CULTURA DA SEGURANÇA DA INFORMAÇÃO EM UMA …siaibib01.univali.br/pdf/Rafael Motta.pdf ·...
81
1 UNIVERSIDADE DO VALE DO ITAJAÍ CENTRO DE CIÊNCIAS SOCIAIS APLICADAS CURSO DE ADMINISTRAÇÃO Rafael Motta TRABALHO DE CONCLUSÃO DE ESTÁGIO CULTURA DA SEGURANÇA DA INFORMAÇÃO EM UMA AGÊNCIA BANCÁRIA Organização, sistemas e métodos ITAJAÍ - SC, 2011
-
Upload
nguyenkhanh -
Category
Documents
-
view
216 -
download
0
Transcript of CULTURA DA SEGURANÇA DA INFORMAÇÃO EM UMA …siaibib01.univali.br/pdf/Rafael Motta.pdf ·...
1
UNIVERSIDADE DO VALE DO ITAJAÍ
CENTRO DE CIÊNCIAS SOCIAIS APLICADAS
CURSO DE ADMINISTRAÇÃO
Rafael Motta
TRABALHO DE CONCLUSÃO DE ESTÁGIO
CULTURA DA SEGURANÇA
DA INFORMAÇÃO EM UMA
AGÊNCIA BANCÁRIA
Organização, sistemas e métodos
ITAJAÍ - SC, 2011
2
RAFAEL MOTTA
TRABALHO DE CONLUSÃO
DE ESTÁGIO
CULTURA DA SEGURANÇA
DA INFORMAÇÃO EM UMA
AGÊNCIA BANCÁRIA
ITAJAÍ - SC, 2011
3
Agradeço primeiramente a Deus.
A meu orientador André Moraes dos Santos,
por toda a paciência, esforço e empenho
que foram fundamentalmente necessários
para que este trabalho fosse concluído.
E em especial aos meus pais,
Mauro Ronildo da Silveira Motta e
Isabel Cristina Motta, pois sempre
acreditaram e incentivaram a mim em
todos os momentos, sendo eles para
mim dois grandes exemplos de
vida e dedicação.
São meus pais e Deus a base
de muitas de minhas conquistas.
4
EQUIPE TÉCNICA
a) Nome do estagiário
Rafael Motta
b) Área de estágio
Organização, Sistemas e Métodos
c) Supervisor de campo
Ivo Hoepers
d) Orientador de estágio
André Moraes dos Santos, MSc.
e) Professor responsável pelo estágio
Prof. Eduardo Krieger da Silva, MSc.
5
DADOS DE IDENTIFICAÇÃO DA EMPRESA
a) Razão social
Banco Bradesco S/A, Agência 0330-1
b) Endereço
Rua Hercílio Luz, 355, Centro, Itajaí – Santa Catarina
c) Setor de desenvolvimento do estágio
Bancário (financeiro)
d) Duração do estágio
240 horas
e) Nome e cargo do orientador de campo
Ivo Hoepers – Gerente Administrativo
f) Carimbo e visto da empresa
6
AUTORIZAÇÃO DA EMPRESA
ITAJAÍ, 26 de Setembro de 2011
A empresa Banco Bradesco S. A., pelo presente instrumento, autoriza a
Universidade do Vale do Itajaí – UNIVALI, a publicar, em sua biblioteca, o trabalho
de Conclusão de Estágio executado durante o Estágio Supervisionado, pelo
acadêmico Rafael Motta.
_____________________________________
Ivo Hoepers
7
RESUMO
O presente trabalho apresenta os resultados da pesquisa diagnóstico realizada em uma agência bancária do Banco Bradesco S. A. na cidade de Itajaí - SC, foram abordados assuntos relativos à cultura da segurança da informação, assim fundamentou-se com teorias relacionadas à cultura e suas variáveis, também foi feito um estudo profundo sobre as teorias relacionadas a Sistema de Informação, Tecnologia da Informação e Segurança da Informação. Teve como objetivo diagnosticar as características da cultura da segurança da informação dos funcionários, assim como identificar as variáveis da cultura e possíveis falhas referentes à segurança da informação. O método realizado na pesquisa foi quantitativo aplicado através de um questionário cujos respondentes foram todos os colaboradores da agência. Através da análise descritiva foram obtidos os resultados da pesquisa. O estudo demonstrou que variáveis culturais influenciam diretamente a segurança da informação assim gerando falhas nos processos realizados no banco. Sendo assim foi sugerido à empresa que sejam mantidos e reforçados investimentos na cultura dos colaboradores, visando incentivá-los a adotarem atitudes seguras para que sejam evitadas falhas de qualquer natureza que possam gerar prejuízos financeiros e à imagem da organização. PALAVRAS-CHAVE: Cultura, Sistema de Informação, Tecnologia da Informação, Segurança da Informação.
8
LISTA DE QUADROS
QUADRO 1 – Quadro de funcionários ...................................................................... 19
QUADRO 2 – Variáveis culturais ............................................................................... 25
QUADRO 3 – Perfil dos colaboradores ..................................................................... 46
QUADRO 4 – Média dos colaboradores por tempo de serviço ................................. 47
QUADRO 5 – Questões sobre comportamento......................................................... 48
QUADRO 6 – Médias e desvio padrão - Comportamento ......................................... 49
QUADRO 7 – Questões sobre certeza de detecção ................................................. 52
QUADRO 8 – Médias e desvio padrão – Certeza de detecção ................................. 52
QUADRO 9 – Questões sobre severidade de punição ............................................. 54
QUADRO 10 – Médias e desvio padrão – Severidade de punição ........................... 55
QUADRO 11 – Questões sobre crenças normativas ................................................ 57
QUADRO 12 – Média e desvio padrão – Crenças normativas .................................. 57
QUADRO 13 – Questões sobre comportamento dos pares ...................................... 60
QUADRO 14 – Média e desvio padrão – comportamento dos pares ........................ 60
QUADRO 15 – Questões sobre conhecimento ......................................................... 62
QUADRO 16 – Média e desvio padrão – Questões sobre conhecimento ................. 63
QUADRO 17 – Média e desvio das questões de 22 a 30 ......................................... 66
QUADRO 18 - Questões atitude ............................................................................... 67
QUADRO 19 – média e desvio padrão – Questões atitude ...................................... 67
QUADRO 20 – Média e desvio padrão das questões de atitude quanto pessoal,
colegas e superiores ................................................................................................. 70
9
LISTA DE FIGURAS
FIGURA 1 – Modelo de Schein. ................................................................................ 26
FIGURA 2 – Ciclo de vida da informação .................................................................. 35
FIGURA 3 – Fases da informação ............................................................................ 36
FIGURA 4 – Organograma agência Itajaí Banco Bradesco ...................................... 45
FIGURA 5 – Histograma das questões Q1 – Q5 ....................................................... 49
FIGURA 6 - Histograma das questões Q6 – Q9 ........................................................ 53
FIGURA 7 - Histograma das questões Q10 – Q12 .................................................... 55
FIGURA 8 - Histograma das questões Q13 – Q18 .................................................... 58
FIGURA 9 - Histograma das questões Q19 – Q21 .................................................... 61
FIGURA 10 - Histograma das questões Q22 – Q30 .................................................. 64
FIGURA 11- Histograma das questões Q31 – Q36 ................................................... 68
10
LISTA DE TABELAS
TABELA 1 - Comparação desta pesquisa com artigo Beck e Santos. ........................ 9
11
SUMÁRIO
1. INTRODUÇÃO ................................................................................................. 13
1.1 Problema de Pesquisa / Justificativa ......................................................... 14
1.2 Objetivos Geral ............................................................................................. 16
1.3 Objetivos Específicos ....................................................................................16
1.4 Aspectos Metodológicos ............................................................................. 17
1.4.1 Caracterização do Trabalho de Estágio ...................................................... 18
1.4.2 Contexto e Participantes da Pesquisa ......................................................... 19
1.4.3 Técnicas, procedimentos e Instrumentos de Coleta de Dados ................... 20
1.4.4 Tratamento e Análise dos Dados ................................................................ 21
2. FUNDAMENTAÇÃO TEÓRICA ....................................................................... 22
2.1 Administração nas Organizações ............................................................... 22
2.2 Identidade Organizacional e Cultura nas Organizações ........................... 22
2.2.1 Como a cultura é formada ........................................................................ 25
2.2.2 A importância da cultura para a organização .............................................. 28
2.2.3 Cultura e tecnologia da informação ............................................................. 29
2.3 Sistemas de informação ................................................................................. 30
2.3.1Informação: Tecnologia e Segurança ........................................................... 32
2.3.2 Tecnologia da informação ........................................................................... 32
2.3.3 Segurança da informação............................................................................ 34
2.3.4 Ciclo de vida da informação ........................................................................ 34
2.3.5 Controle interno em sistemas de informação... ........................................... 37
2.3.6 Aplicações dos sistemas de informação nos negócios .................................39
2.3.7 Cultura da segurança da informação ............................................................40
3. DESENVOLVIMENTO DA PESQUISA DE CAMPO ....................................... 42
3.1 Caracterização da Empresa ......................................................................... 42
3.1.1 Missão, Visão e Valores .............................................................................. 42
3.1.2 Banco Bradesco S. A. Agência 0330-1 - Itajaí - SC .................................... 44
12
3.2 Resultados da Pesquisa .............................................................................. 45
3.2.1Perfil dos colaboradores ............................................................................... 46
3.2.2 Cultura da segurança da informação .......................................................... 47
3.2.3 Comportamento ........................................................................................... 48
3.2.4 Certeza de detecção ................................................................................... 51
3.2.5 Severidade de punição ................................................................................ 54
3.2.6 Crenças normativas .................................................................................... 56
3.2.7 Confiança nos pares ................................................................................... 60
3.2.8 Conhecimento ............................................................................................. 62
3.2.9 Atitude ......................................................................................................... 67
4. CONSIDERAÇÕES FINAIS ............................................................................. 72
4.1 Implicações teóricas .................................................................................... 72
4.2 Implicações práticas .................................................................................... 73
5. REFERÊNCIAS BIBLIOGRÁFICAS ................................................................ 74
APÊNDICES ........................................................................................................ 77
ASSINATURA DOS RESPONSÁVEIS ................................................................ 74
13
1. INTRODUÇÃO
A cada dia, percebemos que o mercado está mais competitivo. Tal mercado
exige agilidade, flexibilidade e inovação, fazendo com que a informação,
disponibilizada na forma, tempo e custo apropriados, seja uma grande aliada nas
tomadas de decisões das organizações. Neste sentido, a Tecnologia da Informação
(TI) tem sido altamente utilizada para auxiliar as organizações a alcançarem
vantagem competitiva.
A importância da TI se traduz nos crescentes investimentos realizados pelas
organizações. Somente em 2010, os gastos mundiais em tecnologia da informação
somaram US$ 3,6 trilhões, com uma expectativa de crescimento de 5,1% para
2011(GARTNER, 2011).
Um dos setores da economia que mais investem em TI é o financeiro. O setor
financeiro responde por mais de 10% dos investimentos mundiais em TI, devendo
gastar em 2011, US$ 366,8 bilhões (CELENT, 2011). Isto pode ser explicado pelo
uso que os bancos e principais instituições financeiras fazem da TI em suas
operações de negócios e prestação de serviços aos clientes.
Por causa do uso intensivo da TI em suas operações, o setor bancário
também realiza constantes investimentos para garantir a segurança das informações
em seus negócios. A segurança dos dados, além de ser um requisito operacional
básico, também é um elemento estratégico para a prestação dos serviços aos
clientes.
No Brasil, segundo a FEBRABAN (2009), em 2008 os bancos investiram um
total de R$ 7 bilhões de reais em serviços e sistemas de segurança para melhor
desenvolverem suas atividades, e também, para maior proteção e conforto dos
funcionários, clientes e usuários dos serviços bancários. As perdas financeiras
decorrentes de problemas com a segurança da informação tem sido uma das
maiores preocupações com segurança das organizações (BECK; SANTOS, 2010).
Assim como outras instituições do setor financeiro, o Banco Bradesco S. A.
investe continuamente em TI e Segurança da Informação. O banco dá ênfase à
importância das práticas de segurança da informação em todos os seus segmentos
14
e para todos seus colaboradores. Tal orientação é estendida de maneira adequada
aos usuários e aos clientes da organização acima citada.
Consoante com a preocupação do Bradesco com a segurança da informação,
este trabalho tem como objetivo analisar os aspectos culturais relacionados à
Segurança da informação em uma unidade de negócios do Banco, localizada na
cidade de Itajaí – SC.
1.1 Problema de Pesquisa / Justificativa
Problema de pesquisa de acordo com Vergara (2005, p.21) “é uma questão
não resolvida, é algo para o qual se vai buscar resposta, via pesquisa.” Tratando-se
de cultura da segurança, procuramos demonstrar de que forma isso ocorre na
organização, se os colaboradores estão engajados com as políticas de segurança
do banco ou se tem conhecimento sobre as mesmas e se a praticam corretamente.
Sendo assim, o acadêmico formulou a seguinte pergunta: Quais as
características da cultura da segurança da informação dos funcionários da agência
Itajaí do Banco Bradesco S. A.?
O tema se torna importante para a empresa porque um funcionário bem
preparado e engajado na cultura da segurança da informação contribui na
segurança geral da organização. Do mesmo modo, torna-se importante para o
acadêmico, pois contribuiu para seu conhecimento e formação em realizar um
projeto de pesquisa de estágio. Por fim a UNIVALI também se beneficiou, pois tem
em seu acervo mais um projeto de estágio para se tornar de referência a futuros
acadêmicos que passaram pela universidade.
O seguinte trabalho tornou-se viável, pois o acadêmico teve acesso a todas
as informações necessárias para elaboração do mesmo, de acordo com o
cronograma final do projeto tendo um tempo hábil para realização da pesquisa.
Este projeto é original para a empresa pelo fato de não ter sido realizado
nenhum estudo referente à segurança da informação em Itajaí.
A TI está tão presente nas organizações atuais e em desenvolvimento em
tantas outras que não pensavam da mesma forma que a cada dia é preciso rever os
15
processos por mais diversos que sejam com a intenção de estarem constantemente
atualizadas e corretamente alinhadas nesse sentido.
Como citado anteriormente, não é mais possível imaginar qualquer
organização que seja, sem um sistema que garanta a segurança de seus negócios,
em outras palavras, se a empresa quer uma maior fatia do mercado e/ou até mesmo
se possível sua totalidade, e crescer de tal forma para poder sustentar-se no atual
cenário econômico, precisa ter a mentalidade de que a segurança da informação é
fundamental.
