Escolar Documentos
Profissional Documentos
Cultura Documentos
Realização:
CATI2005 - Congresso Anual de Tecnologia da Informação
Resumo: A segurança da informação tem sido reconhecida como uma das questões mais
importantes na administração de sistemas de informação e um dos maiores desafios para as
organizações modernas. A questão da conscientização e treinamento dos usuários é uma das mais
críticas em termos de segurança da informação. O artigo apresenta as práticas e discute a
segurança da informação para e-mail em uma organização acadêmica, tendo como principal foco
a conscientização e treinamento dos usuários. A metodologia da pesquisa é do tipo estudo de caso
único, tendo utilizado questionários, entrevistas semi-estruturadas e observação direta como
instrumentos de coleta de dados. Quanto aos objetivos, a pesquisa é exploratória e, no que diz
respeito à forma de abordagem do problema de pesquisa, é qualitativa. Foram entrevistados 25
usuários, dispostos entre funcionários e alunos. Foi aplicado um questionário e realizaram-se
entrevistas com a gerência de TI. Identificou-se uma prática reativa em relação à segurança de
informação em geral e à utilização do correio eletrônico em particular. Por fim, na IES há uma
percepção superficial sobre as questões de segurança, além da inexistência de programa de
conscientização e treinamento dos usuários.
Palavras-chave: Administração de tecnologia de informação; Correio eletrônico; Gestão de
segurança; Segurança da informação; Conscientização e treinamento de usuários; Instituição de
Ensino Superior.
INTRODUÇÃO
O uso intensivo da informação na economia digital cada vez mais tem levado as organizações a
enfrentarem problemas de segurança da informação. Neste ambiente corporativo moderno, as
pessoas usam diversos recursos de tecnologia de informação (TI), incluindo redes, correio
eletrônico (e-mail), Internet, softwares. Se recursos computacionais estiverem em rede, qualquer
organização, a despeito de porte ou tipo de negócio, está potencialmente aberta para ataques,
ameaças e riscos tecnológicos (e-risks). Broderick (2001) assevera que a informação é o recurso
mais crítico no mundo dos negócios. As empresas devem gerenciar os riscos associados às
informações como uma das suas práticas de negócio.
São considerados riscos tecnológicos mais comuns a perda de produtividade, o desperdício
de recursos computacionais, os ataques de vírus, hackers e crackers, a interrupção dos negócios
(FLYNN, 2001). Podem ser adicionados, ainda, como problemas no funcionamento de sistemas
de informação (estando em rede ou não), acessos não-autorizados, ataques de negação de
serviços, destruição, alteração, inserção de dados, fraudes, roubos, publicação de dados privados
não-autorizados, sabotagem etc. Mecanismos de segurança apropriados são necessários para que
transações e comunicações críticas sejam feitas da forma certa, pois garantir a segurança no e-
business é um pré-requisito fundamental antes de se efetivar qualquer atividade comercial
envolvendo informações, como alertam Singh e Waddell (2004).
No Brasil, o número de ataques e invasões subiu de 43%, em 2002, para 77%, em 2003.
26% das empresas no Brasil não conseguem sequer identificar os responsáveis pelos ataques e
48% não possuem nenhum plano de ação formalizado em caso de invasões e ataques (MÓDULO,
2003).
A preocupação com a segurança da informação não é recente. Antes da popularização da
Internet, esse assunto já era pesquisado, principalmente na perspectiva da administração de redes,
na visão mais técnica. À medida que a TI passava a ser mais necessária para a realidade
CATI2005 - Congresso Anual de Tecnologia da Informação
2. FUNDAMENTAÇÃO TEÓRICA
2.1 Segurança da informação
A segurança da informação tem sido reconhecida como uma das questões mais importantes na
gestão de sistemas de informação. Há cerca de 30 anos, o gerenciamento da segurança era
relativamente mais simplificado. Apenas pessoas especializadas tinham acesso às instalações de
informática, os recursos eram centralizados. Mais tarde, com o surgimento dos computadores
pessoais, redes locais e compartilhamento de informações, outros departamentos foram tendo
acesso aos sistemas computacionais, mas somente dentro das fronteiras da organização. Hoje em
dia, não existem mais fronteiras, o ambiente computacional tornou-se extremamente complexo,
heterogêneo e distribuído, dificultando o gerenciamento de questões relativas à segurança da
informação (SOLMS, 1996; AMARAL, 2001).
