GESTÃO DA SEGURANÇA DA INFORMAÇÃO: fatores que influenciam sua adoção em PMEs

1. GESTÃO DA SEGURANÇA DA INFORMAÇÃO:fatores que influenciam sua adoção em PMEs Universidade Municipal de São Caetano do Sul Programa de Mestrado em Administração Mestrando: Abner Netto Orientador: Prof. Dr. Marco Pinheiro

2. ORIGEM DO ESTUDO • Expansão da microinformática • Alto valor da informação armazenada • Concentração das informações • Dependência de TI • Internet de uso público • Garantia de continuidade do negócio

3. PROBLEMATIZAÇÃO • Que fatores são capazes de influenciar a adoção da Gestão da Segurança da Informação por pequenas e médias empresas?

4. OBJETIVO • Verificar em que medida as pequenas e médias empresas realizam gestão da segurança da informação; • Identificar fatores que influenciam pequenas e médias empresas a adotarem medidas de gestão da segurança da informação.

5. JUSTIFICATIVA • Pouca literatura encontrada referente a adoção da gestão da segurança da informação • Fornecer resultados que ajudem a melhor compreender: • o valor das informações empresariais • os riscos e ameaças • o impacto nos negócios • os fatores motivadores ou inibidores relacionados a sua adoção. • Crescimento do número de incidentes

6. DELIMITAÇÃO DO ESTUDO • Pequenas e Médias Empresas (PMEs) industriais presentes na região do Grande ABC • Definição usada para PMEs: • Pequena – 10 a 99 empregados • Média – 100 a 499 empregados

7. REFERENCIAL TÉORICO • Segurança da informação é o processo de proteção da informação das ameaças a sua (Sêmola, 2003; Beal, 2005): • Integridade • Disponibilidade • Confidencialidade • O bem mais valioso de uma empresa são as informações relacionadas com os bens de consumo ou serviços prestados pela mesma. (Caruso e Steffen, 1999; Fontes, 2006).

8. MÉTODOS DETECTIVOS MEDIDAS REATIVAS DESENCADEIAM EXPÕEM REDUZEM RISCO = VULNERABILIDADES x AMEAÇAS x IMPACTOS MEDIDAS DE SEGURANÇA Beal (2005) Sêmola (2003) GERENCIAMENTO DO RISCO

9. HUMANA LÓGICA FÍSICA CAMADAS DE SEGURANÇA Adachi (2004)

10. NORMAS DE SEGURANÇA • COBIT • NBR ISO/IEC 17799:2005 • Define 127 controles que compõem o escopo do SGSI em suas 11 seções: • Política de Segurança, Organização da Segurança, Gestão de Ativos, Segurança em RH, etc. • NBR ISO/IEC 27001:2006

11. TI EM PEQUENAS E MÉDIAS EMPRESAS • PMEs possuem menores recursos financeiros e humanos • Foco atual de fornecedores de TI • Responsável pelo sucesso das organizações • “Mal necessário” (Leite apud Lunardi e Dolci) • Velocidade das operações e redução do custo (Prates e Ospina)

12. FATORES INFLUENCIADORES PARA ADOÇÃO DE TI • Motivadores: • Alta participação de especialista externo (Cragg e King, Thong apud Prates e Ospina) • Características do proprietário (Palvia e Palvia) • Melhoria do controles organizacionais (Prates e Ospina) • Redução de custos (Prates e Ospina) • Economia de tempo e esforço (Cragg e King) • Pressões externas (Lunardi e Dolci) • Ambiente organizacional favorável

13. FATORES INFLUENCIADORES PARA ADOÇÃO DE TI • Inibidores: • Resistência dos funcionários (Prates e Ospina) • Falta de conhecimento de S.I. (Cragg e King) • Tempo dos gerentes na implantação • Análise informal de custo/benefício • Restrição quanto ao aconselhamento técnico

14. FATORES INFLUENCIADORES PARA ADOÇÃO DE GSI • Incidentes de segurança anteriores (Gupta e Hammond, 2004) • Tamanho do parque de informática (Gabbay, 2003) • Frequência dos ataques sofridos (Gabbay, 2003)

