CATI2005

Congresso Anual de Tecnologia da informação

Annual Information Technology Congress

PRÁTICAS DE CONSCIENTIZAÇÃO E TREINAMENTO

EM SEGURANÇA DA INFORMAÇÃO NO CORREIO
ELETRÔNICO – UM ESTUDO DE CASO
Este trabalho recebeu suporte do CNPq por
meio de Bolsa de Produtividade em Pesquisa

ANATÁLIA SARAIVA MARTINS RAMOS

PROFESSOR; UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE

SAYONARA DE MEDEIROS CAVALCANTE

ESTUDANTE; UERN

Realização:
 CATI2005 - Congresso Anual de Tecnologia da Informação

PRÁTICAS DE CONSCIENTIZAÇÃO E TREINAMENTO EM SEGURANÇA DA

INFORMAÇÃO NO CORREIO ELETRÔNICO – UM ESTUDO DE CASO

Resumo: A segurança da informação tem sido reconhecida como uma das questões mais
importantes na administração de sistemas de informação e um dos maiores desafios para as
organizações modernas. A questão da conscientização e treinamento dos usuários é uma das mais
críticas em termos de segurança da informação. O artigo apresenta as práticas e discute a
segurança da informação para e-mail em uma organização acadêmica, tendo como principal foco
a conscientização e treinamento dos usuários. A metodologia da pesquisa é do tipo estudo de caso
único, tendo utilizado questionários, entrevistas semi-estruturadas e observação direta como
instrumentos de coleta de dados. Quanto aos objetivos, a pesquisa é exploratória e, no que diz
respeito à forma de abordagem do problema de pesquisa, é qualitativa. Foram entrevistados 25
usuários, dispostos entre funcionários e alunos. Foi aplicado um questionário e realizaram-se
entrevistas com a gerência de TI. Identificou-se uma prática reativa em relação à segurança de
informação em geral e à utilização do correio eletrônico em particular. Por fim, na IES há uma
percepção superficial sobre as questões de segurança, além da inexistência de programa de
conscientização e treinamento dos usuários.
Palavras-chave: Administração de tecnologia de informação; Correio eletrônico; Gestão de
segurança; Segurança da informação; Conscientização e treinamento de usuários; Instituição de
Ensino Superior.

INTRODUÇÃO
O uso intensivo da informação na economia digital cada vez mais tem levado as organizações a
enfrentarem problemas de segurança da informação. Neste ambiente corporativo moderno, as
pessoas usam diversos recursos de tecnologia de informação (TI), incluindo redes, correio
eletrônico (e-mail), Internet, softwares. Se recursos computacionais estiverem em rede, qualquer
organização, a despeito de porte ou tipo de negócio, está potencialmente aberta para ataques,
ameaças e riscos tecnológicos (e-risks). Broderick (2001) assevera que a informação é o recurso
mais crítico no mundo dos negócios. As empresas devem gerenciar os riscos associados às
informações como uma das suas práticas de negócio.
São considerados riscos tecnológicos mais comuns a perda de produtividade, o desperdício
de recursos computacionais, os ataques de vírus, hackers e crackers, a interrupção dos negócios
(FLYNN, 2001). Podem ser adicionados, ainda, como problemas no funcionamento de sistemas
de informação (estando em rede ou não), acessos não-autorizados, ataques de negação de
serviços, destruição, alteração, inserção de dados, fraudes, roubos, publicação de dados privados
não-autorizados, sabotagem etc. Mecanismos de segurança apropriados são necessários para que
transações e comunicações críticas sejam feitas da forma certa, pois garantir a segurança no e-
business é um pré-requisito fundamental antes de se efetivar qualquer atividade comercial
envolvendo informações, como alertam Singh e Waddell (2004).
No Brasil, o número de ataques e invasões subiu de 43%, em 2002, para 77%, em 2003.
26% das empresas no Brasil não conseguem sequer identificar os responsáveis pelos ataques e
48% não possuem nenhum plano de ação formalizado em caso de invasões e ataques (MÓDULO,
2003).
A preocupação com a segurança da informação não é recente. Antes da popularização da
Internet, esse assunto já era pesquisado, principalmente na perspectiva da administração de redes,
na visão mais técnica. À medida que a TI passava a ser mais necessária para a realidade
 CATI2005 - Congresso Anual de Tecnologia da Informação

empresarial e os problemas de segurança de informação tornavam-se mais complexos e urgentes,

admitiu-se a necessidade de adotar uma visão mais gerencial para lidar com a questão.
Em relação aos trabalhos acadêmicos, nota-se um rápido crescimento de trabalhos na área.
Destacam-se os artigos de Wilson; Turban; Zviran (1992), Wood; Banks Jr. (1993), Pernul
(1995), Solms (1996), Finne (1998), Solms (1999), Nosworthy (2000), Solms (2000), Trček
(2000), Gaunt (2000), Höne, Eloff (2002), Vasiu; Mackay; Warren (2003), Wilson (2003),
Wilson, Hash (2004). A despeito desse crescimento, não há muitos trabalhos relativos ao
gerenciamento da segurança no uso do correio eletrônico corporativo. Os citados são os trabalhos
de Drolet (2000), Flynn (2000), Safsten (2000), Pimenta (2001), Muhl (2003). No tocante ao
tratamento da segurança das informações em pequenas empresas, há também poucos trabalhos,
merecendo destaque o artigo de Luciano, Abdala e Lucas (2004).
As pessoas têm sido consideradas como o componente mais importante em um programa
eficaz de segurança da informação (WILSON, HASH, 2004; EGAN, MATHER, 2004). Na
revisão da literatura, comprova-se que existe uma escassa publicação contemplando a
preocupação das práticas da política de segurança, com enfoque direcionado aos aspectos de
educação, conscientização e treinamento. Foram encontrados os trabalhos de Wood (1997),
Thomson e Solms (1998) e Furnell, Gennatou e Dowland (2002) e Wilson e Hash (2004). O
resultado da pesquisa da ISC2 indicou que a conscientização, treinamento e educação dos
usuários é o segundo assunto mais crítico na segurança da informação, listado no ranking da
pesquisa (KNAPP et. al., 2004). Isso justifica a investigação tanto em termos práticos quanto
acadêmicos.
À luz desta problemática, o artigo busca investigar, como principal questão de pesquisa,
quais são as práticas do gerenciamento da segurança de informação. As dimensões de análise são:
política de segurança, criação, uso e manutenção do e-mail, finalidades, técnicas de segurança,
com maior ênfase no monitoramento, conscientização e treinamento dos usuários. Para tanto,
focalizou-se no recurso do correio eletrônico (e-mail) corporativo, através de estudo de caso em
uma instituição de ensino superior (IES).

