Universidade de Brasília
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Curso de Especialização em Gestão de Segurança da
Informação e Comunicações
RENATO DO CARMO DAS NEVES ALVES
UM MODELO DE ANÁLISE DO COMPORTAMENTO DE
SEGURANÇA DE SERVIDORES DA ADMINISTRAÇÃO
PÚBLICA FEDERAL BRASILEIRA
Orientador
Prof. Dr. Jorge Henrique Cabral Fernandes
Brasília, Junho de 2009
II
RENATO DO CARMO DAS NEVES ALVES
UM MODELO DE ANÁLISE DO COMPORTAMENTO DE
SEGURANÇA DE SERVIDORES DA ADMINISTRAÇÃO
PÚBLICA FEDERAL BRASILEIRA
Monografia apresentada ao Departamento
de Ciência da Computação da Universidade
de Brasília como requisito parcial para a
obtenção de título de Especialista em
Ciência da Computação: Gestão da
Segurança da Informação e Comunicações.
Orientador: Prof. Dr. Jorge Henrique Cabral
Fernandes
BRASÍLIA, Junho de 2009
III
UM MODELO DE ANÁLISE DO COMPORTAMENTO DE
SEGURANÇA DE SERVIDORES DA ADMINISTRAÇÃO
PÚBLICA FEDERAL BRASILEIRA
RENATO DO CARMO DAS NEVES ALVES
Monografia de Especialização submetida e aprovada pela Universidade de Brasília,
como parte do requisito parcial para obtenção do certificado de Especialista em
Gestão de Segurança da Informação e Comunicações.
Prof. Dr. Jorge Henrique Cabral Fernandes
Orientador
Universidade de Brasília
Prof. Msc. João José da Costa Gondim
Universidade de Brasília
Prof. Msc. Gilberto de Oliveira Netto
Serviço Federal de Processamento de Dados - SERPRO
Brasília, Junho de 2009
IV
Dedico
este trabalho aos meus filhos,
pelo amor, alegria e inspiração que sempre me deram.
Dedico à minha esposa
pelos momentos de compreensão e tolerância.
Dedico aos meus pais
por sempre terem me dado muito amor, carinho e compreensão.
Dedico aos meus irmãos e amigos
pelo incentivo na busca de uma qualificação melhor para minha vida profissional.
V
Agradeço
Primeiramente a Deus por permitir conhecê-lo e reconhecer que sem ele de forma alguma
eu poderia estar aqui, e por ter iluminado meu caminho e me dar tudo que sempre precisei.
Aos meus parentes, pela força, serenidade e amor. Agradeço à minha esposa e filhos pela
paciência em entender que as horas que estive envolvido neste trabalho foi sempre
pensando em conquistar um futuro melhor para todos nós.
VI
RESUMO
Este trabalho propõe um modelo de análise do comportamento de segurança dos
servidores públicos da Administração Pública Federal, estabelecendo uma relação
entre o nível de conhecimento e conscientização dos servidores das organizações
públicas, frente às normas e práticas de segurança da informação no ambiente de
trabalho, devendo mensurar o grau de comprometimento de cada servidor para com
os ativos da organização e a sua preocupação com a segurança da informação.
Pretende-se demonstrar que para o sucesso na implantação de um modelo de
análise do comportamento dos servidores públicos, os responsáveis pela
organização pública, bem como pela segurança da informação na organização terão
como responsabilidade desenvolver, melhorar e construir mecanismos que possam
reforçar a importância de se ter um programa de conscientização para todos os
servidores da organização.
Palavras-Chave: Comportamento de Segurança, Servidores Públicos, Administração
Pública Federal, Práticas de Segurança da Informação.
VII
ABSTRACT
This work proposes a model of behavior analysis of the safety of public servants of
Federal Public Administration in establishing a relationship between the level of
knowledge and awareness of the servers of the public, in front of the standards and
practices of information security in the workplace. Should provide the degree of
involvement of each server to the assets of the organization and its concerns about
security of information. It is shown that for the successful implementation of a model
for analyzing the behavior of public servants, responsible for organizing the public
and the information security responsibility in the organization will develop, improve
and build mechanisms that can reinforce the importance of has a program of
awareness for all servers in the organization.
Keywords: Behavior Security, Public Servants, Federal Public Administration,
Practice of Information Security.
VIII
LISTA DE FIGURAS
Figura 1 – Principais Medidas de Segurança Adotadas em Organizações........... 13
Figura 2 – Principal Obstáculo para a Implementação da Segurança.................. 14
Figura 3 – Principais Ameaças à Segurança da Informação................................ 15
Figura 4 – Grau de Complexidade dos Problemas a Serem Enfrentados........... 16
Figura 5 – Fatores que Influenciam o Comportamento dos Usuários em
Segurança da Informação................................................................... 20
IX
LISTA DE GRÁFICOS
Gráfico 1 – Resultado da Questão 1 - Política de Segurança da Informação na sua
Organização............................................................................................................. 40
Gráfico 2 – Resultado da Questão 2 – A Política de Segurança da Informação está
Disponível
para
Conhecimento
por
todos
os
Servidores
da
Organização.............................................................................................................. 41
Gráfico 3 – Resultado da Questão 3 - Comportamento dos Gerentes da sua
Organização com Relação às Normas de Segurança da Informação..................... 42
Gráfico 4 – Resultado da Questão 4 – Uso do Crachá de Identificação por parte dos
Servidores da sua Organização................................................................................ 37
Gráfico 5 – Resultado da Questão 5 - Compartilhamento de Senhas Pessoais entre
Colegas no Ambiente de Trabalho............................................................................ 38
Gráfico 6 – Resultado da Questão 6 – A Violação as Regras de Segurança pode
Prejudicar a sua Organização, no que Concerne à Imagem e Prejuízos
Financeiros................................................................................................................ 38
Gráfico 7 – Resultado da Questão 7 – Necessidade da Realização de Auditorias de
Segurança na sua Organização.................................................................................39
Gráfico 8 – Resultado da Questão 8 – Sua Atitude Quando um Colega de sua
Organização
está
Infringindo
as
Regras
de
Segurança
da
Informação................................................................................................................. 40
Gráfico 9 – Resultado da Questão 9 – Sua Atitude Quando um Estranho está
Infringindo
as
Regras
de
Segurança
da
Informação
em
sua
Organização........................................................................................................... 40
Gráfico 10 – Resultado da Questão 10 – Punições Severas em Decorrência de
Infração de Normas de Segurança da Informação.................................................... 41
Gráfico 11 – Resultado da Questão 11 - Uso dos Recursos da Internet e Correio
Eletrônico na sua organização .................................................................................. 42
Gráfico 12 – Resultado da Questão 12 - Programas de Divulgação e Capacitação
dos Servidores sobre Segurança da Informação....................................................... 43
Gráfico 13 – Resultado da Questão 13 - Atuação dos Responsáveis pela Área de
Segurança da Informação na sua Organização ........................................................ 44
Gráfico 14 – Resultado da Questão 14 – Quanto ao Uso dos Recursos
Computacionais na Organização, Qual a sua Observância sobre o Livre Acesso a
Rede Lógica de Dados da Organização................................................................... 45
Gráfico 15 – Resultado da Questão 15 - Mobilização da sua Organização para que
às Normas de Segurança sejam Cumpridas............................................................. 46
Gráfico 16 – Resultado da Questão 16 – Grau de Importância que os Servidores de
Sua Organização Atribuem ao Cumprimento das Normas de Segurança da
Informação................................................................................................................ 46
X
Gráfico 17 – Resultado da Questão 17 - Tratamento e Correção dos Incidentes de
Segurança da Informação Ocorridos na sua Organização....................................... 47
Gráfico 18 – Resultado da Questão 18 - As Normas de Segurança da Informação
Influenciam a sua Maneira de Trabalhar na sua Organização.................................. 48
XI
LISTA DE TABELAS
Tabela 1 – Níveis de Aprendizagem do Domínio Cognitivo.................................. 22
Tabela 2 – Níveis de Aprendizagem do Domínio Afetivo...................................... 23
XII
SUMÁRIO
1. INTRODUÇÃO ............................................................................................................................... 14
1.1 Identificação do Problema ...................................................................................................... 17
1.2 Objetivos...................................................................................................................................... 20
1.2.1 Objetivo Geral ........................................................................................................................... 20
1.2.2 Objetivos Específicos............................................................................................................... 20
1.3 Justificativa ................................................................................................................................. 21
2. REVISÃO DE LITERATURA E FUNDAMENTOS ................................................................... 24
2.1 Área de Desenvolvimento Educacional............................................................................... 24
2.2 Gestão da Segurança da Informação................................................................................... 26
2.2.1 Objetivo da Gestão da Segurança da Informação .............................................................. 27
2.2.2 Política de Segurança.............................................................................................................. 28
2.2.3 Segurança Física e Lógica...................................................................................................... 29
2.2.4 Segurança em Pessoas .......................................................................................................... 30
2.3 A Importância da Conscientização para a Segurança da Informação ........................ 30
2.3.1 Conscientização e a Segurança da Informação.................................................................. 30
2.3.2 A Cultura Organizacional ........................................................................................................ 31
2.3.3 Os Atores no Processo da Conscientização........................................................................ 31
3. INSTRUMENTO E PROCEDIMENTO DE COLETA DE DADOS ......................................... 33
3.1 O Instrumento............................................................................................................................. 34
3.3 A Aplicação do Instrumento de Pesquisa........................................................................... 40
4. ANÁLISE DOS RESULTADOS .................................................................................................. 42
4.1 Dados Agrupados por Questão ............................................................................................. 43
5. DISCUSSÃO DOS RESULTADOS ............................................................................................ 57
5.1 Política de Segurança da Informação. ................................................................................. 57
5.2 Comportamento dos Gerentes da Organização................................................................ 58
XIII
5.3 Uso do Crachá de Identificação............................................................................................. 58
5.4 Compartilhamento da Senha entre Colegas. ..................................................................... 59
5.5 Violação das Regras que Impactam em Prejuízos à Organização. .............................. 59
5.6 Realização de Auditoria em SI. .............................................................................................. 59
5.7 Reação dos Servidores à Infração Cometida por Colegas da Organização.............. 60
5.8 Reação dos Servidores à Infração Cometida por Pessoas Estranhas à
Organização....................................................................................................................................... 60
5.9 Uso dos Recursos Tecnológicos. ......................................................................................... 61
5.10 Programas de Divulgação e Capacitação em SI. ............................................................ 61
5.11 Atuação dos Responsáveis pela Área de SI. ................................................................... 61
5.12 Livre Acesso à Rede Lógica de Dados da Organização. .............................................. 62
5.13 Mobilização da Sua Organização no Cumprimento das Normas de SI. ................... 62
5.14 Grau de Importância para o Cumprimento das Normas de SI. ................................... 62
5.15 Tratamento e Correção dos Incidentes em SI. ................................................................ 63
5.16 Influência das Normas no Comportamento dos Servidores. ...................................... 63
6 CONCLUSÕES E TRABALHOS FUTUROS ............................................................................. 65
6.1 Pontos Fortes e Fracos da Pesquisa ................................................................................... 65
6.2 O que ficou em aberto.............................................................................................................. 65
6.3 Conclusões ................................................................................................................................. 66
6.4 Trabalhos Futuros ..................................................................................................................... 67
REFERÊNCIAS BIBLIOGRÁFICAS............................................................................................... 68
ANEXOS.............................................................................................................................................. 70
ANEXO I ................................................................................................................................................. 71
ANEXO II ................................................................................................................................................ 72
ANEXO III ........................................................................................................................................ ......74
1. INTRODUÇÃO
Na década de 70, existia nas grandes empresas públicas e privadas
ambientes preparados para abrigar máquinas que ocupavam andares inteiros
necessitando de profissionais na área da computação altamente especializados para
operarem toda essa estrutura tecnológica.
As organizações investiam em equipamentos de informática, buscando
despontar no cenário nacional.
Todavia, nas últimas décadas, a tecnologia da informação sofreu grandes
avanços que refletiram na forma como as organizações estavam estruturadas,
ambientes centralizados e com poucos servidores fazendo uso da tecnologia da
informação.
