2012.

Disponvel

em:

CHANG, S. E.; HO, C. B. Organizational factors to the effectiveness of implementing

information security management; Jornal: Industrial Management & Data Systems; Volume:
106; Nmero: 3; ISSN: 0263-5577; p. 345-361, 2006
Dias, C. Segurana e Auditoria da Tecnologia da Informao. Rio de Janeiro, RJ: Axcel
books, 2001.
Furnell, S. & Thomson, K.L. Recognising the varying user acceptance of IT security.
Computer Fraud & Security, Volume 2009, Issue 2, 5-10. Elsevier, 2009.
HNE, K.; ELOFF, J.H.P. Information security policy what do international infor- mation
security standards says; Elsevier - Computers & Security, 2002.
INSTITUTO BRASILEIRO DE GOVERNANA CORPORATIVA. IBGC. Cdigo de
Melhores Prticas. 2004. Disponvel em: <http://www.ibgc.org.br>. Acesso em: set.2011.
ITGI, Information Technology Governance Institute (ITGI), Information Security
Governance: Guidance for Boards of Directors and Executive Management. 2006. 2a. Edition.
www.itgi.org
KRUTZ, Ronald L. and VINES, Russell Dean, The CISSP Prep Guide: Mastering the Ten
Domains of Computer Security. Jonh Wiley & Sons. 2001. USA.
Leach, J. Improving user security behaviour. Computer & Security, Volume 22, Issue 8, 685692. Elsevier, 2003.
MARCONI, Marina de Andrade; LAKATOS, Eva Maria. Metodologia do trabalho cientifico:
procedimentos bsicos, pesquisa bibliografia, projeto e relatrio, publicaes e trabalhos
cientficos. 6. ed. 7. reimpr. So Paulo: Atlas, 2006.
MIGUEL, P. A. C. (org.). Metodologia de pesquisa em engenharia de produo e gesto de
operaes. Rio de Janeiro: Elsevier, 2010.
MITNICK, K. D.; SIMON, W. L. The Art of Deception: Controlling the Human Element of
Securit; John Wiley & Sons, Inc. New York, NY, USA, 2003.
MUNLEY, M. Moving from Consciousness to culture: Creating an environment of security
awareness; GSEC Practical Assignment, 10 Apr. 2004.
NORMA BRASILEIRA NBR 25999-1:2007, Gesto da Continuidade do Negcio, Parte 1:
Cdigo de prticas.
PFLEEGER, Charles P., Security in Computing. 2a. Edition. Editorial Precision Graphic
Services Inc. NJ 07458. 1997. USA
Rede Nacional de Ensino e Pesquisa. Incidentes reportados ao CAIS. Disponvel em:
<http://www.rnp.br/cais/estatisticas/index.php>. Acesso em: 18 jul. 2011.

24

Snchez LE, Villafranca D, Fernandez-Medina E, Piattini M. Practical approach of a secure

management system based on ISO/IEC 17799. In: ARES 2006 - First International
Conference on Availability, Reliability and Security. 2006. p. 585-92.
SOLMS, B. V. Information Security - a multidimensional discipline. Computer & Security,
no 20, p. 504-508, 2001.
Stanton, J.M., Stam, K.R, Mastrangelo, P., Jolton, J. Analysis of end user security behaviors.
Computer & Security, Volume 24, Issue 2, 124-133. Elsevier, 2005.
Vroom, C. & Solms, R. Towards information security behavioural compliance. Computer &
Security, Volume 23, Issue 3, 191-198. Elsevier, 2004
WHITMAN, M. E.; Enemy at the gate: threats to information security; Communications of
the ACM; Vol. 46, No. 8, Aug. 2003.

25

ANEXO I: DECRETO No 3.505, DE 13 DE JUNHO DE 2000.

