POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

RESUMO
Este trabalho tem o objetivo de apresentar os riscos e malefícios que podem ser
ocasionados por uma má política de segurança. As organizações percebem cada vez
mais seus funcionários como um grande ativo que precisa ser cuidado; no entanto, ao
mesmo tempo, eles veem os funcionários como uma das maiores ameaças potenciais à
sua segurança cibernética. Os funcionários são amplamente reconhecidos como
responsáveis por violações de segurança nas organizações, e é importante que eles
recebam tanta atenção quanto questões técnicas. Um número significativo de
pesquisadores argumentou que a não conformidade com a política de segurança da
informação é um dos principais desafios enfrentados pelas organizações. Isso é
considerado principalmente um problema humano e não um problema técnico. Assim,
não é de surpreender que os funcionários sejam uma das principais causas subjacentes
de violações na segurança da informação. Nesse trabalho, a literatura acadêmica e os
relatórios de institutos de segurança da informação relacionados à conformidade com
políticas servirão como apoio. O objetivo é fornecer uma visão geral dos principais
desafios que cercam a implementação bem-sucedida de políticas de segurança da
informação. Um outro objetivo é investigar os fatores que podem influenciar o
comportamento dos funcionários em relação à política de segurança da informação.
INTRODUÇÃO

Uma política de segurança é definida em um documento formal que especifica o que

constuitua o comportamento aceitável e inaceitável dos usuários em relação ao
tratamento de ativos de informação de maneira segura. É uma parte do controle formal
de segurança da informação e uma declaração de linha de base sobre as tarefas de
segurança da informação que devem ser realizadas pelos funcionários. De acordo com a
SANS, uma política de segurança é tipicamente "um documento que descreve requisitos
ou regras específicas que devem ser atendidas, no domínio da segurança da
informação/rede, as políticas geralmente são específicas de pontos, cobrindo uma única
área".

As organizações devem considerar que a existência de políticas e procedimentos de

segurança da informação é tão importante como tendo soluções técnicas à mão. A
aplicação de tais medidas técnicas, por si só, não garante um ambiente seguro. Como
parte das diretrizes de implementação, as organizações devem estabelecer um conjunto
de políticas de segurança da informação, que são aprovadas pela alta administração, em
seguida, distribuídas e comunicadas a todos os funcionários.

De acordo com a PricewaterhouseCooper, uma empresa especializada em consultorias,

98% das grandes organizações e 60% das pequenas organizações têm uma política de
segurança da informação documentada. No entanto, a conformidade dos funcionários
com a política de segurança da informação ainda é de grande preocupação para muitas
organizações. Conforme a pesquisa global de segurança da informação da E&Y, 57%
das organizações consideram seus funcionários a fonte mais provável de um ataque,
com 38% vendo funcionários descuidados ou inconscientes como a ameaça mais
provável.

Portanto, quando os funcionários têm uma boa compreensão da política de segurança,

isso afeta positivamente a segurança geral de uma organização. Indiscutivelmente, o
fator humano ainda é o elo mais fraco da cadeia de segurança da informação, causando
um aumento no número de ameaças à segurança. Como tal, muitos usuários finais ainda
desconhecem a importância da segurança da informação e os requisitos organizacionais
relevantes. Mais de cinquenta por cento dos funcionários desconhecem a existência de
políticas de segurança da informação em suas organizações.

O objetivo deste paper é investigar e compreender melhor os principais desafios

associados à política de segurança da informação e os fatores que afetam a adoção e o
uso bem-sucedidos de políticas de segurança. Para isso, será usado como base da
pesquisa uma série de artigos recuperados de várias bases de dados acadêmicas e os
relatórios de vários institutos de segurança da informação, como SANS, PwC e E&W.
FUNDAMENTAÇÃO TEÓRICA

O paper está organizado da seguinte forma: a seção I explica os principais desafios

relacionados com a política de segurança da informação e a seção II discute em
pormenor os fatores humanos e organizacionais que afetam o comportamento humano
em relação à segurança da informação.
Seção I
Alguns pesquisadores abordaram os desafios associados à política de segurança da
informação. Com base em suas avaliações, classificamos esses desafios em três grandes
grupos, conforme ilustrado na tabela a seguir:

Grupo Desafio Principal Desafios Secundários

1
Promoção da Disseminação
política de Aumento da percepção
segurança Treinamento

2 Não cumprimento Comportamento malicioso

da política de Comportamento negligente
segurança da. Falta de consciência

3
Gerenciamento da Revisão periódica e
política de atualização
segurança Gerenciamento da política
Avanço da tecnologia

Tabela.