Wilson, Turban e Zviran (1992) definem segurança da informação como a preocupação em
proteger o ambiente computacional de ameaças deliberadas ou acidentais, as quais exploram as
vulnerabilidades dos sistemas. Na visão de Moreira (2001), a segurança visa também aumentar a
produtividade dos usuários através de um ambiente mais organizado, proporcionando maior
controle sobre os recursos. Nakamura e Geus (2002) entendem que a segurança deve ser
considerada não apenas como uma proteção, mas como um elemento habilitador para a realização
dos negócios.
CATI2005 - Congresso Anual de Tecnologia da Informação
uso correto das facilidades de processamento de informações para minimizar os possíveis riscos
de segurança” (ABNT, 2001, p.14, grifo nosso).
Wilson (2003) apresentou os alicerces de um programa de conscientização e treinamento
(C&T) para a área de segurança em tecnologia de informação (TI), o qual contempla as fases de
planejamento, desenvolvimento, implementação e manutenção. A administração deve traçar uma
estratégia com relação à implantação do programa de C&T em Segurança, escolhendo um
modelo de gerência. Os mais comuns são o modelo centralizado, o parcialmente centralizado e o
totalmente descentralizado. A escolha é dependente de fatores como tamanho da organização,
definição de papéis e responsabilidades, grau de autoridade e orçamento alocado para o
programa. Já Thomson e Solms (1998) sustentam que programas de conscientização de segurança
da informação necessitam ser implementados ou expandidos nas organizações. Fundamentos de
psicologia social - abrangendo cognição, comportamento, persuasão, dissonância, intenção,
atitude, afetividade - precisam ser introduzidos para aprimorar a eficácia do programa.
Com relação à facilitação do processo de C&T, Furnell et al (2002) propuseram um
treinamento em segurança baseado em computador (CBT). A ferramenta é útil por proporcionar
aos usuários um ambiente de aprendizagem sobre segurança, de uma forma mais ativa do que
simplesmente ler material de referência. Os usuários podem simular diferentes configurações de
segurança sem que existam impactos financeiros e sem causar colapsos reais na organização.
Não somente os profissionais dos sistemas de segurança devem receber treinamento, mas
cada empregado que tem acesso às informações deve estar ciente das vulnerabilidades e ameaças
aos sistemas que eles usam e o que eles podem fazer para protegerem suas informações. Para
Wilson, Turban e Zviran (1992), devem existir programas formais de conscientização da
segurança, os quais devem periodicamente ser administrados para os gerentes e usuários para
lembrá-los da política, dos procedimentos e dos padrões da segurança da organização.
No campo da gestão da tecnologia de informação, Turban et al (2004) mostram que, ao
lado dos controles de natureza mais técnicas, existem os controles administrativos. Estes lidam
com a definição de diretrizes e o monitoramento de seu cumprimento. Somente controles técnicos
não são suficientes para gerar a segurança de que precisam obter as empresas.
Na prática, é impossível fazer com que as atividades de uma empresa sejam totalmente
seguras (FINNE, 1998), mas existem meios capazes de enfrentar os problemas com a segurança,
através da criação de procedimentos efetivos de segurança, os quais devem envolver diretamente
as pessoas. Os usuários devem cooperar e compreender a importância de alcançar tal nível de
segurança, o que exige um adequado programa de conscientização e treinamento, pois os usuários
que ignoram as práticas de segurança, ou que são resistentes a elas, tornam-se pontos fracos, os
quais podem implicar em incidentes de segurança. Como confirma Wood (1997, p. 15), “a
segurança da informação não pode ser algo com que os especialistas de um grupo separado
lidem, é algo que todos os membros de uma organização devem pensar, se sensibilizar e se
educar em uma base contínua”.
