See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/354448370

Análise da relação dos processos tecnológicos com a

segurança dos sistemas: um enfoque de estratégia de
negócio

Chapter · September 2021

CITATIONS READS

0 97

2 authors:

Adolfo Alberto Vanti Pedro Solana-González

161 PUBLICATIONS   255 CITATIONS   

Universidad de Cantabria
103 PUBLICATIONS   154 CITATIONS   
SEE PROFILE
SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Gestion de proyectos técnicos con teamsites: estudio y contrastacion de modelos de workflow View project

E-learning, communication and open-data: Massive mobile, ubiquitous and open learning (ECO) - CIP Pilot actions,
European Commision View project

All content following this page was uploaded by Pedro Solana-González on 08 September 2021.

The user has requested enhancement of the downloaded file.

 CAPÍTULO 97

ANÁLISE DA RELAÇÃO DOS PROCESSOS

TECNOLÓGICOS COM A SEGURANÇA DOS SISTEMAS:
UM ENFOQUE DE ESTRATÉGIA DE NEGÓCIO

DR. ADOLFO ALBERTO VANTI

Pesquisador CNPq/Proj. Universal, Brasil
DR. PEDRO SOLANA GONZÁLEZ
Universidad de Cantabria, España

RESUMO
Os dados são o maior ativo de muitas empresas atualmente e saber o que eles comu-
nicam é muito importante para o aprimoramento da estratégia e aumento da compe-
titividade empresarial. Esses dados devem estar seguros, devem manter a privacidade
dos usuários e clientes e garantir segurança de sistemas. Isso se dá através de uma
adequada governança corporativa de TI através de técnicas como a do COBIT que
neste trabalho se apresenta uma abordagem de impacto de processos tecnológicos na
estratégia empresarial com a análise da segurança da sistemas. Assim, com a análise
quantitativa de dados para avaliar a segurança de sistemas no processo DS5 (Garantir
Segurança de Sistemas), foram analisados níveis de maturidade usando as respostas
de 548 respondentes de cerca de trezentas empresas da região Sul do Brasil. Para tal
se utilizou de técnicas estatísticas de correlação e regressão linear múltipla com apli-
cação em 22 processos tecnológicos de quatro diferentes domínios do COBIT: Pla-
nejamento e Organização (PO), Aquisição e Implementação (AI), Entrega e Suporte
(DS) e Monitoramento (MO). A análise quantitativa avaliou a relação dos diferentes
processos de COBIT com a segurança dos sistemas, priorizando grandes empresas.
Assim, os processos PO1 – Definir um plano estratégico de TI, PO5 – Gerenciar o
Investimento de TI, AI1 – Identificar soluções e MO4 – Promover a Governança de
TI, têm impacto sobre DS5.

PALAVRAS-CHAVE
Estratégia empresarial, Governança de TI, Segurança dos Sistemas, Processos tecno-
lógicos, COBIT.

— 2109 —
1. INTRODUÇÃO
A Segurança de Sistemas é fator essencial nas estratégias de muitas em-
presas que trabalham e zelam pela privacidade de dados dos clientes,
principalmente dados financeiros como ocorre no setor bancário. Em
2020 uma nova lei no Brasil já exige ainda maior proteção de dados de
clientes, a Lei Geral de Proteção de Dados. Assim, esta é uma aborda-
gem estratégica na qual as instituições convertem dados operacionais
em ativos estratégicos, onde devem ser considerados riscos acrescidos,
assimetria de informação e limitações no monitoramento da confor-
midade – compliance –, entre outros aspectos
Frameworks regulatórios se ampliam cada vez mais e se incorporam às
empresas, seguindo o importante marco referencial de auditoria e se-
gurança como a lei Sarbanes-Oxley (SOX ou ainda Sarbox) e marcos
da Basiléia que atuam junto aos bancos. Porém, o conjunto de normas
internacionais ISO 27000 sobre Segurança da Informação e COBIT
geram controles em sistemas e processos operacionais tecnológicos que
buscam aumentar as garantias de Governança Corporativa (GC)
(OECD, 2018) através de adequada maturidade em Governança de TI
(Debreceny & Gray, 2013) e segurança de sistemas.
Um dos aspectos importantes no controle e gerenciamento de dados
refere-se ao processo DS5 – Garantir Segurança dos Sistemas, analisa-
do neste estudo. Para isso, consideramos uma Classificação prévia de
transparência em maturidade de 22 processos somando DS5 com os
processos envoltos em os domínios do COBIT, aplicado como ins-
trumento em cerca de trezentas empresas de diferentes setores. O CO-
BIT é um modelo de avaliação de processos tecnológicos para fins de
controle, amplamente utilizado, e seus 4 domínios consideram: Plane-
jamento e Organização (PO), Aquisição e Implementação (AI), Entre-
ga e Suporte (DS) e Monitoramento (MO).