Promoção da Política de Segurança

As organizações enfrentam desafios associados à promoção e disseminação de suas
políticas de segurança da informação. Em pesquisa realizada pela Economist
Intelligence Unit, a maioria dos gerentes de TI alegou que suas organizações haviam
desenvolvido políticas de segurança da informação para sanar preocupações, mas
apenas algumas dessas organizações haviam discutido seriamente essa cultura com seus
funcionários. A PwC afirma que "Embora existam políticas mais escritas para orientar
os comportamentos dos funcionários em relação à segurança, ainda não vimos isso se
traduzir em uma melhor compreensão dessas políticas". Um inquérito realizado pela
Prince revelou que mais de metade do pessoal das organizações não participava em
qualquer tipo de formação de sensibilização para a segurança. Este estudo confirma que
a ausência de formação resulta em violações da política e na ocorrência de
comportamentos que representam um risco para a organização.

Não conformidade com a política de segurança

A não conformidade com a política de segurança da informação é considerada

principalmente um problema humano e não um problema técnico. Os pesquisadores
mencionaram três tipos de comportamento de não conformidade: comportamento
malicioso, comportamento negligente e falta de consciência.

A principal motivação para o comportamento malicioso é a intenção maliciosa de

prejudicar os ativos da empresa, ao passo que o comportamento negligente tem por
intenção violar a política de segurança de uma organização, mas não prejudicar essa
empresa. O terceiro tipo de comportamento deve-se à falta de consciência, em que os
usuários desconhecem a importância da segurança da informação e os requisitos
organizacionais relevantes. F. L. Greitzer, J. Strozer, S. Cohen afirmam que os usuários
tendem a não gostar dos controles que são impostos aos seus computadores. A razão
para os usuários terem aversão a esses controles é que eles impõem a um grupo de redes
sociais, por exemplo, sem aplicativos do Google, sem Facebook, sem Instagram, etc.

Gerenciamento da política de segurança

Muitas organizações não revisam ou atualizam continuamente sua política de segurança

da informação. Colwill afirma que "a política de segurança, os controles, as orientações
e a formação estão ficando para trás em relação às mudanças". Além disso, conceber e
gerir uma política de segurança que cumpra todos os critérios importantes pode
constituir um desafio para muitas organizações. Além disso, muitas organizações não
atualizam sua política para estarem mais alinhadas com a tecnologia em rápido e
constante desenvolvimento. Muitas organizações ignoram a importância de atualizar
suas políticas. A empresas devem revisar e atualizar constantemente suas políticas para
garantir que essas políticas ainda atendam a todas as suas necessidades e garantir que as
atualizações sejam disseminadas para todos os funcionários.

Seção II

Fatores que influenciam no comportamento do usuário

A literatura acadêmica e os relatórios dos institutos de segurança da informação

relacionados à conformidade com a política de segurança da informação foram
revisados, e os fatores de influência foram categorizados em dois tipos: organizacionais
e humanos. Em Kraemer, os autores destacam a forma como os fatores organizacionais
e humanos estão diretamente relacionados com as vulnerabilidades da segurança da
informação.
Fatores organizacionais
Embora a conformidade com a política de segurança seja, antes de tudo, uma questão
humana, os fatores organizacionais que influenciam na conformidade dos usuários
foram explorados em vários estudos. Alguns fatores importantes que influenciam a
conformidade do usuário com a política de segurança da informação são:

Motivação

Os motivadores podem ser utilizados para incentivar os usuários a cumprirem a política

de segurança da informação. Um bom exemplo de motivador é uma recompensa, que é
definida como um presente ou bônus que é concedido a um funcionário que cumpre os
requisitos da política de segurança. Vários estudos revelaram que as recompensas têm
um impacto significativo na percepção de um funcionário.

Conscientização e Treinamento
Ter uma campanha de conscientização tem um único motivo, conscientizar e alertar a
equipe de todo e qualquer risco, pois é dever de todos definir uma Política de Segurança
da Informação com base nas vulnerabilidades da empresa. A campanha deve reforçar o
conteúdo dessa política e qual o seu objetivo. Toda equipe precisa estar ciente e realizar
boas práticas para que a Segurança da empresa seja preservada.

Monitoramento de Computador

As ferramentas de monitoramento e auditoria de segurança podem ser utilizadas para

alterar comportamentos indesejados, a fim de aplicar a política de segurança da
informação. Uma vez que os usuários estejam plenamente conscientes dessas
ferramentas, eles são encorajados a mudar seu comportamento e ser mais cuidadosos.

Fatores Humanos
Percepção
A percepção é considerada um componente-chave do comportamento humano e uma
parte importante da inteligência. Em outras palavras, a interpretação humana ou o
reconhecimento de informações sensoriais tem um impacto considerável no
comportamento do usuário. Portanto, a percepção dos usuários de TI tem um grande
impacto em seu comportamento e decisões. Se existir uma lacuna entre o nível real da
política de informação e a percepção de segurança dos usuários finais, o seu
comportamento e as suas decisões serão influenciados em conformidade.
Essencialmente, ter uma imagem completa e plena consciência do que está ocorrendo
no espaço da política de segurança da informação terá um impacto positivo na
capacidade dos usuários de reconhecer ameaças potenciais. Um exemplo disso é um
usuário que desconhece uma campanha de phishing, o que pode levar à falha em manter
a segurança da rede.

