Dialnet GestaoDaSegurancaDaInformacao 2734365 PDF

Revista de Gesto da Tecnologia e Sistemas de Informao
Journal of Information Systems and Technology Management

Vol. 4, No. 3, 2007, p. 375-397
ISSN online: 1807-1775
_____________________________________________________________________________________
Recebido em/Manuscript first received: 10/08/2007 Aprovado em/Manuscript accepted: 31/10/2007
Endereo para correspondncia/ Address for correspondence
Abner da Silva Netto, Mestrando, Universidade Municipal de So Caetano do Sul IMES, Programa de
Mestrado em Administrao, Rua Santo Antonio, 50 Centro, So Caetano do Sul SP, Telefone: 11-
4239-3324, E-mail: abner@fsa.br
Marco Antonio Pinheiro da Silveira, Professor Titular, Universidade Municipal de So Caetano do Sul
IMES, Programa de Mestrado em Administrao, Rua Santo Antonio, 50 Centro, So Caetano do Sul
SP, Telefone: 11-4239-3324, E-mail: marco.pinheiro@imes.edu.br

ISSN online: 1807-1775
Publicado por/Published by: TECSI FEA USP 2007

GESTO DA SEGURANA DA INFORMAO: FATORES QUE
INFLUENCIAM SUA ADOO EM PEQUENAS E MDIAS
EMPRESAS
INFORMATION SECURITY MANAGEMENT: FACTORS THAT INFLUENCE ITS
ADOPTION IN SMALL AND MID-SIZED BUSINESSES

Abner da Silva Netto
Marco Antonio Pinheiro da Silveira
Universidade Municipal de So Caetano do Sul IMES, Brasil
_____________________________________________________________________________________

ABSTRACT
The objectives of this study were verify in what measure the small and medium companies
accomplish the management security information and identify which factors influence the small
and medium companies to adopt measures of management security information. The source
research was exploratory-descriptive and the design used was the survey. The sample was
compound of 43 metal production industries located in ABC region. According to management
information security literature and Brazilian norm of information security were identified the
tools or techniques of management security information and classified it into three layers:
physic, logic and human. The study identified that the human layer is the one that presents the
major shortage of cares in the companies followed by the logical one. The companies get used to
have the antivirus as the main security tool/technique according to the researched companies to
guarantee the safety of information. Besides that, the research showed that 59% of the
companies have a safety satisfactory level and the main motivator factor to adopt the
management security information is "to avoid possible financial loss. On the other hand, all the
inhibitors factors showed important to the researched companies like: lack of knowledge,
investments value, organization culture and difficulty to measure cost/benefit.
Keywords: security information, ISO 27002, IT adoption, small and medium companies.

Netto, A. da S., Silveira, M. A. P. da
376

RESUMO
Este estudo teve como objetivos verificar em que medida as pequenas e mdias empresas
realizam gesto da segurana da informao e identificar fatores que influenciam pequenas e
mdias empresas a adotarem medidas de gesto da segurana da informao. Foi realizada
pesquisa de natureza exploratrio-descritiva e utilizou-se como delineamento o levantamento
(survey). A amostra consistiu em 43 indstrias do setor de fabricao de produtos de metal
situadas na regio do Grande ABC. Com base na literatura sobre gesto da segurana da
informao e na norma brasileira de segurana da informao, foram identificadas as
ferramentas ou tcnicas de gesto da segurana da informao e classificadas em trs camadas:
fsica, lgica e humana. O estudo identificou que a camada humana a que apresenta a maior
carncia de cuidados por parte das empresas, seguida pela camada lgica. O antivrus a
ferramenta/tcnica mais utilizada pelas empresas pesquisadas para garantir a segurana da
informao. A pesquisa relevou que 59% das empresas pesquisadas possuem um nvel de
segurana satisfatrio e que o principal fator motivador para adoo de gesto da segurana da
informao "evitar possveis perdas financeiras". Todos os fatores inibidores se mostraram
importantes para as empresas pesquisadas: falta de conhecimento, valor do investimento,
dificuldade em mensurar custo/ benefcio e cultura organizacional.
Palavras-chave: segurana da informao, ISO 27002, adoo de TI, pequenas e mdias
empresas.

1. INTRODUO

Com a utilizao dos computadores em diversas organizaes, as informaes
comearam a se concentrar em um nico lugar e o grande volume dessas informaes
passou a ser um problema para a segurana. Os riscos aumentaram com o uso dos
microcomputadores, a utilizao de redes locais e remotas, a abertura comercial da
Internet e a disseminao da informtica para diversos setores da sociedade.
As pequenas e mdias empresas tambm so atingidas por estes problemas,
porm dispem de menos recursos para investir na gesto da segurana da informao.
O problema de pesquisa tratado neste trabalho : que fatores so capazes de
influenciar a adoo da gesto da segurana da informao por pequenas e mdias
empresas?
O objetivo geral foi identificar os fatores que influenciam pequenas e mdias
empresas a adotarem medidas de gesto da segurana da informao e avaliar o grau de
importncia deles. Outro objetivo foi descrever, por meio dos controles contidos na
norma de segurana da informao ISO IEC 27002:2005, se as empresas pesquisadas
possuem requisitos mnimos e satisfatrios de gesto da segurana da informao. Para
tanto, os controles descritos na norma foram classificados em trs camadas: fsica,
lgica e humana. A empresa considerada satisfatria deve possuir controles efetivos
nas trs camadas.
Este trabalho estudou pequenas e mdias empresas (PMEs) industriais presentes
na regio do Grande ABC, composta pelas cidades de Santo Andr, So Bernardo do
Campo, So Caetano do Sul, Diadema, Mau, Ribeiro Pires e Rio Grande da Serra. A
categorizao usada para pequenas e mdias empresas foi o nmero de empregados,
sendo: pequena empresa - de 10 a 99 empregados; mdia empresa - entre 100 e 499
R. Gest. Tecn. Sist. Inf. RGTSI/JISTEM Journal of Information Systems and Technology Management, Brazil
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias 377
empresas

empregados.

