Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão de Segurança da Informação e Comunicações RENATO DO CARMO DAS NEVES ALVES UM MODELO DE ANÁLISE DO COMPORTAMENTO DE SEGURANÇA DE SERVIDORES DA ADMINISTRAÇÃO PÚBLICA FEDERAL BRASILEIRA Orientador Prof. Dr. Jorge Henrique Cabral Fernandes Brasília, Junho de 2009 II RENATO DO CARMO DAS NEVES ALVES UM MODELO DE ANÁLISE DO COMPORTAMENTO DE SEGURANÇA DE SERVIDORES DA ADMINISTRAÇÃO PÚBLICA FEDERAL BRASILEIRA Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção de título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. Orientador: Prof. Dr. Jorge Henrique Cabral Fernandes BRASÍLIA, Junho de 2009 III UM MODELO DE ANÁLISE DO COMPORTAMENTO DE SEGURANÇA DE SERVIDORES DA ADMINISTRAÇÃO PÚBLICA FEDERAL BRASILEIRA RENATO DO CARMO DAS NEVES ALVES Monografia de Especialização submetida e aprovada pela Universidade de Brasília, como parte do requisito parcial para obtenção do certificado de Especialista em Gestão de Segurança da Informação e Comunicações. Prof. Dr. Jorge Henrique Cabral Fernandes Orientador Universidade de Brasília Prof. Msc. João José da Costa Gondim Universidade de Brasília Prof. Msc. Gilberto de Oliveira Netto Serviço Federal de Processamento de Dados - SERPRO Brasília, Junho de 2009 IV Dedico este trabalho aos meus filhos, pelo amor, alegria e inspiração que sempre me deram. Dedico à minha esposa pelos momentos de compreensão e tolerância. Dedico aos meus pais por sempre terem me dado muito amor, carinho e compreensão. Dedico aos meus irmãos e amigos pelo incentivo na busca de uma qualificação melhor para minha vida profissional. V Agradeço Primeiramente a Deus por permitir conhecê-lo e reconhecer que sem ele de forma alguma eu poderia estar aqui, e por ter iluminado meu caminho e me dar tudo que sempre precisei. Aos meus parentes, pela força, serenidade e amor. Agradeço à minha esposa e filhos pela paciência em entender que as horas que estive envolvido neste trabalho foi sempre pensando em conquistar um futuro melhor para todos nós. VI RESUMO Este trabalho propõe um modelo de análise do comportamento de segurança dos servidores públicos da Administração Pública Federal, estabelecendo uma relação entre o nível de conhecimento e conscientização dos servidores das organizações públicas, frente às normas e práticas de segurança da informação no ambiente de trabalho, devendo mensurar o grau de comprometimento de cada servidor para com os ativos da organização e a sua preocupação com a segurança da informação. Pretende-se demonstrar que para o sucesso na implantação de um modelo de análise do comportamento dos servidores públicos, os responsáveis pela organização pública, bem como pela segurança da informação na organização terão como responsabilidade desenvolver, melhorar e construir mecanismos que possam reforçar a importância de se ter um programa de conscientização para todos os servidores da organização. Palavras-Chave: Comportamento de Segurança, Servidores Públicos, Administração Pública Federal, Práticas de Segurança da Informação. VII ABSTRACT This work proposes a model of behavior analysis of the safety of public servants of Federal Public Administration in establishing a relationship between the level of knowledge and awareness of the servers of the public, in front of the standards and practices of information security in the workplace. Should provide the degree of involvement of each server to the assets of the organization and its concerns about security of information. It is shown that for the successful implementation of a model for analyzing the behavior of public servants, responsible for organizing the public and the information security responsibility in the organization will develop, improve and build mechanisms that can reinforce the importance of has a program of awareness for all servers in the organization. Keywords: Behavior Security, Public Servants, Federal Public Administration, Practice of Information Security. VIII LISTA DE FIGURAS Figura 1 – Principais Medidas de Segurança Adotadas em Organizações........... 13 Figura 2 – Principal Obstáculo para a Implementação da Segurança.................. 14 Figura 3 – Principais Ameaças à Segurança da Informação................................ 15 Figura 4 – Grau de Complexidade dos Problemas a Serem Enfrentados........... 16 Figura 5 – Fatores que Influenciam o Comportamento dos Usuários em Segurança da Informação................................................................... 20 IX LISTA DE GRÁFICOS Gráfico 1 – Resultado da Questão 1 - Política de Segurança da Informação na sua Organização............................................................................................................. 40 Gráfico 2 – Resultado da Questão 2 – A Política de Segurança da Informação está Disponível para Conhecimento por todos os Servidores da Organização.............................................................................................................. 41 Gráfico 3 – Resultado da Questão 3 - Comportamento dos Gerentes da sua Organização com Relação às Normas de Segurança da Informação..................... 42 Gráfico 4 – Resultado da Questão 4 – Uso do Crachá de Identificação por parte dos Servidores da sua Organização................................................................................ 37 Gráfico 5 – Resultado da Questão 5 - Compartilhamento de Senhas Pessoais entre Colegas no Ambiente de Trabalho............................................................................ 38 Gráfico 6 – Resultado da Questão 6 – A Violação as Regras de Segurança pode Prejudicar a sua Organização, no que Concerne à Imagem e Prejuízos Financeiros................................................................................................................ 38 Gráfico 7 – Resultado da Questão 7 – Necessidade da Realização de Auditorias de Segurança na sua Organização.................................................................................39 Gráfico 8 – Resultado da Questão 8 – Sua Atitude Quando um Colega de sua Organização está Infringindo as Regras de Segurança da Informação................................................................................................................. 40 Gráfico 9 – Resultado da Questão 9 – Sua Atitude Quando um Estranho está Infringindo as Regras de Segurança da Informação em sua Organização........................................................................................................... 40 Gráfico 10 – Resultado da Questão 10 – Punições Severas em Decorrência de Infração de Normas de Segurança da Informação.................................................... 41 Gráfico 11 – Resultado da Questão 11 - Uso dos Recursos da Internet e Correio Eletrônico na sua organização .................................................................................. 42 Gráfico 12 – Resultado da Questão 12 - Programas de Divulgação e Capacitação dos Servidores sobre Segurança da Informação....................................................... 43 Gráfico 13 – Resultado da Questão 13 - Atuação dos Responsáveis pela Área de Segurança da Informação na sua Organização ........................................................ 44 Gráfico 14 – Resultado da Questão 14 – Quanto ao Uso dos Recursos Computacionais na Organização, Qual a sua Observância sobre o Livre Acesso a Rede Lógica de Dados da Organização................................................................... 45 Gráfico 15 – Resultado da Questão 15 - Mobilização da sua Organização para que às Normas de Segurança sejam Cumpridas............................................................. 46 Gráfico 16 – Resultado da Questão 16 – Grau de Importância que os Servidores de Sua Organização Atribuem ao Cumprimento das Normas de Segurança da Informação................................................................................................................ 46 X Gráfico 17 – Resultado da Questão 17 - Tratamento e Correção dos Incidentes de Segurança da Informação Ocorridos na sua Organização....................................... 47 Gráfico 18 – Resultado da Questão 18 - As Normas de Segurança da Informação Influenciam a sua Maneira de Trabalhar na sua Organização.................................. 48 XI LISTA DE TABELAS Tabela 1 – Níveis de Aprendizagem do Domínio Cognitivo.................................. 22 Tabela 2 – Níveis de Aprendizagem do Domínio Afetivo...................................... 23 XII SUMÁRIO 1. INTRODUÇÃO ............................................................................................................................... 14 1.1 Identificação do Problema ...................................................................................................... 17 1.2 Objetivos...................................................................................................................................... 20 1.2.1 Objetivo Geral ........................................................................................................................... 20 1.2.2 Objetivos Específicos............................................................................................................... 20 1.3 Justificativa ................................................................................................................................. 21 2. REVISÃO DE LITERATURA E FUNDAMENTOS ................................................................... 24 2.1 Área de Desenvolvimento Educacional............................................................................... 24 2.2 Gestão da Segurança da Informação................................................................................... 26 2.2.1 Objetivo da Gestão da Segurança da Informação .............................................................. 27 2.2.2 Política de Segurança.............................................................................................................. 28 2.2.3 Segurança Física e Lógica...................................................................................................... 29 2.2.4 Segurança em Pessoas .......................................................................................................... 30 2.3 A Importância da Conscientização para a Segurança da Informação ........................ 30 2.3.1 Conscientização e a Segurança da Informação.................................................................. 30 2.3.2 A Cultura Organizacional ........................................................................................................ 31 2.3.3 Os Atores no Processo da Conscientização........................................................................ 31 3. INSTRUMENTO E PROCEDIMENTO DE COLETA DE DADOS ......................................... 33 3.1 O Instrumento............................................................................................................................. 34 3.3 A Aplicação do Instrumento de Pesquisa........................................................................... 40 4. ANÁLISE DOS RESULTADOS .................................................................................................. 42 4.1 Dados Agrupados por Questão ............................................................................................. 43 5. DISCUSSÃO DOS RESULTADOS ............................................................................................ 57 5.1 Política de Segurança da Informação. ................................................................................. 57 5.2 Comportamento dos Gerentes da Organização................................................................ 58 XIII 5.3 Uso do Crachá de Identificação............................................................................................. 58 5.4 Compartilhamento da Senha entre Colegas. ..................................................................... 59 5.5 Violação das Regras que Impactam em Prejuízos à Organização. .............................. 59 5.6 Realização de Auditoria em SI. .............................................................................................. 59 5.7 Reação dos Servidores à Infração Cometida por Colegas da Organização.............. 60 5.8 Reação dos Servidores à Infração Cometida por Pessoas Estranhas à Organização....................................................................................................................................... 60 5.9 Uso dos Recursos Tecnológicos. ......................................................................................... 61 5.10 Programas de Divulgação e Capacitação em SI. ............................................................ 