ANÁLISE COMPORTAMENTAL DAS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO – UM ESTUDO DE CASO

DOI: https://doi.org/10.55028/don.v9i1.9926
Palavras-chave: política; segurança; informação; comportamento; usuário

Resumo

Um dos grandes desafios na gestão da segurança da informação nas organizações é o tratamento dos riscos relacionados ao comportamento de seus colaboradores. A principal medida adotada é a definição de políticas de segurança da informação, cuja maioria dos estudos na literatura restringe-se aos aspectos formais de sua elaboração ou aborda as ações de conscientização como instrumentos de sua implantação. Nesse trabalho, propõe-se um novo modelo para tratar esses riscos, mediante adoção do arcabouço teórico estabelecido pela análise do comportamento, em especial, a teoria analítico-comportamental do direito. Para a sua consecução, foram identificados, descritos e analisados três exemplos de contingências planejadas na política de segurança da informação de um órgão da administração pública federal e demonstrada a viabilidade da adaptação proposta. Os resultados evidenciam a necessidade de uma análise funcional dos comportamentos considerados indesejados pelas organizações quando da definição da política de segurança da informação e sugerem um novo caminho baseado na análise comportamental das políticas de segurança da informação, bem como dos sistemas de gestão de segurança da informação para a mitigação dos riscos organizacionais.

Biografia do Autor

Rafael Almeida de Paula, UnB

Mestre em Ciências da Computação pela Universidade de Brasília. Doutorando no Instituto de Psicologia da UnB. Servidor público do Poder Judiciário Federal.

Jorge Mendes de Oliveira-Castro, Universidade de Brasília

PhD, Experimental Psychology, Auburn University, USA. Professor no Instituto de Psicologia da UnB. Auditor de Controle Externo no Tribunal de Contas da União.

Referências

Acquisti, A., & Grossklags, J. (2004). Privacy attitudes and privacy behavior. In Economics of information security (pp. 165-178). Boston, MA: Springer.

Aguiar, J. C. de (2006). Análise Comportamental do Direito: Fundamentos para uma abordagem do direito como ciência comportamental aplicada. Tese de doutorado. Universidade Federal de Santa Catarina.

Aguiar, J. C. (2014). Análise comportamental do direito: fundamentos para uma abordagem do direito como ciência comportamental aplicada. Revista do Programa de Pós-Graduação em Direito da UFC, 34(2), 245–273.

Aguiar, J. C. (2017). Teoria analítico-comportamental do direito: Para uma abordagem do direito como sistema social funcionalmente especializado. Porto Alegre, RS: Núria Fabris.

Alqahtani, F. H. (2017). Developing an information security policy: a case study approach. Procedia Computer Science, 124, 691-697.

Al-Mayahi I. H., & Mansoor, S., P. (2014). Information security policy development. Journal of Advanced Management Science, 2(2), 135-139.

Associação Brasileira de Normas Técnicas. (2013a). ABNT NBR ISO/IEC 27001 Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. São Paulo: Autor.

Associação Brasileira de Normas Técnicas. (2013b). ABNT NBR ISO/IEC 27002 Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação. São Paulo: Autor.

Associação Brasileira de Normas Técnicas. (2018). ABNT NBR ISO/IEC 31000 Gestão de riscos – Diretrizes. São Paulo: Autor.

Braga, A. (2000). A gestão da informação. Millenium, 19. http://hdl.handle.net/10400.19/903

Catania, A. C. (1999). Aprendizagem: comportamento, linguagem e cognição. Porto Alegre: Artmed.

Davies, J., Foxall, G. R., & Pallister, J. (2002). Beyond the intention-behaviour mythology: An integrated model of recycling. Marketing Theory, 2, 29-113.

Foxall, G. R. (1997). Marketing psychology: The paradigm in the wings. London, UK: Macmillan.

Foxall, G. R. (2002). Marketing’s attitude problem – and how to solve it. Journal of Customer Behaviour, 1, 19-48.

Hinson, G. (2013). Raising security awareness through marketing: Seven steps to promote your information security brand. IsecT. Recuperado em 19/02/2018, de http://www.noticebored.com/Raising_security_awareness_through_marketing.pdf

Holanda, A. O., Oliveira-Castro, J. M., & Silva, T. C. (2018). Análise de conteúdo das justificativas das propostas de emenda à constituição que tratam da maioridade penal. Revista de Estudos Empíricos em Direito, 5(2), 43-66.

Höne, K., & Eloff, J.H.P. (2002). Information security policy — what do international information security standards say?. Computers & Security, 21(5), 402-409. https://doi.org/10.1016/S0167-4048(02)00504-7

Imoniana, J. O. (2004). Validity of information security policy models. Transinformação, 16(3), 263-274.

Klein, R. H., & Luciano, E. M. (2016). What influences information security behavior? A study with brazilian users. JISTEM - Journal of Information Systems and Technology Management: Revista de Gestão da Tecnologia e Sistemas de Informação, 13(3), 479-496. http://dx.doi.org/10.4301/S1807-17752016000300007

Lira, W. S., Cândido, G. A., Araújo, G. M. D., & Barros, M. A. D. (2008). A busca e o uso da informação nas organizações. Perspectivas em Ciência da Informação, 13(1), 166-183.