2. PROBLEMA E OBJETIVO
O problema de pesquisa formulado neste trabalho é: Quais processos
tecnológicos mais impactam na Segurança de Sistemas e que se corres-
pondem à estratégia organizacional? Para responder a esta pergunta,

— 2110 —
utilizou-se uma abordagem quantitativa baseada nos resultados obtidos
com o framework COBIT, tomando o processo DS5 – Garantir segu-
rança dos sistemas como indicador em que a segurança dos sistemas se
conecta diretamente com uma adequada Governança Corporativa de
TI (GCTI) e estratégia organizacional. Isso porque uma falha nos da-
dos, na segurança ou na proteção deles é uma falha estratégica em que
clientes de instituições financeiras não tolerariam.
Nesta pesquisa, foram avaliadas 548 respostas, referentes 21 processos
tecnológicos potencialmente relacionados com o DS5, dos domínios
de Planejamento e Organização (PO) (10 processos avaliados), Aquisi-
ção e Implementação (AI) (7 processos) e Monitoramento (MO) (4
processos), além do DS5.
O trabalho reflete uma análise estratégica do foco em segurança de
sistemas. Na continuação é apresentada a revisão da literatura, para em
seguida percorrer por metodologia e finalmente alcançar a aplicabili-
dade do tema e respectivos resultados.

3. REVISÃO DA LITERATURA
Nesta revisão foram contemplados temas relacionados à estratégia de
negócio, governança de TI, avaliação de processos tecnológicos com
COBIT, bem como o tema foco de segurança da informação.

3.1. ESTRATÉGIA DE NEGÓCIO

Atualmente estratégia de negócio e tecnologia da informação estão
extremamente conectadas por toda a dinamicidade e incertezas exigi-
das aos administradores e isso conduz à decisões rápidas, multicritério
onde não há mais espaço para excesso de uso de médias aritméticas
para projetar o futuros de uma empresa.
Alguns céticos não considerem tecnologia como revolucionária no
mundo dos negócios e se atem ao “jogo estratégico” de forças competi-
tivas de Porter extremamente definidas e rígidas em que são compara-
das a grandes transatlânticos navegando em mares calmos. Porém,
usando exemplos de instituições financeiras e bancárias, a falha em
dados, na segurança ou na proteção dos mesmos torna-se uma falha

— 2111 —
estratégica pois esse tipo de risco operacional é um risco do negócio
como um todo e assim, os negócios mudaram, são muito mais dinâmi-
cos em que jovens empreendedores como de startups.
Os novos empreendedores procuram melhorar continuamente suas
forças e fraquezas, procuram entender melhor as oportunidades e ame-
aças como relatados na “arte da guerra de Sun Tsu”, mas principal-
mente, procuram compreender a SWOT (Strength, Weakness, Oppor-
tunities and Threats) interconectada com objetivos e ações (Vanti,
Espin, Perez-Soltero & Ciotta, 2008) para dar mais sentido à realidade
de variáveis estratégicas integradas e umas impactando nas outras como
é defendida em fuzzy logic sustentada por teoria dos conjuntos (perti-
nência e incidência) ao invés de uso de médias aritméticas.
Desta forma, empresas consolidadas ou novas empresas com informa-
ção, cuja origem são os dados computados em um ativo essencial, têm
estratégias mais convergentes iniciadas historicamente nos anos 50 e
60 que permitiram uma melhor visualização da aprendizagem contí-
nua (Argyris, 1996) e acionam diferentes estratégias: a do design, posi-
cionamento, empreendedorismo, cognição, potência, cultura, ambien-
te, decisão e configuração, entre outras.
Estes tipos de estratégias também se caracterizaram como um processo
continuado em que Estratégias Pretendidas sofrem influências de in-
certezas que as convertem em Estratégias Realizadas, principalmente
devido a eventos ambientais e organizacionais imprevistos que provo-
cam as mudanças (Mintzberg, Ahlstrand & Lampel, 1998; Andrews,
1971; Porter, 1980; Simon, 1961; Prahalad & Hamel, 1990).
As estratégias são formuladas muitas vezes mais como um processo
caótico e criativo do que um processo mais racional e previsível em que
o conhecimento empresarial (Davenport & Prusak, 1998) e a inovação
contribuem para o desenho de um futuro processo estratégico (Mintz-
berg, 1994) considerando a dependência de fenômenos emergentes de
regras simples de comportamento individual. Estas, ocasionam surpre-
endentemente resultados complexos (Bonabeau, 2002) e significativos
(Morin, 2003).