61 5.11 Atuação dos Responsáveis pela Área de SI. ................................................................... 61 5.12 Livre Acesso à Rede Lógica de Dados da Organização. .............................................. 62 5.13 Mobilização da Sua Organização no Cumprimento das Normas de SI. ................... 62 5.14 Grau de Importância para o Cumprimento das Normas de SI. ................................... 62 5.15 Tratamento e Correção dos Incidentes em SI. ................................................................ 63 5.16 Influência das Normas no Comportamento dos Servidores. ...................................... 63 6 CONCLUSÕES E TRABALHOS FUTUROS ............................................................................. 65 6.1 Pontos Fortes e Fracos da Pesquisa ................................................................................... 65 6.2 O que ficou em aberto.............................................................................................................. 65 6.3 Conclusões ................................................................................................................................. 66 6.4 Trabalhos Futuros ..................................................................................................................... 67 REFERÊNCIAS BIBLIOGRÁFICAS............................................................................................... 68 ANEXOS.............................................................................................................................................. 70 ANEXO I ................................................................................................................................................. 71 ANEXO II ................................................................................................................................................ 72 ANEXO III ........................................................................................................................................ ......74 1. INTRODUÇÃO Na década de 70, existia nas grandes empresas públicas e privadas ambientes preparados para abrigar máquinas que ocupavam andares inteiros necessitando de profissionais na área da computação altamente especializados para operarem toda essa estrutura tecnológica. As organizações investiam em equipamentos de informática, buscando despontar no cenário nacional. Todavia, nas últimas décadas, a tecnologia da informação sofreu grandes avanços que refletiram na forma como as organizações estavam estruturadas, ambientes centralizados e com poucos servidores fazendo uso da tecnologia da informação. Segundo levantamento da Comissão de Coordenação das Atividades de Processamento Eletrônico – CAPRE do Ministério do Planejamento realizado em 1977, os gastos das empresas brasileiras com processamento de dados quase que duplicaram em 1976, subindo de 6,2 bilhões de cruzeiros em 1975 para 10,4 bilhões de cruzeiros. A maior parte das despesas (58,5%) era com pessoal: 5,6 bilhões de cruzeiros. O Brasil tinha 3.302 computadores "minis", 1.308 "pequenos", 338 "médios", 99 "grandes" e 75 "muito grandes" (BRASIL, 2009b). Nos anos 90, vieram os primeiros computadores pessoais que alavancaram a disseminação da informação em sistemas e serviços, tais como: planilhas eletrônicas, mala direta e mensagens eletrônicas. O barateamento dos computadores, desenvolvimento de sistemas de controle de gestão administrativa e de recursos humanos, e o livre acesso à internet foram alguns fatores que impulsionaram o uso dos computadores. No Brasil, uma pesquisa parcial com 8 mil empresas de serviços, comércio e indústria, realizada pela Câmara Brasileira de Comércio Eletrônico, no ano de 1986, constatou que 46,34% da Média, Pequena e Micro Empresas afirmam possuir mais de 10 computadores, 83,6% têm computadores em rede, 85,8% utilizam banda larga e 91,3% usufruem dos recursos da internet. 15 As organizações perceberam que diante da evolução desenfreada da computação, as informações que antes estavam armazenadas de forma centralizada, agora estavam distribuídas nas diversas áreas de negócios da organização. Desta forma, as organizações identificaram a importância em preservar o seu maior patrimônio que é a informação, um ativo de grande valor que necessita estar protegida contra o uso não-autorizado, divulgação, modificação, dano ou perda por agentes internos ou externos. As organizações devem atentar para a importância da informação buscando alinhar as normas e padrões existentes. Segundo a norma NBR ISO/IEC 27002 a informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegida. A segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócios. Para tanto, as organizações têm despendido recursos para proteger a sua informação, implementando medidas de segurança com fortes investimentos em softwares de antivírus, instalações de firewall, implementações de Políticas de Segurança da Informação. Figura 1 - Principais Medidas de Segurança Adotadas em Organizações. Fonte: Modulo, 2003. 16 Observa-se na pesquisa Modulo, descrita na Figura 1, realizada em 2003, algumas organizações entendem que os esforços para proteger as informações dentro do ambiente corporativo devem ser apenas por meio da Tecnologia da Informação. No entanto, as pessoas, que são responsáveis pelo manuseio das informações da organização, são o elo mais fraco desta corrente, e precisam ser conscientizadas para a importância da segurança da informação. Esta engrenagem possui um componente de suma importância para fazê-la funcionar, pois se os funcionários não estiverem comprometidos com as normas de segurança da informação da organização, a mesma estará fadada a sofrer sérios prejuízos no seu funcionamento. Fontes (2008) ressalta que a pessoa humana é o elemento por onde a segurança da informação acontece na organização. O usuário é a última milha para alcançarmos o nível de proteção adequado. As organizações que não consideram este fato poderão até desenvolver técnicas e processos, porém não serão efetivas na proteção. Este trabalho realiza um estudo comparativo, analisando de forma quantitativa, os aspectos relacionados ao conhecimento, comportamento e a atitude dos servidores de uma determinada organização pública, mediante a caracterização de um cenário organizacional frente à segurança da informação. A organização objeto deste estudo possui uma das maiores estruturas físicas e de servidores no âmbito da administração pública federal. A organização conta com um corpo funcional de aproximadamente 40 mil servidores distribuídos em cerca de 1.400 pontos de atendimento nas diversas cidades do país (BRASIL,2009C). Com todo este contingente de servidores distribuídos nas diversas Unidades da organização, observa-se que existe um grande desafio para a segurança da informação. Como fazer com que todos os servidores estejam engajados no atendimento aos pressupostos da segurança. Como avaliar o comportamento dos servidores diante das ameaças a que estão sujeitos. 17 Diante dessa problemática, buscou-se traçar uma estratégia para identificar os elementos que deverão ser tratados, por meio de um modelo que possibilite a prospecção de informação acerca do comportamento dos servidores da organização, com vistas à elaboração de um plano que possa implementar ações que sensibilizem os servidores para a segurança da informação. Observa-se na Figura 2 que o principal obstáculo para o sucesso na implementação da segurança da informação reside na equipe de servidores. Figura 2 - Principal Obstáculo para a Implementação da Segurança. Fonte: Modulo, 2003. 1.1 Identificação do Problema Analisando algumas informações sobre as ameaças a que as organizações estão sujeitas, observa-se que o desenvolvimento de pessoas em segurança da informação é necessário, principalmente, com a apresentação da política de segurança da informação e as normas específicas de segurança da organização, para que todos os servidores obedeçam ao estabelecido nas regras da organização. Na pesquisa realizada pela empresa Modulo no 1º semestre de 2003, foi apresentado o resultado das principais ameaças conforme mostra a Figura 3. 18 Figura 3 - Principais Ameaças à Segurança da Informação. Fonte: Modulo, 20031. Quando perguntado sobre qual das ameaças listadas era a mais crítica aos negócios de sua empresa, os resultados foram Vírus 66%, 53% apontaram funcionários insatisfeitos, 51% constataram a divulgação de senhas, 49% informaram que os acessos indevidos aconteceram na organização, 47% apontaram o vazamento de informações e 41% sofreram fraudes, erros e acidentes cometidos pelos funcionários. Analisando as respostas apresentadas identificou-se que todas estão relacionadas diretamente com a atitude, o conhecimento às normas, e principalmente, o comportamento dos funcionários dentro da organização. A pesquisa aponta também diversos problemas que as organizações enfrentam na execução de suas políticas de segurança da informação, conforme demonstrado na Figura 4. 1 O total de citações é superior a 100% devido à questão aceitar múltiplas respostas. 19 Figura 4 - Grau de Complexidade dos Problemas a Serem Enfrentados. Fonte: Modulo, 2003. Falta de consciência dos executivos (23%), dificuldade em demonstrar o retorno dos investimentos com a segurança da informação (18%) e custo de implementação (16%) foram considerados os três principais obstáculos para executar um programa de segurança nas empresas. Analisando este cenário, faz-se necessário registrar a conduta dos servidores públicos federais e seu envolvimento com a segurança da informação, buscando identificar o comprometimento e percepção para com a segurança por meio do conhecimento das normas, a sua atitude em relação às ameaças e desastres a que estão sujeitos, além do comportamento no ambiente organizacional. Nesse registro deve-se estabelecer um modelo de análise do comportamento dos servidores, pois qualquer tentativa de construir um modelo eficiente de segurança esbarrará nas atitudes, conhecimento e comportamento dos servidores, responsáveis pelo tratamento das informações. Os servidores de uma organização, no âmbito de suas responsabilidades profissionais devem desempenhar suas atribuições com atitudes responsáveis e em conformidade com as normas organizacionais. Percebe-se que esta é uma questão tão importante que a tecnologia não consegue resolver. Identificou-se que a organização pública em estudo possui política de segurança da informação formalizada, assessoria técnica em segurança da informação com servidor oficialmente designado por seu dirigente, bem como 20 normas específicas que tratam do uso da internet e do correio eletrônico institucional. 1.2 Objetivos 1.2.1 Objetivo Geral Os Órgãos da Administração Pública Federal possuem cultura organizacional relativamente baixa, quando o assunto é a segurança da informação. O objetivo desse trabalho é desenvolver um modelo de avaliação do comportamento dos servidores públicos federais, que possibilite identificar o grau de conscientização dos servidores. Busca-se traçar o perfil de cada servidor da organização apresentando o seu comportamento, atitude e o conhecimento, frente às questões que remetem a uma reflexão sobre a importância da segurança da informação. Estes elementos servirão de objeto de estudo e análise da área de segurança que deverá desenvolver ações que visem aumentar o grau de comprometimento dos servidores em segurança da informação, possibilitando enfrentar os riscos e ameaças que possam surgir no ambiente organizacional. 1.2.2 Objetivos Específicos São objetivos específicos do trabalho: a) Desenvolvimento de ferramenta que permita apresentar o grau de comprometimento dos servidores de determinada organização pública para com a segurança da informação. b) Aplicação de piloto da ferramenta de análise do comportamento dos servidores identificando fatores positivos e negativos com relação ao comportamento, atitude e conhecimento da segurança da informação junto a um Órgão da Administração Pública Federal. c) Avaliação e análise dos resultados obtidos através da ferramenta experimental em amostra piloto aplicado a uma organização buscando identificar às tendências e percepções dos servidores no tocante as normas, riscos, ameaças e adversidades ao ambiente organizacional. 