Satisfação
Satisfação, ou satisfação do funcionário, é definida como a sensação geral de bem-estar
de um funcionário durante o trabalho. Acredita-se amplamente que um funcionário que
está satisfeito com seu empregador é mais propenso a cumprir a política de segurança da
informação da organização. Vários estudos investigaram a relação entre satisfação no
trabalho e conformidade dos funcionários. Esses estudos forneceram suporte empírico
para a afirmação de que a satisfação no trabalho tem um impacto positivo no
cumprimento da política de segurança. Por exemplo, Greene e D’Arcy examinaram a
influência da satisfação no trabalho nas decisões de conformidade com as políticas de SI
dos usuários. Em seu modelo de pesquisa teórica, eles destacaram que a satisfação está
positivamente associada ao cumprimento da política. O modelo de pesquisa foi testado
em 223 participantes. Além disso, Greene e D'Arcy encontraram uma forte relação entre
a intenção dos usuários de respeitar a segurança da informação e a satisfação no
trabalho. Por conseguinte, existe uma ligação entre a satisfação no trabalho e o
comportamento conforme; maior satisfação no trabalho motiva os usuários a cumprir.

Hábitos
Um hábito é um comportamento automático ou não intencional, em oposição ao
comportamento consciente. Assim, a automaticidade é o elemento-chave da restrição do
hábito. Normalmente, os hábitos podem ser avaliados medindo o comportamento
anterior ou a frequência comportamental. A teoria do hábito sugere que as pessoas
realizam muitas ações sem tomar decisões conscientes e, em seguida, se acostumam a
realizar essas ações. O apoio empírico fornecido para o seu modelo por mais de 245
participantes de uma empresa finlandesa. O estudo mostrou que os hábitos dos usuários
têm um impacto significativo na intenção de cumprir a política de segurança da
informação. Portanto, é muito importante que qualquer organização coloque seus
funcionários nos hábitos certos que os ajudem a cumprir a política de segurança da
informação. Mudar o comportamento dos usuários ou quebrar velhos hábitos de lidar
com ativos de informação não é um obstáculo. No entanto, as organizações podem
mitigar esse problema identificando o problema, encontrando soluções e monitorando a
eficácia dessas soluções.

METODOLOGIA
O tipo de pesquisa realizado foi a explicativa, pois foi feita a tentativa de conectar as
ideias e fatores identificados para compreender as causas e efeitos dos desafios
encontrados na política de segurança da informação.
O trabalho visou o embasamento em referencias bibliográficas e, principalmente, artigos
científicos publicados sobre a área, demonstrando dados sobre pesquisas e estudos feitos
pelas mais renomadas organizações do ramo de TI.
RESULTADOS E DISCUSSÕES

Com base no estudo, o que podemos tirar de discussões e resultados a respeito de uma
boa política de segurança é que não somente o fator técnico exerce uma influência na
segurança de uma organização, mas também o fator humano, o qual, segundo
demonstrado, deve ser o mais prezado pelas organizações para que sejam evitadas falhas
e perdas, seja via treinamentos e capacitações, seja por meio de uma política de
segurança mais rígida e adequada considerando os valores dos ativos da empresa.

CONCLUSÃO
O objetivo deste paper foi explicar e discutir as questões atuais associadas à política de
segurança da informação, em particular os fatores que impactam no comportamento dos
usuários em relação a esta. Todo o pessoal das organizações deve ser capaz de
compreender as políticas de segurança da informação dos seus empregadores. Todos os
usuários precisam receber treinamento de conscientização e educação consistentes sobre
a política de segurança implementada. Sem esse treinamento e educação, a política de
segurança não terá impacto sobre os funcionários.

REFERÊNCIAS

C. Colwill, “Fator humano na segurança da informação".

Economist Intelligence Unit EIU, “Poder para o povo? Gerenciando a democracia da

tecnologia no ambiente de trabalho”.

EY Global information, “Get ahead of cybercrime EY ’ s Global Information,”.

F. L. Greitzer, J. Strozer, S. Cohen, J. Bergey, J. Cowley, A. Moore, and D. Mundie,

“Unintentional Insider Threat: Contributing Factors, Observables, and Mitigation
Strategies,”

P. Prince, “Mais da metade dos empregados não recebe treinamento sobre segurança da
informação: revela pesquisa,. http://www.securityweek.com/more-half-enterprise-
employees-receive-no-security-training-survey-finds.

PriceWaterhouseCooper PwC, “PESQUISA DE VIOLAÇÃO SOBRE SEGURANÇA

DA INFORMAÇÃO 2014,”.

S. Kraemer, P. Carayon, and J. Clem, “Human and organizational factors in computer

and information security: Pathways to vulnerabilities,” Comput. Secur., vol. 28, no. 7,
pp. 509–520, 2009.
SANS, “Modelos de Segurança da Informação”.