— 2112 —
Nesse contexto a TI exerce atividade primordial principalmente nas
empresas em que a informação é seu maior ativo e proporciona vanta-
gem competitiva (Argyris, 1996) bem como garantias de práticas de
uma boa GC. Nesse trabalho tais eventos são os relacionados às insta-
bilidades ocasionadas nos sistemas de informações, mais especifica-
mente os relacionados com a segurança de sistemas de dados, pois uma
falha ou um risco operacional é também considerado um risco estraté-
gico.
Conforme Wright, Kroll e Parnell (1998, p. 24), estratégia refere-se
aos planos da alta administração para alcançar resultados consistentes
com a missão e os objetivos gerais da organização, podendo-se encarar
a estratégia de três pontos de vantagem: a formulação da estratégia, a
sua implementação e o controle estratégico. Este último é que se alinha
mais a este trabalho de segurança de sistemas.
Simon (1961) enfatiza a definição de estratégia como um conjunto de
decisões que deveriam ser tomadas para determinar o posicionamento
de uma organização em determinado período de tempo e Porter
(1990) amplia esta orientação ao posicionamento e define formas de
posicionamentos estratégicos principalmente com custo, diferenciação
ou enfoque em que diversas forças impactam na estratégia, as macro
ambientais como forças político-legais, econômicas, tecnológicas e
sociais. As Tecnológicas é que nos interessam nesse trabalho, automa-
ção, robótica virtual, sistemas automáticos como os bem fundamenta-
dos pelos bancos. Aqui se trata e se referência os bancos porque são os
que melhor mantêm práticas de segurança de sistemas.
Estratégia está relacionada com análise setorial, Porter (1999, p. 95)
analisa o lucro setorial com suas 5 tão conhecidas forças, ameaças dos
novos concorrentes, intensidade de rivalidade entre concorrentes, ame-
aça de produtos ou serviços substitutos, poder de barganha dos com-
pradores e poder de barganha de fornecedores. Estas forças também
exigem modelos de análise de gestão baseados em estimativas tempo-
rais, de julgamento, de incerteza, multicritério, mineração de dados
com algoritmos de redes neurais, árvores de decisão e outros.

— 2113 —
Neste trabalho se desenvolveu análises em base de dados com técnicas
estatísticas de correlação e regressão em que resultados consistentes
foram encontrados e que impactam estrategicamente as instituições
avaliadas sob esse enfoque. Estes são correspondentes aos processos de
aquisição e implementação, obtenção de recursos de TI e em um me-
nor grau os processos de gerenciar o investimento de TI e finalmente o
de monitorar e avaliar o desempenho de TI, regulados pelo COBIT.
Outras estratégias também foram alcançando a empresa em que o po-
sicionamento competitivo se dá num olhar interno, nas competências
essenciais (Prahalad & Hamel, 1990; Hamel, 1994) em que conside-
ram que tão importante definir “pra onde se vai é definir quem se é”.
Assim com boas Competências, Habilidade e Atitudes (técnica CHA),
pode-se mudar o rumo da empresa e se adaptá-la rapidamente aos no-
vos desafios do mercado.
Dessa forma, a transformação de todo o conhecimento e intelectuali-
dade da empresa em valor para a mesma exige um ambiente transpa-
rente e de alta maturidade no desenvolvimento de processos de negó-
cios, pois assim estes podem proporcionar vantagem competitiva a
partir de uma base de TI confiável (Raisinghani, 2000) e com dados
protegidos como ocorre com as novas leis de proteção de dados que se
consolidam na Europa e se inicia no Brasil em 2018 com a Lei Geral
de Proteção de Dados (LGPD).
Finalmente, Ghemawat e Rivkin (2000) salientam que as diferenças
das atividades entre as empresas geram disparidades nos custos e na
disposição que os clientes têm para pagar em que o valor agregado é
afetado diretamente e que cadeia de valor e na base tecnológica conver-
tida em sistemas, não podendo ser um elemento isolado de uma de-
terminada empresa. Necessita-se assim, incluir simultaneamente as
cadeias de valor que incluem os componentes do fornecedor, empresa,
canal de distribuição da empresa e cliente tornando-se um grande Sis-
tema de Valores conectado por diversos sistemas de informações que
devem operar eficientemente (Ghemawat & Rivkin, 2000) com uma
adequada Governança de TI.