2. FUNDAMENTAÇÃO TEÓRICA
2.1 Segurança da informação
A segurança da informação tem sido reconhecida como uma das questões mais importantes na
gestão de sistemas de informação. Há cerca de 30 anos, o gerenciamento da segurança era
relativamente mais simplificado. Apenas pessoas especializadas tinham acesso às instalações de
informática, os recursos eram centralizados. Mais tarde, com o surgimento dos computadores
pessoais, redes locais e compartilhamento de informações, outros departamentos foram tendo
acesso aos sistemas computacionais, mas somente dentro das fronteiras da organização. Hoje em
dia, não existem mais fronteiras, o ambiente computacional tornou-se extremamente complexo,
heterogêneo e distribuído, dificultando o gerenciamento de questões relativas à segurança da
informação (SOLMS, 1996; AMARAL, 2001).
Wilson, Turban e Zviran (1992) definem segurança da informação como a preocupação em
proteger o ambiente computacional de ameaças deliberadas ou acidentais, as quais exploram as
vulnerabilidades dos sistemas. Na visão de Moreira (2001), a segurança visa também aumentar a
produtividade dos usuários através de um ambiente mais organizado, proporcionando maior
controle sobre os recursos. Nakamura e Geus (2002) entendem que a segurança deve ser
considerada não apenas como uma proteção, mas como um elemento habilitador para a realização
dos negócios.
 CATI2005 - Congresso Anual de Tecnologia da Informação

Os princípios norteadores da segurança são a preservação da confidencialidade (garantir

que as informações sejam acessíveis apenas àqueles autorizados a terem acesso), integridade
(salvaguardar a exatidão e inteireza das informações e métodos de processamento) e
disponibilidade (garantir que os usuários autorizados tenham acesso às informações e ativos
associados quando necessário).
A gestão de segurança da informação é o esforço de proteção de todas as informações,
contra ameaças e manipulações não autorizadas, de forma a minimizar o impacto de incidentes de
segurança, assegurando a continuidade do negócio e maximizando o retorno de investimentos e
oportunidades. Martins (2003) mostra como todas as metodologias, tecnologias e serviços podem
ser utilizados de forma combinada, o que aumenta consideravelmente a chance de sucesso em
projetos de segurança da informação.
Por abranger não somente aspectos técnicos, mas também por atingir aspectos humanos, é
necessária uma abordagem de gestão que leve em consideração a cultura, a educação e o
conhecimento e, principalmente, a conscientização das pessoas acerca dos meios corretos e
seguros para se usar as ferramentas de TI. Os obstáculos que poderão surgir no estabelecimento
de uma política efetiva de segurança são, na maior parte, relacionados com fatores humanos.
Segundo Gaunt (2000), os aspectos atitudinais e comportamentais, falta de conhecimento
(ignorância), sistemas inadequados e políticas inconsistentes são impedimentos para a mudança
rumo à cultura da segurança.

2.2 Política de Segurança da Informação

A política de segurança da informação é um processo contínuo de estabelecer, redefinir e
implementar objetivos de segurança, com relação a todos os aspectos e níveis de recursos de
sistemas de informação e que são baseados na estrutura e na missão da organização (TRČEK,
2000). De acordo com Höne e Eloff (2002), isso indica o compromisso e o apoio da
administração à segurança, definindo as regras que a segurança tem que criar para alcançar a
missão da organização. Tal política orienta as ações e as implementações futuras, de uma maneira
global, definida de acordo com os objetivos de negócios da organização e deve existir de maneira
formal para que sua implementação seja efetiva (NAKAMURA; GEUS, 2002). Figueiredo (2002,
p. 6) define que a política de segurança é “um mecanismo preventivo dos dados e processos
importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo
técnico e gerencial e pelos usuários, internos e externos”.
Höne e Eloff (2002) atentam para o conteúdo da política de segurança da informação. É
preciso incorporar tanto as necessidades dos usuários de informações exatas e confiáveis, quanto
às necessidades dos negócios em alcançar seus objetivos estratégicos. Tal política deve ser
apropriadamente divulgada em toda organização e realmente publicada para todos, inclusive e
principalmente para novos funcionários.
Os itens de uma política de segurança da informação obedecem a um ciclo tipo PDCA,
que se inicia com a definição dos objetivos da segurança, baseados nas estratégias da
organização, os quais são traçados antes ou durante a fase de planejamento da política de
segurança. A implantação desta política, após o planejamento, precisa contar com a participação
de todos os envolvidos e o efetivar seu monitoramento. Após a documentação e comunicação
desta política, colocar-se-á em pauta a metodologia do programa de treinamento que irá
subsidiar as pessoas no trato com esta política de segurança. Completando o ciclo, é necessário
realizar a avaliação e melhoria contínua da política, como forma de mantê-la sempre em um
patamar confiável, a fim de que alcance seu lugar dentro das estratégias organizacionais. Estas
dimensões do modelo de gestão de segurança serão tratadas no presente estudo de caso e os
 CATI2005 - Congresso Anual de Tecnologia da Informação

aspectos de conscientização e treinamento, especificamente quanto ao gerenciamento e uso do e-

mail.

2.3 A Norma NBR ISO/IEC 17799:2000

Ao longo do tempo, surgiram diversas metodologias para auxiliar as organizações a gerenciar o
processo de segurança de suas informações. Primeiramente surgiu o “Trusted Security Evaluation
Criteria Schemes” – TCSEC, em 1983. Em 1990, a Comissão Européia anunciou o “Information
Technology Security Evaluation Criteria” – ITSEC. Em seguida, veio a BS 5750, em 1987, o
código de práticas BS 7799 (1995) e, por fim, a ISO/IEC 17799, em 2000, a partir desta última. A
Norma ISO/IEC 17799-Information Technology: Code of Practice for Information Security
Management é um código de práticas, cujo escopo é prover recomendações para a gerência da
segurança da informação, que serão utilizadas pelos responsáveis por iniciar, executar ou manter
a segurança de uma organização (SOLMS, 1996; SOLMS, 1999).
No Brasil, a Associação Brasileira de Normas Técnicas seguiu o padrão internacional e
homologou a NBR ISO/IEC 17799, em setembro de 2001 (MACHADO, 2002). O documento
está dividido em 12 capítulos, cada qual abordando um foco ou aspecto da segurança da
informação, é bastante detalhada e compreende 127 controles, apresentados em 10 categorias,
que são: Política de Segurança; Segurança Organizacional; Classificação e Controle de Ativos de
Informação; Segurança Relacionada ao Pessoal; Segurança Física e Ambiental; Gerenciamento
de Comunicações e Operações; Controle de Acesso; Desenvolvimento e Manutenção de
Sistemas; Gestão da Continuidade do Negócio; Obediência a exigências. Este artigo enfoca um
dos sub-tópicos da Segurança Relacionada ao Pessoal, o qual inclui questões decorrentes de
problemas com usuários, responsabilidades da segurança na descrição dos cargos, a forma de
contratação e o treinamento sobre segurança. Este último aspecto será objeto do estudo de caso.

