GESTÃO DA SEGURANÇA DA INFORMAÇÃO.pdf

Revista de Gesto da Tecnologia e Sistemas de Informao Journal of Information Systems and Technology Management Vol. 4, No. 3, 2007, p. 375-397 ISSN online: 1807-1775

GESTO DA SEGURANA DA INFORMAO: FATORES QUE INFLUENCIAM SUA ADOO EM PEQUENAS E MDIAS EMPRESASINFORMATION SECURITY MANAGEMENT: FACTORS THAT INFLUENCE ITS ADOPTION IN SMALL AND MID-SIZED BUSINESSES Abner da Silva Netto Marco Antonio Pinheiro da Silveira Universidade Municipal de So Caetano do Sul IMES, Brasil_____________________________________________________________________________________

ABSTRACTThe objectives of this study were verify in what measure the small and medium companies accomplish the management security information and identify which factors influence the small and medium companies to adopt measures of management security information. The source research was exploratory-descriptive and the design used was the survey. The sample was compound of 43 metal production industries located in ABC region. According to management information security literature and Brazilian norm of information security were identified the tools or techniques of management security information and classified it into three layers: physic, logic and human. The study identified that the human layer is the one that presents the major shortage of cares in the companies followed by the logical one. The companies get used to have the antivirus as the main security tool/technique according to the researched companies to guarantee the safety of information. Besides that, the research showed that 59% of the companies have a safety satisfactory level and the main motivator factor to adopt the management security information is "to avoid possible financial loss. On the other hand, all the inhibitors factors showed important to the researched companies like: lack of knowledge, investments value, organization culture and difficulty to measure cost/benefit. Keywords: security information, ISO 27002, IT adoption, small and medium companies.

_____________________________________________________________________________________ Recebido em/Manuscript first received: 10/08/2007 Aprovado em/Manuscript accepted: 31/10/2007 Endereo para correspondncia/ Address for correspondence Abner da Silva Netto, Mestrando, Universidade Municipal de So Caetano do Sul IMES, Programa de Mestrado em Administrao, Rua Santo Antonio, 50 Centro, So Caetano do Sul SP, Telefone: 114239-3324, E-mail: [email protected] Marco Antonio Pinheiro da Silveira, Professor Titular, Universidade Municipal de So Caetano do Sul IMES, Programa de Mestrado em Administrao, Rua Santo Antonio, 50 Centro, So Caetano do Sul SP, Telefone: 11-4239-3324, E-mail: [email protected] ISSN online: 1807-1775 Publicado por/Published by: TECSI FEA USP 2007

376

Netto, A. da S., Silveira, M. A. P. da

RESUMOEste estudo teve como objetivos verificar em que medida as pequenas e mdias empresas realizam gesto da segurana da informao e identificar fatores que influenciam pequenas e mdias empresas a adotarem medidas de gesto da segurana da informao. Foi realizada pesquisa de natureza exploratrio-descritiva e utilizou-se como delineamento o levantamento (survey). A amostra consistiu em 43 indstrias do setor de fabricao de produtos de metal situadas na regio do Grande ABC. Com base na literatura sobre gesto da segurana da informao e na norma brasileira de segurana da informao, foram identificadas as ferramentas ou tcnicas de gesto da segurana da informao e classificadas em trs camadas: fsica, lgica e humana. O estudo identificou que a camada humana a que apresenta a maior carncia de cuidados por parte das empresas, seguida pela camada lgica. O antivrus a ferramenta/tcnica mais utilizada pelas empresas pesquisadas para garantir a segurana da informao. A pesquisa relevou que 59% das empresas pesquisadas possuem um nvel de segurana satisfatrio e que o principal fator motivador para adoo de gesto da segurana da informao "evitar possveis perdas financeiras". Todos os fatores inibidores se mostraram importantes para as empresas pesquisadas: falta de conhecimento, valor do investimento, dificuldade em mensurar custo/ benefcio e cultura organizacional. Palavras-chave: segurana da informao, ISO 27002, adoo de TI, pequenas e mdias empresas.

1. INTRODUO Com a utilizao dos computadores em diversas organizaes, as informaes comearam a se concentrar em um nico lugar e o grande volume dessas informaes passou a ser um problema para a segurana. Os riscos aumentaram com o uso dos microcomputadores, a utilizao de redes locais e remotas, a abertura comercial da Internet e a disseminao da informtica para diversos setores da sociedade. As pequenas e mdias empresas tambm so atingidas por estes problemas, porm dispem de menos recursos para investir na gesto da segurana da informao. O problema de pesquisa tratado neste trabalho : que fatores so capazes de influenciar a adoo da gesto da segurana da informao por pequenas e mdias empresas? O objetivo geral foi identificar os fatores que influenciam pequenas e mdias empresas a adotarem medidas de gesto da segurana da informao e avaliar o grau de importncia deles. Outro objetivo foi descrever, por meio dos controles contidos na norma de segurana da informao ISO IEC 27002:2005, se as empresas pesquisadas possuem requisitos mnimos e satisfatrios de gesto da segurana da informao. Para tanto, os controles descritos na norma foram classificados em trs camadas: fsica, lgica e humana. A empresa considerada satisfatria deve possuir controles efetivos nas trs camadas. Este trabalho estudou pequenas e mdias empresas (PMEs) industriais presentes na regio do Grande ABC, composta pelas cidades de Santo Andr, So Bernardo do Campo, So Caetano do Sul, Diadema, Mau, Ribeiro Pires e Rio Grande da Serra. A categorizao usada para pequenas e mdias empresas foi o nmero de empregados, sendo: pequena empresa - de 10 a 99 empregados; mdia empresa - entre 100 e 499R. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil

Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias empresas

377

empregados. 2 SEGURANA DA INFORMAO Segurana da informao, conforme Beal (2005), o processo de proteo da informao das ameaas a sua integridade, disponibilidade e confidencialidade. Smola (2003) define segurana da informao como uma rea do conhecimento dedicada proteo de ativos da informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade. A ISO/IEC 17799:2005, em sua seo introdutria, define segurana da informao como a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. Assim, podemos definir segurana da informao como a rea do conhecimento que visa proteo da informao das ameaas a sua integridade, disponibilidade e confidencialidade a fim de garantir a continuidade do negcio e minimizar os riscos. a integridade da informao tem como objetivo garantir a exatido da informao, assegurando que pessoas no autorizadas possam modific-la, adicion-la ou remov-la, seja de forma intencional ou acidental; a disponibilidade garante que os autorizados a acessarem a informao possam faz-lo sempre que necessrio; a confidencialidade da informao a garantia de que somente pessoas autorizadas tero acesso a ela, protegendo-a de acordo com o grau de sigilo do se contedo; legalidade - garantia de que a informao foi produzida em conformidade com a lei; autenticidade - garantia de que num processo de comunicao os remetentes sejam exatamente o que dizem ser e que a mensagem ou informao no foi alterada aps o seu envio ou validao.

