XIV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2014

Anlise dos Desafios para Estabelecer e Manter Sistema de

Gesto de Segurana da Informao no Cenrio Brasileiro
Rodrigo Valle Fazenda, Leonardo Lemes Fagundes
Instituto de Informtica Universidade do Vale do Rio dos Sinos (UNISINOS)
Caixa Postal 275 CEP 93022-000 So Leopoldo RS Brasil
Graduao Tecnolgica em Segurana da Informao
FazendaRodrigoV@gmail.com, Llemes@unisinos.br

Resumo. O estabelecimento da norma ISO 27001 cresce entre as

organizaes em todo o mundo. Porm, desafios so enfrentados pelas
empresas para implementar esta norma. escassa a quantidade de estudos
sobre os desafios que empresas brasileiras enfrentam para estabelecer e
manter o Sistema de Gesto de Segurana da Informao. Este artigo tem
como objetivo identificar e analisar os desafios enfrentados para estabelecer e
manter este sistema de gesto no cenrio nacional. Atravs do mtodo de
estudo de caso mltiplo que fatores como falta de apoio da direo, falta de
capacitao da rea de Segurana da Informao, influncia da cultura local,
falhas na anlise de riscos e resistncia mudana foram identificados como
obstculos.
Abstract. The adoption of the ISO 27001 standard grows among organizations
worldwide. However, many challenges are faced by companies to implement
this standard. There are few studies on the challenges facing Brazilian
companies to establish and maintain the Information Security Management
System. This article aims to identify and analyze the challenges faced in
establishing and maintaining this management system on the national scene.
Through the multiple case study method that factors such as lack of
management support, lack of training in the Information Security area,
influence of local culture, failures in risk analysis and resistance to change
were identified as obstacles.
1. Introduo
As informaes desempenham papis estratgicos fundamentais dentro das organizaes,
dessa forma, elas acabam sendo cobiadas tornando-se alvo de ataques que buscam
infringir sua confidencialidade, integridade e disponibilidade. As informaes precisam ser
protegidas para ajudar a garantir o capital das organizaes.
Especialistas como Solms (1999) acreditam que o estabelecimento de normas
internacionais de segurana da informao um ponto de partida essencial para melhorar a
segurana da informao de uma organizao.
Para garantir esta proteo de forma eficaz, existe um sistema de gesto especfico
que oferece uma estrutura de controles que pode ser aplicada pelas empresas de diferentes
ramos de atuao, denominado Sistema de Gesto de Segurana da Informao (SGSI).
454

c
2014
SBC Soc. Bras. de Computao

XIV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2014

Este sistema de gesto prov um modelo internacionalmente comprovado para, segundo a