— 2114 —
3.2. GOVERNANÇA CORPORATIVA DE TI E SEGURANÇA DE SISTEMAS
A Governança Corporativa de TI (GCTI) define e implementa proces-
sos, estruturas e mecanismos relacionados na empresa, possibilitando
que as tecnologias e funcionários executem suas tarefas com responsa-
bilidades em apoio às estratégias previamente definidas e que criam
valor à empresa buscando sempre o aumento da competitividade
(Weill & Ross, 2005, pp. 2-11; ITGI, 2003).
Com isso é realizada a conexão entre a Gestão da TI e a GC e assim,
uma estratégia de TI se integra à de negócios e alcança os requisitos
essenciais de prática de uma boa GC como os de Conformidade,
Transparência, Prestação de contas e Redução de Risco (IBGC, 2015;
ISACA, 2018; OECD, 2018). Estes requisitos acabam se tornando os
fatores críticos de sucesso (ROCKART, 1979) em que poucas áreas
focais estabelecem as necessidades essenciais de informação.
Neste caso, instituições financeiras tratam a segurança da informação
como FCS obviamente, pois qualquer alteração indevida em valores
bancários de correntistas ocasionaria a possível perda de clientes quase
que imediatamente aos incidentes que possam ocorrer em seus dados,
sejam eles nas questões numéricas ou de proteção de dados. Por isso é
que bancos e financeiras possuem alto nível de maturidade de seus
processos tecnológicos em que aqui nesse trabalho, eles foram caracte-
rizados pelas análises COBIT (ISACA, 2018) e, mais especificamente
ao processo tecnológico DS5 - Segurança de Sistemas -, em aplicações
sobre quase 300 empresas de diferentes setores.
A conformidade corporativa compreende a observância dos regula-
mentos legais externos e internos da empresa e a conduta que se espera
de seus executivos é alcançada com uma adequada GCTI, sendo que a
segurança de sistemas é o nível de sustentação dessa lógica em que há
uma aproximação com a área de TI. Essa aproximação também consi-
dera uma sustentação na gestão da cultura organizacional (Morgan,
1996) e de proteção de dados.
O profissional de gestão, assim, avança rapidamente alinhando ativi-
dades variadas de boas práticas de governança com conceitos tecnoló-
gicos robustos de segurança de sistemas, redefinindo sua própria for-

— 2115 —
mação e atuação em mercado tão competitivo e que deve prestar con-
tas a diversos órgãos regulatórios como o atual. Referente à segurança
de sistemas, as empresas estão sendo cada vez mais exigidas a protege-
rem seus dados e os de seus clientes.
A nova Lei Geral de Proteção de Dados (Lei 13.709, de 2018) que foi
implementada no Brasil e que aplica as multas no ano de 2021, vem
em seguimento a uma implementação europeia, condicionando maior
regulação relacionada à gestão informacional, exigindo melhores pro-
cessos tecnológicos, treinamento de pessoal e tecnologias diversas co-
mo a de redução de fraudes (Lima-Rios, Almeida-Teixeira & Silva-
Rios, 2017) além do controle de vulnerabilidades diversas (Singh &
Margam, 2018). Também inclui limitações em autenticação e excessos
de autorização, bem como comportamento indevido de usuários (Park
& Chai, 2018), que podem afetar os serviços, até os considerados mó-
veis (Gao, Rau & Zhang, 2018). Estes geram ainda maiores proble-
mas, pois funcionários podem usar apps diversos, como o de redes
sociais, junto com os sistemas empresariais.
Assim, baixa maturidade em processo tecnológico relacionado à segu-
rança de sistemas gera risco à empresa e ao próprio cliente, por isso o
interesse neste assunto vem crescendo, porque este tipo de risco acaba
por ser estratégico como já anteriormente afirmado. Uma simples con-
sulta ao extrato bancário pode ser capturada por um malware, por prá-
ticas danosas de phishing e mesmo a senha pode circular pelo ambiente
virtual de maneira não privada. Devido a possibilidades como esta essa
é que bancos investem tanto em segurança de sistemas e diuturnamen-
te se atualizam para estarem e estão preparados para as novas tentativas
de invasões em seus sistemas, bem como estendido a seus próprios
clientes em operações diversas como operação de home banking.

3.3. AVALIAÇÃO DE PROCESSOS TECNOLÓGICOS

A todo o momento os processos operacionais estão sendo monitorados
para que estejam bem dimensionados, bem estruturados em um con-
texto de Governança de TI (ITGI, 2003), onde se posiciona e atua o
framework COBIT (ISACA, 2018), para possibilitar aplicações mais
robustas (Alkhaldi, Hammami & Uddin, 2017) e mais adequadas aos

— 2116 —
requisitos de aumento de segurança, estes contextualizados nos princí-
pios IBGC (2015) através da governança tecnológica (ISACA, 2012).
A base de dados que foi analisada considerou o diagnóstico de domí-
nios e respectivos processos, que neste estudo focou no DS5 - Garantir
Segurança dos Sistemas (Aguiar, Pereira, Vasconcelos & Bianchi,
2018), e foi obtida pela aplicação de framework do COBIT (ITGI,
2007) em 548 respondentes, que avaliaram quase três centenas de em-
presas que atuam em diferentes setores de produção, situadas na região
sul do Brasil.
Assim, a garantia de sistemas DS5 está classificada no domínio Entrega
e Suporte (DS), o qual se refere à entrega dos serviços solicitados, in-
cluindo entrega de serviço, gerenciamento da segurança e continuida-
de, serviços de suporte para os usuários e o gerenciamento de dados e
recursos operacionais. Na Figura 1 pode-se verificar o posicionamento
do domínio DS.

