Universidade de Brasília
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Curso de Especialização em Gestão da Segurança da Informação e
Comunicações
CESAR MONTENEGRO JUSTO
Análise preliminar sobre a adequação da cultura organizacional
para Implantação de uma Mentalidade de Segurança da Informação,
na Organização X.
Brasília
2011
Cesar Montenegro Justo
Análise preliminar sobre a adequação da cultura organizacional
para Implantação de uma Mentalidade de Segurança da Informação,
na Organização X.
Brasília
2011
Cesar Montenegro Justo
Análise preliminar sobre a adequação da cultura organizacional para
Implantação de uma Mentalidade de Segurança da Informação, na
Organização X.
Monografia apresentada ao Departamento
de
Ciência
da
Computação
da
Universidade de Brasília como requisito
parcial para a obtenção do título de
Especialista em Ciência da Computação:
Gestão da Segurança da Informação e
Comunicações.
Orientadora: Dra. Claudia Lyrio Canongia
Gabinete de Segurança Institucional da Presidência da República
Orientadora
Brasília
Novembro de 2011
Desenvolvido em atendimento ao plano de trabalho do Programa de
Formação de Especialistas para a Elaboração da Metodologia Brasileira
de Gestão da Segurança da Informação e Comunicações - CEGSIC
2009/2011.
© 2011 Cesar Montenegro Justo. Qualquer parte desta publicação pode
ser reproduzida, desde que citada a fonte.
Justo, Cesar Montenegro
Análise preliminar sobre a adequação da cultura organizacional
para Implantação de uma Mentalidade de Segurança da Informação, na
Organização X / Cesar Montenegro Justo. – Brasília: O autor, 2011. 88
p.; Ilustrado; 25 cm.
Monografia (especialização) – Universidade de Brasília. Instituto de
Ciências Exatas. Departamento de Ciência da Computação, 2011.
Inclui Bibliografia.
1. Cultura Organizacional. 2. Mentalidade de Segurança da
Informação. 3. Segurança da Informação e Comunicações. I. Título.
CDU 004.0561
Dedicatória
Dedico a minha esposa Martiene, que sempre buscou me apoiar em todas as
situações e a minha filha Beatriz.
Agradecimentos
Agradeço
a
Deus,
o
inseparável
amparo
em
todos
os
momentos,
principalmente naqueles onde as dificuldades aparentam ser superiores a nossas
condições.
A minha família que sempre buscou me apoiar, sendo o indispensável estimulo
ao meu progresso.
À minha orientadora, Dra. Claudia Canongia, pelo apoio e pela compreensão,
fundamentais a conclusão desse trabalho.
A equipe do CEGSIC 2010-2011, capitaneada pelo prof. Dr. Jorge Henrique
Cabral Fernandes, facilitando o aprendizado necessário para este trabalho.
A todos que contribuíram na realização das pesquisas necessárias, com sua
disponibilidade, atenção e colaboração.
“Conhece-te a ti mesmo.”
Sócrates, inscrito na entrada do templo de Delphos.
.
Lista de Figuras
Figura 1: Iceberg [Fontes: Adaptado de Sathe apud Mamede (2004, p. 04) e de
Chiavenato (2004, p. 297)]. ....................................................................................... 26
Figura 2: Folha 1 do questionário A (Fonte: Elaboração própria) ............................. 39
Figura 3: Folha 2 do questionário A (Fonte: Elaboração própria) ............................. 40
Figura 4: Folha 3 do questionário A (Fonte: Elaboração própria) ............................. 41
Lista de Tabelas
Tabela 1 – Sumário das respostas do Questionário A Questão 1..............................46
Tabela 2 – Sumário das respostas do Questionário A Questão 2 Letra A.................46
Tabela 3 – Sumário das respostas do Questionário A Questão 2 Letra B.................47
Tabela 4 – Sumário das respostas do Questionário A Questão 2 Letra C.................48
Tabela 5 – Sumário das respostas do Questionário A Questão 2 Letra D.................48
Tabela 6 – Sumário das respostas do Questionário A Questão 3 Letra A.................52
Tabela 7 – Sumário das respostas do Questionário A Questão 3 Letra B.................53
Tabela 8 – Sumário das respostas do Questionário A Questão 3 Letra C.................54
Tabela 9 – Cálculo dos valores obtidos na Questão 2 Letras “A” a “D.......................62
Sumário
Ata de Defesa de Monografia ...................................................................................... 3
Dedicatória ..................................................................................................................4
Agradecimentos .......................................................................................................... 5
Lista de Figuras ........................................................................................................... 7
Lista de Tabelas .......................................................................................................... 8
Sumário .......................................................................................................................9
Resumo ..................................................................................................................... 12
Abstract ..................................................................................................................... 13
1 Introdução .............................................................................................................. 14
1.1 Delimitação do Problema ................................................................................. 14
1.2 Problema de pesquisa ..................................................................................... 17
1.3 Objetivos e escopo .......................................................................................... 17
1.3.1 Objetivo Geral .............................................................................................. 17
1.3.2 Objetivos Específicos ................................................................................... 17
1.3.3 Escopo ......................................................................................................... 17
1.4 Justificativa ...................................................................................................... 18
1.5 Hipótese........................................................................................................... 19
2 Revisão de Literatura e Fundamentos ................................................................... 20
2.1 Processo de transformação do Exército Brasileiro .......................................... 20
2.2 Segurança da Informação................................................................................ 21
2.2.1 Contrainteligência ........................................................................................ 22
2.2.2 Evolução dos meios de Tecnológica da Informação e as medidas de
Segurança da Informação ....................................................................................... 23
2.2.3 Papel do Fator Humano na evolução das Medidas de Segurança .............. 24
2.2.4 Necessidade de uma Mentalidade de Segurança da Informação ................ 25
2.3 Cultura Organizacional .................................................................................... 25
2.3.1 Impositivos na mudança da Cultura Organizacional .................................... 29
2.3.2 Dificuldades na mudança da Cultura Organizacional ................................... 31
2.3.3 Ações na mudança da Cultura Organizacional ............................................ 33
3 Metodologia ............................................................................................................ 35
3.1 Estudo de caso ............................................................................................... 35
3.2 Revisão bibliográfica ....................................................................................... 36
3.3 Pesquisa em campo ........................................................................................ 37
3.3.1 Critérios para Coleta, Análise e Interpretação dos dados .......................... 37
3.3.2 Questionário de apoio A............................................................................. 38
3.3.3 Entrevistas e Observações subsequentes ................................................. 42
3.4 Critérios de Análise e Interpretação dos dados .............................................. 42
3.4.1 Análise do Questionário A .......................................................................... 43
3.4.2 Análise das Entrevistas e Observações subsequentes.............................. 43
4 Resultados ............................................................................................................. 45
4.1 Questionário de apoio A .................................................................................. 45
4.1.1 Questão 1 do questionário A ...................................................................... 45
4.1.2 Questão 2 do questionário A ...................................................................... 46
4.1.3 Questão 3 do questionário A ...................................................................... 51
4.2 Entrevistas e Observações subsequentes ..................................................... 55
4.2.1 Pessoal da Organização X ......................................................................... 56
4.2.2 Medidas de segurança existentes na Organização X ................................ 56
4.2.3 Influência de fatores psicológicos e organizacionais na execução das
medidas de segurança previstas na Organização X ............................................. 57
4.2.4 Atividades voltadas à viabilização de mudanças na Cultura Organizacional
da Organização X. ................................................................................................ 58
5 Discussão ............................................................................................................... 61
5.1 Análise do questionário de apoio A ................................................................. 62
5.2 Análise das entrevistas e observações subsequentes ................................... 66
5.2.1 Pessoal da Organização X ......................................................................... 66
5.2.2 Medidas de segurança existentes na Organização X ................................ 66
5.2.3 Influência de fatores psicológicos e organizacionais na execução das
medidas de segurança previstas na Organização X ............................................. 67
5.2.4 Atividades voltadas à viabilização de mudanças na Cultura Organizacional
da Organização X ................................................................................................. 67
5.3 Interpretação dos dados ................................................................................. 68
5.3.1 Aspectos da Cultura da Organização X ..................................................... 68
5.3.2 Como os fatores psicológicos e organizacionais dificultam a implantação de
uma Mentalidade de Segurança da Informação.................................................... 68
5.3.3 Atividades voltadas à conscientização e treinamento do pessoal, que atuem
sobre os fatores que dificultam a implantação da Mentalidade de Segurança da
Informação ............................................................................................................ 69
6 Conclusões e Trabalhos Futuros............................................................................ 72
6.1 Conclusões ...................................................................................................... 73
6.2 Trabalhos Futuros ............................................................................................ 77
Referências e Fontes Consultadas ........................................................................... 79
Glossário ................................................................................................................... 82
A ............................................................................................................................ 82
C ............................................................................................................................ 83
D ............................................................................................................................ 84
E ............................................................................................................................ 85
M ............................................................................................................................ 86
S ............................................................................................................................ 87
T ............................................................................................................................88
Resumo
O trabalho buscou analisar a implantação de uma Mentalidade de Segurança
da Informação na Organização X durante o ano de 2010, através do levantamento de
como fatores psicológicos e organizacionais que podiam influenciar negativamente o
pessoal da Organização X na adequação dos comportamentos existentes na sua
atual cultura organizacional com um novo paradigma de comportamento proposto
pelo Exército Brasileiro. Objetivou-se identificar atividades que sirvam de ferramentas
na neutralização desses fatores adversos, viabilizando uma mudança cultural, com a
consequente adoção de uma Consciência de Segurança pelos Militares desta
Organização Militar. Pressupunha-se que as medidas de segurança existentes na
Organização X não estão atendendo as necessidades existentes. Ressalta-se a
importância desse trabalho, por se enquadrar na conjuntura de mudança cultural
necessária a condução do processo de Transformação do Exército Brasileiro. Foi
utilizada nesse trabalho a metodologia de Estudo de caso para que fossem
alcançados os objetivos propostos e a confirmação da hipótese apresentada,
concluindo que a implantação de uma Mentalidade de Segurança da Informação na
Organização X, no ano de 2010, exigia o entendimento de como conduzir uma
mudança comportamental para que a implantação de novas medidas de segurança,
através de processos de conscientização e capacitação, obtivessem êxito na quebra
de paradigmas imposta pela implantação de uma Mentalidade de Segurança da
Informação.
Palavras-chave:
Mentalidade
de
Segurança
da
Informação,
Cultura
Organizacional, Segurança da Informação e Comunicações, Exército Brasileiro.
Abstract
This research examined the implementation of an Information Security Mindset
in the “X Organization” during 2010, through the analysis of psychological and
organizational factors that could negatively influence the staff of the “X Organization”
on the adequacy of existing behaviors in its current organizational culture with the new
behavior paradigm proposed by the Brazilian Army. The main objective was identify
activities that serve as tools for the neutralization of these adverse factors, enabling a
cultural change, with the consequent adoption of a Security Awareness by the Military
of that Military Organization. It was assumed that the existing security measures in “X
Organization” didn’t meet the existing needs. It’s emphasized the importance of this
research as a way to achieve a cultural change knowledge necessary to lead the
transformation process of the Brazilian Army. The case study methodology was used
in this research to get achieved the proposed objectives and to get confirmed the
presented hypothesis, concluding that the implementation of a Security Mindset in the
“X Organization”, on 2010, required a wider understanding of conducting a behavioral
change to the training and awareness processes
that were used for the
implementation of new security measures were successful in breaking paradigms
imposed by the implementation of the Information Security Mindset.
Keywords:
Security
Mindset,
Organizational
Communications Security, Brazilian Army.
Culture,
Information
and
14
1 Introdução
A revolução tecnológica em andamento possibilitou inovações de diversas
áreas do conhecimento, possibilitando um crescente acesso a novas tecnologias.
Ameaças assimétricas à paz e a segurança internacional ganharam novas
capacidades, alterando os cenários até então existentes.
Países desenvolvidos inovam no ritmo de sua evolução tecnológica enquanto
que os países emergentes, em geral, aplicam à sua realidade as tecnologias já
disponíveis no mundo desenvolvido. A Tecnologia da Informação e Comunicação
passou a interferir na ordem geopolítica.
O Brasil, com crescente visibilidade na conjuntura mundial e detentor de
vastos recursos naturais que podem gerar eventuais demandas militares, deve
buscar de todas as formas a proteção do conhecimento diante das incertezas
globais.
O Exército Brasileiro (2009, p. 26), atento a essa conjuntura, busca se
adequar, num esforço para assegurar capacidades necessárias ao êxito no
cumprimento de suas missões. A busca pela adequação sugere a necessidade de
mudanças. É indispensável uma transformação, pois é preciso o desenvolvimento
de novas capacidades para atendimento de funções ou missões no futuro.
Destaca-se o fato de que a Tecnologia da Informação e Comunicação é um
dos novos parâmetros com os quais as forças militares estão se deparando nos
conflitos atuais e nos visualizados para o futuro, e a gestão da informação é um dos
“pontos que marcam uma transformação” (COVARRUBIAS, 2007, p. 24).
Segundo Caruso & Steffen (1999, p. 22), não há organização que não seja
altamente dependente da Tecnologia da Informação e Comunicação, em maior ou
menor grau. Entende-se que essa dependência, num contexto de mudança, envolve
principalmente pessoas, por vezes, com pouco ou nenhum contato anterior com
computadores, sem cultura prévia de Segurança.
15
Tal realidade contribui para que os meios da Tecnologia da Informação e
Comunicações sejam tratados como se fossem mais um equipamento de escritório
que, supostamente, não exigem nenhuma medida especial para sua proteção. Isso
implica em riscos crescentes uma vez que os meios de Tecnologia da Informação
aumentam em capacidade e processamento.
Dentro do paradigma de transformação do Exército Brasileiro em instituição
da era da Tecnologia da Informação e Comunicação, imposto pelo Alto Comando do
Exército Brasileiro (2009, p. 31), existe a adoção de uma mentalidade proativa na
atualização do pessoal, que, na Organização X, a qual compõe o universo do estudo
de caso desta pesquisa, são os Militares de suas diversas Seções, em atitudes e
comportamentos voltados a uma cultura de segurança.
1.1 Delimitação do Problema
A Segurança da Informação, dentro do Exército Brasileiro, pode ser
enquadrada dentro da Contrainteligência. Assim, devem ser entendidas como
atividades de Contrainteligência as medidas de segurança tomadas a fim de
assegurar a Segurança da Informação na Organização X.
Segundo Caruso & Steffen (1999, p. 31), as medidas de Segurança devem
estar sempre sendo revisadas, em virtude da introdução de novas tecnologias,
principalmente as voltadas à tecnologia, que geram, por consequência, novas
vulnerabilidades, ou dão novas capacidades, a atores, externos ou internos, de
interferir, diretamente, nas atividades ou, indiretamente, na estrutura, pessoal ou
material de organizações.
O Exército Brasileiro (2009, p. 13) verificou por meio de estudos de caso que
o Fator Humano deve ser considerado o recurso mais valioso dentro do Exército,
estando na base de quaisquer de suas organizações operacionais. Entende-se que
apesar de avanços tecnológicos, o homem não pode ser completamente substituído
e por outro lado, precisa ser cada vez mais capacitado.
16
Devido ao fato de não adiantar evoluir apenas as medidas de segurança, se
“o elo mais fraco dessa corrente” o ser humano que estiver operando os sistemas,
isto é, manipulando diretamente as informações ou mesmo indiretamente, através
do uso dos meios de Tecnologia da Informação, não estiver acompanhando essa
evolução e se atualizando, por meio da incorporação consciente de novas atitudes
de segurança em seu comportamento (MITNICK & SIMON, 2003, p. 03).
Diante dessa questão o Exército Brasileiro (2009 p. 34 a 36) visualizou ser
indispensável incutir novos comportamentos e atitudes em seu pessoal.
Assim é notório que fatores inerentes a percepção, entendimento e
aprendizado, além de outros voltados ao comportamento humano, arraigados na
cultura organizacional da Organização X irão influir na aceitação e internalizarão
dessas novas medidas, provavelmente gerando dificuldades, desconforto e
ansiedades, a serem enfrentadas pelos militares, que necessitarão desaprender os
conceitos antigos para poder assimilar os novos conceitos expostos (SCHEIN, 1999,
p. 117). Ainda, segundo Schein (1999, p. 102) existe a necessidade das lideranças
culturais da organização exercerem o exemplo, que servirá de estímulo a
internalizarão de um novo paradigma imposto.
Um dos impositivos para a mudança é a necessidade de serem alteradas
concepções, muitas profundamente arraigadas na Cultura institucional do Exército
por parte do pessoal.
Pode-se aplicar dentro da Cultura Institucional, os conceitos relativos a
Cultura Organizacional, entendido por "conjunto de pressupostos básicos, de
valores, inventados ou descobertos por um grupo para resolver problemas tanto de
adaptação externa e/ou integração interna" (SCHEIN apud ROSSO, 2000, p. 14).