Para a sobrevivência do Banco Bradesco S. A. em um mercado tão acirrado,
é necessário que ele esteja sempre pensando em evolução, cabendo a ele
reformular suas estratégias e tecnologias de forma constante e atenta ao mercado
financeiro nacional e internacional bem como as suas tendências. Um bom exemplo
de evolução e inovação seria a utilização da chamada biometria, onde os clientes
têm gravada a palma de sua mão para terem acesso às inúmeras facilidades
oferecidas pela organização em seguros terminais eletrônicos.
Para o acadêmico, o presente trabalho foi de grande e fundamental
importância, pois o Banco Bradesco S/A conta com mais de 3000 agências no País
e mais de 95 000 colaboradores, e são muitas as pessoas que precisam utilizar seus
produtos e serviços.
Tendo em vista o grande volume de negociações que são realizadas em
todas as agências Bradesco, podemos perceber o quanto a organização está se
esforçando para manter em segurança os dados do seu bem mais valioso: o cliente.
A universidade pode utilizar o exemplo da organização estudada no presente
trabalho adotando práticas semelhantes, e percebendo em que setores as atitudes
poderiam ser testadas ou até mesmo desenvolvidas para que qualquer atitude
tomada nesse campo possa impactar de forma direta e positiva na imagem da
universidade ou de qualquer organização.
Por exemplo, o ato de deixar um papel em cima de uma mesa qualquer, sem
o devido cuidado deixa um acadêmico com suas informações totalmente expostas, o
ato de não travar os terminais de atendimento ao público durante a ausência do
colaborador, por mais breve que seja, pode também expor informações que só
competem à universidade.
Outro caso em que uma informação poderia não estar recebendo o
tratamento necessário seria, por exemplo, alguns nomes em um papel de alunos
16
que estão em débito com a universidade com seus respectivos valores. Alguém
poderia pegar este papel e tornar pública a situação destas pessoas causando
constrangimento a ambas as partes. Isso poderia acarretar tomadas de medidas
legais cabíveis a tal situação pelo simples fato de alguém cometer um descuido por
menor que seja gerando um grande ônus à universidade.
1.2 Objetivo Geral
Nesta seção, o acadêmico apresenta o objetivo geral, que de acordo com
Roesch (1999) define o propósito do trabalho. Para esta pesquisa, o objetivo geral
foi definido como: avaliar a cultura da segurança da informação dos colaboradores
de uma agência bancária.
1.3 Objetivos Específicos
Nesta seção estão apresentados os objetivos específicos, que segundo
Roesch (1999), descrever somente o objetivo geral não é suficiente. E em função do
objetivo geral, Roesch (1999) recomenda que sejam definidos os objetivos
específicos, ou seja, ações que serão realizadas para se atingir o objeto geral.
Sendo assim, o objetivo geral foi alcançado de acordo com as etapas abaixo,
que por sua vez viabilizarão o trabalho.
Neste caso, os objetivos específicos deste trabalho são:
Identificar o perfil dos colaboradores da Agência 0330-1 Itajaí Centro -
SC, do Banco Bradesco S. A..
Identificar, na literatura, as principais variáveis que constituem a cultura
da segurança da informação.
17
Identificar características da cultura da segurança da informação dos
funcionários da Agência 0330-1 Itajaí Centro - SC, do Banco Bradesco
S. A..
Identificar as possíveis falhas relacionadas à segurança da informação.
1.4 Aspectos metodológicos
A principal classificação de uma pesquisa científica é quanto a sua natureza
qualitativa ou quantitativa. Esta classificação está relacionada ao posicionamento do
pesquisador com relação à forma de estruturação, coleta e análise de dados.
Para desenvolver esta pesquisa, o acadêmico precisou fazer uso de um
método, que em pesquisa significa a escolha de procedimentos sistemáticos para a
descrição e explicação de fenômenos, neste caso, organizacionais. Bem sabemos
que existem problemas que podem ser investigados por meio de metodologias
quantitativas e há outros que exigem diferentes abordagens e enfoques, cabendo
assim o uso de uma metodologia adequada (RICHARDSON, 1999).
Richardson (1999) mostra que a abordagem quantitativa, como o próprio
nome indica, é caracterizada pelo emprego da quantificação tanto nas modalidades
de coleta de informações quanto no tratamento destas, por meio de técnicas
estatísticas, sejam estas técnicas simples como percentual, média e desvio-padrão
ou por técnicas mais complexas como coeficiente de correlação, análise de
regressão etc.
O método quantitativo é amplamente utilizado na condução de pesquisas por
representar a intenção de garantir uma maior precisão dos resultados obtidos,
evitando distorções de análise e interpretações resultando em uma margem de
segurança quanto às inferências (RICHARDSON, 1999).
Tal método é aplicado com frequência em estudos descritivos que visam
descobrir e classificar relações entre as variáveis e a relação de causalidade entre
fenômenos. Assim, a escolha do método quantitativo para este trabalho.
18
1.4.1 Caracterização do trabalho de estágio
O nível da pesquisa é exploratório e descritivo, de acordo com Gil (2007),
pesquisa exploratória em sua primeira etapa busca investigar de uma forma ampla,
que se enquadra no projeto proposto pelo acadêmico. Posteriormente o nível da
pesquisa passa a ser descritiva que segundo Gil (2007) busca levantar opiniões e
atitudes dos questionados.
Esta pesquisa possui abordagem quantitativa com aporte qualitativo, pois irá
mensurar dados levantados por métodos de coleta pertinentes como entrevistas,
questionários, testes entre outros, enfim, tudo o que possa ser quantificável,
encontrando a realidade da organização com um contato mais próximo com os
pesquisados.
Foi realizada uma pesquisa diagnóstico, onde foi proposto levantar e definir
problemas e oportunidades, explorando o ambiente para que posteriormente sejam
apresentadas soluções para os problemas levantados. O método quantitativo foi
utilizado para análises estatísticas para fazer comparações e o método qualitativo foi
utilizado para análises das respostas abertas e o método quantitativo nas respostas
fechadas dos questionários a serem aplicados.
Para realizar a pesquisa o acadêmico aplicou questionários a todos os
funcionários da Agência 0330-1 do Banco Bradesco S. A., sendo esta sua
população, pois obviamente, é um grupo de pessoas que interessa ser entrevistado
com o propósito voltado à pesquisa (Richardson, 1999).
Para tal, precisa-se compreender algo sobre universo ou população, que é o
conjunto de elementos que possuem suas determinadas características – neste
caso, os colaboradores da organização a ser pesquisada - e tendo em vista os mais
de 95 000 colaboradores da organização, torna-se praticamente impossível obter
informações de cada um, por isso faz-se necessário realizar o estudo utilizando-se
de amostras (RICHADSON, 1999).
A pesquisa exploratória expõe as características de determinada população
ou de determinado fenômeno, podendo estabelecer relações entra variáveis e definir
sua natureza. Não possui o compromisso de explicar os fenômenos que descreve
embora sirva de base para tal explicação (VERGARA, 2005).
19
Vergara (2005) ainda informa mais sobre a investigação exploratória, não
devendo ser confundida com leitura exploratória, pois é realizada em área na qual
há pouco conhecimento acumulado e sistematizado. Possui uma natureza de
sondagem não comportando hipóteses que poderão surgir durante ou ao final da
pesquisa.
Conforme a afirmação do parágrafo anterior, o presente trabalho possui
natureza exploratória descritiva, pois irá levantar dados sobre os colaboradores da
organização estudada, uma vez em que fará uma abordagem do tema de uma forma
mais explícita e abrangente e que levantamentos de atitudes dentro das
organizações é um exemplo de pesquisa descritiva considerando as variáveis, e se
o que foi implantado pode continuar ou ser extinto.
Esta pesquisa encaixa-se também na tipologia “Avaliação de Resultados”,
pois sua proposta é julgar a efetividade de uma proposta, política, programa ou
plano atribuindo valores ao que foi avaliado. (ROESCH, 1999).
1.4.2 Contexto e participantes da pesquisa
Para realizar a pesquisa o acadêmico aplicou um questionário a todos os
funcionários da Agência Itajaí do Banco Bradesco S. A., sendo essa sua população,
que para Roesch (1999) é um grupo de pessoas que interessa entrevistar com o
propósito voltado a pesquisa.
Atualmente conta com 39 pessoas, conforme o quadro de funcionários
(Quadro: 1). Também foram utilizados documentos da empresa que descrevam
normas e procedimentos de segurança.
Cargos Quantidade de Colaboradores
Gerente Geral 1 Gerente de Expansão 1 Gerente Administrativo 1 Gerente de Pessoa Jurídica 4 Gerente de Pessoa Física 2 Assistente de Pessoa Jurídica 3 Assistente de Pessoa Física 2 Chefe de Serviço 3 (continua)
20
Cargos Quantidade de Colaboradores
Supervisor Administrativo 2 Tesoureiro 1 Caixa 17 Escriturário 2
Total 39
Quadro 01: Quadro de Funcionários. Fonte: Elaborado pelo acadêmico.
1.4.3 Técnicas, procedimentos e instrumentos de coleta de dados
Nesta seção, o acadêmico conseguiu dados de fontes primárias e os coletou
junto aos funcionários da organização pela primeira vez, isso faz com que os dados
sejam inalterados por serem coletados direto da fonte: os funcionários, que
colaboraram para que sejam obtidos dados para o melhor entendimento do seu
comportamento influenciados por diversos fatores relacionados à cultura
organizacional e segurança da informação.
Conforme citado anteriormente, a pesquisa que será realizada terá caráter
quantitativo, pois “normalmente os dados coletados são submetidos à análise
estatística.” (ROESCH, 1999, p. 149).
Conforme Roesch (1999) a coleta de dados primários consiste em
observação e entrevista. A observação pode ser direta podendo ser trabalhada em
formulários. A abordagem do trabalho é de cunho quantitativo devido ao seu
principal instrumento de coleta: questionário, que por sua vez, será aplicado com
cada um dos colaboradores da organização anteriormente citada.
As respostas obtidas na entrevista foram analisadas, uma vez que a análise
consiste em separar as informações e examiná-las para assim responder as
questões da pesquisa.
Foi elaborado um questionário que para Roesch (1999) é um instrumento
mais utilizado em pesquisa quantitativa, onde se busca levantar a opinião política de
(continuação)
21
uma determinada população, este questionário possui perguntas onde foi
estabelecida uma escala de 1 (um) a 7 (sete), sendo 1 o grau máximo de
discordância e 7 o grau máximo de concordância.
As perguntas de 1 a 5 foram relacionadas ao comportamento, as de 6 a 9,
sobre certeza de detecção, as de 10 a 12 sobre severidade de punição, as de 13
a 18, de crenças normativas, as de 19 a 21 sobre confiança nos pares, as de 22
a 30, sobre conhecimento e finalmente as de 31 a 36, sobre atitude.
1.4.4 Tratamento e análise dos dados
As respostas obtidas com a aplicação do questionário foram analisadas, uma
vez que a análise consiste em separar as informações e examiná-las para assim
atender ao propósito da pesquisa (SORIANO, 2004).
Para tal, foram utilizadas e analisadas estatísticas descritivas, análises,
médias e frequências.
22
2 FUNDAMENTAÇÃO TEÓRICA
Neste capítulo foram abordados os principais fundamentos teóricos e a
revisão da literatura utilizada para a elaboração deste trabalho.
Inicialmente, o tema tratado foi o de Cultura Organizacional, seguido por
Sistemas de Informação, Tecnologia da Informação e Segurança da Informação.
2.1 Administração nas organizações
O entendimento do que é uma organização depende do ponto de vista sob o
qual ela é analisada. Diferentes lentes teóricas podem ser propostas para definir e
discutir o conceito de organizações, como, por exemplo, metáforas ou escolas de
pensamento (MORGAN,1996).
Nesta pesquisa, duas abordagens principais foram utilizadas para estudar o
ambiente organizacional: identidade organizacional e cultura organizacional. Na
visão sistêmica, as organizações são vistas como sistemas vivos, como se fossem
organismos que existem em num ambiente onde dependem de satisfazer suas
necessidades. Na questão cultual envolve o padrão de desenvolvimento da
organização refletido nos sistemas de conhecimento, como ideologia, valores, leis,
crenças e práticas do quotidiano. (MORGAN,1996).
2.2 Identidade Organizacional e Cultura Organizacional
Em sentido antropológico a cultura é aquilo que diferencia e fornece a
identidade a um grupo social, é o modo como interagem os membros do grupo entre
si e com os de fora, e a forma como estão acostumados a realizar o que fazem. Uma
23
cultura estabelece uma identidade, uma marca reconhecível pelos de dentro e pelos
de fora da organização com um modo próprio de realizar as coisas (FLEURY, 1997).
A identidade organizacional é composta pelo conjunto de representações que
seus integrantes formulam sobre o significado da organização da qual pertencem,
seja pelos aspectos distintos, centrais e/ou duradouros da organização. Existe
também uma complementaridade entre a identidade e a cultura, pois a segunda
influencia amplamente a primeira (MACHADO, 2005).
Conforme Machado (2005) os aspectos centrais estão ligados ao sistema de
crenças, valores e normas da empresa, os aspectos distintos estão exclusivamente
ligados à organização, referência para garantir identificação organizacional e definir
as fronteiras da empresa. O último elemento, o duradouro, é o que garante a
continuidade da empresa e sua constante transformação.
Em outras palavras, a identidade de uma organização é a imagem cognitiva
assimilada pelos seus integrantes, prevalecendo um consenso coletivo em torno
dessa imagem (MACHADO, 2005).
Uma vez que a cultura determina a estratégia, os objetivos e o modo de
operação de uma organização, torna-se importante conhecê-la e avaliá-la para
entender o seu papel na vida de uma organização (SHEIN, 2009).
Uma das definições mais conhecidas e importantes de cultura organizacional
é a desenvolvida por Schein (2009) nos dizendo que esta é um conjunto de
pressupostos básicos que um grupo criou, descobriu ou até mesmo inventou ao
aprender as diversas formas para lidar com problemas de adaptação externa e
integração interna, funcionando suficientemente bem para serem considerados
válidos e transmitidos a novos membros da empresa como a forma correta de
pensar, perceber, agir e sentir em relação a estes mesmos problemas.
Para compreendermos melhor tal definição Shein (2009) ainda nos apresente
três diferentes níveis de cultura que serão esclarecidos mais adiante: o nível dos
artefatos visíveis, o nível dos valores e o nível dos pressupostos básicos. Este último
auxilia a compreensão da cultura de uma organização implicando a discussão
destes mesmos pressupostos.
Conforme Schein (2009) a cultura organizacional pode ser compreendida pela
junção de crenças, valores e hábitos das pessoas que estão inseridas na
organização. A cultura refere-se ao sistema de significados compartilhados por todos
os colaboradores e distingue uma organização das demais, ou seja, constitui o modo
24
institucionalizado de pensar e proceder de uma empresa. Os traços culturais
coletivos tem a propriedade de distinguirem os membros de grupos, categorias ou
outros diferentes agrupamentos sociais (ALCAPANDI; CRUBELLATE, 2003).