ISO 27001 (2005), estabelecer, operar, monitorar e analisar criticamente ambientes
organizacionais sob o aspecto de segurana da informao.
Como ferramenta utilizada para aplicar controles de segurana da informao e
obter o nvel seguro de proteo existe a norma internacional de segurana da informao
ISO 27001. uma norma escrita pelos melhores especialistas de todo o mundo em
segurana da informao. Sua finalidade fornecer uma metodologia para estabelecer a
segurana da informao em uma organizao [Kosutic 2013].
A ISO 27001 tem como abordagem a gesto de riscos para alcanar a segurana da
informao eficaz atravs do uso contnuo de mtodos de risco, incorporadas ao modelo de
processo PDCA, para monitorar, manter e melhorar a eficcia dos controles de segurana
[ISO 27001 2005].
Desafios para estabelecimento e manuteno da ISO 27001 foram identificados em
mbito global. A publicao feita pela The British Assessement Bureau (2013) cita como
desafios: o medo ou constrangimento de no conseguir a certificao depois de ser
auditado, os custos iniciais e de manuteno que a certificao exige e tambm o fato de ser
mais fcil reivindicar o cumprimento da norma do que realmente demonstrar como cumprila.
O estudo supracitado realizado pelo The British Assement Bureau (2013) possui
abrangncia mundial. escassa a quantidade de estudos no cenrio nacional que abordam
as dificuldades enfrentadas pelas empresas brasileiras para estabelecer e manter um Sistema
de Gesto de Segurana da Informao. Com base no levantamento bibliogrfico de
pesquisas sobre este tema, houve forte dificuldade em buscar estudos de empresas
brasileiras de ramos diferentes de atuao, foram encontrados estudos de caso nico sobre
implementao da norma ISO 27001. Estudos de caso mltiplos foram possveis de
localizar somente em empresas estrangeiras. Por mais que os estudos destas empresas
contribuam para identificar os desafios, importante obter uma viso holstica para
perceber a realidade enfrentada pelas empresas brasileiras ao estabelecer e manter um
Sistema de Gesto de Segurana da Informao.
Sendo assim, este trabalho procura responder a questo de pesquisa: quais so os
principais desafios, no cenrio nacional, a fim de estabelecer e manter um Sistema de
Gesto de Segurana da Informao?
Para responder esta questo de pesquisa, o seguinte objetivo geral foi definido:
identificar e analisar os principais desafios ao estabelecer e manter um Sistema de Gesto
de Segurana da Informao atravs de um nmero limitado de empresas brasileiras que
representam os principais ramos de atuao que mais possuem certificao na norma ISO
27001. Para atingir este objetivo geral, os objetivos especficos estabelecidos foram:
desenvolver um instrumento de coleta de dados adequado ao propsito do trabalho e
organizar o descrever os dados coletados
Para atingir os objetivos propostos e, consequentemente, obter a resposta da questo
de pesquisa, este artigo foi estruturado da seguinte forma: a seo 2 relaciona as pesquisas
que j foram feitas sobre este mesmo tema; a seo 3 descreve a metodologia que foi
aplicada nesta pesquisa e suas caractersticas; a seo 4 descreve os resultados obtidos
interpretados da anlise dos dados coletados nas entrevistas com as empresas. Por fim, na
seo 5 encontra-se a concluso da pesquisa e os trabalhos futuros que podero ser
iniciados com base nos resultados deste trabalho.
455

c
2014
SBC Soc. Bras. de Computao

XIV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2014

2. Trabalhos Relacionados
Os trabalhos pesquisados sobre o tema deste artigo foram organizados conforme representa
a Tabela 1.
Tabela 1. Trabalhos relacionados

3. Metodologia
Nesta pesquisa, um estudo de caso mltiplo foi desenvolvido para analisar o
estabelecimento e manuteno do Sistema de Gesto de Segurana da Informao de
organizaes brasileiras de diferentes ramos de atuao. Entrevistas de abordagem
qualitativa com os responsveis por segurana da informao foram realizadas nestas
organizaes, baseando-se em um roteiro especfico previamente elaborado. Segundo
Malhotra (2006), este um estudo exploratrio, pois possibilita desenvolver hipteses sobre
o tema que est sendo estudado. Ao final da pesquisa, hipteses foram levantadas sobre os
possveis desafios identificados e analisados sobre as empresas selecionadas.
A amostragem das empresas foi classificada como no probabilstica, ela no utiliza
seleo aleatria, confia no julgamento pessoal do pesquisador. Utilizou-se a tcnica de
amostragem por convenincia devido s limitaes de buscar uma relao de todas as
empresas brasileiras certificadas na ISO 27001, ou que possuam um Sistema de Gesto de
Segurana da Informao estabelecido. Esta tcnica mostra-se adequada a este tipo de
pesquisa, uma vez que, segundo Malhotra (2006), a seleo das unidades amostrais
deixada a cargo do entrevistador (Tabela 2).
Tabela 2. Perfis das empresas selecionadas

456

c
2014
SBC Soc. Bras. de Computao

XIV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2014

Foram selecionadas empresas brasileiras sabidamente certificadas na norma ISO

27001 ou que j possuem o Sistema de Gesto de Segurana da Informao estabelecido.
Para que uma empresa estabelea este sistema de gesto, ela precisar definir um escopo,
ou seja, sobre quais os processos da empresa que o Sistema de Gesto de Segurana da
Informao ser implementado. A empresa de Tecnologia de Informao com 80
colaboradores possui como escopo Data Center e os escopos das demais empresas so
todos os processos de negcio, de acordo com suas respectivas reas de atuao.
Para assegurar a relevncia das empresas selecionadas como representao do
cenrio nacional, os ramos de atuao fazem parte do Top Five mundial de seguimentos
que mais possuem certificao na norma ISO 27001 e tambm do Top Three de ramos de
atuao de empresas brasileiras que mais possuem certificao nesta norma, segundo
levantamento realizado pela ISO (2013).