Robbins (2005, p. 379) explica que a cultura organizacional possui
características que podem produzir comportamentos funcionais, os quais influenciam
ou positivamente ou negativamente, dependendo da adequação dos valores da
cultura com as atuais necessidades da Organização.
Mamede (2004, p. 06) coloca que a maior consequência negativa da cultura
organizacional é o fato dela poder criar barreiras à mudança, principalmente em
organizações de cultura forte.
17
1.2 Problema de pesquisa
Partiu-se do entendimento de que o atual conjunto de atitudes que formam o
comportamento apresentado pelos militares da Organização X, na execução das
diversas tarefas que compõe sua rotina operacional e administrativa, voltadas a
Segurança da Informação e Comunicações, estava defasado.
Essa defasagem entre as necessidades versus capacidades, relativas à
Segurança da Informação e Comunicações na Organização X, se deve, em grande
medida, ao surgimento constante de novas ameaças, decorrentes da evolução
tecnológica.
Buscou-se então identificar como e porque alguns fatores influenciam
negativamente no processo de adequação da cultura organizacional à nova
necessidade: “implantar uma Mentalidade voltada à Segurança da Informação”.
A pesquisa procurou identificar “ferramentas” necessárias à mitigação de
influências negativas de possíveis fatores psicológicos e organizacionais num
processo de adequação Cultura Organizacional na Organização X para implantação
dessa mentalidade.
1.3 Objetivos e escopo
1.3.1 Objetivo Geral
Identificar aspectos da Cultura da Organização X que expressem um
referencial ou padrão inicial relativo à presença de valores afins a uma Mentalidade
de Segurança da Informação.
1.3.2 Objetivos Específicos
 Levantar como os potenciais fatores psicológicos e organizacionais dificultam
a implantação de uma Mentalidade de Segurança da Informação, pela
influência negativa na adequação das rotinas, procedimentos e atitudes.
 Levantar atividades voltadas à conscientização e capacitação do pessoal, que
atuem sobre os fatores que dificultam a implantação da Mentalidade de
Segurança da Informação.
18
1.3.3 Escopo
O escopo da pesquisa é o ambiente da Organização X, incluso sua estrutura
física, pessoal e material que contenham informação relacionada ao funcionamento
de suas atividades críticas.
A Organização X é uma Organização Militar do Exército Brasileiro, o qual está
distribuído por todo território nacional em doze Grandes Comandos Administrativos.
O Exército Brasileiro possui uma organização hierárquica, na qual
Organizações Militares com mesmo nível de subordinação possuem divisão de
atribuições e encargos, seguindo o princípio da unidade de comando, em suas áreas
de responsabilidades.
A Organização X está ligada diretamente a um dos doze Grandes Comandos
Administrativos e possui os encargos: Defesa Territorial e Apoio Logístico às
Organizações Militares subordinadas.
Dentre o pessoal da Organização X, foram alvos da pesquisa os responsáveis
pela operação, execução e fiscalização das atividades ligadas aos sistemas de
missão crítica.
A pesquisa em campo dentro desse ambiente foi também limitada ao período
de tempo de março de 2010 a dezembro de 2010.
1.4 Justificativa
A evolução tecnológica impõe uma constante revisão e atualização de
medidas de segurança, de forma a executar uma eficaz Segurança.
Deste modo, conclui-se, através de uma análise introspectiva, que a
segurança sempre deve ser tratada como insuficiente, isto é, nunca atingirá o ideal,
pois projetando as medidas de segurança, em função do fator tempo, num plano
cartesiano, o ideal será projetado no infinito.
Assim, de acordo Mitnick & Simon (2003, p. 195 a 203), para se obter
segurança, não bastam apenas recursos tecnológicos, pois existe a necessidade do
estímulo de uma mentalidade proativa na atualização do pessoal, em atitudes
voltadas para segurança, num prazo indeterminado.
Dessa maneira, a premissa inicial é de que as medidas de segurança estão
deficientes, isto é, podem e devem ser aprimoradas.
19
1.5 Hipótese
A pesquisa tem como pressuposto de que as medidas de segurança da
Organização X estão defasadas em relação às crescentes possibilidades das
ameaças existentes ao Exército Brasileiro.
Para solucionar esse problema, já foi exposto que não adianta investir na
atualização das medidas de segurança tecnológicas, se não houver no pessoal da
organização uma mentalidade voltada à segurança que garanta o correto emprego
dessas medidas.
A pesquisa parte da hipótese de que existem fatores psicológicos ou
organizacionais resultantes da atual cultura organizacional que dificultam a
adequação dos integrantes da Organização X às novas medidas de segurança
impostas; tanto pela reestruturação da Instituição como pela evolução dos recursos
de Tecnologia da Informação e Comunicação.
20
2 Revisão de Literatura e Fundamentos
2.1 Processo de transformação do Exército Brasileiro
As mudanças em instituições militares são classificadas, de acordo com seu
alcance em: adaptação, modernização e transformação (COVARRUBIAS, 2007, p.
18).
O Exército Brasileiro (2009, p. 10) entende que é necessária uma
transformação. É necessário o desenvolvimento de novas capacidades para
atendimento de funções ou missões no futuro. A adaptação e a modernização não
proporcionam todas as respostas para as demandas que se apresentam, pois estas
partem do pressuposto que as atuais formas de atuação são adequadas.
O Exército Brasileiro (2009, p. 10) entende que a Tecnologia da Informação e
Comunicações é um dos novos parâmetros com os quais as forças militares estão
se deparando, seja nos conflitos atuais ou nos visualizados para o futuro e que a
gestão da informação é “um dos pontos que marcam uma transformação”
(COVARRUBIAS apud EXÉRCITO BRASILEIRO, 2009, p. 10).
O grande Objetivo é tornar o Exército Brasileiro em uma instituição da era da
Informação, isto é, assentada sobre ferramentas de tecnologia da Informação.
O Exército Brasileiro (2009, p. 13) verificou que o Fator Humano deve ser
considerado o recurso mais valioso, estando na base de quaisquer de suas
organizações operacionais. É entendido que apesar de avanços tecnológicos, o
homem não pode ser completamente substituído e por outro lado, precisa ser cada
vez mais capacitado.
A transformação consiste não só na ruptura de valores relativos ao ambiente
organizacional, pessoas e atividades, mas também no uso de novas tecnologias que
21
se interagem com novos valores, gerando um contínuo aprender do ser humano
(BLATTMANN, 1999, p. 23).
Segundo Chiavenato (2004, p. 298) esse conceito de aprendizado deve ser
entendido como sinônimo de mudança de comportamento.
A
necessidade
de
serem
alteradas
concepções,
muitas
dessas
profundamente arraigadas na cultura institucional do Exército, é vista como um dos
impositivos para a mudança. Dentro dessa cultura institucional será de grande
importância a preocupação com uma permanente atualização pessoal, baseada na
premissa de que o êxito profissional dependerá do domínio de novas tecnologias
(EXÉRCITO BRASILEIRO, 2009, p. 36).
2.2 Segurança da Informação
O Gabinete de Segurança Institucional (2008) definiu a Segurança da
Informação e Comunicações no âmbito da Administração Pública Federal como
“Ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a
confidencialidade e a autenticidade das informações”.
O Ministério da Defesa (2007) entende de forma independente os conceitos
de Segurança da Informação e de Segurança das Comunicações, empregados nas
Forças Armadas.
A Segurança da Informação, para o Ministério da Defesa (2007, p. 235) é
definida como:
Conjunto de conceitos, técnicas e atividades que visem a proporcionar
confidencialidade, integridade e disponibilidade às informações, protegendo
recursos de informação contra ações deliberadas ou não-autorizadas de
aquisição, dano, manipulação, modificação, perda, revelação ou uso
desses recursos.
O conceito de Segurança das Comunicações, no âmbito das Forças Armadas
é:
Medidas e controles destinados a negar o acesso de pessoas nãoautorizadas a conteúdos que circulem em meios de telecomunicações e a
garantir a autenticidade desse conteúdo. As ações de segurança incluem
transmissões, emissões, fluxo, segurança física e criptologia. (MINISTÉRIO
DA DEFESA, 2007, p. 235)
22
Verifica-se que dentro do entendimento de Segurança da Informação do
Ministério da Defesa (2007) que a Segurança das Comunicações pode ser
entendida como inserida dentro da Segurança da Informação, no âmbito das Forças
Armadas.
Ao serem comparadas as definições de Segurança da Informação e
Comunicações do Gabinete de Segurança Institucional, no âmbito da Administração
Pública Federal e de Segurança da Informação do Ministério da Defesa (2007) no
âmbito das Forças Armadas pode ser entendido que ambas as definições são
similares, optando-se por acompanhar o uso do termo “Segurança da Informação”
empregado no Exército Brasileiro.
Sêmola apud Rocha (2008, p. 24) definiu Segurança da Informação como
sendo “uma área do conhecimento dedicada à proteção de ativos da informação
contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”.
Para Promon apud Rocha (2008, p. 24), o conceito de Segurança da
Informação pressupõe a identificação das diversas vulnerabilidades e a gestão dos
riscos associados aos diversos ativos da informação de uma corporação,
independentemente de sua forma ou meio em que são compartilhados ou
armazenados, digitais ou impressos. O objetivo da segurança é garantir a
confidencialidade, a integridade e a disponibilidade desses ativos de informação de
uma corporação.
Rocha (2008, p. 28) entende que as definições de Sêmola e Promon acerca
da Segurança da Informação nos conduzem a compreensão de que o Usuário da
Informação é uma peça estratégica, participante do processo interativo com
sistemas de informação.
2.2.1 Contrainteligência
A Contrainteligência é entendida como:
Atividade que objetiva prevenir, detectar, obstruir e neutralizar ações de
qualquer natureza que constituam ameaça à salvaguarda de dados,
informações e conhecimentos de interesse da segurança de instituições, da
sociedade e do Estado, bem como das áreas e dos meios que os retenham
ou em que transitem. (BRASIL, 2002)
23
A Contrainteligência, para o Ministério da Defesa (2007, p. 66), é definida
como:
Ramo da atividade de inteligência voltado para a detecção, identificação,
neutralização, obstrução e prevenção da atuação da Inteligência adversa e
das ações de qualquer natureza que constituam ameaças à salvaguarda de
dados, conhecimentos e seus suportes (documentos, áreas e instalações,
pessoal, material e meios de tecnologia da informação) de interesse da
sociedade e do Estado.
Pode-se observar que os conceitos de Contrainteligência acima são similares,
com ressalva que o Ministério da Defesa (2007), na definição de Contrainteligência
no âmbito das Forças Armadas, priorizou como ameaça “a atuação da Inteligência
adversa”.
Desses conceitos pode ser inferido que as ações voltadas à Segurança da
Informação no âmbito do Governo Federal e das Forças Armadas estão inseridas
dentro dos conceitos apresentados sobre a Contrainteligência. O entendimento da
Contrainteligência no Exército Brasileiro é importante pela aplicabilidade de medidas
dessa área no âmbito da Segurança da Informação dentro da Organização X.
2.2.2 Evolução dos meios de Tecnológica da Informação e as medidas de
Segurança da Informação
“A segurança nunca será um produto acabado, que uma vez implantado
permanecerá estável...” (CARUSO & STEFFEN, 1999, p. 31).
O mundo atual se caracteriza por um ambiente dinâmico em constante
mudança que exige das organizações elevada capacidade de adaptação como
condição de sobrevivência (CHIAVENATO, 2004, p. 296).
Segundo Caruso & Steffen (1999, p. 31), as medidas de segurança devem
estar sempre sendo revisadas, em virtude da introdução de novas tecnologias,
principalmente as voltadas à tecnologia da informação, que geram, por
consequência, novas vulnerabilidades, ou dão novas capacidades, a atores,
externos ou internos, de interferir, diretamente, nas atividades ou, indiretamente, na
estrutura, pessoal ou material de organizações.
24
2.2.3 Papel do Fator Humano na evolução das Medidas de Segurança
Um ditado popular diz que nenhuma corrente é mais forte que seu elo mais
fraco; da mesma forma nenhuma parede é mais forte que sua porta ou
janela mais fraca, de modo que você precisa colocar as trancas mais
resistentes possível nas portas e janelas. De forma similar, quando você
implementa segurança em um ambiente de informações, o que na
realidade você está procurando fazer é eliminar o máximo possível de
pontos fracos ou garantir o máximo de segurança para os mesmos.
(CARUSO & STEFFEN, 1999, p. 21)
Mitnick & Simon (2003, p. 03) apontam o ser humano como “o elo mais fraco”
em analogia ao ditado da corrente. Neste mesmo “elo” faz parte o Pessoal
responsável por operar diversos sistemas, isto é, manipula as informações,
diretamente ou indiretamente, através do uso dos recursos de TIC. O
comportamento humano é uma possível fonte de vulnerabilidades.
Mitnick ficou famoso por explorar essa vulnerabilidade para “driblar” medidas
de segurança implantadas nos recursos de TIC das organizações alvo de seus
ataques Hacker. Ele acredita que a única maneira de alcançar uma segurança
relativa é possuir o Pessoal capacitado e conscientizado. Ele advoga que além da
capacitação deve existir um programa constante de conscientização.
Em Caruso & Steffen (1999, p. 31) entende-se que os riscos decorrentes da
evolução dos meios de Tecnologia da Informação podem comprometer a
sobrevivência da organização, caso seu Pessoal não estiver acompanhando essa
evolução e se atualizando.
Rezende e Abreu (2000) apud Rocha (2008, p. 26) entendem que as
organizações devem procurar dar mais atenção ao ser humano, pois é ele que faz
com que as engrenagens empresariais funcionem perfeitas e harmonicamente,
buscando um relacionamento cooperativo e satisfatório. Dessa forma, seria
importante destacar que o elo mais fraco de um processo de segurança é a pessoa
(ou grupos de pessoas), que por sua vez, é a responsável por garantir as
propriedades da informação: a disponibilidade, a integridade, a confidencialidade e a
autenticidade.
25
2.2.4 Necessidade de uma Mentalidade de Segurança da Informação
“É preciso vender cultura da segurança para o corpo da organização”
(CARUSO & STEFFEN, 1999, p. 55).
Caruso & Steffen (1999, p. 55) defendem que para se implantar uma Política
de segurança: “deve-se assumir que não existe nada definido e partir para
implantação do novo padrão cultural necessário para segurança”.
Segundo o entendimento de Caruso & Steffen (1999 p. 55) a mudança dos
padrões culturais não pode ser iniciada diretamente sobre as atividades de
Tecnologia da Informação e Comunicações, por mais tentadora que possa parecer
essa abordagem. Antes de se começar a implantação da segurança “em informática”
é preciso fazer que ela pareça ter sido sempre parte da cultura da organização.
A mudança se dá através de um processo de aprendizado e Mitnick & Simon
(2003, p. 203) reforçam que o aprendizado, mesmo de questões importantes, tende
a desaparecer, a menos que seja reforçado periodicamente. Devido à importância
de manter os empregados atualizados sobre o assunto da defesa contra os ataques
da engenharia social, um programa constante de conscientização é de importância
vital.
O Exército Brasileiro (2009) está de acordo com o entendimento de Mitnick &
Simon (2003, p. 195) ao aceitar a necessidade de um programa contínuo visando à
conscientização e o treinamento do pessoal, ou fator humano, com objetivo de
desenvolvimento das atitudes e comportamentos necessários para compor uma
mentalidade voltada a Segurança da Informação.
2.3 Cultura Organizacional
É importante compreender a cultura organizacional para entender sua
influência dentro dos comportamentos e atitudes do pessoal de uma organização.
A Cultura Organizacional pode se entendida como: "conjunto de pressupostos
básicos, de valores, inventados ou descobertos por um grupo para resolver
problemas tanto de adaptação externa e/ou integração interna" (SCHEIN apud
ROSSO, 2000, p. 14).
26
A Cultura Organizacional ajuda a formar a compreensão de “como as coisas
costumam ser feitas dentro de uma organização.” Ela expressa os valores
essenciais compartilhados e aceitos pela maioria dos membros da organização.
Esse aspecto dos valores é o que torna a cultura organizacional um importante
instrumento para modelar e orientar o comportamento dentro da organização
(ROBBINS, 2005, p. 374).
Segundo Robbins (2005, p. 378), a cultura ajuda a manter a organização
coesa, fornecendo padrões adequados para aquilo que o pessoal vai fazer ou dizer.
Ela orienta as atitudes e comportamentos dos funcionários.
Chiavenato (2004, p. 296 e 297) explica que a Cultura Organizacional
conglomera aspectos formais, facilmente perceptíveis, relacionados com as políticas,
diretrizes, procedimentos, objetivos, estruturas e tecnologias existentes, e aspectos
informais, relacionados com as percepções, sentimentos, atitudes, valores,
interações informais e normas grupais.