Figura 1: Posicionamento do domínio Entrega e Suporte, que envolve o processo “DS5 –

Garantir Segurança dos Sistemas” e sua relação com os domínios avaliados pelo COBIT

Fonte: Framework do COBIT

Na Figura 1 observa-se a relação da Entrega e Suporte, da qual faz

parte o processo tecnológico DS5 - Garantir Segurança dos Sistemas,
com os 34 processos tecnológicos do COBIT, reunidos em domínios.

— 2117 —
Essa representação é bastante interessante porque evidencia que cada
um dos processos de interesse deve ser analisado de maneira integrada,
ou seja, em conjunto com os demais processos de maneira sistêmica,
evitando-se avaliações isoladas de processos que são associados entre si
dentro do mesmo domínio.
Vê-se assim que o processo DS5 estabelece uma relação de pertinência
e de associação com os demais e estes com ele, gerando uma melhor
GC e GCTI consolidando melhor a estratégia empresarial porque os
objetivos de negócio estão ligados aos objetivos de TI. Dessa forma, os
processos necessitam ser tratados com técnicas matemáticas e estatísti-
cas que levem em conta a associação potencial entre eles.
Devido a isto, não se pode decidir sobre investimentos e prioridades
em maturidade e vulnerabilidade de processos tecnológicos através de
médias aritméticas ou outras avaliações simples, na ótica do processo
de interesse em si, visualizando-o isoladamente. Isso se pode dizer
também sobre os outros processos e, com o conjunto de respostas de
maturidade e importância disponíveis, é possível realizar uma análise
de dados e avaliar cada processo (ou mesmo conjuntos de processos)
perante os demais processos que compõem os domínios definidos pelo
COBIT.
Complementarmente, uma análise quantitativa permite ao decisor
compreender também a hierarquização e as conexões entre os diferen-
tes processos tecnológicos. Esse relacionamento também se dá entre os
componentes do COBIT visando aos objetivos de negócios, que, em
forma de cascata, descem para atividades-chave, formas de medição
(onde está a maturidade), controle de resultado de testes e objetivos de
controle. Pode-se visualizar, na Figura 2, o inter-relacionamento dos
Componentes do COBIT.

— 2118 —
 Figura 2. Inter-relacionamento dos Componentes do COBIT

Fonte: Framework do COBIT (ITGI, 2007)

A Figura 2 evidencia as conexões entre os objetivos de negócio, objeti-

vos tecnológicos e os processos tecnológicos, foco maior deste estudo.
Assim, o foco deste trabalho se aprofunda no aspecto de Modelos de
Maturidade e, de maneira simplificada, no processo em si, não consi-
derando a maturidade do processo de entrada e tampouco o de saída,
estes relacionados com o processo DS5 estudado.
Esta estrutura de gestão da informação e da governança tecnológica
não pode ser tratada de maneira simplista, o que nos levou a usar téc-
nicas estatísticas de correlação e regressão linear múltipla, que geraram
resultados estatisticamente significativos e com aplicação prática po-
tencial interessante. Estas estão explicadas na metodologia e aplicadas
na sua sequência.

4. METODOLOGIA
A metodologia utilizada no modelo computacional que avaliou a Segu-
rança de Sistemas através do processo DS5 em processos tecnológicos
do framework internacional COBIT que alcança a GTI e que atende à