Segundo levantamento da Comissão de Coordenação das Atividades de
Processamento Eletrônico – CAPRE do Ministério do Planejamento realizado em
1977, os gastos das empresas brasileiras com processamento de dados quase que
duplicaram em 1976, subindo de 6,2 bilhões de cruzeiros em 1975 para 10,4 bilhões
de cruzeiros. A maior parte das despesas (58,5%) era com pessoal: 5,6 bilhões de
cruzeiros. O Brasil tinha 3.302 computadores "minis", 1.308 "pequenos", 338
"médios", 99 "grandes" e 75 "muito grandes" (BRASIL, 2009b).
Nos anos 90, vieram os primeiros computadores pessoais que alavancaram
a disseminação da informação em sistemas e serviços, tais como: planilhas
eletrônicas,
mala
direta
e
mensagens
eletrônicas.
O
barateamento
dos
computadores, desenvolvimento de sistemas de controle de gestão administrativa e
de recursos humanos, e o livre acesso à internet foram alguns fatores que
impulsionaram o uso dos computadores.
No Brasil, uma pesquisa parcial com 8 mil empresas de serviços, comércio e
indústria, realizada pela Câmara Brasileira de Comércio Eletrônico, no ano de 1986,
constatou que 46,34% da Média, Pequena e Micro Empresas afirmam possuir mais
de 10 computadores, 83,6% têm computadores em rede, 85,8% utilizam banda larga
e 91,3% usufruem dos recursos da internet.
15
As organizações perceberam que diante da evolução desenfreada da
computação, as informações que antes estavam armazenadas de forma
centralizada, agora estavam distribuídas nas diversas áreas de negócios da
organização.
Desta forma, as organizações identificaram a importância em preservar o
seu maior patrimônio que é a informação, um ativo de grande valor que necessita
estar protegida contra o uso não-autorizado, divulgação, modificação, dano ou perda
por agentes internos ou externos.
As organizações devem atentar para a importância da informação buscando
alinhar as normas e padrões existentes.
Segundo a norma NBR ISO/IEC 27002 a informação é um ativo que, como
qualquer outro ativo importante para os negócios, tem um valor para a organização e
conseqüentemente necessita ser adequadamente protegida. A segurança da
informação protege a informação de diversos tipos de ameaças para garantir a
continuidade dos negócios, minimizar danos aos negócios e maximizar o retorno dos
investimentos e as oportunidades de negócios.
Para tanto, as organizações têm despendido recursos para proteger a sua
informação, implementando medidas de segurança com fortes investimentos em
softwares de antivírus, instalações de firewall, implementações de Políticas de
Segurança da Informação.
Figura 1 - Principais Medidas de Segurança Adotadas em Organizações. Fonte: Modulo,
2003.
16
Observa-se na pesquisa Modulo, descrita na Figura 1, realizada em 2003,
algumas organizações entendem que os esforços para proteger as informações
dentro do ambiente corporativo devem ser apenas por meio da Tecnologia da
Informação.
No entanto, as pessoas, que são responsáveis pelo manuseio das
informações da organização, são o elo mais fraco desta corrente, e precisam ser
conscientizadas para a importância da segurança da informação.
Esta engrenagem possui um componente de suma importância para fazê-la
funcionar, pois se os funcionários não estiverem comprometidos com as normas de
segurança da informação da organização, a mesma estará fadada a sofrer sérios
prejuízos no seu funcionamento.
Fontes (2008) ressalta que a pessoa humana é o elemento por onde a
segurança da informação acontece na organização. O usuário é a última milha para
alcançarmos o nível de proteção adequado. As organizações que não consideram
este fato poderão até desenvolver técnicas e processos, porém não serão efetivas
na proteção.
Este trabalho realiza um estudo comparativo, analisando de forma
quantitativa, os aspectos relacionados ao conhecimento, comportamento e a atitude
dos servidores de uma determinada organização pública, mediante a caracterização
de um cenário organizacional frente à segurança da informação.
A organização objeto deste estudo possui uma das maiores estruturas
físicas e de servidores no âmbito da administração pública federal.
A organização conta com um corpo funcional de aproximadamente 40 mil
servidores distribuídos em cerca de 1.400 pontos de atendimento nas diversas
cidades do país (BRASIL,2009C).
Com todo este contingente de servidores distribuídos nas diversas Unidades
da organização, observa-se que existe um grande desafio para a segurança da
informação. Como fazer com que todos os servidores estejam engajados no
atendimento aos pressupostos da segurança. Como avaliar o comportamento dos
servidores diante das ameaças a que estão sujeitos.
17
Diante dessa problemática, buscou-se traçar uma estratégia para identificar
os elementos que deverão ser tratados, por meio de um modelo que possibilite a
prospecção
de
informação
acerca
do
comportamento
dos
servidores
da
organização, com vistas à elaboração de um plano que possa implementar ações
que sensibilizem os servidores para a segurança da informação.
Observa-se na Figura 2 que o principal obstáculo para o sucesso na
implementação da segurança da informação reside na equipe de servidores.
Figura 2 - Principal Obstáculo para a Implementação da Segurança. Fonte:
Modulo, 2003.
1.1 Identificação do Problema
Analisando algumas informações sobre as ameaças a que as organizações
estão sujeitas, observa-se que o desenvolvimento de pessoas em segurança da
informação é necessário, principalmente, com a apresentação da política de
segurança da informação e as normas específicas de segurança da organização,
para que todos os servidores obedeçam ao estabelecido nas regras da organização.
Na pesquisa realizada pela empresa Modulo no 1º semestre de 2003, foi
apresentado o resultado das principais ameaças conforme mostra a Figura 3.
18
Figura 3 - Principais Ameaças à Segurança da Informação. Fonte: Modulo, 20031.
Quando perguntado sobre qual das ameaças listadas era a mais crítica aos
negócios de sua empresa, os resultados foram Vírus 66%, 53% apontaram
funcionários insatisfeitos, 51% constataram a divulgação de senhas, 49%
informaram que os acessos indevidos aconteceram na organização, 47% apontaram
o vazamento de informações e 41% sofreram fraudes, erros e acidentes cometidos
pelos funcionários.
Analisando as respostas apresentadas identificou-se que todas estão
relacionadas
diretamente
com
a
atitude,
o
conhecimento
às
normas,
e
principalmente, o comportamento dos funcionários dentro da organização.
A pesquisa aponta também diversos problemas que as organizações
enfrentam na execução de suas políticas de segurança da informação, conforme
demonstrado na Figura 4.
1
O total de citações é superior a 100% devido à questão aceitar múltiplas respostas.
19
Figura 4 - Grau de Complexidade dos Problemas a Serem Enfrentados. Fonte: Modulo,
2003.
Falta de consciência dos executivos (23%), dificuldade em demonstrar o
retorno dos investimentos com a segurança da informação (18%) e custo de
implementação (16%) foram considerados os três principais obstáculos para
executar um programa de segurança nas empresas.
Analisando este cenário, faz-se necessário registrar a conduta dos
servidores públicos federais e seu envolvimento com a segurança da informação,
buscando identificar o comprometimento e percepção para com a segurança por
meio do conhecimento das normas, a sua atitude em relação às ameaças e
desastres a que estão sujeitos, além do comportamento no ambiente organizacional.
Nesse
registro
deve-se
estabelecer
um
modelo
de
análise
do
comportamento dos servidores, pois qualquer tentativa de construir um modelo
eficiente de segurança esbarrará nas atitudes, conhecimento e comportamento dos
servidores, responsáveis pelo tratamento das informações.
Os servidores de uma organização, no âmbito de suas responsabilidades
profissionais devem desempenhar suas atribuições com atitudes responsáveis e em
conformidade com as normas organizacionais. Percebe-se que esta é uma questão
tão importante que a tecnologia não consegue resolver.
Identificou-se que a organização pública em estudo possui política de
segurança da informação formalizada, assessoria técnica em segurança da
informação com servidor oficialmente designado por seu dirigente, bem como
20
normas específicas que tratam do uso da internet e do correio eletrônico
institucional.
1.2 Objetivos
1.2.1 Objetivo Geral
Os Órgãos da Administração Pública Federal possuem cultura organizacional
relativamente baixa, quando o assunto é a segurança da informação. O objetivo
desse trabalho é desenvolver um modelo de avaliação do comportamento dos
servidores públicos federais, que possibilite identificar o grau de conscientização dos
servidores. Busca-se traçar o perfil de cada servidor da organização apresentando o
seu comportamento, atitude e o conhecimento, frente às questões que remetem a
uma reflexão sobre a importância da segurança da informação.
Estes elementos servirão de objeto de estudo e análise da área de segurança
que deverá desenvolver ações que visem aumentar o grau de comprometimento dos
servidores em segurança da informação, possibilitando enfrentar os riscos e
ameaças que possam surgir no ambiente organizacional.
1.2.2 Objetivos Específicos
São objetivos específicos do trabalho:
a) Desenvolvimento de ferramenta que permita apresentar o grau de
comprometimento dos servidores de determinada organização pública
para com a segurança da informação.
b) Aplicação de piloto da ferramenta de análise do comportamento dos
servidores identificando fatores positivos e negativos com relação ao
comportamento, atitude e conhecimento da segurança da informação
junto a um Órgão da Administração Pública Federal.
c) Avaliação e análise dos resultados obtidos através da ferramenta
experimental em amostra piloto aplicado a uma organização buscando
identificar às tendências e percepções dos servidores no tocante as
normas, riscos, ameaças e adversidades ao ambiente organizacional.
21
1.3 Justificativa
A segurança da informação é de vital importância para a sobrevivência e
cumprimento da missão institucional. A organização em estudo tem sobre seu
domínio cadastro com informações de cidadãos, aos quais ela tem responsabilidade
e obrigação de manter sigilo dos dados. Devem-se preservar as informações
pertencentes aos cidadãos, que não podem, em hipótese alguma, serem violadas,
sob pena da organização ser responsabilizada em juízo e condenada a pagar aos
cidadãos verbas indenizatórias.
Para tanto, faz-se importante que todos os servidores da organização sejam
fiéis depositários das informações dos cidadãos, mesmo diante da imensa
quantidade de acesso que são efetuados pelos servidores das diversas unidades de
atendimentos instaladas pelo Brasil.
A partir deste cenário, como fazer com que 40 mil servidores sejam os
parceiros na implementação da segurança da informação, como sensibilizar este
contingente de servidores públicos, para que possam estar conscientes da
importância do seu papel na organização.
Diante do desafio de identificar os componentes que necessitavam ser
priorizado no aprimoramento do comportamento dos servidores da organização,
buscou-se elaborar um modelo que registrasse a conduta dos servidores diante das
ameaças a que estão, constantemente, submetidos.
Observou-se que existe pouca literatura tratando de método de aferição do
comportamento dos servidores em segurança da informação, apresentando casos
práticos de aplicação de ferramenta para medir os fatores que influenciam o
comportamento em segurança.
Kruger e Kearney (2005) desenvolveram um trabalho a partir da percepção
dos funcionários de uma companhia mineradora na África do Sul, AngloGold
Ashanti, onde aplicaram ferramenta que buscava colher informações a respeito do
comportamento dos funcionários da companhia. Os resultados do trabalho foram
analisados julgando a visão dos funcionários diante de aspectos relacionados ao
ambiente organizacional.
22
Os fatores foram divididos em dois grupos: o primeiro tratou da
compreensão dos funcionários e o que a empresa espera deles, e o segundo grupo
avaliou os fatores que influenciam o comportamento dos funcionários, ou seja, como
o comportamento de seus pares contribui nas atividades desenvolvidas pelos
funcionários.
Outra visão interessante sobre o comportamento foi apresentada por John
Leach (2003), onde afirma que todas as organizações modernas têm que confiar no
comportamento sensato dos seus servidores quando estão realizando determinadas
tarefas que exigem conhecimento sobre o tema em discussão.
Leach afirma, ainda, que muitas organizações suspeitam que as suas
ameaças internas de segurança sejam mais prementes do que as externas. Porém o
que se constata é que o comportamento de um funcionário pode comprometer a
segurança da organização.
Leach descreve os seis fatores do comportamento que influenciam
diretamente os funcionários, são eles: o comportamento demonstrado pelos colegas
e a direção da organização, as normas e procedimentos devem estar acessíveis a
todos da organização, o senso comum dos funcionários e a competência para tomar
decisões, os valores, os princípios e a conduta pessoal do funcionário. A empresa
deve encorajar os funcionários no cumprimento das normas de segurança,
trabalhando a atitude pessoal de cada um e apresentando claramente as regras a
que estão sujeitos. As normas e o contrato de trabalho devem apresentar o que será
aceitável pela empresa, bem como o que será exigido do funcionário.