Martins, A. B., & Santos, C. A. S. (2005). Uma metodologia para implantação de um sistema de gestão de segurança da informação. JISTEM: Journal of Information Systems and Technology Management, 2(2), 121-136.

Moreira, M. B., & Medeiros, C. A. (2007). Princípios básicos de análise do comportamento. Porto Alegre: Artmed.

Oliveira, A. D. (2016). Comportamento de gestores de recursos públicos: identificação de contingências previstas e vigentes relativas à prestação de contas. Tese de doutorado. Universidade de Brasília.

Oliveira-Castro, J. M., & Foxall, G. R. (2005). Análise do Comportamento do Consumidor. In Análise do Comportamento - Pesquisa, Teoria e Aplicação. Porto Alegre: Artmed.

Pfleeger, C. P., & Pfleeger, S. L. (2006). Security in Computing (4ª ed.). Upper Saddle River, NJ: Prentice Hall.

Sêmola, M. (2014). Gestão de segurança da informação: Uma visão executiva (2ª ed.). Rio de Janeiro, RJ: Elsevier Editora Ltda.

Skinner, B. F. (1953). Science and human behavior. New York, NY: Macmillan.

Skinner, B. F. (1957). Verbal behavior. Englewood Cliffs, NJ: Prentice-Hall.

Snyman, D., & Kruger, H. (2017). The application of behavioural thresholds to analyse collective behaviour in information security. Information & Computer Security, 25(2), 152-164.

Talbot S., & Woodward A. (2009). Improving an organizations existing information

technology policy to increase security. In Proceedings of the 7th Australian Information Security Management Conference. Perth, Western Australia.

Todorov, J. C. (2004). Da Aplysia à Constituição: evolução dos conceitos na análise do comportamento. Psicologia: Reflexão e Crítica, 17(2), 151-156.

Todorov, J. C. (2005). Laws and the complex control of behavior. Behavior and social issues, 14, 86-91.

Tribunal de Contas da União. (2012). Boas práticas em segurança da informação (4ª ed.). Recuperado em 02/03/2018, de http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A24F0A728E014F0B226095120B

Wicker, A. W. (1969). Attitude versus actions: The relationship of verbal and overt behavioral responses to attitude objects. Journal of Social Issues, 25(4), 41-78.

Publicado
2020-09-17
Edição
v. 9 n. 1 (2021)
Seção
Artigos

POLÍTICA DE DIREITOS AUTORAIS E CONFLITO DE INTERESSES

A Revista Desafio Online (DOn) baseia suas políticas éticas e normas nas diretrizes apresentadas pelo Comimittee on Publication Ethics – COPE (https://publicationethics.org/), em razão de seu compromisso com a qualidade editorial e ética científica.

Dever dos editores e equipe editorial:

  • Decidir quais serão os artigos avaliados, baseados em sua qualidade, relevância acadêmica, conteúdo e adequação às diretrizes de submissão, sem discriminar, nenhum autor, por gênero, sexo, raça, orientação sexual, pensamento político, afiliação institucional, religião, naturalidade, nacionalidade, identidade étnico-cultural, ou outra forma de distinção social.
  • Decidir e se responsabilizar pelos trabalhos que serão publicados (editor-chefe) seguindo as normas da política editorial, bem como os requisitos legais em vigor, no que se refere ao plágio, violação de direitos autorais e difamação.
  • Não divulgar dados dos trabalhos além dos autores, pareceristas e membros do conselho editorial, zelando pela confidencialidade das informações.
  • Não utilizar, ou se apropriar, do conteúdo original dos trabalhos submetidos, ainda não publicados.
  • Não acompanhar o processo editorial do artigo em caso de existência de conflitos de interesses.
  • Garantir que as submissões passem pelo processo de revisão duplo-cega (double-blind), sendo avaliado por, no mínimo, dois pareceristas.
  • Atender aos princípios de boas práticas e transparência, averiguando condutas contrárias a estes, apresentando providências adequadas.

Dever dos pareceristas ad hoc:

  • Auxiliar o corpo editorial, e os autores, no que tange a escolha das decisões editoriais, realizando a revisão sem qualquer tipo de distinção política, cultural, ou social, dos autores.
  • Cumprir o prazo de resposta e data limite da avaliação, comunicando os editores nos casos de impossibilidade de realizar o trabalho.
  • Abster-se de realizar a avaliação quando pouco capacitados ou não aptos, sobre o conteúdo do artigo. O declínio também deve ocorrer, na existência de qualquer conflito de interesses existente, por parte do avaliador.
  • Respeitar o sigilo dos arquivos recebidos, sem que sejam divulgados, expostos ou conversados os conteúdos dos artigos, sem a permissão do editor-chefe, existindo a necessidade. O conteúdo dos trabalhos não deve ser utilizado para benefício próprio.
  • Seguir os critérios de avaliação estipulados nas diretrizes, recomendando ajustes e melhorias, sem nunca realizar críticas ou ataques pessoais aos autores.
  • Indicar referências de materiais adicionais que sejam pertinentes ao tema.
  • Comunicar, aos editores, a existência de publicações anteriores, do mesmo trabalho.
  • Os revisores serão incluídos na lista de pareceristas da Revista Desafio Online (DOn). Havendo a solicitação, eles podem receber uma Declaração de Avaliação formal, do Editor-Chefe. Para isso devem informar o nome completo e CPF, por e-mail.

