380 likes | 848 Views
GESTÃO DA SEGURANÇA DA INFORMAÇÃO: fatores que influenciam sua adoção em PMEs. Universidade Municipal de São Caetano do Sul Programa de Mestrado em Administração Mestrando: Abner Netto Orientador: Prof. Dr. Marco Pinheiro. ORIGEM DO ESTUDO. Expansão da microinformática
E N D
GESTÃO DA SEGURANÇA DA INFORMAÇÃO:fatores que influenciam sua adoção em PMEs Universidade Municipal de São Caetano do Sul Programa de Mestrado em Administração Mestrando: Abner Netto Orientador: Prof. Dr. Marco Pinheiro
ORIGEM DO ESTUDO • Expansão da microinformática • Alto valor da informação armazenada • Concentração das informações • Dependência de TI • Internet de uso público • Garantia de continuidade do negócio
PROBLEMATIZAÇÃO • Que fatores são capazes de influenciar a adoção da Gestão da Segurança da Informação por pequenas e médias empresas?
OBJETIVO • Verificar em que medida as pequenas e médias empresas realizam gestão da segurança da informação; • Identificar fatores que influenciam pequenas e médias empresas a adotarem medidas de gestão da segurança da informação.
JUSTIFICATIVA • Pouca literatura encontrada referente a adoção da gestão da segurança da informação • Fornecer resultados que ajudem a melhor compreender: • o valor das informações empresariais • os riscos e ameaças • o impacto nos negócios • os fatores motivadores ou inibidores relacionados a sua adoção. • Crescimento do número de incidentes
DELIMITAÇÃO DO ESTUDO • Pequenas e Médias Empresas (PMEs) industriais presentes na região do Grande ABC • Definição usada para PMEs: • Pequena – 10 a 99 empregados • Média – 100 a 499 empregados
REFERENCIAL TÉORICO • Segurança da informação é o processo de proteção da informação das ameaças a sua (Sêmola, 2003; Beal, 2005): • Integridade • Disponibilidade • Confidencialidade • O bem mais valioso de uma empresa são as informações relacionadas com os bens de consumo ou serviços prestados pela mesma. (Caruso e Steffen, 1999; Fontes, 2006).
MÉTODOS DETECTIVOS MEDIDAS REATIVAS DESENCADEIAM EXPÕEM REDUZEM RISCO = VULNERABILIDADES x AMEAÇAS x IMPACTOS MEDIDAS DE SEGURANÇA Beal (2005) Sêmola (2003) GERENCIAMENTO DO RISCO
HUMANA LÓGICA FÍSICA CAMADAS DE SEGURANÇA Adachi (2004)
NORMAS DE SEGURANÇA • COBIT • NBR ISO/IEC 17799:2005 • Define 127 controles que compõem o escopo do SGSI em suas 11 seções: • Política de Segurança, Organização da Segurança, Gestão de Ativos, Segurança em RH, etc. • NBR ISO/IEC 27001:2006
TI EM PEQUENAS E MÉDIAS EMPRESAS • PMEs possuem menores recursos financeiros e humanos • Foco atual de fornecedores de TI • Responsável pelo sucesso das organizações • “Mal necessário” (Leite apud Lunardi e Dolci) • Velocidade das operações e redução do custo (Prates e Ospina)
FATORES INFLUENCIADORES PARA ADOÇÃO DE TI • Motivadores: • Alta participação de especialista externo (Cragg e King, Thong apud Prates e Ospina) • Características do proprietário (Palvia e Palvia) • Melhoria do controles organizacionais (Prates e Ospina) • Redução de custos (Prates e Ospina) • Economia de tempo e esforço (Cragg e King) • Pressões externas (Lunardi e Dolci) • Ambiente organizacional favorável
FATORES INFLUENCIADORES PARA ADOÇÃO DE TI • Inibidores: • Resistência dos funcionários (Prates e Ospina) • Falta de conhecimento de S.I. (Cragg e King) • Tempo dos gerentes na implantação • Análise informal de custo/benefício • Restrição quanto ao aconselhamento técnico
FATORES INFLUENCIADORES PARA ADOÇÃO DE GSI • Incidentes de segurança anteriores (Gupta e Hammond, 2004) • Tamanho do parque de informática (Gabbay, 2003) • Frequência dos ataques sofridos (Gabbay, 2003)