A essência da cultura organizacional se manifesta pela forma como a
empresa conduz seus negócios, trata seus clientes e seus funcionários. A cultura
organizacional é a mentalidade predominante na empresa norteando o seu
comportamento, práticas de trabalho e gestão das pessoas. Entretanto, a cultura
organizacional também é afetada pela cultura individual dos membros da
organização e é um fenômeno dinâmico sendo constantemente criada e moldada
pelas interações entre os indivíduos (SCHEIN, 2009).
A formação de uma cultura organizacional é um processo que envolve muitas
variáveis como valores, crenças e mitos num processo longo de adaptação e
integração de indivíduos na organização. No processo de adaptação e interação de
uma cultura surgem muitas barreiras como a resistência à mudança promovida por
indivíduos, uma vez que estes estão acomodados dentro da organização. Em outras
palavras, podem não querer sair de sua zona de conforto e não querer adequar suas
práticas às novas propostas (MOTTA, 2006).
A literatura fornece um amplo conjunto de variáveis capazes de auxiliar a
compreensão cultural de uma organização como costumes, crenças, hábitos,
valores, mitos dentre muitos outros e principalmente a forma de cada um agir
(SHINAYSHIK, 1995; WOOD JR; CALDAS; 1998; SCHIEN 2009).
Fleury (2000) complementa que cultura pode ser vista como um conjunto de
concepções, normas e valores, que são tomados como certo, para criá-los e mantê-
los deve-se registrar e comunicar aos membros da organização esses aspectos
culturais, o problema é que os indivíduos das organizações apresentam diversos
traços culturais diferentes e nem sempre se adaptam ao ambiente no qual estão
inseridos.
Buscando uma cultura voltada para a segurança da informação, Fleury (1996)
argumenta que a formação de uma cultura organizacional é um processo que
envolve muitas variáveis como valores, crenças e mitos num processo longo de
adaptação e integração de indivíduos na organização. No processo de adaptação e
interação de uma cultura surgem muitas barreiras, neste caso é a resistência a
mudança promovida por indivíduos, uma vez que estes estão acomodados dentro da
organização.
25
Pode-se verificar que um grande conjunto de variáveis foi citado para definir a
dimensão cultural. O quadro abaixo mostra o conceito das variáveis culturais
apresentadas nesta seção. Conceitos baseados no Dicionário Aurélio (2008) para
melhor entender o sentido de cada variável.
Variável Definição
Costumes Resulta da pratica de preservar ideias e ações Crenças Opinião adotada com fé e convicção Hábitos Comportamento que um indivíduo aprende e repete
frequentemente Valores Princípios ou qualidades considerados pelas pessoas Atitudes Modo de proceder, comportamento Mitos Coisa que não existe na realidade Práticas Cometer, realizar algo Conhecimento Ideia, noção de alguma coisa Identidade Conjunto de características próprias e exclusivas de uma
pessoa Objetos Tudo o que se oferece à vista, que afeta os sentidos, motivo
de uma ação Formas de agir Fazer qualquer coisa, atuar, modo de comporta-se Normas Princípio que serve de regra, de lei
Concepção Compreender, conhecimento, ideia ou opinião Quadro 02: Variáveis Culturais. Fonte: Elaborado pelo Acadêmico.
2.2.1 Como a cultura é formada
O desenvolvimento deste trabalho permitiu ver que a formação da cultura
organizacional está diretamente ligada com os aspectos de liderança, pois quando
alguém – geralmente o fundador - introduz a cultura no plano da empresa e a
interliga com suas atividades, percebe-se de modo claro coma a cultura vai sendo
criada, moldada e aos poucos se estabilizando, ditando as normas para os
colaboradores e regendo o seu proceder (SCHEIN, 2009).
Para analisar a cultura de um grupo ou organização, é possível seguir a
definição de níveis culturais proposta por Schein (2009), na qual o termo nível
significa o grau pelo qual o fenômeno cultural é visível ao observador por meio dos
diferentes artefatos, crenças e suposições do grupo. De acordo com Fleury,
26
Shinyashiki e Stevanato (1997), o conceito de cultura organizacional e o modelo de
níveis culturais de Edgar Schein são amplamente aceitos e referenciados pelas
pesquisas sobre o tema.
Conforme Schein (2009), tais níveis variam de manifestações abertas muito
tangíveis às suposições básicas, inconscientes e profundamente inseridas
recebendo a definição pelo autor como essência da cultura.
A figura abaixo proposta por Schein (2009, p.24) mostra os níveis de análise
cultural, e utilizaremos o mesmo autor para nos ajudar a esclarecer os três diferentes
níveis culturais propostos em seu modelo:
ARTEFATOS
Estruturas e processos visíveis (difíceis
de decifrar);
CRENÇAS E VALORES EXPOSTOS
Estratégias, metas, filosofias
(justificativas expostas);
SUPOSIÇÕES BÁSICAS
Crenças, percepções, pensamentos e sentimentos inconscientes, assumidos
como verdadeiros (fonte última de valores e ação).
Figura 01: Modelo de Schein. Fonte: SCHEIN, Edgar H., Cultura organizacional e liderança. São Paulo: Atlas, 2009.
No nível onde os artefatos são descritos, segundo Schein (2009) estão todos
os fenômenos que alguém consegue ver, ouvir e sentir quando encontra um novo
grupo com uma cultura não familiar. Neste item estão compreendidos produtos
visíveis como a arquitetura de seu ambiente físico, a linguagem, tecnologia etc.
O artefato do dos níveis culturais mais profundos é, segundo Schein (2009) o
“clima”, como o comportamento visível dos membros do grupo, e neste nível de
cultura, o ponto que merece maior destaque é sem dúvida a facilidade de
observação e a grande dificuldade de ser decifrada, ou seja, os observadores e/ou
27
pesquisadores até conseguem descrever o que veem, mas não podem reconstruir a
partir disto seu significado em determinado grupo.
Schein (2009) ainda nos mostra que, é muito perigoso inferir profundas
suposições apenas a partir de artefatos devido às interpretações de alguém,
inevitavelmente serem projeções de seus sentimentos e reações, e na vida de um
grupo, qualquer faceta produz artefatos, e observadores diferentes podem classificar
diferentes tipos de artefatos, porém com descrições não comparáveis.
Dessa forma compreende-se que, se o observador permanece um longo
tempo no grupo, os significados dos artefatos relacionados tornam-se mais claros,
caso contrário, os artefatos listados podem parecer ter significados simplificados
demais. A compreensão deste nível cultural nos leva a observarmos agora o
próximo nível: o das crenças e valores.
Ao analisarmos o nível das crenças e valores expostos, conforme Schein
(2009) percebe-se de modo evidente que diante de uma situação ou problema a
primeira solução proposta reflete algumas suposições próprias do indivíduo acerca
do que é certo ou errado, se dará certo ou não.
Os indivíduos que prevalecem, por sugerir algo que deu certo, podem por
causa disto, exercer influência sobre o grupo, sendo ao final, identificados como
líderes ou fundadores e tudo o que este propõe será compreendido como sua
vontade. O autor citado acima, ainda nos exemplifica uma situação: a de uma
gerente que ao ver suas vendas caírem, resolve deliberadamente investir em
propaganda por possuir uma crença de que isto fará vender mais.
O que podemos compreender a respeito do exemplo acima, é que caso dê
certo, haverá um valor percebido de que propaganda faz bem aos negócios que
gradualmente se transforma: inicialmente no valor ou na crença compartilhada e
após em uma suposição compartilhada (SCHEIN 2009).
Nem todas as crenças e valores resistem a tal transformação. Apenas as
crenças e valores que podem ser testados de forma empírica que funcionam de
modo confiável solucionando os problemas e conflitos da organização se
transformarão em suposições.
Já nas suposições básicas, quando a solução de um problema funciona
com certa frequência, passamos a aceitá-la como verdadeira.
As suposições básicas formam um conjunto de modos que se supõem
corretos de fazer as coisas, são as ideias que os membros da organização
28
assumem como sendo corretas ou aceitáveis “o que era uma hipótese, apoiada
apenas por uma intuição ou um valor, gradualmente, passa a ser tratado como
realidade. Acreditamos que a natureza realmente funcione dessa maneira” (Schein,
p. 28).
Por exemplo, suposições básicas muito comuns, na maior parte das
organizações são identificadas pelas frases: “o chefe tem sempre razão” e a
tradicional “isto sempre foi feito dessa forma e sempre deu certo”. Formam
esquemas, de modo geral inconscientes, de pensamentos orientados á ação que
são aceitos pela maioria dos membros; é a parte mais oculta e fechada da cultura
organizacional.
Schein (2009) ainda vai mais longe quando nos diz que a cultura como, um
conjunto de suposições básicas, define a que devemos prestar atenção, o que as
coisas significam, como reagir emocionalmente ao que ocorre e que ações adotar
em vários tipos de situações porque às vezes suposições inconscientes podem levar
à situações ridiculamente trágicas para a organização.
2.2.2 A importância da cultura para a organização
A cultura organizacional assumiu-se como um conceito essencial para a
compreensão das estruturas organizacionais. Ela permite relacionar e aplicar
valores, crenças e os hábitos daqueles que compõem o quadro funcional da
organização. Isso fica mais claro quando percebemos que “o desenvolvimento e a
consolidação da cultura corporativa de alto desempenho permitem que uma
empresa alcance, ao longo do tempo, incomparável vantagem competitiva”
(JOHANN, 2006, p. 55).
Uma vez compreendidos, todos estes fatores podem auxiliar na melhoria do
proceder de cada um, pois a cultura organizacional compreende um conjunto de
forças importantes que influenciam o comportamento organizacional. Compreende,
além das normas formais, também um conjunto de regras não escritas, um padrão
de crenças e expectativas compartilhadas pelos colaboradores.
A cultura de uma organização precisa ser muito bem compreendida pelos
colaboradores, isto ocorre dia-a-dia, à medida que o tempo vai passando e o
29
funcionário conhece mais sobre o lugar em que está trabalhando, isto é um
resultado direto de um nível de estabilização estrutural do grupo, pois quando
dizemos que algo é “cultural” podemos dizer também que é algo estável na
organização (SCHEIN, 2009).
Muitos são os erros cometidos por descuidos pequenos, podendo gerar
prejuízos enormes para a empresa, porém, se forem executados gestos simples
como deixar computadores bloqueados durante a ausência do colaborador em seu
setor, papéis guardados em gavetas chaveadas, conversas em que não se deve
falar mais que o necessário fora da empresa e principalmente perto de clientes
dentre outras práticas, como no caso de um banco, por exemplo, não deixar um
extrato de conta sobre uma mesa sem o mínimo de cuidado.
Há de se considerar os impactos positivos que são produzidos na medida em
que se percebe que a cultura é manejável, otimizando os resultados organizacionais.
Tal manipulação da cultura favorece uma produção de comportamentos funcionais,
direcionados aos resultados esperados pela alta administração da organização.
É necessário guiar nossas atividades e atitudes para os rumos do sucesso
acompanhadas de atos conscientes e que façam a diferença, pois estarão
carregadas de bons propósitos e com objetivos bem definidos, a começar a
incorporação de hábitos reeducados, um novo modo de agir e pensar.
2.2.3 Cultura e tecnologia da informação
O Brasil, cada vez mais exposto ao mercado internacional, precisa se
preocupar com a implementação de medidas capazes de sustentar seu crescimento.
Tal crescimento está ligado de forma direta a TI ao que diz respeito à modernização
de recursos administrativos, fazendo com que as empresas repensem o seu
posicionamento no mercado para que obtenham vantagens competitivas em relação
a sua concorrência visando sua perpetuação no mercado com o fim de dominar a
maior parte dele ou sua totalidade, tornando-se líder e/ou referência.
Para isso é preciso que haja uma preocupação em modernizar as
organizações implantando novas tecnologias face aos novos obstáculos que surgem
a todo instante e, segundo Fleury e Silva (2000), é possível afirmar que o processo
30
de implementação de TI, bem como seus resultados, está relacionado
fundamentalmente com a cultura organizacional do grupo em que ele ocorre.
As novas tecnologias introduzidas nas organizações podem causar um
processo de ajustamento mútuo, onde a organização precisa se ajustar às
inovações, bem como as mesmas podem sofrer aceitação ou rejeição pelos
indivíduos (WOOD JR, CALDAS, 2001; SANTOS; MAÇADA, 2010).
Novas tecnologias podem ser encontradas nos mais diversos ambientes e
diversos autores já verificaram que as organizações e as tecnologias vão se
ajustando, atingindo maior rapidez e eficiência, interatividade e qualidade dos
serviços (FLEURY e SILVA, 2000).
As organizações possuem um objetivo em comum: alcançarem maiores
índices de competitividade. Para que isso aconteça, como nos mostram Fleury e
Silva (2000), as empresas fazem uso de uma extensa e complexa gama de
tecnologias. Precisa-se ressaltar, segundo conforme Fleury e Silva (2000) que a
adoção de novas tecnologias não é algo fácil de implantar. Tal atitude implica em
novos hábitos e pontos de vista e também a revisão dos papéis de cada um, isso faz
com que seja redimensionada a importância de cada colaborador envolvido na
mudança. Resistências podem e vão surgir quando as pessoas estão sujeitas a
serem retiradas de sua zona de conforto.
Até que aconteça este ajuste entre TI e as organizações, os colaboradores
podem oferecer resistência em diferentes graus, porém, aos poucos podem ir se
acostumando e percebendo que as mudanças podem gerar resultados positivos, por
isso Schein (2001) expõe que a cultura organizacional torna-se importante para as
empresas uma vez compreendidas as crenças, valores e atitudes dos indivíduos
podendo buscar modelos e instrumentos que melhorem o desempenho da
organização, tornando-as mais eficientes e produtivas.
2.3 Sistemas de informação
Nesta pesquisa, entende-se que um sistema de informação pode ser qualquer
“combinação organizada de pessoas, hardware, software, redes de comunicação,
31
recursos de dados, políticas e procedimentos que armazenam, restauram,
transformam e disseminam informações para toda a organização” (O´BRIEN; 2006,
p. 4). Dentro deste conceito, desde um sistema de arquivo tradicional, com pastas
de papéis, até um avançado sistema de documentos digitais podem ser
considerados sistemas de informações. Um fator principal que diferencia as
aplicações de sistemas de informações é a tecnologia da informação utilizada para
implementá-los.
Os sistemas de informação hoje em dia estão muito evoluídos, baseados em
computadores, porém o termo “sistemas de informação” se aplica desde os
primórdios da civilização. Exemplos como sinais de fumaça sendo feitos em
fogueiras para comunicar sua posição para pessoas distantes, anotações em papel
ou rochas com finalidade de armazenar dados para futuras consultas, são sistemas
de informação que vem sendo usados há tempos.
