Skip navigation
Universidade de Brasília
Use este identificador para citar ou linkar para este item: http://repositorio2.unb.br/jspui/handle/10482/40510
Arquivos associados a este item:
Arquivo Descrição TamanhoFormato 
2020_RafaelAlmeidadePaula.pdf1,35 MBAdobe PDFVisualizar/Abrir
Título: Efeitos de procedimentos de controles de segurança da informação sobre a conduta de colaboradores : uma análise comportamental
Autor(es): Paula, Rafael Almeida de
E-mail do autor: rafael.paula@gmail.com
Orientador(es): Castro Neto, Jorge Mendes de Oliveira
Assunto: Análise comportamental do direito
Segurança da informação
Segurança da informação - políticas
Comportamento - usuário
Data de publicação: 13-Abr-2021
Data de defesa: 11-Dez-2020
Referência: PAULA, Rafael Almeida de. Efeitos de procedimentos de controles de segurança da informação sobre a conduta de colaboradores: uma análise comportamental. 2020. [175] f., il. Tese (Doutorado em Ciências do Comportamento)—Universidade de Brasília, Brasília, 2020.
Resumo: O tratamento dos riscos relacionados ao comportamento dos colaboradores nas organizações representa um grande desafio na implantação dos sistemas de gestão da segurança da informação. A principal medida adotada é a definição de políticas de segurança da informação, cuja maioria dos estudos restringe-se aos aspectos formais de sua elaboração ou aborda as ações de conscientização como instrumentos de sua implantação. Nesse trabalho é proposto um novo modelo para tratar esses riscos, calcado no arcabouço teórico e metodológico estabelecido pela análise do comportamento, em especial, a teoria analítico-comportamental do direito, mediante a interpretação dos sistemas de gestão de segurança da informação (SGSIs) como subsistemas sociais funcionalmente especializados. Para aferir a viabilidade dessa proposta, isto é, a análise comportamental dos sistemas de gestão de segurança da informação, foram realizados três estudos. No Estudo 1 foi realizada a análise comportamental da política de segurança da informação (PSI) de um órgão da administração pública federal, em que foram identificadas, descritas e analisadas as contingências planejadas no normativo. Os resultados demonstraram que o enforcement da política está calcado na aplicação de sanções e contribuíram para a identificação de falhas, incoerências e medidas complementares para o controle mais eficaz e eficiente dos comportamentos que violam os requisitos de segurança da informação da organização participante. O Estudo 2 avançou na aplicação desse modelo, mediante a análise comportamental da norma social do SGSI estabelecido na organização participante, enquanto uma rede de padrões comportamentais entrelaçados. Com a sua consecução, foram identificados os principais nós comportamentais, a partir dos quais foram identificadas e analisadas as contingências que de fato estavam vigentes e controlavam comportamentos relevantes para o SGSI. A principal constatação do Estudo 2 foi que, apesar de prevista na PSI, a organização não adota a prática de sancionar as condutas que violam seus requisitos de segurança da informação. x Ou seja, a PSI instituída dificilmente exerce controle sobre os comportamentos a que se destina. Acerca disso, destaca-se que os resultados do referido estudo corroboraram essa conclusão, pois verificou-se que essa ineficiência, em controlar o comportamento dos colaboradores, levou a organização a investir em medidas complementares para dificultar as condutas que violam seus requisitos de segurança da informação. No mesmo sentido, foi verificado que os incidentes de segurança da informação são, usualmente, prontamente tratados na esfera técnica, o que reduz seus impactos e, consequentemente, a percepção de gravidade pelo restante da organização, fato que reduz a probabilidade de aplicação das sanções previstas pelas autoridades administrativas. Sendo assim, o Estudo 2 também apontou a possibilidade de medidas alternativas com vistas ao controle mais eficiente dos comportamentos que violam a PSI da organização participante. No Estudo 3 buscou-se obter uma visão mais abrangente dos principais achados dos primeiros dois estudos, mediante a aplicação de um questionário junto a 21 diretores de tecnologia da informação de empresas brasileiras. Seus resultados corroboraram os principais achados dos primeiros dois estudos, isto é, que o enforcement das PSIs está calcado na aplicação de sanções, que as empresas não aplicam ou raramente aplicam essas sanções, logo investem em mecanismos de proteção complementares para dificultar a ocorrência de violações de sua PSI e que, nos casos em que esses mecanismos não são suficientes para impedi-las, os incidentes de segurança da informação são prontamente tratados pelas unidades de tecnologia da informação, reduzindo seu efeito aversivo para o restante da organização. Tomados em conjunto, os três estudos demonstraram a viabilidade da interpretação analítico-comportamental dos SGSIs e apontam um novo e promissor caminho para a mitigação dos riscos organizacionais.