Flynn (2001) verificou que os empregados têm desperdiçado cerca de 49 minutos a quatro
horas por dia olhando seus e-mails, antes de iniciarem suas atividades diárias. Destes
empregados, 30% recebem piadas ou correntes de amizade diariamente em suas contas de e-mail
corporativo. Sabe-se que 76% dos respondentes acham que têm perdas consideráveis de tempo
lidando com e-mail. É preciso gerenciar, portanto, o uso e o abuso em relação ao uso do e-mail
dentro das empresas. O grande volume e as vulnerabilidades das mensagens eletrônicas
representam hoje uma relevante questão da segurança da informação, expondo as empresas a
riscos cada vez maiores. Pimenta (2001) corrobora, afirmando que o correio eletrônico tanto pode
ser um processo de comunicação com alto poder construtivo, facilitando interação entre as
pessoas, quanto pode ser destrutivo, quando o ambiente computacional está vulnerável à ação de
pragas eletrônicas, comprometendo os princípios da segurança da informação, já mencionados.
O uso do correio eletrônico pode causar problemas devido ao lixo eletrônico, que cresce
rapidamente na realidade empresarial. As torrentes de mensagens não-solicitadas, não-
autorizadas ou indesejadas (spams), inundam diariamente as caixas postais de usuários. Este tipo
de mensagem é ofensivo, dispersam e consomem tempo do usuário, consomem recursos
computacionais, devido ao desperdício de conexão e banda, lentidão no tráfego da rede e
interrupção do serviço e o tempo dos administradores de rede e pessoal de suporte (helpdesk).
Análises feitas pela consultoria Ferris Research, sobre a preocupação com o uso indevido de
envio de mensagens eletrônicas, mostram que as empresas americanas perdem US$ 10 bilhões
por ano na luta contra o spam em suas redes e devido à perda de produtividade de funcionários
(FERRIS RESEARCH, 2003).
Uma pesquisa realizada com 500 pequenas e médias empresas norte-americanas em
dezembro de 2003 (SYMANTEC, 2003) mostrou que 45% dos usuários admitiram produzir mais
se recebessem menos spam e, numa solução um pouco radical, 42% deles cogitam abandonar o e-
mail como forma de correspondência corporativa, se a situação piorar.
O Brasil já é o quarto país no mundo em que mais circulam spams, sendo responsável por
4,9% do tráfego de mundial de spam, ficando atrás dos Estados Unidos (58,4%), da China (5,6%)
e o Reino Unido (5,2%). Isso tem importantes conseqüências para a produtividade e a percepção
de segurança, abala a confiança dos consumidores na Internet e pode prejudicar o crescimento do
comércio eletrônico.
Uma estrutura de política de segurança para o e-mail foi elaborada por Safsten (2000):
1. Identifique a situação atual – entenda como a organização utiliza o e-mail, que tipo de
mensagens são enviadas e recebidas, quantos usuários existem etc;
2. Crie requisitos reais e quantificáveis para a sua política – especifique que tipo de mensagem
pode ser enviada/recebida, os tipos de anexos permitidos. O apoio da alta administração nesta
etapa é indispensável;
3. Documento escrito para os empregados com relação ao uso do e-mail – o documento precisa
alcançar todos e definirá a forma e os procedimentos para o uso do correio eletrônico, bem
como as responsabilidades de cada um;
4. Informe e reforce esta política – disseminar esta política e avaliá-la continuamente fazem parte
desta etapa. Revisões constantes são necessárias;
5. Adquira recursos para gerenciar e monitorar a política – selecione ferramentas capazes de
auxiliar a política, não esquecendo de testá-las. A existência de responsáveis pela manutenção
destas ferramentas pode propiciar condições de gerir a política de forma segura.
Drolet (2000) detalha recomendações a serem seguidas, específicas do correio eletrônico.