O acesso à informação e a capacidade de, a partir desta, extrair e aplicar
conhecimentos são vitais para o aumento da capacidade de empresa e o
desenvolvimento das atividades comerciais num mercado sem fronteiras. As
vantagens competitivas são agora obtidas por meio da utilização de redes de
comunicação e sistemas de informação que interligam empresas, clientes e
fornecedores.
Sistemas e tecnologias da informação são componentes vitais para empresas
e organizações de sucesso. O’brien (2006) afirma que a tecnologia de informação
auxilia nos negócios da empresa apoiando na tomada de decisão e aprimorando a
produtividade e eficácia de seus processos administrativos.
Ao que diz respeito às organizações, a informação é um fator decisivo na
gestão por ser um recurso importante e indispensável. Quanto mais viável e
oportuna for essa informação, mais coesa será a empresa e maior será o seu
potencial de resposta às solicitações da concorrência.
Alcançar este objetivo depende, em grande parte, do reconhecimento da
importância da informação e do aproveitamento das oportunidades oferecidas pela
tecnologia para orientarem os problemas enraizados da informação.
A revolução da Informação exige, assim, mudanças profundas no modo como
vemos a sociedade na organização e sua estrutura, o que se traduz num grande
desafio: aproveitar as oportunidades, dominando os riscos inerentes ou submeter-se
aos riscos com todas as incertezas que acarretam.
32
Na chamada Sociedade de Informação, esta possui um efeito multiplicador e
torna dinâmicos todos os setores da economia, constituindo, por sua vez, a força
motora do desenvolvimento político, econômico, social, cultural e tecnológico.
2.3.1 Informação: Tecnologia e Segurança
Nesta seção, estão alguns pontos a respeito de tecnologia e segurança da
informação: dois temas de vital importância para qualquer organização.
Tecnologia e segurança são dois aspectos distintos, mas intimamente ligados
ao que diz respeito a qualquer organização, pois esta deve ser capaz de absorver
toda a informação necessária para si a fim de gerar vantagem competitiva e
perpetuar-se no mercado tão acirrado como o atual.
Isso se torna possível quando a empresa preocupa-se em detectar ameaças e
oportunidades estratégicas convergindo os dois temas citados acima (EARL, 2004),
e observando o comportamento das pessoas diante de medidas e contramedidas de
segurança que no final das contas, fazem toda a diferença.
2.3.2 Tecnologia da Informação
O conceito adotado nesta pesquisa para descrever a tecnologia da
informação segue a ideia de O´Brien (2006), e refere-se aos vários tipos de
hardware, software, redes de computadores e componentes de gerenciamento de
dados necessários para um sistema de informações.
A tecnologia da informação pode ser definida como um conjunto de todas as
atividades e soluções providas por recursos de computação. Atualmente a TI tem
feito parte do dia-a-dia das organizações e da sociedade, sejam elas por motivos de
trabalho, educação ou entretenimento. É praticamente impossível perceber o mundo
atual sem a presença da TI.
33
Nas organizações a tecnologia da informação tem como papel ajudar a atingir
seus objetivos e apoia suas aplicações de rotina, assim se torna uma importante
ferramenta para obter-se vantagem competitiva. Isso se mostra verdadeiro quando
percebemos, em um ambiente competitivo, a rapidez e a competência das empresas
em inovar dominando a tecnologia do modo mais seguro, confiável e rentável
possível (ALBERTIN, 2004).
As tecnologias da informação são componentes vitais para empresas e
organizações de sucesso. O`brien (2006) afirma que a tecnologia de informação
auxilia nos negócios da empresa apoiando na tomada de decisão e aprimorando a
produtividade e eficácia de seus processos administrativos.
O lugar que a tecnologia da informação ocupa atualmente é de fundamental
importância, pois a informação se faz necessária em todos os níveis
organizacionais, passando pelo operacional, pelo estratégico e pelo tático que,
aliada a uma boa comunicação, promove uma grande sintonia entre estas partes
impactando diretamente em na melhoria do desempenho organizacional (IBM,
2008).
Os constantes investimentos em TI e a busca incansável por informação de
qualidade fazem com que as organizações saiam da região mediana, onde todos os
concorrentes fazem a mesma coisa que você, e passam a ser pioneiras em muitas
situações, não apenas melhorando o que já existe, mas principalmente inovando
(GARTNER, 2011; TURBAN, et all, 2010).
A velocidade da informação foi aumentando conforme a velocidade da
evolução da TI e vice-versa, fazendo com que as empresas recebem um maior
volume de informações a cada segundo. Se a informação também aumenta, o
tempo para tomar decisões também, desse modo, o tempo fica cada vez mais curto
e as decisões precisam ser tomadas de forma mais rápida, sempre visando a
perpetuação da organização e sua atuação no mercado em qualquer segmento.
O ambiente externo às organizações provoca inúmeras mudanças e impõem
desafios a serem superados de forma categórica e sempre que possível, com total
maestria, perpetuando a atuação da empresa no mercado.
34
2.3.3 Segurança da Informação
A TI deve estar intimamente ligada a todos os setores da organização e
devidamente utilizada por todos os seus colaboradores. As organizações devem
orientar seus colaboradores para que utilizem a TI sempre da forma mais adequada
possível, fazendo com que todos os envolvidos criem uma cultura que ainda muitos
deixam a desejar: a cultura de proteger adequadamente toda e qualquer informação,
desde a sua coleta e até mesmo no ato de seu descarte.
No setor bancário, a segurança da informação deve receber cada vez mais
atenção e constantes investimentos. Uma vez coletados os dados de um cliente -
seja pessoa física ou jurídica ou até mesmo apenas um usuário dos serviços
bancários - tais dados devem ser tratados com absoluto sigilo, da forma mais
profissional existente, com a adoção de práticas eficientes.
Indubitavelmente, todas as pessoas que param um pouco para pensar nos
dias atuais, classificam tais dias em que vivemos como uma nova era, seja pela
velocidade que a informação atinge, seja pela forma como ela chega até as
empresas, seja como ela é originada, transformada, interpretada e utilizada. Isto se
torna mais claro quando Earl (2004, p. 28) nos diz que hoje há um fascínio pela
competição sobre ativos invisíveis, e que as pessoas e as organizações enxergam a
relação entre o conhecimento e o capital intelectual como um recurso crítico por
apoiar a inovação e a renovação.
2.3.4 Ciclo de vida da informação
A informação de acordo com Rezende (2003) pode ser conceituada como
todo dado trabalhado, útil ou tratado que possua um valor significativo agregado que
representa algo lógico para quem usa a informação. Assim Sêmola (2002) expõe
que a informação apresenta varias fases desde sua origem, formando um ciclo de
vida da informação que se apresentado a seguir.
De acordo com o modelo a ser apresentado por Sêmola (2002) temos o
manuseio que é o momento que a informação é criada e manipulada, a seguir
35
temos o armazenamento que se trata do momento em que a informação é
armazenada, seja em um banco de dados ou feita anotações, posteriormente temos
o transporte que é o momento que a informação é encaminhada para outras
pessoas ou para outros fins e finalizando o ciclo de vida da informação temos o
descarte que é quando a informação é descartada, não possuindo mais nenhum
valor significativo agregado.
Figura 02: Ciclo de vida da informação. Fonte: Adaptado Sêmola (2002).
Como foi observada, a informação possui um ciclo de vida, e devemos dar
atenção àquelas que nos são úteis. Uma decisão pode ser tomada após muitas
reuniões ou até mesmo em minutos, gerando consequências ótimas para a
organização, desde que a empresa não decida confiar na sorte, mas sim com bons
gestores e um bom sistema de informação capaz de dar todo o suporte além do
necessário para a empresa e para todos os seus colaboradores.
INFORMAÇÃO
Transporte
Armazenamento Descarte
Autenticidade
Legalidade
Manuseio
36
Nem todas as informações precisam ser armazenadas pela organização, mas
aquelas que forem ser utilizadas devem ser manuseadas com cuidado e atenção, e
caso for, após ter proporcionado tudo o quanto poderia, ser descartada.
O ato de descartar uma informação demanda tanto cuidado quanto o ato de
absorvê-la e de armazená-la, pois se alguém ameaçar a organização observando
uma ou mais de suas vulnerabilidades causará grande impacto na organização, e
quase sempre impactos negativos. Portanto, ações que privilegiam e prezam pela
segurança da informação em qualquer âmbito são de fundamental importância para
todas as partes envolvidas (JOHANN, 2006).
Com o mesmo propósito Beal (2005) apresenta outro modelo de ciclo de vida
da informação, um pouco mais complexo, porém com o mesmo objetivo. O autor
expõe as seguintes etapas do ciclo de vida da informação. Identificação das
necessidades fazendo com que a informação se torne mais útil para seus usuários;
obtenção ocorre quando a informação é criada, recebida ou capturada; tratamento
acontece um processo de formatação, estruturação ou classificação para que a
informação possa passar adiante; distribuição quando a informação é repassada
para os usuários; uso após receber a informação o usuário faz uso da informação;
armazenamento conseqüentemente após o uso ocorre o armazenamento desta
informação que posteriormente ocorre a ultima etapa do ciclo de vida da informação;
descarte que é quando a informação se torna obsoleta e perde sua utilidade.
O autor deixa bem claro a importância da integridade, disponibilidade e
confidencialidade em todas as etapas do ciclo de vida da informação, a seguir
modelo de Beal (2005).
Figura 03: Fases da informação. Fonte: Adaptado Beal (2005).
ORGANIZAÇÃO
IDENTIFICAÇÃO
DAS NECESSIDADES
OBTENÇÃO
TRATAMENTO
USO
DISTRIBUIÇÃO
DESCARTE
ARMAZENAMENTO
37
2.3.5 Controle interno em sistemas de informação
Imoniana (2005) apresenta e conceitua controle interno em sistemas de
informação como planos organizacionais e coordenação de um conjunto de métodos
e medidas adotados por uma empresa, com finalidade de preservando seu ativo,
garantindo exatidão e veracidade de registros, promovendo efetividade dos sistemas
de informação assim como estabelecer adesão as políticas de segurança da
organização. Os principais objetivos do controle interno em sistemas são:
salvaguardar o ativo de uma organização, manter a integridade, correção e
confiabilidade de registros contábeis, promover a eficiência operacional e o
cumprimento dos procedimentos e políticas de segurança.
Abaixo vemos os princípios de controle internos de acordo com
Imoniana (2005):
Supervisão: A gerência deve manter um controle que capacite uma
supervisão efetiva dos procedimentos e tomada de decisões dentro do ambiente de
tecnologia de informação.
Registro e comunicação: Estabelecer critérios para criação, processamento
e disseminação de informação de dados, através de autorização e registro de
responsabilidade.
Segregação das funções: As responsabilidades e ocupações devem ser
compatíveis com o cargo de cada individuo, de maneira a minimizar as
possibilidades de perpetuação de fraudes e ate suprimir erros ou irregularidades nas
operações.
Classificação de informação: Estabelecer um plano para classificação de
informação que melhor sirva as necessidades da organização, em conformidade
com os princípios de sigilo.
Tempestividade: Delinear procedimentos, monitorar os registros corretos das
transações, processando e comunicando os resultados as pessoas necessárias em
tempo hábil.
Auditoriabilidade: Os procedimentos operacionais devem permitir a
verificação periódica no processo de processamento de dados e geração de
relatórios, de acordo com as políticas.
38
Atualmente as organizações fazem investimentos planejados em segurança
da informação, aderindo a controles de segurança e privacidade visando preservar a
empresa e seus clientes. Imoniana (2005) expõe o aumento crescente da
necessidade de segurança nas empresas, onde as organizações buscam
conscientizar os usuários ao uso do controle para restringir o acesso às
informações, medida quem vem sendo aceito com naturalidade nas empresas.
Os controles de segurança de sistema apresentam as seguintes
propriedades: Sigilo, fornecer privacidade das informações; Integridade, fornecer
informação completa, correta e valida; Disponibilidade, tornar dados disponíveis a
pessoas autorizadas.
Um administrador precisa compreender o papel dos diversos tipos de
sistemas de informação existentes nas empresas atualmente, pelo simples fato de
apoiarem as tomadas de decisões e das mais diversas atividades relacionadas à
organização, tanto em qualquer um de seus níveis e funções.
A atuação de uma empresa está também atrelada ao pensamento dos que
são a sua razão de ser: os clientes. Isso faz com que as ações e as decisões, em
conformidade com um excelente planejamento estratégico, sejam elaboradas com o
propósito de mudar e manter as mudanças feitas na cultura das empresas, que
antes não se preocupavam com sistemas de informação e de segurança, sendo este
um dos focos das organizações para que possam galgar lugares mais altos em um
mercado tão acirrado como o que conhecemos (ALBERTIN, 2004).
Albertin (2004) ainda nos diz mais quando afirma que, obviamente nenhuma
organização deixará de querer crescer, de atuar na maior parte do mercado e
dominar, se possível sua totalidade. É preciso que cada empresa busque a
convergência de objetivos entre os seus negócios e os aspectos que determinam se
o que faz e oferece é seguro ou não, desde que com a melhor relação custo
benefício.
O que é mais levado em conta atualmente é o aumento da influência que a TI
está exercendo ao longo de seu desenvolvimento em relação ao processo decisório.
Isso faz com que as organizações saiam da “idade da pedra” e realinhem seus
esforços adequando-os para toda e qualquer nova situação.
Vale lembrar de que a TI não é e nem possui um manual de como a
organização irá proceder, mas ela armazenará e processará dados que farão com
que decisões importantíssimas como o futuro e a sobrevivência da empresa sejam
39
tomadas, cada vez em menos tempo, pois as informações chegam aos montes e em
grande volume a cada dia, ou seja, se chegam mais informações, menos tempo
temos para tomarmos uma decisão, e esta deve ser muito bem planejada.
Não faz muito tempo, era comum investir em TI com a meta de estar
atualizado, mas se quisermos informações melhores é necessário um dispêndio
financeiro maior, e isso, no atual cenário deve ser muito bem planejado, avaliado e
executado. (ALBERTIN, 2004, p. 75).
O moderno perfil das atuais organizações que utilizam a informação para
alavancarem seus negócios avança a cada dia, e como nos mostra Saviani (1998, p.
15) é de vital importância que as pessoas não se acomodem, e consequentemente,
acomodarem a organização ficando ambas na “agradável” zona de conforto.
A todo instante somos de alguma forma atingidos por infinitas informações, e
nossas vidas são regidas por elas juntamente com algumas normas. Isso nos faz
refletir de que o mau uso da informação bem como sua má interpretação e
obsolescência, falta de sigilo adequado e até mesmo vazamento, trazem consigo
uma série de prejuízos para a empresa. Todos nós temos conhecimento de que
devemos gerir todas as informações de modo profissional, ético e responsável.