2 SEGURANA DA INFORMAO

Segurana da informao, conforme Beal (2005), o processo de proteo da
informao das ameaas a sua integridade, disponibilidade e confidencialidade. Smola
(2003) define segurana da informao como uma rea do conhecimento dedicada
proteo de ativos da informao contra acessos no autorizados, alteraes indevidas
ou sua indisponibilidade. A ISO/IEC 17799:2005, em sua seo introdutria, define
segurana da informao como a proteo da informao de vrios tipos de ameaas
para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o
retorno sobre os investimentos e as oportunidades de negcio. Assim, podemos definir
segurana da informao como a rea do conhecimento que visa proteo da
informao das ameaas a sua integridade, disponibilidade e confidencialidade a fim de
garantir a continuidade do negcio e minimizar os riscos.
a integridade da informao tem como objetivo garantir a exatido da
informao, assegurando que pessoas no autorizadas possam modific-la,
adicion-la ou remov-la, seja de forma intencional ou acidental;
a disponibilidade garante que os autorizados a acessarem a informao possam
faz-lo sempre que necessrio;
a confidencialidade da informao a garantia de que somente pessoas
autorizadas tero acesso a ela, protegendo-a de acordo com o grau de sigilo do
se contedo;
Smola (2003) acrescenta a estes trs objetivos os de:
legalidade - garantia de que a informao foi produzida em conformidade com a
lei;
autenticidade - garantia de que num processo de comunicao os remetentes
sejam exatamente o que dizem ser e que a mensagem ou informao no foi
alterada aps o seu envio ou validao.
A fim de garantir um nvel de proteo adequado para seus ativos de
informao, as organizaes e seus principais gestores precisam ter uma viso clara das
informaes que esto tentando salvaguardar, de que ameaas e por que razo, antes de
poder passar a seleo de solues especficas de segurana (BEAL, 2005). Grande
parte dos dados importantes ao negcio da empresa est armazenada em computadores,
por isso as organizaes dependem da confiabilidade de seus sistemas baseados em TI;
se a confiana nesses dados for destruda, o impacto pode ser comparvel prpria
destruio do sistema.
Dessa forma, as organizaes precisam adotar controles de segurana medidas
de proteo que abranjam uma grande diversidade de iniciativas que sejam capazes de
proteger adequadamente dados, informaes e conhecimentos, escolhidos, levando-se
em conta os riscos reais a que esto sujeitos esses ativos. (BEAL, 2005).
Vol.4, No. 3, 2007, p. 375-397
378

medida que as empresas tornam-se mais dependentes da informtica, mais
vulnerveis ficam a crimes e fraudes cometidas com o uso de recursos computacionais.
Na maioria dos casos ocorridos, nada publicado, por necessidade de preservao da
imagem. (CARUSO e STEFFEN, 1999).
Pela alta capacidade de que dados, informao e conhecimento tm de adicionar
valor a processos, produtos e servios, estes constituem recursos cada vez mais crticos
para o alcance da misso e dos objetivos organizacionais (CARUSO e STEFFEN,
1999). Conseqentemente, as informaes crticas para o negcio precisam ser
protegidas contra as ameaas que podem levar sua destruio, indisponibilidade
temporria, adulterao ou divulgao no autorizada. (BEAL, 2005, p. XI). Fontes
(2006, p. 38) assevera a informao um recurso que tem valor para a organizao e
deve ser bem gerenciada e utilizada [...] necessrio garantir que ela esteja sendo
disponibilizada apenas para as pessoas que precisam dela para o desempenho de suas
atividades profissionais.
Segundo Moraes, Terence e Escrivo Filho (2004), nenhuma empresa pode
escapar dos efeitos da revoluo causada pela informao. Dessa forma, deve-se ter
conscincia de que a informao um requisito to importante quanto os recursos
humanos, pois dela depende o sucesso ou fracasso das tomadas de decises dirias.
Segurana - mais que estrutura hierrquica, homens e equipamentos - envolve
uma postura gerencial, o que ultrapassa a tradicional abordagem da maioria das
empresas. preciso cercar o ambiente de informaes com medidas que garantam sua
segurana efetiva, a um custo aceitvel, visto ser impossvel obter-se segurana
absoluta, j que a partir de um determinado ponto, os custos se tornam inaceitveis.
(CARUSO e STEFFEN, 1999).
Fontes (2006) alerta para o constante crescimento de incidentes de segurana da
informao, principalmente no Brasil. De forma crescente, as organizaes esto
potencialmente mais expostas a novas formas de ataques, independentemente do porte
ou do tipo de negcio.
Para Beal (2005), devido alta complexidade e ao alto custo de manter os ativos
da informao salvos de ameaas sua confidencialidade, integridade e disponibilidade,
importante a empresa adotar um enfoque de gesto baseado nos riscos especficos para
o negcio. Smola (2003) define risco como: a probabilidade de que agentes, que so
ameaas, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade,
integridade e disponibilidade e causando impacto nos negcios. Os impactos so
limitados por medidas de segurana, que ajudam a diminuir o risco. Assim, a gesto do
risco o conjunto de processos que permite s organizaes identificarem e
implementarem as medidas de proteo necessrias para diminuir os riscos a que esto
sujeitos os seus ativos de informao, e equilibr-los com os custos operacionais e
financeiros envolvidos. (BEAL, 2005).

2.1 Camadas de Segurana da Informao
A todo instante os negcios, seus processos e ativos fsicos, tecnolgicos e
humanos so alvo de investidas de ameaas de toda ordem, que buscam identificar um
empresas

ponto fraco compatvel, uma vulnerabilidade capaz de potencializar sua ao. Quando
essa possibilidade aparece, a quebra de segurana consumada. (SMOLA, 2001, p.
18).
Para Schneier (2001), as ameaas do mundo digital espelham as ameaas no
mundo fsico. Se o desfalque uma ameaa, ento o desfalque digital tambm uma
ameaa. Se os bancos fsicos so roubados, ento os bancos digitais sero roubados. O
crime no ciberespao inclui tudo o que se pode esperar do mundo fsico: roubo,
extorso, vandalismo, voyeurismo, explorao, jogos de trapaas, fraude etc.
Para Smola (2003), a gesto da segurana da informao pode ser classificada
em trs aspectos: tecnolgicos, fsicos e humanos. As organizaes preocupam-se
principalmente com os aspectos tecnolgicos (redes, computadores, vrus, hackers,
Internet) e se esquecem dos outros fsicos e humanos to importantes e relevantes
para a segurana do negcio quanto os aspectos tecnolgicos. Neste trabalho, optou-se
pela classificao apresentada por Adachi (2004) que estudou a gesto da segurana em
Internet Banking dividido-a em trs camadas: fsica, lgica e humana.