Inicialmente, definir e explicar os direitos de privacidade aos quais a política se refere, poistodos
os empregados devem ser informados que suas mensagens e seu acesso à Internet estão sendo
CATI2005 - Congresso Anual de Tecnologia da Informação
3. PROCEDIMENTOS METODOLÓGICOS
A pesquisa classifica-se como exploratória, de natureza qualitativa. O método de pesquisa
utilizado foi o estudo de caso, seguindo os princípios de Yin (2001). O método da triangulação
foi executado, com maior ênfase para o questionário e entrevistas e a observação direta. A
documentação acessada foi menos utilizada, pois a instituição pesquisada dispunha de pouco
material escrito relativo à administração da tecnologia de informação.
A instituição de ensino superior (IES) escolhida para o estudo de caso está localizada na
região nordeste do Brasil. Esta IES é uma faculdade privada que está há oito anos no mercado e
oferece atualmente os seguintes cursos: Bacharelados em Administração, Administração com
habilitação em Marketing, Sistemas de Informação, Ciências Contábeis, Direito, Psicologia;
Licenciatura em Computação; cursos de especialização em Controladoria e Design Estratégico.
Conta com cerca de 100 colaboradores, entre funcionários e professores e aproximadamente
1.400 alunos. Por questão de solicitação de anonimato, o nome não será revelado.
A amostra não-aleatória definida para este trabalho foi composta da Gerente de
Informática, principal responsável pela função de Tecnologia de Informação, e vinte e quatro
usuários, sendo três funcionários e vinte e um alunos dos cursos de graduação. Um dos
funcionários exerce a função de professor e coordenador de curso, enquanto os outros dois fazem
parte do corpo administrativo. Por usuário, é entendido aquele membro da instituição que possui
acesso à rede e/ou conta de correio eletrônico da IES.
Os respondentes foram escolhidos pelo critério de acessibilidade e disponibilidade.
Durante a abordagem, os motivos da pesquisa e como seria realizada a entrevista foram
esclarecidos. As entrevistas foram gravadas, com exceção de cinco alunos, que não se sentiram à
vontade para gravar o encontro, só aceitando respondê-las.
Para a coleta de dados, foram adotados três instrumentos: questionário, entrevistas e
observação. O questionário, respondido pela gerente responsável área de informática da
instituição (CIO), aborda: i) situação atual da instituição, ii) estrutura tecnológica da instituição,
iii) qualificação e experiência profissional da gerente, iv) métodos de segurança da informação
para o correio eletrônico e, por fim, v) questões relativas à diretriz da NBR ISO/IEC 17799, no
que diz respeito à parte de Treinamento dos usuários, na Segurança relacionada ao pessoal.
O segundo instrumento de coleta de dados utilizado foi a entrevista semi-estruturada,
operacionalizada através de roteiros, com a gerente novamente e com demais usuários.
Observações diretas também fizeram parte do estudo, mediante visitas realizadas em laboratório
de informática e dependências do Departamento de Informática da organização pesquisada,
fazendo o registro fotográfico dos ambientes visitados. A realização do trabalho de campo foi
concluída em seis meses, incluindo os intervalos ocorridos no período de festas natalinas, férias
acadêmicas, carnaval e matrículas de novos alunos.
Quanto ao processo de análise e interpretação, foi feita uma transcrição das gravações das
entrevistas. Em seguida, foi utilizada a análise de conteúdo para categorizar e descrever as
práticas adotadas na IES do estudo de caso, com base na percepção dos usuários e gerência de TI.
contas. Quando questionada sobre o fato de receber e-mails não solicitados em sua caixa de
mensagens, ela afirmou que recebe em todas as contas, mas nunca envia e só abre se for de
alguém muito próximo a ela e que esta mensagem não possua conteúdo ofensivo, pois em suas
palavras: “Eu detesto isso. Nem abro, a não ser que conheço a pessoa e sei que pode ser algo
engraçado ou interessante e somente quando tenho tempo”. A entrevistada afirmou, por fim, que
ninguém do departamento de informática nunca a procurou para saber se estava tendo alguma
dificuldade na utilização das contas, nem para oferecer qualquer tipo de orientação com relação à
segurança.
