Professional Documents
Culture Documents
Segurança Da Informação - Fatores Que Influenciam Pequenas Empresas
Segurança Da Informação - Fatores Que Influenciam Pequenas Empresas
ABSTRACT
The objectives of this study were verify in what measure the small and medium companies
accomplish the management security information and identify which factors influence the small
and medium companies to adopt measures of management security information. The source
research was exploratory-descriptive and the design used was the survey. The sample was
compound of 43 metal production industries located in ABC region. According to management
information security literature and Brazilian norm of information security were identified the
tools or techniques of management security information and classified it into three layers:
physic, logic and human. The study identified that the human layer is the one that presents the
major shortage of cares in the companies followed by the logical one. The companies get used to
have the antivirus as the main security tool/technique according to the researched companies to
guarantee the safety of information. Besides that, the research showed that 59% of the
companies have a safety satisfactory level and the main motivator factor to adopt the
management security information is "to avoid possible financial loss. On the other hand, all the
inhibitors factors showed important to the researched companies like: lack of knowledge,
investments value, organization culture and difficulty to measure cost/benefit.
Keywords: security information, ISO 27002, IT adoption, small and medium companies.
_____________________________________________________________________________________
Recebido em/Manuscript first received: 10/08/2007 Aprovado em/Manuscript accepted: 31/10/2007
Endereo para correspondncia/ Address for correspondence
Abner da Silva Netto, Mestrando, Universidade Municipal de So Caetano do Sul IMES, Programa de
Mestrado em Administrao, Rua Santo Antonio, 50 Centro, So Caetano do Sul SP, Telefone: 114239-3324, E-mail: abner@fsa.br
Marco Antonio Pinheiro da Silveira, Professor Titular, Universidade Municipal de So Caetano do Sul
IMES, Programa de Mestrado em Administrao, Rua Santo Antonio, 50 Centro, So Caetano do Sul
SP, Telefone: 11-4239-3324, E-mail: marco.pinheiro@imes.edu.br
ISSN online: 1807-1775
Publicado por/Published by: TECSI FEA USP 2007
376
RESUMO
Este estudo teve como objetivos verificar em que medida as pequenas e mdias empresas
realizam gesto da segurana da informao e identificar fatores que influenciam pequenas e
mdias empresas a adotarem medidas de gesto da segurana da informao. Foi realizada
pesquisa de natureza exploratrio-descritiva e utilizou-se como delineamento o levantamento
(survey). A amostra consistiu em 43 indstrias do setor de fabricao de produtos de metal
situadas na regio do Grande ABC. Com base na literatura sobre gesto da segurana da
informao e na norma brasileira de segurana da informao, foram identificadas as
ferramentas ou tcnicas de gesto da segurana da informao e classificadas em trs camadas:
fsica, lgica e humana. O estudo identificou que a camada humana a que apresenta a maior
carncia de cuidados por parte das empresas, seguida pela camada lgica. O antivrus a
ferramenta/tcnica mais utilizada pelas empresas pesquisadas para garantir a segurana da
informao. A pesquisa relevou que 59% das empresas pesquisadas possuem um nvel de
segurana satisfatrio e que o principal fator motivador para adoo de gesto da segurana da
informao "evitar possveis perdas financeiras". Todos os fatores inibidores se mostraram
importantes para as empresas pesquisadas: falta de conhecimento, valor do investimento,
dificuldade em mensurar custo/ benefcio e cultura organizacional.
Palavras-chave: segurana da informao, ISO 27002, adoo de TI, pequenas e mdias
empresas.
1. INTRODUO
Com a utilizao dos computadores em diversas organizaes, as informaes
comearam a se concentrar em um nico lugar e o grande volume dessas informaes
passou a ser um problema para a segurana. Os riscos aumentaram com o uso dos
microcomputadores, a utilizao de redes locais e remotas, a abertura comercial da
Internet e a disseminao da informtica para diversos setores da sociedade.
As pequenas e mdias empresas tambm so atingidas por estes problemas,
porm dispem de menos recursos para investir na gesto da segurana da informao.
O problema de pesquisa tratado neste trabalho : que fatores so capazes de
influenciar a adoo da gesto da segurana da informao por pequenas e mdias
empresas?
O objetivo geral foi identificar os fatores que influenciam pequenas e mdias
empresas a adotarem medidas de gesto da segurana da informao e avaliar o grau de
importncia deles. Outro objetivo foi descrever, por meio dos controles contidos na
norma de segurana da informao ISO IEC 27002:2005, se as empresas pesquisadas
possuem requisitos mnimos e satisfatrios de gesto da segurana da informao. Para
tanto, os controles descritos na norma foram classificados em trs camadas: fsica,
lgica e humana. A empresa considerada satisfatria deve possuir controles efetivos
nas trs camadas.