21 1.3 Justificativa A segurança da informação é de vital importância para a sobrevivência e cumprimento da missão institucional. A organização em estudo tem sobre seu domínio cadastro com informações de cidadãos, aos quais ela tem responsabilidade e obrigação de manter sigilo dos dados. Devem-se preservar as informações pertencentes aos cidadãos, que não podem, em hipótese alguma, serem violadas, sob pena da organização ser responsabilizada em juízo e condenada a pagar aos cidadãos verbas indenizatórias. Para tanto, faz-se importante que todos os servidores da organização sejam fiéis depositários das informações dos cidadãos, mesmo diante da imensa quantidade de acesso que são efetuados pelos servidores das diversas unidades de atendimentos instaladas pelo Brasil. A partir deste cenário, como fazer com que 40 mil servidores sejam os parceiros na implementação da segurança da informação, como sensibilizar este contingente de servidores públicos, para que possam estar conscientes da importância do seu papel na organização. Diante do desafio de identificar os componentes que necessitavam ser priorizado no aprimoramento do comportamento dos servidores da organização, buscou-se elaborar um modelo que registrasse a conduta dos servidores diante das ameaças a que estão, constantemente, submetidos. Observou-se que existe pouca literatura tratando de método de aferição do comportamento dos servidores em segurança da informação, apresentando casos práticos de aplicação de ferramenta para medir os fatores que influenciam o comportamento em segurança. Kruger e Kearney (2005) desenvolveram um trabalho a partir da percepção dos funcionários de uma companhia mineradora na África do Sul, AngloGold Ashanti, onde aplicaram ferramenta que buscava colher informações a respeito do comportamento dos funcionários da companhia. Os resultados do trabalho foram analisados julgando a visão dos funcionários diante de aspectos relacionados ao ambiente organizacional. 22 Os fatores foram divididos em dois grupos: o primeiro tratou da compreensão dos funcionários e o que a empresa espera deles, e o segundo grupo avaliou os fatores que influenciam o comportamento dos funcionários, ou seja, como o comportamento de seus pares contribui nas atividades desenvolvidas pelos funcionários. Outra visão interessante sobre o comportamento foi apresentada por John Leach (2003), onde afirma que todas as organizações modernas têm que confiar no comportamento sensato dos seus servidores quando estão realizando determinadas tarefas que exigem conhecimento sobre o tema em discussão. Leach afirma, ainda, que muitas organizações suspeitam que as suas ameaças internas de segurança sejam mais prementes do que as externas. Porém o que se constata é que o comportamento de um funcionário pode comprometer a segurança da organização. Leach descreve os seis fatores do comportamento que influenciam diretamente os funcionários, são eles: o comportamento demonstrado pelos colegas e a direção da organização, as normas e procedimentos devem estar acessíveis a todos da organização, o senso comum dos funcionários e a competência para tomar decisões, os valores, os princípios e a conduta pessoal do funcionário. A empresa deve encorajar os funcionários no cumprimento das normas de segurança, trabalhando a atitude pessoal de cada um e apresentando claramente as regras a que estão sujeitos. As normas e o contrato de trabalho devem apresentar o que será aceitável pela empresa, bem como o que será exigido do funcionário. 23 Figura 5 - Fatores que Influenciam o Comportamento dos Usuários em Segurança da Informação. Fonte: Leach, 2003. Na Figura 5 os fatores que influenciam o comportamento são apresentados em comparação aos eventos intervenientes à empresa. Leach reforça que entre outros fatores, as empresas devem possuir recursos, conhecimentos, habilidades e competências, mas devem, sobretudo, ter pessoas que incorporem essas características. Os funcionários nas empresas devem manter uma conduta baseada nos seus valores pessoais, além de habilidades humanas para poderem lidar com a as ameaças a que estão sujeitos. Diante desse ponto de vista, entende-se que a organização deve implementar um programa de segurança da informação direcionado a conscientizar os funcionários sobre a responsabilidade de cada um para a garantia da segurança organizacional. 24 2. REVISÃO DE LITERATURA E FUNDAMENTOS Este trabalho introduz duas áreas conceituais: Área de Desenvolvimento Educacional e a Gestão da Segurança da Informação com temas específicos sobre os fatores do conhecimento, comportamento e atitude, bem como sobre a governança da segurança da informação. 2.1 Área de Desenvolvimento Educacional. A informação é de vital importância para a nossa sociedade, onde é cada vez mais valorizado o conhecimento. Mas mesmo assim, ainda encontramos vários problemas no momento de manuseá-la. A segurança da informação tornou-se um tema importante para as organizações. Um ambiente seguro depende da conscientização dos servidores, que precisam aperfeiçoar a sua atitude, o comportamento e o conhecimento através de programas educacionais. Nesse sentido, buscou-se conhecer elementos de estudo de aprendizagem que pudessem contribuir para o fortalecimento dos componentes básicos dos fatores comportamentais em segurança da informação. Com o intuito de estabelecer uma hierarquia no processo de aprendizado considerou-se como base do trabalho o uso da Taxonomia de BLOOM (1972). BLOOM classificou o aprendizado hierarquicamente em três áreas: Cognitiva, Afetiva e a Psicomotora. A área cognitiva apresenta uma seqüência que vai do mais simples (conhecimento) ao mais complexo (avaliação); onde cada nível está relacionado diretamente com o anterior. As capacidades e conhecimentos adquiridos através de um processo de aprendizagem são descritos nos níveis: conhecimento, compreensão, aplicação, análise, síntese e avaliação. Tomando-se por referência esta taxonomia pode-se entender que as avaliações variam em grau de dificuldade e profundidade com relação aos níveis. Cabendo ao gestor estabelecer os objetivos que serão desenvolvidos junto ao servidor. 25 Os objetivos de aprendizagem considerados na Área Afetiva estão ligados às idéias como comportamento, atitude, responsabilidade, respeito, emoção e valores. O processo de aprendizagem não será apenas um processo cognitivo, pois as idéias relacionadas à área afetiva aparecem ligadas a experiências e vivências que esclarecem os aspectos do avanço na aprendizagem. Este estudo parte da suposição de que a taxonomia de Bloom, utilizada para classificar os objetivos dos processos educacionais, permite explorar todo o potencial do servidor nos fatores: conhecimento, atitude e comportamento em segurança da informação. Analisando os fatores referentes às relações do modelo da taxonomia, podese inferir melhor a aplicação de um processo de recrutamento, seleção, treinamento e desenvolvimento dos servidores da organização em segurança. A seguir apresenta-se a classificação do processo de aprendizado, segundo Bloom. A área cognitiva apresenta 6 níveis, conforme a Tabela 1. Níveis Objetivos Capacidades a Adquirir Conhecimento Lembrar informações sobre: Definir, descrever, memorizar, fatos, dados, teorias etc. reconhecer etc. Compreensão Entender a informação ou fato, Classificar, converter, discutir, absorver o significado, utilizá- inferir, interpretar etc. la em outras situações Aplicação Aplicar o conhecimento em Aplicar, construir, escolher, situações concretas resolver, preparar, usar etc. Análise Identificar as partes e suas Analisar, calcular, comparar, inter-relações discriminar, distinguir, questionar, esquematizar etc. Síntese Combinar partes não Construir, criar, desenvolver, organizadas para formar um estruturar, organizar, planejar, todo projetar etc. Avaliação Julgar o conhecimento valor do Criticar, comparar, escolher, estimar, explicar, julgar, selecionar etc. Tabela 1: Níveis de aprendizagem no domínio cognitivo. 26 A área afetiva apresenta outros 5 níveis, que são: recepção, resposta, avaliação, organização e a internalização, conforme Tabela 2. Níveis Objetivos Capacidades a Adquirir Recepção Dar-se conta de predisposição para atenção seletiva fatos, Dar nome, descrever, ouvir, destacar, escolher, identificar, localizar, etc Resposta Envolver-se na aprendizagem, responder a estímulos, apresentar idéias, questionar idéias e conceitos Avaliação Atribuir valores a fenômenos, Demonstrar, diferenciar, objetos e comportamentos. dividir, explicar, justificar etc. Organização Atribuir prioridades a valores, Comparar, defender, resolver conflitos entre formular, identificar, modificar, valores. ordenar, sintetizar etc. Internalização Adotar um sistema de Desempenhar, agir, valores, praticar esse sistema questionar, modificar, propor, resolver, revisar, verificar etc. Adaptar-se, ajudar, apresentar, desempenhar, discutir, estudar, responder, selecionar etc. Tabela 2: Níveis de aprendizagem no domínio afetivo. A área psicomotora apresenta os níveis: percepção, posicionamento, execução acompanhada, mecanização e completo domínio de movimentos, que não serão detalhados aqui por não serem relacionados ao tema em estudo. 2.2 Gestão da Segurança da Informação A gestão da segurança da informação necessita de um planejamento adequado ao negócio da organização. Deve ser elaborado um plano estratégico de segurança que atenda a toda a organização. O plano deve identificar o cenário da organização aonde a segurança da informação deverá atuar. Segundo Fontes (2000) não existe solução certa ou errada. Existe solução mais adequada a cada organização. Independentemente de como você rotule o seu planejamento de segurança, não deixe de fazê-lo. Como qualquer outro planejamento, ele é o rumo a ser seguido com os objetivos definidos. 27 A gestão da segurança deve abarcar todos os aspectos do trabalho diário: a avaliação do ambiente organizacional, a valoração do risco e a análise de incidentes de segurança. Todos os processos de gestão da segurança se baseiem no plano estratégico da organização. O plano apresenta os princípios e diretrizes que norteiam a organização no cumprimento de sua Missão. 2.2.1 Objetivo da Gestão da Segurança da Informação O principal objetivo da Gestão da Segurança da Informação é garantir o máximo de segurança a organização, controlando os riscos para que eles não afetem o bom funcionamento da organização. A organização deve definir o grau de segurança que o seu negócio requer. A gestão da segurança da informação abrange um conjunto de estratégias, normas, procedimentos e controles para implementar um correto gerenciamento dos riscos. Neste momento, a organização define a política, responsabilidades, recursos, processos que serão tratados pela segurança corporativa. Mitnick (2003) considera a segurança corporativa uma questão de equilíbrio. Pouca ou nenhuma segurança deixa sua empresa vulnerável, mas uma ênfase exagerada atrapalha a realização dos negócios e inibe o crescimento e a prosperidade da empresa. O desafio é atingir um equilíbrio entre a segurança e a produtividade. O cenário ideal seria implementar os controles definidos pela segurança corporativa sem comprometer os processos organizacionais. O próximo passo seria executar os procedimentos para a efetiva execução da segurança da informação. Para Kovacich (1998) devem-se definir alguns passos da gestão de segurança, tais como: montar o planejamento estratégico, determinar a organização 28 do departamento de segurança, determinar as funções do departamento de segurança e determinar o fluxo dos processos de segurança da organização. Segundo Mandarini (2005) a segurança corporativa é estratégica quando seus resultados agregam grande diferencial de segurança ao processo organizacional como um todo, evitam que agregue insegurança ao referido processo e desenvolvem uma profícua mentalidade de segurança no ambiente corporativo. É estratégica quando medidas e procedimentos de segurança de seus segmentos são integrados, quando as ações de segurança dentro da empresa são coordenadas e direcionadas pelo setor de segurança. 2.2.2 Política de Segurança A política de segurança da informação é um conjunto de diretrizes, normas e procedimentos estabelecidos pela organização e que tem como objetivo conscientizar e orientar os servidores, entre eles diretores e demais servidores, inclusive os colaboradores, tais como: terceirizados, fornecedores, estagiários, parceiros e clientes, sobre o uso seguro das instalações e dos recursos existentes na organização. A política deve ser de fácil compreensão e aplicabilidade, estar alinhada com os processos estratégicos da organização e ser revisada periodicamente. O documento deve apresentar as regras que deverão ser seguidas e também prever o que será considerado inaceitável. A política também deve conter as penalidades às quais estarão sujeitos aqueles que não a cumprirem, bem como indicar os responsáveis pelo cumprimento da mesma. Observa-se na pesquisa 9ª pesquisa Modulo 2003, que as organizações estão desenvolvendo suas políticas de segurança e adotando as boas práticas recomendadas: a) 68% afirmaram possuir uma Política de Segurança da Informação formalizada, um aumento considerável se comparar ao índice obtido no ano passado (55%). 