O segundo funcionário, por sua vez, recebe cerca de 90 e-mails por dia e relatou não ter
maiores problemas com sua conta, nem dificuldades em utilizá-la. A única limitação na operação
de sua conta é o fato de receber excessivamente e-mails não solicitados e/ou desconhecidos
dentro de sua caixa de mensagens. “Passo cerca de 15 a 20 minutos por dia apagando
mensagens que não sei de quem são”, comenta. Quanto à segurança do correio eletrônico, o
entrevistado afirmou não receber orientações sobre isso. Costuma utilizar o e-mail para quase
100% de suas comunicações diárias, especialmente no trabalho. A troca de documentos e avisos é
a principal função.
A terceira funcionária entrevistada informou que quase não usa sua conta de e-mail,
afirmando que, às vezes, até esquece a senha desta conta e geralmente precisa de ajuda para
esvaziar sua caixa de mensagens. Prefere utilizar a conta de e-mail gratuita que possui e a utiliza
para diversos fins. Quando foi perguntado se já recebeu orientações da instituição sobre
segurança no correio eletrônico, ela afirmou não se lembrar.
Os alunos da IES entrevistados afirmaram não encontrar nenhuma dificuldade para abrir
suas contas de correio eletrônico. Ele ainda afirmou ter sido comunicado sobre a existência da
conta, durante o período de sua matrícula como aluno recém-ingresso. Dificuldades sobre a
utilização dos recursos da conta não foram reportadas por nenhum dos alunos.
Sobre o conteúdo de suas caixas, os entrevistados apontaram o fato de receberem
excessivamente e-mails não solicitados, como propagandas, correntes, conteúdo ofensivo etc.
Isso lhes dá um sentimento unânime de insatisfação, pois demonstraram aborrecimento
considerável quando citaram a perda de tempo que têm para efetuar a limpeza em suas caixas,
devido às inúmeras mensagens não solicitadas. Quanto ao recebimento de vírus em alguma
mensagem, quatro dos estudantes apontaram já terem recebido vírus pela conta de e-mail da IES.
Relataram que nunca abriram tais mensagens, mas um deles afirmou se lembrar da possibilidade
de abrir a mensagem mesmo recebendo um aviso da existência de vírus.
O suporte e manutenção destas contas são feitos pelo próprio administrador da rede. O
primeiro acontece através de um contato enviado pelo próprio usuário, através de seu e-mail, ou
quando não é possível, acontece um contato pessoal entre ambos. A manutenção das contas é
preventiva, ou seja, feita periodicamente pelo administrador.
Finalidades do correio eletrônico
Apenas 28% dos usuários da instituição têm contas de e-mail fornecidas pela faculdade, um
percentual que indica pouca difusão. Os funcionários e professores entrevistados afirmaram
utilizar a conta fornecida pela instituição, especialmente se estiverem dentro da mesma, até
porque, no caso dos funcionários, é obrigatória a utilização do e-mail para desempenhar as
atividades profissionais.
Em termos institucionais, as três finalidades principais do uso do e-mail, respondidas pela
CIO, foram a comunicação externa com terceiros (fornecedores, organizações terceirizadas etc), a
comunicação entre departamentos e o envio e recebimento de documentos (ofícios, relatórios,
CATI2005 - Congresso Anual de Tecnologia da Informação
memorandos, etc). Tal concepção se identifica com a idéia de Muhl (2003), quanto ao uso do e-
mail transformar a maneira de se conduzirem negócios. A maior vantagem da utilização do
correio eletrônico na instituição é percebida pela CIO como sendo a redução de despesas com
transporte, telefone e postagem.