Sem esquecer é claro de que, como nos mostra Polloni (2000, p. 31) em que
um sistema de informação precisa alcançar o quanto antes seus objetivos de
armazenamento e fornecimento de informações para a empresa em formato,
tamanho, tempo e custos apropriados.
2.3.6 Aplicações dos Sistemas de informação nos negócios
Os sistemas de informação têm como finalidade dar suporte aos negócios da
organização, O`brien (2006) coloca as razões fundamentais para a aplicação dos
sistemas de informação no meio empresarial. São eles suporte de seus processos e
operações, suporte na tomada de decisão, e suporte nas estratégias de vantagem
competitiva da organização.
Suporte aos processos e operações nos negócios, como exemplo registrar
compras de mercadorias, controlar estoques, entrada e saída de material,
40
pagamento de funcionários, registros de carga horária entre uma infinidade
processos e operações.
Suporte a tomada de decisão, com acesso a tantas informações que podem
ser verificadas para ter um melhor conhecimento de como anda os negócios, os
gerentes e profissionais da área contam com o auxilio dos sistemas de informação
para tirar proveito na sua tomada de decisão obtendo vantagem.
Suporte a vantagem competitiva, a implantação de sistemas de informação
pode ajudar estrategicamente inovando tecnologias da informação com finalidade de
automatizar organizações com finalidade de obter melhores resultados otimizando
seus processos buscando atrair nossos clientes, obtendo uma vantagem competitiva
sobre seus concorrentes.
2.3.7 Cultura da segurança da informação
Beck e Santos (2010), informam de que o uso intensivo da tecnologia da
informação tem exposto as organizações a um ambiente complexo e desafiador para
a segurança da informação.
A informação é um ativo muito valioso para uma organização. Para assegurar
este grande diferencial competitivo deve-se elaborar e garantir critérios que protejam
estas informações contra fraudes, roubos ou vazamentos. A elaboração de tais
proteções nas empresas são responsabilidades e habilidades dos gestores e
analistas de segurança da informação (JOHANN, 2006).
As atividades de segurança da informação englobam o projeto,
implementação, controle e monitoração de métodos e processos que visam
assegurar a segurança da informação de uma organização.
Buscando uma cultura voltada para a segurança da informação, Fleury (1996)
argumenta que a formação de uma cultura organizacional é um processo que
envolve muitas variáveis como valores, crenças e mitos num processo longo de
adaptação e integração de indivíduos na organização.
No processo de adaptação e interação de uma cultura surgem muitas
barreiras, neste caso é a resistência em relação à mudança promovida por
41
indivíduos, uma vez que estes podem estar acomodados dentro da organização
Fleury (1996).
A política de segurança da informação deve ser divulgada e de fácil acesso
pelos colaboradores. Workshops e treinamentos são boas maneiras de divulgá-la e
orientar os usuários de como a área de segurança da informação está trabalhando
para proteger os ativos de informação da empresa e quais são as responsabilidades
dos colaboradores. (SORIANO, 2004).
A segurança da informação é um conjunto de estratégias e ações que visam
garantir a integridade da informação bem como sua confidencialidade, por isso a
cultura e o gerenciamento da segurança da informação é, obviamente, algo muito
importante nas organizações, isso porque grande parte dos esforços de gestão
estão voltados para as questões tecnológicas e processuais (Beck e Santos 2010).
Os mesmos autores nos ressaltam como é importante analisar como a cultura
da segurança da informação afeta o comportamento dos funcionários em
conformidade à proteção informacional, e conforme Imoniana (2005) a cultura da
segurança da informação em uma empresa está diretamente envolvida com as
áreas de negócio, principalmente com a área de tecnologia, uma vez que esta pode
sustentar a maioria dos processos de negócio da empresa.
42
3 DESENVOLVIMENTO DA PESQUISA DE CAMPO
O presente capítulo apresenta o resultado da pesquisa realizada, com o objetivo
de responder os questionamentos elaborados, com destaque inicial para a
caracterização da empresa Banco Bradesco S. A, agência 0330-1 Itajaí – SC.
3.1 Caracterização da empresa
A empresa foi caracterizada a partir de dados obtidos na intranet corporativa.
Com base nos dados coletados o Banco Bradesco S. A. é uma das maiores
organizações de serviços financeiros do Brasil e reconhecidos no mundo, com sede
em Cidade de Deus, Osasco, no Estado de São Paulo – Brasil. Emprega atualmente
cerca de 95 000 colaboradores e conta com mais de 3 000 agências.
3.1.1 Missão, visão e valores
Para atender e prestar serviços com excelência o Banco Bradesco S. A. segue
um serie de condutas e valores para atingir seus objetivos. Nesse intuito a
organização definiu sua Missão, Visão e Valores.
Missão: Fornecer soluções, produtos e serviços financeiros e de seguros com
agilidade e competência, principalmente por meio da inclusão bancária e da
promoção da mobilidade social, contribuindo para o desenvolvimento sustentável e a
construção de relacionamentos duradouros para a criação de valor aos acionistas e
a toda a sociedade.
43
Visão: Ser reconhecida como a melhor e mais eficiente instituição financeira
do País e pela atuação em prol da inclusão bancária e do desenvolvimento
sustentável.
Valores: melhoria contínua, inovação constante, pioneirismo em tecnologia,
conduta ética, prezar pelo bem-estar e capacitação dos colaboradores, promover o
desenvolvimento social, respeitar o meio ambiente.
O Banco Bradesco ainda apresenta 3 pilares de excelência, sustentando suas
ações e práticas:
Finanças Sustentáveis: O setor financeiro tem um papel fundamental para o
desenvolvimento sustentável, razão pela qual buscamos incluir em nossos
processos de concepção e gestão de produtos e serviços o conceito de finanças
sustentáveis, priorizando temas como inclusão bancária, microfinanças, linhas de
crédito socioambientais, investimentos socialmente responsáveis, seguros populares
e a gestão de riscos socioambientais atrelados às atividades bancárias. Contamos
com um Comitê Executivo e uma Comissão Departamental de Produtos e Serviços,
para avaliar a oportunidade e a viabilidade financeira e operacional dos produtos,
bem como os potenciais impactos sociais e ambientais.
Gestão Responsável: (citados neste item apenas a “TI Verde” devido a
abrangência de tal pilar) - A Organização incorpora diretrizes e práticas de
sustentabilidade para a gestão dos recursos tecnológicos. Incluímos requisitos de
ecoeficiência na aquisição de equipamentos, nos investimentos em tecnologia e no
descarte de materiais. O Centro de Tecnologia da Informação (CTI), por exemplo,
está entre os mais eficientes do mundo.
Desde 2008, possuímos um processo para a reutilização ou a reciclagem de
equipamentos eletrônicos substituídos. Parte deles é reaproveitada nos Centros de
Inclusão Digital (CIDs) da Fundação Bradesco. O restante é encaminhado para a
reciclagem, por meio de uma empresa especializada que transforma o lixo eletrônico
em matéria-prima para indústrias de tintas, cerâmicas e vidros. Entre 2008 e 2010,
44
aproximadamente 683 toneladas foram recicladas. Só em 2010, foram mais de 237
toneladas.
Investimentos Socioambientais: Diretrizes para investimentos.
O Banco Bradesco procura contribuir para a preservação do meio ambiente e
a inclusão social nas comunidades onde atua por meio de investimentos em
instituições, de projetos próprios e de entidades parceiras com foco educacional,
ambiental, cultural e esportivo. A Organização iniciou, em 2008, um processo de
reestruturação do conceito de investimentos socioambientais com o apoio do
Instituto para o Desenvolvimento do Investimento Social Privado (Idis).
Para tanto, em 2010 foram criadas duas normas que oficializam o
posicionamento da Organização diante do tema: a Norma Corporativa de
Investimentos Socioambientais e a Norma Corporativa de Patrocínios e
participações em eventos. Foi iniciado um trabalho de identificação dos indicadores
que serão usados para acompanhar os resultados dos maiores investimentos
socioambientais do Banco. Em 2011, serão desenvolvidos uma cartilha e um manual
de orientação sobre o assunto, a serem distribuídos para todos os funcionários.
3.1.2 Banco Bradesco S. A. agência Itajaí – SC
Em Itajaí, o banco Bradesco está localizado na Rua Hercílio Luz, número 355,
Centro, possuindo atualmente 39 colaboradores e cerca de 20 mil clientes. A seguir
será apresentado o organograma da agência de Itajaí para melhor percepção de
como a hierarquia procede.
45
Figura 04: Organograma agência Itajaí Banco Bradesco. Fonte: Elaborado pelo acadêmico.
3.2 Resultados da Pesquisa
A pesquisa foi realizada durante os meses de agosto e setembro de 2011, em
uma agência bancária na cidade de Itajaí. Foram questionados 39 colaboradores –
todo o quadro funcional - abrangendo todos os setores da unidade de Itajaí,
conforme pode ser observado abaixo no quadro de número 4. Para cada
colaborador questionado foi utilizado somente o nome de seu cargo único em
substituição ao nome do colaborador, com a finalidade de preservar a identidade dos
respondentes.
super
Gerente Geral
(01)
Gerente de
Expansão
(01)
Gerente
Administrativo
(01)
Gerentes
Pessoa Jurídica
(04)
Gerentes
Pessoa Física
(02)
Assistentes
Pessoa Jurídica
(03)
Chefes de Serviço
(03)
Assistentes
Pessoa Física
(02)
Caixas
(17)
Escriturários
(02)
Supervisores
Administrativos
(01)
46
Funcionário Função Nível Hierárquico G Tempo (anos)
1 Gerente Geral Estratégico M 29 2 Gerente de Expansão Estratégico F 19 3 Gerente Administrativo Tático M 26 4 Gerente Pessoa Jurídica 1 Tático F 6 5 Gerente Pessoa Jurídica 2 Tático F 5 6 Gerente Pessoa Jurídica 3 Tático F 5 7 Gerente Pessoa Jurídica 4 Tático F 6 8 Gerente Pessoa Física 1 Tático F 4 9 Gerente Pessoa Física 2 Tático F 9 10 Assistente Pessoa Jurídica 1 Operacional M 2 11 Assistente Pessoa Jurídica 2 Operacional F 1 12 Assistente Pessoa Jurídica 3 Tático M 4 13 Assistente Pessoa Física 1 Operacional M 3 14 Assistente Pessoa Física 2 Operacional F 3 15 Chefe de Serviço 1 Tático F 35 16 Chefe de Serviço 2 Tático F 4 17 Chefe de Serviço 3 Tático M 30 18 Supervisor Administrativo 1 Tático M 21 19 Supervisor Administrativo 2 Tático F 4 20 Supervisor Administrativo 3 Tático M 9 21 Caixa 1 Operacional M 1 22 Caixa 2 Operacional M 1 23 Caixa 3 Operacional M 1 24 Caixa 4 Operacional M 1 25 Caixa 5 Operacional F 1 26 Caixa 6 Operacional F 2 27 Caixa 7 Operacional F 7 28 Caixa 8 Operacional M 22 29 Caixa 9 Operacional F 3 30 Caixa 10 Operacional F 23 31 Caixa 11 Operacional M 1 32 Caixa 12 Operacional F 2 33 Caixa 13 Operacional F 23 34 Caixa 14 Operacional M 2 35 Caixa 15 Operacional F 2 36 Caixa 16 Operacional F 3 37 Caixa 17 Operacional M 3 38 Escriturário 1 Operacional F 1 39 Escriturário 2 Operacional M 1
Quadro 03: Perfil dos Colaboradores. Fonte: Elaborado pelo Acadêmico.
3.2.1 Perfil dos colaboradores
Os questionados possuem obviamente diferentes tempos de atuação na
empresa, de um até trinta e cinco anos e é visível que, apesar de não ser regra, a
maioria dos colaboradores que estão há mais tempo na empresa, ocupam cargos de
níveis mais elevados.
47
De forma acentuada, os colaboradores pertencentes ao nível operacional são
a maioria, totalizando 23 colaboradores com tempo de atuação na organização
variando de 1 a 23 anos, desempenhando as funções de Caixa e Escriturários.
São 14 os colaboradores pertencentes ao nível tático cujo tempo de atuação
varia entre 4 a 35 anos, exercendo os cargos de Gerente de Pessoa Jurídica,
Gerente de Pessoa Física, Gerente Administrativo, Chefe de serviço e Supervisor
Administrativo.
Por fim, os colaboradores de nível estratégico são 2, o gerente geral e o
gerente de expansão, com 29 e 19 anos de tempo de serviço respectivamente.
A tabela abaixo pode ser mais clara nos informando a média dos
colaboradores em relação ao tempo de serviço na organização pesquisada:
Nível Hierárquico Quantidade Colaboradores
Média / Tempo
Estratégico 2 22,5 anos Tático 14 13,2 anos Operacional 23 4,8 anos
Quadro 04 Média dos colaboradores por tempo de serviço. Fonte: Elaborada pelo acadêmico.
3.2.2 Cultura da segurança da informação
A pesquisa identificou a percepção destes funcionários com relação à cultura
da segurança da informação na empresa. o questionário aplicado com cada um dos
colaboradores
Também foram identificadas as principais variáveis culturais que afetam a
segurança da informação, de acordo com os questionários pode-se perceber que
variáveis como costumes, hábitos e atitudes foram as mais citadas e que influenciam
diretamente na segurança da informação, uma vez que essas variáveis podem ser
modificadas com o tempo, mas seria preciso de um estudo profundo no assunto.
A seguir, serão apresentadas as percepções dos respondentes a cada uma
das questões do roteiro de pesquisa, pois como já citado, foi aplicado um
questionário aos colaboradores com perguntas estabelecidas com uma escala de 1
48
(um) a 7 (sete), sendo 1 o grau máximo de discordância e 7 o grau máximo de
concordância.
As perguntas de 1 a 5 foram relacionadas ao comportamento, as de 6 a 9,
sobre certeza de detecção, as de 10 a 12 sobre severidade de punição, as de 13
a 18, de crenças normativas, as de 19 a 21 sobre comportamento dos pares, as
de 22 a 30, sobre conhecimento e finalmente as de 31 a 36, sobre atitude.
3.2.3 Comportamento
Este tópico sobre conhecimento buscou a realidade da agência no que diz
respeito ao comportamento dos colaboradores quanto a itens muito importantes,
como por exemplo, a vedada prática de emprestar a senha pessoal de serviço, o
fato de trancar ou não gavetas e bloquear terminais de trabalho durante a ausência
dos colaboradores e se estes preferem anotar uma senha ao invés de memorizá-la
por completo.
Outros pontos pesquisados neste tópico foram o fato de o cliente ser alguém
conhecido e os colaboradores repassarem informações sigilosas por telefone e se,
caso conhecerem bem as normas, seria possível quebrá-las sem maiores
complicações posteriores.