METODOLOGIA • Tipo de pesquisa: exploratória-descritiva • Procedimento técnico: levantamento • População: 1348 indústrias, sendo selecionadas 256 indústrias de fabricação de produtos de metal, exclusive máquinas e equipamentos • Amostra: 43 indústrias • Sujeitos: gestores responsáveis por aprovar investimentos em gestão da segurança da informação ou em TI • Instrumentos: entrevistas, questionário • Coleta de dados: telefonema, e-mail • Análise dos resultados: estatística descritiva
ENTREVISTAS • Perfil do Gestor • Não se mantêm informados sobre a área • Perfil da Empresa • Enfrentaram incidentes de segurança: vírus, parada rede/servidor, furto de informações • Valor da Informação e Análise de Risco • A maioria dos gestores alegaram preocupação com as informações armazenadas em TI • Alguns gestores alegaram que o principal risco são os funcionários • Ferramentas e Técnicas de Defesas • Antivirus, Backup, Firewall • Fatores • Orientação de um especialista externo • Importância da relação custo/benefício do investimento • Incidentes anteriores
ANÁLISE E DISCUSSÃO DOS RESULTADOS pesquisa realizada entre os meses de fevereiro em março de 2007 165 empresas aceitaram participar, porém somente 43 responderam ao questionário
CONCLUSÃO - MOTIVADORES • Evitar perdas financeiras foi o fator motivador para adoção de gestão da segurança da informação apontado em todas as análises, porém se mostrou como uma escolha óbvia. • Outros dois fatores merecem atenção, em ordem: • Consciência do próprio gestor, pois mostrou-se importante nas análises: • área de TI interna • tamanho da empresa • quantidade de computadores (de 11 a 20 e acima de 20) • análise nível de informatização dos negócios (nível médio e alto); • Recomendação de um especialista externo mostrou-se importante quando analisadas as empresas com: • até 10 micros • nível de informatização dos negócios baixo.
CONCLUSÃO - INIBIDORES • Falta de conhecimento do gestor foi o principal fator inibidor da adoção de gestão da segurança da informação na análise da amostra geral e na análise por quantidade de computadores; • Outros dois fatores merecem atenção, em ordem: • O fator valor do investimento teve a maior média quando analisado por: • existência de uma área de TI interna; • tamanho da empresa (média); • nível de informatização dos negócios (alto). • O fator cultura organizacional teve a maior média e menor desvio padrão quando analisado: • o tamanho da empresa (pequena); • o nível de informatização dos negócios (médio).
CONCLUSÃO – ISO 17799 • Das empresas pesquisadas, 80% possuem pelo menos um controle em cada uma das camadas de segurança: física, lógica e humana. • Essa porcentagem diminui para 59% quando avaliado se possuem pelo menos metade dos controles pesquisados implantados. • A camada humana foi a que apresentou o menor índice de ferramentas/técnicas implantadas pelas empresas pelo número de controles pesquisados nesta camada. • Independente da camada, 21 empresas possuem menos ou 60% dos controles pesquisados presentes na ISO/IEC 17799:2005. • Existe uma baixa adequação das pequenas e médias empresas em relação às seções da norma ISO/IEC 17799:2005, o que pode demonstrar que a norma requer muitos controles que a maioria não está preocupada em implantar ou não possuem tempo ou dinheiro para isso.
ESTUDOS FUTUROS • Recomenda-se: • aplicar a pesquisa em outros setores da economia como empresas de: serviços ou comércio, a fim de verificar a amplitude das análises; • uma amostra maior de empresas também poderia relevar maiores informações e possibilitar análises estatísticas mais profundas; • verificar a causa da falta de conhecimento dos gestores em gestão da segurança da informação e TI. Haveria uma falta de interesse por parte das empresas ou dos gestores?