GESTÃO DA SEGURANÇA
DA INFORMAÇÃO:
fatores que influenciam
sua adoção em PMEs
Universidade Municipal de São Caetano do Sul
Programa de Mestrado em Administração
Mestrando: Abner Netto
Orientador: Prof. Dr. Marco Pinheiro
ORIGEM DO ESTUDO
Expansão da microinformática
Alto valor da informação armazenada
Concentração das informações
Dependência de TI
Internet de uso público
Garantia de continuidade do negócio
PROBLEMATIZAÇÃO
Que fatores são capazes de
influenciar a adoção da Gestão da
Segurança da Informação por
pequenas e médias empresas?
OBJETIVO
Verificar em que medida as pequenas
e médias empresas realizam gestão
da segurança da informação;
Identificar fatores que influenciam
pequenas e médias empresas a
adotarem medidas de gestão da
segurança da informação.
JUSTIFICATIVA
• Pouca literatura encontrada referente a
adoção da gestão da segurança da
informação
• Fornecer resultados que ajudem a melhor
compreender:
•
•
•
•
o valor das informações empresariais
os riscos e ameaças
o impacto nos negócios
os fatores motivadores ou inibidores relacionados
a sua adoção.
• Crescimento do número de incidentes
DELIMITAÇÃO DO ESTUDO
Pequenas e Médias Empresas (PMEs)
industriais presentes na região do Grande
ABC
Definição usada para PMEs:
Pequena – 10 a 99 empregados
Média – 100 a 499 empregados
REFERENCIAL TÉORICO
Segurança da informação é o processo de
proteção da informação das ameaças a sua
(Sêmola, 2003; Beal, 2005):
Integridade
Disponibilidade
Confidencialidade
O bem mais valioso de uma empresa são as
informações relacionadas com os bens de
consumo ou serviços prestados pela mesma.
(Caruso e Steffen, 1999; Fontes, 2006).
GERENCIAMENTO DO RISCO
RISCO = VULNERABILIDADES x AMEAÇAS x IMPACTOS
MEDIDAS DE SEGURANÇA
Sêmola (2003)
MÉTODOS
DETECTIVOS
DESENCADEIAM
EXPÕEM
MEDIDAS
REATIVAS
REDUZEM
AMEAÇA +
VULNERABILIDADE 
ATAQUE 
INCIDENTE 
IMPACTO
Erro humano
Desastres
naturais
Fraude
Invasão,
espionagem etc.
Pessoal mal treinado
Instalações desprotegidas
Controles inadequados etc.
Invasão
Acesso indevido
Inserção incorreta
de dados etc.
Destruição de dados
Perda de integridade
Divulgação indevida
Quebra de
equipamentos etc.
Prejuízo financeiro
Prejuízo para a
imagem
Perda de
eficiência etc.
REDUZEM
MEDIDAS
PREVENTIVAS
Beal (2005)
CAMADAS DE SEGURANÇA
HUMANA
LÓGICA
FÍSICA
Adachi (2004)
NORMAS DE SEGURANÇA
COBIT
NBR ISO/IEC 17799:2005
Define 127 controles que compõem o
escopo do SGSI em suas 11 seções:
Política de Segurança, Organização da
Segurança, Gestão de Ativos, Segurança em
RH, etc.