23
Figura 5 - Fatores que Influenciam o Comportamento dos Usuários em Segurança da
Informação. Fonte: Leach, 2003.
Na Figura 5 os fatores que influenciam o comportamento são apresentados
em comparação aos eventos intervenientes à empresa. Leach reforça que entre
outros fatores, as empresas devem possuir recursos, conhecimentos, habilidades e
competências, mas devem, sobretudo, ter pessoas que incorporem essas
características.
Os funcionários nas empresas devem manter uma conduta baseada nos
seus valores pessoais, além de habilidades humanas para poderem lidar com a as
ameaças a que estão sujeitos.
Diante desse ponto de vista, entende-se que a organização deve
implementar um programa de segurança da informação direcionado a conscientizar
os funcionários sobre a responsabilidade de cada um para a garantia da segurança
organizacional.
24
2. REVISÃO DE LITERATURA E FUNDAMENTOS
Este trabalho introduz duas áreas conceituais: Área de Desenvolvimento
Educacional e a Gestão da Segurança da Informação com temas específicos sobre
os fatores do conhecimento, comportamento e atitude, bem como sobre a
governança da segurança da informação.
2.1 Área de Desenvolvimento Educacional.
A informação é de vital importância para a nossa sociedade, onde é cada
vez mais valorizado o conhecimento. Mas mesmo assim, ainda encontramos vários
problemas no momento de manuseá-la.
A segurança da informação tornou-se um tema importante para as
organizações. Um ambiente seguro depende da conscientização dos servidores, que
precisam aperfeiçoar a sua atitude, o comportamento e o conhecimento através de
programas educacionais.
Nesse sentido, buscou-se conhecer elementos de estudo de aprendizagem
que pudessem contribuir para o fortalecimento dos componentes básicos dos fatores
comportamentais em segurança da informação.
Com o intuito de estabelecer uma hierarquia no processo de aprendizado
considerou-se como base do trabalho o uso da Taxonomia de BLOOM (1972).
BLOOM classificou o aprendizado hierarquicamente em três áreas: Cognitiva,
Afetiva e a Psicomotora.
A área cognitiva apresenta uma seqüência que vai do mais simples
(conhecimento) ao mais complexo (avaliação); onde cada nível está relacionado
diretamente com o anterior. As capacidades e conhecimentos adquiridos através de
um
processo
de
aprendizagem
são
descritos
nos
níveis:
conhecimento,
compreensão, aplicação, análise, síntese e avaliação.
Tomando-se por referência esta taxonomia pode-se entender que as
avaliações variam em grau de dificuldade e profundidade com relação aos níveis.
Cabendo ao gestor estabelecer os objetivos que serão desenvolvidos junto ao
servidor.
25
Os objetivos de aprendizagem considerados na Área Afetiva estão ligados
às idéias como comportamento, atitude, responsabilidade, respeito, emoção e
valores.
O processo de aprendizagem não será apenas um processo cognitivo, pois
as idéias relacionadas à área afetiva aparecem ligadas a experiências e vivências
que esclarecem os aspectos do avanço na aprendizagem.
Este estudo parte da suposição de que a taxonomia de Bloom, utilizada para
classificar os objetivos dos processos educacionais, permite explorar todo o
potencial do servidor nos fatores: conhecimento, atitude e comportamento em
segurança da informação.
Analisando os fatores referentes às relações do modelo da taxonomia, podese inferir melhor a aplicação de um processo de recrutamento, seleção, treinamento
e desenvolvimento dos servidores da organização em segurança.
A seguir apresenta-se a classificação do processo de aprendizado, segundo
Bloom.
A área cognitiva apresenta 6 níveis, conforme a Tabela 1.
Níveis
Objetivos
Capacidades a Adquirir
Conhecimento
Lembrar informações sobre: Definir, descrever, memorizar,
fatos, dados, teorias etc.
reconhecer etc.
Compreensão
Entender a informação ou fato, Classificar, converter, discutir,
absorver o significado, utilizá- inferir, interpretar etc.
la em outras situações
Aplicação
Aplicar o conhecimento em Aplicar, construir, escolher,
situações concretas
resolver, preparar, usar etc.
Análise
Identificar as partes e suas Analisar, calcular, comparar,
inter-relações
discriminar,
distinguir,
questionar, esquematizar etc.
Síntese
Combinar
partes
não Construir, criar, desenvolver,
organizadas para formar um estruturar, organizar, planejar,
todo
projetar etc.
Avaliação
Julgar
o
conhecimento
valor
do Criticar, comparar, escolher,
estimar,
explicar,
julgar,
selecionar etc.
Tabela 1: Níveis de aprendizagem no domínio cognitivo.
26
A área afetiva apresenta outros 5 níveis, que são: recepção, resposta,
avaliação, organização e a internalização, conforme Tabela 2.
Níveis
Objetivos
Capacidades a Adquirir
Recepção
Dar-se conta de
predisposição para
atenção seletiva
fatos, Dar
nome,
descrever,
ouvir, destacar, escolher, identificar,
localizar, etc
Resposta
Envolver-se
na
aprendizagem, responder a
estímulos, apresentar idéias,
questionar idéias e conceitos
Avaliação
Atribuir valores a fenômenos, Demonstrar,
diferenciar,
objetos e comportamentos.
dividir, explicar, justificar etc.
Organização
Atribuir prioridades a valores, Comparar,
defender,
resolver
conflitos
entre formular, identificar, modificar,
valores.
ordenar, sintetizar etc.
Internalização
Adotar
um
sistema
de Desempenhar,
agir,
valores, praticar esse sistema questionar, modificar, propor,
resolver, revisar, verificar etc.
Adaptar-se,
ajudar,
apresentar,
desempenhar,
discutir, estudar, responder,
selecionar etc.
Tabela 2: Níveis de aprendizagem no domínio afetivo.
A área psicomotora apresenta os níveis: percepção, posicionamento,
execução acompanhada, mecanização e completo domínio de movimentos, que não
serão detalhados aqui por não serem relacionados ao tema em estudo.
2.2 Gestão da Segurança da Informação
A gestão da segurança da informação necessita de um planejamento
adequado ao negócio da organização. Deve ser elaborado um plano estratégico de
segurança que atenda a toda a organização. O plano deve identificar o cenário da
organização aonde a segurança da informação deverá atuar.
Segundo Fontes (2000) não existe solução certa ou errada. Existe solução
mais adequada a cada organização. Independentemente de como você rotule o seu
planejamento de segurança, não deixe de fazê-lo. Como qualquer outro
planejamento, ele é o rumo a ser seguido com os objetivos definidos.
27
A gestão da segurança deve abarcar todos os aspectos do trabalho diário: a
avaliação do ambiente organizacional, a valoração do risco e a análise de incidentes
de segurança.
Todos os processos de gestão da segurança se baseiem no plano
estratégico da organização. O plano apresenta os princípios e diretrizes que
norteiam a organização no cumprimento de sua Missão.
2.2.1 Objetivo da Gestão da Segurança da Informação
O principal objetivo da Gestão da Segurança da Informação é garantir o
máximo de segurança a organização, controlando os riscos para que eles não
afetem o bom funcionamento da organização. A organização deve definir o grau de
segurança que o seu negócio requer.
A gestão da segurança da informação abrange um conjunto de estratégias,
normas, procedimentos e controles para implementar um correto gerenciamento dos
riscos.
Neste momento, a organização define a política, responsabilidades,
recursos, processos que serão tratados pela segurança corporativa.
Mitnick (2003) considera a segurança corporativa uma questão de equilíbrio.
Pouca ou nenhuma segurança deixa sua empresa vulnerável, mas uma ênfase
exagerada atrapalha a realização dos negócios e inibe o crescimento e a
prosperidade da empresa. O desafio é atingir um equilíbrio entre a segurança e a
produtividade.
O cenário ideal seria implementar os controles definidos pela segurança
corporativa sem comprometer os processos organizacionais.
O próximo passo seria executar os procedimentos para a efetiva execução
da segurança da informação.
Para Kovacich (1998) devem-se definir alguns passos da gestão de
segurança, tais como: montar o planejamento estratégico, determinar a organização
28
do departamento de segurança, determinar as funções do departamento de
segurança e determinar o fluxo dos processos de segurança da organização.
Segundo Mandarini (2005) a segurança corporativa é estratégica quando
seus
resultados
agregam
grande
diferencial
de
segurança
ao
processo
organizacional como um todo, evitam que agregue insegurança ao referido processo
e desenvolvem uma profícua mentalidade de segurança no ambiente corporativo. É
estratégica quando medidas e procedimentos de segurança de seus segmentos são
integrados, quando as ações de segurança dentro da empresa são coordenadas e
direcionadas pelo setor de segurança.
2.2.2 Política de Segurança
A política de segurança da informação é um conjunto de diretrizes, normas e
procedimentos
estabelecidos
pela
organização
e
que
tem como objetivo
conscientizar e orientar os servidores, entre eles diretores e demais servidores,
inclusive os colaboradores, tais como: terceirizados, fornecedores, estagiários,
parceiros e clientes, sobre o uso seguro das instalações e dos recursos existentes
na organização.
A política deve ser de fácil compreensão e aplicabilidade, estar alinhada com
os processos estratégicos da organização e ser revisada periodicamente. O
documento deve apresentar as regras que deverão ser seguidas e também prever o
que será considerado inaceitável. A política também deve conter as penalidades às
quais estarão sujeitos aqueles que não a cumprirem, bem como indicar os
responsáveis pelo cumprimento da mesma.
Observa-se na pesquisa 9ª pesquisa Modulo 2003, que as organizações
estão desenvolvendo suas políticas de segurança e adotando as boas práticas
recomendadas:
a) 68% afirmaram possuir uma Política de Segurança da Informação
formalizada, um aumento considerável se comparar ao índice obtido no ano
passado (55%).
29
b) Ainda em relação à pesquisa realizada em 2003, observa-se um aumento
expressivo no percentual de empresas que possuem uma política de
segurança atualizada. Este índice subiu de 39% para 50% das empresas.
c) O cenário positivo em relação ao aumento de Política de Segurança da
informação atualizada e a queda do item falta de consciência dos usuários
como principal obstáculo pode ser explicado pelo aumento de campanhas
internas de divulgação da política de segurança.
2.2.3 Segurança Física e Lógica
A segurança física está relacionada com os meios materiais empregados
para prover a segurança das áreas, instalações, dependências e ambientes.
Os elementos utilizados como meio de segurança física, tais como: serviço
de vigilância, os controles de acesso e também os meios de segurança eletrônicos,
como câmeras, portas com detectores de metal e crachás são considerados
instrumentos de segurança física, pois atuam de forma ostensiva na dissimulação.
Considera-se também como segurança física às ações ligadas diretamente
com o controle e cuidado no trato com os documentos da organização, tais como:
cuidados no manuseio e descarte de documentos sigilosos, mesas limpas e
ambientes com restrição de acesso as informações sensíveis .
A segurança lógica está relacionada aos recursos de tecnologia da
informação utilizados pelas organizações. Grande parte deles ligados as permissões
de acesso aos sistemas de informação, bem como registros das ações nas
transações executadas pelos usuários dos sistemas.
Os controles visam assegurar que apenas servidores autorizados possam
acessar os recursos tecnológicos da organização, impedindo que não ultrapassem o
limite estabelecido como necessário para o desempenho de suas atividades.
Os controles também são implementados para garantir a segurança em toda
infra-estrutura de rede da organização mediante o uso de software que permita
restringir acessos indevidos.
30
2.2.4 Segurança em Pessoas
A Gestão da Segurança da Informação em pessoas é fundamental na
segurança da informação, pois é considerado o ponto mais fraco da segurança. As
organizações são desenhadas e administradas de acordo com as teorias que
prevalecem, filosofia, cultura e valores que delineiam as maneiras pelas quais as
organizações e seus recursos serão administrados.
Para Chiavenato (1981) os especialistas em recursos humanos têm duas
alternativas para estudar as pessoas em uma organização. As pessoas como
pessoas, dotadas de características próprias de personalidade e de individualidade,
aspirações, valores, atitudes, motivações e objetivos individuais e as pessoas como
recursos dotados de habilidades, capacidades, competências, conhecimentos
necessários para a tarefa organizacional.