2.1.1 Camada Fsica
o ambiente onde est instalado fisicamente o hardware computadores,
servidores, meio de comunicao podendo ser o escritrio da empresa, a fbrica ou at
a residncia do usurio no caso de acesso remoto ou uso de computadores portteis.
Para Adachi (2004), a camada fsica representa o ambiente em que se encontram os
computadores e seus perifricos, bem como a rede de telecomunicao com seus
modems, cabos e a memria fsica, armazenada em disquetes, fitas ou CDs.
As pequenas e a mdias empresas tm seus dados armazenados, geralmente, em
servidores de rede ou em estaes compartilhadas, e o acesso fsico a estes
equipamentos nem sempre restrito. Na maioria das vezes, esse mesmo servidor ou
estao possui acesso liberado e ilimitado Internet, o que aumenta o risco de um
incidente de segurana. Na mdia empresa, o cenrio menos problemtico, porm no
o ideal, principalmente, devido conscientizao dos funcionrios sobre segurana da
informao.
O controle de acesso aos recursos de TI, equipamentos para fornecimento
ininterrupto de energia e firewalls so algumas das formas de se gerir a segurana desta
camada.

2.1.2 Camada Lgica
A camada lgica caracterizada pelo uso de softwares - programas de
computador - responsveis pela funcionalidade do hardware, pela realizao de
transaes em base de dados organizacionais, criptografia de senhas e mensagens etc.
Segundo Adachi (2004), nessa camada que esto as regras, normas, protocolo de
comunicao e onde, efetivamente, ocorrem as transaes e consultas.
A segurana, em nvel lgico, refere-se ao acesso que indivduos tm s
aplicaes residentes em ambientes informatizados, no importando o tipo de aplicao
Vol.4, No. 3, 2007, p. 375-397
380

ou o tamanho do computador. As ferramentas de controle so, em sua maior parte,
invisveis aos olhos de pessoas externas aos ambientes de informtica; estas s os
reconhecem quando tm o seu acesso barrado pelo controle de acesso. (CARUSO e
STEFFEN, 1999).
Manter o software de sistema operacional atualizado com a mais recente
correo de segurana disponibilidade pelo fabricante uma forma de minimizar os
riscos de segurana nesta camada.

2.1.3 Camada Humana
A camada humana formada por todos os recursos humanos presentes na
organizao, principalmente os que possuem acesso aos recursos de TI, seja para
manuteno ou uso. So aspectos importantes desta camada: a percepo do risco pelas
pessoas: como elas lidam com os incidentes de segurana que ocorrem; so usurios
instrudos ou ignorantes no uso da TI; o perigo dos intrusos maliciosos ou ingnuos; e a
engenharia social (ADACHI, 2004).
Das trs camadas, esta a mais difcil de se avaliar os riscos e gerenciar a segurana,
pois envolve o fator humano, com caractersticas psicolgicas, scio-culturais e
emocionais, que variam de forma individual (SCHNEIER, 2001).
A gesto da segurana da informao envolve mais do que gerenciar os recursos de
tecnologia hardware e software envolve pessoas e processos, porm algumas
empresas negligenciam este fator. A poltica de segurana e a conscientizao dos
usurios so algumas das formas de se controlar a segurana desta camada.

2.2 Norma de Segurana
Normas e padres tm por objetivo definir regras, princpios e critrios,
registrar as melhores prticas e prover uniformidade e qualidade a processos, produtos
ou servios, tendo em vista sua eficincia e eficcia. (BEAL, 2005, p. 36).
Concomitantemente, Smola (2003) diz que uma norma tem o propsito de definir
regras, padres e instrumentos de controle que dem uniformidade a um processo,
produto ou servio.
Devido ao interesse internacional em uma norma de segurana da informao,
em dezembro de 2000, foi publicada a norma internacional ISO 17799:2000. Em 2001,
a Associao Brasileira de Normas Tcnicas (ABNT) publicou a verso brasileira que
ficou com a denominao de NBR/ISO 17799 Cdigo de Prtica para a Gesto da
Segurana da Informao (OLIVA e OLIVEIRA, 2003). Em setembro de 2005, a norma
foi revisada e publicada como NBR ISO/IEC 17799:2005. (ISO 17799, 2005). Segundo
Holanda (2006), o comit que trata da segurana da informao na ISO aprovou a
criao de uma famlia de normas sobre gesto da segurana da informao, batizada
pela srie 27000, onde a ento ISO IEC 17799:2005 foi rebatizada por ISO IEC
27002:2005.
A norma define 127 controles que compem o escopo do Sistema de Gesto de
Segurana da Informao (Information Security Management System ISMS),
empresas

agrupados em 11 sees de controles: Poltica de Segurana da Informao;
Organizao da Segurana da Informao; Gesto de Ativos; Segurana em Recursos
Humanos; Segurana Fsica e do Ambiente; Gesto das Operaes e Comunicaes;
Controle de Acesso; Aquisio, Desenvolvimento e Manuteno dos Sistemas de
Informao; Gesto de Incidentes da Segurana da Informao; Gesto da Continuidade
do Negcio e Conformidade.
A adequao de qualquer empresa norma ISO IEC 27002:2005 garante
conformidade com as melhores prticas em gesto da segurana da informao. As
normas so criadas para estabelecerem diretrizes e princpios para melhorar a gesto de
segurana nas empresas e organizaes. (HOLANDA, 2006).
Para melhorar o entendimento e o estudo da gesto da segurana da informao,
as sees da norma foram divididas nas trs camadas conforme quadro 1.
Camada Seo Objetivos
Gesto das operaes e
comunicaes
Garantir a operao segura e correta dos recursos de
processamento da informao.
Segurana fsica e do ambiente Prevenir o acesso fsico no-autorizado, danos e
interferncias com as instalaes e informaes da
organizao; impedir perdas, danos, furto ou
comprometimento de ativos e interrupo das atividades
da organizao.
Controle de acesso Controlar acesso informao; assegurar acesso de
usurio autorizado e prevenir acesso no autorizado a
sistemas de informao; prevenir o acesso no autorizado
dos usurios e evitar o comprometimento ou roubo da
informao e dos recursos de processamento da
informao; prevenir acesso no autorizado aos servios
da rede.
Fsica
Gesto de incidentes de
segurana da informao
Assegurar que um enfoque consistente e efetivo seja
aplicado gesto de incidentes da segurana da
informao.
Lgica Aquisio, desenvolvimento e
manuteno de Sistemas de
Informao
Garantir que segurana parte integrante de sistemas de
informao; prevenir a ocorrncia de erros, perdas,
modificao no autorizada ou mau uso de informaes
em aplicaes; proteger a confidencialidade, a
autenticidade ou a integridade das informaes por meios
criptogrficos;
Garantir a segurana de arquivos de sistema; manter a
segurana de sistemas aplicativos e da informao.
Reduzir riscos resultantes da explorao de
vulnerabilidades tcnicas conhecidas.
Humana Organizando a segurana da
informao
Gerenciar a segurana de informao dentro da
organizao; manter a segurana dos recursos de
processamento da informao e da informao da
organizao, que so acessados, processados,
Vol.4, No. 3, 2007, p. 375-397
382