Questões de 1 a 5:
1. No dia-a-dia, percebo que é preferível emprestar a senha para outro colega realizar uma operação para um cliente do que deixar o cliente insatisfeito.
2. No dia-a-dia, percebo que não há necessidade de travar gavetas e terminais quando a ausência é por um período curto de tempo.
3. No dia-a-dia, percebo que é preferível anotar uma nova senha até memorizá-la por completo do que esquecer a mesma.
4. No dia-a-dia, percebo que quando o cliente é alguém conhecido, informar dados da conta por telefone é algo que pode ser realizado.
5. No meu ambiente de trabalho, percebo que quando temos experiência na função, podemos ser mais flexíveis com as normas de segurança.
Quadro 05 – Questões Sobre Comportamento. Fonte: Elaborado pelo acadêmico.
49
Discordo
Totalmente
Concordo Totalmente
Quest
1 2 3 4 5 6 7 Média Desvio Padrão
Q1
11
13
8
7
-
-
-
2,28
1,0748
Q2
12
15
6
4
1
1
-
2,23
1,2239
Q3
26
8
1
-
-
-
4
1,87
1,8235
Q4
8 1 3 7 11 3 5 3,97 2,0709
Q5
7 3 1 6 8 6 6 4,05 2,2589
Total 2,88
Quadro 06 – Médias e Desvio Padrão - Comportamento. Fonte: Elaborado pelo acadêmico.
De acordo com as questões e com suas respostas, auxiliados pelo software
SPSS, gerando histogramas, podemos verificar melhor como os colaboradores
responderam cada uma das questões:
(continua)
50
Figura 05: Histogramas das questões Q1 – Q5. Fonte: Elaborado pelo acadêmico.
Q1: Podemos perceber, em relação à primeira questão, os colaboradores não
foram unânimes em responder que não “emprestam” sua senha de serviço, com
uma média de 2,26 e desvio padrão de 1,087, e em grau de concordância, sendo 1
(um) Discordo Totalmente e 7 (sete) Concordo Totalmente, vemos que os graus que
mais salientam-se são o 1 e o 2, ou seja, a grande parte não concorda em partilhar
sua senha de serviço, porém há colaboradores que preferem fazer uso de tal prática
sem maiores restrições.
Q2: Na questão 2, os colaboradores foram questionados quanto sua
preferência e/ou necessidade de trancar gavetas e travar terminais de trabalho
durante sua ausência seja por qualquer período. Tal questão apresentou uma média
de 2,18 e um desvio padrão de 1,197 e, de acordo com histograma pertinente a esta
questão percebemos que a situação é parecida com a questão anterior, ou seja, a
maioria dos colaboradores dá muita importância para o ato de trancar suas gavetas
e/ou travar seus terminais de trabalho que contém inúmeras informações sigilosas
para o desempenho de seu trabalho, porém há algumas pessoas não julgam
necessários tais cuidados.
Q3: Esta questão refere-se à atitude de, assim que uma nova senha for
gerada, os colaboradores preferiam anotá-la ao invés de memorizá-la
completamente, de acordo com as respostas, tal questão nos apresenta uma média
de 1,89 e um desvio padrão de 1,909.
(continuação)
51
Aliando tais médias ao histograma da questão em referência veremos que a
grande maioria prefere não anotar a nova senha, ou seja, 26 dos 39 colaboradores
pesquisados possuem tal comportamento.
Q4: Nesta questão, os colaboradores foram questionados quanto à sua
postura de liberar informações sigilosas por telefona caso o cliente seja alguém
conhecido e obtivemos as mais variadas respostas em grau de concordância.
Com uma média de 3,97, um desvio padrão de 2,0709 aliados ao histograma
da questão em referência, percebemos que quase não há colaboradores que nunca
realizam tal prática bem como quase não há colaboradores que só procedam desta
forma, de certa forma boa parte dos colaboradores, vez ou outra, passam
informações de modo não correto, porém para a pessoa a quem a informação diz
respeito.
Q5: O objetivo desta questão era perceber o quanto os colaboradores, por
terem maior conhecimento das normas corporativas de segurança da informação,
poderiam quebrá-las, exercendo seu trabalho de forma mais flexível sem que tal
atitude lhes trouxessem maiores problemas.
A média desta questão foi 3,97 e seu desvio padrão foi de 2,211.
Analisando seu histograma, percebemos que muitos dos colaboradores
concordam com tal afirmação.
Resumindo, a média das questões de 1 a 5 foi de 2,88. Assim podemos
perceber que, em grau de concordância de 1 a 7, sendo 1 o grau mínimo e 7 o grau
máximo, os pesquisados estão praticamente de acordo que tais práticas não são
corretas e frequentemente usuais, porém há exceções.
3.2.4 Certeza de detecção
Este tópico buscou analisar se os colaboradores estão cientes que o banco
está monitorando suas atividades, principalmente ações não legítimas.
52
A vigilância é importante para garantir que as ações e atividades estejam
sendo corretamente executadas – bem como o objetivo de analisar se os
colaboradores acreditam que, de acordo com suas práticas, o Banco saberá de
alguma forma se uma norma for transgredida e se provavelmente serão pegos por
isso. Tal tópico busca também o grau de certeza dos colaboradores em saber se o
Banco os monitora constantemente e se de modo imediato seriam descobertos
caso descumpram alguma norma.
Questões de 6 a 9:
6. Se alguma norma de segurança da informação for violada, o banco saberá. 7. Se eu violar uma norma de segurança da informação eu provavelmente serei pego. 8. O banco monitora constantemente todas as atividades dos funcionários. 9. Qualquer atitude que viole a segurança da informação será imediatamente descoberta.
Quadro 07 – Questões Sobre Certeza de Detecção. Fonte: Elaborado pelo acadêmico.
Discordo
Totalmente
Concordo Totalmente
Quest
1 2 3 4 5 6 7 Média Desvio Padrão
Q6
- - - 7 16 8 8 5,44 1,0207
Q7
- - 1 6 16 6 10 5,46 1,1203
Q8
- - - 2 4 17 16 6,21 0,8329
Q9
- - - 3 20 8 8 5,54 0,9132
Total 5,66
Quadro 08 – Médias e Desvio Padrão - Certeza de Detecção. Fonte: Elaborado pelo acadêmico.
De acordo com as questões e com suas respostas, auxiliados pelo software
SPSS, gerando histogramas, podemos verificar melhor como os colaboradores
responderam cada uma das questões:
53
Figura 06: Histogramas das questões Q6 – Q9. Fonte: Elaborado pelo acadêmico.
Q6: A questão 6 busca saber se os colaboradores acreditam que se alguma
norma corporativa de segurança da informação for violada o Banco saberá.
Apresentou uma média de 5,47 e um desvio padrão de 1,04.
Analisando seu histograma veremos que há certa uniformidade entre os
respondentes em acreditar que o Banco pode não “pegar” os transgressores de
normas.
Q7: Em tal questão o que foi pesquisado era se, caso o colaborador
transgredisse alguma norma corporativa de segurança da informação,
provavelmente seria pego.
54
Tal questão nos mostra uma média de 5,50 e um desvio padrão de 1,12.
O histograma desta questão nos mostra que grande parte dos colaboradores
acredita que seria pega caso houvesse alguma transgressão de sua parte.
Q8: O que questionado neste item era se os colaboradores acreditam ser
monitorados de forma constante pela organização.
A média dessa questão foi de 6,18 e seu desvio padrão foi de 0,833. Seu histograma
mostra que quase todos os colaboradores acreditam em tal afirmação.
Q9: Os colaboradores foram questionados neste item se, caso qualquer
atitude que viole alguma norma seria imediatamente descoberta pela organização. A
média desta questão foi de 5,55 com um desvio padrão de 0,91. Seu histograma
mostra que, de modo geral possuem a certeza de que podem ser detectados.
A média das questões deste grupo foi de 5,66. Isto nos mostra que de acordo
com o grau de concordância a maioria dos colaboradores concorda que tais práticas
podem levá-los a serem detectados, caso haja alguma transgressão de uma ou mais
normas corporativas de segurança da informação.
3.2.5 Severidade de punição
Este tópico buscou saber se os colaboradores estão cientes que estão
sujeitos a punições caso cometam alguma falha na segurança da informação, busco
saber também se os colaboradores tem conhecimento sobre essas punições bem
como seu grau de severidade.
Questões de 10 a 12:
10. O Banco penaliza os empregados que transgridem as normas de segurança da informação. 11. O banco demite os empregados que repetidamente não obedecem as regras de segurança da informação. 12. Se algum funcionário for pego violando uma norma de segurança da informação ele será severamente penalizado.
Quadro 09 – Questões Sobre Severidade de Punição. Fonte: Elaborado pelo acadêmico.
55
Discordo
Totalmente
Concordo Totalmente
Quest
1 2 3 4 5 6 7 Média Desvio Padrão
Q10
- 3 - 4 16 8 8 5,28 1,3367
Q11
- - - 3 3 9 24 6,38 0,9351
Q12
- 2 2 3 14 9 9 5,36 1,3473
Total 5,68
Quadro 10 – Médias e Desvio Padrão - Severidade de Punição. Fonte: Elaborado pelo acadêmico.
De acordo com as questões e com suas respostas, auxiliados pelo software
SPSS, gerando histogramas, podemos verificar melhor como os colaboradores
responderam cada uma das questões:
Figura 07 : Histogramas das questões Q10 – Q12. Fonte: Elaborado pelo acadêmico.
56
Q10: Esta questão o que se buscou foi se os colaboradores acreditem que os
transgressores de normas são punidos pela organização. Sua média foi de 5,29 e
seu desvio padrão foi de 1,388.
O histograma pertinente a esta questão revela que a grande maioria concorda
que haveria uma punição por parte do banco.
Q11: Nesta questão os colaboradores foram questionados se acreditam que o
Banco demite colaboradores que repetidamente transgridem normas corporativas de
segurança da informação. A média desta questão foi de 6,45 cocm um desvio
padrão de 0,853. O histograma desta questão revela que grade 24 dos 39
colaboradores acredita em tal afirmação com grau máximo de concordância.
Q12: Tal questão busca verificar o grau de concordância dos respondentes se
caso algum funcionário for pego transgredindo alguma norma será penalizado. A
média de tal questão foi de 5,39 com um desvio padrão de 1,379. Seu histograma
nos mostra que são poucos os que não acreditam ou pouco acreditam em punições.
Resumindo, as questões de 10 a 12 apresentaram uma média de 5,68 em
relação ao grau de concordância pertinente às questões, mostrando que boa parte
dos colaboradores acreditam na severidade de punição da organização estudada.
3.2.6 Crenças normativas
Este tópico buscou ter conhecimento sobre a cultura dos colaboradores dos
mais diferentes níveis hierárquicos referente à segurança de informação no que diz
respeito ao que os colaboradores percebem naqueles que os rodeiam e/ou chefiam,
sejam eles gerentes, inspetores, diretores etc..
57
Questões de 13 a 18:
13. O banco acredita que seguir as políticas de segurança da informação é essencial para o sucesso dos negócios. 14. Os diretores do banco acreditam que seguir as políticas de segurança da informação é essencial para o sucesso dos negócios. 15. Os meus gerentes acreditam que seguir as políticas de segurança da informação é essencial para o sucesso dos negócios. 16. Os inspetores acreditam que seguir as políticas de segurança da informação é essencial para o sucesso dos negócios. 17. Os funcionários acreditam que seguir as políticas de segurança da informação é essencial para o sucesso dos negócios. 18. Os usuários acreditam que seguir as políticas de segurança da informação é essencial para o sucesso dos negócios.
Quadro 11 – Questões Sobre crenças Normativas. Fonte: Elaborado pelo acadêmico.
Discordo
Totalmente
Concordo Totalmente
Quest
1 2 3 4 5 6 7 Média Desvio Padrão
Q13
- - - - - 2 37 6,95 0,2235
Q14
- - - - - 8 31 6,79 0,4091
Q15
- - - - - 10 29 6,74 0,4424
Q16
- - - - - 2 37 6,95 0,2235
Q17
- - - - 10 5 24 6,36 0,8732
Q18
- - - 3 5 10 21 6,26 0,9657
Total 6,68
Quadro 12 – Média e Desvio Padrão - Crenças Normativas. Fonte: Elaborado pelo acadêmico.
De acordo com as questões e com suas respostas, auxiliados pelo software
SPSS, gerando histogramas, podemos verificar melhor como os colaboradores
responderam cada uma das questões:
58
Figura 08: Histogramas das questões Q13 – Q18. Fonte: Elaborado pelo acadêmico.
Q13: Os colaboradores foram questionados se o banco em que trabalham
acredita que a segurança da informação é ponto chave para os negócios. Sua média
foi de 6,59 com um desvio padrão de 0,236. Seu histograma nos mostra que 37 dos
39 colaboradores acreditam em tal afirmação.
Q14: Nesta questão os colaboradores foram questionados se acreditam que
os diretores do banco possuem a crença de que a segurança da informação é vital
59
para os negócios. Teve uma média de 6,82 e um desvio padrão de 0,382. O
histograma revela que 31 colaboradores acreditam em tal afirmação em grau
máximo de concordância.
Q15: Os colaboradores foram aqui questionados se acreditam que seus
gerentes creem que a segurança da informação é essencial para os negócios. Tal
questão teve uma média de 6,76 e um desvio padrão de 0,426. Seu histograma
mostra que apenas 29 colaboradores acreditam em tal afirmação em grau máximo
de concordância.
Q16: Nesta questão o que se buscou foi o quanto os colaboradores acreditam
que os inspetores acreditam que a segurança da informação é fundamental para os
negócios. Sua média foi de 6,97, seu desvio padrão foi de 0,169. Em grau máximo
de concordância, 37 colaboradores acreditam nesta afirmação.
Q17: Os colaboradores foram aqui questionados para ver em que grau
acreditam que a segurança da informação é essencial para os negócios. Sua média
foi de 6,36 com um desvio padrão de 0,8732. Seu histograma mostra que 24 dos 39
colaboradores concordam em grau máximo com tal afirmação.
Q18: Nesta questão, o objetivo era descobrir se os usuários acreditam que a
segurança da informação é importante para os negócios. Sua média foi de 6,26 com
um desvio padrão de 0,9657.
O histograma desta questão mostra que a maioria dos colaboradores (24)
acreditam que sim em grau máximo de concordância.
As questões de 13 a 18 apresentaram a média de 6,68, a maior deste
trabalho em relação ao grau de concordância.
Isso nos mostra que os colaboradores, quase em sua totalidade, realmente
acreditam que o banco e seus diretores, os gerentes e inspetores e os funcionários e
os usuários acreditam que as normas e políticas corporativas de segurança da
informação são importantes para os negócios da organização.