Conforme encontrado na norma NBR ISO/IEC 27002 o fator humano tem
que ser tratado sempre com muito cuidado, para que os esforços possam reduzir o
risco de erro humano, fraude ou uso indevido das instalações da organização. Cita a
Norma que convém que as responsabilidades de segurança sejam atribuídas na
fase de recrutamento, incluídas em contratos e monitoradas durante a vigência de
cada contrato de trabalho.
2.3 A Importância da Conscientização para a Segurança da Informação
2.3.1 Conscientização e a Segurança da Informação
O objetivo de toda organização é atingir segurança máxima, porém a
segurança da informação é associada a uma corrente onde o elo mais fraco desta
corrente quase sempre é o servidor.
Conseguir mobilizar os servidores de uma organização para a importância
da segurança da informação requer fundamentalmente trabalhar a consciência das
pessoas para o valor da informação.
Para Ribeiro (2007) as pessoas que trabalham nas organizações devem
conhecer que as informações têm um ciclo de vida, que tem valor, que tem a ver
31
com a continuidade e crescimento da organização que lhe dá trabalho e o devido
sustento.
A NBR ISO/IEC 27002 apresenta a preocupação com o fortalecimento do elo
mais fraco, através da conscientização. Conscientizar é criar uma consciência. É
conquistar os servidores para que possam colaborar de forma espontânea e
compromissada com a segurança da informação nas organizações.
2.3.2 A Cultura Organizacional
Elemento fundamental em qualquer organização, a cultura organizacional
revela o quanto às pessoas estão preparadas e envolvidas para lidar com os
problemas relacionados à segurança da informação.
Os empregados têm a percepção clara dos valores que predominam na
organização e esses valores influenciam o seu comportamento diário dentro da
organização.
Para Tamayo (1998) todo empregado é capaz de identificar valores
predominantes na organização onde ele está inserido e até identificar diferenças nos
valores entre as diversas áreas da organização ou entre a sua organização e outras.
É importante entender toda a organização, respeitar a cultura organizacional
adotando medidas em doses homeopáticas, adequando as ações ao momento da
organização.
2.3.3 Os Atores no Processo da Conscientização
No teatro da segurança da informação os atores principais que fazem a
diferença são os servidores. Do Presidente ao usuário de menor hierarquia, todos
devem participar do processo de conscientização. As ações devem ser bem
planejadas e formatadas para que o resultado ocorra na medida certa.
Os servidores e as organizações estão engajados em uma complexa
interação. As organizações não existem simplesmente para ter servidores. Os
servidores são meios, recursos para a organização alcançar seus objetivos.
32
Ao tratar do problema da variável humana na gestão de pessoas, é difícil
separar servidores das organizações, e vice versa. Não existem fronteiras muito
definidas entre o que é uma organização, bem como não se pode exatamente traçar
limites de influência de cada servidor em uma organização.
33
3. INSTRUMENTO E PROCEDIMENTO DE COLETA DE DADOS
O presente instrumento avalia a percepção dos servidores nos diversos
fatores ligados à segurança da informação, registrando a sua conduta no ambiente
organizacional e à maneira como se comporta diante de situações que abordam a
segurança da informação.
O instrumento apoiou-se nos componentes que cada pessoa carrega na sua
personalidade, tais como: a atitude, o conhecimento e o comportamento. A atitude
trata da percepção emocional das pessoas, o comportamento consiste na maneira
como o indivíduo reage de forma intuitiva e o conhecimento indica a sua capacidade
de responder aos desafios.
Para desenvolver o instrumento tomou-se como base a NBR ISO/IEC 27002,
adequou-se seus conceitos aos fatores do comportamento humano, os aspectos da
atitude e comportamento. A partir desta análise elaborou-se as questões, tentando
extrair informações que pudessem retratar a forma como os servidores enxergam a
sua organização, bem como identificar o comportamento do servidor na sua
organização, registrar ao máximo o que o leva a adotar determinada atitude na sua
organização.
Os assuntos tratados estão relacionados com a existência ou não de normas
de segurança da informação, a atuação do responsável pela segurança da
informação, área formalmente existente dentro da estrutura da organização, bem
como se o servidor tem conhecimento do papel que deve desempenhar dentro da
organização em conformidade com as normas de segurança da informação.
No desenvolvimento deste trabalho, delineou-se a importância dos valores
organizacionais para a gestão dos servidores e considerou-se a percepção individual
dos servidores como uma grande medida, tanto se analisada pelo aspecto individual
como pelos grupos entrevistados, um valor que se procurou acrescentar ao estudo.
O resultado final remete o instrumento para uma escala de graduação dos
fatores comportamentais, atitudinais e do conhecimento, que são relevantes na
conscientização dos servidores da organização e contribuem diretamente para o
desenvolvimento organizacional.
34
3.1 O Instrumento
Esta seção apresenta o desenvolvimento do instrumento utilizado para
coleta das informações.
O instrumento foi elaborado tomando como base dois aspectos: temas e
fatores, sob a ótica do comportamento, atitude e conhecimento, e governança da
segurança da informação. Esses fatores buscam identificar o perfil do servidor,
apresentando aspectos a serem trabalhados no aperfeiçoamento e conscientização
do servidor.
Buscou-se registrar a maneira como o servidor executa as tarefas diárias no
ambiente de trabalho, o conhecimento empregado no desempenho das atividades, e
a forma de agir dentro da organização. Tudo isso relacionado aos pressupostos da
segurança que estão estabelecidos pela organização, e dos princípios básicos da
segurança
da
informação:
disponibilidade,
confidencialidade,
integridade
e
autenticidade.
As normas utilizadas para a formatação da pesquisa foram a NBR ISO/IEC
27002, a Política de Segurança da Informação da organização, as normas que
disciplinam o acesso de pessoas as instalações da organização e a que
regulamenta o uso dos serviços da internet e correio eletrônico da organização.
Os temas tratados no instrumento referem-se aos principais elementos da
segurança da informação, buscou-se identificar o conhecimento do servidor nos
aspectos relacionados a seguir:
a)
Controle de acesso – as regras de controle de acesso e direitos para
cada usuário ou grupos de usuários sejam expressas claramente na política de
controle de acesso. Convém considerar os controles de acesso lógico e físico de
forma conjunta. Convém fornecer aos usuários e provedores de serviços uma
declaração nítida dos requisitos do negócio a serem atendidos pelos controles de
acessos.
b)
Auditoria - o enfoque da organização para gerenciar a segurança da
informação e a sua implementação (por exemplo, controles, objetivo dos controles,
políticas, processos e procedimentos para a segurança da informação) seja
35
analisado criticamente, de forma independente, a intervalos planejados, ou quando
ocorrerem mudanças significativas relativas à implementação da segurança da
informação.
c)
Recursos de TI - Convém que as redes sejam adequadamente
gerenciadas e controladas, de forma a protegê-las contra ameaças e manter a
segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação
em trânsito.
d)
Incidentes - Convêm que a conscientização, educação e treinamento
nas atividades de segurança da informação sejam adequados e relevantes para os
papéis, responsabilidades e habilidades da pessoa, e que incluam informações
sobre conhecimento de ameaças, quem deve ser contatado para orientações sobre
segurança da informação e os canais adequados para relatar os incidentes de
segurança da informação.
e)
Divulgação - divulgação eficiente da segurança da informação para
todos os gerentes, funcionários e outras partes envolvidas para se alcançar à
conscientização;
f)
Gestão – Avaliaram-se a atuação dos gestores da organização,
aqueles que são responsáveis por gerir, responsável pela condução estratégica da
organização, cabendo-lhe o estabelecimento de políticas e metas para o alcance
dos objetivos da organização.
g)
Normas de segurança - Convém que gestores garantam que todos os
procedimentos de segurança da informação dentro da sua área de responsabilidade
estão sendo executados corretamente para atender à conformidade com as normas
e políticas de segurança da informação.
O instrumento consiste de dezoito questões, percorrendo um estudo da
segurança da informação, onde as opções de múltipla escolha apontavam situações
que ocorrem no dia a dia do servidor.
As alternativas elaboradas para cada uma das dezoito opções buscaram
explorar aspectos positivos ou negativos relacionados às áreas do processo de
aprendizagem proposto na Taxonomia de Bloom.
36
Buscou-se identificar as diversas abordagens da segurança da informação
com a aderência à Política de Segurança da Informação e Normas em conformidade
com o planejamento estratégico da organização, a divulgação das normas aos
servidores da organização, o uso do controle de acesso e sua aplicação dentro do
ambiente organizacional, o uso dos recursos tecnológicos pelos servidores públicos,
o papel dos gerentes e sua preocupação com a segurança da informação, a
auditoria e sua aplicação no controle dos requisitos de segurança e o tratamento dos
incidentes no ambiente organizacional, ou seja, como os servidores reagem à
ocorrência de incidentes no contexto organizacional.
Inicialmente, identificaram-se as normas como requisito básico para que os
servidores pudessem conhecer a segurança da informação. Essas normas trazem
as diretrizes que devem ser de conhecimento de todos na organização,
independente do nível hierárquico. Todos devem ter conhecimento dos normativos
que tratam da segurança da informação. Conhecer o seu papel dentro da
organização e sua responsabilidade no tratamento das informações da organização.
As questões apresentam correlações com a política de segurança da
informação e normas complementares, tais como: controle de acesso à internet e
uso do correio eletrônico.
3.2 Apresentação do Instrumento de Pesquisa
O instrumento aplicado encontra-se no Anexo II, o qual se buscou identificar
a percepção dos servidores frente aos temas da Segurança da Informação
apresentados nas questões, a seguir detalhadas.
Questão 1 – Políticas de segurança da informação na organização.
Como instrumento principal na implementação da segurança, buscou-se
identificar, na Questão 1, os fatores comportamentais e do conhecimento do servidor
para a importância da Política de Segurança da Informação.
37
Questão 2 – A Política de Segurança da Informação está disponível para
conhecimento por todos os servidores da organização.
Buscou identificar se, na Questão 2, se os servidores conseguem identificar
o local onde a Política está disponibilizada, bem como se ele tem conhecimento da
existência da norma.
Questão 3 – Comportamento dos gerentes da sua organização com
relação às normas de segurança.
Buscou-se
identificar,
na Questão 3, os fatores atitudinais
e do
conhecimento dos servidores comparados ao comportamento apresentado pelos
gerentes da organização na obediência às normas de segurança.
Questão 4 – Uso do Crachá de identificação por parte dos servidores da
sua organização.
Buscou-se identificar, na Questão 4, a percepção do servidor para a
importância no uso do crachá de identificação.
Questão 5 – Compartilhamento das senhas pessoais entre colegas no
ambiente de trabalho.
Buscou-se identificar, na Questão 5, qual o tratamento dado pelo servidor no
uso e guarda da senha pessoal. Esta questão apresenta fatores marcantes da
atitude do servidor para com a proteção da informação.
Questão 6 – A violação das regras de segurança pode prejudicar a sua
organização, no que concerne à imagem e prejuízos financeiros.
38
Na Questão 6, o fator comportamental é fundamental, na medida em que,
explora-se a preocupação do servidor na preservação da imagem e prejuízos
financeiros da organização.
Questão 7 – Necessidade da realização de auditorias de segurança na
sua organização.
Buscou-se identificar, na Questão 7, a percepção do servidor quanto ao
conhecimento da importância de realização de auditoria de segurança na
organização.
Questão 8 – Sua atitude quando um colega de sua organização está
infringindo regras de segurança da informação.
Questão 9 – Sua atitude quando um estranho está infringindo regras de
segurança da informação na sua organização.
Buscou-se
identificar,
nas
Questões
8 e
9,
o fator atitudinal e
comportamental do servidor diante de infração às regras cometidas por colega da
organização e pessoa estranha à organização. A segurança da informação faz parte
da cultura da organização, tendo como termômetro o respeito às regras de
segurança.
Questão 10 – Punições severas em decorrência de infração de normas de
segurança da informação.
Buscou-se identificar, na Questão 10, o entendimento dos servidores frente
à aplicação de punição. Para o servidor, qual a percepção do uso de tal instrumento
e a sua aceitação quanto à eficácia do seu resultado.
39
Questão 11 – Uso dos recursos de internet e correio eletrônico na sua
organização.
Buscou-se extrair, na Questão 11, o conhecimento e atitude do servidor no
uso correto da internet e correio eletrônico institucional.