Os comentários sobre a finalidade do e-mail dentro da instituição mostram uma visão
positiva e a consciência de sua importância para as tarefas organizacionais. Tal pensamento é
confirmado por Pimenta (2001), que concebe o correio eletrônico como um processo de
comunicação com alto poder construtivo, responsável por encurtar distâncias e facilitar a
interação entre as pessoas.
Nas entrevistas realizadas com os usuários, funcionários e alunos, respectivamente, estes
confirmaram ser o e-mail extremamente importante para sua vida pessoal, profissional e
acadêmica. A troca de mensagens foi citada por todos como principal finalidade para o e-mail.
No entanto, confirmaram nunca terem recebido qualquer orientação, formal ou não, sobre como
utilizar o correio eletrônico, bem como nenhuma orientação específica sobre segurança foi dada.
Um entrevistado, que gerencia uma conta de muita movimentação, segundo ele, demonstrou
grande preocupação, pois em suas palavras, “gostaria de sentir-me mais seguro quando abro
minhas mensagens, já que recebo muitas”.
Técnicas de segurança da informação para o correio eletrônico
As técnicas de segurança adotadas pela instituição são: “antivírus", "firewall", "monitoramento
de páginas” e “salas de bate-papo", demonstrando que há poucas medidas de segurança da
informação mais sofisticadas para o e-mail.
As dificuldades, troca de idéias sobre assuntos diversos e especificamente sobre questões
de segurança, são expostas através de uma das duas listas de discussão criadas por ela própria, a
fim de facilitar o apoio aos funcionários no dia-a-dia. Estes também recebem mensagens de
orientação no próprio e-mail. Quanto aos alunos, ainda não existe uma sistematização no que diz
respeito à orientação, a não ser a mensagem que eles recebem quando criam uma conta de e-mail
ou quando precisam de algum tipo de apoio do suporte dado pela administração da rede.
Observou-se uma relativa deficiência da administração de TI em usar o recurso de filtragem
de spam que não está sendo utilizado, segundo afirmado pelos próprios entrevistados. Mesmo que
seja necessária a intervenção do usuário para configurá-la, então é obrigatório orientar-se sobre
este recurso, o que não vem acontecendo, uma vez que os próprios entrevistados afirmaram
receber este tipo de mensagem.
Quando inquiridos sobre o fato terem recebido ou não alguma comunicação sobre como
utilizar o e-mail ou sobre aspectos relacionados com segurança no correio eletrônico, estes
responderam nunca terem sido informados de nada, exceto dois deles, os quais mencionaram ter
recebido uma mensagem sobre algo, sem, no entanto, lembrarem-se exatamente de seu conteúdo.
Monitoramento do email
Outro tema abordado foi o monitoramento eletrônico. A gerente afirmou concordar totalmente
com este procedimento, explicando que há monitoramento apenas sobre as páginas acessadas
pela rede da organização. Existe a filtragem de páginas pornográficas e das salas de bate-papo em
todos os pontos, sem exceção. Entretanto, não foi detectado, ainda, nenhum problema mais sério.
Alerta, porém, que embora não existam regras formalizadas nem documentadas com respeito ao
assunto, poderão existir formas de punição para qualquer um, independente da posição que
ocupar dentro da IES. A CIO complementa que a sanção poderá ir desde uma advertência até a
expulsão do infrator, de acordo com a gravidade da situação, entretanto, nas ocasiões mais
graves, somente a direção pode se encarregar de efetuar as medidas cabíveis.
CATI2005 - Congresso Anual de Tecnologia da Informação
5. CONCLUSÃO
Uma gestão eficaz deve conjugar uma estratégia de adoção de práticas e ferramentas específicas
que atendam as necessidades corporativas para a manutenção de um ambiente saudável. A
segurança da informação deve ser abordada como um todo integrado, e não ser vista de forma
estreita e incompleta, em termos de peças e componentes isolados (VASIU et al., 2003). A
segurança da informação também é vista por Furnell et al. (2002) como um problema
multifacetado, cuja solução abrangente normalmente abarca formas e aparatos físicos, lógicos e
procedimentais de proteção.