comunicados ou gerenciados por partes externas.
Gesto de Ativos Alcanar e manter a proteo adequada dos ativos da
organizao; assegurar que a informao receba um nvel
adequado de proteo.
Segurana em recursos
humanos
Assegurar que os funcionrios, fornecedores e terceiros
entendam suas responsabilidades e estejam de acordo com
seus papis e reduzir o risco de roubos, fraudes ou mau
uso de recursos.
Gesto da continuidade do
negcio
No permitir a interrupo das atividades do negcio e
proteger os processos crticos contra efeitos de falhas ou
desastres significativos e assegurar a sua retomada em
tempo hbil se for o caso.
Conformidade Evitar violao de qualquer lei criminal ou civil, estatutos,
regulamentaes ou obrigaes contratuais e de quaisquer
requisitos de segurana da informao.
Poltica de segurana da
informao
Prover uma orientao e apoio da direo para a segurana
da informao de acordo com os requisitos do negcio e
com as leis e regulamentaes relevantes.
Quadro 1: Sees da norma ISO IEC 27002 por camadas

Muitas sees da norma ISO IEC 27002:2005 possuem caractersticas das trs
camadas de segurana da informao (fsica, lgica e humana). Houve um esforo neste
trabalho no sentido de classificar a seo pela camada que apresenta a maioria dos
controles de uma delas.

2.3 Fatores influenciadores para adoo de TI ou Segurana da Informao em
PMEs
Pouca literatura foi encontrada sobre a adoo da gesto da segurana da
informao em organizaes de qualquer porte. Porm, devido ao fato da maioria das
empresas entenderem segurana da informao como simplesmente segurana de rede
ou segurana em TI, considerou-se neste trabalho que os motivos que levam adoo
de TI esto associados ou so equivalentes aos motivos que levam adoo da gesto
da segurana da informao. Seguem os autores pesquisados que tratam da adoo de TI
e suas consideraes:
Thong (apud Prates e Ospina, 2004) salienta que as pequenas empresas no
conhecem a importncia de fatores-chave em TI, alm das PMEs dispuserem de
recursos reduzidos, podem estar gastando recursos e energia em fatores de pouca
importncia para o sucesso da implementao da TI. O autor, em pesquisa realizada
com 114 pequenas empresas de Singapura, concluiu que as pequenas empresas com
sucesso em TI tendiam a ter alta participao de especialistas externos.
Palvia e Palvia (1999) conduziram uma pesquisa em uma amostra de 1460
pequenas empresas para verificar os padres de satisfao com TI, onde o proprietrio
empresas

era tambm gerente, principal usurio, alm de desempenhar as principais atividades de
TI. Os autores concluram que as caractersticas do proprietrio tm impacto maior na
satisfao em TI do que qualquer outro fator; para tanto foram considerados gnero,
idade do proprietrio, raa e habilidade em computao.
Outra pesquisa realizada com 25 pequenas empresas da macro-regio de
Ribeiro Preto SP, Prates e Ospina (2004), identificaram que os principais motivos
que levaram as empresas a implantarem TI foram: melhoria dos controles
organizacionais, aumento de participao no mercado, aumento de produtividade e
reduo de custos. Em relao s dificuldades encontradas, a resistncia pelos
funcionrios foi a mais expressiva, seguida pela cultura tradicional e ausncia de
pessoal qualificado.
Cragg e King (1993) pesquisaram os fatores motivadores e inibidores para
utilizao de computadores em pequenas empresas. Como fatores motivadores
encontraram o que nomearam como relative advantage que se referem s economias de
tempo e esforo; benefcios econmicos e diminuio de muitas tarefas repetidas. O
entusiasmo de alguns proprietrios com a tecnologia e a forte influncia de consultores
de TI tambm foram fatores considerados como motivadores da adoo.
Os fatores que desencorajaram o crescimento de TI foram agrupados em:
educacionais, tempo administrativo, econmicos e tcnicos. Os fatores educacionais so
relativos falta de conhecimento sobre os sistemas utilizados, bem como falta de
pessoas com conhecimentos especficos de anlise de sistemas, design e
desenvolvimento. O fator tempo administrativo refere-se ao fato que muitos sistemas
acabam consumindo considervel quantia de tempo dos gerentes no processo de
implantao. Os fatores econmicos referem-se situao econmica da empresa no
momento e anlise informal de custo-benefcio dos sistemas. Com pouco
conhecimento tcnico interno, pequenas empresas so muito confiantes no conselho e
apoio que obtm de seus fornecedores de TI, o que as limita, muitas vezes, ao uso de
pacotes de aplicativos, aceitao de limitaes no software e a sua adaptao aos
requerimentos do sistema.
Lunardi e Dolci (2006) realizaram uma pesquisa com 123 micros e pequenas
empresas do Rio Grande do Sul e concluram que os principais motivos que tm levado-
as a adotarem TI esto relacionadas s presses externas (os concorrentes diretos tm
adotado ou por influncia de clientes, fornecedores ou do prprio governo) que a
empresa enfrenta e existncia de um ambiente organizacional favorvel (funcionrios
em condies de utiliz-la e com uma estrutura organizacional adequada).
Relacionado adoo da gesto da segurana da informao, Gupta e Hammond
(2004) realizaram uma pesquisa com 138 pequenas e mdias empresas nos Estados
Unidos que apontou que somente 19% dos pesquisados tiveram um incidente de
segurana nos ltimos 12 meses, o que pode explicar a baixa porcentagem de pequenas
empresas que desenvolve uma poltica de segurana e adquire proteo bsica e
software de backup.
Uma outra pesquisa realizada por Gabbay (2003) no Rio Grande do Norte,
estudou os fatores que influenciam os Executivos e Gerentes de TI nas suas percepes
em relao s diretrizes de Segurana da Informao na norma NBR ISO/IEC 17799
Vol.4, No. 3, 2007, p. 375-397
384

dimenso controle de acesso. Em sua concluso, evidenciou a associao entre as
variveis, tamanho do parque de informtica e a freqncia dos ataques sofridos,
com a varivel Nvel de concordncia em relao norma NBR ISO/IEC 17799
dimenso controle de acesso.