NBR ISO/IEC 27001:2006
TI EM PEQUENAS E MÉDIAS
EMPRESAS
PMEs possuem menores recursos
financeiros e humanos
Foco atual de fornecedores de TI
Responsável pelo sucesso das organizações
“Mal necessário” (Leite apud Lunardi e Dolci)
Velocidade das operações e redução do
custo (Prates e Ospina)
FATORES INFLUENCIADORES
PARA ADOÇÃO DE TI
Motivadores:
Alta participação de especialista externo (Cragg e
King, Thong apud Prates e Ospina)
Características do proprietário (Palvia e Palvia)
Melhoria do controles organizacionais (Prates e
Ospina)
Redução de custos (Prates e Ospina)
Economia de tempo e esforço (Cragg e King)
Pressões externas (Lunardi e Dolci)
Ambiente organizacional favorável
FATORES INFLUENCIADORES
PARA ADOÇÃO DE TI
Inibidores:
Resistência dos funcionários (Prates e
Ospina)
Falta de conhecimento de S.I. (Cragg e
King)
Tempo dos gerentes na implantação
Análise informal de custo/benefício
Restrição quanto ao aconselhamento
técnico
FATORES INFLUENCIADORES
PARA ADOÇÃO DE GSI
Incidentes de segurança anteriores
(Gupta e Hammond, 2004)
Tamanho do parque de informática
(Gabbay, 2003)
Frequência dos ataques sofridos
(Gabbay, 2003)
METODOLOGIA
Tipo de pesquisa: exploratória-descritiva
Procedimento técnico: levantamento
População: 1348 indústrias, sendo selecionadas
256 indústrias de fabricação de produtos de metal,
exclusive máquinas e equipamentos
Amostra: 43 indústrias
Sujeitos: gestores responsáveis por aprovar
investimentos em gestão da segurança da
informação ou em TI
Instrumentos: entrevistas, questionário
Coleta de dados: telefonema, e-mail
Análise dos resultados: estatística descritiva
ENTREVISTAS
• Perfil do Gestor
• Não se mantêm informados sobre a área
• Perfil da Empresa
• Enfrentaram incidentes de segurança: vírus, parada
rede/servidor, furto de informações
• Valor da Informação e Análise de Risco
• A maioria dos gestores alegaram preocupação com as
informações armazenadas em TI
• Alguns gestores alegaram que o principal risco são os
funcionários
• Ferramentas e Técnicas de Defesas
• Antivirus, Backup, Firewall
• Fatores
• Orientação de um especialista externo
• Importância da relação custo/benefício do investimento
• Incidentes anteriores
QUESTIONÁRIO
Grupo de
Variáveis
O que se pretende investigar
Qtde
Questões
Perfil do
Gestor
Identificação do responsável
pelos investimentos em TI / GSI
4
e-mail, cargo,
departamento, decisão de
compra
Identificação
da Empresa
Identificação da empresa e do
parque de informática, nível de
utilização dos recursos de TI
4
número de funcionários,
qtde de computadores,
responsabilidade pela área
de TI
Ferramentas
e Técnicas
Importância das ferramentas e
técnicas de gestão da
Segurança da Informação
20
na sua empresa qual o grau
de importância do uso do
firewall, antivirus etc.
Fatores
Questiona sobre os fatores
motivadores ou inibidores para
adoção da gestão da
Segurança da Informação
8
recomendação de um
especialista externo ou
fornecedor da área
TOTAL DE QUESTÕES
36
Exemplos de
Questões
ANÁLISE E DISCUSSÃO
DOS RESULTADOS
pesquisa realizada entre os meses de
fevereiro em março de 2007
165 empresas aceitaram participar, porém
somente 43 responderam ao questionário
AMOSTRA
Cargo
analista
16%
só cio -pro prietário
42%
superviso r
12%
gerente
14%
direto r
16%
Departamento
engenharia
5%
suprimento s
5%
tecno lo gia da info rmação
21%
finanças
9%
Decisão de Compra
não participa
2%
participa do
processo
51%
a decisão é
minha
47%
co mercial (vendas)
7%
qualidade
5%
recurso s humano s
7%
presidência/gerência geral
41%
AMOSTRA
N ú m e ro d e Em p re g a d o s
1 a 9
10 a 49
5%
48%