Os diferentes aspectos, formais e informais, podem ser caracterizados numa
analogia a um “iceberg”. Nessa estrutura, os aspectos formais estão associados à
parte visível, observável, orientados para aspectos operacionais e de tarefas,
enquanto os segundos, invisíveis ou ocultos, estão relacionados com as questões
afetivas, emocionais, orientados para aspectos sociais e psicológicos, por vezes
difíceis de interpretar e compreender, transformar ou mudar (CHIAVENATO, 2004).
Figura 1 Iceberg – [Fontes: Adaptado de Sathe apud Mamede (2004, p. 04) e de
Chiavenato (2004, p. 297)].
27
Senge (2009, p. 33) usou a definição de “Modelos mentais” ao definir “os
pressupostos profundamente arraigados, generalizações ou mesmo imagens que
influenciam a forma de perceber e agir das pessoas”. Esses modelos agiriam de
forma não consciente nas pessoas, mas teriam efeito direto em seu comportamento.
Pode se concluir que o entendimento a respeito de Modelos Mentais colocado
por Senge (2009) é relacionado aos conceitos de premissas ou pressupostos
básicos e valores que compõem a Cultura Organizacional defendidos por Schein e
Robbins, além do conceito sobre os aspectos informais que compõem a Cultura
Organizacional defendido por Chiavenato, e que estariam situados abaixo da linha
d’água na analogia do “Iceberg” na figura 1.
Cultura organizacional produz comportamentos funcionais que contribuem
para que se alcancem as metas da organização. É também uma fonte de
comportamentos desajustados que produzem efeitos adversos ao sucesso
da organização. (ROBBINS apud MAMEDE, 2004, p. 06)
Ainda, segundo Mamede (2004, p. 06) é identificada como a maior disfunção,
consequência negativa, da cultura organizacional é o fato dela criar barreiras à
mudança, principalmente em organizações de cultura forte, como pode ser apontada
a Organização X.
A cultura organizacional é concebida como um conjunto de valores e
pressupostos básicos expressos em elementos simbólicos, que em sua
capacidade de ordenar, atribuir significações, construir a identidade
organizacional, tanto agem como elemento de comunicação e consenso,
como ocultam e instrumentalizam as relações de dominação. (FLEURY e
FISCHER apud ROCHA, 2008, p. 30)
Freitas apud Rocha (2008, p. 30), afirma que a cultura organizacional é o
modelo dos pressupostos básicos, que determinado grupo tem inventado,
descoberto ou desenvolvido no processo de aprendizagem para lidar com os
problemas de adaptação externa e integração interna. Uma vez que os pressupostos
tenham funcionado bem o suficiente para serem considerados válidos, são
ensinados aos demais membros como a maneira correta para se proceder, se
pensar e sentir-se em relação àqueles problemas.
28
Schein (1999) entende a cultura organizacional como propriedade de uma
unidade social estável e coesa, formada por pessoas que compartilham uma visão
de mundo em função de terem vivenciado e encontrado soluções em conjunto para
os problemas de integração interna e adaptação externa, e que tenham admitido
novos membros para os quais transmitiram sua forma de pensar.
De acordo com Robbins (2005, p. 377), a cultura pode ter uma influência
significativa sobre o comportamento e as atitudes de seus membros, dependendo de
sua força.
Robbins (2005, p. 377) explica que uma cultura forte tem maior impacto sobre
o comportamento. Nela os valores essenciais da organização são intensamente
acatados e amplamente compartilhados. Quanto mais aceitos esse valores forem
pelos membros da organização, mais forte será a Cultura Organizacional.
O Ministério da Defesa produziu em 2007 um documento chamado “Glossário
das Forças Armadas”, com a definição dos termos usados dentro das Forças
Armadas, o qual não possuía definição para a Cultura Organizacional.
Na pesquisa do “Glossário das Forças Armadas” verificou-se que o termo com
definição mais próxima a de Cultura Organizacional é a de Doutrina, definida como:
Conjunto
de
princípios,
conceitos,
normas
e
procedimentos,
fundamentadas principalmente na experiência, destinado a estabelecer
linhas de pensamentos e a orientar ações, expostos de forma integrada e
harmônica. (MINISTÉRIO DA DEFESA, 2007, p. 86)
Existem ainda duas definições no do “Glossário das Forças Armadas”
decorrentes do conceito de Doutrina: a Doutrina de Segurança e a Doutrina Militar.
A Doutrina de Segurança é definida pelo Ministério da Defesa (2007, p. 86)
como “Conjunto de conceitos básicos, princípios gerais, processos e normas de
comportamento que permitem orientar os estudos, a formulação e o desdobramento
de uma política de segurança”.
A Doutrina Militar é definida pelo Ministério da Defesa (2007, p. 86) como:
Conjunto harmônico de ideias e de entendimentos que define, ordena,
distingue e qualifica as atividades de organização, preparo e emprego das
Forças Armadas. Englobam, ainda, a administração, a organização e o
funcionamento das instituições militares.
29
Verifica-se que os conceitos de Doutrina Militar e de Doutrina são similares,
sendo que a Doutrina Militar tem seu universo limitado às Forças Armadas. Já o
conceito de Doutrina de Segurança abrange apenas uma parte ou segmento da
Doutrina ao ter limitada sua aplicação a “orientar os estudos, a formulação e o
desdobramento de uma política de segurança”.
Comparando-se a definição de Doutrina do Ministério da Defesa (2007) com a
explicação de Cultura Organizacional de Chiavenato (2004), chega-se ao
entendimento de que a definição de Doutrina abrange apenas a Cultura manifestada
através dos aspectos formais da Cultura Organizacional, que são facilmente
perceptíveis por estarem relacionados com: as políticas, diretrizes, procedimentos,
objetivos, estruturas e tecnologias existentes, enquanto a Cultura Organizacional
abrange também aspectos informais, relacionados com: percepções, sentimentos,
atitudes, valores, interações informais e normas grupais.
O Exército Brasileiro (2009, p. 37), explicando seu processo de transformação
citou o termo “Cultura Institucional”. Pelas definições de Cultura Organizacional de
Schein, Robbins, Freitas e Chiavenato, não há diferenciação da definição de
“Cultura“ entre organizações ou instituições, entendendo-se que essa diferenciação
trata-se apenas de nomenclatura.
2.3.1 Impositivos na mudança da Cultura Organizacional
“Consegue-se conscientizar mais facilmente as pessoas acerca da segurança
se elas estiverem convencidas de que estão em primeiro lugar...” (CARUSO &
STEFFEN, 1999, p. 55).
Tapscott & Caston apud Blattmann (1999, p. 20) entendem que “a mudança
de paradigma é fundamentalmente uma nova maneira de ver alguma coisa.” Ela é
frequentemente exigida em função das inovações que transformam a realidade.
Chiavenato (2004, p. 296) coloca que a única maneira viável de mudar uma
organização é mudar sua cultura, porque a mudança da estrutura organizacional não
é suficiente para mudar a organização.
De acordo com Blattmann (1999, p. 23), as organizações são as pessoas que
nelas atuam, portanto as organizações só aprendem, se as pessoas aprendem.
30
Blattmann (1999, p. 19) coloca também que o indivíduo interage e sofre
pressão do grupo social. A responsabilidade coletiva faz com que um indivíduo seja
agente da mudança- coadjuvante.
Dessa maneira verifica-se que é necessário agir no pessoal, atuando na
mudança das atitudes e comportamentos, através de um processo de aprendizado,
para mudar a cultura organizacional, e assim ter condições de mudar a organização
como um todo (CHIAVENATO, 2004, p. 298 e 319).
A mudança organizacional, segundo Mitroff, Mason e Pearson (1994) apud
Blattmann (1999, p. 20) ocorre somente quando o ser humano chega a momentos
mais extremos. Isto significa que enquanto o indivíduo estiver conformado com a
situação existente não existem mudanças significativas, ou seja, não ocorrem as
rupturas de paradigmas.
Lewin apud Chiavenato (2004, p. 298) explica o processo de mudança da
cultura baseado na ação no pessoal através de um modelo, que envolve três fases:
A primeira fase é o “descongelamento do padrão atual de comportamento”: a
qual implica no esquecimento e “desaprendizagem” das idéias e práticas nocivas à
mudança (CHIAVENATO, 2004, p. 298).
A segunda fase é a “mudança”, a qual implica no aprendizado das novas
ideias e práticas por parte do pessoal, de modo que as pessoas passem a pensar e
agir de uma nova maneira. Nesse caso o aprender significa mudar o comportamento
(CHIAVENATO, 2004, p. 298).
A última fase é o “recongelamento”, a qual consiste na internalização das
novas idéias e práticas, isto é, do novo comportamento, através de mecanismos de
reforço e suporte. Significa que tudo que foi aprendido está sendo executado,
integrado a prática atual. É a nova maneira como a pessoa conhece e faz o seu
trabalho (CHIAVENATO, 2004 p. 298).
O conceito mais próximo a aprendizado existente no Glossário das Forças
Armadas é o “treinamento”. O treinamento é definido pelo Ministério da Defesa
(2007, p. 257) como:
Processo de ensinar habilidades específicas a serem executadas sob
condições pré-definidas. 2. Conjunto padronizado de procedimentos,
orientado para o desenvolvimento de habilidades e práticas que o
instruendo deve conhecer e dominar, visando à execução aprimorada de
uma ou mais tarefas.
31
Chiavenato (2004, p. 298) coloca que o simples conhecimento, sem a
aplicação das novas idéias e práticas não é suficiente para uma mudança efetiva da
cultura organizacional. Assim verifica-se que o termo treinamento, em sua definição
no Glossário das Forças Armadas atende apenas parcialmente o processo de
aprendizagem necessário, por ser direcionado a aprendizagem de práticas e
habilidades e não de ideias.
Em virtude da limitação do termo “treinamento” em sua definição pelo
Ministério da Defesa (2007) adota-se o termo “capacitação” como um conceito mais
amplo, para abrigar a aprendizagem necessária das novas ideias e práticas por
parte do pessoal dentro de um processo de mudança da Cultura Organizacional.
Chiavenato (2004, p. 299) explica que através de uma visão sistêmica da
Cultura Organizacional, existem forças atuando em dois sentidos durante um
processo e mudança. Normalmente a cultura se encontra com estas forças em
equilíbrio, quase estacionário, antes da tentativa de mudança. Quando se inicia uma
tentativa de mudança, há a pressão dessas forças, buscando um novo estado de
equilíbrio. A resultante dessas forças define o sucesso do processo de mudança.
Chiavenato (2004, p. 299) define como “forças positivas” aquelas que agem
como apoio e suporte à mudança. Já as “forças negativas” são aquelas que agem
como oposição e resistência a mudança.
Nesse entendimento visualiza-se que dentro de um processo de mudança
bem sucedido deve-se atuar: ou aumentando as forças positivas ou diminuindo as
forças de resistência e oposição.
2.3.2 Dificuldades na mudança da Cultura Organizacional
Robbins (2005, p. 379) explica que a Cultura Organizacional forte pode
possuir vantagens e desvantagens, de acordo com a adequação de seus valores
com as necessidades da Organização.
Na cultura forte há um alto clima de controle comportamental, fato esse que
aumenta a consistência do comportamento. Ela serve de substituto às regras e
regulamentações formais.
32
A Cultura Organizacional forte, quando sustentada por regras e regulamentos
formais, busca assegurar que todos se comportarão de maneira relativamente
uniforme e previsível. Essa cultura melhora o comprometimento e aumenta a
consistência do comportamento do pessoal, além de reduzir a ambiguidade, do
ponto de vista do pessoal (ROBBINS, 2005, p. 377).
Robbins (2005, p. 379) coloca que a cultura forte pode se tornar um grande
obstáculo às mudanças. Ela se torna uma barreira quando os valores
compartilhados estão em desacordo com aqueles que podem melhorar a eficácia da
organização. Nesse caso a consistência do comportamento se torna um fardo e
dificultam as reações da organização às necessidades impostas.
Blattmann (1999, p. 22) entende que o ser humano apresenta restrições ao
novo e moderno, por obrigá-lo a fazer as coisas de maneira diferente, sem
aparentemente lhe atribuir vantagens. Isto se dá pela relutância de abandonar uma
forma já conhecida e confiável ou mesmo por dificuldades de aprendizagem.
Dessa forma, o processo de mudança provavelmente irá gerar dificuldades,
desconforto e ansiedades, a serem enfrentadas pelos membros da organização, que
necessitarão desaprender os conceitos antigos para poder assimilar os novos
conceitos expostos (SCHEIN, 1999, p. 117).
Covey (1997, p. 165) apud Blattmann (1999, p. 19) explica que a mudança de
atitudes e comportamentos ocorre em decorrência de um desequilíbrio, que causa
um desconforto grande o suficiente que sirva de motivação. A pessoa precisa de um
estímulo para perceber a necessidade de mudar, senão ela vai buscar manter sua
situação atual.
É preciso que exista um incômodo para que o ser humano perceba que algo
está errado, isso lembra o mecanismo fisiológico da dor, que também avisa a
pessoa sobre algum problema. As pessoas costumam ser mais abertas a um novo
comportamento quando estão vivendo essa insatisfação, por projetarem na possível
mudança uma solução para seus problemas.
33
2.3.3 Ações para mudança da Cultura Organizacional
Chiavenato (2004, p. 264) coloca que o comportamento individual, baseado
nas suas motivações, é um instrumento de explicação do comportamento
organizacional. De forma inversa, pode-se buscar atuar no comportamento
organizacional, a partir do estimulo e motivação de certas atitudes nos
comportamentos individuais.
É explicado por Chiavenato (2004, p. 260) que as pessoas tomam decisões
baseadas pelas vantagens ou desvantagens que estas vão trazer para elas
mesmas. Dentro de uma organização, elas têm como objetivo satisfazer suas
necessidades, enquanto a organização tem como objetivo manter sua sobrevivência
na sociedade.
Chiavenato (2004, p. 287) cita a teoria da motivação apresentada por Maslow
e Herzberg, nas quais o ser humano age baseado na satisfação e suas
necessidades, para explicar que as organizações podem ser um meio de
proporcionar recompensas às pessoas (autocrescimento e autodesenvolvimento),
consequentemente gerando motivação.
O ser humano tem aptidão de aprender, isto é, muda seu comportamento e
atitudes de forma a sobreviver, ou seja, satisfazer suas necessidades. O
comportamento humano é voltado para objetivos (CHIAVENATO, 2004, p. 260).
Desse modo uma organização pode utilizar essa troca de interesses, com
consequente satisfação mútua de necessidades para favorecer as mudanças
necessárias.
Rocha (2008) e Mitnick & Simon (2003) tem uma visão semelhante ao
defender a necessidade de capacitação e conscientização constante, para adequar
e manter, no pessoal, uma Mentalidade de Segurança da Informação.
Caruso & Steffen (1999, p. 56) explicam que se deve buscar convencer e
obter apoio antes da implantação das medidas de segurança, podendo utilizar as
lideranças existentes dentro dos canais formais e informais a organização.
Para que essa conscientização seja ampla, Schein (1999, p. 102), coloca
como uma necessidade o fato das lideranças culturais da organização exercerem o
exemplo, que servirá de estímulo a internalizarão de um novo paradigma imposto.
Na mesma direção, Caruso & Steffen (1999, p. 56) ressaltam a importância de a alta
administração dar início a aplicação das medidas de conscientização.
34
De acordo com Mitnick & Simon (2003, p. 195) a capacitação do pessoal é
premissa para que se de início ao processo contínuo de conscientização, necessário
para a Mentalidade de Segurança da Informação.
Caruso & Steffen (1999, p. 55) colocam que é muito importante conseguir
convencer, se não todos, pelo menos a grande maioria das pessoas de uma
organização dos benefícios de uma Mentalidade de Segurança da Informação. Para
isso deve existir uma consciência sobre a existência de ameaças à Segurança da
Informação e o conhecimento de suas possibilidades.
Através das recomendações de Mitnick & Simon (2003, p. 198), percebe-se
que o entendimento dos motivos que levaram à implantação das medidas de
segurança requer conhecimento dos riscos que geraram a necessidade de tais
medidas, evitando-se, assim, que o pessoal tente se desviar das regras por
questões de conveniência. Deve existir uma educação do pessoal para conhecer o
que deve ser protegido, e também a forma correta de realizar essa proteção.
CARUSO & STEFFEN (1999, p. 55) e MITNICK & SIMON (2003, p. 199)
colocam que a pessoas se envolvem e se motivam quando entendem que sua
participação não apenas trará benefícios para a organização, mas também para elas
mesmas.