3 METODOLOGIA

Esta pesquisa utilizou o mtodo exploratrio-descritivo e teve como
delineamento o levantamento (survey). Para realizao do estudo, foi selecionado o
setor de fabricao de produtos de metal, exclusive mquinas e equipamentos,
localizado na regio do ABC paulista. que o mais expressivo do cadastro da CIESP
com 256 empresas cadastradas, sendo 225 classificadas como empresas de pequeno
porte e 31 empresas classificadas como mdio porte.
Os sujeitos da pesquisa foram os gestores (gerentes ou proprietrios) que
possuam algum envolvimento no processo de aquisio ou em investimentos em gesto
da segurana da informao ou em TI.
Para fornecer subsdios para criao do questionrio, foram realizadas
entrevistas semi-estruturadas com sete gestores de quatro organizaes diferentes. As
entrevistas foram realizadas no ms de setembro de 2006. Foram gravadas e tiveram
durao aproximada de quarenta minutos. Em trs empresas, as entrevistas foram
realizadas com dois gestores simultaneamente, somente em uma das empresas, a
entrevista foi individual. Por serem semi-estruturadas, as entrevistas permitiram o
acompanhamento da resposta e, quando necessrio, foram efetuadas perguntas
relacionadas, que no estavam includas no roteiro original. Isso ajudou, conforme
recomenda Hair, J r. et al. (2005), na descoberta de informaes adicionais.
Procurou-se nas entrevistas conhecer primeiramente o perfil do gestor
entrevistado, questionando-o sobre incidentes pessoais de segurana ocorridos
anteriormente e como ele se mantm informado sobre assuntos ligados TI e
segurana da informao. Buscou-se levantar tambm o perfil da empresa e saber o
conhecimento do gestor sobre incidentes ocorridos com sua empresa. O valor da
informao para a empresa e o risco inerente ela tambm foram objetos de
questionamento, buscando-se entender como as empresas tm lidado com este tema. Por
fim, a entrevista questionou-os sobre as ferramentas e tcnicas de defesa implantadas na
empresa e os motivos que contriburam ou contribuiriam para elevar os investimentos
em gesto da segurana da informao.
Perfil do Gestor No se mantm informados sobre a rea (falta de conhecimento).
Perfil da Empresa
Enfrentaram incidentes de segurana relacionados a: vrus, parada da rede
ou servidor, furto de informaes.
Valor da Informao e
Anlise de Risco
A maioria dos gestores alega preocupao com as informaes
armazenadas em TI;
Alguns gestores alegaram que o principal risco so os funcionrios.
Ferramentas e Tcnicas
de Defesas
Antivrus;
Backup;
Firewall.
Fatores Orientao de um especialista externo;
empresas

Importncia da relao custo/benefcio do investimento;
Incidentes anteriores.
Quadro 2: Principais contribuies obtidas com entrevistas preliminares

O questionrio utilizado na etapa do levantamento foi disponibilizado s
empresas pesquisadas em um website da Internet agrupando os seguintes grupos de
variveis e quantidade de questes:
Grupo de
Variveis
O que se pretende investigar Qtde
Questes
Exemplos de
Questes
Perfil do Gestor
Identificao do responsvel
pelos investimentos em TI e
E-mail, cargo, departamento,
deciso de compra
Perfil da
Empresa
Identificao da empresa e do
parque de informtica, nvel de
utilizao dos recursos de TI
Nmero de funcionrios, qtde de
computadores, responsabilidade
pela rea de TI
Ferramentas e
Tcnicas
Importncia das ferramentas e
tcnicas de gesto da segurana
da informao e se a empresa a
possui
0
Na sua empresa qual o grau de
importncia do uso do firewall,
antivrus etc.
Fatores
Questiona sobre os fatores
motivadores ou inibidores para
adoo da gesto da segurana da
informao
Recomendao de um especialista
externo ou fornecedor da rea
TOTAL DE QUESTES
6

Quadro 3: Conjunto de variveis contidas no questionrio.

Este trabalho selecionou 20 controles dos 127 presentes na norma ISO/IEC
17799:2005 para serem pesquisados junto s pequenas e mdias empresas. Dentre as 11
sees presentes, foi selecionado pelo menos um controle de cada seo. Entretanto, em
algumas sees mais de um controle se mostrou importante por sua possvel aplicao
nas empresas pesquisadas. As sees da norma onde foram selecionados mais de um
controle so: Gesto de Ativos (2); Segurana Fsica e do Ambiente (2); Gesto das
Operaes e Comunicaes (4); Aquisio, Desenvolvimento e Manuteno de
Sistemas de Informao (3); Conformidade (2).
A seleo dos controles baseou-se em pesquisas sobre segurana da informao
realizadas pelo Mdulo Security no Brasil, pelo FBI nos Estados Unidos, pelas
recomendaes da norma ABNT NBR ISO/IEC 17799:2005, por meio de entrevistas
preliminares realizadas com os gestores, alm da experincia profissional dos
pesquisadores.

4 ANLISE E DISCUSSO DOS RESULTADOS

Vol.4, No. 3, 2007, p. 375-397
386

A pesquisa foi realizada entre os meses de fevereiro e maro de 2007. Foram
contatadas por telefone as 256 empresas da populao, sendo que destas 43
responderam ao questionrio. Entre os respondentes 84% ocupam cargos gerenciais,
conforme exibido no grfico 1, e 98% dos pesquisados possuem envolvimento sobre a
deciso de compra de ferramentas e tcnicas de gesto da segurana da informao ou
TI.
Cargo
scio-proprietrio
42%
diretor
16%
gerente
14%
supervisor
12%
analista
16%

Grfico 1: distribuio de cargos nas empresas pesquisadas

Quanto s caractersticas das empresas respondentes em relao ao porte e ao
nmero de empregados, a amostra coletada est representada da seguinte forma,
conforme o grfico 2: 5% so microempresas (at 10 empregados), 81% so pequenas
empresas (entre 10 e 99 funcionrios) e 14% so mdias empresas (de 100 a 499
funcionrios). A delimitao da pesquisa inclui somente pequenas e mdias empresas,
assim as 5% consideradas microempresas foram excludas da amostra para as anlises
das ferramentas/tcnicas e fatores de adoo.
Nmero de Empregados
1 a 9
5%
10 a 49
48%
50 a 99
33%
100 a 499
14%
acima de 500
0%

Grfico 2: nmero de empregados das empresas pesquisadas

empresas

O grfico 3 exibe a distribuio da quantidade de computadores nas empresas
pesquisadas.