ac ima de 500
0%
100 a 499
14%
Q tde de Com puta dore s
50 a 99
33%
ac im a de 500
m eno s de 5
0%
21%
5 a 10
21%
de 201 a 500
2%
de 101 a 200
5%
de 21 a 100
23%
Re sp o n sa b ilid a d e d a Áre a d e T I
t e rc eiro c o m
c ham ado s
de p a rt a m en t o
e v e n t u ais
in t e rn o
21%
56%
t e rc eiro c o m
c o nt ra t o
23%
de 10 a 20
28%
AMOSTRA
N íve l d e In fo rm a tiz a çã o
ní vel alt o
28%
nív el baixo
7%
nív el m édio
65%
Possui
Monitoramento e
análise crítica dos
registros (logs)
Descarte seguro da
mídia removível
Canais de
comunicação para
registro de eventos
de segurança
Sala de servidores
protegida e em local
restrito
Nome de usuário,
senha individual e
secreta para acesso a
rede
Firewall
Equipamento para
proteção de falhas na
energia elétrica
Sistema de backup
Antivírus
Ferramentas e Técnicas - Camada Física
Não possui
40
35
30
25
20
15
10
5
0
Supervisão do
desenvolvimento
terceirizado de
software com
requisitos para
controles de
segurança da
informação
Criptografia em
banco de dados
e/ou para troca de
informações
Atualização de
software para
correção de falhas
de segurança
Ferramentas e Técnicas - Camada Lógica
Possui
40
35
30
25
20
15
10
5
0
Não Possui
Possui
Conscientização,
educação e
treinamento em
segurança
Plano de
recuperação de
desastres e
contingência
Contratos com
terceiros com
termos claros
relativos a
segurança
Classificação da
informação
Política de
segurança da
informação
Aviso aos usuários
sobre o
monitoramento dos
recursos de TI
Controle dos
direitos de
propriedade
intelectual
Regras para uso da
informação e dos
recursos de TI
Ferramentas e Técnicas - Camada Humana
Não Possui
40
35
30
25
20
15
10
5
0
G rau d e Im p o rtân c ia d a s
F e rram en tas e T éc n ic as p a ra G e stã o d a S e g u ra n ç a
A ntivírus
S istem a de bac kup
F ire w all
E quipa m ento pa ra prote ção de fa lhas na energia e létrica
R eg ra s p ara uso da inform açã o e dos recursos de TI
N om e d e usuário , se nha individual e secreta pa ra ace sso a red e
A tualiz ação de so ftw are p ara corre ção de falhas de se gura nça
C ontrole do s d ire ito s d e p rop rieda de intele ctual
A viso a os usuários sob re o m onito ra m ento dos re cursos de TI
C ontrato s co m te rce iro s c om term os claros re lativo s a seg urança
P olítica de seg urança da info rm ação
C la ssificaçã o d a inform aç ão
S ala de se rvido res prote gid a e em loca l restrito
C ripto grafia em b anco de d ad os e/o u p ara troca de inform açõ es
M onito ram ento e aná lise crítica do s registros (logs)
D escarte seg uro da m ídia rem o vível
C onscientiza ção , ed ucação e tre inam e nto em se gura nça
P lano de rec up eração de de sastres e co nting ência
C ana is d e co m unicaçã o p ara re gistro d e evento s d e segurança
S up ervisão do desenvo lvim ento terceiriza do de softw a re com
requisito s pa ra controle s d e seg urança da info rm a ção
2 ,4
2 ,6
2,8
3 ,0
3,2
3,4
3 ,6
3,8
4,0
4 ,2
4,4
4,6
4,8
5,0
SEGURANÇA 3 CAMADAS
Avaliação de Se gurança nas Trê s Cam adas
satisf atório
59%
insatisfatório
41%
Fe r r a m e nta s /Té c nic a s Ins ta la da s
1 00 %
P o rc en tag e m
80 %
60 %
40 %
20 %
0%
mé dia s e mp r e s a s
p e qu e n a s empr e s a s
SEGURANÇA 3 CAMADAS
Av aliação d e S e g ur an ça nas T rê s C amad as p or P o r te
19
5
16
1
peq uena
m é dia
s atis fatório
ins a tis fató rio
ADERÊNCIA ISO 17799
Seção da Norma
Ferramenta ou Técnica Pesquisada
Política de Segurança da
Informação
Organizando a
Segurança da
Informação
Gestão de Ativos
Segurança em Recursos
Humanos
Segurança Física e do
Ambiente
Gestão das Operações e