35
3 Metodologia
3.1 Estudo de Caso
A pesquisa partiu da necessidade de entender o relacionamento entre
algumas das muitas variáveis existentes dentro da Organização X, e sua decorrente
influência sobre um resultado final, o comportamento organizacional do pessoal da
Organização X.
Buscou-se associar a verificação da “adequação da cultura organizacional
voltada à implementação de uma Mentalidade de Segurança da Informação”, numa
relação causal, na Organização X.
O método escolhido foi o estudo de caso. A metodologia de estudo de caso,
de acordo com Fernandes (2010, p. 01), visa conferir simplicidade, uniformidade e
promoção de pesquisas de qualidade.
YIN (2010, p. 22 e 49) coloca o estudo de caso como metodologia mais
apropriada quando são formuladas questões de estudo do tipo “como “e “porque”
semelhantes ao proposto nessa pesquisa e quando não há como controlar todos os
eventos dentro da unidade de análise, como na Organização X.
Dentro da prescrição de YIN (2010, p. 51 a 56), pode se tipificar o estudo de
caso a ser utilizado como estudo de caso único, por abranger apenas a Organização
X.
A escolha da Organização X como unidade de análise significativa para a
análise do problema de pesquisa é justificada pelo fato do estudo da Organização X
representar um caso típico dentro da instituição da qual ela faz parte, o Exército
Brasileiro.
O estudo de caso foi prioritariamente exploratório em seu foco, pela incerteza
sobre ou falta de compreensão do tema com a realidade existente.
36
Foi empregada a abordagem qualitativa, que de acordo com Fernandes
(2010, p. 07) é usada, sobretudo nas ciências sociais, cujo emprego se dá em
situações para quais os fenômenos observados não são precisamente mensuráveis,
nem tampouco é simples estabelecer uma relação numérica entre causas e
consequências.
O contexto de análise escolhido foi o do “Caso Piloto” informado por Yin apud
Fernandes (2010, p. 09), com a finalidade de ser o primeiro de um estudo de casos
múltiplos.
Dentro do planejamento da pesquisa foi dimensionado que o trabalho seria
desenvolvido em quatro fases: Revisão Bibliográfica, Pesquisa em Campo, Análise e
Interpretação dos dados, Conclusão e Apresentação do Trabalho.
A primeira fase ocorreu durante todo o período de Fevereiro de 2010 a
dezembro de 2010. De forma praticamente sobreposta ocorreram a segunda fase e
terceiras fases, até dezembro de 2010. Após isso houve o prosseguimento da
terceira fase, que se encerrou em julho de 2011. A quarta e ultima fase foi prevista
no período de agosto de 2011 até a data de apresentação da pesquisa.
3.2 Revisão Bibliográfica
Na primeira fase, seria realizada uma pesquisa buscando literaturas sobre
temas correlatos e revisando conceitos, principalmente nas áreas da psicologia
organizacional voltada para o aprendizado, administração voltada para a cultura
organizacional e da Segurança da Informação e Comunicações.
Foi verificado que para atender o novo paradigma imposto pelo processo de
transformação do Exército Brasileiro, o qual prevê uma mentalidade voltada a
Segurança da Informação e Comunicações, é necessário uma mudança cultural.
Essa mudança cultural será viabilizada pela adequação da atual cultura
institucional a novos valores, necessários dentro do processo de transformação, em
um processo de aprendizado do pessoal, que possibilitará a internalização de novos
comportamentos e atitudes.
37
3.3 Pesquisa em Campo
Na segunda fase da pesquisa, realizada entre março de 2010 a dezembro de
2010, foi executada a realização das pesquisas em campo, ou coleta de dados para
o estudo de caso.
Seguindo ainda as orientações de Fernandes (2009) buscou-se obter os
dados
através
de
entrevistas,
documentos
e
observações
do
ambiente
organizacional.
A coleta num primeiro momento através da pesquisa em documentos, normas
e regulamentos da Organização X.
A primeira necessidade foi buscar identificar aspectos da Cultura da
Organização X que expressem um referencial ou padrão inicial relativo à presença
de valores afins a uma Mentalidade de Segurança da Informação, atendendo o
primeiro objetivo específico.
Para atender essa necessidade foram definidas como as seguintes categorias
de dados a serem coletados:
a. Pessoal da Organização X.
b. Medidas de segurança existentes na Organização X.
c. Influência de fatores psicológicos e organizacionais na execução das
medidas de segurança previstas na Organização X.
d. Atividades
voltadas
à
viabilização
de
mudanças
na
Cultura
Organizacional da Organização X.
Para auxiliar o processo de coleta de dados e de entrevistas foram
elaborados questionários de apoio.
3.3.1 Critérios para Coleta, Análise e Interpretação dos dados
Foram estabelecidos como critérios para a coleta e posterior análise dos
dados da pesquisa:
1.
Que o universo de entrevistados seria de militares com conhecimento e
importância dentro da estrutura da Organização X.
2.
Que deveriam ser colhidas entrevistas com mais de uma pessoa para
comparação das respostas.
3.
Que haveria um questionário impresso com perguntas discursivas que
proporcionassem um mesmo entendimento do que foi solicitado.
38
4.
Que todos os entrevistados deveriam estar cientes dos objetivos da
entrevista.
5.
Que deveria haver um contato pessoal com a maioria dos
entrevistados, tornando a entrevista por telefone uma opção secundária.
6.
Que toda a documentação deveria ser colhida, ou possuísse acesso
,dentro da Organização X, com autenticidade comprovada.
7.
Que seriam buscadas observações imparciais, evitando análises
baseadas em preconceitos.
3.3.2 Questionário de apoio A
O questionário A contém três questões no total. Parte delas era subjetiva e
parte de múltipla escolha.
A primeira questão objetivava identificar a percepção do pessoal a respeito
sobre quais integrantes da Organização X deveriam ser capacitados no emprego de
diversas medidas voltadas a segurança.
Na segunda questão os quatro primeiros itens: “a”, “b”, “c” e “d”, eram de
múltipla escolha. Nesses itens foram oferecidas como opções de resposta diferentes
níveis ou escalas de intensidade. Cada resposta possuía atribuição subjetiva de
intensidade, correlacionada um valor que podia variar de 1 a 5.
Isso se deu com objetivo de favorecer posterior análise através de um
correlacionamento com valores entre si, além do estabelecimento de valores médios
do grupo de respostas.
Os quatro últimos itens da segunda questão: “e”, “f”, “g” e “h”, eram de
resposta subjetiva, possibilitando uma posterior comparação entre estas e as
repostas dos itens de múltipla escolha.
Na terceira questão foram colocadas como opções alguns dos possíveis
fatores psicológicos e organizacionais que pudessem ter influência negativa sobre
diversas atividades relacionadas à: incorporação, execução e manutenção de
medidas de segurança, na rotina do pessoal da Organização X. Nessa questão o
objetivo de validar a influência desses ou de outros valores a serem escolhidos pelos
entrevistados, dentro de suas rotinas na Organização X.
O questionário deveria ser aplicado em pelo menos 10 militares, das diversas
seções da Organização X. Esse número mínimo foi estabelecido para que houvesse
39
uma diversidade de militares, incluindo chefes de seção e seus subordinados,
necessária a representatividade da amostra.
Figura 2: Folha 1 do questionário A (Fonte: Elaboração própria).
40
Figura 3: Folha 2 do questionário A (Fonte: Elaboração própria).
41
Figura 4: Folha 3 do questionário A (Fonte: Elaboração própria).
42
3.3.3 Entrevistas e Observações subsequentes
Após a aplicação do questionário A, foram realizadas entrevistas e
observações subsequentes focando assuntos ligados à execução da Segurança da
Informação dentro da Organização X.
Buscou-se identificar dentro da categoria de dados a serem coletados
estabelecidos para a pesquisa os seguintes aspectos abaixo, necessários à
adequação da Cultura da Organização X a uma mentalidade voltada à segurança:
a.
Conhecimento sobre os novos conceitos sobre segurança.
b.
Importância dada à aplicação dos conceitos de segurança.
c.
Percepção dos riscos existentes na mentalidade antiga.
d.
Aceitação das novas medidas necessárias.
Foram usados como apoio a verificação dos seguintes assuntos específicos à
Segurança da Informação, dentro da Organização X.
Essas entrevistas e observações que abordaram assuntos específicos à
segurança, no contexto da Organização X, foram realizadas para auxiliar na
identificação dos objetivos específicos:

Levantar como os potenciais fatores psicológicos e organizacionais
dificultam a implantação de uma Mentalidade de Segurança da Informação, pela
influência negativa na adequação das rotinas, procedimentos e atitudes.

Levantar atividades voltadas à conscientização e treinamento do
pessoal, que atuem sobre os fatores que dificultam a implantação da Mentalidade de
Segurança da Informação.
3.4 Análise e Interpretação dos dados
A terceira fase da pesquisa, realizada entre março de 2010 a dezembro de
2010, é composta da compilação dos dados colhidos e resultantes de análises
preliminares realizadas para a análise e interpretação dos dados.
43
3.4.1 Análise do Questionário A
As respostas do questionário A serão analisadas de duas formas. A primeira
análise será individual das respostas, fazendo referencia a um padrão ideal de
comportamento, preconizado pela correta execução das normas e regulamentos da
Organização X e do Exército Brasileiro. A Segunda análise será feita em relação aos
dados colhidos durante a pesquisa bibliográfica.
Serão atribuídos valores de 1 a 5 aos itens de múltipla escolha, dependendo
da opção assinalada, o que vai gerar um valor objetivo a cada item. A média simples
dos valores obtidos individualmente irá gerar um valor estimado, de referência para
a Organização X no auxilio na identificação do padrão atual da cultura de segurança.
Além da análise individual haverá uma análise subjetiva, de coerência entre
as respostas escolhidas em cada item e a respectiva opção assinalada.
Concluído o trabalho de análise dos itens de Múltipla Escolha, será realizada
uma síntese dos resultados dos outros itens.
Essa síntese será utilizada como
referencial numa comparação dos resultados individuais com o universo e do
universo com o padrão ideal.
Serão feitas observações quanto ao perfil obtido a respeito da convergência
entre as respostas dos itens na forma de múltipla escolha com as diferentes
impressões colhidas nas respostas subjetivas, servindo de indicador sobre a
verossimilhança dos resultados.
A repetição de repostas semelhantes vai acusar maior relevância.
3.4.2 Análise das Entrevistas e Observações subsequentes
O foco da análise das Entrevistas e Observações subsequentes não residirá
num aprofundamento dos assuntos específicos à Segurança da Informação, dentro
da Organização X, mas na obtenção de indícios que viabilizem a consecução dos
objetivos específicos desta pesquisa.
As respostas das Entrevistas e Observações subsequentes serão analisadas
inicialmente com referencia a um padrão ideal de comportamento, preconizado pela
correta execução das normas e regulamentos da Organização X e do Exército
Brasileiro. De acordo com o pressuposto da pesquisa, a Organização X
possivelmente
regulamentos.
atenderá
parcialmente
a
correta
execução
das
normas
e
44
Após essa análise haverá uma síntese das respostas, buscando, quando
possível, um valor que represente o conjunto. Serão feitas observações quanto ao
perfil obtido e a respeito da convergência entre as respostas as diferentes
impressões colhidas.
Haverá uma comparação dos resultados em relação aos dados colhidos nos
questionários e dos dados obtidos através da pesquisa bibliográfica.
45
4 Resultados
4.1 Questionário de apoio A
O questionário foi aplicado em 11 (onze) pessoas, incluindo militares
responsáveis pelas Seções além de seus assistentes e auxiliares, de seis diferentes
Seções da Organização X.
Foi buscado atender o número mínimo estabelecido de 10 (dez)
entrevistados,
além
de
obter
uma
diversidade
funcional,
necessária
a
representatividade da amostra de pesquisa.
A aplicação do questionário foi iniciada com uma breve explanação sobre os
objetivos do questionário bem como sobre a intenção da pesquisa. A execução dos
questionários foi acompanhada.
4.1.1 Questão 1 do questionário A
Na primeira questão as respostas devem ser observadas no contexto dos
militares entrevistados, nas diversas Seções da Organização X. No momento da
pesquisa não havia outros integrantes dentro das Seções que foram alvo da
pesquisa.
Todos os militares responderam que tanto os Chefes de Seção e Auxiliares
devem estar capacitados no emprego das Medidas de Segurança, conforme Tabela
1 a seguir.
46
Tabela 1 – Sumário das respostas do Questionário A Questão 1.
Quais são os militares que devem estar capacitados no emprego das Medidas de
Segurança através de instruções específicas? (Público Alvo)
Respostas
Quantidade de
Quantidade de
Porcentagem
entrevistados
afirmações concordantes.
sobre o todo
11
100%
0
0%
A Oficiais
B Praças
C
Outros
(recrutas,
funcionários
11
civis,
etc..)
4.1.2 Questão 2 do questionário A
A questão dois é dividida entre itens de múltipla escolha e itens de resposta
subjetiva.
A letra A da questão 2 está relacionada ao sentimento de importância do uso
de medidas de segurança pelos próprios militares, em suas rotinas. As respostas
estão em sua quase totalidade concentradas na opção “A” que está associada a
maior importância ou valor atribuído ao emprego de Medidas de Segurança
conforme apresentado, a seguir, na Tabela 2.
Tabela 2 – Sumário das respostas do Questionário A Questão 2 Letra A.
Você acredita ser importante a utilização de medidas de segurança na sua rotina?
Respostas
Quantidade de
Quantidade de
Porcentagem sobre
entrevistados
afirmações
o todo
concordantes.
A Muito Importantes
10
91%
1
9%
0
0%
D Pouco Importantes
0
0%
E Dispensáveis
0
0%
B Importantes
C Necessárias
11
47
Nas respostas a letra B da questão 2, segundo tabela 3, relacionada ao
sentimento de valoração coletiva da aplicação das medidas de segurança, observouse que todos os militares concordam sobre a existência de algum tipo valoração
coletiva a respeito das medidas de segurança, refutando a opção “E”, associada ao
menor nível de importância.
Os militares discordaram no valor ou nível de organização dessa valoração
coletiva das medidas de segurança dentro da Organização X, distribuindo as
respostas nas letras de “A” à “D”.
Tabela 3 – Sumário das respostas do Questionário Questão 2 Letra B.
Você acredita existir uma consciência sobre a aplicação das medidas de segurança?
Respostas (resumidas)
Quantidade de
Quantidade de
Porcentagem
entrevistados
afirmações
sobre o todo
concordantes.
A “Cultura de Segurança”
B
“Consciência
3
27%
da
1
9%
da
3
27%
4
36%
0
0
Importância”
C
“Conhecimento
11
Importância”
D “Ideia de que se deve
possuir
Medidas
de
Segurança”
E
“Não
existe
Ideia
da
Importância”
Nas respostas a letra C da questão 2, conforme Tabela 4, relacionada a
capacidade de identificação das medidas de segurança necessárias as atividades de
rotina dos militares da Organização X, houve resultado próximo ao que ocorreu nas
respostas ao item “A”.
As maiorias das respostas ficaram concentradas na opção “A”, e as restantes
na opção “B”.
48
Tabela 4 – Sumário das respostas do Questionário Questão 2 Letra C.
Você saberia identificar quais medidas de segurança são necessárias as atividades de
sua Seção?
Respostas (resumidas)
Quantidade de
Quantidade de
Porcentagem sobre
entrevistados
afirmações
o todo
concordantes.
A
Todas
7
64%
B
A Maioria
4
36%
C
Algumas
0
0%
D
Poucas
0
0%
E
Nenhuma
0
0%
11
A letra D da questão 2, relacionada a percepção da existência de medidas de
segurança nas atividades de rotina dos militares da Organização X.
As maiorias das respostas ficaram concentradas na opção “A”, e as restantes
divididas entre as opções “B” e “D”. As opções “C” e “E” foram rejeitadas de acordo
com a Tabela 5.
Tabela 5 – Sumário das respostas do Questionário Questão 2 Letra D.
Como se materializa a importância da medidas de segurança na sua rotina de
trabalho?
Respostas (resumidas)
Quantidade de
Quantidade de
Porcentagem sobre
entrevistados
afirmações
o todo
concordantes.
A “Sistema integrado de
2
18%
B “Medidas Coordenadas”
7
64%
C “Medidas fora de um
0
0%
2
18%
0
0%
Segurança”
11
grande contexto”
D
“Poucas
Medidas
integradas aos processos”
E “Não consigo visualizar na
minha rotina”
49
Nas respostas a letra E da Questão 2, “Quais medidas de segurança estão
sendo completamente executadas em sua rotina?” foi verificado que dez entre os
onze militares responderam a questão.