Quantidade de Computadores
menos de 5
5 a 10
21%
21%
de 201 a 500
2%
de 101 a 200
5%
de 21 a 100
de 10 a 20
23%
28%
Grfico 3: quantidade de computadores

A responsabilidade da rea de TI na maioria das empresas da amostra de um
departamento interno ou funcionrio (56%), enquanto os outros 44% so de empresas
terceiras, sendo 23% com contrato e 21% contatadas por chamados eventuais.
Quando perguntados sobre o nvel de informatizao de suas operaes, a
maioria das empresas o considerou entre mdio (65%) e alto (28%), o que pode sugerir
a necessidade de uma gesto de segurana da informao mais eficaz nestas empresas
devido a maior concentrao de informaes em computadores.
Para ajudar as empresas pesquisadas a responder sobre o nvel de informatizao
de suas operaes, foram consideradas as seguintes proposies no questionrio:
baixo: uso constante de edio de documentos, e-mails, acesso Internet;
mdio: as consideraes do nvel baixo, mais uso intensivo de planilhas
eletrnicas e Internet Banking;
alto: as consideraes do nvel mdio, mais uso de sistema integrado, acesso
remoto a funcionrios/fornecedores, comrcio eletrnico.

4.1 Ferramentas e Tcnicas de Gesto da Segurana da Informao
4.1.1 Camada Fsica
Nove questes foram formuladas para representar a camada fsica com base nas
sees: Gesto das operaes e comunicaes, Segurana fsica e do ambiente, Controle
Vol.4, No. 3, 2007, p. 375-397
388

de acesso e, Gesto de incidentes de segurana da informao.
O grfico 4 mostra a quantidade de empresas que possui ou no a
ferramenta/tcnica de gesto da segurana da informao na camada fsica.
Ferramentas e Tcnicas - Camada Fsica
0 5 10 15 20 25 30 35 40
Antivrus
Sistema de backup
Equipamento para proteo de falhas na energia eltrica
Firewall
Nome de usurio, senha individual e secreta para acesso a rede
Sala de servidores protegida e em local restrito
Canais de comunicao para registro de eventos de segurana
Descarte seguro da mdia removvel
Monitoramento e anlise crtica dos registros (logs)
Possui No possui
Grfico 4: Camada Fsica
4.1.2 Camada Lgica
Na camada lgica, foram elaboradas trs perguntas todas pertencentes seo
Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao.
empresas

Ferramentas e Tcnicas - Camada Lgica
0 5 10 15 20 25 30 35 40
Atualizao de software para
correo de falhas de segurana
Criptografia em banco de dados
e/ou para troca de informaes
Superviso do desenvolvimento
terceirizado de software com
requisitos para controles de
Possui No Possui

Grfico 5: Camada Lgica

4.1.3 Camada Humana
Nesta camada, oito questes enunciadas no questionrio e extradas das sees:
Poltica de segurana da informao, Gesto de ativos, Organizando a segurana da
informao, Segurana em Recursos Humanos e Gesto da continuidade do negcio da
norma tentaram conhecer a preocupao das empresas e o que efetivamente est sendo
feito.
Vol.4, No. 3, 2007, p. 375-397
390

Ferramentas e Tcnicas - Camada Humana
0 5 10 15 20 25 30 35 40
Regras para uso da informao e dos recursos de TI
Controle dos direitos de propriedade intelectual
Aviso aos usurios sobre o monitoramento dos recursos de TI
Poltica de segurana da informao
Classificao da informao
Contratos com terceiros com termos claros relativos a segurana
Plano de recuperao de desastres e contingncia
Conscientizao, educao e treinamento em segurana
Possui No Possui

Grfico 6: Camada Humana

Se observarmos os grficos de adeso das trs camadas: fsica, lgica e humana
pelas empresas pesquisadas, percebe-se que a camada humana, devido ao nmero de
ferramentas/tcnicas, a que apresenta maior carncia de cuidados por parte dos
administradores. Esta constatao confirma as alegaes de Schneier (2001) e as
preocupaes de Fontes (2006). O interessante que muitas das ferramentas/tcnicas
listadas neste trabalho na camada humana no so de difcil implementao, requerem,
na maioria dos casos, baixo investimento em ferramentas computacionais, tempo e
dedicao da gerncia. O que confirma as consideraes de Smola (2003) quando diz
que as empresas se preocupam mais com os aspectos tecnolgicos da segurana da
informao do que com os aspectos fsicos e humanos.
O grfico 7 representa o grau de importncia atribudo a todas as ferramentas ou
tcnicas de gesto da segurana da informao independentemente da camada a que foi
categorizado: a maior ameaa e causa de perda de dinheiro com fraudes pelas empresas
so os vrus de computador.
A implementao de uma Poltica de Segurana da Informao ficou em 11
lugar entre as 20 ferramentas/tcnicas pesquisadas, uma posio modesta perante
importncia que vrios autores estudados atribuem ferramenta.
empresas

Grau de Importncia das
Ferramentas e Tcnicas para Gesto da Segurana
Antivrus
Sistema de backup
Firewall
Equipamento para proteo de falhas na energia eltrica
Regras para uso da informao e dos recursos de TI
Nome de usurio, senha individual e secreta para acesso rede
Atualizao de software para correo de falhas de segurana
Controle dos direitos de propriedade intelectual
Aviso aos usurios sobre o monitoramento dos recursos de TI
Contratos com terceiros com termos claros relativos a segurana
Poltica de segurana da informao
Classificao da informao
Sala de servidores protegida e em local restrito
Criptografia em banco de dados e/ou para troca de informaes
Monitoramento e anlise crtica dos registros (logs)
Descarte seguro da mdia removvel
Conscientizao, educao e treinamento em segurana
Plano de recuperao de desastres e contingncia
Canais de comunicao para registro de eventos de segurana
2,4 2,6 2,8 3,0 3,2 3,4 3,6 3,8 4,0
Superviso do desenvolvimento terceirizad de software com requisitos o
para controles de segurana da informao
4,2 4,4 4,6 4,8 5,0