29 b) Ainda em relação à pesquisa realizada em 2003, observa-se um aumento expressivo no percentual de empresas que possuem uma política de segurança atualizada. Este índice subiu de 39% para 50% das empresas. c) O cenário positivo em relação ao aumento de Política de Segurança da informação atualizada e a queda do item falta de consciência dos usuários como principal obstáculo pode ser explicado pelo aumento de campanhas internas de divulgação da política de segurança. 2.2.3 Segurança Física e Lógica A segurança física está relacionada com os meios materiais empregados para prover a segurança das áreas, instalações, dependências e ambientes. Os elementos utilizados como meio de segurança física, tais como: serviço de vigilância, os controles de acesso e também os meios de segurança eletrônicos, como câmeras, portas com detectores de metal e crachás são considerados instrumentos de segurança física, pois atuam de forma ostensiva na dissimulação. Considera-se também como segurança física às ações ligadas diretamente com o controle e cuidado no trato com os documentos da organização, tais como: cuidados no manuseio e descarte de documentos sigilosos, mesas limpas e ambientes com restrição de acesso as informações sensíveis . A segurança lógica está relacionada aos recursos de tecnologia da informação utilizados pelas organizações. Grande parte deles ligados as permissões de acesso aos sistemas de informação, bem como registros das ações nas transações executadas pelos usuários dos sistemas. Os controles visam assegurar que apenas servidores autorizados possam acessar os recursos tecnológicos da organização, impedindo que não ultrapassem o limite estabelecido como necessário para o desempenho de suas atividades. Os controles também são implementados para garantir a segurança em toda infra-estrutura de rede da organização mediante o uso de software que permita restringir acessos indevidos. 30 2.2.4 Segurança em Pessoas A Gestão da Segurança da Informação em pessoas é fundamental na segurança da informação, pois é considerado o ponto mais fraco da segurança. As organizações são desenhadas e administradas de acordo com as teorias que prevalecem, filosofia, cultura e valores que delineiam as maneiras pelas quais as organizações e seus recursos serão administrados. Para Chiavenato (1981) os especialistas em recursos humanos têm duas alternativas para estudar as pessoas em uma organização. As pessoas como pessoas, dotadas de características próprias de personalidade e de individualidade, aspirações, valores, atitudes, motivações e objetivos individuais e as pessoas como recursos dotados de habilidades, capacidades, competências, conhecimentos necessários para a tarefa organizacional. Conforme encontrado na norma NBR ISO/IEC 27002 o fator humano tem que ser tratado sempre com muito cuidado, para que os esforços possam reduzir o risco de erro humano, fraude ou uso indevido das instalações da organização. Cita a Norma que convém que as responsabilidades de segurança sejam atribuídas na fase de recrutamento, incluídas em contratos e monitoradas durante a vigência de cada contrato de trabalho. 2.3 A Importância da Conscientização para a Segurança da Informação 2.3.1 Conscientização e a Segurança da Informação O objetivo de toda organização é atingir segurança máxima, porém a segurança da informação é associada a uma corrente onde o elo mais fraco desta corrente quase sempre é o servidor. Conseguir mobilizar os servidores de uma organização para a importância da segurança da informação requer fundamentalmente trabalhar a consciência das pessoas para o valor da informação. Para Ribeiro (2007) as pessoas que trabalham nas organizações devem conhecer que as informações têm um ciclo de vida, que tem valor, que tem a ver 31 com a continuidade e crescimento da organização que lhe dá trabalho e o devido sustento. A NBR ISO/IEC 27002 apresenta a preocupação com o fortalecimento do elo mais fraco, através da conscientização. Conscientizar é criar uma consciência. É conquistar os servidores para que possam colaborar de forma espontânea e compromissada com a segurança da informação nas organizações. 2.3.2 A Cultura Organizacional Elemento fundamental em qualquer organização, a cultura organizacional revela o quanto às pessoas estão preparadas e envolvidas para lidar com os problemas relacionados à segurança da informação. Os empregados têm a percepção clara dos valores que predominam na organização e esses valores influenciam o seu comportamento diário dentro da organização. Para Tamayo (1998) todo empregado é capaz de identificar valores predominantes na organização onde ele está inserido e até identificar diferenças nos valores entre as diversas áreas da organização ou entre a sua organização e outras. É importante entender toda a organização, respeitar a cultura organizacional adotando medidas em doses homeopáticas, adequando as ações ao momento da organização. 2.3.3 Os Atores no Processo da Conscientização No teatro da segurança da informação os atores principais que fazem a diferença são os servidores. Do Presidente ao usuário de menor hierarquia, todos devem participar do processo de conscientização. As ações devem ser bem planejadas e formatadas para que o resultado ocorra na medida certa. Os servidores e as organizações estão engajados em uma complexa interação. As organizações não existem simplesmente para ter servidores. Os servidores são meios, recursos para a organização alcançar seus objetivos. 32 Ao tratar do problema da variável humana na gestão de pessoas, é difícil separar servidores das organizações, e vice versa. Não existem fronteiras muito definidas entre o que é uma organização, bem como não se pode exatamente traçar limites de influência de cada servidor em uma organização. 33 3. INSTRUMENTO E PROCEDIMENTO DE COLETA DE DADOS O presente instrumento avalia a percepção dos servidores nos diversos fatores ligados à segurança da informação, registrando a sua conduta no ambiente organizacional e à maneira como se comporta diante de situações que abordam a segurança da informação. O instrumento apoiou-se nos componentes que cada pessoa carrega na sua personalidade, tais como: a atitude, o conhecimento e o comportamento. A atitude trata da percepção emocional das pessoas, o comportamento consiste na maneira como o indivíduo reage de forma intuitiva e o conhecimento indica a sua capacidade de responder aos desafios. Para desenvolver o instrumento tomou-se como base a NBR ISO/IEC 27002, adequou-se seus conceitos aos fatores do comportamento humano, os aspectos da atitude e comportamento. A partir desta análise elaborou-se as questões, tentando extrair informações que pudessem retratar a forma como os servidores enxergam a sua organização, bem como identificar o comportamento do servidor na sua organização, registrar ao máximo o que o leva a adotar determinada atitude na sua organização. Os assuntos tratados estão relacionados com a existência ou não de normas de segurança da informação, a atuação do responsável pela segurança da informação, área formalmente existente dentro da estrutura da organização, bem como se o servidor tem conhecimento do papel que deve desempenhar dentro da organização em conformidade com as normas de segurança da informação. No desenvolvimento deste trabalho, delineou-se a importância dos valores organizacionais para a gestão dos servidores e considerou-se a percepção individual dos servidores como uma grande medida, tanto se analisada pelo aspecto individual como pelos grupos entrevistados, um valor que se procurou acrescentar ao estudo. O resultado final remete o instrumento para uma escala de graduação dos fatores comportamentais, atitudinais e do conhecimento, que são relevantes na conscientização dos servidores da organização e contribuem diretamente para o desenvolvimento organizacional. 34 3.1 O Instrumento Esta seção apresenta o desenvolvimento do instrumento utilizado para coleta das informações. O instrumento foi elaborado tomando como base dois aspectos: temas e fatores, sob a ótica do comportamento, atitude e conhecimento, e governança da segurança da informação. Esses fatores buscam identificar o perfil do servidor, apresentando aspectos a serem trabalhados no aperfeiçoamento e conscientização do servidor. Buscou-se registrar a maneira como o servidor executa as tarefas diárias no ambiente de trabalho, o conhecimento empregado no desempenho das atividades, e a forma de agir dentro da organização. Tudo isso relacionado aos pressupostos da segurança que estão estabelecidos pela organização, e dos princípios básicos da segurança da informação: disponibilidade, confidencialidade, integridade e autenticidade. As normas utilizadas para a formatação da pesquisa foram a NBR ISO/IEC 27002, a Política de Segurança da Informação da organização, as normas que disciplinam o acesso de pessoas as instalações da organização e a que regulamenta o uso dos serviços da internet e correio eletrônico da organização. Os temas tratados no instrumento referem-se aos principais elementos da segurança da informação, buscou-se identificar o conhecimento do servidor nos aspectos relacionados a seguir: a) Controle de acesso – as regras de controle de acesso e direitos para cada usuário ou grupos de usuários sejam expressas claramente na política de controle de acesso. Convém considerar os controles de acesso lógico e físico de forma conjunta. Convém fornecer aos usuários e provedores de serviços uma declaração nítida dos requisitos do negócio a serem atendidos pelos controles de acessos. b) Auditoria - o enfoque da organização para gerenciar a segurança da informação e a sua implementação (por exemplo, controles, objetivo dos controles, políticas, processos e procedimentos para a segurança da informação) seja 35 analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanças significativas relativas à implementação da segurança da informação. c) Recursos de TI - Convém que as redes sejam adequadamente gerenciadas e controladas, de forma a protegê-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito. d) Incidentes - Convêm que a conscientização, educação e treinamento nas atividades de segurança da informação sejam adequados e relevantes para os papéis, responsabilidades e habilidades da pessoa, e que incluam informações sobre conhecimento de ameaças, quem deve ser contatado para orientações sobre segurança da informação e os canais adequados para relatar os incidentes de segurança da informação. e) Divulgação - divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar à conscientização; f) Gestão – Avaliaram-se a atuação dos gestores da organização, aqueles que são responsáveis por gerir, responsável pela condução estratégica da organização, cabendo-lhe o estabelecimento de políticas e metas para o alcance dos objetivos da organização. g) Normas de segurança - Convém que gestores garantam que todos os procedimentos de segurança da informação dentro da sua área de responsabilidade estão sendo executados corretamente para atender à conformidade com as normas e políticas de segurança da informação. O instrumento consiste de dezoito questões, percorrendo um estudo da segurança da informação, onde as opções de múltipla escolha apontavam situações que ocorrem no dia a dia do servidor. As alternativas elaboradas para cada uma das dezoito opções buscaram explorar aspectos positivos ou negativos relacionados às áreas do processo de aprendizagem proposto na Taxonomia de Bloom. 36 Buscou-se identificar as diversas abordagens da segurança da informação com a aderência à Política de Segurança da Informação e Normas em conformidade com o planejamento estratégico da organização, a divulgação das normas aos servidores da organização, o uso do controle de acesso e sua aplicação dentro do ambiente organizacional, o uso dos recursos tecnológicos pelos servidores públicos, o papel dos gerentes e sua preocupação com a segurança da informação, a auditoria e sua aplicação no controle dos requisitos de segurança e o tratamento dos incidentes no ambiente organizacional, ou seja, como os servidores reagem à ocorrência de incidentes no contexto organizacional. Inicialmente, identificaram-se as normas como requisito básico para que os servidores pudessem conhecer a segurança da informação. Essas normas trazem as diretrizes que devem ser de conhecimento de todos na organização, independente do nível hierárquico. Todos devem ter conhecimento dos normativos que tratam da segurança da informação. Conhecer o seu papel dentro da organização e sua responsabilidade no tratamento das informações da organização. As questões apresentam correlações com a política de segurança da informação e normas complementares, tais como: controle de acesso à internet e uso do correio eletrônico. 