Esses dez militares acusaram haver medidas de segurança na rotina de sua
seção. Apenas uma fração dos entrevistados (dois entre onze) conseguiu
correlacionar a teoria com uma prática executada em sua rotina. A maior parte das
respostas foi parcial e incompleta. Um militar não conseguiu responder a pergunta.
Dentre as oito respostas parciais, houve uma divisão entre dois grupos:
aqueles que demonstraram ter algum conhecimento da teoria e aqueles que
conseguiram apontar pelo menos uma medida prática sendo executada.
Na síntese das respostas verificou-se que a maioria das medidas de
segurança citadas nas respostas esta relacionada a atividades cuja falha pode
resultar em graves problemas ou resultar em sanções disciplinares.
Nas respostas a letra F da Questão 2, “Quais medidas de segurança estão
sendo executadas parcialmente em sua rotina?” foi verificado que apenas sete entre
os onze militares responderam a questão. Dessas respostas:
 Duas entre as sete respostas existentes negaram que existam medidas
de segurança sendo parcialmente executadas nas suas rotinas.
 Cinco entre as sete respostas existentes confirmaram que existem
medidas de segurança sendo parcialmente executadas nas suas
rotinas.
Das cinco respostas que confirmaram a execução parcial das medidas de
segurança, três respostas foram especificas e coerentes, e duas foram “genéricas”.
Dessas cinco respostas apenas uma das “genéricas” indicava algum conhecimento
da teoria a respeito da segurança, dentro da Organização X.
Na síntese das três respostas específicas e coerentes, pode-se dizer que são
parcialmente executadas medidas de segurança relativas a atividades rotineiras,
como o uso de senhas ou a identificação durante contatos telefônicos, que
aparentemente não geram grandes consequências quando não aplicadas.
50
Nas respostas a letra G da Questão 2, “Quais medidas estão sendo pouco
executadas ou não estão sendo executadas na rotina da sua seção?” foi verificado
que apenas sete entre os onze militares responderam a questão. Dessas respostas:
 Três entre as sete respostas existentes negaram que existam medidas
de segurança sendo pouco executadas ou não estão sendo
executadas na rotina da sua seção.
 Quatro entre as sete respostas existentes confirmaram que existem
medidas de segurança sendo pouco executadas ou não estão sendo
executadas na rotina da sua seção.
Das quatro respostas que confirmaram a execução parcial das medidas de
segurança, duas respostas foram especificas e coerentes, e duas foram “genéricas”.
Dessas quatro respostas apenas uma das “genéricas” indicava algum conhecimento
da teoria a respeito da segurança, dentro da Organização X.
Na síntese das respostas, pode-se dizer as medidas de segurança que não
são executadas ou são pouco executadas na rotina da seção dos entrevistados,
aquelas cuja execução atrapalha, dificulta ou atrasa a execução das rotinas nas
seções ou aquelas cuja execução depende de material em falta ou não disponível
para serem executadas.
Nas respostas a letra H da Questão 2, “Você poderia sugerir medidas de
segurança que poderiam ser executadas mas que não estão previstas?” foi
verificado que apenas sete entre os onze militares responderam a questão. Dessas
respostas:
 Apenas três entre 11 militares conseguiram identificar ou sugerir pelo
menos uma medida de segurança.
 Duas das sete respostas a questão foram genéricas, não se podendo
extrair delas uma ideia coerente ao que foi perguntado.
 Duas das sete respostas a questão foram negativas, de que não
haviam sugestões de medidas de segurança.
Na síntese das três medidas sugeridas verificou-se que as respostas eram a
respeito de medidas de segurança sugeridas que já estavam previstas na
documentação geral, mas duas não tinham aplicação prevista na rotina da Seção e
não ocorria por falta de meios.
51
4.1.3 Questão 3 do questionário A
A letra A da questão três estava relacionada a possíveis fatores que facilitam
ou dificultam o aprendizado, entendimento e conscientização.
As opções de resposta a esse item foram direcionadas aos fatores que
dificultam, ficando a cargo do entrevistado citar outros fatores, entre eles aqueles
que facilitassem o aprendizado, entendimento e conscientização.
Dentre os possíveis fatores que foram apresentados na letra A da questão 3,
a alternativa com os possíveis fatores: Rotina , Falta de fiscalização e pouca
importância foi escolhida mais vezes, por sete dentre onze entrevistados, assim
apontada como contendo principais fatores (Tabela 6).
Também foram apontadas como alternativas que contém fatores que
dificultam
o
aprendizado,
entendimento
e
conscientização,
como
fatores
secundários:
a. Falta de tempo, Urgência, Atraso.
b. Distrações, Soluções de continuidade, Interrupções na execução das
tarefas.
c. Entendimento incorreto da importância do trabalho e da aplicação das
medidas de segurança, Desconhecimento, Ignorância.
Foi apontada, por 02 entre 11 entrevistados, na opção de outros fatores que
dificultam o aprendizado, entendimento e conscientização, a falta de uma
capacitação prévia para militares recém-designados a seção.
52
Tabela 6 – Sumário das respostas do Questionário Questão 3 Letra A.
Quais os psicológicos e organizacionais que favorecem ou dificultam o aprendizado,
entendimento e conscientização?
Respostas (resumidas)
Quantidade de
Quantidade
Porcentagem
entrevistados
de afirmações
sobre o todo
concordantes.
A “Rotina, Falta de fiscalização e
7
18%
7
64%
0
0%
2
18%
2
18%
pouca importância”
B “Falta de tempo, Urgência,
Atraso”
C
“Distrações,
continuidade,
Soluções
de
Interrupções
na
11
execução das tarefas”
D
“Entendimento
incorreto,
Desconhecimento, Ignorância”
E “Outros fatores”
A letra B da questão três estava relacionada a possíveis fatores que facilitam
ou dificultam execução ou aplicação das medidas de segurança. As opções de
resposta a esse item, assim como no item A, foram direcionadas aos fatores que
dificultam, ficando a cargo do entrevistado citar outros fatores, entre eles aqueles
que facilitassem execução ou aplicação das medidas de segurança.
Dentre os possíveis fatores que foram apresentados na letra B da questão 3,
a alternativa com os possíveis fatores: Rotina , Falta de fiscalização e pouca
importância foi escolhida mais vezes, por sete dentre onze entrevistados, assim
apontada como contendo principais fatores.
Também foram apontadas como alternativas que contém fatores que
dificultam execução ou aplicação das medidas de segurança, como fatores
secundários:
a. Entendimento incorreto da importância do trabalho e da aplicação das
medidas de segurança, Desconhecimento, Ignorância.
b. Falta de tempo, Urgência, Atraso.
c. Distrações, Soluções de continuidade, Interrupções na execução das
tarefas.
53
Não foram apontados, na opção de outros fatores que favorecem ou
dificultam execução ou aplicação das medidas de segurança conforme Tabela 7, a
seguir.
Tabela 7 – Sumário das respostas do Questionário Questão 3 Letra B.
Quais os psicológicos e organizacionais que favorecem ou dificultam execução ou
aplicação das medidas de segurança?
Respostas (resumidas)
Quantidade de
Quantidade
Porcentagem
entrevistados
de afirmações
sobre o todo
concordantes.
A “Rotina, Falta de fiscalização e
7
64%
4
36%
3
27%
5
45%
0
0%
pouca importância”
B “Falta de tempo, Urgência,
Atraso”
C
“Distrações,
continuidade,
Soluções
de
Interrupções
na
11
execução das tarefas”
D
“Entendimento
incorreto,
Desconhecimento, Ignorância”
E “Outros fatores”
A letra C da questão três estava relacionada a possíveis fatores que facilitam
ou dificultam fiscalização e o controle da execução das medidas de segurança. As
opções de resposta a esse item, assim como nas letras A e B, foram direcionadas
aos fatores que dificultam, ficando a cargo do entrevistado citar outros fatores, entre
eles aqueles que facilitassem fiscalização e o controle da execução das medidas de
segurança.
Dentre os possíveis fatores que foram apresentados na letra C da questão 3,
a alternativa com os possíveis fatores: Rotina , Falta de fiscalização e pouca
importância foi escolhida mais vezes, por sete dentre onze entrevistados, assim
apontada como contendo principais fatores.
54
Também foram apontadas como alternativas que contém fatores que
dificultam fiscalização e o controle da execução das medidas de segurança, como
fatores secundários (ver também Tabela 8):
a. Distrações, Soluções de continuidade, Interrupções na execução das
tarefas
b. Falta de tempo, Urgência, Atraso
c. Entendimento incorreto da importância do trabalho e da aplicação das
medidas de segurança, Desconhecimento, Ignorância.
Não foram apontados, na opção de outros fatores que facilitam ou dificultam a
fiscalização e o controle da execução das medidas de segurança conforme Tabela 8
a seguir.
Tabela 8 – Sumário das respostas do Questionário Questão 3 Letra C.
Quais os psicológicos e organizacionais que favorecem ou dificultam a fiscalização e o
controle da execução das medidas de segurança?
Respostas (resumidas)
Quantidade de
Quantidade de
Porcentagem
entrevistados
afirmações
sobre o todo
concordantes.
A “Rotina, Falta de fiscalização e
7
64%
3
27%
6
55%
3
27%
0
0%
pouca importância”
B “Falta de tempo, Urgência,
Atraso”
C
“Distrações,
continuidade,
Soluções
de
Interrupções
na
11
execução das tarefas”
D
“Entendimento
incorreto,
Desconhecimento, Ignorância”
E “Outros fatores”
55
4.2 Entrevistas e Observações subsequentes
A Organização X possui diversas estruturas, segmentadas por atividades
afins, responsáveis pelo desenvolvimento dessas atividades. Nessas estruturas
existe a discriminação das funções de execução e fiscalização, de forma
hierarquizada.
Umas partes pequenas das atividades dessas estruturas estão ligadas
diretamente ao Gestor da Organização e a outra parte, maior, fica ligada a um Grupo
de Assessores diretos desse Gestor, respectivamente o Comandante e seu Estado
Maior.
Existem duas funções importantes afins as atividades de segurança da
Organização X desempenhadas:
 Por um assessor direto do Gestor, que acumula maior parte da
fiscalização das atividades voltadas a Segurança, mas este assessor
não possui ascendência sobre os demais.
 Por um Oficial designado como um responsável por gerir um programa,
voltado à melhoria contínua da segurança, que não tem poder de dar
ordens aos Chefes de Seção sem aprovação do gestor.
Existe grande quantidade de normas e regulamentos supra organizacionais a
respeito da Segurança da Informação e da sua fiscalização.
Destaca-se entre esses documentos uma Política de Segurança Institucional,
baseada em diversas Instruções Gerais e Reguladoras, além de um manual de
Campanha, abordando temas relacionados a Segurança da Informação.
Existem documentos internos a organização, como ordens e normas, que
regulam o cumprimento das normas, ordens e regulamentos que regulam o
funcionamento da Organização X como parte do Exército Brasileiro. Nem todos os
documentos internos da Organização X estão atualizados dentro do período de um
mesmo gestor.
Nos documentos internos da Organização X há uma ordem, na qual são
explicitadas como referências diversos dos documentos supra-organizacionais,
determinando o cumprimento diversas rotinas a serem aplicadas na Organização X,
de forma sistematizada, para viabilizar a adequação de sua Cultura aos padrões
estabelecidos para a Segurança da Informação.
56
Dentre essas medidas está a existência de diversos planos, segmentados por
áreas específicas, que fazem parte de um plano de Segurança da Organização X.
4.2.1 Pessoal da Organização X
O Pessoal da Organização X é segmentado dentro das diversas estruturas
diferentes existentes na Organização X. Esse pessoal que compõe a Organização X
é oriundo de diversas outras Organizações Militares do Exército Brasileiro, com
diferentes condições de formação, conhecimento e experiência pregressos.
Pode ser observado que falta conhecimento sobre os novos conceitos sobre
Segurança da Informação. Não foi observada a aplicação desses novos conceitos
nas atividades de rotina da maioria dos militares entrevistados. Muitos militares da
Organização X afirmaram não ter recebido instrução sobre esses novos conceitos
em sua formação ou aperfeiçoamento.
Foi observado que a maioria dos entrevistados consegue visualizar possíveis
ações de ameaças externas, interessadas em causar danos: ao pessoal e a
instalações, além da subtração de armamento ou munição.
Poucos dos entrevistados tiveram a capacidade de visualizar ações de
possíveis ameaças mais sutis, como ameaças internas ou externas voltadas a
Segurança das Informações. Apenas uma parcela dos entrevistados demonstrou
conhecimento e preocupação sobre ameaças do tipo de engenharia social.
Ainda assim foi observado que o pessoal da Organização X foi bastante
simpático a valoração desses novos conceitos, após uma breve introdução que se
fez necessária para melhor condução das entrevistas.
Muitos militares entrevistados demonstraram estar acomodados, isto é,
confortáveis com a situação existente na Organização X. Eles entendem que a
transformação do Exército é um processo cuja realização ocorrerá apenas no futuro.
4.2.2 Medidas de segurança existentes na Organização X
Os militares destacados a funções específicas na área de Segurança da
Informação dentro da Organização X são supervisionados, e há uma política de
controle de acessos e segregação de funções entre os mesmos.
57
Os sistemas de proteção física da Organização X são estruturados
principalmente para hipóteses de emprego contra ameaças externas ao pessoal do
aquartelamento. A prática do Serviço de guarda as instalações, tanto internas como
externas é feita seguindo um mesmo padrão conforme ensinado nas escolas de
formação e praticado sem mudanças significativas por todo o período no qual os
militares cumprem as escalas de serviço.
Existe um padrão que deve ser obedecido, principalmente no que tange os
postos de guarda, rodízio dos militares, horários, armamento e equipamento a serem
utilizados, locais de espera e de descanso.
Foi verificado que as regras são rígidas, e embora os chefes do serviço diário,
um oficial e um sargento, que são revezados dentro de uma escala de serviço,
tenham relativa liberdade para tomar diversas medidas, é difícil existir na rotina da
Organização X uma prática diferenciada das atividades durante o serviço.
Há o emprego câmeras para monitoramento de áreas específicas para
auxiliar o pessoal empregado nos sistemas de proteção física. A maioria dos
entrevistados possui algum conhecimento da existência de outros meios eletrônicos,
como sensores de presença e alarmes de diversos tipos que podem ser usados em
apoio a segurança física, mas grande parte deles não conseguiu explicar com
detalhes como esses meios poderiam ser empregados em suas rotinas.
4.2.3 Influência de fatores psicológicos e organizacionais na execução das
medidas de segurança previstas na Organização X
Muitos dos militares entrevistados responderam que acreditam que já sabem
o necessário sobre segurança. Esses mesmos militares demonstraram dificuldades
na resposta a perguntas relativas aos novos conceitos sobre Segurança da
Informação, por não possuir de conhecimento destes. Muitos desses militares
possuem bastante tempo de serviço, encontrando-se em funções intermediárias de
chefia dentro de suas Seções.
Através das entrevistas e observações realizadas no ambiente da
organização X, durante o ano de 2010, pode ser verificado a existência de
importante aspecto da atual cultura da Organização X, do qual: o militar deve buscar
superar suas limitações através do seu comprometimento, cumprindo suas missões
mesmo sem receber os meios, conhecida como "missão a Garcia".
58
Decorrente do aspecto cultural da “missão a Garcia” foi relatado por alguns
militares ser comum que próprio militar da Organização X é seja visto como
responsável pela sua preparação para novas funções, independentemente de ter
havido tempo para uma preparação anterior ou para passagem da função e
encargos do antigo ocupante.
Foi relatado ainda que durante a implantação do Programa de Excelência
Gerencial, imposto pelo Comando do Exército de forma semelhante a atual
implantação da mentalidade voltada a Segurança, no sentido de estimular a
mudança de comportamento Organizacional, diversas das medidas impostas
aumentaram a carga de trabalho e diminuíram os tempos disponíveis para execução
das atividades essenciais, sem aparentemente impactar numa melhora de
rendimento.
Além dos aspectos acima foi observado que a Organização X possui um
histórico de limitações financeiras condizente aos constantes contingenciamentos
anuais de recursos do Governo Federal ao Exército Brasileiro, nos últimos 4 anos.
Essas limitações financeiras foram relatadas por alguns militares como óbices a
implantação de medidas voltadas a Segurança da Informação da Organização X.
4.2.4
Atividades
voltadas
à
viabilização
de
mudanças
na
Cultura
Organizacional da Organização X
Verificou-se na documentação da Organização X e nas entrevistas realizadas
uma constância no recebimento de ordens do Comando do Exército e do Comando
Militar do Nordeste, baseadas em novas práticas ou mesmo em novas legislações
ou decretos do Governo Federal, voltados a implantação de práticas e
comportamentos alinhados a Segurança da Informação.
Essas novas práticas e comportamentos a serem implantados forçam a
adaptação
das
atividades
rotineiramente
desempenhadas
a
esses
novos
paradigmas de trabalho.