3.1. Coleta dos dados

As entrevistas presenciais e remotas foram realizadas utilizando um roteiro de entrevistas
como base. A ideia do roteiro foi questionar os entrevistados sobre o ambiente
organizacional e sua relao com o Sistema de Gesto de Segurana da Informao.

3.1.2. Caractersicas do roteiro

Para estruturar o roteiro, as questes abrangem todas as etapas do ciclo PDCA aplicado
norma ISO 27001 (Figura 1). Cada questo possui objetivos para avaliar se a organizao
est seguindo o PDCA que a norma exige, identificando os principais problemas e desafios
enfrentados para estabelecer e manter o Sistema de Gesto de Segurana da Informao. As
perguntas foram divididas em duas categorias: estabelecer e manter, uma vez que o ciclo
PDCA da norma visa estabelecer e manter um SGSI, de um modo geral.

Figura 1. Ciclo PDCA aplicado ao Sistema de Gesto de Segurana da

Informao

O PDCA um modelo que busca tornar os processos da gesto de uma empresa

mais geis, claros e objetivos. Pode ser utilizado em qualquer tipo de empresa e divido em
quatro etapas: PLAN (planejar), DO (fazer), CHECK (verificar) e ACT (agir).
O roteiro de entrevistas foi estruturado com 13 questes que so correlacionadas,
com o objetivo de identificar inconsistncias nas respostas coletadas dos entrevistados.
Alm disso, o roteiro possui outras caractersticas que foram utilizadas para sua
estruturao, conforme representadas na Tabela 3:

457

c
2014
SBC Soc. Bras. de Computao

XIV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2014

Tabela 3. Estruturao do roteiro de entrevistas

Depois de estruturado, o roteiro foi previamente avaliado e aprovado por

especialistas em segurana da informao que possuem certificaes como, por exemplo,
CISSP, CISM, auditor lder em ISO 27001, entre outras capacitaes.

3.2. Anlise dos dados

A tcnica de Anlise de Contedo foi utilizada para a anlise de dados desta pesquisa.
Segundo Moraes (199), esta tcnica mostra-se mais adequada para descrio e interpretao
de contedos de qualquer classe de documentos. Esta tcnica permite uma melhor
compreenso dos significados dos textos.
A tcnica de Anlise de Contedo dos dados foi dividida em cinco etapas,
baseando-se nas sugestes de Moraes (1999): preparao, onde os dados foram transcritos
para preparao; unitarizao, onde foram identificadas as unidades de registro;
categorizao, onde os dados resultantes das unidades de registros foram separados de
acordo com os termos comuns; descrio, onde um texto sntese por categoria foi elaborado
de acordo com as respostas dos entrevistados e, por fim, interpretao, quando os dados
descritos nas categorias foram interpretados.

4. Resultados Obtidos
As hipteses identificadas resultantes da tcnica de anlise de foram: Falta de apoio da alta
direo, Falta de capacitao da equipe de Segurana da Informao, Influncia da cultura
local, Falhas na elaborao da Anlise de Risco e Resistncia mudana.