3.2 Apresentação do Instrumento de Pesquisa O instrumento aplicado encontra-se no Anexo II, o qual se buscou identificar a percepção dos servidores frente aos temas da Segurança da Informação apresentados nas questões, a seguir detalhadas. Questão 1 – Políticas de segurança da informação na organização. Como instrumento principal na implementação da segurança, buscou-se identificar, na Questão 1, os fatores comportamentais e do conhecimento do servidor para a importância da Política de Segurança da Informação. 37 Questão 2 – A Política de Segurança da Informação está disponível para conhecimento por todos os servidores da organização. Buscou identificar se, na Questão 2, se os servidores conseguem identificar o local onde a Política está disponibilizada, bem como se ele tem conhecimento da existência da norma. Questão 3 – Comportamento dos gerentes da sua organização com relação às normas de segurança. Buscou-se identificar, na Questão 3, os fatores atitudinais e do conhecimento dos servidores comparados ao comportamento apresentado pelos gerentes da organização na obediência às normas de segurança. Questão 4 – Uso do Crachá de identificação por parte dos servidores da sua organização. Buscou-se identificar, na Questão 4, a percepção do servidor para a importância no uso do crachá de identificação. Questão 5 – Compartilhamento das senhas pessoais entre colegas no ambiente de trabalho. Buscou-se identificar, na Questão 5, qual o tratamento dado pelo servidor no uso e guarda da senha pessoal. Esta questão apresenta fatores marcantes da atitude do servidor para com a proteção da informação. Questão 6 – A violação das regras de segurança pode prejudicar a sua organização, no que concerne à imagem e prejuízos financeiros. 38 Na Questão 6, o fator comportamental é fundamental, na medida em que, explora-se a preocupação do servidor na preservação da imagem e prejuízos financeiros da organização. Questão 7 – Necessidade da realização de auditorias de segurança na sua organização. Buscou-se identificar, na Questão 7, a percepção do servidor quanto ao conhecimento da importância de realização de auditoria de segurança na organização. Questão 8 – Sua atitude quando um colega de sua organização está infringindo regras de segurança da informação. Questão 9 – Sua atitude quando um estranho está infringindo regras de segurança da informação na sua organização. Buscou-se identificar, nas Questões 8 e 9, o fator atitudinal e comportamental do servidor diante de infração às regras cometidas por colega da organização e pessoa estranha à organização. A segurança da informação faz parte da cultura da organização, tendo como termômetro o respeito às regras de segurança. Questão 10 – Punições severas em decorrência de infração de normas de segurança da informação. Buscou-se identificar, na Questão 10, o entendimento dos servidores frente à aplicação de punição. Para o servidor, qual a percepção do uso de tal instrumento e a sua aceitação quanto à eficácia do seu resultado. 39 Questão 11 – Uso dos recursos de internet e correio eletrônico na sua organização. Buscou-se extrair, na Questão 11, o conhecimento e atitude do servidor no uso correto da internet e correio eletrônico institucional. Questão 12 – Programas de divulgação e capacitação dos servidores sobre segurança da informação. Buscou-se identificar, na Questão 12, se o servidor tem conhecimento dos programas de divulgação e capacitação da organização, e qual à importância para os servidores e a organização. Questão 13 – Atuação dos responsáveis pela área de segurança da informação na sua organização. Buscou-se avaliar, na Questão 13, a percepção dos servidores com relação à atuação do gestor de segurança da organização. Questão 14 – Quanto ao uso dos recursos computacionais na organização, qual a sua observância sobre o livre acesso à rede lógica de dados da organização. Buscou-se registrar, na Questão 14, se o servidor tem conhecimento dos problemas existentes na organização, e qual sua percepção sobre o assunto. 40 Questão 15 – Mobilização da sua organização para que normas de segurança da informação sejam cumpridas. Questão 16 – Grau de importância que os servidores de sua organização atribuem ao cumprimento das normas de segurança da informação. Buscou-se identificar, nas Questões 15 e 16, o sentimento percebido pelo servidor, com relação à mobilização da organização para cumprimento das normas e o seu grau de comprometimento. Questão 17 – Tratamento e correção dos incidentes de segurança da informação ocorridos na sua organização. Buscou-se avaliar, na Questão 17, a percepção do servidor no que tange a resposta que a organização apresenta quando da ocorrência de um incidente de segurança. A maneira como cada servidor interpreta o comportamento organizacional, que está relacionado diretamente aos fatores do comportamento humano. Questão 18 – As normas de segurança da informação influenciam a sua maneira de trabalhar na sua organização. Buscou-se identificar, na Questão 18, os valores que delineiam a mudança de comportamento frente às imposições organizacionais. Como os fatores atitudinais e comportamentais norteiam as ações de cada servidor. 3.3 A Aplicação do Instrumento de Pesquisa O instrumento foi aplicado em uma organização da Administração Pública Federal, no período de 16 de outubro de 2008 a 24 de outubro de 2008, precedido do Termo de Consentimento Livre e Esclarecido, formalmente autorizado pela Coordenação-Geral de Recursos Humanos, responsável pela capacitação de 41 pessoas, correspondência dirigida a todos os servidores que faziam parte do universo a ser pesquisado, conforme Anexo I. A amostra de pesquisa à qual foi aplicado o instrumento foi restrita a quinze servidores da organização, sendo dez servidores que representam o universo dos principais líderes na linha de comando da organização e cinco servidores de nível operacional das linhas de negócio da organização, todos lotados na direção-central da organização, localizada em Brasília-DF. A aplicação do instrumento foi realizada percorrendo os três níveis hierárquicos da organização: Estratégico, Tático e Operacional. Foram contempladas as seguintes áreas da instituição: Recursos Humanos, Logística, Atendimento e Prestação de Serviços. O instrumento foi entregue diretamente pelo pesquisador, em forma impressa aos respondentes que responderam no próprio local de trabalho. Desta forma, os questionários foram respondidos prontamente, visto que todas as questões apresentadas eram objetivas e de fácil entendimento por parte dos entrevistados. 42 4. ANÁLISE DOS RESULTADOS Após o término da aplicação do instrumento, elaborou-se uma planilha apresentando em suas linhas a relação dos servidores de acordo com o nível hierárquico. As colunas apresentam as questões atribuindo-se os valores para cada item assinalado. As planilhas com os dados coletados encontram-se no Anexo III. O instrumento fundamenta-se na escala de valores de cada grupo de entrevistado, como ferramenta de coleta de dados relevante para a cultura organizacional predominante na organização em estudo e buscar configurar a importância dos valores organizacionais junto à gestão de pessoas. Os dados são analisados a partir de uma escala de pontuação que vai da caracterização total que cada grupo assinalou nos itens agrupados em cada resposta apresentada pelos servidores. A cada item assinalado como conduta positiva do servidor atribuiu-se 1 (um) ponto, aos demais itens que refletiram de forma negativa a percepção do servidor atribuiu-se 0 (zero). A partir dos resultados apresentados, podem-se inferir algumas análises, procurando responder às questões do presente instrumento. Como parte deste trabalho, pretende-se delinear a importância do perfil dos servidores e considera-se a percepção individual como uma grande medida, tanto se analisada pelo aspecto individual como pelos grupos entrevistados, um valor que se procurou acrescentar ao estudo. Com os resultados obtidos na aplicação dos questionários estruturados por níveis da organização: estratégico, tático e operacional, tornou-se possível conhecer as percepções dos servidores, mediante as pontuações mais freqüentes assinaladas, que esclarecem como os servidores têm praticado a segurança e que tipos de comportamento procuram seguir, diante da cultura organizacional. Os gráficos demonstram os resultados obtidos na organização em estudo, aqui analisados sob o ângulo da percepção dos servidores. Estão descritas as 43 pontuações por nível hierárquico, obedecendo aos critérios definidos: atitude, comportamento e conhecimento. 4.1 Dados Agrupados por Questão Questão 1 – Política de Segurança da Informação. Visa avaliar junto aos servidores o conhecimento da existência da política de segurança da informação da organização. Nota-se no Gráfico 1, que representa as respostas à Questão 1, que a maioria, ou seja, 12 (doze) servidores, que corresponde a 80% dos respondentes afirmou que a PSI é de suma importância para a sobrevivência da organização. Entretanto, percebe-se que os servidores do nível estratégico divergem no conhecimento da Política. Observa-se que um servidor respondeu que ninguém na organização segue a Política de Segurança da Informação. Outros dois servidores informaram que não existe Política na organização, sendo um servidor do nível operacional, e o mais preocupante, o outro servidor do nível estratégico da organização. Gráfico 1 – Resultado da Questão 1 - Política de Segurança da Informação na sua organização. 6 5 4 Número de respondentes 3 2 1 Operacional 0 a olític ia eéP rtânc ca o qu impo e b e e Políti a d s n ra seg u g xis te Nã o e de o ã uém e úte is N d n Nin g ã o in Ente ca s s P olíti Tático Estratégico 44 Questão 2 – A Política de Segurança da Informação está disponível para conhecimento por todos os servidores da organização. Observa-se no Gráfico 2, que representa as respostas à Questão 2, uma grande dispersão nas respostas apresentadas pelos servidores da organização em conhecer o local onde a Política está disponibilizada. Nota-se que 4 servidores, que corresponde a 26,6% dos respondentes indicaram que a Política não está disponível para os servidores. Outros 8 (oito) servidores, que correspondem a 53,3% dos respondentes não souberam informar se a PSI está disponível. Constata-se um baixo índice de conhecimento na disponibilidade da política de Segurança da Informação por parte dos servidores da organização. Somando-se a falta de conhecimento da disponibilidade da PSI, 2 servidores, que corresponde a 13,3% dos respondentes afirmaram que não existe PSI na organização. Finalmente, apenas um servidor afirmou que conhece o local onde a PSI está disponível. Este servidor do nível tático da organização soube informar corretamente o portal onde se encontra a política. Gráfico 2 – Resultado da Questão 2 – A Política de Segurança da Informação está disponível para conhecimento por todos os servidores da organização. 6 5 4 Números de 3 respondentes 2 1 Operacional Tático Estratégico 0 o co rd Co n co Dis rdo Nã b e in o sa ar for m te exis Nã o Polí tic a 45 Questão 3 – Comportamento dos gerentes da organização com relação às normas de segurança da informação. Observa-se no Gráfico 3, que representa as respostas à Questão 3, a constatação por parte dos servidores do comportamento dos gerentes da organização no cumprimento às normas de segurança. Nota-se que há significativa dispersão da percepção dos servidores distribuídos nos três níveis hierárquicos da organização. Percebe-se que 6 (seis) servidores, que corresponde a 40% dos respondentes distribuídos no diversos níveis da organização afirmaram que não possuem opinião formada sobre o assunto. Pode-se observar que 2 (dois) servidores, que correspondem a 13,3% dos respondentes afirmam que os gerentes não observam às normas de segurança. Nota-se que 6 (seis) servidores, que corresponde a 40% dos respondentes apontam para a obediência parcial dos gerentes frente às normas de segurança. Gráfico 3 – Resultado da Questão 3 - Comportamento dos gerentes da sua organização com relação às normas de segurança da informação. 6 5 4 Números de 3 respondentes 2 1 Operacional Tático Estratégico 0 Não sei informar Não obedecem às Obedecem normas parcialmente às normas Obedecem às normas em sua completude 46 Questão 4 – Uso do crachá de identificação por parte dos servidores da sua organização. Observa-se no Gráfico 4, que representa as respostas à Questão 4, que 8 (oito) servidores, que corresponde a 53,3% dos respondentes, identificados nos três níveis hierárquicos, assinalaram que concordam com a obrigatoriedade do uso do crachá de identificação por todos os servidores da organização, independentemente, do seu nível hierárquico. Percebe-se que 6 (seis) servidores, que corresponde a 40% dos respondentes informaram que o crachá é importante instrumento para a segurança da organização. Gráfico 4 – Resultado da Questão 4 – Uso do Crachá de identificação por parte dos servidores da sua organização. 