Inicialmente é realizada a difusão dessas novas práticas pela "Cadeia de
Comando" de forma a dar ciência a todos os responsáveis. A difusão, dentro da
Organização X, é feita através de documentos e de ordens verbais.
Observou-se que em casos de procedimentos isolados, que afetam poucos
militares, normalmente na área administrativa, os militares “alvos” dos novos
59
procedimentos ficam encarregados de estudar a documentação de forma a adequar
seus procedimentos.
De outro modo, quando a mudança é significativa ou atende um grande
número e pessoas, são realizadas atividades de instrução e treinamento para o
público "que vai ser afetado por essas mudanças".
Uma das grandes mudanças que estão sendo desenvolvidas na Organização
X é a Implantação de uma política voltada ao desenvolvimento de uma cultura de
segurança.
Existe na documentação que regula essa mudança a execução de diversos
objetivos:

A preparação de alguns integrantes da Organização X para o
desenvolvimento da cultura de segurança.

A criação de um grupo de trabalho responsável pela implantação das
mudanças, trabalhando ativamente no processo de “treinamento” do pessoal.

A sensibilização do pessoal sobre a importância de serem mudados
atitudes e comportamentos dentro da Organização X.
Foram observadas na documentação relativa ao desenvolvimento da
Mentalidade de Segurança da Informação, as seguintes diretrizes na busca desses
objetivos acima:

A preparação dos integrantes da Organização Militar independente do
nível hierárquico, para a adoção de uma mentalidade. Essa preparação consiste no
treinamento e na sensibilização dos quadros.

O “treinamento” é voltado ao grupo de trabalho responsável pela
implantação das mudanças e pela chefia, de modo a assegurar a governança. O
treinamento pode consistir da participação em simpósios, da realização de cursos
presenciais ou EAD e da leitura de livros ou artigos.

A sensibilização deve buscar a mobilização do pessoal necessária para
a execução das ações dos diversos integrantes da organização. Ela possibilita a
aceitação das atividades propostas e da necessidade de serem realizadas
mudanças. Essa sensibilização deve caracterizar-se pela motivação do pessoal nas
formaturas, reuniões, instrução de quadros, e pela realização de palestras,
destacando o processo participativo do público interno. Há necessidade de tato para
apontar "os pontos fracos" sem responsabilizar ou desmotivar os militares.
60
Nas diversas atividades a serem executadas na Organização X pode ser
verificado que a preparação dos integrantes, através do treinamento e da
sensibilização, estava planejada, embora não tenha sido concluída.
Dentro do treinamento foi previsto apenas uma instrução específica para o
desenvolvimento da Mentalidade de Segurança da Informação, no ano de 2010.
Essa instrução teve como alvo os Oficiais e Sargentos da Organização X, e previsão
de duas horas de duração.
A Sensibilização dentro da Organização X no ano de 2010 estava sendo
desenvolvida através de inserções de 5 minutos de duração sobre assuntos voltados
a adequação dos procedimentos a Mentalidade de Segurança da Informação,
focando nos riscos existentes do descumprimento das medidas de segurança
impostas. Essas inserções receberam o nome de “Minuto de CI” e eram realizadas
antes das instruções que tinham como alvos: Oficiais e Sargentos da Organização
X.
Não foi verificada a execução de atividades voltadas à identificação e
neutralização de ideias da atual cultura organizacional que sejam adversas à
implantação da Mentalidade de Segurança da Informação na Organização X.
61
5 Discussão
A Organização X possui distribuição de pessoal e funções de acordo com o
padrão existente no Exército Brasileiro. A Organização X busca seguir as diversas
normas e regulamentos existentes para o correto funcionamento de suas atividades
voltadas a Segurança da Informação e Comunicações.
Seguindo o padrão de mudança Cultural imposto pelo Exército Brasileiro, a
Organização X iniciou suas atividades através da adequação de suas ordens e
normas internas ao previstos na documentação supra organizacional.
A implantação da Mentalidade de Segurança da Informação na Organização
X decorre do entendimento que existe uma necessidade de um programa contínuo
visando à conscientização e a capacitação do pessoal pelo Exército Brasileiro (2009)
alinhado a Caruso & Steffen (1999), Rocha (2008) e Mitnick & Simon (2003),
colocando o fator humano, com objetivo de desenvolvimento das atitudes e
comportamentos necessários à composição de uma mentalidade voltada a
segurança.
Seguindo a ótica de Robbins (2005) a Organização X tem uma Cultura
Organizacional
forte,
com
valores
intensamente
acatados
e
amplamente
compartilhados, com influência significativa sobre o comportamento e as atitudes de
seus membros. Essa força cultural se tornou um obstáculo às mudanças, pois parte
dos valores estão em desacordo com aqueles que podem melhorar a eficácia da
Segurança da Informação na Organização X.
A Organização X não está alcançando a ruptura de valores antigos relativos
ao ambiente organizacional, pessoas e atividades. Existe o uso de novas
tecnologias, mas poucos dos militares da Organização X possuem conhecimentos
que os permitem interagir com novos valores.
62
5.1 Análise do questionário de apoio A
As respostas da Questão 1 do questionário A foram unânimes ao demonstrar
que os Militares entrevistados atribuem grandes responsabilidades e importância no
trato da capacitação na execução correta de medidas de segurança.
Nos itens da questão 02: “A”, “B”, “C” e “D”, houve uma atribuição de valor as
respostas de 5 a 1. A alternativa A recebeu cinco pontos e de forma decrescente
seguiu-se a atribuição de valores até a alternativa E, que recebeu um ponto.
O cálculo dos valores obtidos segue abaixo na Tabela 9:
Tabela 9 – Cálculo dos valores obtidos na Questão 2 Letras “A” a “D”.
Você saberia identificar quais medidas de segurança são necessárias as atividades
de sua Seção?
Respostas
Valor da resposta
Letra A
Letra B
Letra C
Letra D
A
5
10
3
7
2
B
4
1
1
4
7
C
3
-
3
-
-
D
2
-
4
-
2
E
1
-
-
-
-
Valor médio
-
4,9
3,3
4,6
3,8
(resumidas)
A síntese dessas respostas, através da obtenção de um valor médio entre as
opções assinaladas gerou as seguintes idéias.
A.
Os Militares provavelmente acreditam que a utilização de medidas de
segurança na sua rotina é muito importante.
B.
Os Militares possivelmente acreditam que existe o conhecimento da
importância de se ter medidas de segurança.
C.
Os Militares provavelmente acreditam conhecer todas as medidas de
segurança que são necessárias às atividades das suas Seções.
D.
Os Militares possivelmente acreditam que a importância das medidas
de segurança na sua rotina de trabalho se materializa em Medidas Coordenadas de
segurança.
63
Foi verificado que os militares da amostra da pesquisa estão divididos na
definição do sentimento coletivo a respeito da importância das medidas de
segurança. Parte dos militares acredita na existência de: uma cultura de segurança,
outra parte acredita na Consciência da Importância e outra parte acredita na que
haja uma Ideia de que se devem possuir Medidas de Segurança.
Nas respostas aos itens E, F G e H da questão 02, compostos por perguntas
subjetivas, pode ser afirmado através da síntese das ideias apresentadas pela
amostra da pesquisa:
E.
Os Militares acusaram haver medidas de segurança na rotina de sua
seção, mas tiveram dificuldades em exemplificar essas medidas, citando exemplos
de forma parcial e incompleta. As medidas de segurança mais lembradas são
ligadas a atividades cuja falha pode resultar em graves problemas ou resultar em
sanções disciplinares.
F.
A maioria dos militares acredita que existem medidas de segurança
que estão provavelmente sendo executadas parcialmente em sua rotina. As medidas
de segurança provavelmente executadas de forma parcial estão relacionadas a
atividades rotineiras, que aparentemente não geram grandes consequências quando
não aplicadas.
G.
A maioria dos Militares acredita que existem medidas de segurança
sendo possivelmente pouco executadas ou não estão sendo executadas na rotina
da sua seção. As medidas de segurança sendo pouco executadas ou não estão
sendo executadas são: aquelas cuja execução atrapalha, dificulta ou atrasa a
execução das rotinas nas seções ou aquelas cuja execução depende de material em
falta ou não disponível para serem executadas.
H.
A minoria dos Militares acreditam que existem medidas de segurança
que poderiam ser executadas, mas que não estão previstas. As medidas de
segurança que foram exemplificadas como medidas que poderiam ser executadas,
mas que não estão previstas nas rotinas desses militares eram previstas na
documentação geral, mas duas não tinham aplicação prevista na rotina da Seção e
outra não ocorria por falta de meios.
Foi verificado que as respostas dos militares que demonstraram melhor
conhecimento relativo às perguntas sobre segurança, também foram as respostas
que mais apontaram a existência de procedimentos incorretos em relação a
execução das medidas de segurança.
64
Nas respostas aos itens E, F G e H da questão 02, compostos por perguntas
subjetivas, pode ser afirmado através da análise das ideias apresentadas:

Houve dificuldade em parte dos militares em responder as questões. Muitas
foram deixadas em branco ou respondidas de forma genérica.

A qualidade das respostas sugere uma relação direta entre a capacidade de
identificar possíveis falhas com o conhecimento das medidas previstas na
documentação.

As medidas de segurança ligadas a atividades cuja falha pode resultar em
graves problemas com sanções disciplinares provavelmente são as que têm
uma execução constante.

As medidas de segurança ligadas a atividades com falta de importância ou
com menor fiscalização, ou cuja interrupção não aparentemente não cause
danos provavelmente são executadas parcialmente.

As medidas de segurança cuja execução atrapalha, dificulta ou atrasa a
execução das rotinas nas seções ou cuja execução depende de material em
falta ou não disponível provavelmente não são executadas.
Através da comparação entre as respostas da Questão 2 verificou-se a falta
de coerência entre o conteúdo e qualidade das respostas subjetivas e as afirmações
colhidas das respostas de múltipla escolha.
Evidenciou-se um contrate entre os procedimentos sobre segurança previstos
nos diversos documentos e ordens na Organização X e entre o que provavelmente é
executado pelos militares em suas rotinas.
A baixa qualidade das respostas e o grande número de respostas em branco
indicam que esse contraste é devido a provável falta de conhecimento e capacitação
sobre as medidas de segurança, que impactaria diretamente a execução e
fiscalização destas.
Nas respostas aos itens A, B e C da questão 03, houve uma maior
importância dada à opção que continha “Rotina, Falta de fiscalização e pouca
importância” como possíveis fatores que atrapalham todo o ciclo de desenvolvimento
das medidas de segurança, desde a conscientização e a capacitação do pessoal,
passando pela execução das medidas e a fiscalização da execução.
65
Essas três opções estão ligadas a possível falta de investimento ou empenho
da chefia do Comando da Organização X na conscientização do seu pessoal.
Foram verificados nas respostas aos itens A, B e C da questão 03 como
fatores secundários:
A.
A opção “Falta de tempo, Urgência, Atraso” é colocada como principal
entre os prováveis fatores secundários a atrapalhar a conscientização e capacitação
dos militares nas medidas de segurança.
B.
A opção “Entendimento incorreto, Desconhecimento, Ignorância” é
colocada como principal entre os prováveis fatores secundários a atrapalhar os
militares na execução medidas de segurança.
C.
A opção “Distrações, Soluções de continuidade, Interrupções na
execução das tarefas” é colocada como principal entre os prováveis fatores
secundários a atrapalhar os militares na fiscalização das medidas de segurança.
Através das respostas afirmativas dos militares pode ser confirmada a
influência dos fatores, elencados como possíveis no questionário.
Essa confirmação sinaliza um contraste na correta aplicação do que é
previsto em documentação sobres medidas de segurança, isto é, uma divergência
entre o que é previsto, mas que acaba não executado.
Embora os conjuntos de prováveis fatores apontados nas respostas a
Questão 3 do questionário A sejam inter-relacionados, eles podem ser entendidos
como reflexos de características culturais da organização X, da seguinte forma:
 “Rotina, Falta de fiscalização e pouca importância” – possível falha na
conscientização (desconhecimento dos riscos associados).
 “Falta de tempo, Urgência, Atraso” – possível falta de importância (pouca
prioridade na execução e planejamento).
 “Entendimento incorreto, Desconhecimento, Ignorância” – possível falha na
capacitação (conhecimento parcial e “treinamento” insuficiente).
 “Distrações, Soluções de continuidade, Interrupções na execução das tarefas”
– possível falta de governança (Comando da Organização X possivelmente
alienado ao desenvolvimento da Mentalidade de Segurança da Informação).
66
5.2 Análise das entrevistas e observações subsequentes
5.2.1 Pessoal da Organização X
Existem indícios de uma provável falta de conhecimento sobre os novos
conceitos sobre segurança. Isso é um ônus provavelmente decorrente da falta de
investimento anterior na conscientização e capacitação do pessoal, oriundo de
diversas outras Organizações Militares do Exército Brasileiro.
Embora existam diversos comportamentos voltados à segurança dentro da
atual cultura organizacional da Organização X, o conhecimento das medidas de
segurança previstas da documentação existente provavelmente é parcial e
segmentado dentro do grupo, de forma heterogenia.
Possivelmente inexiste um sentimento de inconformidade consolidado que
motive o pessoal da Organização X a buscar uma mudança nos seus paradigmas.
Há um possível entendimento de que a transformação do Exército está distante de
sua realidade, por ser é um processo cuja realização ocorrerá apenas no futuro.
5.2.2 Medidas de segurança existentes na Organização X
A Organização X possui uma parte do pessoal, composta por militares
destacados a funções específicas na área de Segurança da Informação dentro da
Organização X, com melhor capacitação em Segurança da Informação e
Comunicações.
Há militares com outras funções, cuja rotina não tenha afinidade com a
execução das medidas de segurança existentes, que podem ter acesso, de forma
direta ou indireta, a informações sensíveis, cujas vulnerabilidades estejam
relacionadas a consideráveis impactos.
Provavelmente apenas uma parcela do pessoal da Organização X tem
conhecimento e preocupação sobre ameaças do tipo de engenharia social.
A prática rígida do Serviço de aquartelamento, seguindo um mesmo padrão
facilitaria o controle e execução do Serviço, mas também favoreceria que “as rotinas”
possam ser de conhecimento das possíveis ameaças a Organização X.
67
Embora exista algum conhecimento de meios eletrônicos usados em apoio à
segurança física, há indícios de que possa ser parcial a visão de como esses meios
poderiam ser empregados para auxiliar o pessoal empregado nos sistemas de
proteção física da Organização X.
5.2.3 Influência de fatores psicológicos e organizacionais na execução das
medidas de segurança previstas na Organização X
Provavelmente existe uma ideia na Organização X de que os militares já
sabem o necessário sobre segurança. Aliada a essa ideia está a possível percepção
de que a ideia de Segurança dentro da Organização X é mais associada ao Serviço
de guarda a Organização X, de forma semelhante ao que aprenderam quando
ingressaram no Exército Brasileiro, em sua formação.
Também existe uma ideia de se cumprir as diversas missões, sem muitas
vezes possuir os meios ou um período de tempo adequados ao cumprimento destas,
conhecida como "missão a Garcia".
O histórico de limitações financeiras provavelmente impactou o pensamento
do pessoal da Organização X. O pessoal planeja e executa as diversas atividades
priorizando a possível limitação de recursos, inclusive na implantação de medidas
voltadas a Segurança da Informação da Organização X.
Além dessas ideias existe um reflexo da implantação do Programa de
Excelência Gerencial (PEG), imposto pelo Comando do Exército de forma
semelhante a atual implantação da mentalidade voltada a Segurança. As medidas
impostas no PEG possivelmente aumentaram a carga de trabalho e diminuíram o
tempo disponível a execução das atividades essenciais, sem aparentemente
impactar numa melhora de rendimento.
5.2.4
Atividades
voltadas
à
viabilização
de
mudanças
na
Cultura
Organizacional da Organização X
A implantação de práticas e comportamentos alinhados a Segurança da
Informação, segue um padrão na Organização X, sendo impostas pelo Exército
Brasileiro de forma decrescente em sua cadeia de comando.
Essa implantação pode ser feita de forma centralizada e generalizada ou de
forma isolada e descentralizada, de acordo com o “alvo” das novas medidas.
68
O esforço para implantação fica a cargo do Comando da Organização X.
Embora tenha havido a seleção de um grupo de trabalho para a implantação das
mudanças, não se verificou um apoio externo que fizesse às vezes de “consultoria”
do processo de implantação das novas medidas.
O processo de implantação da mentalidade possivelmente subestimou as
necessidades para a mudança da Cultura Organizacional da Organização X.