O código de práticas para segurança da informação, apresentado pela NBR ISO/IEC 17799,
como um padrão oficial internacionalmente aceito, adota uma postura sistêmica e integrada.
Constitui-se, por excelência, em uma base sólida para gerenciadores de tecnologia de informação
que desejam aprimorar gradativamente a segurança de suas informações, tornando-as cada vez
mais íntegras e confiáveis. A tendência atual é pela difusão de códigos de práticas em segurança
em organizações que sejam intensivas em informação e que necessitem de compartilhamento,
CATI2005 - Congresso Anual de Tecnologia da Informação
REFERÊNCIAS
ABNT. NBR ISO/IEC 17799: Tecnologia da informação – código de prática para a gestão da
segurança da informação, Associação Brasileira de Normas Técnicas, 2001.
AMARAL, M. P. Segurança da Informação em ambientes computacionais complexos: uma
abordagem baseada na gestão de projetos. Tese (Mestrado) - Centro Federal de Educação Tecnológica de
Minas Gerais, Belo Horizonte, 2001.
BRODERICK, J. S. Information security management – when should it be managed? Information
Security Technical Report, v. 6, n. 3, 2001, p. 12-18.
CHIAVENATO, Idalberto. Gestão de pessoas. Rio de Janeiro: Campus, 1999.
CSI. COMPUTER SECURITY INSTITUTE. 2003 CSI/FBI computer crime and security survey. USA,
v.7, n. 1, 2003.
DROLET, Michelle. The 3 e's of e-mail and Internet policies. Risk Management, New York, v. 47, n. 7,
2000, p.59-64.
EGAN, Mark; MATHER, Tim. The Executive Guide to Information Security: Threats, Challenges, and
Solutions. Addison-Wesley Professional, 2004.
FERRIS RESEARCH. Research Focus: Spam. Acesso na URL: http://www.ferris.com/offer/spam.html,
2003.
FIGUEIREDO, Leonardo Soares. Segurança da tecnologia da informação. Monografia
(Especialização). Pós-Graduação em Redes de Telecomunicações. Universidade Federal de Minas Gerais,
2001.
FINNE, Thomas. A Conceptual Framework for Information Security Management. Computers &
Security. Vol.17, n.4, 1998, p.303-307.
FLYNN, Nancy. The ePolicy Handbook: Designing and Implementing Effective eMail, Internet, and
Software Policies. American Management Association, 2001.
FONTES, E. Vivendo a segurança da informação – Orientações práticas para pessoas e organizações.
São Paulo: Sicurezza, 2000.
FURNELL, S.M.; GENNATOU, M.; DOWLAND, P.S. A prototype tool for information security
awareness and training. Logistics Information Management. Vol.15, n.5, 2002, p352-357.
GAUNT, Nicholas. Practical approaches to creating a security culture. International Journal of Medical
Informatics. Vol. 60, n. 2, 2000, p.151-157.
HÖNE, Karin; ELOFF, J.H.P. Information security policy: what do international information security
standards say? Computer and Security. v.21, n.5, 2002, p. 402-409.
KNAPP, K.; MARSHALL, T. RAINER, R. K; MORROW, D. Top Ranked Information Security
Issues: The 2004 Internacional Information Systems Security Certification Consortium (ISC) Survey
Results. Auburn University, May 3, 2004.
LUCIANO, Edimara M.; ABDALA, Elisabeth A.; LUCAS, Igor S. Segurança de Informações e
Governança em Pequenas Empresas. I Congresso Anual de Tecnologia de Informação – CATI2004,
São Paulo-SP, 23 a 25 de julho.
MACHADO, César de Souza. FAQ sobre as normas BS e ISO 17799. 24/04/2002. Disponível na URL
http://www.modulo.com.br Acesso em [29/04/2002].
MARTINS, JOSÉ C. C. Gestão de Projetos de Segurança da Informação. Rio de Janeiro: Brasport ,
2003, 408p.