Questão 12 – Programas de divulgação e capacitação dos servidores
sobre segurança da informação.
Buscou-se identificar, na Questão 12, se o servidor tem conhecimento dos
programas de divulgação e capacitação da organização, e qual à importância para
os servidores e a organização.
Questão 13 – Atuação dos responsáveis pela área de segurança da
informação na sua organização.
Buscou-se avaliar, na Questão 13, a percepção dos servidores com relação
à atuação do gestor de segurança da organização.
Questão 14 – Quanto ao uso dos recursos computacionais na
organização, qual a sua observância sobre o livre acesso à rede lógica de dados
da organização.
Buscou-se registrar, na Questão 14, se o servidor tem conhecimento dos
problemas existentes na organização, e qual sua percepção sobre o assunto.
40
Questão 15 – Mobilização da sua organização para que normas de
segurança da informação sejam cumpridas.
Questão 16 – Grau de importância que os servidores de sua organização
atribuem ao cumprimento das normas de segurança da informação.
Buscou-se identificar, nas Questões 15 e 16, o sentimento percebido pelo
servidor, com relação à mobilização da organização para cumprimento das normas e
o seu grau de comprometimento.
Questão 17 – Tratamento e correção dos incidentes de segurança da
informação ocorridos na sua organização.
Buscou-se avaliar, na Questão 17, a percepção do servidor no que tange a
resposta que a organização apresenta quando da ocorrência de um incidente de
segurança.
A
maneira
como
cada
servidor
interpreta
o
comportamento
organizacional, que está relacionado diretamente aos fatores do comportamento
humano.
Questão 18 – As normas de segurança da informação influenciam a sua
maneira de trabalhar na sua organização.
Buscou-se identificar, na Questão 18, os valores que delineiam a mudança
de comportamento frente às imposições organizacionais. Como os fatores atitudinais
e comportamentais norteiam as ações de cada servidor.
3.3 A Aplicação do Instrumento de Pesquisa
O instrumento foi aplicado em uma organização da Administração Pública
Federal, no período de 16 de outubro de 2008 a 24 de outubro de 2008, precedido
do Termo de Consentimento Livre e Esclarecido, formalmente autorizado pela
Coordenação-Geral de Recursos Humanos, responsável pela capacitação de
41
pessoas, correspondência dirigida a todos os servidores que faziam parte do
universo a ser pesquisado, conforme Anexo I.
A amostra de pesquisa à qual foi aplicado o instrumento foi restrita a quinze
servidores da organização, sendo dez servidores que representam o universo dos
principais líderes na linha de comando da organização e cinco servidores de nível
operacional das linhas de negócio da organização, todos lotados na direção-central
da organização, localizada em Brasília-DF.
A aplicação do instrumento foi realizada percorrendo os três níveis
hierárquicos
da
organização:
Estratégico,
Tático
e
Operacional.
Foram
contempladas as seguintes áreas da instituição: Recursos Humanos, Logística,
Atendimento e Prestação de Serviços.
O instrumento foi entregue diretamente pelo pesquisador, em forma
impressa aos respondentes que responderam no próprio local de trabalho. Desta
forma, os questionários foram respondidos prontamente, visto que todas as questões
apresentadas eram objetivas e de fácil entendimento por parte dos entrevistados.
42
4. ANÁLISE DOS RESULTADOS
Após o término da aplicação do instrumento, elaborou-se uma planilha
apresentando em suas linhas a relação dos servidores de acordo com o nível
hierárquico. As colunas apresentam as questões atribuindo-se os valores para cada
item assinalado. As planilhas com os dados coletados encontram-se no Anexo III.
O instrumento fundamenta-se na escala de valores de cada grupo de
entrevistado, como ferramenta de coleta de dados relevante para a cultura
organizacional predominante na organização em estudo e buscar configurar a
importância dos valores organizacionais junto à gestão de pessoas.
Os dados são analisados a partir de uma escala de pontuação que vai da
caracterização total que cada grupo assinalou nos itens agrupados em cada
resposta apresentada pelos servidores.
A cada item assinalado como conduta positiva do servidor atribuiu-se 1 (um)
ponto, aos demais itens que refletiram de forma negativa a percepção do servidor
atribuiu-se 0 (zero).
A partir dos resultados apresentados, podem-se inferir algumas análises,
procurando responder às questões do presente instrumento.
Como parte deste trabalho, pretende-se delinear a importância do perfil dos
servidores e considera-se a percepção individual como uma grande medida, tanto se
analisada pelo aspecto individual como pelos grupos entrevistados, um valor que se
procurou acrescentar ao estudo.
Com os resultados obtidos na aplicação dos questionários estruturados por
níveis da organização: estratégico, tático e operacional, tornou-se possível conhecer
as percepções dos servidores, mediante as pontuações mais freqüentes
assinaladas, que esclarecem como os servidores têm praticado a segurança e que
tipos de comportamento procuram seguir, diante da cultura organizacional.
Os gráficos demonstram os resultados obtidos na organização em estudo,
aqui analisados sob o ângulo da percepção dos servidores. Estão descritas as
43
pontuações por nível hierárquico, obedecendo aos critérios definidos: atitude,
comportamento e conhecimento.
4.1 Dados Agrupados por Questão
Questão 1 – Política de Segurança da Informação.
Visa avaliar junto aos servidores o conhecimento da existência da política de
segurança da informação da organização.
Nota-se no Gráfico 1, que representa as respostas à Questão 1, que a
maioria, ou seja, 12 (doze) servidores, que corresponde a 80% dos respondentes
afirmou que a PSI é de suma importância para a sobrevivência da organização.
Entretanto, percebe-se que os servidores do nível estratégico divergem no
conhecimento da Política. Observa-se que um servidor respondeu que ninguém na
organização segue a Política de Segurança da Informação. Outros dois servidores
informaram que não existe Política na organização, sendo um servidor do nível
operacional, e o mais preocupante, o outro servidor do nível estratégico da
organização.
Gráfico 1 – Resultado da Questão 1 - Política de Segurança da Informação na sua
organização.
6
5
4
Número de
respondentes 3
2
1
Operacional
0
a
olític
ia
eéP
rtânc
ca
o qu
impo
e
b
e
e
Políti
a
d
s
n
ra
seg u
g
xis te
Nã o
e
de
o
ã
uém
e
úte is
N
d
n
Nin g
ã o in
Ente
ca s s
P olíti
Tático
Estratégico
44
Questão 2 – A Política de Segurança da Informação está disponível para
conhecimento por todos os servidores da organização.
Observa-se no Gráfico 2, que representa as respostas à Questão 2, uma
grande dispersão nas respostas apresentadas pelos servidores da organização em
conhecer o local onde a Política está disponibilizada.
Nota-se que 4 servidores, que corresponde a 26,6% dos respondentes
indicaram que a Política não está disponível para os servidores. Outros 8 (oito)
servidores, que correspondem a 53,3% dos respondentes não souberam informar se
a PSI está disponível. Constata-se um baixo índice de conhecimento na
disponibilidade da política de Segurança da Informação por parte dos servidores da
organização.
Somando-se a falta de conhecimento da disponibilidade da PSI, 2
servidores, que corresponde a 13,3% dos respondentes afirmaram que não existe
PSI na organização.
Finalmente, apenas um servidor afirmou que conhece o local onde a PSI
está disponível. Este servidor do nível tático da organização soube informar
corretamente o portal onde se encontra a política.
Gráfico 2 – Resultado da Questão 2 – A Política de Segurança da Informação está
disponível para conhecimento por todos os servidores da organização.
6
5
4
Números de
3
respondentes
2
1
Operacional
Tático
Estratégico
0
o
co rd
Co n
co
Dis
rdo
Nã
b e in
o sa
ar
for m
te
exis
Nã o
Polí
tic a
45
Questão 3 – Comportamento dos gerentes da organização com relação às
normas de segurança da informação.
Observa-se no Gráfico 3, que representa as respostas à Questão 3, a
constatação por parte dos servidores do comportamento dos gerentes da
organização no cumprimento às normas de segurança. Nota-se que há significativa
dispersão da percepção dos servidores distribuídos nos três níveis hierárquicos da
organização.
Percebe-se que 6 (seis) servidores, que corresponde a 40% dos
respondentes distribuídos no diversos níveis da organização afirmaram que não
possuem opinião formada sobre o assunto.
Pode-se observar que 2 (dois) servidores, que correspondem a 13,3% dos
respondentes afirmam que os gerentes não observam às normas de segurança.
Nota-se que 6 (seis) servidores, que corresponde a 40% dos respondentes
apontam para a obediência parcial dos gerentes frente às normas de segurança.
Gráfico 3 – Resultado da Questão 3 - Comportamento dos gerentes da sua
organização com relação às normas de segurança da informação.
6
5
4
Números de
3
respondentes
2
1
Operacional
Tático
Estratégico
0
Não sei informar Não obedecem às
Obedecem
normas
parcialmente às
normas
Obedecem às
normas em sua
completude
46
Questão 4 – Uso do crachá de identificação por parte dos servidores da sua
organização.
Observa-se no Gráfico 4, que representa as respostas à Questão 4, que 8
(oito) servidores, que corresponde a 53,3% dos respondentes, identificados nos três
níveis hierárquicos, assinalaram que concordam com a obrigatoriedade do uso do
crachá de identificação por todos os servidores da organização, independentemente,
do seu nível hierárquico.
Percebe-se que 6 (seis) servidores, que corresponde a 40% dos
respondentes informaram que o crachá é importante instrumento para a segurança
da organização.
Gráfico 4 – Resultado da Questão 4 – Uso do Crachá de identificação por parte dos
servidores da sua organização.
6
5
4
Número de
3
respondentes
2
1
Operacional
Tático
Estratégico
0
o
Nã
tem
in i
op
ão
A
m
ai
ch
nte
rta
po
ha
Ac
d
o
ári
ss
ece
n
es
ri
ve
De
do
igi
ex
er
s
a
Questão 5 – Compartilhamento das senhas pessoais entre colegas, no
ambiente de trabalho.
Nota-se no Gráfico 5, que representa as respostas à Questão 5, que 14
(catorze) servidores, que corresponde a 93,3% dos respondentes estão conscientes
da importância do uso das senhas, evitando o compartilhamento com outros
servidores.
47
Porém, 2 (dois) servidores, que corresponde a 13,3% dos respondentes
afirmaram que compartilham a senha com outros servidores, sendo um servidor no
nível estratégico e outro no nível operacional.
Gráfico 5 – Resultado da Questão 5 - Compartilhamento das Senhas pessoais entre
colegas, no ambiente de trabalho.
6
5
4
Número de
3
re sponde nte s
2
1
Operacional
Tático
0
r
rma
ha
info
sen
ha
be
ha
u
nça
se n
o
a rtil
ura
os
lha
p
ã
N
se g
arti
om
p
c
a
m
o
a
Co
Nã
en t
aum
n ão
a
h
Sen
Estratégico
Questão 6 – A violação das regras de segurança pode prejudicar a sua
organização, no que concerne prejuízo financeiro e à imagem?
Os servidores afirmaram, unanimemente, conforme se observa no Gráfico 6,
que representa as respostas à Questão 6, que as violações das regras de segurança
causam prejuízos graves à organização. Percebe-se que os servidores entendem,
claramente, a importância da preservação da imagem institucional.
Gráfico 6 – Resultado da Questão 6 – A violação às regras de segurança pode
prejudicar a sua organização, no que concerne à imagem e prejuízos financeiros.
6
5
4
Número de
3
respondentes
2
1
Operacional
Tático
0
e
sou b
Nã o
m
info r
ar
te
exis
Nã o
ão
re laç
s
juízo
en os
s p re
rav e
pe qu
g
z
íz os
Tra
ju
re
p
Tra z
Estratégico
48
Questão 7 – Necessidade da realização de auditorias de segurança na sua
organização.
Nota-se no Gráfico 7, que representa as respostas à Questão 7, que 12
(doze) servidores, que corresponde a 80% dos respondentes afirmaram que as
auditorias de segurança são importantes na verificação do cumprimento das regras
de segurança.
Gráfico 7 – Resultado da Questão 7 – Necessidade da realização de auditorias em
segurança na sua organização.