5.3 Interpretação dos dados.
5.3.1 Aspectos da Cultura da Organização X
A Organização X buscava estar adequada às medidas de segurança impostas
pelo Exército Brasileiro. A documentação existente sobre a Segurança da
Informação e Comunicações era bastante abrangente, provavelmente atendendo as
necessidades da Organização X.
Existia uma predisposição do pessoal da Organização X a valorizar as
medidas de segurança, que deve se mostrar bastante favorável no desenvolvimento
do treinamento e capacitação do pessoal.
A maior parte do pessoal da Organização X acreditava já saber o necessário
sobre segurança. Essa ideia psicologicamente confortável ao pessoal provavelmente
decorre da incapacidade de que seja percebida a necessidade de adequarem suas
rotinas aos novos conceitos de Segurança da Informação e Comunicações, pela
possível falta de conhecimento destes.
Isso pode gerar uma sensação de segurança perigosa, pois militares com
outras funções, cuja rotina provavelmente não tenha afinidade com a execução das
medidas de segurança existentes, poderiam ter acesso, de forma direta ou indireta,
a
informações
sensíveis,
cujas
vulnerabilidades
estejam
relacionadas
a
consideráveis impactos.
5.3.2 Como os fatores psicológicos e organizacionais dificultam a implantação
de uma Mentalidade de Segurança da Informação
A possível falta de conhecimento a respeito da Segurança da Informação e
Comunicações impactaria diretamente a execução das medidas de segurança, pois
69
teria ação direta na “percepção” do pessoal voltada a Segurança da Informação e
Comunicações.
Como consequência da possível situação confortável haveria uma redução do
esforço para quaisquer mudanças na Organização X a um mínimo, possivelmente
insuficiente para que sejam mudadas atitudes adversas ao processo, já enraizadas
nos comportamentos do pessoal.
Isso possibilitaria que militares com a “percepção” possivelmente aquém da
necessária a respeito da Segurança da Informação e Comunicações conduzissem o
processo de implantação da Mentalidade de Segurança da Informação.
O provável resultado disso é a possível aceitação, por parte do Comando da
Organização X, de uma sensibilização e capacitação insuficientes para o
atendimento das necessidades da Organização X.
Como provável consequência haveria um contraste entre a correta aplicação
do que é previsto em documentação sobres medidas de segurança e o que
possivelmente acaba sendo feito, isto é, uma divergência entre o que é previsto,
mas que acaba não executado.
5.3.3 Atividades voltadas à conscientização e treinamento do pessoal, que
atuem sobre os fatores que dificultam a implantação da Mentalidade de
Segurança da Informação
Ao ser encarado o processo de implantação de uma mentalidade voltada a
segurança pela ótica da adequação de uma Cultura Organizacional, seguindo o
entendimento de Chiavenato (2004), confirmou-se que o simples conhecimento, sem
a aplicação das novas ideias e práticas não foi suficiente para uma mudança efetiva
da cultura organizacional na Organização X.
Apesar de haver algum conhecimento sobre o que deve ser feito para
implantação da Mentalidade de Segurança da Informação, há uma provável falta de
conhecimento sobre a maneira de conduzir esse processo.
Isso pode ser decorrente ao provável entendimento por parte do pessoal da
Organização X em se conduzir “treinamento” do pessoal ao invés de capacitação.
Num primeiro momento deveria ter sido obtido o engajamento das lideranças
culturais da organização nas atividades de conscientização. Esse engajamento
decorreria do desenvolvimento da governança voltada a Segurança da Informação.
70
O exemplo destas lideranças provavelmente serviria de estímulo a
internalizarão de um novo paradigma conforme Schein (1999, p. 102), facilitando o
processo de Sensibilização do pessoal da Organização X.
De acordo com Schein (1999) e Chiavenato (2004), provavelmente faltou um
processo de “desaprendizagem” das ideias e práticas antigas, nocivas à mudança,
necessário antes da condução de quaisquer aprendizados por parte do pessoal na
Organização X.
Seria importante que as seguintes ideias, possivelmente existentes no
pessoal da Organização X, tivessem sido identificadas e trabalhadas para o
prosseguimento da implantação da Mentalidade de Segurança da Informação:
 “Achar que já conhece o suficiente sobre segurança”,
 “Desconhecer os riscos associados”,
 “Dar pouca prioridade aos novos conceitos de segurança”,
 “Não enxergar a necessidade dos novos conceitos segurança em sua
própria rotina”,
 “Estar conformado com a atual situação”,

“Missão a Garcia”,
 “Trauma do PEG”,
 “Priorizar a limitação de recursos”,
 “Entender a mudança como um processo alheio ao seu trabalho atual”.
Nesse processo inicial, segundo Mitroff, Mason e Pearson apud Blattmann
(1999), o indivíduo deveria estar inconformado com a situação existente para que
houvessem mudanças significativas.
De acordo com Covey apud Blattmann (1999), esta “inconformação” poderia
ter sido estimulada através de um desconforto grande o suficiente que servisse de
motivação.
Caruso & Steffen (1999) e Mitnick & Simon (2003) colocam também que a
pessoas se envolvem e se motivam quando entendem que sua participação não
apenas trará benefícios para a organização, mas também para elas mesmas.
71
Associado a estes dois entendimentos poderia ainda ser aplicada a Teoria da
motivação apresentada por Maslow & Herzberg apud Chiavenato (2004), na qual o
ser humano age baseado na satisfação e suas necessidades, para explicar que as
organizações podem ser um meio de proporcionar ou recompensas as pessoas que
agem de acordo com os novos paradigmas ou de forma inversa incorformação aos
que resistem à aplicação deles.
Após esse processo de “preparação” da Organização X para a mudança,
deveria haver o esforço na aprendizagem, voltado à capacitação e conscientização
necessárias a mudança. Esse esforço é colocado como uma segunda fase por
Chiavenato (2004), que seria a “mudança”.
Blattmann (1999) e Chiavenato (2004) entendem que o aprendizado das
novas ideias e práticas por parte do pessoal resultaria num novo de pensar e agir.
Nesse caso o aprender significaria mudar o comportamento do pessoal da
Organização X.
Mitnick & Simon (2003) colocam que a capacitação do pessoal seria a
premissa para que se desse início ao processo contínuo de conscientização. Esse
processo seria fundamental para conseguir convencer, se não todos, pelo menos a
grande maioria das pessoas da Organização X dos benefícios de uma Mentalidade
de Segurança da Informação.
Nesse processo de capacitação e conscientização seriam apresentados
conceitos a respeito da segurança da informação. Para o entendimento desses
conceitos, segundo os entendimentos de Mitnick & Simon (2003) e Promon apud
Rocha
(2008),
seria
necessária
a
possível
identificação
das
diversas
vulnerabilidades e a gestão dos prováveis riscos associados aos diversos ativos da
informação por parte do pessoal, na Organização X.
Por último deveria ocorrer a manutenção da conscientização e capacitação do
pessoal, que Chiavenato (2004) coloca como última fase. Ela consistiria na
internalização das novas ideias e práticas, isto é, do novo comportamento, através
de mecanismos de reforço e suporte. Significa que tudo que fosse aprendido estaria
sendo executado, de forma integrada a prática atual.
A ideia de manutenção reforça o entendimento do Exército Brasileiro (2009),
Caruso & Steffen (1999), Rocha (2008) e Mitnick & Simon (2003) de que a
capacitação e conscientização devem ocorrer de forma contínua e indeterminada.
72
6 Conclusões e Trabalhos Futuros.
A pesquisa teve por finalidade demonstrar como a condução de um processo
de implantação de uma Mentalidade de Segurança da Informação na Organização
X, no ano de 2010, pode exigir mais do que a simples implantação de novas
medidas de segurança. Verificou-se a existência de diversos indícios apontando a
necessidade de um entendimento, por parte do Comando da Organização X, de
como conduzir uma mudança comportamental. Isso se faz ainda mais importante se
considerado o início de um processo ainda maior, de transformação da instituição da
qual a Organização X faz parte, o Exército Brasileiro.
Foram apresentados conceitos sobre: o processo de transformação do
Exército Brasileiro, segurança da informação e cultura organizacional para um
melhor entendimento do trabalho de pesquisa. Colocou-se como uma das limitações
da pesquisa: o período estudado, visto que anualmente ocorrem mudanças no
pessoal dentro da Organização X que podem impactar a maneira de conduzir o
processo de implantação de uma Mentalidade de Segurança da Informação e o
caráter sigiloso de diversos documentos relativos à condução de atividades voltadas
à segurança da informação, dentro da Contrainteligência.
O foco desses conceitos é o pessoal, elo fundamental entre ambos os
conceitos apresentados, necessário ao funcionamento de todas as Organizações. O
pessoal, no processo de implantação de uma Mentalidade de Segurança da
Informação na Organização X, além de objeto das ações de mudança
comportamental, tem em seu comportamento uma fonte de problemas de segurança
da informação para a Organização X.
Verificou-se válido o pressuposto de que as medidas de segurança da
Organização X estavam defasadas, em relação a um padrão ideal.
73
6.1 Conclusões
A pesquisa atingiu seu objetivo geral, conseguindo identificar aspectos
existentes no pessoal da Organização X e na sua documentação que representam
ideias consolidadas em sua cultura organizacional. Parte dessas ideias é adversa ao
processo de mudança.
Verificou-se que Organização X busca estar adequada às medidas de
segurança impostas pelo Exército Brasileiro. A documentação existente sobre a
Segurança da Informação e Comunicações é bastante abrangente, atendendo as
necessidades da Organização X.
Existia uma predisposição do pessoal da Organização X a valorizar as
medidas de segurança, que deve se mostrar bastante favorável no desenvolvimento
do treinamento e capacitação do pessoal.
A maior parte do pessoal da Organização X acreditava já saber o necessário
sobre segurança. Essa ideia decorria da incapacidade de que seja percebida a
necessidade de adequarem suas rotinas aos novos conceitos de segurança da
informação. A provável causa disso é o fato da maior parte do pessoal não possuir
conhecimento suficiente destes novos conceitos.
Verificou-se que é provável que essa percepção inadequada em relação a
Segurança da Informação pelo Pessoal da Organização X provavelmente recaiu
numa situação confortável, isto é: conhecida, aceita e executada de forma rotineira,
na qual os comportamentos dos militares tendiam a se manter inalterados. Isso
decorria da provável incapacidade de entender dos riscos associados, diretamente
relacionada à falta de conhecimento, pelo pessoal da Organização X.
A ignorância relativa à segurança da informação na Organização X
provavelmente gerava uma sensação de segurança equivocada, o que seria
perigoso, pois militares com outras funções, cuja rotina não possuísse afinidade com
a execução das medidas de segurança existentes, poderiam ter acesso, de forma
direta ou indireta, a informações sensíveis, cujas vulnerabilidades estejam
relacionadas a consideráveis impactos.
74
A análise do comportamento de alguns dos Militares da Organização X
possibilitou o alcance do primeiro objetivo específico, com o estabelecimento de
relações a respeito de “como” potenciais fatores psicológicos e organizacionais
dificultam a implantação de uma Mentalidade de Segurança da Informação, pela
influência negativa na adequação das rotinas, procedimentos e atitudes.
Verificou-se que a falta de conhecimento a respeito da segurança da
informação por parte do pessoal da Organização X seria um fator inicial, que
impactaria
negativamente
a
execução
das
medidas
de
segurança.
Esse
desconhecimento teria ação direta na “percepção” do pessoal da Organização X
sobre a Segurança da Informação e reforçaria a manutenção de ideias existentes
adversas ao processo de implantação da Mentalidade de Segurança da Informação
nesse pessoal.
O assessoramento ao Comando da Organização X relativo à segurança da
informação também ficaria impactado pela falta de conhecimento e de percepção,
afetando a governança.
A provável consequência da ignorância e do apego às ideias adversas a
mudança, ficaria estabelecida por uma situação psicologicamente confortável ao
pessoal da Organização X, na qual tudo continuaria sendo feito como “antigamente”.
A provável situação de conforto reduz a um mínimo a motivação do pessoal
para quaisquer mudanças, afetando os esforços para que as mudanças na
Organização X fossem efetivadas. O esforço resultante tornar-se-ia insuficiente para
que fossem mudadas as atitudes adversas ao processo enraizadas nos
comportamentos do pessoal.
Ainda verificou-se, como provável efeito negativo, a possibilidade de que
militares próprios da Organização X, com uma “percepção” aquém da ideal a
respeito da Segurança da Informação, iniciarem a condução do processo de
implantação da Mentalidade de Segurança da Informação.
Os indícios apontam como resultado final uma possível aceitação, pela falta
de conhecimento, por parte do Comando da Organização X, de uma sensibilização e
capacitação insuficientes para o atendimento das necessidades da Organização X.
75
O produto do processo de implantação da Mentalidade de Segurança da
Informação teria sido um contraste entre a correta aplicação do que é previsto em
documentação sobres medidas de segurança e o que provavelmente acabou sendo
executado pelo pessoal da Organização X, isto é, uma divergência entre o que era
previsto, mas que ocasionalmente não teria sido executado corretamente.
Essa análise cultural, aliada aos conceitos de como conduzir uma mudança
culturais obtidos através da pesquisa bibliográfica e do acompanhamento do
processo de implantação da mentalidade voltada à segurança na Organização X,
permitiram o alcance do segundo objetivo específico, com o esclarecimento de
atividades que atuam na influência dos fatores que dificultam a implantação da
Mentalidade de Segurança da Informação. Essas atividades podem ser usadas
como ferramentas para mitigar as influências negativas desses fatores na
capacitação e conscientização do pessoal da Organização X.
Verificou-se através da análise do processo de implantação de uma
mentalidade voltada à segurança na Organização X que provavelmente era
necessário algo além da simples implantação de novas medidas de segurança.
Foram identificados indícios de que o conhecimento dos novos conceitos
associados às medidas de segurança era parcial, pois a maioria do pessoal da
Organização X provavelmente não possuía um entendimento dos riscos existentes
associados às vulnerabilidades que essas medidas deviam mitigar. Essa falta de
conhecimento possivelmente sofre influencia do entendimento por parte do pessoal
da Organização X em se conduzir um “treinamento” do pessoal ao invés uma
capacitação do seu pessoal.
Apesar de ter sido verificado a existência de conhecimento sobre o que deve
ser feito para implantação das medidas de segurança como parte de implantação da
Mentalidade de Segurança da Informação, não foram encontrados indícios da
existência de conhecimento sobre a maneira de conduzir um processo de mudança
da cultura organizacional necessário à obtenção dessa mentalidade.
76
Para que fosse iniciada uma mudança cultural, era fundamental que houvesse
um processo de preparação da Organização X, antes da aplicação de novas ideias e
práticas. Foram identificadas algumas ideias provavelmente adversas à mudança do
pessoal:
•
“Achar que já conhece o suficiente sobre segurança”
•
“Desconhecer os riscos associados”
•
“Dar pouca prioridade aos novos conceitos de segurança”
•
“Não perceber as necessidades de segurança “
•
“Estar conformado com a atual situação”
•
“Missão a Garcia”
•
“Medo que as medidas gerem apenas novos encargos”
•
“Priorizar a limitação de recursos”
•
“Entender-se alheio ao processo de mudança”
Essa preparação consistiria na neutralização de ideias e práticas antigas,
provavelmente consolidadas no comportamento do pessoal, que fossem nocivas ao
processo de mudança e da obtenção do apoio do pessoal da Organização X,
através do engajamento das lideranças culturais. A preparação deveria desenvolver
atividades voltadas à sensibilização do pessoal, que precisariam ser continuadas de
forma indeterminada.
Após isso deveria ser iniciado um esforço na aprendizagem das novas ideias
e práticas, num processo de capacitação e conscientização do pessoal da
Organização X. O aprendizado possibilitaria a incorporação destas novas ideias e
praticas ao comportamento individual dos Militares da Organização X.
A mudança dos comportamentos individuais provavelmente provocaria a
“mudança”
do
comportamento
coletivo
do
pessoal
da
Organização
X,
consequentemente da sua cultura organizacional.
Serviriam como possíveis fatores facilitadores a motivação para mudança do
pessoal:
 O exemplo de lideranças culturais.
 Apoio do Comando.
 A insatisfação do pessoal decorrente do conhecimento dos riscos
existentes.
 Ideia de que as mudanças trarão benefícios pessoais.
77
Como última fase, deveria ocorrer a consolidação dos comportamentos
obtidos, através da continuidade das atividades voltadas à conscientização e
capacitação do pessoal.
Através desse provável processo contínuo de aprendizagem, poderiam ser
desenvolvidas futuras adequações dos comportamentos existentes na Organização
X a novas necessidades, mantendo a Mentalidade de Segurança da Informação,
conforme objetivo do Exército Brasileiro.