Grfico 7: Grau de importncia da Ferramentas/Tcnicas

4.2 Gesto da Segurana da Informao nas Trs Camadas

A fim de avaliar o nvel de gesto da segurana da informao implementadas
nas pequenas e mdias empresas pesquisadas e, conseqentemente, sua adequao a
alguns itens da norma ISO IEC 27002:2005 foi desenvolvida a seguinte metodologia:
verificar se a empresa possui pelo menos uma ferramenta/tcnica instalada em
cada uma das camadas de segurana: fsica, lgica e humana;
verificar se a porcentagem das ferramentas/tcnicas que a empresa possui
instalada maior ou igual a 50%, independentemente da camada de segurana;
caso a empresa atenda s condies determinadas no item a e b, sua gesto da
segurana da informao classificada como satisfatria, caso contrrio
classificada como insatisfatria.
A maioria das empresas pesquisadas (59%) se enquadrou no nvel satisfatrio, o
que indica que existe uma preocupao da maioria das empresas com as trs camadas da
segurana.
O grfico 8 representa a distribuio das ferramentas/tcnicas instaladas nas
Vol.4, No. 3, 2007, p. 375-397
392

empresas pesquisadas. A maior distribuio de freqncia encontrada est no intervalo
entre 60% a 80% das ferramentas/tcnicas instaladas, com 13 empresas. Acima de 80%
encontram-se nove empresas. Somando as duas freqncias, temos que 53,7% das
empresas pesquisadas possuem mais que 60% das ferramentas/tcnicas instaladas, o que
pode inferir que a maioria encontra-se adequada gesto da segurana da informao,
independentemente da camada.
Ao diferenciar as pequenas empresas das mdias empresas, pde-se observar
que somente em uma das mdias empresas a gesto da segurana da informao foi
categorizada como insatisfatria, pois no atende aos requisitos mnimos estabelecidos.
Todas as demais consideradas insatisfatrias so representadas por pequenas empresas,
por possurem menos recursos financeiros e humanos acabam no conseguindo atender
s trs camadas efetivamente.
Ferramentas/Tcnicas Implantadas
2
9
7
10
13
-
2
4
6
8
10
12
14
16
0-20 20-40 40-60 60-80 80-100
% ferramentas/tcni cas i mpl antadas em rel ao ao total das ferramentas
pesqui sadas
N

d
e

E
m
p
r
e
s
a
s

Grfico 8: Quantidade de ferramentas/tcnicas implantadas, por faixa, nas 43 empresas
pesquisadas

4.4 Fatores motivadores e inibidores

Alm de levantar as principais ferramentas e tcnicas utilizadas pelas pequenas e
mdias empresas pesquisadas, este trabalho teve como foco principal verificar os fatores
motivadores e inibidores para uso e a aplicao da gesto da segurana da informao.
Os fatores pesquisados bem como os resultados das mdias de cada um encontram-se
exibidos no grfico 9.
Fatores Motivadores
4,366
3,634
3,341
3,512
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
recomendao especialista
externo
incidente anterior conscincia do gestor evitar perdas financeiras

empresas

Fat ores Inibidores
3,659
3,707
3,366
3,659
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
valor do investimento dificuldades em mensurar
custo/benefcio
falta de conhecimento cultura organizacional

Grfico 9: Fatores Motivadores e Inibidores

O grfico 9 exibe que o fator motivador que obteve a maior mdia na pesquisa
foi evitar perdas financeiras seguido por conscincia do gestor. Em fatores
inibidores, a maior mdia ficou com o fator falta de conhecimento.
Para verificar a significncia das mdias apresentadas no grfico 9, foram
realizados os seguintes testes com o uso do software SPSS: teste Shapiro-Wilk para
verificar a normalidade dos dados, teste Kruskal-Wallis para verificar a significncia
entre as mdias, teste Mann-Whitney para verificar a mdia que apresentava maior
significncia;
O teste Shapiro-Wilk revelou um valor de p <0,0001, para tanto a distribuio
no pode ser considerada normal, o que inviabilizou o uso de testes paramtricos como
ANOVA Analysis of Variance. Assim, procedeu ao uso de testes no-paramtricos.
O teste Kruskal-Wallis realizado com as mdias dos fatores motivadores e com
as mdias dos fatores inibidores revelou que: em fatores motivadores, nem todas as
mdias so iguais estatisticamente (p <0,0001), porm as mdias dos fatores inibidores
no apresentaram diferenas significativas entre si (p =0,429); ao nvel de confiana de
95%, o que pode inferir que todos os fatores inibidores tm a mesma importncia para a
amostra de empresas pesquisadas.
Para confirmar entre os fatores motivadores a mdia que apresentava diferena
significativa foi realizado o teste Mann-Whitney, comparando a mdia de cada fator
entre si. Os resultados esto apresentados na tabela 1:
Tabela 1: Teste Mann-Whitney
Fatores
Mann-
Whitner
U
Wilcoxon
W
Z
Asymp.Sig
(2-tailed)
especialista interno x incidente anterior 773,000 1634,000 -0,648 0,517
especialista interno x conscincia do
gestor
775,500 1636,500 -0,626 0,531
especialista interno x evitar perdas
482,000 1343,000 -3,529 0,000
Vol.4, No. 3, 2007, p. 375-397
394

financeiras
incidente anterior x evitar perdas
financeiras
443,500 1304,500 -3,870 0,000
conscincia do gestor x evitar perdas
financeiras
529,000 1390,000 -3,061 0,002