Comunicações
Controle de Acesso
Aquisição,
Desenvolvimento e
Manutenção de Sistemas
de Informação
Média
Porcentagem
Política de segurança da informação
3,24
46%
Contratos com terceiros com termos claros
relativos à segurança
3,32
44%
Regras para uso da informação e dos
recursos de TI
3,68
Classificação da informação
3,17
Conscientização, educação e treinamento
em segurança
Equipamento para proteção de falhas na
energia elétrica
Sala de servidores protegida e em local
restrito
2,95
37%
3,73
63%
3,15
Antivírus
4,56
Sistema de backup
4,46
Firewall
4,29
Descarte seguro da mídia removível
3,07
Monitoramento e análise crítica dos
registros (logs)
3,07
Nome de usuário, senha individual e
secreta para acesso à rede
Atualização de software para correção de
falhas de segurança
Criptografia em banco de dados e/ou para
troca de informações
Supervisão do desenvolvimento
terceirizado de software com requisitos
para controles de segurança da informação
55%
3,68
68%
80%
3,56
3,10
2,80
47%
FATORES
in ib id o re s
m o tiv a d o re s
F a to re s
m é d ia

A m o s tra
e rro
lim ite
a m o s tra l
s u p e rio r
lim ite
in fe rio r
e sp e cialista e xte rn o
3 ,5 1
1 ,1 2
0 ,3 5
3 ,8 7
3 ,1 6
in cid en te a n te rio r
3 ,3 4
1 ,2 4
0 ,3 9
3 ,7 3
2 ,9 5
co n sciên cia d o g e sto r
3 ,6 3
1 ,1 3
0 ,3 6
3 ,9 9
3 ,2 8
e vita r p e rd a s
fin a n c e ira s
4 ,3 7
0 ,8 3
0 ,2 6
4 ,6 3
4 ,1 0
va lor d o in ve stim e n to
3 ,6 6
1 ,1 3
0 ,3 6
4 ,0 2
3 ,3 0
re la çã o cu sto / b e ne fício
3 ,3 7
1 ,1 3
0 ,3 6
3 ,7 2
3 ,0 1
fa lta d e co n h e c im e n to
3 ,7 1
1 ,1 5
0 ,3 6
4 ,0 7
3 ,3 5
cu ltura org a niza cion al
3 ,6 6
1 ,0 2
0 ,3 2
3 ,9 8
3 ,3 4
FATORES
F ato re s M o tiv ad o re s
5 ,0
4 ,5
4 ,0
3 ,5
3 ,0
2 ,5
2 ,0
1,5
1,0
re co m e n d a çã o e s p e cia lis ta
in cid e n te a n te rio r
co n s ciê n cia d o g e s to r
e vita r p e rd a s fin a n ce ira s
e xte rn o
F a to r e s In ib id o r e s
5 ,0
4 ,5
4 ,0
3 ,5
3 ,0
2 ,5
2 ,0
1,5
1,0
va lo r d o in ve s tim e n to
d ificu ld a d e s e m m e n s u ra r
cu s to /b e n e fício
fa lta d e co n h e cim e n to
cu ltu ra o rg a n iza cio n a l
ÁREA DE TI INTERNA
F ato re s M o tiv ad o re s - Áre a d e T I In te rn a
5 ,0
4 ,5
4 ,0
3 ,5
amos tr a total
3 ,0
TI inter na
2 ,5
2 ,0
1,5
1,0
re co m e n d a çã o
in cid e n te a n te rio r
co n s ciê n cia d o g e s to r
e vita r p e rd a s fin a n ce ira s
e s p e cia lis ta e xte rn o
F ato re s In ib id o re s - Áre a d e T I In te rn a
5 ,0
4 ,5
4 ,0
3 ,5
amos tr a total
3 ,0
TI inter na
2 ,5
2 ,0
1,5
1,0
va lo r d o in ve s tim e n to
d ificu ld a d e s e m
m e n s u ra r o
cu s to /b e n e fício
fa lta d e co n h e cim e n to
cu ltu ra o rg a n iza cio n a l
TAMANHO DA EMPRESA
F ato re s M o tiv ad o re s - T aman h o d a E mp re sa
5 ,0
4 ,5
4 ,0
amos tr a total
3 ,5
pequena empr es a
3 ,0
média empr es a
2 ,5
2 ,0
1,5
1,0
re co m e n d a çã o
in cid e n te a n te rio r
co n s ciê n cia d o g e s to r
e vita r p e rd a s fin a n ce ira s
e s p e cia lis ta e xte rn o
F ato re s In ib id o re s - T aman h o d a E mp re sa
5 ,0
4 ,5
4 ,0
amos tr a total
3 ,5
pequena empr es a
3 ,0
média empr es a
2 ,5
2 ,0
1,5
1,0
va lo r d o in ve s tim e n to
d ificu ld a d e s e m
m e n s u ra r o
cu s to /b e n e fício
fa lta d e co n h e cim e n to
cu ltu ra o rg a n iza cio n a l
QTDE COMPUTADORES
F ato re s M o tiv ad o re s - Q u an tid ad e d e C o mp u tad o re s
5 ,0
4 ,5
amos tr a total
4 ,0
3 ,5
até 10 mic r os
3 ,0
de 11 a 20 mic r os
2 ,5
ac ima de 20 mic r os
2 ,0
1,5
1,0
re co m e n d a çã o
in cid e n te a n te rio r