6 5 4 Número de 3 respondentes 2 1 Operacional Tático Estratégico 0 o Nã tem in i op ão A m ai ch nte rta po ha Ac d o ári ss ece n es ri ve De do igi ex er s a Questão 5 – Compartilhamento das senhas pessoais entre colegas, no ambiente de trabalho. Nota-se no Gráfico 5, que representa as respostas à Questão 5, que 14 (catorze) servidores, que corresponde a 93,3% dos respondentes estão conscientes da importância do uso das senhas, evitando o compartilhamento com outros servidores. 47 Porém, 2 (dois) servidores, que corresponde a 13,3% dos respondentes afirmaram que compartilham a senha com outros servidores, sendo um servidor no nível estratégico e outro no nível operacional. Gráfico 5 – Resultado da Questão 5 - Compartilhamento das Senhas pessoais entre colegas, no ambiente de trabalho. 6 5 4 Número de 3 re sponde nte s 2 1 Operacional Tático 0 r rma ha info sen ha be ha u nça se n o a rtil ura os lha p ã N se g arti om p c a m o a Co Nã en t aum n ão a h Sen Estratégico Questão 6 – A violação das regras de segurança pode prejudicar a sua organização, no que concerne prejuízo financeiro e à imagem? Os servidores afirmaram, unanimemente, conforme se observa no Gráfico 6, que representa as respostas à Questão 6, que as violações das regras de segurança causam prejuízos graves à organização. Percebe-se que os servidores entendem, claramente, a importância da preservação da imagem institucional. Gráfico 6 – Resultado da Questão 6 – A violação às regras de segurança pode prejudicar a sua organização, no que concerne à imagem e prejuízos financeiros. 6 5 4 Número de 3 respondentes 2 1 Operacional Tático 0 e sou b Nã o m info r ar te exis Nã o ão re laç s juízo en os s p re rav e pe qu g z íz os Tra ju re p Tra z Estratégico 48 Questão 7 – Necessidade da realização de auditorias de segurança na sua organização. Nota-se no Gráfico 7, que representa as respostas à Questão 7, que 12 (doze) servidores, que corresponde a 80% dos respondentes afirmaram que as auditorias de segurança são importantes na verificação do cumprimento das regras de segurança. Gráfico 7 – Resultado da Questão 7 – Necessidade da realização de auditorias em segurança na sua organização. 6 5 4 Núme ro de 3 re sponde nte s 2 1 Operacional 0 e sou b Nã o Tático m info r ar s zad a re ali são o ã N Estratégico s sár nec e São ias são Nã o te s r ta n impo Questão 8 – A atitude do servidor quando se depara com colega da organização infringindo regras de segurança da informação. As respostas estiveram distribuídas em todas as opções apresentadas. Trata da atitude do servidor quando se depara com colega de repartição infringindo alguma regra de segurança da organização. Nota-se no Gráfico 8, que representa as respostas à Questão 8, que 6 (seis) servidores, que corresponde a 40% dos respondentes reagem ao problema interpelando o infrator a obedecer a norma vigente. Percebe-se que 4 (quatro) servidores, que corresponde a 26,6% dos respondentes informaram que quando da ocorrência do problema, comunicam o fato a área de segurança. Outros 4 (quatro) 49 servidores, que corresponde a 26,6% dos respondentes informaram que não sabem o que fazer. Observa-se que não há uniformização no procedimento por parte dos servidores. As atitudes são diferentes para o mesmo problema. Gráfico 8 – Resultado da Questão 8 – Sua atitude quando um colega de sua organização está infringindo regras de segurança da informação. 6 5 4 Núme ro de 3 re sponde nte s 2 1 Estratégico 0 et e r omp fa ze me c q ue anç a o ã N egur be o ga a s de S c ole a Nã o e la o ár erpe oà t ic n I n u Co m Tático Operacional Questão 9 – A atitude do servidor quando um estranho está infringindo regras de segurança da informação na sua organização. Trata-se da infração das regras de segurança cometida por pessoa estranha a organização. Constata-se no Gráfico 9, que representa as respostas à Questão 9, que 8 (oito) servidores, que corresponde a 53,3% dos respondentes comunicam a ocorrência a área de segurança da informação, 4 (quatro) servidores, que corresponde a 26,6% dos respondentes interpelam o infrator na violação as normas. Outros 4 (quatro) servidores, que corresponde a 26,6% dos respondentes responderam que não sabem o que fazer. 50 Gráfico 9 – Resultado da Questão 9 – Sua atitude quando um estranho está infringindo regras de segurança da informação na sua organização. 6 5 4 Número de 3 re sponde nte s 2 1 Estratégico Tático Operacional 0 Nã ec om te pe om o Nã sab q eo er fa z ue o nic mu Co S de r ea àá a nç ur a eg Int e la erp a nfr oi tor Questão 10 – Punições severas em decorrência de infração de normas de segurança da informação. Registrou-se a percepção dos servidores quanto à aplicação de punições e sua efetividade. Nota-se no Gráfico 10, que representa as respostas à Questão 10, que 10 (dez) servidores, que corresponde a 66,6% dos respondentes entendem que o cumprimento as normas dependem muito do que for estabelecido como punição. Nota-se, também, que 4 (quatro) servidores, que corresponde a 26,6% dos respondentes acreditam que as normas somente serão obedecidas se ocorrer punição dos infratores, independentemente do que for estabelecido como punição. Gráfico 10 – Resultado da Questão 10 – Punições severas em decorrência de infração de normas de segurança da informação. 6 5 4 Número de 3 respondentes 2 1 0 ar o s form ulta d r ma sei in o o res s no n iç ã Nã o ita n der à d o pu e r ate n com ac o o ã ã cid o N s ir le o e d b sta do to do e pun in end e ente De p S om Operacional Tático Estratégico 51 Questão 11 – Uso dos recursos de internet e correio eletrônico na organização. Observa-se no Gráfico 11, que representa as respostas à Questão 11, que, 13 (treze) servidores, que corresponde a 86,6% dos respondentes afirmaram que a organização deve disciplinar o uso dos recursos de internet e correio eletrônico, com regras que controlem os acessos e divulgação de conteúdos indevidos. Gráfico 11 – Resultado da Questão 11 - Uso dos recursos de Internet e Correio Eletrônico na sua organização. 6 5 4 Número de 3 respondentes 2 1 0 s s urs o cur so os s rec os re rs os ecu rs so do o u z s r ec u u od fa dos r o us o o n s ã u o N o dos linar o s ma u le ra o b disc ip pa ro m p a s a r a á lh r a h g p apa m re Nã o nte s s atr por ta exis te Re gra Nã o são im s ra Re g Operacional Tático Estratégico Questão 12 – Programas de divulgação e capacitação dos servidores sobre a segurança da informação. Nota-se, conforme apresenta o Gráfico 12, que representa as respostas à Questão 12, que 6 (seis) servidores, que corresponde a 40% dos respondentes opinaram que os programas de divulgação e capacitação existem, porém necessitam melhorar muito. Registrou-se também que 4 (quatro) servidores, que corresponde a 26,6% dos respondentes não conhecem os programas. Por fim, 4 (quatro) servidores, que corresponde a 26,6% dos respondentes informaram que os programas são fundamentais na conscientização dos servidores. 52 Gráfico 12 – Resultado da Questão 12 - Programa de divulgação e capacitação dos servidores em segurança da informação. 6 5 4 Número de 3 respondentes 2 1 0 al on ci ra pe o O co tic gi Tá raté st E em ço tar ão is t o he en aç ex uit on o ri tiz o rm ra oc en i Nã a ã c p s N or a n h l m e co me erv ara m os sp isa Nã ta i ec r n P me da fu n o Sã Questão 13 – Atuação dos responsáveis pela área de segurança da informação na sua organização. Embora se verifique no Gráfico 13, que representa as respostas à Questão 13, a presença de pontuações em duas respostas, percebe-se que 7 (sete) servidores, que corresponde a 46,6% dos respondentes não conhecem a existência dos responsáveis pela área de segurança da informação, e 5 (cinco) servidores, que corresponde a 33,3% dos respondentes informaram que conhecem os responsáveis pela segurança, contudo percebem que os responsáveis atuam somente quando da ocorrência de situações emergenciais. Gráfico 13 – Resultado da Questão 13 – Atuação dos responsáveis pela área de segurança da informação na sua organização. 6 5 4 Número de 3 respondentes 2 1 0 al on ci ra pe O ico co t gi Tá raté st E te tem es ça en is x is az an tem c ia f ic ur ee n s en eg ta ee s ei s s s n a er g o o d o m iv c at ria Nã m se ro ua lho õe op At aç me Sã itu ra s a s p na m te ue en trib m n o s Co m ua At 53 Questão 14 – Quanto ao uso dos recursos computacionais na organização, qual a sua observância sobre o livre acesso a rede lógica de dados da organização? Nota-se no Gráfico 14, que representa as respostas à Questão 14, os dados indicam que os servidores percebem o que representa o livre acesso aos recursos de rede existente na organização. Nota-se que 6 (seis) servidores, que corresponde a 40% dos respondentes afirmaram que o livre acesso a rede lógica atende parcialmente o estabelecido nas regras, 4 (quatro) servidores, que corresponde a 26,6% dos respondentes informaram que não atendem o estabelecido nas regras. Outros 3 (três) servidores, que corresponde a 20% dos respondentes não souberam informar do que trata o assunto. Gráfico 14 – Resultado da Questão 14 – Quanto ao uso dos recursos computacionais na organização, qual a sua observância sobre o livre acesso à rede lógica de dados da organização. 6 5 4 Número de 3 re sponde nte s 2 1 Operacional 0 Não sei informar Estratégico Não atendem às regras Atendem parcialmente às regras Atendem às regras em sua completude Questão 15 – Mobilização da sua organização para que as normas de segurança da informação sejam cumpridas. Ocorreu um equilíbrio por parte dos servidores em duas opções. Conforme se observa no Gráfico 15, que representa as respostas à Questão 15, 6 (seis) servidores, que corresponde a 40% dos respondentes entendem que a organização se mobiliza de forma organizada no cumprimento as normas de segurança e 6 (seis) servidores, que corresponde a 40% dos respondentes acreditam que não existe tal mobilização. 54 Gráfico 15 – Resultado da Questão 15 - Mobilização da sua organização para que às normas de segurança da informação sejam cumpridas. 6 5 4 Núme ro de 3 re sponde ntes 2 1 Operacional Tático Estratégico 0 sc De nh Co eço onh eço e o im a ch pro iva dut eria pod ser l ho me e se ço que nhe Co ndo nte e e ço nhe Co r or imp uito ja m tan te Questão 16 – Grau de importância que os servidores da organização atribuem ao cumprimento das normas de segurança da informação. Nota-se no Gráfico 16, que representa as respostas à Questão 16, que 6 (seis) servidores, que corresponde a 40% dos respondentes entendem que na sua organização poucos colegas obedecem às normas de segurança, somando-se 5 (cinco) servidores, que corresponde a 33,3% dos respondentes afirmaram que não conhecem as normas e 3 (três) servidores, que corresponde a 26,6% dos respondentes entendem que as normas de segurança não são relevantes. Gráfico 16 – Resultado da Questão 16 – Grau de importância que os servidores de sua organização atribuem ao cumprimento das normas de segurança da informação. 4 3 Número de 2 respondentes 1 Operacional Tático 0 a ntes s ra nç elev a seg u or ma tud e m irr às n s de mple a A cha rm a co ecem no u d s e s b à em os o ec em rmas Pouc con h às no Nã o dem Ate n Estratégico 55 Questão 17 – Tratamento e correção dos incidentes de segurança da informação ocorridos na organização. Verifica-se no Gráfico 17, que representa as respostas à Questão 17, que 7 (sete) servidores, que corresponde a 46,6% dos respondentes não sabem prestar qualquer informação sobre o tratamento e correção de incidentes na organização. Outros 6 (seis) servidores, que corresponde a 26,6% dos respondentes afirmam que existe registro dos incidentes ocorridos na organização, porém na têm nenhuma informação sobre as providências adotadas no tratamento do incidente. Gráfico 17 – Resultado da Questão 17 - Tratamento e correção dos incidentes de segurança da informação ocorridos na sua organização. 6 5 4 Número de 3 respondentes 2 1 0 Nenhuma Há registro, mas Não tenho Nunca somos providência é sem quaisquer informados de adotada comunicação da informações nada providência sobre fatos deste Operacional Tático Estratégico tipo Questão 18 – As normas de segurança da informação influenciam a sua maneira de trabalhar na sua organização? Esses dados demonstram que os servidores dos diversos setores vêem cada situação de forma distinta e aprendem a criar a cultura organizacional. Observa-se no Gráfico 18, que representa as respostas à Questão 18, 9 (nove) servidores, que corresponde a 60% dos respondentes afirmaram que as normas de segurança influenciam a sua conduta no desempenho de suas atividades laborais. Outros 3 (três) servidores, que corresponde a 20% dos respondentes não sabem informar como as normas podem influenciar a maneira de trabalhar na organização. 