2.4 Conscientização e treinamento dos usuários

A aprendizagem é um continuum em termos de níveis de conhecimento, mas a aquisição de tal
conhecimento não se processa de forma seqüencial, necessariamente. Há vários níveis de
aprendizagem, tais como conscientização, treinamento e educação. Neste trabalho, focalizam-se
os dois primeiros.
A conscientização está relacionada com a mudança de atitude das pessoas, criando um
clima mais satisfatório entre empregados, aumentando-lhes a motivação e tornando-os mais
receptivos ao treinamento e às técnicas de supervisão e gerência. O propósito da conscientização
é concentrar-se na segurança, permitindo aos indivíduos reconhecerem preocupações com a
segurança da informação e responderem de acordo (WILSON; HASH, 2004). Há diversos
materiais de conscientização, aos quais incluem slogans motivacionais, lembretes de segurança
na tela dos computadores, vídeos e cartazes impressos. Höne e Eloff (2002) consideram que os
métodos de divulgação e conscientização da política de segurança variam de acordo com a
empresa, podendo incluir: palestras para os funcionários e colaboradores, destaque em jornal e
folhetos internos, destaque na Intranet da organização, criação de manuais disponibilizados em
local comum a todos.
Já o treinamento, para Chiavenato (1999), é um meio de desenvolver competências nas
pessoas para que estas sejam mais produtivas, criativas e valiosas, sendo uma maneira eficaz de
agregar valor às pessoas. Na NBR ISO/IEC 17799, o componente Treinamento dos usuários
objetiva “assegurar que os usuários se conscientizem das preocupações e ameaças à segurança
das informações, e estejam equipados para apoiar a política de segurança organizacional no curso
de seu trabalho normal. Os usuários devem ser treinados nos procedimentos de segurança e no
 CATI2005 - Congresso Anual de Tecnologia da Informação

uso correto das facilidades de processamento de informações para minimizar os possíveis riscos
de segurança” (ABNT, 2001, p.14, grifo nosso).
Wilson (2003) apresentou os alicerces de um programa de conscientização e treinamento
(C&T) para a área de segurança em tecnologia de informação (TI), o qual contempla as fases de
planejamento, desenvolvimento, implementação e manutenção. A administração deve traçar uma
estratégia com relação à implantação do programa de C&T em Segurança, escolhendo um
modelo de gerência. Os mais comuns são o modelo centralizado, o parcialmente centralizado e o
totalmente descentralizado. A escolha é dependente de fatores como tamanho da organização,
definição de papéis e responsabilidades, grau de autoridade e orçamento alocado para o
programa. Já Thomson e Solms (1998) sustentam que programas de conscientização de segurança
da informação necessitam ser implementados ou expandidos nas organizações. Fundamentos de
psicologia social - abrangendo cognição, comportamento, persuasão, dissonância, intenção,
atitude, afetividade - precisam ser introduzidos para aprimorar a eficácia do programa.
Com relação à facilitação do processo de C&T, Furnell et al (2002) propuseram um
treinamento em segurança baseado em computador (CBT). A ferramenta é útil por proporcionar
aos usuários um ambiente de aprendizagem sobre segurança, de uma forma mais ativa do que
simplesmente ler material de referência. Os usuários podem simular diferentes configurações de
segurança sem que existam impactos financeiros e sem causar colapsos reais na organização.
Não somente os profissionais dos sistemas de segurança devem receber treinamento, mas
cada empregado que tem acesso às informações deve estar ciente das vulnerabilidades e ameaças
aos sistemas que eles usam e o que eles podem fazer para protegerem suas informações. Para
Wilson, Turban e Zviran (1992), devem existir programas formais de conscientização da
segurança, os quais devem periodicamente ser administrados para os gerentes e usuários para
lembrá-los da política, dos procedimentos e dos padrões da segurança da organização.
No campo da gestão da tecnologia de informação, Turban et al (2004) mostram que, ao
lado dos controles de natureza mais técnicas, existem os controles administrativos. Estes lidam
com a definição de diretrizes e o monitoramento de seu cumprimento. Somente controles técnicos
não são suficientes para gerar a segurança de que precisam obter as empresas.
Na prática, é impossível fazer com que as atividades de uma empresa sejam totalmente
seguras (FINNE, 1998), mas existem meios capazes de enfrentar os problemas com a segurança,
através da criação de procedimentos efetivos de segurança, os quais devem envolver diretamente
as pessoas. Os usuários devem cooperar e compreender a importância de alcançar tal nível de
segurança, o que exige um adequado programa de conscientização e treinamento, pois os usuários
que ignoram as práticas de segurança, ou que são resistentes a elas, tornam-se pontos fracos, os
quais podem implicar em incidentes de segurança. Como confirma Wood (1997, p. 15), “a
segurança da informação não pode ser algo com que os especialistas de um grupo separado
lidem, é algo que todos os membros de uma organização devem pensar, se sensibilizar e se
educar em uma base contínua”.

2.5 Política de Segurança da Informação para o Correio Eletrônico

O e-mail é um importante recurso corporativo. Apesar das muitas vantagens de seu uso, alguns
problemas podem se tornar bastante graves devido a sua vulnerabilidade quanto à segurança. A
disseminação de vírus, através de arquivos anexos e desavenças entre empregadores e
empregados, acontecem cada vez mais com freqüência. O e-mail tem se tornado mais do que a
ferramenta de comunicação mais conhecida: tornou-se também a mais arriscada e potencialmente
mais custosa (FLYNN, 2001).
 CATI2005 - Congresso Anual de Tecnologia da Informação