Abstract: The treatment of risks related to employee behavior in organizations represents a major challenge in the implementation of information security management systems. The main measure adopted is the definition of information security policies, which most of the studies are restricted to formal aspects of their elaboration or address awareness programs as instruments for their implementation. In the present work, a new model is proposed to deal with these risks, based on the theoretical and methodological framework established by behavior analysis, in particular, the behavioral analysis of law, through the interpretation of information security management systems (ISMSs) as functionally specialized social subsystems. To assess the feasibility of this proposal, that is, the behavioral analysis of information security management systems, three studies were carried out. In Study 1, a behavioral analysis of the information security policy (ISP) of a federal public administration organization was carried out, in which the contingencies planned in the policy were identified, described and analyzed. Results showed that the enforcement of the policy is based on the application of sanctions and contributed to the identification of flaws, inconsistencies and complementary measures for a more effective and efficient control of behaviors that violate the information security requirements of the participating organization. Study 2 advanced the application of this model, through the behavioral analysis of the social norm, as a network of interlocked behavioral patterns, of the ISMS established in the participating organization. Based upon this analysis, the main behavioral nodes were identified, from which the contingencies that were in effect and that controlled relevant behavior for the ISMS were analyzed. The main finding from Study 2 was that, although foreseen in the ISP, the organization does not adopt the practice of sanctioning the conducts that violate its information security requirements. In other words, the instituted ISP hardly will exert control over its target behaviors. It is highlighted that the results of the referred study corroborated this xii conclusion, as it was found that this inefficiency, in controlling the behavior of employees, led the organization to invest in complementary measures to hinder the conducts that violate its information security requirements. In the same sense, it was found that information security incidents are usually promptly handled in the technical sphere, which reduces their impacts and, consequently, makes them appear less serious to the rest of the organization, a fact that reduces the likelihood of sanctions being applied by the administrative authorities. Thus, Study 2 also stressed the possibility of alternative measures for a more efficient control of behaviors that violate the participating organization's ISP. In Study 3, we sought to obtain a more comprehensive view of the main findings of the first two studies, by applying a questionnaire to 21 information technology directors of Brazilian companies. Results corroborate the main findings of the first two studies, that is, that the enforcement of ISPs is based on the application of sanctions, that companies do not apply or rarely apply these sanctions, consequently, they invest in complementary, technical, protection mechanisms to hinder the occurrence of violations of their ISP and that, when these mechanisms are not sufficient to prevent them, information security incidents are promptly dealt with by the information technology units, reducing their aversive effect for the rest of the organization. Taken together, the three studies demonstrated the feasibility of the behavior-analytic interpretation of ISMSs and indicate a new and promising way to mitigate organizational risks.
Informações adicionais: Tese (doutorado)—Universidade de Brasília, Instituto de Psicologia, Departamento de Processos Psicológicos Básicos, Programa de Pós-Graduação em Ciências do Comportamento, 2020.
Licença: A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.bce.unb.br, www.ibict.br, http://hercules.vtls.com/cgi-bin/ndltd/chameleon?lng=pt&skin=ndltd sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra disponibilizada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data.
Aparece nas coleções:Teses, dissertações e produtos pós-doutorado

Mostrar registro completo do item Visualizar estatísticas



Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.