— 2119 —
estratégia organizacional foi quantitativa, com técnicas estatísticas de
correlação e regressão linear múltipla objetivando analisar o impacto
dos processos tecnológicos para o aumento das garantias de segurança
da informação.
Essa abordagem condiz com a de Data Science envolvendo princípios,
processos e técnicas para compreender fenômenos por meio de análise
de dados e garimpagem de dados, permitindo identificar padrões e
predizer situações (Wan et al., 2016). Busca-se também, por esses mo-
delos de gestão, alcançar inclusive aprendizado de máquina, entre ou-
tros recursos de igual robustez, combinando técnicas estatísticas, inte-
ligência artificial e regras de negócios (Farazzmanesh & Hosseini,
2017).
A pesquisa utilizou um questionário em que cada processo tecnológico
foi analisado através de escores atribuídos pelo respondente e que cor-
respondem a níveis de maturidade. Estes iniciam num primeiro estágio
denominado 0 e finalizam no mais alto grau que é 5. A evolução dos
níveis de maturidade pode ser verificada na continuação:
– Inexistente: Neste nível há uma absoluta falta do processo. A
organização não tem conhecimento sobre as implicações que a
falta do processo pode gerar.
– Inicial: Neste nível os processos são esporádicos e desorganiza-
dos, não existe documentação e controle algum.
– Repetitivo, mas intuitivo: Neste nível os processos seguem um
padrão de regularidade, com alta dependência do conhecimen-
to dos indivíduos.
– Definido: Neste nível os procedimentos estão estabelecidos e
são cumpridos. Inicia o uso de indicadores para controle.
– Gerenciado: Neste nível os processos estão integrados e alinha-
dos. As metas e planos são baseados em dados e indicadores
consistentes.
– Otimizado: Boas práticas são seguidas e automatizadas, com
base em resultados de melhoria contínua.
As avaliações realizadas pelos respondentes se deram via escalas Likert
em survey (com os escores variando entre 0 e 5) e alcançou a totalidade

— 2120 —
dos 34 processos de empresas diferentes. Para se avaliar o impacto de
diversos processos tecnológicos sobre o processo específico que foi foco
deste trabalho (DS5 – Garantir Segurança dos Sistemas), foram consi-
deradas avaliações envolvendo 10 processos de Planejamento e Organi-
zação, sete de Aquisição e Implementação e quatro de Monitoramento,
em um total de 21 processos.

5. RESULTADOS
Para responder à questão de quais processos tecnológicos mais impac-
tam na Segurança de Sistemas e consequentemente na Estratégia e
Governança, se utilizou uma análise quantitativa envolvendo o proces-
so DS5 – Garantir Segurança dos Sistemas do COBIT. Assim, anali-
sando os processos tecnológicos que têm maior repercussão na segu-
rança de sistemas podemos aumentar a garantia deles, e como
resultado garantir uma boa prática de governança de TI e consolidação
da estratégia organizacional.

5.1. ANÁLISE DE CORRELAÇÕES SIMPLES

Para analisar esta questão, primeiro é feita uma análise de correlações
simples (não ajustada) de cada processo com DS5, em separado por
porte da empresa. Como a distribuição de DS5 não é gaussiana, são
utilizadas correlações não-paramétricas (rS de Spearman). A Tabela 1
mostra as correlações de Spearman para os diferentes processos.

Tabela 1. Correlações de Spearman entre os escores dos diferentes

processos e DS5, para empresas de grande porte. Fonte: dados de pesquisa.

Empresas grandes (n = 89)

Processo rS Processo rS Processo rS
PO1 0.52 AI1 0.49 MO1 0.42
PO2 0.44 AI2 0.34 MO2 0.51
PO3 0.47 AI3 0.60 MO3 0.62
PO4 0.28 AI4 0.49 MO4 0.64
PO5 0.59 AI5 0.51
PO6 0.54 AI6 0.45
PO7 0.41 AI7 0.29
PO8 0.55

— 2121 —
 PO9 0.45
PO10 0.47
As correlações entre DS5 e os diferentes processos (correlação 0.50 ou
maior) variam conforme o domínio.
No domínio Planejamento e Organização: PO1, PO5, PO6 e PO8.
No domínio Aquisição e Implementação: AI3 e AI5.
No domínio Monitoramento: MO2, MO3 e MO4.
Em grandes empresas, sem corrigir pelo efeito dos demais processo do
domínio, o processo que mais impactou DS5 foi MO4 (rS= 0.64).

5.2. ANÁLISE DE REGRESSÃO LINEAR MÚLTIPLA

Foi visto que os escores dos vários processos estão correlacionados en-
tre si, principalmente se forem processos do mesmo domínio (multico-
linearidade). Tendo em conta a multicolinearidade, se ajustarmos pelo
efeito dos demais processos do domínio, é possível que algum processo
tenha mais impacto no DS5.
Em geral, esta abordagem multivariada dá um resultado diferente do
univariado, obtido quando se olha as correlações brutas, isto é, sem
levar em conta (corrigir) pelos valores dos demais processos do domí-
nio. Tendo isto em conta, uma análise de regressão linear múltipla foi
realizada para grandes empresas, uma para cada domínio (12 análises).
Na variável DS5 a distribuição também não é normal, tem assimetria à
esquerda em maior ou menor grau. A solução foi usar um modelo li-
near generalizado (GZLM) separado para cada porte de empresa. Foi
escolhido o modelo gama com loglink para todas as análises, mas a
variável desfecho (DS5) foi transformada conforme o porte da empre-
sa, considerando para este trabalho as grandes empresas.
Para as empresas grandes, onde DS5 tem assimetria à esquerda, foi
usada a solução de inverter o escore, subtraindo o escore observado do
valor 6 para inverter o lado da assimetria. Assim, quando a resposta ao
questionário foi 0, na nova variável ficou 6; 1 ficou 5; 2 ficou 4, 3 fi-
cou 3, 4 ficou 2 e 5 ficou 1. A variável de análise foi 6-DS5.