6
5
4
Núme ro de
3
re sponde nte s
2
1
Operacional
0
e
sou b
Nã o
Tático
m
info r
ar
s
zad a
re ali
são
o
ã
N
Estratégico
s sár
nec e
São
ias
são
Nã o
te s
r ta n
impo
Questão 8 – A atitude do servidor quando se depara com colega da
organização infringindo regras de segurança da informação.
As respostas estiveram distribuídas em todas as opções apresentadas. Trata
da atitude do servidor quando se depara com colega de repartição infringindo
alguma regra de segurança da organização.
Nota-se no Gráfico 8, que representa as respostas à Questão 8, que 6 (seis)
servidores, que corresponde a 40% dos respondentes reagem ao problema
interpelando o infrator a obedecer a norma vigente. Percebe-se que 4 (quatro)
servidores, que corresponde a 26,6% dos respondentes informaram que quando da
ocorrência do problema, comunicam o fato a área de segurança. Outros 4 (quatro)
49
servidores, que corresponde a 26,6% dos respondentes informaram que não sabem
o que fazer.
Observa-se que não há uniformização no procedimento por parte dos
servidores. As atitudes são diferentes para o mesmo problema.
Gráfico 8 – Resultado da Questão 8 – Sua atitude quando um colega de sua
organização está infringindo regras de segurança da informação.
6
5
4
Núme ro de
3
re sponde nte s
2
1
Estratégico
0
et e
r
omp
fa ze
me c
q ue
anç a
o
ã
N
egur
be o
ga
a
s
de S
c ole
a
Nã o
e
la o
ár
erpe
oà
t
ic
n
I
n
u
Co m
Tático
Operacional
Questão 9 – A atitude do servidor quando um estranho está infringindo
regras de segurança da informação na sua organização.
Trata-se da infração das regras de segurança cometida por pessoa estranha
a organização. Constata-se no Gráfico 9, que representa as respostas à Questão 9,
que 8 (oito) servidores, que corresponde a 53,3% dos respondentes comunicam a
ocorrência a área de segurança da informação, 4 (quatro) servidores, que
corresponde a 26,6% dos respondentes interpelam o infrator na violação as normas.
Outros 4 (quatro) servidores, que corresponde a 26,6% dos respondentes
responderam que não sabem o que fazer.
50
Gráfico 9 – Resultado da Questão 9 – Sua atitude quando um estranho está
infringindo regras de segurança da informação na sua organização.
6
5
4
Número de
3
re sponde nte s
2
1
Estratégico
Tático
Operacional
0
Nã
ec
om
te
pe
om
o
Nã
sab
q
eo
er
fa z
ue
o
nic
mu
Co
S
de
r ea
àá
a
nç
ur a
eg
Int
e la
erp
a
nfr
oi
tor
Questão 10 – Punições severas em decorrência de infração de normas de
segurança da informação.
Registrou-se a percepção dos servidores quanto à aplicação de punições e
sua efetividade. Nota-se no Gráfico 10, que representa as respostas à Questão 10,
que 10 (dez) servidores, que corresponde a 66,6% dos respondentes entendem que
o cumprimento as normas dependem muito do que for estabelecido como punição.
Nota-se, também, que 4 (quatro) servidores, que corresponde a 26,6% dos
respondentes acreditam que as normas somente serão obedecidas se ocorrer
punição dos infratores, independentemente do que for estabelecido como punição.
Gráfico 10 – Resultado da Questão 10 – Punições severas em decorrência de infração
de normas de segurança da informação.
6
5
4
Número de
3
respondentes
2
1
0
ar
o
s
form
ulta d
r ma
sei in
o
o res
s no
n iç ã
Nã o
ita n
der à
d
o pu
e
r
ate n
com
ac
o
o
ã
ã
cid o
N
s ir
le
o
e
d
b
sta
do to
do e
pun in
end e
ente
De p
S om
Operacional
Tático
Estratégico
51
Questão 11 – Uso dos recursos de internet e correio eletrônico na
organização.
Observa-se no Gráfico 11, que representa as respostas à Questão 11, que,
13 (treze) servidores, que corresponde a 86,6% dos respondentes afirmaram que a
organização deve disciplinar o uso dos recursos de internet e correio eletrônico, com
regras que controlem os acessos e divulgação de conteúdos indevidos.
Gráfico 11 – Resultado da Questão 11 - Uso dos recursos de Internet e Correio
Eletrônico na sua organização.
6
5
4
Número de
3
respondentes
2
1
0
s
s
urs o
cur so
os
s rec
os re
rs os
ecu rs
so do
o
u
z
s
r ec u
u od
fa
dos r
o us
o
o
n
s
ã
u o
N
o dos
linar
o
s
ma
u
le
ra
o
b
disc ip
pa
ro
m
p
a
s
a
r
a
á
lh
r
a
h
g
p
apa
m re
Nã o
nte s
s atr
por ta
exis te
Re gra
Nã o
são im
s
ra
Re g
Operacional
Tático
Estratégico
Questão 12 – Programas de divulgação e capacitação dos servidores sobre
a segurança da informação.
Nota-se, conforme apresenta o Gráfico 12, que representa as respostas à
Questão 12, que 6 (seis) servidores, que corresponde a 40% dos respondentes
opinaram que os programas de divulgação e capacitação existem, porém
necessitam melhorar muito. Registrou-se também que 4 (quatro) servidores, que
corresponde a 26,6% dos respondentes não conhecem os programas. Por fim, 4
(quatro) servidores, que corresponde a 26,6% dos respondentes informaram que os
programas são fundamentais na conscientização dos servidores.
52
Gráfico 12 – Resultado da Questão 12 - Programa de divulgação e capacitação dos
servidores em segurança da informação.
6
5
4
Número de
3
respondentes
2
1
0
al
on
ci
ra
pe o
O
co
tic
gi
Tá raté
st
E
em
ço
tar
ão
is t
o
he
en
aç
ex
uit
on
o ri
tiz
o
rm
ra
oc
en
i
Nã
a
ã
c
p
s
N
or a
n
h
l
m
e
co
me
erv
ara
m
os
sp
isa
Nã
ta i
ec
r
n
P
me
da
fu n
o
Sã
Questão 13 – Atuação dos responsáveis pela área de segurança da
informação na sua organização.
Embora se verifique no Gráfico 13, que representa as respostas à Questão
13, a presença de pontuações em duas respostas, percebe-se que 7 (sete)
servidores, que corresponde a 46,6% dos respondentes não conhecem a existência
dos responsáveis pela área de segurança da informação, e 5 (cinco) servidores, que
corresponde a 33,3% dos respondentes informaram que conhecem os responsáveis
pela segurança, contudo percebem que os responsáveis atuam somente quando da
ocorrência de situações emergenciais.
Gráfico 13 – Resultado da Questão 13 – Atuação dos responsáveis pela área de
segurança da informação na sua organização.
6
5
4
Número de
3
respondentes
2
1
0
al
on
ci
ra
pe
O ico
co
t
gi
Tá raté
st
E
te
tem
es
ça
en
is
x is
az
an
tem
c ia
f ic
ur
ee
n
s
en
eg
ta
ee
s
ei
s
s
s
n
a
er g
o
o
d
o
m
iv
c
at
ria
Nã
m
se
ro
ua
lho
õe
op
At
aç
me
Sã
itu
ra
s
a
s
p
na
m
te
ue
en
trib
m
n
o
s
Co
m
ua
At
53
Questão 14 – Quanto ao uso dos recursos computacionais na organização,
qual a sua observância sobre o livre acesso a rede lógica de dados da organização?
Nota-se no Gráfico 14, que representa as respostas à Questão 14, os dados
indicam que os servidores percebem o que representa o livre acesso aos recursos
de rede existente na organização.
Nota-se que 6 (seis) servidores, que corresponde a 40% dos respondentes
afirmaram que o livre acesso a rede lógica atende parcialmente o estabelecido nas
regras, 4 (quatro) servidores, que corresponde a 26,6% dos respondentes
informaram que não atendem o estabelecido nas regras. Outros 3 (três) servidores,
que corresponde a 20% dos respondentes não souberam informar do que trata o
assunto.
Gráfico 14 – Resultado da Questão 14 – Quanto ao uso dos recursos computacionais
na organização, qual a sua observância sobre o livre acesso à rede lógica de dados
da organização.
6
5
4
Número de
3
re sponde nte s
2
1
Operacional
0
Não sei informar
Estratégico
Não atendem às
regras
Atendem
parcialmente às
regras
Atendem às
regras em sua
completude
Questão 15 – Mobilização da sua organização para que as normas de
segurança da informação sejam cumpridas.
Ocorreu um equilíbrio por parte dos servidores em duas opções. Conforme
se observa no Gráfico 15, que representa as respostas à Questão 15, 6 (seis)
servidores, que corresponde a 40% dos respondentes entendem que a organização
se mobiliza de forma organizada no cumprimento as normas de segurança e 6 (seis)
servidores, que corresponde a 40% dos respondentes acreditam que não existe tal
mobilização.
54
Gráfico 15 – Resultado da Questão 15 - Mobilização da sua organização para que às
normas de segurança da informação sejam cumpridas.
6
5
4
Núme ro de
3
re sponde ntes
2
1
Operacional
Tático
Estratégico
0
sc
De
nh
Co
eço
onh
eço
e
o im
a ch
pro
iva
dut
eria
pod
ser
l ho
me
e
se
ço
que
nhe
Co
ndo
nte
e
e
ço
nhe
Co
r
or
imp
uito
ja m
tan
te
Questão 16 – Grau de importância que os servidores da organização
atribuem ao cumprimento das normas de segurança da informação.
Nota-se no Gráfico 16, que representa as respostas à Questão 16, que 6
(seis) servidores, que corresponde a 40% dos respondentes entendem que na sua
organização poucos colegas obedecem às normas de segurança, somando-se 5
(cinco) servidores, que corresponde a 33,3% dos respondentes afirmaram que não
conhecem as normas e 3 (três) servidores, que corresponde a 26,6% dos
respondentes entendem que as normas de segurança não são relevantes.
Gráfico 16 – Resultado da Questão 16 – Grau de importância que os servidores de sua
organização atribuem ao cumprimento das normas de segurança da informação.
4
3
Número de
2
respondentes
1
Operacional
Tático
0
a
ntes
s
ra nç
elev a
seg u
or ma
tud e
m irr
às n
s de
mple
a
A cha
rm
a co
ecem
no
u
d
s
e
s
b
à
em
os o
ec em
rmas
Pouc
con h
às no
Nã o
dem
Ate n
Estratégico
55
Questão 17 – Tratamento e correção dos incidentes de segurança da
informação ocorridos na organização.
Verifica-se no Gráfico 17, que representa as respostas à Questão 17, que 7
(sete) servidores, que corresponde a 46,6% dos respondentes não sabem prestar
qualquer informação sobre o tratamento e correção de incidentes na organização.
Outros 6 (seis) servidores, que corresponde a 26,6% dos respondentes afirmam que
existe registro dos incidentes ocorridos na organização, porém na têm nenhuma
informação sobre as providências adotadas no tratamento do incidente.
Gráfico 17 – Resultado da Questão 17 - Tratamento e correção dos incidentes de
segurança da informação ocorridos na sua organização.
6
5
4
Número de
3
respondentes
2
1
0
Nenhuma
Há registro, mas
Não tenho
Nunca somos
providência é
sem
quaisquer
informados de
adotada
comunicação da informações
nada
providência sobre fatos deste
Operacional
Tático
Estratégico
tipo
Questão 18 – As normas de segurança da informação influenciam a sua
maneira de trabalhar na sua organização?
Esses dados demonstram que os servidores dos diversos setores vêem
cada situação de forma distinta e aprendem a criar a cultura organizacional.
Observa-se no Gráfico 18, que representa as respostas à Questão 18, 9 (nove)
servidores, que corresponde a 60% dos respondentes afirmaram que as normas de
segurança influenciam a sua conduta no desempenho de suas atividades laborais.
Outros 3 (três) servidores, que corresponde a 20% dos respondentes não sabem
informar como as normas podem influenciar a maneira de trabalhar na organização.
56
Gráfico 18 – Resultado da Questão 18 - As normas de segurança da informação
influenciam a sua maneira de trabalhar na sua organização.