4.1. Falta de apoio da alta direo

O comprometimento da direo e todos os nveis gerenciais primordial no
estabelecimento e manuteno do Sistema de Gesto de Segurana da Informao,
conforme mencionado na ISO 27001.
Fatores que caracterizam esta falta de comprometimento foram identificados nas
respostas coletadas como: no provimento de recursos para realizao de programas que
visam expandir a cultura de segurana da informao dentro das organizaes, pouco
envolvimento nas aes de segurana da informao com o intuito de demonstrar aos
colaboradores que a segurana da informao uma preocupao oriunda do negcio da
organizao, falta de anlises crticas do sistema de gesto para assegurar a melhoria

458

c
2014
SBC Soc. Bras. de Computao

XIV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2014

contnua nos processos e alinhamento dos objetivos da empresa para, no somente

permanecer em conformidade com a norma ISO 27001, mas tambm garantir que todos os
processos estejam alinhados e com os mesmos objetivos dentro da organizao.
A partir deste desafio, outros podero ser reduzidos consideravelmente. Um
exemplo disso o provimento de recursos para capacitao das equipes de Segurana da
Informao. Uma direo fortemente comprometida com a segurana dispe de recursos
para que sua equipe esteja sempre capacitada a orientar seus colaboradores e utilizar-se das
melhores prticas no mercado, incluindo a aplicao dos controles da norma ISO 27001 de
forma mais consistente e de acordo com a realidade da organizao.

4.2. Falta de capacitao da equipe de SI (Segurana da Informao)

A identificao deste desafio partiu no somente das respostas explcitas dos entrevistados,
mas, tambm, das respostas implcitas.
Alguns entrevistados demonstraram slidos conhecimentos da rea de segurana da
informao de suas empresas, porm, determinados problemas estavam sendo causados
pela prpria rea de segurana da informao, no por m f da equipe, mas puramente pela
falta de capacitao e experincia.
Exemplos disso so a no necessidade de medio de determinados controles
segurana da informao e orientaes especficas para especialistas de Tecnologia
Informao. Dentre as respostas coletadas, houve casos em que a rea de segurana
informao sequer sabia responder o que de benefcio para a organizao o Sistema
Gesto de Segurana da Informao trouxera.

de
da
da
de

Alm disso, existem reas de segurana da informao que no possuem um

entendimento completo da norma ISO 27001. Elas possuem uma viso deturpada do que
de fato um Sistema de Gesto de Segurana da Informao estabelecido. Um exemplo a
aplicao somente dos controles de segurana da informao no ambiente da empresa,
sendo que, para que este sistema de gesto seja adequadamente estabelecido deve ter as
etapas correspondentes ao ciclo do PDCA implantadas, executadas, medidas e melhoradas.
Entrevistados apontaram, tambm, que a mo-de-obra no capacitada estava
impactando no processo do sistema de gesto como um todo, de tal forma que os incidentes
de segurana da informao no estavam sendo solucionados devido a este despreparo.

4.3. Influncia da cultura local

Este desafio acaba aparecendo de forma onipresente entre as respostas dos entrevistados. A
influncia da cultura local, segundo as respostas obtidas, acaba aparecendo como fator que
origina outros desafios como, por exemplo, a falta de comprometimento dos colaboradores
para com a cultura de segurana da informao das empresas.
de senso comum que a cultura local do Brasil referente segurana da
informao precisa evoluir. Segundo informaes obtidas dos entrevistados, grande parte
dos usurios ainda tem a ideia de que segurana da informao somente proteger o
computador e, dessa forma, acabam no valorizando as informaes confidenciais que so
trocadas por outros meios como, por exemplo, informaes faladas em locais inadequados,
materiais com informaes confidenciais descartados de forma incorreta.
Colaboradores atribuindo acessos confidenciais sem um estudo prvio do que
realmente necessrio atribuir de acessos, compartilhamento de senhas pessoais em
459

c
2014
SBC Soc. Bras. de Computao

XIV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2014

situaes de ausncia de colaboradores ou para diviso de atividades, falta de apoio dos

gestores das reas de negcio na expanso da cultura de segurana para seus subordinados,
excesso de confiana nos colegas de trabalho fazendo com que informaes confidenciais
sejam expostas em locais indevidos. Ou seja, a cultura de que as situaes devem ser
tratadas e resolvidas de forma rpida, fazendo com que a segurana fique em segundo
plano.
Um fato interessante observado nas respostas dos entrevistados aponta para a falta
de interesse dos colaboradores em abrir incidentes de segurana da informao. Alguns
entrevistados acabaram relatando que muitos colaboradores ainda tm o pensamento de que
a abertura de incidentes somente tarefa da rea de Segurana da Informao.