60
3.2.7 Confiança nos pares
Neste tópico buscou-se a verificação de quanto os colaboradores usam e/ou
confiam em fontes de informação informal, e o quanto dão importância àquelas
informações consideradas confiáveis, procedentes de relatórios, notas ou outro meio
disponibilizado pela organização.
Questões de 19 a 21:
19. Confio mais em fontes de informação informal (por exemplo, colegas), do que confio em fontes formais (por exemplo, notas, relatórios). 20. Eu uso fontes de informação informal (por exemplo, colegas) extensivamente, embora fontes formais (por exemplo, notas, relatórios) existem e possuem credibilidade. 21. Uso fontes de informação informal (por exemplo, colegas) para verificar e melhorar a qualidade das fontes de informação formal (por exemplo, notas, relatórios).
Quadro 13 – Questões Sobre Comportamento dos Pares. Fonte: Elaborado pelo acadêmico.
Discordo
Totalmente
Concordo Totalmente
Quest
1 2 3 4 5 6 7 Média Desvio Padrão
Q19
13 16 5 2 - 2 1 2,23 1,4593
Q20
15 15 4 2 - 2 1 2,15 1,4786
Q21
13 13 6 3 - 2 2 2,44 1,6669
Total 2,27
Quadro 14 – Média e Desvio Padrão - Comportamento dos Pares. Fonte: Elaborado pelo acadêmico.
De acordo com as questões e com suas respostas, auxiliados pelo software
SPSS, gerando histogramas, podemos verificar melhor como os colaboradores
responderam cada uma das questões:
61
Figura 09: Histogramas das questões Q19 – Q21. Fonte: Elaborado pelo acadêmico.
Q19: Nesta questão, o objetivo era saber se os colaboradores confiavam mais
em fontes de informação informal do que fontes de informação formais. A média
desta questão foi de 2,23 com um desvio padrão de 1,4593.
O histograma desta questão revela que grande parte das pessoas não
procura confiar em nada que é informal, mas ainda assim há pessoas que usam os
colegas de trabalho como fontes confiáveis de informação.
Q20: Nesta questão o foco era saber se os colaboradores fazem uso
extensivo de fontes de informação informal mesmo que existam fontes de
informação formais e com credibilidade. Sua média foi de 2,15 e seu desvio padrão
foi de 1,4786. Seu histograma mostra que grande parte dos colaboradores procura
não utilizar fontes informais de informação, preferindo as fontes com maior
credibilidade.
62
Q21: Esta questão busca verificar se o colaborador utiliza fontes de
informação informal como forma de melhorar suas fontes de informação. Sua média
foi de 2,44 com um desvio padrão de 1,6669. Seu histograma mostra uma maior
parcela de colaboradores que prefere não proceder de tal forma.
A média destas questões foi de 2,27, ou seja, foram muitos os colaboradores
que afirmaram não buscar, utilizar e confiar em fontes informais de informação.
3.2.8 Conhecimento
Neste tópico o objetivo era buscar dos colaboradores respostas acerca de seu
grau de conhecimento sobre as normas e políticas de segurança de informação bem
como se buscam constantes atualizações sobre o tema, valendo as mesmas
perguntas para seus colegas e superiores.
Questões de 22 a 30:
22. O banco, constantemente informa aos funcionários sobre as políticas e normas da segurança da informação.
23. O banco, constantemente treina seus funcionários para agirem de acordo com as políticas e normas da segurança da informação.
24. O banco, constantemente mantém seus funcionários atualizados sobre as políticas e normas da segurança da informação.
25. Eu tenho total conhecimento sobre as políticas e normas de segurança da informação
26. Eu estou sempre atualizado sobre as últimas políticas e normas de segurança da informação
27. Meus superiores têm total conhecimento sobre as políticas e normas de segurança da informação 28. Meus superiores estão sempre atualizados sobre as últimas políticas e normas de segurança da informação.
29. Meus colegas têm total conhecimento sobre as políticas e normas de segurança da informação
30. Meus colegas estão sempre atualizados sobre as últimas políticas e normas de segurança da informação.
Quadro 15 – Questões Sobre Conhecimento. Fonte: Elaborado pelo acadêmico.
63
Discordo
Totalmente
Concordo Totalmente
Quest
1 2 3 4 5 6 7 Média Desvio Padrão
Q22
- - - - 1 18 20 6,49 0,5559
Q23
- - - 2 8 17 12 6,00 0,8584
Q24
- - - 1 4 18 16 6,26 0,7511
Q25
- - - 2 17 11 9 5,69 0,8931
Q26
- - - 1 13 14 11 5,90 0,8521
Q27
- - - - 5 23 11 6,15 0,6299
Q28
- - - - 7 19 13 6,15 0,7085
Q29
- - - 1 16 15 7 5,72 0,793
Q 30
- - - 1 10 21 7 5,87 0,732
Total 6,03
Quadro 16 – Média e Desvio Padrão-– Questões Sobre Conhecimento. Fonte: Elaborado pelo acadêmico
De acordo com as questões e com suas respostas, auxiliados pelo software
SPSS, gerando histogramas, podemos verificar melhor como os colaboradores
responderam cada uma das questões:
(continua)
64
Figura 10: Histogramas das questões Q22 – Q30. Fonte: Elaborado pelo acadêmico.
(continuação)
65
Q22: Esta questão possui como objetivo saber se o Banco informa de modo
constante seus colaboradores sobre suas políticas e normas corporativas de
segurança da informação. Sua média foi de 6,49 e seu desvio padrão foi de 0,5559.
Seu histograma nos mostra que é grande o grau de concordância dos colaboradores
em relação a esta prática da organização.
Q23: Nesta questão, os colaboradores foram questionados se o banco treina
seus funcionários para que procedam conforme suas políticas e normas de
segurança corporativa. Sua média foi de 6,00 e seu desvio padrão foi de 0,5854.
Seu histograma revela que o grau de concordância para tal afirmação é grande.
Q 24: Esta questão aqui é se o banco mantém de forma constante, seus
funcionários atualizados sobre sãs políticas e normas de segurança da informação.
Sua média foi de 6,26 e seu desvio padrão foi de 0,7511. Seu histograma mostra
que a maioria concorda com tal afirmação.
Q 25: Nesta questão, os colaboradores foram questionados sobre o grau de
conhecimento que possuem sobre as políticas e normas corporativas de segurança
da informação. Sua média foi de 5,69 e seu desvio padrão foi de 0,8931. Seu
histograma revela também que grande parte dos colaboradores não se julga
conhecedor ao extremo das normas e políticas de segurança da informação da
organização.
Q26: Esta questão buscou saber em que grau os colaboradores estão
atualizados em relação às políticas e normas corporativas de segurança da
informação. Sua média foi de 5,90 e seu desvio padrão foi de 0,8521. O histograma
desta questão mostra que há uma uniformidade entre os colaboradores que dizem
estar atualizados, mas não de modo total.
Q27: Esta questão buscou saber se os colaboradores acreditam que seus
superiores possuem total conhecimento das normas e políticas de segurança da
informação. Sua média foi de 6,15 com um desvio padrão de 0,6299. Seu
histograma mostra que 23 dos 39 colaboradores aceitam o penúltimo grau de
concordância.
66
Q28: Nesta questão o que se buscou foi saber se os colaboradores acreditam
que seus superiores estão sempre atualizados sobre as políticas e normas de
segurança da informação. Sua média foi de 6,16 com um desvio padrão de 0,7085.
Seu histograma mostra que os colaboradores acreditam que seus superiores estão
atualizados, mas não totalmente.
Q29: Esta questão possui o objetivo de saber em que grau os colaboradores
acreditam que seus colegas tenham total conhecimento sobre as políticas e normas
corporativas de segurança da informação. Sua média foi de 5,72 com um desvio
padrão de 0,793. Seu histograma mostra que os colaboradores acreditam que seus
colegas tenham conhecimento das políticas e normas, mas não totalmente.
Q30: Esta questão buscou saber em que grau os colaboradores acreditam
que seus colegas estão se atualizando em relação às políticas e normas de
segurança da informação. Sua média foi de 5,87 e seu desvio padrão foi de 0,732. O
histograma desta questão mostra algo como a questão anterior onde seus colegas
não demonstram ter total conhecimento das normas e políticas de segurança da
informação.
Este grupo de questões apresentou uma média de 6,03, nos revelando que a
maioria dos colaboradores está com sua percepção próxima do grau máximo de
concordância.
Questões Médias Desvio Padrão
Informação Banco Q22 – Q29 6,25 0,68 Conhecimento Pessoas
Q25 – Q26 5,80 0,84
Conhecimento Superiores
Q27 – Q28 6,15 0,63
Conhecimento Pares Q20 – Q30 5,80 0,73
Quadro 17: Média e desvio das questões de 22 a 30. Fonte: Elaborado pelo acadêmico.
67
3.2.9 Atitude
Neste tópico o que se buscou foi definir a postura dos colaboradores quanto
ao seu modo de seguir as normas e políticas de segurança da informação e em que
grau acreditam que seus colegas e/ou superiores fazem o mesmo.
Questões de 31 a 36:
31. Eu percebo que sempre sigo as normas e políticas de segurança da informação. 32. Eu acredito que nunca violei nenhuma norma ou política de segurança da informação. 33. Eu percebo que meus superiores sempre seguem as normas e políticas de segurança da informação. 34. Eu acredito que meus superiores nunca violaram nenhuma norma ou política de segurança da informação. 35. Eu percebo que os outros funcionários sempre seguem as normas e políticas de segurança da informação. 36. Eu acredito que os outros funcionários nunca violaram nenhuma norma ou política de segurança da informação.
Quadro 18 – Questões Atitude. Fonte: Elaborado pelo acadêmico.
Discordo
Totalmente
Concordo Totalmente
Quest
1 2 3 4 5 6 7 Média Desvio Padrão
Q31
- - - - 5 26 8 6,08 0,5797
Q32
- - - 2 19 7 11 5,69 0,9502
Q33
- - - 1 8 22 8 5,95 0,7236
Q34
1 - 1 8 13 6 10 5,31 1,3602
Q35
- - - - 13 19 7 5,85 0,7085
Q36
1 - - 3 14 12 9 5,59 1,1858
Total 5,74
Quadro 19 – Média e Desvio Padrão - Questões Atitude. Fonte: Elaborado pelo acadêmico.
68
De acordo com as questões e com suas respostas, auxiliados pelo software
SPSS, gerando histogramas, podemos verificar melhor como os colaboradores
responderam cada uma das questões:
Figura 11: Histogramas das questões Q31 – Q36. Fonte: Elaborado pelo acadêmico.
69
Q31: Nesta questão o objetivo era perceber o grau em que os colaboradores
seguem as políticas e normas corporativas de segurança da informação. Sua média
foi de 6,08 e seu desvio padrão foi de 0,5797. Seu histograma mostra que, de modo
geral, os colaboradores seguem as normas e políticas de segurança da informação.
Q32: esta questão busca identificar se os colaboradores nunca violaram as
regras e/ou normas de segurança da informação. Sua média foi de 5,69 e seu
desvio padrão foi de 0,9502. Seu histograma mostra um equilíbrio entre as respostas
de maior concordância, ou seja do número 4 ao 7.
Q33: Nesta questão, os colaboradores foram questionados em relação à sua
percepção quanto aos seus superiores e se estes sempre seguem as normas e/ou
políticas de segurança da informação. Sua média foi de 5,95 e seu desvio padrão foi
de 0,7236. Seu histograma uma situação mediana, ou seja, o grau de concordância
dos colaboradores em relação a esta questão está a partir do número 4.
Q34: Esta questão buscou saber o quanto os colaboradores acreditam que
seus superiores nunca violaram nenhuma regre de política e/ou segurança da
informação. Sua média foi de 5,31 e seu desvio padrão foi de 1,3602. Seu
histograma mostra muitas opiniões diferentes em grau de concordância.
Q35: Esta questão buscou saber o quanto que os colaboradores percebem
que os outros funcionários seguem as normas e/ou políticas de segurança da
informação. Sua média foi de 5,85 e seu desvio padrão foi de 0,7085.
Q36: Tal questão tinha por objetivo saber em que grau os colaboradores
percebem que os outros funcionários nunca violaram nenhuma regra e/ou política de
segurança da informação. Sua média foi de 5,59 e seu desvio padrão foi de 1,1858.
Resumindo, as questões deste grupo obtiveram a média de 5,74. Uma
concordância menos expressiva do que a do grupo anterior, porém muitos
colaboradores acreditam perceber uma boa atuação de seus superiores e colegas
em relação às normas e políticas corporativas de segurança da informação.
70
Atitude Média Desvio Padrão
Atitude Pessoal 5,88 0,7 Atitude Colegas 5,71 0,86 Atitude Superiores 5,62 0,96
Quadro 20: Média e desvio padrão das questões de atitude quanto pessoal, colegas e superiores.
Fonte: Elaborado pelo acadêmico.
Com artigo desenvolvido por Beck e Santos (2010) é possível realizar
algumas comparações com o artigo destes autores e o presente trabalho verificando
a tabela abaixo:
DIMENSÃO ESTA PESQUISA BECK E SANTOS
Comportamento 2,88(reversa) = 5,12 n/d Certeza Detecção 5,66 5,43 Severidade Punição 5,68 5,1 Crenças Normativas 6,68 6,16 Confiança nos Pares 2,77 (reversa) = 5,73 n/d Conhecimento 6,03 n/d Atitude 5,74 6,10
Tabela 01: Comparação desta pesquisa com artigo Beck e Santos (2010). Fonte: Elaborado pelo acadêmico.
A comparação é apenas uma forma de discutir os resultados, pois as
organizações são diferentes. Apesar das diferenças nas organizações, Beck e
Santos (2010) afirmam que a segurança da informação auxilia na alavancagem das
competências empresariais.
Um ponto comum entre as organizações comparadas na tabela acima é que,
de todas as ameaças que uma organização pode ter, o comportamento humano
parece ser o mais difícil de gerenciar (Beck e Santos, 2010).
As empresas investem muito dinheiro em tecnologias e sistemas para a
proteção de seus ativos, mas um funcionário mal intencionado ou até mesmo mal
treinado pode tornar tais medidas ineficientes (Beck e Santos, 2010).
Em relação aos resultados da pesquisa desenvolvida por Beck e Santos e os
resultados desta pesquisa, foram traçados alguns pontos em comum, destacando os
seguintes:
71
Comportamento: Percepção do indivíduo com relação a sua habilidade em
realizar uma determinada tarefa. Quanto melhor for a avaliação pessoal de
um indivíduo de como é seu desempenho em realizar determinada tarefa,
melhor será sua propensão em realizá-la.
Certeza de detecção: Percepção do indivíduo de que está sendo
observado/monitorado. A existência de um monitoramento de ações com a
possibilidade de penalização a quem desrespeita normas e procedimentos
internos faz com que o colaborador tenha mais cuidado no seu proceder.