5
4
3
Número de
respondentes
2
1
Operacional
0
m
ncia
lhar
infl ue
tr aba
nciar
Não
a
a de
influe
rm
miss
fo
de m
na
o
o pre
p
o
c
o
u
co m
m
o
o
p
to
c
o
i
d
em
se
tribu
m. A
Não
Con
encia
Influ
Tático
Estratégico
Os dados aqui apresentados são discutidos no próximo capítulo. Os dados
estão agrupados inicialmente por questões, mostrando a relação entre as respostas.
Em seguida é mostrada a relação entre os fatores considerados neste trabalho.
57
5. DISCUSSÃO DOS RESULTADOS
Este Capítulo apresenta várias discussões sobre os resultados obtidos,
organizados conforme os 16 temas: Política de Segurança da Informação,
Comportamento dos Gerentes da Organização, Uso do Crachá de Identificação,
Compartilhamento da Senha entre Colegas, Violação das Regras que Impactam em
Prejuízos à Organização, Realização de Auditoria SI, Reação dos Servidores à
Infração Cometida por Colegas da Organização, Reação dos Servidores à Infração
Cometida por Pessoas Estranhas à Organização, Uso dos Recursos Tecnológicos,
Programas de Divulgação e Capacitação em SI, Atuação dos Responsáveis pela
Área de SI, Livre Acesso à Rede Lógica de Dados da Organização, Grau de
Importância para o Cumprimento das Normas de SI, Tratamento e Correção de
Incidentes em SI e Influência das Normas no Comportamento dos Servidores.
5.1 Política de Segurança da Informação.
As Questões 01 e 02 abordam o conhecimento dos servidores com relação às
normas da organização. Pode-se observar que o principal instrumento normativo da
organização é pouco conhecido e praticado, apesar de ter sido institucionalizado há
5 (cinco) anos e se encontrar disponível na intranet, que é um local de fácil acesso
por todos os servidores da organização.
Entende-se que os responsáveis pela segurança da informação devem
elaborar programas e campanhas de divulgação das normas para sensibilizar os
servidores da organização.
Essa percepção demonstra que os dirigentes e os servidores necessitam
conhecer a Política vigente, pois se trata de norma relevante, à qual apresenta as
diretrizes para a segurança da informação da organização.
Pode-se observar que dentro de um estilo de gestão que prioriza a
segurança da informação, torna-se obrigatório que os gestores e demais servidores
conheçam e apliquem o que determina a política de segurança da informação da
organização.
58
Constata-se que a organização necessita, urgentemente, de uma campanha
de divulgação da política, pois se trata do principal documento da organização que
normatiza a conduta que os servidores devem seguir com relação à segurança da
informação.
5.2 Comportamento dos Gerentes da Organização.
No resultado apresentado na Questão 3 houve grande dispersão na
percepção dos servidores à respeito do comportamento dos gerentes da
organização para com o cumprimento às normas de segurança.
As alternativas mais assinaladas foram: a falta de informação do servidor
sobre o assunto e a obediência parcial dos gerentes às normas. Nota-se que os
gerentes apresentam baixa influência sobre os servidores, no que tange à
preocupação com a segurança da informação.
Esta percepção remete à necessidade de mudança de comportamento dos
gerentes junto aos servidores. Este comportamento deve ser encarado como um
fator crítico de sucesso em segurança da informação para a organização.
Existe a necessidade de mostrar aos servidores a maneira como os gerentes
colaboram no atendimento às normas de segurança, faz-se necessária a ampla
divulgação dessas ações para que se tenha visibilidade da atuação dos gerentes da
organização.
5.3 Uso do Crachá de Identificação.
No resultado apresentado na Questão 4 entende-se que a entrada de
estranhos a organização deve ser severamente controlada, com o objetivo de
preservar e garantir a segurança ao ambiente organizacional.
A maioria dos servidores registrou que o uso do crachá deve ser exigido pela
organização. Constatou-se ainda que, os servidores acham importante que todos na
organização tenham crachá de identificação.
Percebe-se que os servidores concordam com o uso do crachá como meio
de garantir o controle de acesso a organização.
59
O crachá é um instrumento que deve ser utilizado por todos da organização,
que tem como finalidade limitar e controlar a circulação e o acesso de todas as
pessoas dentro da organização.
5.4 Compartilhamento da Senha entre Colegas.
Percebe-se na Questão 5 que a maioria dos servidores não compartilha
senha com colega de trabalho. Porém registraram-se casos em que servidores
compartilham senha com os colegas.
A organização deve conscientizar os servidores para os cuidados no uso da
senha. O responsável pela segurança da informação da organização tem a
responsabilidade
de
promover
e
garantir
a
existência
do
processo
de
conscientização dos servidores em SI. Para tanto, os servidores devem ser
orientados das suas responsabilidades pela guarda e uso da senha.
Trata-se de assunto relevante no acesso aos recursos tecnológicos da
organização, que merece atenção especial por parte dos servidores na utilização da
senha.
5.5 Violação das Regras que Impactam em Prejuízos à Organização.
A Questão 6 registrou unanimidade de entendimento por parte dos servidores.
Todos os servidores afirmaram que a violação às regras traz graves prejuízos
financeiros e a imagem da organização.
Nota-se que os servidores percebem que devem agir com responsabilidade
no atendimento ao estabelecido nas normas de segurança da informação. Este
comportamento demonstra a importância com a segurança da informação e com a
preservação da imagem institucional.
5.6 Realização de Auditoria em SI.
Na Questão 7, a maioria dos servidores responderam que as auditorias são
necessárias para garantir o cumprimento das normas e regulamentos em segurança
da informação.
60
Observa-se que o comportamento dos servidores reflete uma posição bem
definida sobre a importância da auditoria. Os servidores entendem que tal
instrumento deve ser utilizado pela empresa para legitimar o uso das normas por
parte dos servidores da organização.
5.7 Reação dos Servidores à Infração Cometida por Colegas da Organização.
Constata-se nos resultados apresentados na Questão 8, grande dispersão de
opinião por parte dos servidores. A maioria registrou que interpela os colegas de
trabalho quando estes cometem infração às normas de segurança da informação.
Registrou-se ainda que, os servidores comunicam à área de segurança qualquer
infração cometida por colegas de trabalho.
Percebe-se que a atitude da maioria dos servidores tem significado positivo,
pois demonstra uma conduta favorável a segurança da informação e exprime
importantes valores do comportamento humano.
Estes valores enfatizados nos fatores comportamentais são aceitos como
princípios que orientam os servidores na organização e fornecem indícios sobre a
forma como os servidores agem em favor da organização.
O comportamento dos servidores voltado para o comprometimento com a
missão da organização apresenta forte identidade corporativa.
5.8 Reação dos Servidores à Infração Cometida por Pessoas Estranhas à
Organização.
Na resposta apresentada na Questão 9, registrou-se grande dispersão de
opinião por parte dos servidores. Porém nesta questão, a maioria registrou que
comunica à área de segurança a infração cometida por pessoas estranhas à
organização.
Como constatado na questão anterior, percebe-se que a atitude da maioria
dos servidores tem significado positivo, pois demonstra uma conduta favorável a
segurança da informação e exprime importantes valores do comportamento humano.
61
5.9 Uso dos Recursos Tecnológicos.
O resultado obtido na Questão 11 apresenta um cenário bem definido na
organização, pois a maioria dos servidores entende que apesar da norma restringir o
uso dos recursos de internet e correio eletrônico, a restrição contribui para a
segurança dentro do ambiente organizacional. Atitude que demonstra um importante
discernimento por parte dos servidores.
5.10 Programas de Divulgação e Capacitação em SI.
Percebem-se no resultado apresentado na Questão 12, que devem ser
investidos esforços para a melhoria do programa de divulgação e capacitação dos
servidores da organização em segurança da informação, visto que essas ações
afetam diretamente o grau de conscientização dos servidores.
Os resultados mostram que a maioria dos servidores entende que os
programas precisam melhorar muito, o que remete a conclusão de que os
programas não estão atendendo com satisfação as expectativas dos servidores.
Registrou-se ainda que, os servidores entendem que os programas são
fundamentais para a organização, pois permite que a organização crie um ambiente
favorável a cultura da segurança da informação.
Para tanto, deve-se respeitar a cultura organizacional e a maneira de ser de
cada servidor. A organização deve promover diversas ações, tais como: palestras
presenciais e à distância, dinâmicas de grupo, treinamento via e-learning, dentre
outras atividades.
5.11 Atuação dos Responsáveis pela Área de SI.
Observa-se na resposta da Questão 13, que as respostas ficaram
polarizadas nas alternativas que apontam o desconhecimento por parte dos
responsáveis pela segurança da informação da organização e da atuação dos
responsáveis somente nos casos emergenciais.
Percebe-se a necessidade, urgente, da organização promover ações que
modifiquem está situação crítica na percepção dos servidores. Deve-se aproveitar a
62
oportunidade dos programas de divulgação e capacitação para realizar o marketing
da área de segurança. As atividades desenvolvidas pela área de segurança devem
ser amplamente divulgadas, com vistas a reverter este cenário desfavorável aos
responsáveis pela segurança da informação.
5.12 Livre Acesso à Rede Lógica de Dados da Organização.
Percebe-se nos resultados apresentados na Questão 14, a grande dispersão
de entendimento por parte dos servidores, com relação ao problema apresentado na
questão. O livre acesso à rede é uma grave ameaça à organização, bem como as
pessoas que fazem uso deste recurso.
Nota-se a necessidade, urgente, de implementação de medidas de controle
de acesso lógico, bem como sensibilizar e conscientizar os servidores para a
importância do uso correto da rede de dados da organização.
5.13 Mobilização da Sua Organização no Cumprimento das Normas de SI.
Na Questão 15 observa-se que os servidores têm percepções divididas entre:
achar que poderia ser melhor a mobilização da organização e desconhecer qualquer
movimento organizacional que colabore para o cumprimento às normas de
segurança da informação.
Entende-se que a cultura da organização é muito baixa quando se trata de
exigir que as normas de segurança da informação estejam arraigadas em todos os
setores.
Percebe-se que as ações adotadas pela organização não apresentam um
bom desempenho no cumprimento das normas de segurança da informação pelos
servidores, o que afeta sobremaneira o desempenho organizacional.
5.14 Grau de importância para o Cumprimento das Normas de SI.
Contata-se na Questão 16, dispersão de opinião dos servidores na escolha
das alternativas. A maioria registrou que poucos servidores obedecem às normas de
segurança, seguido da alternativa que registra o desconhecimento às normas de
63
segurança. Por fim opinaram informando que não acham relevante o atendimento às
normas.
Os fatores apresentados nesta questão remetem a uma constatação negativa,
pois às normas e regulamentos são instrumentos que balizam a conduta dos
servidores da organização.
Diante das constatações, percebe-se que quando os servidores avaliam seus
pares, na importância do cumprimento das normas, o cenário é negativo, pois não
conseguem identificar aspectos positivo que revelem o engajamento de todos os
servidores no atendimento às normas.
5.15 Tratamento e Correção dos Incidentes em SI.
Na questão 17 a percepção dos servidores foi registrada, em sua grande
maioria, nas alternativas: a organização não comunica às providências que são
adotadas no tratamento e correção dos incidentes de segurança, e o servidor não
sabe informar qualquer percepção sobre o tratamento e correção dos incidentes.
Pertinente observar, pela freqüência de percepção apresentada pelos
servidores, à organização precisa divulgar constantemente aos servidores a
ocorrência dos incidentes dentro da organização e as providências que foram
adotadas para resolução dos incidentes na medida em que eles ocorram dentro do
ambiente organizacional.
É importante observar que a segurança faz parte da cultura da organização
quando é percebida por todos os servidores.
5.16 Influência das Normas no Comportamento dos Servidores.
As respostas apresentadas a questão 18, a maioria dos servidores opinaram
que as normas de segurança influenciam muito a maneira de trabalhar na
organização.
Esta percepção dos servidores remete a avaliação do comportamento
humano. A resposta revelou que os servidores constatam que às pessoas conhecem
as normas de segurança e ao mesmo tempo o quanto as normas são importantes
64
para elas. Percebe-se que a maioria dos servidores não acredita na observância as
normas, o que demonstra o baixo grau de cultura de segurança existente na
organização.
A pesquisa mostrou-se eficaz, na medida em que se propôs a retratar o
comportamento do servidor no cumprimento às normas de segurança, a atitude
demonstrada diante das adversidades a que estão sujeitos e o conhecimento tácito
(existentes nos indivíduos da organização) que contribuem fortemente para melhoria
da cultura da segurança da informação. Os resultados obtidos, na opinião do
pesquisador, foram satisfatoriamente fieis à realidade da segurança da informação
na organização pesquisada.