Este trabalho estudou pequenas e mdias empresas (PMEs) industriais presentes
na regio do Grande ABC, composta pelas cidades de Santo Andr, So Bernardo do
Campo, So Caetano do Sul, Diadema, Mau, Ribeiro Pires e Rio Grande da Serra. A
categorizao usada para pequenas e mdias empresas foi o nmero de empregados,
sendo: pequena empresa - de 10 a 99 empregados; mdia empresa - entre 100 e 499
R. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas
377
empregados.
2 SEGURANA DA INFORMAO
Segurana da informao, conforme Beal (2005), o processo de proteo da
informao das ameaas a sua integridade, disponibilidade e confidencialidade. Smola
(2003) define segurana da informao como uma rea do conhecimento dedicada
proteo de ativos da informao contra acessos no autorizados, alteraes indevidas
ou sua indisponibilidade. A ISO/IEC 17799:2005, em sua seo introdutria, define
segurana da informao como a proteo da informao de vrios tipos de ameaas
para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o
retorno sobre os investimentos e as oportunidades de negcio. Assim, podemos definir
segurana da informao como a rea do conhecimento que visa proteo da
informao das ameaas a sua integridade, disponibilidade e confidencialidade a fim de
garantir a continuidade do negcio e minimizar os riscos.
378
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas
379
ponto fraco compatvel, uma vulnerabilidade capaz de potencializar sua ao. Quando
essa possibilidade aparece, a quebra de segurana consumada. (SMOLA, 2001, p.
18).
Para Schneier (2001), as ameaas do mundo digital espelham as ameaas no
mundo fsico. Se o desfalque uma ameaa, ento o desfalque digital tambm uma
ameaa. Se os bancos fsicos so roubados, ento os bancos digitais sero roubados. O
crime no ciberespao inclui tudo o que se pode esperar do mundo fsico: roubo,
extorso, vandalismo, voyeurismo, explorao, jogos de trapaas, fraude etc.
Para Smola (2003), a gesto da segurana da informao pode ser classificada
em trs aspectos: tecnolgicos, fsicos e humanos. As organizaes preocupam-se
principalmente com os aspectos tecnolgicos (redes, computadores, vrus, hackers,
Internet) e se esquecem dos outros fsicos e humanos to importantes e relevantes
para a segurana do negcio quanto os aspectos tecnolgicos. Neste trabalho, optou-se
pela classificao apresentada por Adachi (2004) que estudou a gesto da segurana em
Internet Banking dividido-a em trs camadas: fsica, lgica e humana.
2.1.1 Camada Fsica
o ambiente onde est instalado fisicamente o hardware computadores,
servidores, meio de comunicao podendo ser o escritrio da empresa, a fbrica ou at
a residncia do usurio no caso de acesso remoto ou uso de computadores portteis.
Para Adachi (2004), a camada fsica representa o ambiente em que se encontram os
computadores e seus perifricos, bem como a rede de telecomunicao com seus
modems, cabos e a memria fsica, armazenada em disquetes, fitas ou CDs.
As pequenas e a mdias empresas tm seus dados armazenados, geralmente, em
servidores de rede ou em estaes compartilhadas, e o acesso fsico a estes
equipamentos nem sempre restrito. Na maioria das vezes, esse mesmo servidor ou
estao possui acesso liberado e ilimitado Internet, o que aumenta o risco de um
incidente de segurana. Na mdia empresa, o cenrio menos problemtico, porm no
o ideal, principalmente, devido conscientizao dos funcionrios sobre segurana da
informao.
O controle de acesso aos recursos de TI, equipamentos para fornecimento
ininterrupto de energia e firewalls so algumas das formas de se gerir a segurana desta
camada.
2.1.2 Camada Lgica
A camada lgica caracterizada pelo uso de softwares - programas de
computador - responsveis pela funcionalidade do hardware, pela realizao de
transaes em base de dados organizacionais, criptografia de senhas e mensagens etc.
Segundo Adachi (2004), nessa camada que esto as regras, normas, protocolo de
comunicao e onde, efetivamente, ocorrem as transaes e consultas.