Smola (2003) acrescenta a estes trs objetivos os de:

A fim de garantir um nvel de proteo adequado para seus ativos de informao, as organizaes e seus principais gestores precisam ter uma viso clara das informaes que esto tentando salvaguardar, de que ameaas e por que razo, antes de poder passar a seleo de solues especficas de segurana (BEAL, 2005). Grande parte dos dados importantes ao negcio da empresa est armazenada em computadores, por isso as organizaes dependem da confiabilidade de seus sistemas baseados em TI; se a confiana nesses dados for destruda, o impacto pode ser comparvel prpria destruio do sistema. Dessa forma, as organizaes precisam adotar controles de segurana medidas de proteo que abranjam uma grande diversidade de iniciativas que sejam capazes de proteger adequadamente dados, informaes e conhecimentos, escolhidos, levando-se em conta os riscos reais a que esto sujeitos esses ativos. (BEAL, 2005).Vol.4, No. 3, 2007, p. 375-397

378


medida que as empresas tornam-se mais dependentes da informtica, mais vulnerveis ficam a crimes e fraudes cometidas com o uso de recursos computacionais. Na maioria dos casos ocorridos, nada publicado, por necessidade de preservao da imagem. (CARUSO e STEFFEN, 1999). Pela alta capacidade de que dados, informao e conhecimento tm de adicionar valor a processos, produtos e servios, estes constituem recursos cada vez mais crticos para o alcance da misso e dos objetivos organizacionais (CARUSO e STEFFEN, 1999). Conseqentemente, as informaes crticas para o negcio precisam ser protegidas contra as ameaas que podem levar sua destruio, indisponibilidade temporria, adulterao ou divulgao no autorizada. (BEAL, 2005, p. XI). Fontes (2006, p. 38) assevera a informao um recurso que tem valor para a organizao e deve ser bem gerenciada e utilizada [...] necessrio garantir que ela esteja sendo disponibilizada apenas para as pessoas que precisam dela para o desempenho de suas atividades profissionais. Segundo Moraes, Terence e Escrivo Filho (2004), nenhuma empresa pode escapar dos efeitos da revoluo causada pela informao. Dessa forma, deve-se ter conscincia de que a informao um requisito to importante quanto os recursos humanos, pois dela depende o sucesso ou fracasso das tomadas de decises dirias. Segurana - mais que estrutura hierrquica, homens e equipamentos - envolve uma postura gerencial, o que ultrapassa a tradicional abordagem da maioria das empresas. preciso cercar o ambiente de informaes com medidas que garantam sua segurana efetiva, a um custo aceitvel, visto ser impossvel obter-se segurana absoluta, j que a partir de um determinado ponto, os custos se tornam inaceitveis. (CARUSO e STEFFEN, 1999). Fontes (2006) alerta para o constante crescimento de incidentes de segurana da informao, principalmente no Brasil. De forma crescente, as organizaes esto potencialmente mais expostas a novas formas de ataques, independentemente do porte ou do tipo de negcio. Para Beal (2005), devido alta complexidade e ao alto custo de manter os ativos da informao salvos de ameaas sua confidencialidade, integridade e disponibilidade, importante a empresa adotar um enfoque de gesto baseado nos riscos especficos para o negcio. Smola (2003) define risco como: a probabilidade de que agentes, que so ameaas, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade e causando impacto nos negcios. Os impactos so limitados por medidas de segurana, que ajudam a diminuir o risco. Assim, a gesto do risco o conjunto de processos que permite s organizaes identificarem e implementarem as medidas de proteo necessrias para diminuir os riscos a que esto sujeitos os seus ativos de informao, e equilibr-los com os custos operacionais e financeiros envolvidos. (BEAL, 2005). 2.1 Camadas de Segurana da Informao A todo instante os negcios, seus processos e ativos fsicos, tecnolgicos e humanos so alvo de investidas de ameaas de toda ordem, que buscam identificar umR. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil


379

ponto fraco compatvel, uma vulnerabilidade capaz de potencializar sua ao. Quando essa possibilidade aparece, a quebra de segurana consumada. (SMOLA, 2001, p. 18). Para Schneier (2001), as ameaas do mundo digital espelham as ameaas no mundo fsico. Se o desfalque uma ameaa, ento o desfalque digital tambm uma ameaa. Se os bancos fsicos so roubados, ento os bancos digitais sero roubados. O crime no ciberespao inclui tudo o que se pode esperar do mundo fsico: roubo, extorso, vandalismo, voyeurismo, explorao, jogos de trapaas, fraude etc. Para Smola (2003), a gesto da segurana da informao pode ser classificada em trs aspectos: tecnolgicos, fsicos e humanos. As organizaes preocupam-se principalmente com os aspectos tecnolgicos (redes, computadores, vrus, hackers, Internet) e se esquecem dos outros fsicos e humanos to importantes e relevantes para a segurana do negcio quanto os aspectos tecnolgicos. Neste trabalho, optou-se pela classificao apresentada por Adachi (2004) que estudou a gesto da segurana em Internet Banking dividido-a em trs camadas: fsica, lgica e humana. 2.1.1 Camada Fsica o ambiente onde est instalado fisicamente o hardware computadores, servidores, meio de comunicao podendo ser o escritrio da empresa, a fbrica ou at a residncia do usurio no caso de acesso remoto ou uso de computadores portteis. Para Adachi (2004), a camada fsica representa o ambiente em que se encontram os computadores e seus perifricos, bem como a rede de telecomunicao com seus modems, cabos e a memria fsica, armazenada em disquetes, fitas ou CDs. As pequenas e a mdias empresas tm seus dados armazenados, geralmente, em servidores de rede ou em estaes compartilhadas, e o acesso fsico a estes equipamentos nem sempre restrito. Na maioria das vezes, esse mesmo servidor ou estao possui acesso liberado e ilimitado Internet, o que aumenta o risco de um incidente de segurana. Na mdia empresa, o cenrio menos problemtico, porm no o ideal, principalmente, devido conscientizao dos funcionrios sobre segurana da informao. O controle de acesso aos recursos de TI, equipamentos para fornecimento ininterrupto de energia e firewalls so algumas das formas de se gerir a segurana desta camada. 2.1.2 Camada Lgica A camada lgica caracterizada pelo uso de softwares - programas de computador - responsveis pela funcionalidade do hardware, pela realizao de transaes em base de dados organizacionais, criptografia de senhas e mensagens etc. Segundo Adachi (2004), nessa camada que esto as regras, normas, protocolo de comunicao e onde, efetivamente, ocorrem as transaes e consultas. A segurana, em nvel lgico, refere-se ao acesso que indivduos tm s aplicaes residentes em ambientes informatizados, no importando o tipo de aplicaoVol.4, No. 3, 2007, p. 375-397