Confiança nos pares: Percepção do indivíduo com relação ao
comportamento e as ações de seus pares.
Crenças normativas: Percepção do indivíduo sobre a opinião de seus pares
sobre o seu comportamento.
Severidade de punição: À medida que a punição aumenta o indivíduo se
sente menos inclinado a praticar um ato transgressivo em relação às normas
corporativas de segurança da informação.
72
4 CONSIDERAÇÕES FINAIS
Após analisar os dados da pesquisa, algumas considerações sobre a
implicação teórica e prática dos resultados obtidos são apresentados neste capítulo.
A pesquisa permitiu perceber que os colaboradores, em sua maioria,
acreditam trabalhar do modo que julgam ser correto e o quão importante que sua
índole seja positiva, fazendo com que suas atitudes sejam seguras naturalmente.
Pressões exageradas e punições sem motivos geram desconforto e
desconfiança por parte dos funcionários, por isso é muito importante adequar às
normas corporativas de segurança da informação aos propósitos, visão, valores e
cultura existentes na organização, criando um ciclo transparente da informação e
uma reação em cadeia benéfica a todos agentes organizacionais.
A informação deve sempre ter o tratamento que merece: absolutamente
cuidado total.
4.1 Implicações Teóricas
Estudos referentes à segurança da informação apresentam conteúdos muito
técnicos e a pesquisa demonstrou que os aspectos culturais também são muito
importantes e influentes, devendo ser melhor estudados pois as variáveis culturais
dos indivíduos e da organização interferem diretamente nas ações tomadas por
estes.
A pesquisa apresentou limites, não como o total anonimato dos pesquisados
que pode prejudicar as respostas, pois os mesmos temem sofrer punições por expor
assuntos referentes à segurança da informação. Outro limite da pesquisa foi quanto
à população questionada, não generalizada, estudos com outros métodos e maior
população, devem ser realizados.
73
4.2 Implicações Práticas
Investimentos na cultura da segurança da informação tornam-se cada vez
mais necessários e constantes.
Setores operacionais percebem a segurança da informação como algo mais
distante da realidade com relação às outras áreas, sugere-se uma proximidade
maior do setor ao assunto, uma vez que a área operacional está exposta a grandes
riscos.
Com base nos resultados obtidos pode-se sugerir para a empresa, um maior
investimento na questão cultural dos colaboradores e da organização,
acompanhamento das normas e políticas para verificar se as mesmas estão sendo
cumpridas, assim como incentivar e reeducar os colaboradores a fazer as coisas do
modo mais seguro possível visando de modo principal proteger-se, não causando
prejuízos (financeiros ou não) para qualquer uma das partes – a organização e os
clientes.
74
REFERÊNCIAS AURÉLIO, Dicionário. 2010 Disponível em HTTP <://www.dicionariodoaurelio.com/> acesso em 01 Abr 2010
ALBERTIN, Alberto Luiz. Tecnologia da informação. 1. ed. São Paulo; Editora Atlas, 2004. ALCADIPANI, Rafael; CRUBELLATE, João Marcelo. Cultura organizacional: generalizações improváveis e conceituações imprecisas. ERA, v.43, n.2, Maio, 2002. BEAL, Adriana. A segurança da informação: princípios e melhores práticas para a proteção de ativos de informação nas organizações. São Paulo: Atlas , 2005.
BECK, Fabricio; SANTOS, André Moraes. Avaliando a cultura da segurança da informação: o caso de uma organização industrial. 2010. ANPAD, Rio de Janeiro.
CELENT. IT Spending in Financial Services: A Global Perspective. CELENT, 27 jan. 2011. Disponível em http://www.celent.com/124_3446.htm, acesso em 04 abr. 2011. EARL, Michael J. Todo negócio diz respeito a informações. In: Marchandt, T. Davenpont, T. H. Dominando a gestão da informação, POA: Bookman 2004. FEBRABAN, Federação Brasileira de Bancos. 2009. Disponível em <http://www.febraban.org.br/Noticias1.asp?id_texto=662&id_pagina=59&palavra=> acesso em 01 Mar 2010. FLEURY, Maria Tereza Leme; SHINYASHIKI, Gilberto; STEVANATO, Luiz Arnaldo. Entre a antropologia e a psicanálise: dilemas metodológicos dos estudos sobre a cultura organizacional. Revista de Administração, São Paulo, v.32, n.1, p.23-37, janeiro-março 1997. FLEURY, Maria Tereza Leme; SILVA, Sandro Márcio da. Aspectos culturais do uso de tecnologias de informação em pesquisa acadêmica. Revista de administração, São Paulo, v.35, n.2, p.19-29, abril/junho 2000. GARTNER. Gartner Says Media Tablets Help Drive Worldwide IT Spending Up 5.6 Percent in 2011. Gartner research consulting, 30 mar. 2011. Disponível em http://www.gartner.com/it/page.jsp?id=1610914, acesso em 04 abr. 2011. GIL, Antônio Carlos. Como elaborar projetos de pesquisa. 4.ed. São Paulo: Atlas, 2007.
IBM. A empresa do futuro. 2008. Disponível em <HTTP://ibm.com/enterpriseofthefuture>, acesso em 18 abr. 2011. IMONIANA, Joshua Onome. Auditoria de sistemas de informação. São Paulo: Atlas, 2005.
75
JOHANN, Sílvio Luiz. Gestão da cultura corporativa. 1. ed. São Paulo: Editora Saraiva, 2006. MACHADO, Hilka Vier. Identidade organizacional: um estudo de caso no contexto da cultura brasileira. RAE-eletrônica, v.4, n.1, Art 12, jan./jul. 2005, disponível em http://www.rae.combr/eletronica/index.cfm?FuseAction=Artigo&ID=2029&Secao=FOR.GEST.B&Volume=4&Numero+1&Ano=2005. MORGAN, Gareth. Imagens da organização. São Paulo: Atlas, 1996.
MOTTA, Fernando C. P. Teoria geral da administração. 3. ed. São Paulo: Editora Thomson, 2006. O`BRIEN, James A; MARAKASS, George M. Administração de sistemas de infromação: uma introdução. São Paulo: MCGRAW-HILL, 2006. PEREIRA, Júlio Cesar Rodrigues. Análise de dados qualitativos: estratégias metodológicas para as ciências da saúde, humanas e sociais. 2. ed. São Paulo; EDUSP – Editora da universidade de São Paulo, 1999. POLLONI, Enrico G. F. Sistemas de informação. 1. ed. São Paulo: Editora Futura, 2000. REZENDE, Denis Alcides. Tecnologia da informação aplicada a sistemas de informação empresariais: o papel estratégico da informação e dos sistemas de informação nas empresas. 3. ed . São Paulo: Atlas, 2003.
RICHARDSON, Roberto Jarry e colaboradores. Pesquisa social: métodos e técnicas. 3. ed. São Paulo: Editora Atlas, 1999. ROESCH, Sylvia M. A. Projetos de estágio e de pesquisa em administração. 2. ed. São Paulo: Editora Atlas, 1999. SAVIANI, José R. O analista de negócios e da informação. 4. ed. São Paulo: Editora Atlas, 1998. SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. São Paulo: Campus Elsevier, 2002.
SCHEIN, Edgar H., Cultura organizacional e liderança. São Paulo: Atlas, 2009. SORIANO, Humberto Lima. Análise de estruturas: Método das forcas e método do deslocamento. Rio de Janeiro: Ciência Moderna, 2004.
TURBAN, Efrain; LEIDNER, D.; MCLENA, E.;WHETERBE, J. Tecnologia da informação para a gestão: transformando os negócios na economia digital. Porto Alegre: Bookman, 2010. VERGARA, Sylvia Constant. Projetos e relatórios de pesquisa em administração. 6. ed. São Paulo: Editora Atlas, 2005.
76
VERGARA, Silva. Projetos e relatórios de pesquisa em administração. 3ed. São Paulo: Atlas, 1998. WOOD JR., Thomaz; CALDAS, Miguel P. Antropofagia organizacional. Revista de administração de empresas. São Paulo, v.38, n.4, p.6-17, out./dez. 1998.
77
APÊNDICE A – QUESTIONÁRIO APLICADO AOS COLABORADORES
Instruções
Considere sua atividade profissional. Após ler cada questão, indique o quanto você concorda ou
discorda da AFIRMAÇÃO. Assinale um valor entre 1 e 7, sendo 1 o grau máximo de discordância e 7 o
grau máximo de concordância.
Dados de identificação:
Trabalho na empresa há: _________ ano(s).
Cargo: (O)Operacional (T)Tático (E)Estratégico
Discordo
Totalmente
Concordo
Totalmente
COMPORTAMENTO
1. No dia-a-dia, percebo que é preferível emprestar a senha para outro
colega realizar uma operação para um cliente do que deixar o cliente
insatisfeito.
1 2 3 4 5 6 7
2. No dia-a-dia, percebo que não há necessidade de travar gavetas e
terminais quando a ausência é por um período curto de tempo. 1 2 3 4 5 6 7
3. No dia-a-dia, percebo que é preferível anotar uma nova senha até
memorizá-la por completo do que esquecer a mesma. 1 2 3 4 5 6 7
4. No dia-a-dia, percebo que quando o cliente é alguém conhecido,
informar dados da conta por telefone é algo que pode ser realizado. 1 2 3 4 5 6 7
5 .No meu ambiente de trabalho, percebo que quando temos experiência
na função, podemos ser mais flexíveis com as normas de segurança. 1 2 3 4 5 6 7
CERTEZA DE DETECÇÃO
6. Se alguma norma de segurança da informação for violada, o banco
saberá. 1 2 3 4 5 6 7
7. Se eu violar uma norma de segurança da informação eu provavelmente
serei pego. 1 2 3 4 5 6 7
8. O banco monitora constantemente todas as atividades dos funcionários. 1 2 3 4 5 6 7
9. Qualquer atitude que viole a segurança da informação será
imediatamente descoberta. 1 2 3 4 5 6 7
78
SEVERIDADE DE PUNIÇÃO
10. O Banco penaliza os empregados que transgridem as normas de
segurança da informação. 1 2 3 4 5 6 7
11. O banco demite os empregados que repetidamente não obedecem as
regras de segurança da informação. 1 2 3 4 5 6 7
12. Se algum funcionário for pego violando uma norma de segurança da
informação ele será severamente penalizado. 1 2 3 4 5 6 7
CRENÇAS NORMATIVAS
13. O banco acredita que seguir as políticas de segurança da informação é
essencial para o sucesso dos negócios. 1 2 3 4 5 6 7
14. Os diretores do banco acreditam que seguir as políticas de segurança
da informação é essencial para o sucesso dos negócios. 1 2 3 4 5 6 7
15. Os meus gerentes acreditam que seguir as políticas de segurança da
informação é essencial para o sucesso dos negócios. 1 2 3 4 5 6 7
16. Os inspetores acreditam que seguir as políticas de segurança da
informação é essencial para o sucesso dos negócios. 1 2 3 4 5 6 7
17. Os funcionários acreditam que seguir as políticas de segurança da
informação é essencial para o sucesso dos negócios. 1 2 3 4 5 6 7
18. Os usuários acreditam que seguir as políticas de segurança da
informação é essencial para o sucesso dos negócios. 1 2 3 4 5 6 7
CONFIANÇA NOS PARES
19. Confio mais em fontes de informação informal (por exemplo, colegas),
do que confio em fontes formais (por exemplo, notas, relatórios). 1 2 3 4 5 6 7
20. Eu uso fontes de informação informal (por exemplo, colegas)
extensivamente, embora fontes formais (por exemplo, notas, relatórios)
existem e possuem credibilidade.
1 2 3 4 5 6 7
21. Uso fontes de informação informal (por exemplo, colegas) para
verificar e melhorar a qualidade das fontes de informação formal (por
exemplo, notas, relatórios).
1 2 3 4 5 6 7
CONHECIMENTO
22. O banco, constantemente informa aos funcionários sobre as políticas e
normas da segurança da informação. 1 2 3 4 5 6 7
23. O banco, constantemente treina seus funcionários para agirem de
acordo com as políticas e normas da segurança da informação. 1 2 3 4 5 6 7
24. O banco, constantemente mantém seus funcionários atualizados sobre 1 2 3 4 5 6 7
79
as políticas e normas da segurança da informação.
25. Eu tenho total conhecimento sobre as políticas e normas de segurança
da informação 1 2 3 4 5 6 7
26. Eu estou sempre atualizado sobre as últimas políticas e normas de
segurança da informação 1 2 3 4 5 6 7
27. Meus superiores têm total conhecimento sobre as políticas e normas
de segurança da informação 1 2 3 4 5 6 7
28. Meus superiores estão sempre atualizados sobre as últimas políticas e
normas de segurança da informação. 1 2 3 4 5 6 7
29. Meus colegas têm total conhecimento sobre as políticas e normas de
segurança da informação 1 2 3 4 5 6 7
30. Meus colegas estão sempre atualizados sobre as últimas políticas e
normas de segurança da informação. 1 2 3 4 5 6 7
ATITUDE
31. Eu percebo que sempre sigo as normas e políticas de segurança da
informação. 1 2 3 4 5 6 7
32. Eu acredito que nunca violei nenhuma norma ou política de segurança
da informação. 1 2 3 4 5 6 7
33. Eu percebo que meus superiores sempre seguem as normas e políticas
de segurança da informação 1 2 3 4 5 6 7
34. Eu acredito que meus superiores nunca violaram nenhuma norma ou
política de segurança da informação. 1 2 3 4 5 6 7
35. Eu percebo que os outros funcionários sempre seguem as normas e
políticas de segurança da informação 1 2 3 4 5 6 7
36. Eu acredito que os outros funcionários nunca violaram nenhuma norma
ou política de segurança da informação. 1 2 3 4 5 6 7
80
Declaração
A Organização cedente de estágio Banco Bradesco S. A. declara, para devido fins,
que o estagiário Rafael Motta, aluno do curso de Administração do Centro de
Ciências Sociais Aplicadas – CECIESA/Gestão da Universidade do Vale do Itajaí –
UNIVALI, de 01/04/2011 a 25/10/2011, cumpriu a carga horária prevista para o
período de 240 horas, seguiu o cronograma de trabalho estipulado no Projeto de
Estágio e respeitou nossas normas internas.
Itajaí, 26 de Setembro de 2011
_______________________________
Ivo Hoepers
81
FOLHA ASSINATURA DOS RESPONSÁVEIS
ASSINATURA DOS RESPONSÁVEIS
_______________________________________________
Rafael Motta
Estagiário
_______________________________________________
Ivo Hoepers
Supervisor de campo
_______________________________________________
André Moraes dos Santos
Supervisor de estágio
_______________________________________________
Prof. Eduardo Krieger da Silva
Responsável pelos estágios em Administração