6.2 Trabalhos Futuros e Sugestões
O presente trabalho de pesquisa, por se tratar de um estudo de caso
exploratório, possui limitações devido à complexidade dos temas tratados. O alcance
do estudo de caso apenas possibilita inferir a partir dos: dados coletados na amostra
do pessoal, ambiente organizacional e documentação, projeções baseadas nos
indícios obtidos. Não foi objetivo do mesmo o levantamento de todos os aspectos da
cultura organizacional de Organização X. A ratificação das conclusões existentes
também fugia as possibilidades da pesquisa, demandando novos estudos.
Considera-se esse estudo um ponto de partida para que sejam desenvolvidos
outros trabalhos que possam utiliza-lo como referencia no aprofundamento do
estudo da implantação de uma mentalidade voltada a Segurança da Informação ou
de outras mudanças culturais em Organizações Militares, aproveitando-se a
conjuntura de transformação institucional do Exército Brasileiro, ou mesmo em
órgãos da Administração Pública Federal.
Considera-se ainda que os entendimentos a respeito de mudanças culturais
existentes nesse trabalho podem auxiliar a condução de atividades que demandem
de mudanças culturais como auxílio a sua execução pelo Exército Brasileiro.
Verificou-se durante a pesquisa a possibilidade de adequação de conceitos
existentes no Glossário das Forças Armadas, devido à ausência de conceitos
importantes no entendimento e condução de mudanças culturais nas Organizações
Militares. É sugerida a inclusão de definições a respeito da Cultura Organizacional
como: capacitação, conscientização, Cultura Organizacional e sensibilização.
78
Acredita-se que é interessante um posterior aprofundamento do estudo,
buscando relacionar as conclusões obtidas com a variável decorrente da execução
de instruções e outras medidas de aprendizado previstas na Instrução Militar do
Exército Brasileiro, como prováveis ferramentas na modificação de atitudes e
comportamentos dos militares.
Dessa forma seria possível estabelecer relações entre aspectos existentes
nos padrões culturais estudados com as instruções e outras atividades realizadas,
de forma a identificar uma possível adequação das atividades previstas no Programa
de Instrução Militar com as prováveis necessidades existentes.
79
Referências e Fontes Consultadas
ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Apresentação de
relatórios técnico-científicos: NBR 10719. ABNT: Rio de Janeiro, 1989. 9 p.
BLATTMANN, Úrsula. Organizações no paradigma de transformação. Santa
Catarina, 1996. Disponível em: http://wwwced.ufsc.br/bibliote/encontro/bibli7/
eb7art4.htm Acesso em 11 mai 2010.
BRASIL. Decreto-Lei nº 4376, de 13 de Setembro de 2002. Dispõe sobre a
organização e o funcionamento do Sistema Brasileiro de Inteligência, instituído
pela Lei nº 9.883, de 7 de dezembro de 1999, e dá outras providências. Diário
Oficial [da República Federativa do Brasil], Brasília, 16 set. 2002. Disponível na
internet em
http://www.abin.gov.br/modules/mastop_publish/?tac=Decreto_
4376%2F2002 , acesso em 04 Junho de 2010.
BRASIL. EXÉRCITO BRASILEIRO. Processo de Transformação do Exército. 2ª ed.
Brasília, 2010. Disponível em: http://www.exercito.gov.br/c/document_library/
get_file?uuid=c5e7cd57-dd14-4fa8-bc52-2a9316e61863&groupId=10138.
Acesso em 01 jun. 2011.
BRASIL. GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA
REPÚBLICA. Instrução Normativa GSI No. 1, de 13 de junho de 2008:
Disciplina a gestão de segurança da informação e comunicações na
administração pública federal, direta e indireta, e dá outras providências.
Brasília, junho 2008. Publicada no DOU No. 115, de 18 Jun 2008 – Seção 1.
80
Disponível
em:
http://dsic.planalto.gov.br/documentos/in_01_gsidsic.pdf
.
Acesso em: 10 julho de. 2011.
BRASIL. MINISTÉRIO DA DEFESA. Glossário das Forças Armadas: 4ª ed. Brasília,
2007.
Disponível
em:<http://www.exercito.gov.br/c/document_library/
get_file?uuid=c5e7cd57-dd14-4fa8-bc52-2a9316e61863&groupId=10138>.
Acesso em 01 jun. 2011.
CARUSO, Carlos A.A; STEFFEN, Flávio D. Segurança em Informática e de
Informações.2a ed. rev. ampl. São Paulo: SENAC-SP,1999, 367p.
CHIAVENATO, Idalberto. Introdução a Teoria Geral da Administração: uma visão
abrangente da moderna administração das organizações: edição compacta. 3ª
ed. rev. e atual. Rio de Janeiro: Elsevier, 2004 – 5ª Reimpressão, 494p.
COVARRUBIAS, Jaime García. Os Três Pilares de uma Transformação Militar .
Military Review: Edição Brasileira, Kansas; p. 16-24, nov-dez 2007.
Disponível em: < http://www.ecsbdefesa.com.br/defesa/fts/MRnovdez07.pdf>.
Acesso em 11 mai 2010.
FERNANDES, J. H. C. Metodologia de Pesquisas de Estudo de Caso no Programa
de Formação de Especialistas para Desenvolvimento da Estratégia e
Metodologia
Brasileira
de
Gestão
de
Segurança
da
Informação
e
Comunicações - PFEMBGSIC: Rev 1. 2010. 16 p.
MAMEDE, Antônio Augusto do Canto. A Influência da Cultura Organizacional nos
Processos de Mudança. São Paulo: SEBRAE, 2004. Disponível em:
http://www.biblioteca.sebrae.com.br/bds/BDS.nsf/4AD4782E13B055CB03256E
F600506F48/$File/NT00090F7A.pdf. Acesso em 11 mai. 2010.
MITNICK, Kevin D; SIMON, William L. A Arte de Enganar. Ataques de Hackers:
Controlando o Fator Humano na Segurança da Informação. 1 ed. São Paulo:
Pearson Makron Books, 2005, 284p.
81
ROBBINS, Stephen P. Comportamento Organizacional. 11ª ed. São Paulo: Pearson
Prentice Hall, 2005, 536p.
ROCHA, P. C. Cardoso. Segurança da informação: uma questão não apenas
tecnológica.
Brasília,
2008.
Disponível
em:
<http://dsic.planalto.gov.br/
documentos/cegsic/monografias_1_turma/paulo_cesar.pdf>.
ROSSO, Maria J. U. Cultura Organizacional: Uma proposta metodológica com
Estudo de Caso. 1ª ed. Lorena: Stiliano, 2000, 234p.
SCHEIN, Edgar H. Guia de Sobrevivência da Cultura Corporativa. Rio de Janeiro:
José Olímpio, 2001, 191p.
SENGE, Peter M. A Quinta Disciplina: Arte e prática da organização que aprende.
25ª Ed. Rio de Janeiro: BestSeller, 2009, 530p.
YIN, R. K. Estudo de Caso: Planejamento e Métodos. 4ª ed. Porto Alegre: Bookman,
2010.
82
Glossário
A
Acesso. Ato de ingressar, transitar, conhecer ou consultar a informação, bem como
a possibilidade de usar os ativos de informação de um órgão ou entidade.
(Referência: Norma Complementar nº 07 do Gabinete de Segurança
Institucional).
Adaptação. Consiste em adaptar as estruturas existentes para continuar cumprindo
com as tarefas previstas, reorganizando os meios existentes e reajustando as
capacidades. (Referência:. Os Três Pilares de uma Transformação Militar Edição Brasileira da revista Military Review, p. 16-24, nov-dez 2007)
Ameaça: Atores, internos ou externos, com capacidade ou motivação para explorar
as vulnerabilidades de uma Organização, objetivando causar danos.
Ameaça assimétrica: Ameaça decorrente da possibilidade de serem empregados
meios
ou
métodos
não
ortodoxos,
que
incluem
terrorismo,
ataques
cibernéticos, armas convencionais avançadas e armas de destruição em
massa para anular ou neutralizar os pontos fortes de um adversário, exploran
do suas fraquezas, a fim de obter um resultado desproporcional. (Referência:
Glossário das Forças Armadas do Ministério da Defesa).
83
Ativos de Informação. Os meios de armazenamento, transmissão e processamento,
os sistemas de informação, bem como os locais onde se encontram esses
meios e as pessoas que a eles têm acesso. (Referência: Norma Complementar
nº 04 do Gabinete de Segurança Institucional).
Atores. Pessoas, grupos, organizações que atuem como agentes causadores de
danos.
Autenticidade. Propriedade de que a informação foi produzida, expedida, modificada
ou destruída por uma determinada pessoa física, ou por um determinado
sistema, órgão ou entidade. (Referência: Instrução Normativa nº 1 do Gabinete
de Segurança Institucional).
C
Capacitação. Processo de ensinar novas ideias e práticas específicas a serem
executadas por parte do pessoal. Decorre do conhecimento das novas ideias e
praticas, mas não de sua aceitação.
Cultura Organizacional. Conjunto de pressupostos básicos, de valores, inventados
ou descobertos, compartilhados por um grupo, para resolver problemas tanto
de
adaptação
externa
e/ou
integração
interna.
Tem
origem
em
comportamentos consolidados por terem sido bem sucedidos na solução de
problemas. Expressa os valores essenciais compartilhados e aceitos pela
maioria dos membros da organização. (Referências: Livros: “Comportamento
Organizacional” de Stephen P. Robbins - Editora Pearson Prentice Hall, 11ª Ed;
“Cultura Organizacional: Uma proposta metodológica com Estudo de Caso” de
Maria J. U Rosso- Editora Lorena: Stiliano, 1ª Ed e “Guia de Sobrevivência da
Cultura Corporativa” de Edgar H. Schein- Editora José Olímpio, 1ª Ed).
Confidencialidade. Propriedade de que a informação não esteja disponível ou
revelada a pessoa física, sistema, órgão ou entidade não autorizado e
credenciado.
84
Conscientização. Processo de esclarecimento sobre determinado assunto ou ideia,
necessário para o aprendizado e mudança de comportamentos. Decorre da
aceitação do assunto ou ideias por parte do pessoal, refletindo no seu
comportamento.
Contrainteligência. A atividade que objetiva prevenir, detectar, obstruir e neutralizar
ações de qualquer natureza que constituam ameaça à salvaguarda de dados,
informações e conhecimentos de interesse da segurança de instituições, da
sociedade e do Estado, bem como das áreas e dos meios que os retenham ou
em que transitem. (Referência: Decreto-Lei nº 4376, de 13 de Setembro de
2002 - Dispõe sobre a organização e o funcionamento do Sistema Brasileiro de
Inteligência l).
D
Disponibilidade. Propriedade de que a informação esteja acessível e utilizável sob
demanda por uma pessoa física ou determinado sistema, órgão ou entidade.
(Referência: Instrução Normativa nº 1 do Gabinete de Segurança Institucional).
Doutrina:
Conjunto
de
princípios,
conceitos,
normas
e
procedimentos,
fundamentadas principalmente na experiência, destinado a estabelecer linhas
de pensamentos e a orientar ações, expostos de forma integrada e harmônica.
(Referência: Glossário das Forças Armadas do Ministério da Defesa).
Doutrina de Segurança. Conjunto de conceitos básicos, princípios gerais, processos
e normas de comportamento que permitem orientar os estudos, a formulação e
o desdobramento de uma política de segurança (Referência: Glossário das
Forças Armadas do Ministério da Defesa).
Doutrina de Militar. Conjunto harmônico de ideias e de entendimentos que define,
ordena, distingue e qualifica as atividades de organização, preparo e emprego
das Forças Armadas. Englobam, ainda, a administração, a organização e o
funcionamento das instituições militares (Referência: Glossário das Forças
Armadas do Ministério da Defesa).
85
E
Estudo de caso. Método de investigação empírica que e investiga um fenômeno
contemporâneo
em
profundidade
e
em
seu
contexto
de
vida
real,
especialmente quando os limites entre o fenômeno e o contexto não são
claramente evidentes. (Referência: Livro “Estudo de Caso - Planejamento e
Métodos” de Robert K. Yin - Editora BOOKMAN, 4ª Ed.)
F
Ferramenta. Conjunto composto por ações, medidas e práticas que sirvam de
instrumento facilitador a consecução de um objetivo específico.
G
Governança. Capacidade de assegurar apoio necessário dentro do processo
decisório, na articulação ou desenvolvimento de determinado tema por parte da
Organização, através da agregação de valor e envolvimento dos gestores.
I
Iceberg. Objeto formado por grande massa de gelo, flutuante no mar ou oceano.
Possui característica de aparentar ser menor do que realmente é, pois a maior
parte sua massa fica encoberta abaixo da água.
Informação: Termo que engloba dados e conhecimentos, armazenados em qualquer
meio ou, ainda, de posse exclusiva do cérebro humano, hierarquizados de
acordo com o valor agregado.
Integridade. Propriedade de que a informação não alterada de maneira não
autorizada ou acidental.
86
M
Medidas de Segurança. Ações que objetivam viabilizar e assegurar as propriedades
da Informação, ao mitigar os riscos associados as vulnerabilidades existentes.
(Referência: Instrução Normativa nº 1 do Gabinete de Segurança Institucional).
Mentalidade. Conjunto de modelos mentais, valores implícitos e de premissas
básicas que influenciam a maneira de uma pessoa perceber o mundo e tirar
suas conclusões, formando uma maneira de pensar. Influencia as atitudes e
reações das pessoas, compondo seu comportamento.
Mentalidade de Segurança da Informação. Maneira de pensar alinhada aos
conceitos da Segurança da Informação.
Modelos mentais. Pressupostos profundamente arraigados, generalizações ou
mesmo imagens que influenciam a forma ver o mundo e agir. (Referência: Livro
“A quinta disciplina – Arte e prática da organização que aprende” de Peter M.
Senge - Editora BESTSELLER, 25ª Ed.)
Missão a Garcia. Estória na qual Garcia cumpre uma missão difícil, usando sua
iniciativa, sem receber apoio ou orientação. É valorizada dentro da cultura
militar como exemplo de superação e comprometimento.
Modernização. Otimização das capacidades para cumprir a missão de uma melhor
forma. Implica numa mudança menos radical, pois envolve melhorias nas
capacidades. (Referência: Os Três Pilares de uma Transformação Militar Edição Brasileira da revista Military Review, p. 16-24, nov-dez 2007).
87
S
Segurança da Informação. Conjunto de conceitos, técnicas e atividades que visem a
proporcionar confidencialidade, integridade e disponibilidade às informações,
protegendo recursos de informação contra ações deliberadas ou nãoautorizadas de aquisição, dano, manipulação, modificação, perda, revelação ou
uso desses recursos. (Referência: Glossário das Forças Armadas do Ministério
da Defesa).
Segurança da Informação e Comunicações. Ações que objetivam viabilizar e
assegurar
a
disponibilidade,
a
integridade,
a
confidencialidade
e
a
autenticidade das informações (Referência: Instrução Normativa nº 1 de 2008
do Gabinete de Segurança Institucional da Presidência da República).
Sensibilização. Processo de valorização de determinado assunto que torne favorável
a aceitação do mesmo.
Sensação de segurança. Percepção subjetiva, que pode ser pessoal ou coletiva, na
qual se tira uma conclusão sobre a aceitação de riscos. É resultante do
conhecimento acerca dos riscos existentes ou hipotéticos. Influi na tomada de
decisão e no comportamento.
P
Programa de Excelência Gerencial (PEG). Programa composto de atividades
voltadas à sensibilização e capacitação de Militares, objetivando a obtenção de
uma
mentalidade
de
gestão
alinhada
ao
Planejamento
Estratégico
Organizacional do Exército Brasileiro. (Referência: Sítio eletrônico PEG do
Exército Brasileiro - http://www.portalpeg.eb.mil.br/).
88
T
Transformação. Desenvolvimento das novas capacidades para cumprir novas
missões ou desempenhar novas funções em combate. Implica numa mudança
muito mais radical, pois envolve mudanças nas missões, além de possuir uma
alcance não somente técnico, mas também político. (Referência:. Os Três
Pilares de uma Transformação Militar - Edição Brasileira da revista Military
Review, p. 16-24, nov-dez 2007).
Treinamento: 1. Processo de ensinar habilidades específicas a serem executadas
sob condições pré-definidas. 2. Conjunto padronizado de procedimentos,
orientado para o desenvolvimento de habilidades e práticas que o instruendo
deve conhecer e dominar, visando à execução aprimorada de uma ou mais
tarefas. (Referência: Glossário das Forças Armadas do Ministério da Defesa).
U
Usuário da Informação. Todo aquele que produz, acessa, classifica, manuseia,
transporta, transmite ou guarda informações organizacionais que possam ser
alvo de ameaças.
V
Vulnerabilidade. É uma deficiência presente ou fragilidade, que pode ser associada
a pessoas, áreas e instalações e/ou material, bem como os suportes que
manipulam, armazenam e/ou processam informações.