Flynn (2001) verificou que os empregados têm desperdiçado cerca de 49 minutos a quatro
horas por dia olhando seus e-mails, antes de iniciarem suas atividades diárias. Destes
empregados, 30% recebem piadas ou correntes de amizade diariamente em suas contas de e-mail
corporativo. Sabe-se que 76% dos respondentes acham que têm perdas consideráveis de tempo
lidando com e-mail. É preciso gerenciar, portanto, o uso e o abuso em relação ao uso do e-mail
dentro das empresas. O grande volume e as vulnerabilidades das mensagens eletrônicas
representam hoje uma relevante questão da segurança da informação, expondo as empresas a
riscos cada vez maiores. Pimenta (2001) corrobora, afirmando que o correio eletrônico tanto pode
ser um processo de comunicação com alto poder construtivo, facilitando interação entre as
pessoas, quanto pode ser destrutivo, quando o ambiente computacional está vulnerável à ação de
pragas eletrônicas, comprometendo os princípios da segurança da informação, já mencionados.
O uso do correio eletrônico pode causar problemas devido ao lixo eletrônico, que cresce
rapidamente na realidade empresarial. As torrentes de mensagens não-solicitadas, não-
autorizadas ou indesejadas (spams), inundam diariamente as caixas postais de usuários. Este tipo
de mensagem é ofensivo, dispersam e consomem tempo do usuário, consomem recursos
computacionais, devido ao desperdício de conexão e banda, lentidão no tráfego da rede e
interrupção do serviço e o tempo dos administradores de rede e pessoal de suporte (helpdesk).
Análises feitas pela consultoria Ferris Research, sobre a preocupação com o uso indevido de
envio de mensagens eletrônicas, mostram que as empresas americanas perdem US$ 10 bilhões
por ano na luta contra o spam em suas redes e devido à perda de produtividade de funcionários
(FERRIS RESEARCH, 2003).
Uma pesquisa realizada com 500 pequenas e médias empresas norte-americanas em
dezembro de 2003 (SYMANTEC, 2003) mostrou que 45% dos usuários admitiram produzir mais
se recebessem menos spam e, numa solução um pouco radical, 42% deles cogitam abandonar o e-
mail como forma de correspondência corporativa, se a situação piorar.
O Brasil já é o quarto país no mundo em que mais circulam spams, sendo responsável por
4,9% do tráfego de mundial de spam, ficando atrás dos Estados Unidos (58,4%), da China (5,6%)
e o Reino Unido (5,2%). Isso tem importantes conseqüências para a produtividade e a percepção
de segurança, abala a confiança dos consumidores na Internet e pode prejudicar o crescimento do
comércio eletrônico.
Uma estrutura de política de segurança para o e-mail foi elaborada por Safsten (2000):
1. Identifique a situação atual – entenda como a organização utiliza o e-mail, que tipo de
mensagens são enviadas e recebidas, quantos usuários existem etc;
2. Crie requisitos reais e quantificáveis para a sua política – especifique que tipo de mensagem
pode ser enviada/recebida, os tipos de anexos permitidos. O apoio da alta administração nesta
etapa é indispensável;
3. Documento escrito para os empregados com relação ao uso do e-mail – o documento precisa
alcançar todos e definirá a forma e os procedimentos para o uso do correio eletrônico, bem
como as responsabilidades de cada um;
4. Informe e reforce esta política – disseminar esta política e avaliá-la continuamente fazem parte
desta etapa. Revisões constantes são necessárias;
5. Adquira recursos para gerenciar e monitorar a política – selecione ferramentas capazes de
auxiliar a política, não esquecendo de testá-las. A existência de responsáveis pela manutenção
destas ferramentas pode propiciar condições de gerir a política de forma segura.
Drolet (2000) detalha recomendações a serem seguidas, específicas do correio eletrônico.
Inicialmente, definir e explicar os direitos de privacidade aos quais a política se refere, poistodos
os empregados devem ser informados que suas mensagens e seu acesso à Internet estão sendo
 CATI2005 - Congresso Anual de Tecnologia da Informação

monitorados. Em seguida, destacar a importância dos cuidados ao se escrever uma mensagem e a

gravidade dos efeitos de longo alcance que estas comunicações podem ter na imagem da
empresa. E por fim, enfatizar a necessidade de evitar conteúdo inapropriado nas mensagens.

3. PROCEDIMENTOS METODOLÓGICOS
A pesquisa classifica-se como exploratória, de natureza qualitativa. O método de pesquisa
utilizado foi o estudo de caso, seguindo os princípios de Yin (2001). O método da triangulação
foi executado, com maior ênfase para o questionário e entrevistas e a observação direta. A
documentação acessada foi menos utilizada, pois a instituição pesquisada dispunha de pouco
material escrito relativo à administração da tecnologia de informação.
A instituição de ensino superior (IES) escolhida para o estudo de caso está localizada na
região nordeste do Brasil. Esta IES é uma faculdade privada que está há oito anos no mercado e
oferece atualmente os seguintes cursos: Bacharelados em Administração, Administração com
habilitação em Marketing, Sistemas de Informação, Ciências Contábeis, Direito, Psicologia;
Licenciatura em Computação; cursos de especialização em Controladoria e Design Estratégico.
Conta com cerca de 100 colaboradores, entre funcionários e professores e aproximadamente
1.400 alunos. Por questão de solicitação de anonimato, o nome não será revelado.
A amostra não-aleatória definida para este trabalho foi composta da Gerente de
Informática, principal responsável pela função de Tecnologia de Informação, e vinte e quatro
usuários, sendo três funcionários e vinte e um alunos dos cursos de graduação. Um dos
funcionários exerce a função de professor e coordenador de curso, enquanto os outros dois fazem
parte do corpo administrativo. Por usuário, é entendido aquele membro da instituição que possui
acesso à rede e/ou conta de correio eletrônico da IES.
Os respondentes foram escolhidos pelo critério de acessibilidade e disponibilidade.
Durante a abordagem, os motivos da pesquisa e como seria realizada a entrevista foram
esclarecidos. As entrevistas foram gravadas, com exceção de cinco alunos, que não se sentiram à
vontade para gravar o encontro, só aceitando respondê-las.
Para a coleta de dados, foram adotados três instrumentos: questionário, entrevistas e
observação. O questionário, respondido pela gerente responsável área de informática da
instituição (CIO), aborda: i) situação atual da instituição, ii) estrutura tecnológica da instituição,
iii) qualificação e experiência profissional da gerente, iv) métodos de segurança da informação
para o correio eletrônico e, por fim, v) questões relativas à diretriz da NBR ISO/IEC 17799, no
que diz respeito à parte de Treinamento dos usuários, na Segurança relacionada ao pessoal.
O segundo instrumento de coleta de dados utilizado foi a entrevista semi-estruturada,
operacionalizada através de roteiros, com a gerente novamente e com demais usuários.
Observações diretas também fizeram parte do estudo, mediante visitas realizadas em laboratório
de informática e dependências do Departamento de Informática da organização pesquisada,
fazendo o registro fotográfico dos ambientes visitados. A realização do trabalho de campo foi
concluída em seis meses, incluindo os intervalos ocorridos no período de festas natalinas, férias
acadêmicas, carnaval e matrículas de novos alunos.
Quanto ao processo de análise e interpretação, foi feita uma transcrição das gravações das
entrevistas. Em seguida, foi utilizada a análise de conteúdo para categorizar e descrever as
práticas adotadas na IES do estudo de caso, com base na percepção dos usuários e gerência de TI.

4. ANÁLISE E DISCUSSÃO DO ESTUDO DE CASO

Esta seção inicia-se com a caracterização do perfil organizacional; em seguida, faz-se a descrição
das dimensões da segurança da informação na instituição pesquisada.
 CATI2005 - Congresso Anual de Tecnologia da Informação