— 2122 —
A Tabela 2 mostra os coeficientes de regressão obtidos na análise de
regressão múltipla, valores-P e sentido da associação, corrigida pela
multicolinearidade intra-domínio. Para facilitar a interpretação dos
resultados, o sinal do coeficiente de regressão já está trocado nos casos
em que se usou 6-DS5.

Tabela 2. Resultados das regressões múltiplas por GZLM.

Empresas grandes (n = 89)

Processo b P
PO1 0.137 0.008
PO2 -0.088 0.105
PO3 0.042 0.438
PO4 -0.064 0.124
PO5 0.120 0.024
PO6 0.042 0.311
PO7 0.030 0.413
PO8 0.076 0.092
PO9 0.044 0.248
PO10 0.004 0.924
AI1 0.115 0.033
AI2 -0.009 0.853
AI3 0.112 0.057
AI4 0.012 0.835
AI5 0.086 0.117
AI6 0.024 0.690
AI7 -0.057 0.270
MO1 -0.026 0.536
MO2 0.034 0.473
MO3 0.080 0.074
MO4 0.210 <0.001

Fonte: dados de pesquisa

Como se pode ver na Tabela 2, as associações entre os vários processos

e DS5 variaram bastante. Os principais resultados para as empresas
grandes são resumidos abaixo.
– Domínio PO: ajustando pela correlação entre processos deste
domínio, PO1 e PO5 tiveram correlação com DS5.

— 2123 —
 – Domínio AI: ajustando pela correlação entre processos deste
domínio, AI1 apresentou correlação significativa com DS5.
– Domínio MO: ajustando pela correlação entre processos deste
domínio, MO4 apresentou correlação com DS5.

6. CONCLUSÕES
Este trabalho objetivou analisar processos tecnológicos para aumento
das garantias de segurança de sistemas, representada pelo processo DS5
– Garantir Segurança dos Sistemas e a consequente definição e conso-
lidação de estratégias e melhoria das boas práticas de GC e GCTI rela-
cionadas aos processos tecnológicos do COBIT, considerando os níveis
de maturidade.
Os resultados evidenciam que os processos PO1 – Definir um plano
estratégico de TI e PO5 – Gerenciar o Investimento de TI – domínio
de Planejamento e Organização (PO), AI1 – Identificar soluções –
domínio de Aquisição e Implementação (AI) – e MO4 – Promover a
Governança de TI – domínio de Monitoramento (MO) são os que
têm mais impacto sobre DS5.
Com esse estudo pôde-se também demonstrar que estratégia empresa-
rial e processos de governança de TI estão extremamente conectadas e
contribuem para garantir a segurança dos sistemas que atualmente
apoiam o conhecimento e os processos organizacionais críticos para a
sustentabilidade a longo prazo do negócio.
Para estudos futuros se propõem aqui ampliar as análises para as pe-
quenas e medianas empresas e utilizar outras versões do COBIT bem
como outros frameworks de auditorias e redução de riscos operacionais
e tecnológicos. Esta pesquisa também pode ser estendida a estudos
internacionais que comparem diferentes abordagens de governança de
TI e estratégia de negócio.

— 2124 —
REFERENCIAS BIBLIOGRÁFICAS
Aguiar, J., Pereira, R., Vasconcelos, J., & Bianchi, I. (2018). An overlapless
incident management maturity model for multi-framework
assessment (ITIL, COBIT, CMMI-SVC). Interdisciplinary Journal
of Information, Knowledge, and Management, 13, 137-163. doi:
10.28945/4083
Alkhaldi, F., Hammami, S., & Uddin, M. A. (2017). Understating value
characteristics toward a robust IT governance application in private
organizations using COBIT framework. International Journal of
Engineering Business Management, 9(1), 1-8. doi:
10.1177/1847979017703779
Andrews, K. (1971). The concept of corporate strategy. Homewood: Dow-
Jones-Irwin.
Argyris, C. (1996). Toward a comprehensive theory of management. In:
Edmondson, A.; Moingeon, B. (Eds.), Organizational learning and
competitive advantage. London: Sage.
Bonabeau, E. (2002). Predicting the unpredictable. Harvard Business
Review, 80(3), 109-116.
Davenport, T. H., & Prusak, L. (1998). Working knowledge: How
organizations manage what they know. Boston, USA: Harvard
Business School Press.
Debreceny, R., & Gray, G. (2013). IT governance and process maturity: a
multinational field study. Journal of Information Systems, 27(1),
157-188. doi: 10.2308/isys-50418.
Farazzmanesh, F., & Hosseini, M. (2017). Analysis of business customers'
value network using data mining techniques. Journal of Information
Systems and Telecommunication, 5(3), 162-171.
Gao, F., Rau, P. L. P., & Zhang, Y. (2018). Perceived mobile information
security and adoption of mobile payment services in China. In
Mobile commerce: Concepts, methodologies, tools, and
applications. USA: IGI Global.
Ghemawat, P., & Rivkin, J. W. (2000). Criando vantagem competitiva. In:
A estratégia e o cenário dos negócios. Porto Alegre: Bookman.