4.4. Falhas na elaborao da anlise de risco

As falhas na elaborao da anlise de risco desencadeiam outros desafios, assim como a
falta de apoio da alta direo. Uma anlise de riscos mal feita um dano estrutural no
Sistema de Gesto de Segurana da Informao, pois a base do processo como um todo.
da anlise de riscos que os ativos do escopo deste sistema de gesto so identificados e, a
partir destes ativos, as polticas de segurana da informao e toda uma cadeia de processos
sero elaboradas.
Segundo os dados coletados nas entrevistas, a ineficincia em identificar os ativos
das organizaes para definio dos escopos que sero abrangidos pelo Sistema de Gesto
de Segurana da Informao acaba fazendo com que a anlise de risco no cubra todas as
arestas necessrias. Alm disso, os fatores motivadores para estabelecimento deste sistema
de gesto tambm acabam impactando a elaborao da anlise de riscos.
Alguns entrevistados relataram que a anlise de riscos j estava definida de acordo
com outros padres de segurana mais tcnicos, diferentes da norma ISO 27001, e que a
partir desta anlise de riscos, o Sistema de Gesto de Segurana da Informao foi
estabelecido. Exemplo disso uma anlise de riscos feita para atender aos requisitos da
norma internacional PCI-DSS (utilizado em empresas com grande volume de transaes de
carto de crdito). Os requisitos para a anlise de riscos desta norma, por mais que tambm
estejam ligados fortemente segurana da informao, no atendem a determinados
requisitos da norma ISO 27001 e, mesmo assim, foram utilizados como base para
estabelecer o Sistema de Gesto de Segurana da Informao.

4.5. Resistncia mudana

Qualquer norma de gesto enfrenta este desafio antes mesmo da norma ser estabelecida no
ambiente. O fato de grande parte dos colaboradores ainda terem o pensamento de que
segurana da informao responsabilidade somente de uma rea especfica, acaba fazendo
com que os mesmos resistam a seguir as polticas de segurana da informao e as boas
prticas divulgadas pela empresa.
Boa parte das atividades e controles gerados pelas polticas de segurana da
informao, por exemplo, so vistos como um atraso nos processos de negcio, segundo
relatos dos entrevistados. Muitas dessas ideias deturpadas em relao segurana da
informao so fomentadas pelo no conhecimento ou no valorizao que as informaes
exercem sobre o negcio como um todo.
Implantao de novas tecnologias, a incluso de mais controles de segurana, em
geral tudo que gera mais esforo por parte dos colaboradores acaba sendo encarado como
460

c
2014
SBC Soc. Bras. de Computao

XIV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2014

atividade burocrtica, sem resultados mensurveis. Cabe a, portanto, reiniciando o ciclo

dos desafios identificados nesta pesquisa, um maior apoio da direo para proporcionar
subsdios humanos e tcnicos para demonstrar no que, de fato, esses esforos extras dos
colaboradores esto contribuindo para o ambiente organizacional da empresa para assim,
quem sabe, a resistncia mudana acabe dando lugar conscientizao segurana da
informao.

4.6. Outras constataes

Durante a fase de anlise de dados, foi possvel identificar outras constataes importantes
que este trabalho contribuiu, como: os desafios enfrentados por cada etapa do ciclo PDCA,
fatores motivadores para o estabelecimento do Sistema de Gesto de Segurana da
Informao e os principais benefcios identificados pelas empresas pesquisadas.
Apesar do objetivo deste trabalho ser identificar os desafios de forma geral para
estabelecimento e manuteno do Sistema de Gesto de Segurana da Informao, este
trabalho tambm acabou contribuindo para apresentar os obstculos relacionados a cada
etapa do PDCA (Tabela 4).
Tabela 4. Desafios enfrentados por cada etapa do ciclo PDCA