Breve caracterização da estrutura de TI da organização

A gerência da área de tecnologia de informação é feita por uma analista de sistemas e ocupa o
cargo desde a fundação da organização. A equipe de TI possui mais nove pessoas: um
administrador de redes, responsável pelo gerenciamento, manutenção e segurança da rede, além
do suporte ao usuário via e-mail, dois técnicos para manutenção dos computadores, quatro
estagiários e dois monitores.
Os pontos de rede distribuem-se em 163 máquinas distribuídas pela IES, todas com acesso
à Internet, gerenciadas por cinco servidores localizados na Central de Processamento de Dados
(CPD). A estrutura computacional para os alunos conta com três laboratórios de informática,
funcionando de segunda-feira a sábado.
Todas as cópias de programas utilizadas nas máquinas da instituição, à exceção dos
softwares livres, são licenciadas pelos respectivos fabricantes. O programa de e-mail utilizado é
Squirrel Mail, um software gratuito. Existem cerca de 500 contas ativas de correio eletrônico,
mas a quantidade de contas, classificadas por tipo de usuário, não foi fornecida, embora uma
solicitação prévia desses dados tivesse sido feita.
Política de segurança da informação
Buscando verificar a aderência da IES ao modelo de gerenciamento da segurança da informação,
salienta-se que há ações reais sobre a dimensão do planejamento. Sem planejamento, não se
efetua a criação da política de segurança da IES. Quanto à dimensão dos objetivos, igualmente se
observou que não são especificados explicitamente os objetivos gerais de segurança. No que se
refere à dimensão de monitoramento, este não atinge o sistema de e-mail e os procedimentos de
segurança que existem não possuem base em nenhuma política previamente estabelecida pela
organização.
Para a dimensão de documentação, também pouco se viu de procedimentos
documentados, sendo inexistente os controles de registros e relatórios de incidentes de segurança.
As dimensões comunicação e treinamento colocaram-se, pelo que foi observado e colhido como
respostas, em uma posição melhor por estarem pelo menos começando a ser alvo de preocupação
e com poucas iniciativas relatadas. Porém, a CIO pretende que a comunicação e o treinamento
sejam direcionados apenas para os funcionários, não abrangendo o corpo discente. Notou-se,
contudo, uma intenção de corrigir tal situação, quando analisada a dimensão do planejamento.
Como não há efetivamente política formalmente implementada, a dimensão implantação não foi
passível de relatar sua prática.

Práticas de segurança da informação relativas ao correio eletrônico

Criação, uso e manutenção do correio eletrônico da organização
A IES fornece contas de correio eletrônico para todos os alunos, funcionários administrativos e
professores. As contas de professores e funcionários são fornecidas após sua contratação na
instituição e são criadas pelo próprio administrador do sistema, mediante o recebimento de
documentação pessoal atualizada. Já os novos estudantes, logo após a regularização de sua
matrícula, podem criar sua própria conta através do website da IES. A única restrição é que isto
poderá ser feito somente em máquina instalada e conectada diretamente à rede da organização.
Os funcionários da IES relataram ter recebido o e-mail assim que entraram na instituição.
Um dos entrevistados gerencia duas contas de e-mail. Isto se deve ao fato de ser coordenadora em
um dos cursos de graduação, além de ser professora. A utilização do e-mail é constantemente
feita, principalmente como forma de comunicação com colegas professores e alunos do curso que
coordena, sem maiores problemas, a não ser pela dificuldade de fazer downloads através das
 CATI2005 - Congresso Anual de Tecnologia da Informação

contas. Quando questionada sobre o fato de receber e-mails não solicitados em sua caixa de
mensagens, ela afirmou que recebe em todas as contas, mas nunca envia e só abre se for de
alguém muito próximo a ela e que esta mensagem não possua conteúdo ofensivo, pois em suas
palavras: “Eu detesto isso. Nem abro, a não ser que conheço a pessoa e sei que pode ser algo
engraçado ou interessante e somente quando tenho tempo”. A entrevistada afirmou, por fim, que
ninguém do departamento de informática nunca a procurou para saber se estava tendo alguma
dificuldade na utilização das contas, nem para oferecer qualquer tipo de orientação com relação à
segurança.
O segundo funcionário, por sua vez, recebe cerca de 90 e-mails por dia e relatou não ter
maiores problemas com sua conta, nem dificuldades em utilizá-la. A única limitação na operação
de sua conta é o fato de receber excessivamente e-mails não solicitados e/ou desconhecidos
dentro de sua caixa de mensagens. “Passo cerca de 15 a 20 minutos por dia apagando
mensagens que não sei de quem são”, comenta. Quanto à segurança do correio eletrônico, o
entrevistado afirmou não receber orientações sobre isso. Costuma utilizar o e-mail para quase
100% de suas comunicações diárias, especialmente no trabalho. A troca de documentos e avisos é
a principal função.
A terceira funcionária entrevistada informou que quase não usa sua conta de e-mail,
afirmando que, às vezes, até esquece a senha desta conta e geralmente precisa de ajuda para
esvaziar sua caixa de mensagens. Prefere utilizar a conta de e-mail gratuita que possui e a utiliza
para diversos fins. Quando foi perguntado se já recebeu orientações da instituição sobre
segurança no correio eletrônico, ela afirmou não se lembrar.
Os alunos da IES entrevistados afirmaram não encontrar nenhuma dificuldade para abrir
suas contas de correio eletrônico. Ele ainda afirmou ter sido comunicado sobre a existência da
conta, durante o período de sua matrícula como aluno recém-ingresso. Dificuldades sobre a
utilização dos recursos da conta não foram reportadas por nenhum dos alunos.
Sobre o conteúdo de suas caixas, os entrevistados apontaram o fato de receberem
excessivamente e-mails não solicitados, como propagandas, correntes, conteúdo ofensivo etc.
Isso lhes dá um sentimento unânime de insatisfação, pois demonstraram aborrecimento
considerável quando citaram a perda de tempo que têm para efetuar a limpeza em suas caixas,
devido às inúmeras mensagens não solicitadas. Quanto ao recebimento de vírus em alguma
mensagem, quatro dos estudantes apontaram já terem recebido vírus pela conta de e-mail da IES.
Relataram que nunca abriram tais mensagens, mas um deles afirmou se lembrar da possibilidade
de abrir a mensagem mesmo recebendo um aviso da existência de vírus.
O suporte e manutenção destas contas são feitos pelo próprio administrador da rede. O
primeiro acontece através de um contato enviado pelo próprio usuário, através de seu e-mail, ou
quando não é possível, acontece um contato pessoal entre ambos. A manutenção das contas é
preventiva, ou seja, feita periodicamente pelo administrador.
Finalidades do correio eletrônico
Apenas 28% dos usuários da instituição têm contas de e-mail fornecidas pela faculdade, um
percentual que indica pouca difusão. Os funcionários e professores entrevistados afirmaram
utilizar a conta fornecida pela instituição, especialmente se estiverem dentro da mesma, até
porque, no caso dos funcionários, é obrigatória a utilização do e-mail para desempenhar as
atividades profissionais.
Em termos institucionais, as três finalidades principais do uso do e-mail, respondidas pela
CIO, foram a comunicação externa com terceiros (fornecedores, organizações terceirizadas etc), a
comunicação entre departamentos e o envio e recebimento de documentos (ofícios, relatórios,
 CATI2005 - Congresso Anual de Tecnologia da Informação