Dever dos autores:

  • Apresentar relatos precisos das submissões, com detalhes e referências necessárias à replicação, por terceiros. Dados implícitos devem ser precisamente apresentados, no artigo. Afirmações propositalmente incorretas, ou deturpadas, são tidas como má conduta ética, sendo inadmissíveis.
  • Responsabilizar-se pela elaboração do material submetido, devendo o mesmo ser original, resguardando a autenticidade do conteúdo.
  • Informar, através de citações adequadas, fontes de ideias e informações derivadas de outros trabalhos, evidenciando-as nas referências. A apropriação indevida de informações e trechos de trabalhos anteriormente publicados, sem a citação da fonte, se caracteriza como plágio e, nesses casos, o periódico se reserva o direito de rejeitar o trabalho, considerando tal prática antiética e inadmissível.
  • Não submeter trabalhos que possuam, de forma substancial, a mesma investigação, para outros periódicos, ou mesmo que já tenha sido, anteriormente, publicado. Trabalhos publicados, anteriormente, em congressos serão aceitos para publicação apenas em caso de parcerias Fast Track com o evento. Artigos derivados de trabalhos de conclusão de curso, dissertações ou teses serão aceitos apenas mediante a inexistência de publicações em outros periódicos ou eventos, devendo, o autor principal, se responsabilizar pela indicação de outras autorias. A Revista Desafio Online respeita o prazo de 12 meses entre publicações de um mesmo autor.
  • Atribuir a autoria do trabalho apenas àqueles que fizeram contribuições significativas em sua elaboração, sendo estes indicados como coautores, pelo autor principal, se responsabilizando, integralmente, pelo conteúdo. O autor principal deve fornecer os contatos de e-mails dos envolvidos, e certificar-se de que todos aprovaram a versão final do trabalho, consentindo com sua submissão.
  • Declarar qualquer forma existente de conflitos de interesses, bem como apresentar toda e qualquer fonte de auxílio financeiro existente.
  • Colaborar, com os editores, quanto à correção e atualização do seu artigo, através de erratas, ao identificar erros ou informações imprecisa que seja relevante na publicação.
  • Atentar às decisões editoriais, e ao processo de avaliação e revisão, atendendo, o mais rápido possível, as requisições, mantendo seus dados cadastrados atualizados. Pede-se que as adequações sejam realizadas em até 30 dias, considerando o reenvio dos trabalhos.
  • Disponibilizar, caso solicitado, os dados brutos da pesquisa, juntamente com o artigo, para revisão editorial. Os dados utilizados devem se manter acessíveis por, pelo menos, 10 anos após a publicação, considerando a proteção da confidencialidade dos autores, bem como os direitos jurídicos relacionados aos dados.

Arquivamento

A Revista Desafio Online utiliza o sistema LOCKSS. Este é um software livre desenvolvido pela Biblioteca da Universidade de Stanford, que permite preservar revistas online escolhidas ao sondar as páginas das mesmas por conteúdo recém publicado e arquivando-o. Cada arquivo é continuamente validado contra cópias de outras bibliotecas. Caso o conteúdo esteja corrompido ou perdido, as cópias são usadas para restauração.

ÉTICA E ANTIPLÁGIO

Os trabalhos submetidos à Revista Desafio Online (DOn) passarão por software detector de plágio (CopySpider), a qualquer momento, durante o processo editorial. Trabalhos que apresentem mais de 5% de similaridade com outras publicações não serão aceitos, de modo que tais submissões podem ser rejeitadas a qualquer momento, no processo editorial.

Os autores transferem todos os direitos autorais do artigo para a Revista Desafio Online. Qualquer reprodução, total ou parcial, em meios impressos ou eletrônicos, deverá ser solicitada por meio de  autorização. A reprodução, caso autorizada, fará constar o competente registro e agradecimento à Revista.

Todos os artigos publicados, online e de livre acesso aos leitores, tem licença Creative Commons, de atribuição, uso não comercial e compartilhamento por ela.


As obras deste site estão licenciadas sob uma Licença Creative Commons Atribuição-NãoComercial-CompartilhaIgual 3.0 Brasil

 

PUBLICAÇÕES DA EQUIPE EDITORIAL

Não é permitida a submissão de trabalhos pelo editor-chefe e coeditores do periódico, garantindo a imparcialidade no processo editorial.