380


ou o tamanho do computador. As ferramentas de controle so, em sua maior parte, invisveis aos olhos de pessoas externas aos ambientes de informtica; estas s os reconhecem quando tm o seu acesso barrado pelo controle de acesso. (CARUSO e STEFFEN, 1999). Manter o software de sistema operacional atualizado com a mais recente correo de segurana disponibilidade pelo fabricante uma forma de minimizar os riscos de segurana nesta camada. 2.1.3 Camada Humana A camada humana formada por todos os recursos humanos presentes na organizao, principalmente os que possuem acesso aos recursos de TI, seja para manuteno ou uso. So aspectos importantes desta camada: a percepo do risco pelas pessoas: como elas lidam com os incidentes de segurana que ocorrem; so usurios instrudos ou ignorantes no uso da TI; o perigo dos intrusos maliciosos ou ingnuos; e a engenharia social (ADACHI, 2004). Das trs camadas, esta a mais difcil de se avaliar os riscos e gerenciar a segurana, pois envolve o fator humano, com caractersticas psicolgicas, scio-culturais e emocionais, que variam de forma individual (SCHNEIER, 2001). A gesto da segurana da informao envolve mais do que gerenciar os recursos de tecnologia hardware e software envolve pessoas e processos, porm algumas empresas negligenciam este fator. A poltica de segurana e a conscientizao dos usurios so algumas das formas de se controlar a segurana desta camada. 2.2 Norma de Segurana Normas e padres tm por objetivo definir regras, princpios e critrios, registrar as melhores prticas e prover uniformidade e qualidade a processos, produtos ou servios, tendo em vista sua eficincia e eficcia. (BEAL, 2005, p. 36). Concomitantemente, Smola (2003) diz que uma norma tem o propsito de definir regras, padres e instrumentos de controle que dem uniformidade a um processo, produto ou servio. Devido ao interesse internacional em uma norma de segurana da informao, em dezembro de 2000, foi publicada a norma internacional ISO 17799:2000. Em 2001, a Associao Brasileira de Normas Tcnicas (ABNT) publicou a verso brasileira que ficou com a denominao de NBR/ISO 17799 Cdigo de Prtica para a Gesto da Segurana da Informao (OLIVA e OLIVEIRA, 2003). Em setembro de 2005, a norma foi revisada e publicada como NBR ISO/IEC 17799:2005. (ISO 17799, 2005). Segundo Holanda (2006), o comit que trata da segurana da informao na ISO aprovou a criao de uma famlia de normas sobre gesto da segurana da informao, batizada pela srie 27000, onde a ento ISO IEC 17799:2005 foi rebatizada por ISO IEC 27002:2005. A norma define 127 controles que compem o escopo do Sistema de Gesto de Segurana da Informao (Information Security Management System ISMS),R. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil


381

agrupados em 11 sees de controles: Poltica de Segurana da Informao; Organizao da Segurana da Informao; Gesto de Ativos; Segurana em Recursos Humanos; Segurana Fsica e do Ambiente; Gesto das Operaes e Comunicaes; Controle de Acesso; Aquisio, Desenvolvimento e Manuteno dos Sistemas de Informao; Gesto de Incidentes da Segurana da Informao; Gesto da Continuidade do Negcio e Conformidade. A adequao de qualquer empresa norma ISO IEC 27002:2005 garante conformidade com as melhores prticas em gesto da segurana da informao. As normas so criadas para estabelecerem diretrizes e princpios para melhorar a gesto de segurana nas empresas e organizaes. (HOLANDA, 2006). Para melhorar o entendimento e o estudo da gesto da segurana da informao, as sees da norma foram divididas nas trs camadas conforme quadro 1.Camada Fsica Seo Gesto das operaes e comunicaes Segurana fsica e do ambiente Objetivos Garantir a operao segura e correta dos recursos de processamento da informao. Prevenir o acesso fsico no-autorizado, danos e interferncias com as instalaes e informaes da organizao; impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da organizao. Controlar acesso informao; assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de informao; prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo da informao e dos recursos de processamento da informao; prevenir acesso no autorizado aos servios da rede. Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes da segurana da informao. Garantir que segurana parte integrante de sistemas de informao; prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaes em aplicaes; proteger a confidencialidade, a autenticidade ou a integridade das informaes por meios criptogrficos; Garantir a segurana de arquivos de sistema; manter a segurana de sistemas aplicativos e da informao. Reduzir riscos resultantes da explorao de vulnerabilidades tcnicas conhecidas. Humana Organizando a segurana da informao Gerenciar a segurana de informao dentro da organizao; manter a segurana dos recursos de processamento da informao e da informao da organizao, que so acessados, processados,Vol.4, No. 3, 2007, p. 375-397

Controle de acesso

Gesto de incidentes de segurana da informao

Lgica

Aquisio, desenvolvimento e manuteno de Sistemas de Informao

382


comunicados ou gerenciados por partes externas. Gesto de Ativos Alcanar e manter a proteo adequada dos ativos da organizao; assegurar que a informao receba um nvel adequado de proteo. Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com seus papis e reduzir o risco de roubos, fraudes ou mau uso de recursos. No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hbil se for o caso. Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana da informao. Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes.