memorandos, etc). Tal concepção se identifica com a idéia de Muhl (2003), quanto ao uso do e-
mail transformar a maneira de se conduzirem negócios. A maior vantagem da utilização do
correio eletrônico na instituição é percebida pela CIO como sendo a redução de despesas com
transporte, telefone e postagem.
Os comentários sobre a finalidade do e-mail dentro da instituição mostram uma visão
positiva e a consciência de sua importância para as tarefas organizacionais. Tal pensamento é
confirmado por Pimenta (2001), que concebe o correio eletrônico como um processo de
comunicação com alto poder construtivo, responsável por encurtar distâncias e facilitar a
interação entre as pessoas.
Nas entrevistas realizadas com os usuários, funcionários e alunos, respectivamente, estes
confirmaram ser o e-mail extremamente importante para sua vida pessoal, profissional e
acadêmica. A troca de mensagens foi citada por todos como principal finalidade para o e-mail.
No entanto, confirmaram nunca terem recebido qualquer orientação, formal ou não, sobre como
utilizar o correio eletrônico, bem como nenhuma orientação específica sobre segurança foi dada.
Um entrevistado, que gerencia uma conta de muita movimentação, segundo ele, demonstrou
grande preocupação, pois em suas palavras, “gostaria de sentir-me mais seguro quando abro
minhas mensagens, já que recebo muitas”.
Técnicas de segurança da informação para o correio eletrônico
As técnicas de segurança adotadas pela instituição são: “antivírus", "firewall", "monitoramento
de páginas” e “salas de bate-papo", demonstrando que há poucas medidas de segurança da
informação mais sofisticadas para o e-mail.
As dificuldades, troca de idéias sobre assuntos diversos e especificamente sobre questões
de segurança, são expostas através de uma das duas listas de discussão criadas por ela própria, a
fim de facilitar o apoio aos funcionários no dia-a-dia. Estes também recebem mensagens de
orientação no próprio e-mail. Quanto aos alunos, ainda não existe uma sistematização no que diz
respeito à orientação, a não ser a mensagem que eles recebem quando criam uma conta de e-mail
ou quando precisam de algum tipo de apoio do suporte dado pela administração da rede.
Observou-se uma relativa deficiência da administração de TI em usar o recurso de filtragem
de spam que não está sendo utilizado, segundo afirmado pelos próprios entrevistados. Mesmo que
seja necessária a intervenção do usuário para configurá-la, então é obrigatório orientar-se sobre
este recurso, o que não vem acontecendo, uma vez que os próprios entrevistados afirmaram
receber este tipo de mensagem.
Quando inquiridos sobre o fato terem recebido ou não alguma comunicação sobre como
utilizar o e-mail ou sobre aspectos relacionados com segurança no correio eletrônico, estes
responderam nunca terem sido informados de nada, exceto dois deles, os quais mencionaram ter
recebido uma mensagem sobre algo, sem, no entanto, lembrarem-se exatamente de seu conteúdo.
Monitoramento do email
Outro tema abordado foi o monitoramento eletrônico. A gerente afirmou concordar totalmente
com este procedimento, explicando que há monitoramento apenas sobre as páginas acessadas
pela rede da organização. Existe a filtragem de páginas pornográficas e das salas de bate-papo em
todos os pontos, sem exceção. Entretanto, não foi detectado, ainda, nenhum problema mais sério.
Alerta, porém, que embora não existam regras formalizadas nem documentadas com respeito ao
assunto, poderão existir formas de punição para qualquer um, independente da posição que
ocupar dentro da IES. A CIO complementa que a sanção poderá ir desde uma advertência até a
expulsão do infrator, de acordo com a gravidade da situação, entretanto, nas ocasiões mais
graves, somente a direção pode se encarregar de efetuar as medidas cabíveis.
 CATI2005 - Congresso Anual de Tecnologia da Informação

Em relação aos outros entrevistados, quando indagados se concordariam com o

monitoramento eletrônico de suas mensagens, apenas um entrevistado considerou a hipótese, mas
somente caso fosse avisado previamente de tal procedimento. Houve uma pequena divergência,
especificamente, entre os alunos entrevistados. Quinze deles afirmaram não aceitar tal
procedimento de maneira nenhuma, por considerarem ser uma invasão de privacidade. Os outros
cinco cogitaram a idéia, desde que fossem comunicados previamente do mencionado
procedimento. Nas palavras de um deles: “Verificar todas as minhas mensagens, o que entra e o
que sai? Detectar mensagens pornográficas, tudo bem... Mas tudo? Seria uma invasão de
privacidade muito grande. Eles já têm acesso a sua senha e tudo mais...”.
Nota-se pelas respostas dos entrevistados uma tendência à rejeição generalizada desta
prática de segurança adotada cada vez mais com freqüência pelas organizações. Nos Estados
Unidos, quase 80% dos empregados cometeram algum abuso no uso do e-mail (CSI, 2003). O
monitoramento do correio eletrônico se configura, portanto, como uma questão que a
administração de Recursos Humanos, juntamente com a de TI deverá discutir e decidir sua
estratégia.
Conscientização e treinamento dos usuários para segurança da informação no correio
eletrônico
Na IES, é ausente a formalização de programa de treinamento, o qual objetive também a criação
de uma cultura voltada para a conscientização sobre segurança no correio eletrônico. A gerente
demonstrou preocupação em sobre tais pontos, pretendendo discutir e planejar ações futuras a fim
de implementá-las, salientando que pretende realizar um ciclo de palestras tanto para alunos
quando para funcionários, além de congressos de iniciação e fóruns de informática. Em sua
colocação:
“Eu pretendo montar a programação, para se apresentarem palestras que mostrem
como prevenir ataques, evitar entrada de vírus nas máquinas... Seria algo bastante
superficial, não adianta oferecer algo mais técnico para um funcionário que não
entende de informática”.
Outra forma levantada por ela, como meio de treinamento, será a criação de mini-cursos
sobre uso do e-mail e Internet, a fim de facilitar a utilização do computador por parte dos alunos e
aumentar a difusão do e-mail. Estes cursos explorariam o seguinte conteúdo: como enviar e
receber mensagens no e-mail, como anexar um arquivo, como usar as listas de endereços, etc.
Para os funcionários, estes tópicos também seriam ministrados, com o acréscimo de como seria o
correto tratamento da comunicação interna entre eles, reforçando assim, que, como a grande
maioria dos contatos entre as pessoas é feita por e-mail, é necessário manter todos bem
preparados para o bom desempenho de tais práticas. Será incluído neste treinamento, como
objetivo de conscientizar os participantes, quais são as vantagens e desvantagens destas
ferramentas, os riscos que existem em decorrência do desconhecimento ou da utilização incorreta
das medidas de segurança para o usuário. A prioridade para este treinamento será dada àquelas
pessoas com maior dificuldade de uso dos recursos de informática. Quanto aos funcionários, a
entrevistada comentou que os cursos seriam oferecidos em outros horários, ou aos sábados. Isto
se deve pelo fato de não ser possível unir estudantes e funcionários no mesmo ambiente, tanto
pela carência de espaço físico, quanto pela diferenciação em alguns dos assuntos ministrados.
O resultado esperado desse programa de treinamento, como ela mesmo chamou, é o
aumento da utilização dos recursos oferecidos, por parte dos usuários, disseminando ainda mais o
e-mail como forma de agilizar as tarefas, diminuir os custos operacionais da faculdade e, ainda,
aumentar a consciência sobre segurança. Sobre isto, a gerente comentou:
 CATI2005 - Congresso Anual de Tecnologia da Informação