co n s ciê n cia d o g e s to r
e vita r p e rd a s fin a n ce ira s
e s p e cia lis ta e xte rn o
F ato re s In ib id o re s - Q u an tid ad e d e C o mp u tad o re s
5 ,0
4 ,5
4 ,0
amos tr a total
3 ,5
até 10 mic r os
3 ,0
2 ,5
de 11 a 20 mic r os
2 ,0
ac ima de 20 mic r os
1,5
1,0
va lo r d o in ve s tim e n to
d ificu ld a d e s e m
m e n s u ra r o
cu s to /b e n e fício
fa lta d e co n h e cim e n to
cu ltu ra o rg a n iza cio n a l
NÍVEL DE INFORMATIZAÇÃO
F ato re s M o tiv ad o re s - N ív e l d e In fo rmatiz ação
5 ,0
4 ,5
amos tr a total
4 ,0
3 ,5
baix o
3 ,0
médio
2 ,5
alto
2 ,0
1,5
1,0
re co m e n d a çã o
in cid e n te a n te rio r
co n s ciê n cia d o g e s to r
e vita r p e rd a s fin a n ce ira s
e s p e cia lis ta e xte rn o
F ato re s In ib id o re s - - N ív e l d e In fo rmatiz ação
5 ,0
4 ,5
4 ,0
amos tr a total
3 ,5
baix o
3 ,0
2 ,5
médio
2 ,0
alto
1,5
1,0
va lo r d o in ve s tim e n to
d ificu ld a d e s e m
m e n s u ra r o
cu s to /b e n e fício
fa lta d e co n h e cim e n to
cu ltu ra o rg a n iza cio n a l
CONCLUSÃO - MOTIVADORES
• Evitar perdas financeiras foi o fator motivador para
adoção de gestão da segurança da informação
apontado em todas as análises, porém se mostrou
como uma escolha óbvia.
• Outros dois fatores merecem atenção, em ordem:
• Consciência do próprio gestor, pois mostrou-se
importante nas análises:
• área de TI interna
• tamanho da empresa
• quantidade de computadores (de 11 a 20 e acima de 20)
• análise nível de informatização dos negócios (nível
médio e alto);
• Recomendação de um especialista externo mostrou-se
importante quando analisadas as empresas com:
• até 10 micros
• nível de informatização dos negócios baixo.
CONCLUSÃO - INIBIDORES
• Falta de conhecimento do gestor foi o principal
fator inibidor da adoção de gestão da segurança da
informação na análise da amostra geral e na análise
por quantidade de computadores;
• Outros dois fatores merecem atenção, em ordem:
• O fator valor do investimento teve a maior média quando
analisado por:
• existência de uma área de TI interna;
• tamanho da empresa (média);
• nível de informatização dos negócios (alto).
• O fator cultura organizacional teve a maior média e menor
desvio padrão quando analisado:
• o tamanho da empresa (pequena);
• o nível de informatização dos negócios (médio).
CONCLUSÃO – ISO 17799
• Das empresas pesquisadas, 80% possuem pelo menos um
controle em cada uma das camadas de segurança: física, lógica
e humana.
• Essa porcentagem diminui para 59% quando avaliado se
possuem pelo menos metade dos controles pesquisados
implantados.
• A camada humana foi a que apresentou o menor índice de
ferramentas/técnicas implantadas pelas empresas pelo número
de controles pesquisados nesta camada.
• Independente da camada, 21 empresas possuem menos ou
60% dos controles pesquisados presentes na ISO/IEC
17799:2005.
• Existe uma baixa adequação das pequenas e médias empresas
em relação às seções da norma ISO/IEC 17799:2005, o que
pode demonstrar que a norma requer muitos controles que a
maioria não está preocupada em implantar ou não possuem
tempo ou dinheiro para isso.
ESTUDOS FUTUROS
• Recomenda-se:
• aplicar a pesquisa em outros setores da economia
como empresas de: serviços ou comércio, a fim
de verificar a amplitude das análises;
• uma amostra maior de empresas também poderia
relevar maiores informações e possibilitar análises
estatísticas mais profundas;
• verificar a causa da falta de conhecimento dos
gestores em gestão da segurança da informação
e TI. Haveria uma falta de interesse por parte das
empresas ou dos gestores?