Alguns dos principais fatores motivadores identificados nas respostas foram:

exigncia por parte da matriz, vantagem competitiva de mercado, busca por um ambiente
processual padronizado e controlado, almejar um ambiente seguro culminando em uma
certificao na ISO 27001 e proteo das informaes confidenciais das organizaes.
Alm disso, foi possvel identificar os principais benefcios que o estabelecimento
deste sistema de gesto est trazendo para as organizaes: melhorias de imagem e
marketing das empresas, aumento da disponibilidade dos ambientes de infraestrutura de
Tecnologia da Informao, diminuio nos custos com infraestrutura de Tecnologia da
Informao, apoio importante no processo de Governana de TI, mapeamento das falhas de
segurana dos ambientes organizacionais e credibilidade perante aos clientes.
Ao final desta pesquisa, tambm foi possvel fazer uma comparao dos resultados
obtidos com os desafios identificados pelos trabalhos relacionados, onde ficou evidente a
semelhana dos resultados do cenrio nacional com os estudos realizados na ndia, Om e
Arbia Saudita.

5. Concluso
O presente artigo buscou responder a questo de pequisa: quais so os principais desafios,
no cenrio nacional, a fim de estabelecer e manter um Sistema de Gesto de Segurana da
Informao? Esta questo foi respondida com sucesso, respeitando a amostra selecionada
que representa o cenrio brasileiro.
Os dados coletados nas entrevistas foram analisados chegando-se a identificao
destes desafios atravs de cinco hipteses representadas por categorias. So elas: Falta de
461

c
2014
SBC Soc. Bras. de Computao

XIV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2014

apoio da alta direo, Falta de capacitao da equipe de segurana da informao,

Influncia da cultura local, Falhas na elaborao da anlise de risco e Resistncia
mudana. Cada uma destas categorias descreve a sntese dos problemas citados pelos
entrevistados do Sistema de Gesto de Segurana da Informao da organizao.
Dificuldades tiveram que ser superadas ao longo desta pesquisa para obteno dos
objetivos propostos. Exaustivos testes na elaborao e aprovao do roteiro de entrevista,
dificuldades em conseguir flexibilidade das empresas selecionadas para realizao das
entrevistas, as frustraes momentneas enfrentadas nos cancelamentos de entrevistas por
motivos diversos, a seleo de outras empresas que atendessem aos requisitos desta
pesquisa e, por fim, a prpria anlise de dados que foi realizada com a pacincia e os
cuidados que esta fase requer.
Como resultado de uma anlise de dados criteriosa, foi possvel obter outras
constataes que no estavam entre os objetivos desta pesquisa. Alm de identificar os
desafios que impedem a adeso em massa de empresas brasileiras norma ISO 27001 de
forma geral, esta pesquisa contribuiu para identificar estes obstculos atravs de cada etapa
do ciclo PDCA, os principais fatores motivadores e os principais benefcios que estas
empresas brasileiras esto obtendo com o estabelecimento do Sistema de Gesto de
Segurana da Informao.
Na comparao dos resultados desta pesquisa com os trabalhos relacionados,
percebe-se que os desafios identificados neste artigo assemelham-se consideravelmente
com os desafios dos estudos realizados na ndia, Om e Arbia Saudita. Estes dados so
interessantes, pois existe uma diferena cultural forte entre o Brasil e os pases
mencionados e, mesmo assim, os desafios acabaram convergindo-se.
Sendo assim, os resultados obtidos nesta pesquisa reforam a ideia de que esse
artigo possa ser utilizado como um guia para contribuir de forma preventiva, antecipando
aos especialistas em Segurana da Informao, os principais desafios que podero ser
enfrentados para o estabelecimento e manuteno do Sistema de Gesto de Segurana da
Informao.