A segurana, em nvel lgico, refere-se ao acesso que indivduos tm s
aplicaes residentes em ambientes informatizados, no importando o tipo de aplicao
Vol.4, No. 3, 2007, p. 375-397
380
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas
381
Seo
Objetivos
Fsica
Controle de acesso
Gesto de incidentes de
segurana da informao
Aquisio, desenvolvimento e
manuteno de Sistemas de
Informao
Lgica
Organizando a segurana da
informao
382
Segurana em recursos
humanos
Gesto da continuidade do
negcio
Conformidade
Poltica de segurana da
informao
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas
383
384
R. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas
385
Variveis
Qtde
Questes
Exemplos de
Questes
Perfil do Gestor
Identificao do responsvel
pelos investimentos em TI e
segurana da informao
Perfil da
Empresa
Identificao da empresa e do
parque de informtica, nvel de
utilizao dos recursos de TI
Ferramentas e
Tcnicas
Fatores
Recomendao de um especialista
externo ou fornecedor da rea
TOTAL DE QUESTES
6
386
Cargo
scio-proprietrio
42%
supervisor
12%
gerente
14%
diretor
16%
10 a 49
48%
acima de 500
0%
100 a 499
14%
50 a 99
33%
R. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas
387
5 a 10
21%
de 201 a 500
2%
de 101 a 200
5%
de 21 a 100
23%
de 10 a 20
28%
388
No possui
10
15
20
25
30
35
R. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil
40
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas
389
No Possui
Superviso do desenvolvimento
terceirizado de software com
requisitos para controles de
segurana da informao
10
15
20
25
30
35
40
390
No Possui
Classificao da informao
10
15
20
25
30
35
R. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil
40
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas
391
2,6
2,8
3,0
3,2
3,4
3,6
3,8
4,0
4,2
4,4
4,6
4,8
5,0
392
N de Empresas
16
14
12
10
8
6
4
2
13
10
9
7
0-20
20-40
40-60
60-80
80-100
4,366
4,5
4,0
3,5
3,512
3,341
recomendao especialista
externo
incidente anterior
3,634
3,0
2,5
2,0
1,5
1,0
conscincia do gestor
R. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas
393
Fatores Inibidores
5,0
4,5
4,0
3,659
3,707
3,659
falta de conhecimento
cultura organizacional
3,366
3,5
3,0
2,5
2,0
1,5
1,0
valor do investimento
dificuldades em mensurar
custo/benefcio
Fatores
MannWhitner
U
Wilcoxon
Z
W
773,000
1634,000
-0,648 0,517
1636,500
-0,626 0,531
1343,000
-3,529 0,000
Asymp.Sig
(2-tailed)
394
financeiras
incidente anterior x evitar perdas
443,500
financeiras
1304,500
-3,870 0,000
1390,000
-3,061 0,002
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas
395
396
informao e TI. Haveria uma falta de interesse por parte das empresas ou dos gestores?
REFERNCIAS
ADACHI, Tomi. Gesto de Segurana em Internet Banking So Paulo: FGV, 2004.
121p. Mestrado. Fundao Getlio Vargas Administrao. Orientador: Eduardo
Henrique Diniz.
BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a
proteo dos ativos de informao nas organizaes So Paulo: Atlas, 2005.
CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em Informtica e de
Informaes So Paulo: Editora SENAC So Paulo, 1999.
COMIT GESTOR DA INTERNET NO BRASIL. Pesquisa sobre o uso das
tecnologias da informao e da comunicao no Brasil 2005. Disponvel em
<http://www.mct.gov.br/upd_blob/10819.pdf>. Acesso em 27/12/2006 s 20h48min.
CRAGG, Paul B.; KING, Malcolm. Small-Firm Computing: motivators and inhibitors
MIS Quarterly, maro/1993, p. 47-60.
FONTES, Edison. Segurana da Informao: o usurio faz a diferena - So Paulo:
Saraiva, 2006.
GABBAY, Max Simon. Fatores influenciadores da implementao de aes de Gesto
de Segurana da Informao: um estudo com executivos e gerentes de tecnologia da
informao em empresas do Rio Grande do Norte. 01/06/2003. 1v. 150p. Mestrado.
Universidade Federal do Rio Grande do Norte - Engenharia de Produo.
Orientador(es): Anatlia Saraiva Martins Ramos. Biblioteca Depositaria: BCZM
GUPTA, Atul; HAMMOND, Rex. Information systems security issues and decisions
for small business: an empirical examination Information Management & Computer
Security, 2004, pg. 297-310. Disponvel em <http://www.emeralinsight.com/09685227.htm>. Acesso em 09/09/2006.
HAIR, JR Joseph F.; BABIN, Barry; MONEY Arthur H.; SAMOUEL, Phillip.
Fundamentos de Mtodos de Pesquisa em Administrao - Porto Alegre: Bookman,
2005.
HOLANDA, Roosevelt de. O estado da arte em sistemas de gesto da segurana da
Informao: Norma ISO/IEC 27001:2005 So Paulo: Mdulo Security Magazine, 19
jan 2006. Disponvel em <http://www.modulo.com.br> seo documentos - artigos.
ISO 17799. ABNT NBR ISO/IEC 17799:2005 Tecnologia da Informao Tcnicas
de segurana Cdigo de prtica para a gesto da segurana da informao. Associao
Brasileira de Normas Tcnicas Rio de Janeiro: ABNT, 2005.
MDULO. 9 Pesquisa Nacional de Segurana da Informao Rio de Janeiro:
Outubro/2003.
Disponvel
em
<http://www.modulo.com.br/pdf/nona_pesquisa_modulo.pdf>.
MORAES, Giseli Diniz de Almeida; TERENCE, Ana Cladia Fernandes; ESCRIVO
R. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas
397