15. METODOLOGIA • Tipo de pesquisa: exploratória-descritiva • Procedimento técnico: levantamento • População: 1348 indústrias, sendo selecionadas 256 indústrias de fabricação de produtos de metal, exclusive máquinas e equipamentos • Amostra: 43 indústrias • Sujeitos: gestores responsáveis por aprovar investimentos em gestão da segurança da informação ou em TI • Instrumentos: entrevistas, questionário • Coleta de dados: telefonema, e-mail • Análise dos resultados: estatística descritiva

16. ENTREVISTAS • Perfil do Gestor • Não se mantêm informados sobre a área • Perfil da Empresa • Enfrentaram incidentes de segurança: vírus, parada rede/servidor, furto de informações • Valor da Informação e Análise de Risco • A maioria dos gestores alegaram preocupação com as informações armazenadas em TI • Alguns gestores alegaram que o principal risco são os funcionários • Ferramentas e Técnicas de Defesas • Antivirus, Backup, Firewall • Fatores • Orientação de um especialista externo • Importância da relação custo/benefício do investimento • Incidentes anteriores

17. QUESTIONÁRIO

18. ANÁLISE E DISCUSSÃO DOS RESULTADOS pesquisa realizada entre os meses de fevereiro em março de 2007 165 empresas aceitaram participar, porém somente 43 responderam ao questionário

19. AMOSTRA

20. AMOSTRA

21. AMOSTRA

26. SEGURANÇA 3 CAMADAS

27. SEGURANÇA 3 CAMADAS

28. ADERÊNCIA ISO 17799

29. FATORES

30. FATORES

31. ÁREA DE TI INTERNA

32. TAMANHO DA EMPRESA

33. QTDE COMPUTADORES

34. NÍVEL DE INFORMATIZAÇÃO

35. CONCLUSÃO - MOTIVADORES • Evitar perdas financeiras foi o fator motivador para adoção de gestão da segurança da informação apontado em todas as análises, porém se mostrou como uma escolha óbvia. • Outros dois fatores merecem atenção, em ordem: • Consciência do próprio gestor, pois mostrou-se importante nas análises: • área de TI interna • tamanho da empresa • quantidade de computadores (de 11 a 20 e acima de 20) • análise nível de informatização dos negócios (nível médio e alto); • Recomendação de um especialista externo mostrou-se importante quando analisadas as empresas com: • até 10 micros • nível de informatização dos negócios baixo.

36. CONCLUSÃO - INIBIDORES • Falta de conhecimento do gestor foi o principal fator inibidor da adoção de gestão da segurança da informação na análise da amostra geral e na análise por quantidade de computadores; • Outros dois fatores merecem atenção, em ordem: • O fator valor do investimento teve a maior média quando analisado por: • existência de uma área de TI interna; • tamanho da empresa (média); • nível de informatização dos negócios (alto). • O fator cultura organizacional teve a maior média e menor desvio padrão quando analisado: • o tamanho da empresa (pequena); • o nível de informatização dos negócios (médio).

37. CONCLUSÃO – ISO 17799 • Das empresas pesquisadas, 80% possuem pelo menos um controle em cada uma das camadas de segurança: física, lógica e humana. • Essa porcentagem diminui para 59% quando avaliado se possuem pelo menos metade dos controles pesquisados implantados. • A camada humana foi a que apresentou o menor índice de ferramentas/técnicas implantadas pelas empresas pelo número de controles pesquisados nesta camada. • Independente da camada, 21 empresas possuem menos ou 60% dos controles pesquisados presentes na ISO/IEC 17799:2005. • Existe uma baixa adequação das pequenas e médias empresas em relação às seções da norma ISO/IEC 17799:2005, o que pode demonstrar que a norma requer muitos controles que a maioria não está preocupada em implantar ou não possuem tempo ou dinheiro para isso.

38. ESTUDOS FUTUROS • Recomenda-se: • aplicar a pesquisa em outros setores da economia como empresas de: serviços ou comércio, a fim de verificar a amplitude das análises; • uma amostra maior de empresas também poderia relevar maiores informações e possibilitar análises estatísticas mais profundas; • verificar a causa da falta de conhecimento dos gestores em gestão da segurança da informação e TI. Haveria uma falta de interesse por parte das empresas ou dos gestores?