“O resultado esperado é que os funcionários passem a utilizar com mais freqüência

os recursos disponíveis... Temos hoje, Internet 24 horas e já percebemos grandes
mudanças de atitudes... O que eles estavam resolvendo telefonando ou indo até
certas empresas entregar documentos... Isso aí já diminuiu bastante”.
Ela concorda com várias assertivas do questionário, como "técnicas de segurança no
correio eletrônico precisam de aprimoramento contínuo", "treinamento sobre segurança deve ser
aplicado para todos os usuários da organização" e "normas e procedimentos específicos sobre
segurança da informação para o correio eletrônico são necessários". A entrevistada acha também
que "orientar os usuários sobre os possíveis perigos em relação ao recebimento de mensagens
eletrônicas diminui os riscos de ataques ao sistema da organização".
Observou-se uma atitude mais otimista quanto à futura de estabelecer procedimentos que
garantam maior segurança aos aspectos ligados ao e-mail dentro da IES. A entrevistada citou
como exemplo, o fato descrito por ela própria:
“Todas as vezes que abrimos uma conta para um funcionário novo, damos a
orientação sobre como usá-la... Claro que não dá para dizer que todo mundo faz
isso, até porque as pessoas recebem coisas que nem pediram, mas temos esta política
a qual procuramos passar para todos os funcionários”.
A CIO pareceu demonstrar um pouco de dificuldade para falar detalhadamente sobre tais
procedimentos, até porque nada foi ainda planejado nem discutido com detalhes, como ela
mesma reconheceu.
A respeito do nível de segurança dentro da organização, atualmente, ela avaliou como
satisfatório, pois o gerenciamento da rede tem sido eficaz, na medida que existe um número
grande de ataques e estes têm sido combatidos e evitados da maneira correta. Ela informou
também que tais ataques são principalmente oriundos de fora da rede. “Jamais teremos um
sistema 100% seguro, mas monitoramos todas as entradas externas e internas... Quase todo dia
recebemos ataques... Principalmente de fora... Houve um dia em que detectamos 17 ataques
externos...”.
Todos os entrevistados posteriores apresentaram interesse em participar de eventuais
programas de treinamento em relação à segurança da informação. As informações fornecidas
pelos funcionários demonstram haver uma deficiência real sobre o assunto, denotando uma
necessidade urgente de se efetivar ações corretivas, apesar de toda concordância em se instituir
orientações sobre segurança do e-mail.

5. CONCLUSÃO
Uma gestão eficaz deve conjugar uma estratégia de adoção de práticas e ferramentas específicas
que atendam as necessidades corporativas para a manutenção de um ambiente saudável. A
segurança da informação deve ser abordada como um todo integrado, e não ser vista de forma
estreita e incompleta, em termos de peças e componentes isolados (VASIU et al., 2003). A
segurança da informação também é vista por Furnell et al. (2002) como um problema
multifacetado, cuja solução abrangente normalmente abarca formas e aparatos físicos, lógicos e
procedimentais de proteção.
O código de práticas para segurança da informação, apresentado pela NBR ISO/IEC 17799,
como um padrão oficial internacionalmente aceito, adota uma postura sistêmica e integrada.
Constitui-se, por excelência, em uma base sólida para gerenciadores de tecnologia de informação
que desejam aprimorar gradativamente a segurança de suas informações, tornando-as cada vez
mais íntegras e confiáveis. A tendência atual é pela difusão de códigos de práticas em segurança
em organizações que sejam intensivas em informação e que necessitem de compartilhamento,
 CATI2005 - Congresso Anual de Tecnologia da Informação

realizem colaboração e comunicação entre pessoal interno, colaboradores e parceiros de negócios

(SOLMS, 1999). Todavia, sabe-se que adotar práticas mais avançadas de segurança de
informação não é trivial, devido à complexidade, ao custo e ao tempo de implantação de tais
políticas. Isso se torna mais crítico em organizações de menor porte.
Para a IES focalizada no estudo, o cenário ainda é incipiente e primário, no que se refere ao
gerenciamento de segurança da informação. Como se viu, o assunto ‘segurança de informação’ é
percebido como muito importante pela CIO, mas isso está mais para o plano da retórica, situação
que não é incomum na realidade de pequenas e médias organizações, como afirma Fontes (2000,
p.23), “fica muito distante de ações práticas que permitam uma efetiva proteção do recurso
informação”.
Ressalta-se um aspecto favorável, dentro da instituição estudada, que é a atitude positiva
voltada para o desejo de implementar medidas de segurança, as quais possibilitem a melhoria
contínua dos sistemas, além de permitir ao usuário ganhar mais conhecimentos e desempenhar
seu papel adequadamente. Entretanto, os dirigentes da IES devem estar atentos para os fatores
que contribuem para o sucesso de uma política da segurança que incluem, segundo Singh e
Wassel (2004), o compromisso da gerência, a infra-estrutura tecnológica para reforçar a política,
a disseminação eficaz da política e a conscientização da segurança em todos os usuários.
À guisa de conclusão, alguns pontos foram observados:
ƒ Apesar de existirem vários procedimentos técnicos adotados para manter a segurança,
ainda há carência de práticas avançadas as quais possam atingir, sem distinção e com maior
profundidade, as pessoas que fazem parte da instituição.
ƒ Embora já existam planos de implantar formas de treinamento para a utilização do correio
eletrônico e expor os riscos ocasionados pelo mau uso deste, o nível de planejamento deste
treinamento ainda se encontra em uma fase inicial e não se cogitou a participação dos usuários
durante este processo, como deveria.
ƒ Uma política de segurança da informação, criada a partir de todos os componentes e
aspectos mencionados e orientada preferencialmente pela NBR ISO/IEC 17799, não apareceu
como objetivo, apesar da gerente de TI ter mencionado conhecer alguns aspectos desta norma.
Em decorrência dos pontos acima mencionados, observa-se a necessidade de elaboração
de uma política de segurança da informação, em especial, aplicada ao correio eletrônico,
construída a partir dos objetivos institucionais, que seja capaz de auxiliar no desenvolvimento de
práticas voltadas para a manutenção segura, tanto quanto possível, de seu ambiente
computacional, bem como no desenvolvimento das pessoas que trabalham neste ambiente.
Como principais limitações do trabalho, citam-se o caráter transversal da pesquisa e o
menor poder de generalização estatístico, visto que se trata de pesquisa de caso único. No
entanto, tendo em vista que a pesquisa teve uma natureza exploratória, acredita-se que a mesma
tenha contribuído para avançar o conhecimento acadêmico, pois lançou luz sobre um assunto cuja
produção ainda é relativamente incipiente.
Futuras pesquisas podem aprofundar mais o tema aqui tratado, pois a segurança representa
uma questão crítica para todas as organizações que dependem da informação. Merecem ser mais
discutidas as questões de educação e conscientização dos usuários e seu papel na eficácia da
implantação da política de segurança corporativa. A partir deste estudo, buscar-se-á maior
ampliação de estudos sobre segurança da informação, focalizando questões onde as pessoas estão
envolvidas, como monitoramento eletrônico do e-mail, produtividade e uso abusivo do correio
eletrônico na realidade corporativa.
 CATI2005 - Congresso Anual de Tecnologia da Informação