— 2125 —
Hamel, G. (1994). The concept of core competence. In: Hamel, G.; Heene,
A. Competence-based competition. Chichester. John Willey & Sons.
Information Technology Governance Institute - ITGI (2003). Board
briefing on IT Governance. 2nd Edition. IL, USA: IT Governance
Institute.
Information Technology Governance Institute - ITGI (2007). CobiT 4.1:
Framework, control objectives, management guidelines, maturity
models. IL, USA: IT Governance Institute.
Instituto Brasileiro de Governança Corporativa - IBGC (2015). Código das
melhores práticas de governança corporativa. Disponível em:
http://www.ibgc.org.br.
ISACA (2012). Cobit 5 – Modelo corporativo para governança e gestão de
TI das organizações. E-BOOK, 98 pág., Rolling Meadows, IL, EUA.
Disponível em: http://www.cefet-
rj.br/attachments/article/2870/Cobit_5_pt-br.pdf. Acesso em 12
jun. 2018.
ISACA (2018). What is COBIT 5? http://www.isaca.org/COBIT.
Lima-Rios, O. K., de Almeida-Teixeira Filho, J. G., & da Silva-Rios, V. P.
(2017). Melhores práticas do COBIT, ITIL e ISO/IEC 27002 para
implantação de política de segurança da informação em instituições
federais do ensino superior. Revista Gestão & Tecnologia, 17(1),
130-153.
Mintzberg, H. (1994). The rise and fall of strategic planning. New York:
Free Press.
Mintzberg, H., Ahlstrand, B., & Lampel, J. (1998). Strategy safari: A guided
tour through the wilds of strategic management. New York: Prentice
Hall.
Morgan, G. (1996). Imagens da organização. São Paulo: Atlas.
Morin, E. (2003). Introdução ao pensamento complexo (4 Ed.). Lisboa:
Instituto Piaget.
OECD (2018). G20/OECD principles of corporate governance. Paris -
France: OECD Publishing. doi:10.1787/9789264236882-en

— 2126 —
 Park, M., & Chai, S. (2018). Internalization of information security policy
and information security practice: A comparison with compliance.
Proceedings of the 51st Hawaii International Conference on System
Sciences, 4723-4731.
Porter, M. (1980). Competitive strategy. New York: Free Press.
Porter, M. (1990). Vantagem competitiva: criando e sustentando um
desempenho superior. Rio de Janeiro: Campus.
Porter, M. (1999). Competição - estratégias competitivas essenciais. São
Paulo: Campos.
Prahalad, C. K., & Hamel, G. (1990). The core competence of the
corporation. Harvard Business Review, 68(3), 79-91.
Raisinghani, M. S. (2000). Knowledge management: A cognitive perspective
on business and education. American Business Review, 18(2), 105-
112.
Rockart, J. F. (1979). Chief executives define their own data needs. Harvard
Business Review, 57(2), 81-93.
Simon, H. A. (1961). Administrative behavior. 2nd ed. New York:
Macmillan.
Singh, V., & Margam, M. (2018). Information security measures of libraries
of central universities of Delhi: A study. DESIDOC Journal of
Library & Information Technology, 38(2), 102-109. doi:
10.14429/djlit.38.2.11879
Vanti, A. A., Espin, R., Perez-Soltero, A., & Ciotta, D. (2008). Strategic
themes for balanced scorecard construction based on fuzzy logic.
The International Journal of Knowledge Management and
Technology, 6(2), 4-38.
Wan, J., Yue, Z.-L., Yang, D.-H., Yu, Z., Jiao, L., Zhi, L., & Liu, J. (2016).
Predicting non performing loan of business bank with data mining
techniques. International Journal of Database Theory and
Application, 9(12), 23-34. doi: 10.14257/ijdta.2016.9.12.03
Weill, P., & Ross, J. W. (2005). IT governance: How top performers
manage IT decision rights. USA: Harvard Business Review Press.
Wrigh, P., Kroll, M. J., & Parnell, J. A. (1998). Strategic management:
Concepts and cases. New Jersey: Prentice Hall.

— 2127 —
View publication stats