Presidncia da Repblica
Subchefia para Assuntos Jurdicos
DECRETO No 3.505, DE 13 DE JUNHO DE 2000.
Institui a Poltica de Segurana da Informao nos rgos e
entidades da Administrao Pblica Federal.
O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. 84,
inciso IV, da Constituio, e tendo em vista o disposto na Lei no 8.159, de 8 de janeiro de
1991, e no Decreto no 2.910, de 29 de dezembro de 1998,
DECRETA:
Art. 1o Fica instituda a Poltica de Segurana da Informao nos rgos e nas entidades
da Administrao Pblica Federal, que tem como pressupostos bsicos:
I - assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da
sua intimidade e ao sigilo da correspondncia e das comunicaes, nos termos previstos na
Constituio;
II - proteo de assuntos que meream tratamento especial;
III - capacitao dos segmentos das tecnologias sensveis;
IV - uso soberano de mecanismos de segurana da informao, com o domnio de
tecnologias sensveis e duais;
V - criao, desenvolvimento e manuteno de mentalidade de segurana da informao;
VI - capacitao cientfico-tecnolgica do Pas para uso da criptografia na segurana e
defesa do Estado; e
VII - conscientizao dos rgos e das entidades da Administrao Pblica Federal sobre
a importncia das informaes processadas e sobre o risco da sua vulnerabilidade.
Art. 2o Para efeitos da Poltica de Segurana da Informao, ficam estabelecidas as
seguintes conceituaes:
I - Certificado de Conformidade: garantia formal de que um produto ou servio,
devidamente identificado, est em conformidade com uma norma legal;

26

II - Segurana da Informao: proteo dos sistemas de informao contra a negao de

servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada
de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo,
inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e
instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar,
deter e documentar eventuais ameaas a seu desenvolvimento.
Art. 3o So objetivos da Poltica da Informao:
I - dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos
jurdicos, normativos e organizacionais que os capacitem cientfica, tecnolgica e
administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o norepdio e a disponibilidade dos dados e das informaes tratadas, classificadas e sensveis;
II - eliminar a dependncia externa em relao a sistemas, equipamentos, dispositivos e
atividades vinculadas segurana dos sistemas de informao;
III - promover a capacitao de recursos humanos para o desenvolvimento de
competncia cientfico-tecnolgica em segurana da informao;
IV - estabelecer normas jurdicas necessrias efetiva implementao da segurana da
informao;
V - promover as aes necessrias implementao e manuteno da segurana da
informao;
VI - promover o intercmbio cientfico-tecnolgico entre os rgos e as entidades da
Administrao Pblica Federal e as instituies pblicas e privadas, sobre as atividades de
segurana da informao;
VII - promover a capacitao industrial do Pas com vistas sua autonomia no
desenvolvimento e na fabricao de produtos que incorporem recursos criptogrficos, assim
como estimular o setor produtivo a participar competitivamente do mercado de bens e de
servios relacionados com a segurana da informao; e
VIII - assegurar a interoperabilidade entre os sistemas de segurana da informao.
Art. 4o Para os fins deste Decreto, cabe Secretaria-Executiva do Conselho de Defesa
Nacional, assessorada pelo Comit Gestor da Segurana da Informao de que trata o art. 6o,
adotar as seguintes diretrizes:
I - elaborar e implementar programas destinados conscientizao e capacitao dos
recursos humanos que sero utilizados na consecuo dos objetivos de que trata o artigo

27

anterior, visando garantir a adequada articulao entre os rgos e as entidades da

Administrao Pblica Federal;
II - estabelecer programas destinados formao e ao aprimoramento dos recursos
humanos, com vistas definio e implementao de mecanismos capazes de fixar e
fortalecer as equipes de pesquisa e desenvolvimento, especializadas em todos os campos da
segurana da informao;
III - propor regulamentao sobre matrias afetas segurana da informao nos rgos
e nas entidades da Administrao Pblica Federal;
IV - estabelecer normas relativas implementao da Poltica Nacional de
Telecomunicaes, inclusive sobre os servios prestados em telecomunicaes, para
assegurar, de modo alternativo, a permanente disponibilizao dos dados e das informaes
de interesse para a defesa nacional;
V - acompanhar, em mbito nacional e internacional, a evoluo doutrinria e
tecnolgica das atividades inerentes segurana da informao;
VI - orientar a conduo da Poltica de Segurana da Informao j existente ou a ser
implementada;
VII - realizar auditoria nos rgos e nas entidades da Administrao Pblica Federal,
envolvidas com a poltica de segurana da informao, no intuito de aferir o nvel de
segurana dos respectivos sistemas de informao;
VIII - estabelecer normas, padres, nveis, tipos e demais aspectos relacionados ao
emprego dos produtos que incorporem recursos critptogrficos, de modo a assegurar a
confidencialidade, a autenticidade, a integridade e o no-repdio, assim como a
interoperabilidade entre os Sistemas de Segurana da Informao;
IX - estabelecer as normas gerais para o uso e a comercializao dos recursos
criptogrficos pelos rgos e pelas entidades da Administrao Pblica Federal, dando-se
preferncia, em princpio, no emprego de tais recursos, a produtos de origem nacional;
X - estabelecer normas, padres e demais aspectos necessrios para assegurar a
confidencialidade dos dados e das informaes, em vista da possibilidade de deteco de
emanaes eletromagnticas, inclusive as provenientes de recursos computacionais;
XI - estabelecer as normas inerentes implantao dos instrumentos e mecanismos
necessrios emisso de certificados de conformidade no tocante aos produtos que
incorporem recursos criptogrficos;