REFERÊNCIAS
ABNT. NBR ISO/IEC 17799: Tecnologia da informação – código de prática para a gestão da
segurança da informação, Associação Brasileira de Normas Técnicas, 2001.
AMARAL, M. P. Segurança da Informação em ambientes computacionais complexos: uma
abordagem baseada na gestão de projetos. Tese (Mestrado) - Centro Federal de Educação Tecnológica de
Minas Gerais, Belo Horizonte, 2001.
BRODERICK, J. S. Information security management – when should it be managed? Information
Security Technical Report, v. 6, n. 3, 2001, p. 12-18.
CHIAVENATO, Idalberto. Gestão de pessoas. Rio de Janeiro: Campus, 1999.
CSI. COMPUTER SECURITY INSTITUTE. 2003 CSI/FBI computer crime and security survey. USA,
v.7, n. 1, 2003.
DROLET, Michelle. The 3 e's of e-mail and Internet policies. Risk Management, New York, v. 47, n. 7,
2000, p.59-64.
EGAN, Mark; MATHER, Tim. The Executive Guide to Information Security: Threats, Challenges, and
Solutions. Addison-Wesley Professional, 2004.
FERRIS RESEARCH. Research Focus: Spam. Acesso na URL: http://www.ferris.com/offer/spam.html,
2003.
FIGUEIREDO, Leonardo Soares. Segurança da tecnologia da informação. Monografia
(Especialização). Pós-Graduação em Redes de Telecomunicações. Universidade Federal de Minas Gerais,
2001.
FINNE, Thomas. A Conceptual Framework for Information Security Management. Computers &
Security. Vol.17, n.4, 1998, p.303-307.
FLYNN, Nancy. The ePolicy Handbook: Designing and Implementing Effective eMail, Internet, and
Software Policies. American Management Association, 2001.
FONTES, E. Vivendo a segurança da informação – Orientações práticas para pessoas e organizações.
São Paulo: Sicurezza, 2000.
FURNELL, S.M.; GENNATOU, M.; DOWLAND, P.S. A prototype tool for information security
awareness and training. Logistics Information Management. Vol.15, n.5, 2002, p352-357.
GAUNT, Nicholas. Practical approaches to creating a security culture. International Journal of Medical
Informatics. Vol. 60, n. 2, 2000, p.151-157.
HÖNE, Karin; ELOFF, J.H.P. Information security policy: what do international information security
standards say? Computer and Security. v.21, n.5, 2002, p. 402-409.
KNAPP, K.; MARSHALL, T. RAINER, R. K; MORROW, D. Top Ranked Information Security
Issues: The 2004 Internacional Information Systems Security Certification Consortium (ISC) Survey
Results. Auburn University, May 3, 2004.
LUCIANO, Edimara M.; ABDALA, Elisabeth A.; LUCAS, Igor S. Segurança de Informações e
Governança em Pequenas Empresas. I Congresso Anual de Tecnologia de Informação – CATI2004,
São Paulo-SP, 23 a 25 de julho.
MACHADO, César de Souza. FAQ sobre as normas BS e ISO 17799. 24/04/2002. Disponível na URL
http://www.modulo.com.br Acesso em [29/04/2002].
MARTINS, JOSÉ C. C. Gestão de Projetos de Segurança da Informação. Rio de Janeiro: Brasport ,
2003, 408p.
MÓDULO. IX Pesquisa nacional sobre segurança da informação - 2003. MÓDULO SECURITY
SOLUTION. Disponível na URL http://www.modulo.com.br Acesso em [13/11/2003].
MOREIRA, Nilton Stringasci. Segurança Mínima - Uma visão corporativa da segurança de informações.
Rio de Janeiro: Axcel Books, 2001.
 CATI2005 - Congresso Anual de Tecnologia da Informação

MUHL, Charles J. Workplace e-mail and Internet use: employees and employers beware. Monthly Labor
Review. Fev/2003. p.36-45.
NAKAMURA, Tissato; GEUS, Paulo Lício de. Segurança de redes em ambientes cooperativos. São
Paulo: Editora Berkeley, 2002.
NOSWORTHY, Julie D. Implementing information security in the 21st century — Do you have the
balancing factors? Computers and Security. v.19, n.4, 2000, p.337-347.
PERNUL, G. Information systems security: scope, state-of-the-art, and evaluation of techniques.
International Journal of Management. Vol.15, n.3, 1995, p.165-180.
PIMENTA, Cristiano. Política de segurança no e-mail corporativo. Módulo e-Security Magazine.
Disponível na URL http://www.modulo.com.br, 2001.
SAFSTEN, Erik. Five Keys to Protecting Your Organization's E-mail. Information Systems Security.
Vol. 9, n. 5, 2000.
SINGH, Mohini; WADDELL, Dianne. E-Business Innovation and Change Management. Hershey, PA;
London: Idea Group Publishing, 2004.
SOLMS, Basie von. Information security: the third wave? Computers and Security. v. 7, n.19, 2000,
p.615-620.
SOLMS, Rossouw von. Information security management: the second generation. Computers and
Security. vol. 15, n. 4, 1996, p.281-288.
SOLMS, Rossouw von. Information security management: why standards are important. Information
Management & Computer Security, vol. 7, n.1, 1999, p.50-57.
SYMANTEC. Symantec Survey Finds Small Businesses Fed Up with Spam, Willing to Take Action.
Acesso em fevereiro de 2004 na URL http://www.symantec.com/press/2003/n031202a.html, 2003.
THOMSON, M.E; SOLMS, Rossouw von. Information security awareness: educating your users
effectively. Information Management & Computer Security, vol. 6, n.4, 1998, p.167-173.
TRČEK, D. Security policy conceptual modeling and formalization for networked information systems.
Computer Communications, vol. 23, n. 17, 2000, p.1716-1723.
TURBAN, E.; McLEAN, E.; WETHERBE, J. Tecnologia da informação para Gestão. 3ª. ed. Porto
Alegre: Bookman, 2004.
VASIU, L.; MACKAY, D.; WARREN, M. The Tri-Dimensional Role of Information Security in E-
Business: A Managerial Perspective, 2003 Hawaii International Conference on Business. University of
Hawaii.
WILSON, J.; TURBAN, E.; ZVIRAN, M. Information systems security: a managerial perspective.
International Journal of Information Management. Vol. 12, n. 2, 1992, p.105-119.
WILSON, Mark. Building an information technology security awareness and training program.
National Institute of Standards and Technology. Acesso: 13/07/2003. Disponível na URL
http://csrc.nist.gov/organizations/fissea/conference/2003/presentations/FISSEA-2003-Wilson.pdf. Março
de 2003.
WILSON, Mark; HASH, Joan. Information Technology Security Awareness, Training, Education,
and Certification. Computer Security Division, National Institute of Standards and Technology, 2004.
WOOD, Charles C. Policies alone do not constitute a sufficient awareness effort. Computer Fraud and
Security, p. 14-19, December 1997.
WOOD, Charles C., Jr. BANKS, William W. Human error: an overlooked but significant information
security problem. Computers and Security, v. 12, n. 1, 1993, p. 51-60.
YIN, Robert K. Estudo de caso: planejamento e métodos. Trad. Daniel Grassi, 2ª ed., Porto
Alegre: Bookman, 2001.