Segurana em recursos humanos

Gesto da continuidade do negcio

Conformidade

Poltica de segurana da informao

Quadro 1: Sees da norma ISO IEC 27002 por camadas Muitas sees da norma ISO IEC 27002:2005 possuem caractersticas das trs camadas de segurana da informao (fsica, lgica e humana). Houve um esforo neste trabalho no sentido de classificar a seo pela camada que apresenta a maioria dos controles de uma delas. 2.3 Fatores influenciadores para adoo de TI ou Segurana da Informao em PMEs Pouca literatura foi encontrada sobre a adoo da gesto da segurana da informao em organizaes de qualquer porte. Porm, devido ao fato da maioria das empresas entenderem segurana da informao como simplesmente segurana de rede ou segurana em TI, considerou-se neste trabalho que os motivos que levam adoo de TI esto associados ou so equivalentes aos motivos que levam adoo da gesto da segurana da informao. Seguem os autores pesquisados que tratam da adoo de TI e suas consideraes: Thong (apud Prates e Ospina, 2004) salienta que as pequenas empresas no conhecem a importncia de fatores-chave em TI, alm das PMEs dispuserem de recursos reduzidos, podem estar gastando recursos e energia em fatores de pouca importncia para o sucesso da implementao da TI. O autor, em pesquisa realizada com 114 pequenas empresas de Singapura, concluiu que as pequenas empresas com sucesso em TI tendiam a ter alta participao de especialistas externos. Palvia e Palvia (1999) conduziram uma pesquisa em uma amostra de 1460 pequenas empresas para verificar os padres de satisfao com TI, onde o proprietrioR. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil


383

era tambm gerente, principal usurio, alm de desempenhar as principais atividades de TI. Os autores concluram que as caractersticas do proprietrio tm impacto maior na satisfao em TI do que qualquer outro fator; para tanto foram considerados gnero, idade do proprietrio, raa e habilidade em computao. Outra pesquisa realizada com 25 pequenas empresas da macro-regio de Ribeiro Preto SP, Prates e Ospina (2004), identificaram que os principais motivos que levaram as empresas a implantarem TI foram: melhoria dos controles organizacionais, aumento de participao no mercado, aumento de produtividade e reduo de custos. Em relao s dificuldades encontradas, a resistncia pelos funcionrios foi a mais expressiva, seguida pela cultura tradicional e ausncia de pessoal qualificado. Cragg e King (1993) pesquisaram os fatores motivadores e inibidores para utilizao de computadores em pequenas empresas. Como fatores motivadores encontraram o que nomearam como relative advantage que se referem s economias de tempo e esforo; benefcios econmicos e diminuio de muitas tarefas repetidas. O entusiasmo de alguns proprietrios com a tecnologia e a forte influncia de consultores de TI tambm foram fatores considerados como motivadores da adoo. Os fatores que desencorajaram o crescimento de TI foram agrupados em: educacionais, tempo administrativo, econmicos e tcnicos. Os fatores educacionais so relativos falta de conhecimento sobre os sistemas utilizados, bem como falta de pessoas com conhecimentos especficos de anlise de sistemas, design e desenvolvimento. O fator tempo administrativo refere-se ao fato que muitos sistemas acabam consumindo considervel quantia de tempo dos gerentes no processo de implantao. Os fatores econmicos referem-se situao econmica da empresa no momento e anlise informal de custo-benefcio dos sistemas. Com pouco conhecimento tcnico interno, pequenas empresas so muito confiantes no conselho e apoio que obtm de seus fornecedores de TI, o que as limita, muitas vezes, ao uso de pacotes de aplicativos, aceitao de limitaes no software e a sua adaptao aos requerimentos do sistema. Lunardi e Dolci (2006) realizaram uma pesquisa com 123 micros e pequenas empresas do Rio Grande do Sul e concluram que os principais motivos que tm levadoas a adotarem TI esto relacionadas s presses externas (os concorrentes diretos tm adotado ou por influncia de clientes, fornecedores ou do prprio governo) que a empresa enfrenta e existncia de um ambiente organizacional favorvel (funcionrios em condies de utiliz-la e com uma estrutura organizacional adequada). Relacionado adoo da gesto da segurana da informao, Gupta e Hammond (2004) realizaram uma pesquisa com 138 pequenas e mdias empresas nos Estados Unidos que apontou que somente 19% dos pesquisados tiveram um incidente de segurana nos ltimos 12 meses, o que pode explicar a baixa porcentagem de pequenas empresas que desenvolve uma poltica de segurana e adquire proteo bsica e software de backup. Uma outra pesquisa realizada por Gabbay (2003) no Rio Grande do Norte, estudou os fatores que influenciam os Executivos e Gerentes de TI nas suas percepes em relao s diretrizes de Segurana da Informao na norma NBR ISO/IEC 17799 Vol.4, No. 3, 2007, p. 375-397

384


dimenso controle de acesso. Em sua concluso, evidenciou a associao entre as variveis, tamanho do parque de informtica e a freqncia dos ataques sofridos, com a varivel Nvel de concordncia em relao norma NBR ISO/IEC 17799 dimenso controle de acesso. 3 METODOLOGIA Esta pesquisa utilizou o mtodo exploratrio-descritivo e teve como delineamento o levantamento (survey). Para realizao do estudo, foi selecionado o setor de fabricao de produtos de metal, exclusive mquinas e equipamentos, localizado na regio do ABC paulista. que o mais expressivo do cadastro da CIESP com 256 empresas cadastradas, sendo 225 classificadas como empresas de pequeno porte e 31 empresas classificadas como mdio porte. Os sujeitos da pesquisa foram os gestores (gerentes ou proprietrios) que possuam algum envolvimento no processo de aquisio ou em investimentos em gesto da segurana da informao ou em TI. Para fornecer subsdios para criao do questionrio, foram realizadas entrevistas semi-estruturadas com sete gestores de quatro organizaes diferentes. As entrevistas foram realizadas no ms de setembro de 2006. Foram gravadas e tiveram durao aproximada de quarenta minutos. Em trs empresas, as entrevistas foram realizadas com dois gestores simultaneamente, somente em uma das empresas, a entrevista foi individual. Por serem semi-estruturadas, as entrevistas permitiram o acompanhamento da resposta e, quando necessrio, foram efetuadas perguntas relacionadas, que no estavam includas no roteiro original. Isso ajudou, conforme recomenda Hair, Jr. et al. (2005), na descoberta de informaes adicionais. Procurou-se nas entrevistas conhecer primeiramente o perfil do gestor entrevistado, questionando-o sobre incidentes pessoais de segurana ocorridos anteriormente e como ele se mantm informado sobre assuntos ligados TI e segurana da informao. Buscou-se levantar tambm o perfil da empresa e saber o conhecimento do gestor sobre incidentes ocorridos com sua empresa. O valor da informao para a empresa e o risco inerente ela tambm foram objetos de questionamento, buscando-se entender como as empresas tm lidado com este tema. Por fim, a entrevista questionou-os sobre as ferramentas e tcnicas de defesa implantadas na empresa e os motivos que contriburam ou contribuiriam para elevar os investimentos em gesto da segurana da informao.Perfil do Gestor Perfil da Empresa Valor da Informao e Anlise de Risco Ferramentas e Tcnicas de Defesas Fatores No se mantm informados sobre a rea (falta de conhecimento). Enfrentaram incidentes de segurana relacionados a: vrus, parada da rede ou servidor, furto de informaes. A maioria dos gestores alega preocupao com as informaes armazenadas em TI; Alguns gestores alegaram que o principal risco so os funcionrios. Antivrus; Backup; Firewall. Orientao de um especialista externo;

R. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil

Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias empresas Importncia da relao custo/benefcio do investimento; Incidentes anteriores.

385

Quadro 2: Principais contribuies obtidas com entrevistas preliminares O questionrio utilizado na etapa do levantamento foi disponibilizado s empresas pesquisadas em um website da Internet agrupando os seguintes grupos de variveis e quantidade de questes:Grupo de Variveis Perfil do Gestor O que se pretende investigar Identificao do responsvel pelos investimentos em TI e segurana da informao Identificao da empresa e do parque de informtica, nvel de utilizao dos recursos de TI Importncia das ferramentas e tcnicas de gesto da segurana da informao e se a empresa a possui Questiona sobre os fatores motivadores ou inibidores para adoo da gesto da segurana da informao TOTAL DE QUESTES 6 Qtde Questes Exemplos de Questes E-mail, cargo, departamento, deciso de compra Nmero de funcionrios, qtde de computadores, responsabilidade pela rea de TI Na sua empresa qual o grau de importncia do uso do firewall, antivrus etc. Recomendao de um especialista externo ou fornecedor da rea

Perfil da Empresa

Ferramentas e Tcnicas

0

Fatores

Quadro 3: Conjunto de variveis contidas no questionrio. Este trabalho selecionou 20 controles dos 127 presentes na norma ISO/IEC 17799:2005 para serem pesquisados junto s pequenas e mdias empresas. Dentre as 11 sees presentes, foi selecionado pelo menos um controle de cada seo. Entretanto, em algumas sees mais de um controle se mostrou importante por sua possvel aplicao nas empresas pesquisadas. As sees da norma onde foram selecionados mais de um controle so: Gesto de Ativos (2); Segurana Fsica e do Ambiente (2); Gesto das Operaes e Comunicaes (4); Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao (3); Conformidade (2). A seleo dos controles baseou-se em pesquisas sobre segurana da informao realizadas pelo Mdulo Security no Brasil, pelo FBI nos Estados Unidos, pelas recomendaes da norma ABNT NBR ISO/IEC 17799:2005, por meio de entrevistas preliminares realizadas com os gestores, alm da experincia profissional dos pesquisadores. 4 ANLISE E DISCUSSO DOS RESULTADOS

Vol.4, No. 3, 2007, p. 375-397

386


A pesquisa foi realizada entre os meses de fevereiro e maro de 2007. Foram contatadas por telefone as 256 empresas da populao, sendo que destas 43 responderam ao questionrio. Entre os respondentes 84% ocupam cargos gerenciais, conforme exibido no grfico 1, e 98% dos pesquisados possuem envolvimento sobre a deciso de compra de ferramentas e tcnicas de gesto da segurana da informao ou TI.analista 16%

Cargoscio-proprietrio 42%

supervisor 12% gerente 14% diretor 16%

Grfico 1: distribuio de cargos nas empresas pesquisadas Quanto s caractersticas das empresas respondentes em relao ao porte e ao nmero de empregados, a amostra coletada est representada da seguinte forma, conforme o grfico 2: 5% so microempresas (at 10 empregados), 81% so pequenas empresas (entre 10 e 99 funcionrios) e 14% so mdias empresas (de 100 a 499 funcionrios). A delimitao da pesquisa inclui somente pequenas e mdias empresas, assim as 5% consideradas microempresas foram excludas da amostra para as anlises das ferramentas/tcnicas e fatores de adoo.Nmero de Empregados1a9 5% acima de 500 0% 100 a 499 14% 50 a 99 33% 10 a 49 48%

Grfico 2: nmero de empregados das empresas pesquisadas



387

O grfico 3 exibe a distribuio da quantidade de computadores nas empresas pesquisadas. Quantidade de Computadoresmenos de 5 21% de 201 a 500 2% de 101 a 200 5% de 21 a 100 23% de 10 a 20 28% 5 a 10 21%

Grfico 3: quantidade de computadores A responsabilidade da rea de TI na maioria das empresas da amostra de um departamento interno ou funcionrio (56%), enquanto os outros 44% so de empresas terceiras, sendo 23% com contrato e 21% contatadas por chamados eventuais. Quando perguntados sobre o nvel de informatizao de suas operaes, a maioria das empresas o considerou entre mdio (65%) e alto (28%), o que pode sugerir a necessidade de uma gesto de segurana da informao mais eficaz nestas empresas devido a maior concentrao de informaes em computadores. Para ajudar as empresas pesquisadas a responder sobre o nvel de informatizao de suas operaes, foram consideradas as seguintes proposies no questionrio: baixo: uso constante de edio de documentos, e-mails, acesso Internet; mdio: as consideraes do nvel baixo, mais uso intensivo de planilhas eletrnicas e Internet Banking; alto: as consideraes do nvel mdio, mais uso de sistema integrado, acesso remoto a funcionrios/fornecedores, comrcio eletrnico.

4.1 Ferramentas e Tcnicas de Gesto da Segurana da Informao 4.1.1 Camada Fsica Nove questes foram formuladas para representar a camada fsica com base nas sees: Gesto das operaes e comunicaes, Segurana fsica e do ambiente, ControleVol.4, No. 3, 2007, p. 375-397

388


de acesso e, Gesto de incidentes de segurana da informao. O grfico 4 mostra a quantidade de empresas que possui ou no a ferramenta/tcnica de gesto da segurana da informao na camada fsica.Ferramentas e Tcnicas - Camada FsicaPossui No possui

Monitoramento e anlise crtica dos registros (logs) Descarte seguro da mdia removvel Canais de comunicao para registro de eventos de segurana Sala de servidores protegida e em local restrito Nome de usurio, senha individual e secreta para acesso a rede Firewall Equipamento para proteo de falhas na energia eltrica Sistema de backup Antivrus0 5 10 15 20 25 30 35 40

Grfico 4: Camada Fsica 4.1.2 Camada Lgica Na camada lgica, foram elaboradas trs perguntas todas pertencentes seo Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao.