MÓDULO. IX Pesquisa nacional sobre segurança da informação - 2003. MÓDULO SECURITY
SOLUTION. Disponível na URL http://www.modulo.com.br Acesso em [13/11/2003].
MOREIRA, Nilton Stringasci. Segurança Mínima - Uma visão corporativa da segurança de informações.
Rio de Janeiro: Axcel Books, 2001.
CATI2005 - Congresso Anual de Tecnologia da Informação
MUHL, Charles J. Workplace e-mail and Internet use: employees and employers beware. Monthly Labor
Review. Fev/2003. p.36-45.
NAKAMURA, Tissato; GEUS, Paulo Lício de. Segurança de redes em ambientes cooperativos. São
Paulo: Editora Berkeley, 2002.
NOSWORTHY, Julie D. Implementing information security in the 21st century — Do you have the
balancing factors? Computers and Security. v.19, n.4, 2000, p.337-347.
PERNUL, G. Information systems security: scope, state-of-the-art, and evaluation of techniques.
International Journal of Management. Vol.15, n.3, 1995, p.165-180.
PIMENTA, Cristiano. Política de segurança no e-mail corporativo. Módulo e-Security Magazine.
Disponível na URL http://www.modulo.com.br, 2001.
SAFSTEN, Erik. Five Keys to Protecting Your Organization's E-mail. Information Systems Security.
Vol. 9, n. 5, 2000.
SINGH, Mohini; WADDELL, Dianne. E-Business Innovation and Change Management. Hershey, PA;
London: Idea Group Publishing, 2004.
SOLMS, Basie von. Information security: the third wave? Computers and Security. v. 7, n.19, 2000,
p.615-620.
SOLMS, Rossouw von. Information security management: the second generation. Computers and
Security. vol. 15, n. 4, 1996, p.281-288.
SOLMS, Rossouw von. Information security management: why standards are important. Information
Management & Computer Security, vol. 7, n.1, 1999, p.50-57.
SYMANTEC. Symantec Survey Finds Small Businesses Fed Up with Spam, Willing to Take Action.
Acesso em fevereiro de 2004 na URL http://www.symantec.com/press/2003/n031202a.html, 2003.
THOMSON, M.E; SOLMS, Rossouw von. Information security awareness: educating your users
effectively. Information Management & Computer Security, vol. 6, n.4, 1998, p.167-173.
TRČEK, D. Security policy conceptual modeling and formalization for networked information systems.
Computer Communications, vol. 23, n. 17, 2000, p.1716-1723.
TURBAN, E.; McLEAN, E.; WETHERBE, J. Tecnologia da informação para Gestão. 3ª. ed. Porto
Alegre: Bookman, 2004.
VASIU, L.; MACKAY, D.; WARREN, M. The Tri-Dimensional Role of Information Security in E-
Business: A Managerial Perspective, 2003 Hawaii International Conference on Business. University of
Hawaii.
WILSON, J.; TURBAN, E.; ZVIRAN, M. Information systems security: a managerial perspective.
International Journal of Information Management. Vol. 12, n. 2, 1992, p.105-119.
WILSON, Mark. Building an information technology security awareness and training program.
National Institute of Standards and Technology. Acesso: 13/07/2003. Disponível na URL
http://csrc.nist.gov/organizations/fissea/conference/2003/presentations/FISSEA-2003-Wilson.pdf. Março
de 2003.
WILSON, Mark; HASH, Joan. Information Technology Security Awareness, Training, Education,
and Certification. Computer Security Division, National Institute of Standards and Technology, 2004.
WOOD, Charles C. Policies alone do not constitute a sufficient awareness effort. Computer Fraud and
Security, p. 14-19, December 1997.
WOOD, Charles C., Jr. BANKS, William W. Human error: an overlooked but significant information
security problem. Computers and Security, v. 12, n. 1, 1993, p. 51-60.
YIN, Robert K. Estudo de caso: planejamento e métodos. Trad. Daniel Grassi, 2ª ed., Porto
Alegre: Bookman, 2001.