56 Gráfico 18 – Resultado da Questão 18 - As normas de segurança da informação influenciam a sua maneira de trabalhar na sua organização. 5 4 3 Número de respondentes 2 1 Operacional 0 m ncia lhar infl ue tr aba nciar Não a a de influe rm miss fo de m na o o pre p o c o u co m m o o p to c o i d em se tribu m. A Não Con encia Influ Tático Estratégico Os dados aqui apresentados são discutidos no próximo capítulo. Os dados estão agrupados inicialmente por questões, mostrando a relação entre as respostas. Em seguida é mostrada a relação entre os fatores considerados neste trabalho. 57 5. DISCUSSÃO DOS RESULTADOS Este Capítulo apresenta várias discussões sobre os resultados obtidos, organizados conforme os 16 temas: Política de Segurança da Informação, Comportamento dos Gerentes da Organização, Uso do Crachá de Identificação, Compartilhamento da Senha entre Colegas, Violação das Regras que Impactam em Prejuízos à Organização, Realização de Auditoria SI, Reação dos Servidores à Infração Cometida por Colegas da Organização, Reação dos Servidores à Infração Cometida por Pessoas Estranhas à Organização, Uso dos Recursos Tecnológicos, Programas de Divulgação e Capacitação em SI, Atuação dos Responsáveis pela Área de SI, Livre Acesso à Rede Lógica de Dados da Organização, Grau de Importância para o Cumprimento das Normas de SI, Tratamento e Correção de Incidentes em SI e Influência das Normas no Comportamento dos Servidores. 5.1 Política de Segurança da Informação. As Questões 01 e 02 abordam o conhecimento dos servidores com relação às normas da organização. Pode-se observar que o principal instrumento normativo da organização é pouco conhecido e praticado, apesar de ter sido institucionalizado há 5 (cinco) anos e se encontrar disponível na intranet, que é um local de fácil acesso por todos os servidores da organização. Entende-se que os responsáveis pela segurança da informação devem elaborar programas e campanhas de divulgação das normas para sensibilizar os servidores da organização. Essa percepção demonstra que os dirigentes e os servidores necessitam conhecer a Política vigente, pois se trata de norma relevante, à qual apresenta as diretrizes para a segurança da informação da organização. Pode-se observar que dentro de um estilo de gestão que prioriza a segurança da informação, torna-se obrigatório que os gestores e demais servidores conheçam e apliquem o que determina a política de segurança da informação da organização. 58 Constata-se que a organização necessita, urgentemente, de uma campanha de divulgação da política, pois se trata do principal documento da organização que normatiza a conduta que os servidores devem seguir com relação à segurança da informação. 5.2 Comportamento dos Gerentes da Organização. No resultado apresentado na Questão 3 houve grande dispersão na percepção dos servidores à respeito do comportamento dos gerentes da organização para com o cumprimento às normas de segurança. As alternativas mais assinaladas foram: a falta de informação do servidor sobre o assunto e a obediência parcial dos gerentes às normas. Nota-se que os gerentes apresentam baixa influência sobre os servidores, no que tange à preocupação com a segurança da informação. Esta percepção remete à necessidade de mudança de comportamento dos gerentes junto aos servidores. Este comportamento deve ser encarado como um fator crítico de sucesso em segurança da informação para a organização. Existe a necessidade de mostrar aos servidores a maneira como os gerentes colaboram no atendimento às normas de segurança, faz-se necessária a ampla divulgação dessas ações para que se tenha visibilidade da atuação dos gerentes da organização. 5.3 Uso do Crachá de Identificação. No resultado apresentado na Questão 4 entende-se que a entrada de estranhos a organização deve ser severamente controlada, com o objetivo de preservar e garantir a segurança ao ambiente organizacional. A maioria dos servidores registrou que o uso do crachá deve ser exigido pela organização. Constatou-se ainda que, os servidores acham importante que todos na organização tenham crachá de identificação. Percebe-se que os servidores concordam com o uso do crachá como meio de garantir o controle de acesso a organização. 59 O crachá é um instrumento que deve ser utilizado por todos da organização, que tem como finalidade limitar e controlar a circulação e o acesso de todas as pessoas dentro da organização. 5.4 Compartilhamento da Senha entre Colegas. Percebe-se na Questão 5 que a maioria dos servidores não compartilha senha com colega de trabalho. Porém registraram-se casos em que servidores compartilham senha com os colegas. A organização deve conscientizar os servidores para os cuidados no uso da senha. O responsável pela segurança da informação da organização tem a responsabilidade de promover e garantir a existência do processo de conscientização dos servidores em SI. Para tanto, os servidores devem ser orientados das suas responsabilidades pela guarda e uso da senha. Trata-se de assunto relevante no acesso aos recursos tecnológicos da organização, que merece atenção especial por parte dos servidores na utilização da senha. 5.5 Violação das Regras que Impactam em Prejuízos à Organização. A Questão 6 registrou unanimidade de entendimento por parte dos servidores. Todos os servidores afirmaram que a violação às regras traz graves prejuízos financeiros e a imagem da organização. Nota-se que os servidores percebem que devem agir com responsabilidade no atendimento ao estabelecido nas normas de segurança da informação. Este comportamento demonstra a importância com a segurança da informação e com a preservação da imagem institucional. 5.6 Realização de Auditoria em SI. Na Questão 7, a maioria dos servidores responderam que as auditorias são necessárias para garantir o cumprimento das normas e regulamentos em segurança da informação. 60 Observa-se que o comportamento dos servidores reflete uma posição bem definida sobre a importância da auditoria. Os servidores entendem que tal instrumento deve ser utilizado pela empresa para legitimar o uso das normas por parte dos servidores da organização. 5.7 Reação dos Servidores à Infração Cometida por Colegas da Organização. Constata-se nos resultados apresentados na Questão 8, grande dispersão de opinião por parte dos servidores. A maioria registrou que interpela os colegas de trabalho quando estes cometem infração às normas de segurança da informação. Registrou-se ainda que, os servidores comunicam à área de segurança qualquer infração cometida por colegas de trabalho. Percebe-se que a atitude da maioria dos servidores tem significado positivo, pois demonstra uma conduta favorável a segurança da informação e exprime importantes valores do comportamento humano. Estes valores enfatizados nos fatores comportamentais são aceitos como princípios que orientam os servidores na organização e fornecem indícios sobre a forma como os servidores agem em favor da organização. O comportamento dos servidores voltado para o comprometimento com a missão da organização apresenta forte identidade corporativa. 5.8 Reação dos Servidores à Infração Cometida por Pessoas Estranhas à Organização. Na resposta apresentada na Questão 9, registrou-se grande dispersão de opinião por parte dos servidores. Porém nesta questão, a maioria registrou que comunica à área de segurança a infração cometida por pessoas estranhas à organização. Como constatado na questão anterior, percebe-se que a atitude da maioria dos servidores tem significado positivo, pois demonstra uma conduta favorável a segurança da informação e exprime importantes valores do comportamento humano. 61 5.9 Uso dos Recursos Tecnológicos. O resultado obtido na Questão 11 apresenta um cenário bem definido na organização, pois a maioria dos servidores entende que apesar da norma restringir o uso dos recursos de internet e correio eletrônico, a restrição contribui para a segurança dentro do ambiente organizacional. Atitude que demonstra um importante discernimento por parte dos servidores. 5.10 Programas de Divulgação e Capacitação em SI. Percebem-se no resultado apresentado na Questão 12, que devem ser investidos esforços para a melhoria do programa de divulgação e capacitação dos servidores da organização em segurança da informação, visto que essas ações afetam diretamente o grau de conscientização dos servidores. Os resultados mostram que a maioria dos servidores entende que os programas precisam melhorar muito, o que remete a conclusão de que os programas não estão atendendo com satisfação as expectativas dos servidores. Registrou-se ainda que, os servidores entendem que os programas são fundamentais para a organização, pois permite que a organização crie um ambiente favorável a cultura da segurança da informação. Para tanto, deve-se respeitar a cultura organizacional e a maneira de ser de cada servidor. A organização deve promover diversas ações, tais como: palestras presenciais e à distância, dinâmicas de grupo, treinamento via e-learning, dentre outras atividades. 5.11 Atuação dos Responsáveis pela Área de SI. Observa-se na resposta da Questão 13, que as respostas ficaram polarizadas nas alternativas que apontam o desconhecimento por parte dos responsáveis pela segurança da informação da organização e da atuação dos responsáveis somente nos casos emergenciais. Percebe-se a necessidade, urgente, da organização promover ações que modifiquem está situação crítica na percepção dos servidores. Deve-se aproveitar a 62 oportunidade dos programas de divulgação e capacitação para realizar o marketing da área de segurança. As atividades desenvolvidas pela área de segurança devem ser amplamente divulgadas, com vistas a reverter este cenário desfavorável aos responsáveis pela segurança da informação. 5.12 Livre Acesso à Rede Lógica de Dados da Organização. Percebe-se nos resultados apresentados na Questão 14, a grande dispersão de entendimento por parte dos servidores, com relação ao problema apresentado na questão. O livre acesso à rede é uma grave ameaça à organização, bem como as pessoas que fazem uso deste recurso. Nota-se a necessidade, urgente, de implementação de medidas de controle de acesso lógico, bem como sensibilizar e conscientizar os servidores para a importância do uso correto da rede de dados da organização. 5.13 Mobilização da Sua Organização no Cumprimento das Normas de SI. Na Questão 15 observa-se que os servidores têm percepções divididas entre: achar que poderia ser melhor a mobilização da organização e desconhecer qualquer movimento organizacional que colabore para o cumprimento às normas de segurança da informação. Entende-se que a cultura da organização é muito baixa quando se trata de exigir que as normas de segurança da informação estejam arraigadas em todos os setores. Percebe-se que as ações adotadas pela organização não apresentam um bom desempenho no cumprimento das normas de segurança da informação pelos servidores, o que afeta sobremaneira o desempenho organizacional. 5.14 Grau de importância para o Cumprimento das Normas de SI. Contata-se na Questão 16, dispersão de opinião dos servidores na escolha das alternativas. A maioria registrou que poucos servidores obedecem às normas de segurança, seguido da alternativa que registra o desconhecimento às normas de 63 segurança. Por fim opinaram informando que não acham relevante o atendimento às normas. Os fatores apresentados nesta questão remetem a uma constatação negativa, pois às normas e regulamentos são instrumentos que balizam a conduta dos servidores da organização. Diante das constatações, percebe-se que quando os servidores avaliam seus pares, na importância do cumprimento das normas, o cenário é negativo, pois não conseguem identificar aspectos positivo que revelem o engajamento de todos os servidores no atendimento às normas. 5.15 Tratamento e Correção dos Incidentes em SI. Na questão 17 a percepção dos servidores foi registrada, em sua grande maioria, nas alternativas: a organização não comunica às providências que são adotadas no tratamento e correção dos incidentes de segurança, e o servidor não sabe informar qualquer percepção sobre o tratamento e correção dos incidentes. Pertinente observar, pela freqüência de percepção apresentada pelos servidores, à organização precisa divulgar constantemente aos servidores a ocorrência dos incidentes dentro da organização e as providências que foram adotadas para resolução dos incidentes na medida em que eles ocorram dentro do ambiente organizacional. É importante observar que a segurança faz parte da cultura da organização quando é percebida por todos os servidores. 