389

Ferramentas e Tcnicas - Camada LgicaPossui No Possui

Superviso do desenvolvimento terceirizado de software com requisitos para controles de segurana da informao

Criptografia em banco de dados e/ou para troca de informaes

Atualizao de software para correo de falhas de segurana

0

5

10

15

20

25

30

35

40

Grfico 5: Camada Lgica 4.1.3 Camada Humana Nesta camada, oito questes enunciadas no questionrio e extradas das sees: Poltica de segurana da informao, Gesto de ativos, Organizando a segurana da informao, Segurana em Recursos Humanos e Gesto da continuidade do negcio da norma tentaram conhecer a preocupao das empresas e o que efetivamente est sendo feito.

Vol.4, No. 3, 2007, p. 375-397

390


Ferramentas e Tcnicas - Camada HumanaPossui No Possui

Conscientizao, educao e treinamento em segurana

Plano de recuperao de desastres e contingncia

Contratos com terceiros com termos claros relativos a segurana

Classificao da informao

Poltica de segurana da informao

Aviso aos usurios sobre o monitoramento dos recursos de TI

Controle dos direitos de propriedade intelectual

Regras para uso da informao e dos recursos de TI0 5 10 15 20 25 30 35 40

Grfico 6: Camada Humana Se observarmos os grficos de adeso das trs camadas: fsica, lgica e humana pelas empresas pesquisadas, percebe-se que a camada humana, devido ao nmero de ferramentas/tcnicas, a que apresenta maior carncia de cuidados por parte dos administradores. Esta constatao confirma as alegaes de Schneier (2001) e as preocupaes de Fontes (2006). O interessante que muitas das ferramentas/tcnicas listadas neste trabalho na camada humana no so de difcil implementao, requerem, na maioria dos casos, baixo investimento em ferramentas computacionais, tempo e dedicao da gerncia. O que confirma as consideraes de Smola (2003) quando diz que as empresas se preocupam mais com os aspectos tecnolgicos da segurana da informao do que com os aspectos fsicos e humanos. O grfico 7 representa o grau de importncia atribudo a todas as ferramentas ou tcnicas de gesto da segurana da informao independentemente da camada a que foi categorizado: a maior ameaa e causa de perda de dinheiro com fraudes pelas empresas so os vrus de computador. A implementao de uma Poltica de Segurana da Informao ficou em 11 lugar entre as 20 ferramentas/tcnicas pesquisadas, uma posio modesta perante importncia que vrios autores estudados atribuem ferramenta.



391

Grau de Importncia das Ferramentas e Tcnicas para Gesto da SeguranaAntivrus Sistema de backup Firewall Equipamento para proteo de falhas na energia eltrica Regras para uso da informao e dos recursos de TI Nome de usurio, senha individual e secreta para acesso rede Atualizao de software para correo de falhas de segurana Controle dos direitos de propriedade intelectual Aviso aos usurios sobre o monitoramento dos recursos de TI Contratos com terceiros com termos claros relativos a segurana Poltica de segurana da informao Classificao da informao Sala de servidores protegida e em local restrito Criptografia em banco de dados e/ou para troca de informaes Monitoramento e anlise crtica dos registros (logs) Descarte seguro da mdia removvel Conscientizao, educao e treinamento em segurana Plano de recuperao de desastres e contingncia Canais de comunicao para registro de eventos de segurana2,4 2,6 2,8 3,0 3,2 3,4 3,6 3,8 4,0 4,2 4,4 4,6 4,8 5,0

Superviso do desenvolvimento terceirizado de software com requisitos para controles de segurana da informao

Grfico 7: Grau de importncia da Ferramentas/Tcnicas 4.2 Gesto da Segurana da Informao nas Trs Camadas A fim de avaliar o nvel de gesto da segurana da informao implementadas nas pequenas e mdias empresas pesquisadas e, conseqentemente, sua adequao a alguns itens da norma ISO IEC 27002:2005 foi desenvolvida a seguinte metodologia: verificar se a empresa possui pelo menos uma ferramenta/tcnica instalada em cada uma das camadas de segurana: fsica, lgica e humana; verificar se a porcentagem das ferramentas/tcnicas que a empresa possui instalada maior ou igual a 50%, independentemente da camada de segurana; caso a empresa atenda s condies determinadas no item a e b, sua gesto da segurana da informao classificada como satisfatria, caso contrrio classificada como insatisfatria.

A maioria das empresas pesquisadas (59%) se enquadrou no nvel satisfatrio, o que indica que existe uma preocupao da maioria das empresas com as trs camadas da segurana. O grfico 8 representa a distribuio das ferramentas/tcnicas instaladas nasVol.4, No. 3, 2007, p. 375-397

392


empresas pesquisadas. A maior distribuio de freqncia encontrada est no intervalo entre 60% a 80% das ferramentas/tcnicas instaladas, com 13 empresas. Acima de 80% encontram-se nove empresas. Somando as duas freqncias, temos que 53,7% das empresas pesquisadas possuem mais que 60% das ferramentas/tcnicas instaladas, o que pode inferir que a maioria encontra-se adequada gesto da segurana da informao, independentemente da camada. Ao diferenciar as pequenas empresas das mdias empresas, pde-se observar que somente em uma das mdias empresas a gesto da segurana da informao foi categorizada como insatisfatria, pois no atende aos requisitos mnimos estabelecidos. Todas as demais consideradas insatisfatrias so representadas por pequenas empresas, por possurem menos recursos financeiros e humanos acabam no conseguindo atender s trs camadas efetivamente.16 14 12 10 8 6 4 2 0-20 20-40 40-60 60-80 80-100% ferramentas/tcnicas implantadas em relao ao total das ferramentas pesquisadas

Ferramentas/Tcnicas Implantadas 13 10 7 2 9

Grfico 8: Quantidade de ferramentas/tcnicas implantadas, por faixa, nas 43 empresas pesquisadas 4.4 Fatores motivadores e inibidores Alm de levantar as principais ferramentas e tcnicas utilizadas pelas pequenas e mdias empresas pesquisadas, este trabalho teve como foco principal verificar os fatores motivadores e inibidores para uso e a aplicao da gesto da segurana da informao. Os fatores pesquisados bem como os resultados das mdias de cada um encontram-se exibidos no grfico 9.Fatores Motivadores5,0 4,5 4,0 3,5 3,0 2,5 2,0 1 ,5 1 ,0