5.1. Trabalhos futuros

Anlises aprofundadas sobre as causas dos desafios mencionados neste artigo podero ser
realizadas. Com as causas mapeadas, medidas preventivas podero ser elaboradas e
aplicadas para evitar ou minimizar a ocorrncia dos desafios citados.
Como consequncia desta pesquisa, tambm poder ser conduzido um estudo
focado em sugerir e aplicar possveis solues aos desafios detectados neste trabalho.
Adaptao do roteiro de entrevistas para utilizao em pesquisas que tenham como
foco outros escopos, ramos de atuao especficos ou determinadas regies geogrficas.
E, por fim, realizar um estudo mais especfico que possa levantar hipteses para
explicar os motivos dos desafios citados neste artigo assemelharem-se com os estudos
realizados em outras regies geogrficas com culturas diferentes.

Referncias
ABNT NBR ISO/IEC 27001:2005, (2005) Tecnologia da informao Tcnicas de
segurana Sistemas de gesto de segurana da informao Requisitos.

462

c
2014
SBC Soc. Bras. de Computao

XIV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2014

Abusaad, Belal, Saeed Fahad A., Alghathbar, Khaled, Bilal, Khan. (2011) Implementation
of ISO 27001 in Saudi Arabia Obstacles, Motivations, Outcomes and Lessons
Learned, 9th Australian Information Security Management Conference, Edith Cowan
University. December.
Al-Awadi, Maryam, Renaud Karen. (2008) Success Factors in Information Security
Implementation in Organizations, University of Glasgow.
British Assessment Bureau, (2013) Survey Shows Fear of ISO 27001, http://www.britishassessment.co.uk/news/survey-shows-fear-of-iso-27001, Julho.
ISO, International Organization for Standardization, (2013), ISO Survey 2012,
http://www.iso.org/iso/home/standards/certification/isosurvey.htm?certificate=ISO%209001&countrycode=AF, Setembro.
Kosutic, Dejan (2013) We have implemented ISO 9001, can something be used for ISO
27001
/
ISO
22301
/
BS
25999-2?
IS&BCA.
http://support.epps.eu/customer/portal/articles/787939-we-have-implemented-iso-9001can- something-be-used-for-iso-27001-iso-22301-bs-25999-2-, Outubro.
Malhotra, N. K. (2006) Pesquisa de marketing: uma orientao aplicada, Porto Alegre:
Bookman.
Moraes, Roque (1999) Anlise de contedo, Revista Educao, Porto Alegre, Vol. 22,
N. 37, pp. 7-32.
Martins, Alade, Santos, Celso (2005) Uma Metodologia para Implantao de um Sistema
de Gesto de Segurana da Informao, Journal of Information Systems and
Technology Management, vol 2, N 2, pp. 121-136. Salvador.
Singh, Abhay, Sharma, Sammarth, Pandey, Manish, Chaurasia, Sandarbh, Vaish, Anaurika,
Venkatesan S. (2012) Implementation of ISO 27001 in Indian Scenario: Key
Challenges, International Conference on Recent Trends of Computer Technology in
Academia.
Siqueira, Jairo, (2011) A Arte das Perguntas Criativas e Desafiadoras, http://
http://criatividadeaplicada.com/2011/07/28/a-arte-das-perguntas-criativasedesafiadoras/, Julho.
Solms, Von R. (1999) Information Security Management: Why Standards are Important,
Information Management & Computer Security. vol. 46, n 8, p. 91-95.
The British Assessment Bureau, (2013) Key Survey Illustrates the Importance of ISO
27001,
http://www.british-assessment.co.uk/news/key-survey-illustrates-theimportance-of-iso-27001, Agosto.
The British Assessment Bureau, (2013) Survey Shows Fear of ISO 27001,
http://www.british-assessment.co.uk/news/survey-shows-fear-of-iso-27001, Julho.
The Trivinos, Augusto Nibaldo Silva (1990) Introduo Pesquisa em Cincias Sociais: A
Pesquisa Qualitativa em Educao, So Paulo, Atlas, 1990. p. 146.
Waluyan, Liska, Blos, Mauricio, Nogueira, Stephanie, Asai, Tatuso. (2010) Potential
Problems in People Management concerning Information Security in Cross-cultural
Environment The Case of Brazil, Journal of Information Processing, Vol. 18, pp. 3842. February.

463

c
2014
SBC Soc. Bras. de Computao