28

XII - desenvolver sistema de classificao de dados e informaes, com vistas garantia

dos nveis de segurana desejados, assim como normatizao do acesso s informaes;
XIII - estabelecer as normas relativas implementao dos Sistemas de Segurana da
Informao, com vistas a garantir a sua interoperabilidade e a obteno dos nveis de
segurana desejados, assim como assegurar a permanente disponibilizao dos dados e das
informaes de interesse para a defesa nacional; e
XIV - conceber, especificar e coordenar a implementao da infra-estrutura de chaves
pblicas a serem utilizadas pelos rgos e pelas entidades da Administrao Pblica Federal.
Art. 5o Agncia Brasileira de Inteligncia - ABIN, por intermdio do Centro de
Pesquisa e Desenvolvimento para a Segurana das Comunicaes - CEPESC, competir:
I - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional no tocante a atividades
de carter cientfico e tecnolgico relacionadas segurana da informao; e
II - integrar comits, cmaras tcnicas, permanentes ou no, assim como equipes e
grupos de estudo relacionados ao desenvolvimento das suas atribuies de assessoramento.
Art. 6o Fica institudo o Comit Gestor da Segurana da Informao, com atribuio de
assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na consecuo das
diretrizes da Poltica de Segurana da Informao nos rgos e nas entidades da
Administrao Pblica Federal, bem como na avaliao e anlise de assuntos relativos aos
objetivos estabelecidos neste Decreto.
Art. 7o O Comit ser integrado por um representante de cada Ministrio e rgos a
seguir indicados:
I - Ministrio da Justia;
II - Ministrio da Defesa;
III - Ministrio das Relaes Exteriores;
IV - Ministrio da Fazenda;
V - Ministrio da Previdncia e Assistncia Social;
VI - Ministrio da Sade;
VII - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior;
VIII - Ministrio do Planejamento, Oramento e Gesto;
IX - Ministrio das Comunicaes;
X - Ministrio da Cincia e Tecnologia;
XI - Casa Civil da Presidncia da Repblica; e

29

XII - Gabinete de Segurana Institucional da Presidncia da Repblica, que o

coordenar.
1o Os membros do Comit Gestor sero designados pelo Chefe do Gabinete de
Segurana Institucional da Presidncia da Repblica, mediante indicao dos titulares dos
Ministrios e rgos representados.
2o Os membros do Comit Gestor no podero participar de processos similares de
iniciativa do setor privado, exceto nos casos por ele julgados imprescindveis para atender aos
interesses da defesa nacional e aps aprovao pelo Gabinete de Segurana Institucional da
Presidncia da Repblica.
3o A participao no Comit no enseja remunerao de qualquer espcie, sendo
considerada servio pblico relevante.
4o A organizao e o funcionamento do Comit sero dispostos em regimento interno
por ele aprovado.
5o Caso necessrio, o Comit Gestor poder propor a alterao de sua composio.
Art. 8o Este Decreto entra em vigor na data de sua publicao.
Braslia, 13 de junho de 2000; 179o da Independncia e 112o da Repblica.
FERNANDO HENRIQUE CARDOSO
Jos Gregori
Geraldo Magela da Cruz Quinto
Luiz Felipe Lampreia
Pedro Malan
Waldeck Ornlas
Jos Serra
Alcides Lopes Tpias
Martus Tavares
Pimenta da Veiga
Ronaldo Mota Sardenberg
Pedro Parente
Alberto Mendes Cardoso
Publicado no D.O. de 14.6.2000