No geral, a pesquisa demonstrou que existem servidores preparados para
desenvolver com responsabilidade as ações de segurança dentro da organização.
Entretanto, ficou demonstrado que a maioria dos servidores necessita ser
conscientizado, bem como capacitados adequadamente no conhecimento às
normas de segurança da informação.
Quanto à organização, a pesquisa apresentou um cenário organizacional que
merece um profundo estudo, no sentido de aprimorar o relacionamento dos
servidores dos níveis estratégico, tático e operacional, que possa contribuir para o
sucesso da segurança da informação.
65
6 CONCLUSÕES E TRABALHOS FUTUROS
Este capítulo avalia o alcance dos objetivos da pesquisa, a eficácia e
precisão do instrumento de análise do comportamento dos servidores em segurança
da informação.
6.1 Pontos Fortes e Fracos da Pesquisa
Como instrumento experimental, observou-se que a ferramenta pode ser
aperfeiçoada, na medida em que novas abordagens devem ser inseridas no estudo,
visando obter mais informações sobre o perfil dos servidores, resultando em melhor
qualidade das informações a serem analisadas.
O instrumento desenvolvido apresentou um cenário que revela como os
servidores entendem de segurança da informação. Demonstrou a percepção dos
servidores da organização, no que tange à atitude, o conhecimento e o
comportamento quando se deparam com situações críticas e ameaças no ambiente
de trabalho.
Alguns fatores como a falta de informação, bem como entendimento do que
representa a segurança da informação para a organização são pontos importantes
que ficaram bastante evidentes, conforme se constata na avaliação dos resultados
apresentados.
6.2 O que ficou em aberto
Nota-se que tendo em mente um aprofundamento futuro da pesquisa, com
uma nova coleta de dados com o viés de traçar um perfil com as características
marcantes no comportamento dos servidores, deve-se aplicar o instrumento em uma
amostra maior, dentro da própria organização estudada, bem como em outras
organizações públicas, para que possa avaliar se o instrumento poderia ser aplicado
em todas as unidades da Administração Pública Federal.
No caso específico da organização avaliada, percebe-se que a amostra
necessita ser ampliada, se possível deve ser aplicada nas demais unidades de
atendimento da organização, onde a estrutura organizacional diferencia-se da
presente na unidade central, apresentando importantes aspectos tais como: cultura
66
regional, instalações físicas diferenciadas, e servidores com percepções diferentes
sobre a segurança da informação, que devem traduzir numa visão mais refinada da
apresentada neste trabalho.
6.3 Conclusões
Sem a pretensão de que tivesse um fim em si mesma, a presente pesquisa
foi elaborada na tentativa de auxiliar na compreensão da estrutura de valores
organizacionais e sua importância para a segurança da informação no serviço
público federal.
No âmbito específico deste instrumento, procurou-se identificar os valores
organizacionais a partir da percepção dos servidores e a importância dos valores da
atitude, comportamento e do conhecimento para a conscientização dos servidores
na segurança da informação.
Uma vez verificada a percepção dos servidores dos diferentes níveis da
organização, buscou-se retratar situações do seu cotidiano que proporcionem maior
proximidade entre a gestão e os valores esperados da organização pelos servidores.
Dessa forma, as conclusões aqui formuladas são uma proposta para as
organizações no âmbito da Administração Pública Federal.
No tocante aos resultados obtidos nas entrevistas foram analisados apenas
alguns dos aspectos da organização em estudo.
Considerando os objetivos do instrumento e análise dos dados quantitativos
realizados no quarto capítulo, formulam-se as conclusões que se seguem.
1. O instrumento de análise do comportamento desenvolvido mostrou-se
eficiente, na medida em que, conseguiu abordar diversas questões em
segurança da informação, as quais os servidores das organizações
enfrentam diariamente no ambiente organizacional.
2. Os resultados obtidos com a pesquisa demonstraram a percepção do
servidor diante do cenário da segurança da informação. Os fatores
comportamentais do conhecimento, comportamento e atitude, revelaram
67
valores positivos e negativos na conduta do servidor no cumprimento às
normas e demais desafios dentro da organização.
3. Outros resultados que se mostraram importantes, foram a grande
quantidade de informações geradas pela ferramenta, onde apresentaram
vulnerabilidades que devem ser tratadas de imediato pela organização,
visando garantir a segurança da informação no ambiente organizacional.
6.4 Trabalhos Futuros
Considerando que os aspectos abordados nesta pesquisa podem ser
ampliados e representam apenas uma primeira tentativa de se iniciar um
aprofundamento dessas questões e de outras, que certamente contribuirão para
suscitar novos conhecimentos concernentes ao tema e à organização pesquisada,
sugere-se como trabalhos futuros:
1. Expandir
a
aplicação
do
instrumento
em
outras
unidades
da
organização, bem como em outros órgãos da Administração Pública
Federal;
2. Reavaliar o instrumento de análise do comportamento dos servidores,
agregando novas abordagens com relação aos fatores que estão
atrelados
ao
comportamento
humano
diante
da
segurança
da
informação;
3. Agregar ao instrumento informações sobre as organizações públicas,
buscando conhecer a cultura organizacional, comportamental e o clima
organizacional que envolve cada instituição.
4. Inserir no instrumento a visão apresentada pelas pesquisas que o
mercado tem produzido frequentemente e as melhores práticas
adotadas pelas organizações públicas e privadas em segurança da
informação.
REFERÊNCIAS BIBLIOGRÁFICAS
ABNT. NBR ISO/IEC 27002/2005: Tecnologia da Informação – Código de prática
para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.
BLOOM, B.S., ENGELHART, M.D., FURST, E.J., HILL, W.H. & KRATHWOHL, D.R.
Taxonomia de objetivos educacionais: domínio cognitivo. Porto Alegre: Editora
Globo, 1972.
BRASIL. Ministério do Planejamento Orçamento e Gestão. Disponível em
www.mpog.gov.br, Acesso em 10 mar. 2009b.
BRASIL. Câmara Brasileira de Comércio Eletrônico. Disponível em www.camarae.net, acesso em 10 mar. 2009a.
FONTES, Edison. Praticando a Segurança da Informação. Rio de Janeiro:
Brasport, 2008.
FONTES, Edison. Vivendo a Segurança da Informação. Rio de Janeiro: Sicurezza,
2000.
CHIAVENATO, Idalberto, Administração de Recursos Humanos, São Paulo:
Segunda Edição, Editora Atlas, 1981.
H. A. Kruger, W. D. Kearney: Measuring Information Security Awareness - A
West Africa Gold Mining Environment Case. ISSA 2005: 1-10. 2005.
LEACH, John. Improving user security behaviour. Computer & security, vol. 22,
Elsevier Ltd, 2003.
KOVACICH, Gerald L. Information Systems Security Officer´s Guide. EUA: HB,
1998.
MANDARINI, Marcos Antonio. Segurança Corporativa Estratégica. São Paulo:
Manole, 2005.
MITNICK, Kevin D, WILLIAM L. Simon, A Arte de Enganar. São Paulo: Pearson
Education do Brasil, 2003.
MODULO Security Solutions S.A. 9ª Pesquisa Nacional de Segurança da
Informação.
Rio
de
Janeiro,
2007.
Disponível
em:
http://www.modulo.com.br/temp/9aPesquisaNacional_Modulo.zip . acesso em:
02 fev. 2009.
MODULO Security Solutions S.A. 10ª Pesquisa Nacional de Segurança da
Informação.
Rio
de
Janeiro,
2007.
Disponível
em:
http://www.modulo.com.br/temp/10aPesquisaNacional_Modulo.zip . acesso em:
02 fev. 2009.
69
RIBEIRO, Mário Sérgio, A Governança Corporativa e a Conscientização na
Segurança da Informação da Organização. 2007. Disponível em www.ibgc.com.br,
acesso em 10 mar. 2009c.
TAMAYO, Álvaro. Valores organizacionais: sua relação com satisfação no trabalho,
cidadania organizacional e comprometimento afetivo. Revista de Administração,
33, 1998.
70
ANEXOS
71
ANEXO I
TERMO DE CONSENTIMENTO LIVRE E ESCLARECIDO
A administração e os empregados da organização estão sendo convidados a participar da
pesquisa intitulada – Avaliação Crítica do Comportamento em Segurança da
Informação e Comunicações dos Servidores da Administração Pública
Federal – APF, do Curso de Gestão da Segurança da Informação e Comunicações da
Universidade de Brasília – UnB, abordando aspectos da atitude, conhecimento e comportamento
dos pesquisados, reservando-se as seguintes condições:
a) Em relação aos aspectos éticos de pesquisa, os servidores serão informados sobre os
objetivos e convidados a participar, sendo assegurado o caráter anônimo das pessoas
pesquisadas e que suas identidades serão protegidas de terceiros não autorizados.
b) Para participar da pesquisa os servidores serão procurados pelo pesquisador, mediante
autorização do responsável pela área de Recursos Humanos, durante o período de 16 de
outubro de 2008 a 24 de outubro de 2008, em horários previamente estabelecidos.
c) O pesquisador poderá ser contatado pelo telefone xxxx-xxxx, para esclarecimentos de
dúvidas sobre a pesquisa, conforme consta no padrão Ético e vigente no Brasil.
d) A participação de todos os servidores nesta pesquisa é voluntária, ou seja, as pessoas têm
a liberdade de recusar participar do estudo, ou se aceitar a participar, retirar seu
consentimento a qualquer momento.
e) Estão garantidas todas as informações que as pessoas queiram – antes, durante e depois
da pesquisa.
f) Pela participação na pesquisa, as pessoas não receberão qualquer valor em dinheiro.
g) Todas as despesas necessárias para realização da pesquisa são de responsabilidade do
pesquisador.
h) As informações relacionadas ao estudo poderão ser inspecionadas pelo orientador da
pesquisa e pelas autoridades legais.
i) Quando os resultados forem publicados, não serão mencionados nomes de servidores ou
de pessoas da administração do Instituto.
Informamos que a pesquisa tem caráter institucional e tem como proposta, subsidiar a organização
nas estratégias de sensibilização dos servidores para com a necessidade do atendimento as normas
de segurança da informação e comunicações do Instituto.
Eu,
,na qualidade de responsável pela área de Recursos Humanos da
organização, li o texto acima, compreendi a natureza e objetivo da pesquisa, e concordo que os
servidores do Instituto possam participar voluntariamente nesta pesquisa.
Renato do Carmo das Neves Alves
Coordenador de Recursos Humanos
Brasília-DF, 16 de outubro de 2008
Pesquisador
72
ANEXO II
73
74
ANEXO III
PLANILHA COM OS RESULTADOS DA PESQUISA
Questão 1
Entrevistado
Questão 2
Questão 3
1
1
1
Estratégico2
1
1
Estratégico3
1
1
1
Estratégico4
1
1
1
Estratégico5
1
Gerente1
1
1
Gerente2
1
1
Gerente3
1
Gerente4
1
1
1
Gerente5
1
1
1
Questão 6
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
Operacional3
1
1
Operacional4
1
1
Operacional5
1
Questão 8
1
1
1
1
1
1
1
1
1
1
1
1 1
1
Questão 9
1
1
1
1
1
Questão 7
1
1
1
Operacional2
1
1
1
Operacional1
Estratégico1
Estratégico2
Estratégico3
Estratégico4
Estratégico5
Gerente1
Gerente2
Gerente3
Gerente4
Gerente5
Operacional1
Operacional2
Operacional3
Operacional4
Operacional5
Questão 5
a b c d e a b c D a b c d a b c d a b c d a b c d
Estratégico1
Entrevistado
Questão 4
Questão 10
1
1
1
1
Questão 11
Questão 12
a b c d a b c d A b c d a b c d a b c d e a b c d e
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1 1
1
1
1
1
1
1 1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1 1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1 1 1
75
Questão 13
Questão 14
Questão 15
Questão 16
Questão 17
Questão 18
Entrevistado
a b c d e a b c D a b c d a b c d a b c d a b c d
Estratégico1
Estratégico2
Estratégico3
Estratégico4
Estratégico5
Gerente1
Gerente2
Gerente3
Gerente4
Gerente5
Operacional1
Operacional2
Operacional3
Operacional4
Operacional5
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1 1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1