N de Em presas

4,366 3,512 3,341 3,634

recomendao especialista externo

incidente anterior

conscincia do gestor

evitar perdas financeiras



393

Fatores Inibidores5,0 4,5 4,0 3,5 3,0 2,5 2,0 1 ,5 1 ,0

3,659

3,366

3,707

3,659

valor do investimento

dificuldades em mensurar custo/benefcio

falta de conhecimento

cultura organizacional

Grfico 9: Fatores Motivadores e Inibidores O grfico 9 exibe que o fator motivador que obteve a maior mdia na pesquisa foi evitar perdas financeiras seguido por conscincia do gestor. Em fatores inibidores, a maior mdia ficou com o fator falta de conhecimento. Para verificar a significncia das mdias apresentadas no grfico 9, foram realizados os seguintes testes com o uso do software SPSS: teste Shapiro-Wilk para verificar a normalidade dos dados, teste Kruskal-Wallis para verificar a significncia entre as mdias, teste Mann-Whitney para verificar a mdia que apresentava maior significncia; O teste Shapiro-Wilk revelou um valor de p < 0,0001, para tanto a distribuio no pode ser considerada normal, o que inviabilizou o uso de testes paramtricos como ANOVA Analysis of Variance. Assim, procedeu ao uso de testes no-paramtricos. O teste Kruskal-Wallis realizado com as mdias dos fatores motivadores e com as mdias dos fatores inibidores revelou que: em fatores motivadores, nem todas as mdias so iguais estatisticamente (p < 0,0001), porm as mdias dos fatores inibidores no apresentaram diferenas significativas entre si (p = 0,429); ao nvel de confiana de 95%, o que pode inferir que todos os fatores inibidores tm a mesma importncia para a amostra de empresas pesquisadas. Para confirmar entre os fatores motivadores a mdia que apresentava diferena significativa foi realizado o teste Mann-Whitney, comparando a mdia de cada fator entre si. Os resultados esto apresentados na tabela 1: Tabela 1: Teste Mann-Whitney MannWhitner U 773,000 Wilcoxon Z W 1634,000 1636,500 1343,000 Asymp.Sig (2-tailed)

Fatores

especialista interno x incidente anterior

-0,648 0,517 -0,626 0,531 -3,529 0,000

especialista interno x conscincia do 775,500 gestor especialista interno x evitar perdas 482,000

Vol.4, No. 3, 2007, p. 375-397

394


financeiras incidente anterior x evitar perdas 443,500 financeiras conscincia do gestor x evitar perdas 529,000 financeiras 1304,500 1390,000 -3,870 0,000 -3,061 0,002

Dentre as mdias analisadas, a que apresentou diferena significativa entre as demais foi a do fator evitar perdas financeiras, com p < 0,05, inferindo que o fator motivador para as empresas implantarem ferramentas/tcnicas de gesto da segurana da informao se d, principalmente, para evitar possveis perdas financeiras ou operacionais. Apesar dos testes estatsticos revelarem que os demais fatores motivadores tm a mesma significncia em termos de mdia, o fator conscincia do gestor (segunda maior mdia) merece ateno por indicar certa incoerncia com os fatores inibidores que mostram a falta de conhecimento com a maior mdia, pois estranho identificar que o gestor tem conscincia dos perigos que sua empresa corre com relao s informaes, porm no se preocupa em ter o conhecimento adequado para sanar os problemas. Fato que tambm ficou claro nas entrevistas preliminares. Nas entrevistas realizadas para criao do questionrio ficou evidenciado que incidentes anteriores tinham um peso considervel na adoo de gesto da segurana da informao, assim como pesquisado por Gabbay (2003), porm nesta pesquisa no se apresentou como fator importante, o que pode indicar que as pequenas e mdias empresas no tm sofrido incidentes de segurana da informao como apontado por Gupta e Hammond (2004) ou no tm monitorado (como apresenta o baixo grau de importncia nas ferramentas/tcnicas no item anterior) seus recursos para descobrir evidncias de ataques aos ativos de informao, o que pode representar um srio risco continuidade do negcio e/ou vazamento de segredos industriais e processos a concorrentes. A importncia da recomendao de um especialista externo ou fornecedor da rea tambm ficou clara nas entrevistas e foi apontada nas pesquisas sobre adoo de TI de Cragg e King (1993) e Thong. Porm no apresentou mdia significativa como fator motivador na adoo de gesto da segurana da informao na amostra pesquisada. Nos fatores inibidores no foi possvel destacar o mais importante, visto as mdias encontradas no apresentarem diferenas significativas. Porm, de acordo com as entrevistas preliminares a falta de conhecimento do gestor um fator inibidor que merece certa ateno, pois ficou explcito nas entrevistas que no existe uma preocupao dos gestores em se manterem informados sobre assuntos ligados gesto da segurana. Em relao aos outros fatores inibidores, conclui-se que para as empresas o valor do investimento e sua mensurao em razo do custo/benefcio no so dispendiosos e, portanto, fceis de serem aprovados no oramento e implementados. A cultura organizacional tambm no mereceu destaque entre os fatores inibidores, possivelmente pela crescente divulgao de notcias relacionadas a incidentes deR. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil


395

segurana da informao na mdia em geral, e a conseqente conscientizao das pessoas com relao mesma. 5 CONCLUSO Das empresas pesquisadas, 80% possuem pelo menos um controle em cada uma das camadas de segurana (fsica, lgica e humana), o que indica que as PMEs se mostram preocupadas com a gesto da segurana da informao. Quando utilizada a classificao presente neste estudo sobre a gesto da segurana da informao, 59% das empresas pesquisadas podem ser consideradas satisfatrias com os controles implantados. A ferramenta mais utilizada foi o antivrus, presente em 100% das empresas pesquisadas, seguida por sistema de backup (97,6%) e firewall (82,9%). Todos estes controles relativos camada fsica. A camada humana a que carece de maior ateno por parte das empresas, pois foi a que apresentou o menor ndice de controles implantados. Os dados confirmam que as empresas investem principalmente em controles tecnolgicos para diminuir o risco de incidentes de segurana da informao, porm esquecem que o fator humano uns dos grandes responsveis por falhas na segurana. Em relao s sees da norma ISO IEC 27002:2005, foi verificada uma baixa adequao das pequenas e mdias empresas, o que pode demonstrar que a norma requer muitos controles que a maioria no est preocupada em implantar ou no possui tempo ou dinheiro para isso. Contando que a norma sugere 127 controles e neste trabalho foram selecionados somente 20, esperava-se uma grande adequao aos controles. Evitar perdas financeiras foi o fator motivador para adoo de gesto da segurana da informao que apresentou maior mdia e o nico que apresentou diferena significativa das mdias comparando com os demais fatores. O fator refora a preocupao das empresas com o lado financeiro, visto ser mais fcil de mensurar do que perda de produtividade ou imagem, por exemplo. Os demais fatores motivadores, conforme comprovaram os testes estatsticos, podem ser considerados com pesos iguais. No foi possvel indicar o principal fator inibidor na adoo da gesto da segurana da informao, pois os testes estatsticos revelaram que todos os fatores possuam o mesmo nvel de significncia. Porm, nas entrevistas realizadas com os gestores a falta de conhecimento apareceu como um possvel fator inibidor e, aps a realizao das pesquisas quantitativas, apresentou a maior mdia matemtica. O presente estudo mostrou que as pequenas e mdias empresas, apesar de considerarem a perda financeira como o principal fator para adoo da gesto da segurana da informao, so carentes de informaes sobre a correta gesto da segurana da informao. Para estudos futuros, recomenda-se aplicar a pesquisa em outros setores da economia como empresas de servios ou comrcio, a fim de verificar a amplitude das anlises. Uma amostra maior de empresas tambm poderia relevar mais informaes e possibilitar a indicao de um fator inibidor. Recomendam-se tambm estudos para verificar a causa da falta de conhecimento dos gestores em gesto da segurana daVol.4, No. 3, 2007, p. 375-397

396


informao e TI. Haveria uma falta de interesse por parte das empresas ou dos gestores? REFERNCIAS ADACHI, Tomi. Gesto de Segurana em Internet Banking So Paulo: FGV, 2004. 121p. Mestrado. Fundao Getlio Vargas Administrao. Orientador: Eduardo Henrique Diniz. BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a proteo dos ativos de informao nas organizaes So Paulo: Atlas, 2005. CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em Informtica e de Informaes So Paulo: Editora SENAC So Paulo, 1999. COMIT GESTOR DA INTERNET NO BRASIL. Pesquisa sobre o uso das tecnologias da informao e da comunicao no Brasil 2005. Disponvel em . Acesso em 27/12/2006 s 20h48min. CRAGG, Paul B.; KING, Malcolm. Small-Firm Computing: motivators and inhibitors MIS Quarterly, maro/1993, p. 47-60. FONTES, Edison. Segurana da Informao: o usurio faz a diferena - So Paulo: Saraiva, 2006. GABBAY, Max Simon. Fatores influenciadores da implementao de aes de Gesto de Segurana da Informao: um estudo com executivos e gerentes de tecnologia da informao em empresas do Rio Grande do Norte. 01/06/2003. 1v. 150p. Mestrado. Universidade Federal do Rio Grande do Norte - Engenharia de Produo. Orientador(es): Anatlia Saraiva Martins Ramos. Biblioteca Depositaria: BCZM GUPTA, Atul; HAMMOND, Rex. Information systems security issues and decisions for small business: an empirical examination Information Management & Computer Security, 2004, pg. 297-310. Disponvel em . Acesso em 09/09/2006. HAIR, JR Joseph F.; BABIN, Barry; MONEY Arthur H.; SAMOUEL, Phillip. Fundamentos de Mtodos de Pesquisa em Administrao - Porto Alegre: Bookman, 2005. HOLANDA, Roosevelt de. O estado da arte em sistemas de gesto da segurana da Informao: Norma ISO/IEC 27001:2005 So Paulo: Mdulo Security Magazine, 19 jan 2006. Disponvel em seo documentos - artigos. ISO 17799. ABNT NBR ISO/IEC 17799:2005 Tecnologia da Informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. Associao Brasileira de Normas Tcnicas Rio de Janeiro: ABNT, 2005. MDULO. 9 Pesquisa Nacional de Segurana da Informao Rio de Janeiro: Outubro/2003. Disponvel em . MORAES, Giseli Diniz de Almeida; TERENCE, Ana Cladia Fernandes; ESCRIVOR. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil


397

FILHO, Edmundo. A tecnologia da informao como suporte gesto estratgica da informao na pequena empresa Revista de Gesto da Tecnologia e Sistemas da Informao, v.1, n.1, 2004, p. 28-44. LUNARDI, Guilherme Lerch; DOLCI, Pietro Cunha. Adoo de Tecnologia da Informao e seu Impacto no Desempenho Organizacional: um estudo realizado com micro e pequenas empresas Salvador: ENANPAD - 30 Encontro da ANPAD, 2006. OLIVA, Rodrigo Polydoro; OLIVEIRA, Mrian. Elaborao, Implantao e Manuteno de Poltica de Segurana por Empresas no Rio Grande do Sul em relao s recomendaes da NBR/ISO17799 ENANPAD, 2003. PALVIA, Prashant C.; PALVIA, Shailendra C. An examination of the IT satisfaction of small-business users. Information & Management. Amsterdam: Mar 8, 1999.Vol.35, Iss. 3; p. 127, 11 p.. PRATES, Glucia Aparecida; OSPINA, Marco Tlio. Tecnologia da Informao em Pequenas Empresas: fatores de xito, restries e benefcios RAC, v.8, n.2, Abr/Jun2004, p. 09-26. ROCHA, Lus Fernando. Governana em TI e Segurana: COBIT e ISO 17799 no mercado financeiro Modulo Security Magazine, 29/09/2003. Disponvel em seo documentos - artigos. SCHNEIER, Bruce. Segurana.com: segredos e mentiras sobre a proteo na vida digital Rio de Janeiro: Campus, 2001. SMOLA, Marcos. Gesto da Segurana da Informao: uma viso executiva Rio de Janeiro: Campus, 2003.

Vol.4, No. 3, 2007, p. 375-397

GESTÃO DA SEGURANÇA DA INFORMAÇÃO.pdf

Documents

Transcript of GESTÃO DA SEGURANÇA DA INFORMAÇÃO.pdf