5.16 Influência das Normas no Comportamento dos Servidores. As respostas apresentadas a questão 18, a maioria dos servidores opinaram que as normas de segurança influenciam muito a maneira de trabalhar na organização. Esta percepção dos servidores remete a avaliação do comportamento humano. A resposta revelou que os servidores constatam que às pessoas conhecem as normas de segurança e ao mesmo tempo o quanto as normas são importantes 64 para elas. Percebe-se que a maioria dos servidores não acredita na observância as normas, o que demonstra o baixo grau de cultura de segurança existente na organização. A pesquisa mostrou-se eficaz, na medida em que se propôs a retratar o comportamento do servidor no cumprimento às normas de segurança, a atitude demonstrada diante das adversidades a que estão sujeitos e o conhecimento tácito (existentes nos indivíduos da organização) que contribuem fortemente para melhoria da cultura da segurança da informação. Os resultados obtidos, na opinião do pesquisador, foram satisfatoriamente fieis à realidade da segurança da informação na organização pesquisada. No geral, a pesquisa demonstrou que existem servidores preparados para desenvolver com responsabilidade as ações de segurança dentro da organização. Entretanto, ficou demonstrado que a maioria dos servidores necessita ser conscientizado, bem como capacitados adequadamente no conhecimento às normas de segurança da informação. Quanto à organização, a pesquisa apresentou um cenário organizacional que merece um profundo estudo, no sentido de aprimorar o relacionamento dos servidores dos níveis estratégico, tático e operacional, que possa contribuir para o sucesso da segurança da informação. 65 6 CONCLUSÕES E TRABALHOS FUTUROS Este capítulo avalia o alcance dos objetivos da pesquisa, a eficácia e precisão do instrumento de análise do comportamento dos servidores em segurança da informação. 6.1 Pontos Fortes e Fracos da Pesquisa Como instrumento experimental, observou-se que a ferramenta pode ser aperfeiçoada, na medida em que novas abordagens devem ser inseridas no estudo, visando obter mais informações sobre o perfil dos servidores, resultando em melhor qualidade das informações a serem analisadas. O instrumento desenvolvido apresentou um cenário que revela como os servidores entendem de segurança da informação. Demonstrou a percepção dos servidores da organização, no que tange à atitude, o conhecimento e o comportamento quando se deparam com situações críticas e ameaças no ambiente de trabalho. Alguns fatores como a falta de informação, bem como entendimento do que representa a segurança da informação para a organização são pontos importantes que ficaram bastante evidentes, conforme se constata na avaliação dos resultados apresentados. 6.2 O que ficou em aberto Nota-se que tendo em mente um aprofundamento futuro da pesquisa, com uma nova coleta de dados com o viés de traçar um perfil com as características marcantes no comportamento dos servidores, deve-se aplicar o instrumento em uma amostra maior, dentro da própria organização estudada, bem como em outras organizações públicas, para que possa avaliar se o instrumento poderia ser aplicado em todas as unidades da Administração Pública Federal. No caso específico da organização avaliada, percebe-se que a amostra necessita ser ampliada, se possível deve ser aplicada nas demais unidades de atendimento da organização, onde a estrutura organizacional diferencia-se da presente na unidade central, apresentando importantes aspectos tais como: cultura 66 regional, instalações físicas diferenciadas, e servidores com percepções diferentes sobre a segurança da informação, que devem traduzir numa visão mais refinada da apresentada neste trabalho. 6.3 Conclusões Sem a pretensão de que tivesse um fim em si mesma, a presente pesquisa foi elaborada na tentativa de auxiliar na compreensão da estrutura de valores organizacionais e sua importância para a segurança da informação no serviço público federal. No âmbito específico deste instrumento, procurou-se identificar os valores organizacionais a partir da percepção dos servidores e a importância dos valores da atitude, comportamento e do conhecimento para a conscientização dos servidores na segurança da informação. Uma vez verificada a percepção dos servidores dos diferentes níveis da organização, buscou-se retratar situações do seu cotidiano que proporcionem maior proximidade entre a gestão e os valores esperados da organização pelos servidores. Dessa forma, as conclusões aqui formuladas são uma proposta para as organizações no âmbito da Administração Pública Federal. No tocante aos resultados obtidos nas entrevistas foram analisados apenas alguns dos aspectos da organização em estudo. Considerando os objetivos do instrumento e análise dos dados quantitativos realizados no quarto capítulo, formulam-se as conclusões que se seguem. 1. O instrumento de análise do comportamento desenvolvido mostrou-se eficiente, na medida em que, conseguiu abordar diversas questões em segurança da informação, as quais os servidores das organizações enfrentam diariamente no ambiente organizacional. 2. Os resultados obtidos com a pesquisa demonstraram a percepção do servidor diante do cenário da segurança da informação. Os fatores comportamentais do conhecimento, comportamento e atitude, revelaram 67 valores positivos e negativos na conduta do servidor no cumprimento às normas e demais desafios dentro da organização. 3. Outros resultados que se mostraram importantes, foram a grande quantidade de informações geradas pela ferramenta, onde apresentaram vulnerabilidades que devem ser tratadas de imediato pela organização, visando garantir a segurança da informação no ambiente organizacional. 6.4 Trabalhos Futuros Considerando que os aspectos abordados nesta pesquisa podem ser ampliados e representam apenas uma primeira tentativa de se iniciar um aprofundamento dessas questões e de outras, que certamente contribuirão para suscitar novos conhecimentos concernentes ao tema e à organização pesquisada, sugere-se como trabalhos futuros: 1. Expandir a aplicação do instrumento em outras unidades da organização, bem como em outros órgãos da Administração Pública Federal; 2. Reavaliar o instrumento de análise do comportamento dos servidores, agregando novas abordagens com relação aos fatores que estão atrelados ao comportamento humano diante da segurança da informação; 3. Agregar ao instrumento informações sobre as organizações públicas, buscando conhecer a cultura organizacional, comportamental e o clima organizacional que envolve cada instituição. 4. Inserir no instrumento a visão apresentada pelas pesquisas que o mercado tem produzido frequentemente e as melhores práticas adotadas pelas organizações públicas e privadas em segurança da informação. REFERÊNCIAS BIBLIOGRÁFICAS ABNT. NBR ISO/IEC 27002/2005: Tecnologia da Informação – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. BLOOM, B.S., ENGELHART, M.D., FURST, E.J., HILL, W.H. & KRATHWOHL, D.R. Taxonomia de objetivos educacionais: domínio cognitivo. Porto Alegre: Editora Globo, 1972. BRASIL. Ministério do Planejamento Orçamento e Gestão. Disponível em www.mpog.gov.br, Acesso em 10 mar. 2009b. BRASIL. Câmara Brasileira de Comércio Eletrônico. Disponível em www.camarae.net, acesso em 10 mar. 2009a. FONTES, Edison. Praticando a Segurança da Informação. Rio de Janeiro: Brasport, 2008. FONTES, Edison. Vivendo a Segurança da Informação. Rio de Janeiro: Sicurezza, 2000. CHIAVENATO, Idalberto, Administração de Recursos Humanos, São Paulo: Segunda Edição, Editora Atlas, 1981. H. A. Kruger, W. D. Kearney: Measuring Information Security Awareness - A West Africa Gold Mining Environment Case. ISSA 2005: 1-10. 2005. LEACH, John. Improving user security behaviour. Computer & security, vol. 22, Elsevier Ltd, 2003. KOVACICH, Gerald L. Information Systems Security Officer´s Guide. EUA: HB, 1998. MANDARINI, Marcos Antonio. Segurança Corporativa Estratégica. São Paulo: Manole, 2005. MITNICK, Kevin D, WILLIAM L. Simon, A Arte de Enganar. São Paulo: Pearson Education do Brasil, 2003. MODULO Security Solutions S.A. 9ª Pesquisa Nacional de Segurança da Informação. Rio de Janeiro, 2007. Disponível em: http://www.modulo.com.br/temp/9aPesquisaNacional_Modulo.zip . acesso em: 02 fev. 2009. MODULO Security Solutions S.A. 10ª Pesquisa Nacional de Segurança da Informação. Rio de Janeiro, 2007. Disponível em: http://www.modulo.com.br/temp/10aPesquisaNacional_Modulo.zip . acesso em: 02 fev. 2009. 69 RIBEIRO, Mário Sérgio, A Governança Corporativa e a Conscientização na Segurança da Informação da Organização. 2007. Disponível em www.ibgc.com.br, acesso em 10 mar. 2009c. TAMAYO, Álvaro. Valores organizacionais: sua relação com satisfação no trabalho, cidadania organizacional e comprometimento afetivo. Revista de Administração, 33, 1998. 70 ANEXOS 71 ANEXO I TERMO DE CONSENTIMENTO LIVRE E ESCLARECIDO A administração e os empregados da organização estão sendo convidados a participar da pesquisa intitulada – Avaliação Crítica do Comportamento em Segurança da Informação e Comunicações dos Servidores da Administração Pública Federal – APF, do Curso de Gestão da Segurança da Informação e Comunicações da Universidade de Brasília – UnB, abordando aspectos da atitude, conhecimento e comportamento dos pesquisados, reservando-se as seguintes condições: a) Em relação aos aspectos éticos de pesquisa, os servidores serão informados sobre os objetivos e convidados a participar, sendo assegurado o caráter anônimo das pessoas pesquisadas e que suas identidades serão protegidas de terceiros não autorizados. b) Para participar da pesquisa os servidores serão procurados pelo pesquisador, mediante autorização do responsável pela área de Recursos Humanos, durante o período de 16 de outubro de 2008 a 24 de outubro de 2008, em horários previamente estabelecidos. c) O pesquisador poderá ser contatado pelo telefone xxxx-xxxx, para esclarecimentos de dúvidas sobre a pesquisa, conforme consta no padrão Ético e vigente no Brasil. d) A participação de todos os servidores nesta pesquisa é voluntária, ou seja, as pessoas têm a liberdade de recusar participar do estudo, ou se aceitar a participar, retirar seu consentimento a qualquer momento. e) Estão garantidas todas as informações que as pessoas queiram – antes, durante e depois da pesquisa. f) Pela participação na pesquisa, as pessoas não receberão qualquer valor em dinheiro. g) Todas as despesas necessárias para realização da pesquisa são de responsabilidade do pesquisador. h) As informações relacionadas ao estudo poderão ser inspecionadas pelo orientador da pesquisa e pelas autoridades legais. i) Quando os resultados forem publicados, não serão mencionados nomes de servidores ou de pessoas da administração do Instituto. Informamos que a pesquisa tem caráter institucional e tem como proposta, subsidiar a organização nas estratégias de sensibilização dos servidores para com a necessidade do atendimento as normas de segurança da informação e comunicações do Instituto. Eu, ,na qualidade de responsável pela área de Recursos Humanos da organização, li o texto acima, compreendi a natureza e objetivo da pesquisa, e concordo que os servidores do Instituto possam participar voluntariamente nesta pesquisa. Renato do Carmo das Neves Alves Coordenador de Recursos Humanos Brasília-DF, 16 de outubro de 2008 Pesquisador 72 ANEXO II 73 74 ANEXO III PLANILHA COM OS RESULTADOS DA PESQUISA Questão 1 Entrevistado Questão 2 Questão 3 1 1 1 Estratégico2 1 1 Estratégico3 1 1 1 Estratégico4 1 1 1 Estratégico5 1 Gerente1 1 1 Gerente2 1 1 Gerente3 1 Gerente4 1 1 1 Gerente5 1 1 1 Questão 6 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 Operacional3 1 1 Operacional4 1 1 Operacional5 1 Questão 8 1 1 1 1 1 1 1 1 1 1 1 1 1 1 Questão 9 1 1 1 1 1 Questão 7 1 1 1 Operacional2 1 1 1 Operacional1 Estratégico1 Estratégico2 Estratégico3 Estratégico4 Estratégico5 Gerente1 Gerente2 Gerente3 Gerente4 Gerente5 Operacional1 Operacional2 Operacional3 Operacional4 Operacional5 Questão 5 a b c d e a b c D a b c d a b c d a b c d a b c d Estratégico1 Entrevistado Questão 4 Questão 10 1 1 1 1 Questão 11 Questão 12 a b c d a b c d A b c d a b c d a b c d e a b c d e 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 75 Questão 13 Questão 14 Questão 15 Questão 16 Questão 17 Questão 18 Entrevistado a b c d e a b c D a b c d a b c d a b c d a b c d Estratégico1 Estratégico2 Estratégico3 Estratégico4 Estratégico5 Gerente1 Gerente2 Gerente3 Gerente4 Gerente5 Operacional1 Operacional2 Operacional3 Operacional4 Operacional5 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1