Dentre as mdias analisadas, a que apresentou diferena significativa entre as
demais foi a do fator evitar perdas financeiras, com p <0,05, inferindo que o fator
motivador para as empresas implantarem ferramentas/tcnicas de gesto da segurana
da informao se d, principalmente, para evitar possveis perdas financeiras ou
operacionais.
Apesar dos testes estatsticos revelarem que os demais fatores motivadores tm a
mesma significncia em termos de mdia, o fator conscincia do gestor (segunda
maior mdia) merece ateno por indicar certa incoerncia com os fatores inibidores
que mostram a falta de conhecimento com a maior mdia, pois estranho identificar
que o gestor tem conscincia dos perigos que sua empresa corre com relao s
informaes, porm no se preocupa em ter o conhecimento adequado para sanar os
problemas. Fato que tambm ficou claro nas entrevistas preliminares.
Nas entrevistas realizadas para criao do questionrio ficou evidenciado que
incidentes anteriores tinham um peso considervel na adoo de gesto da segurana da
informao, assim como pesquisado por Gabbay (2003), porm nesta pesquisa no se
apresentou como fator importante, o que pode indicar que as pequenas e mdias
empresas no tm sofrido incidentes de segurana da informao como apontado por
Gupta e Hammond (2004) ou no tm monitorado (como apresenta o baixo grau de
importncia nas ferramentas/tcnicas no item anterior) seus recursos para descobrir
evidncias de ataques aos ativos de informao, o que pode representar um srio risco
continuidade do negcio e/ou vazamento de segredos industriais e processos a
concorrentes.
A importncia da recomendao de um especialista externo ou fornecedor da
rea tambm ficou clara nas entrevistas e foi apontada nas pesquisas sobre adoo de TI
de Cragg e King (1993) e Thong. Porm no apresentou mdia significativa como fator
motivador na adoo de gesto da segurana da informao na amostra pesquisada.
Nos fatores inibidores no foi possvel destacar o mais importante, visto as
mdias encontradas no apresentarem diferenas significativas. Porm, de acordo com
as entrevistas preliminares a falta de conhecimento do gestor um fator inibidor que
merece certa ateno, pois ficou explcito nas entrevistas que no existe uma
preocupao dos gestores em se manterem informados sobre assuntos ligados gesto
da segurana. Em relao aos outros fatores inibidores, conclui-se que para as empresas
o valor do investimento e sua mensurao em razo do custo/benefcio no so
dispendiosos e, portanto, fceis de serem aprovados no oramento e implementados. A
cultura organizacional tambm no mereceu destaque entre os fatores inibidores,
possivelmente pela crescente divulgao de notcias relacionadas a incidentes de
empresas

segurana da informao na mdia em geral, e a conseqente conscientizao das
pessoas com relao mesma.

5 CONCLUSO

Das empresas pesquisadas, 80% possuem pelo menos um controle em cada uma
das camadas de segurana (fsica, lgica e humana), o que indica que as PMEs se
mostram preocupadas com a gesto da segurana da informao. Quando utilizada a
classificao presente neste estudo sobre a gesto da segurana da informao, 59% das
empresas pesquisadas podem ser consideradas satisfatrias com os controles
implantados. A ferramenta mais utilizada foi o antivrus, presente em 100% das
empresas pesquisadas, seguida por sistema de backup (97,6%) e firewall (82,9%).
Todos estes controles relativos camada fsica.
A camada humana a que carece de maior ateno por parte das empresas, pois
foi a que apresentou o menor ndice de controles implantados. Os dados confirmam que
as empresas investem principalmente em controles tecnolgicos para diminuir o risco de
incidentes de segurana da informao, porm esquecem que o fator humano uns dos
grandes responsveis por falhas na segurana.
Em relao s sees da norma ISO IEC 27002:2005, foi verificada uma baixa
adequao das pequenas e mdias empresas, o que pode demonstrar que a norma requer
muitos controles que a maioria no est preocupada em implantar ou no possui tempo
ou dinheiro para isso. Contando que a norma sugere 127 controles e neste trabalho
foram selecionados somente 20, esperava-se uma grande adequao aos controles.
Evitar perdas financeiras foi o fator motivador para adoo de gesto da
segurana da informao que apresentou maior mdia e o nico que apresentou
diferena significativa das mdias comparando com os demais fatores. O fator refora a
preocupao das empresas com o lado financeiro, visto ser mais fcil de mensurar do
que perda de produtividade ou imagem, por exemplo. Os demais fatores motivadores,
conforme comprovaram os testes estatsticos, podem ser considerados com pesos iguais.
No foi possvel indicar o principal fator inibidor na adoo da gesto da
segurana da informao, pois os testes estatsticos revelaram que todos os fatores
possuam o mesmo nvel de significncia. Porm, nas entrevistas realizadas com os
gestores a falta de conhecimento apareceu como um possvel fator inibidor e, aps a
realizao das pesquisas quantitativas, apresentou a maior mdia matemtica.
O presente estudo mostrou que as pequenas e mdias empresas, apesar de
considerarem a perda financeira como o principal fator para adoo da gesto da
segurana da informao, so carentes de informaes sobre a correta gesto da
segurana da informao.
Para estudos futuros, recomenda-se aplicar a pesquisa em outros setores da
economia como empresas de servios ou comrcio, a fim de verificar a amplitude das
anlises. Uma amostra maior de empresas tambm poderia relevar mais informaes e
possibilitar a indicao de um fator inibidor. Recomendam-se tambm estudos para
verificar a causa da falta de conhecimento dos gestores em gesto da segurana da
Vol.4, No. 3, 2007, p. 375-397
396

informao e TI. Haveria uma falta de interesse por parte das empresas ou dos gestores?

REFERNCIAS

ADACHI, Tomi. Gesto de Segurana em Internet Banking So Paulo: FGV, 2004.
121p. Mestrado. Fundao Getlio Vargas Administrao. Orientador: Eduardo
Henrique Diniz.
BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a
proteo dos ativos de informao nas organizaes So Paulo: Atlas, 2005.
CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em Informtica e de
Informaes So Paulo: Editora SENAC So Paulo, 1999.
COMIT GESTOR DA INTERNET NO BRASIL. Pesquisa sobre o uso das
tecnologias da informao e da comunicao no Brasil 2005. Disponvel em
<http://www.mct.gov.br/upd_blob/10819.pdf>. Acesso em 27/12/2006 s 20h48min.
CRAGG, Paul B.; KING, Malcolm. Small-Firm Computing: motivators and inhibitors
MIS Quarterly, maro/1993, p. 47-60.
FONTES, Edison. Segurana da Informao: o usurio faz a diferena - So Paulo:
Saraiva, 2006.
GABBAY, Max Simon. Fatores influenciadores da implementao de aes de Gesto
de Segurana da Informao: um estudo com executivos e gerentes de tecnologia da
informao em empresas do Rio Grande do Norte. 01/06/2003. 1v. 150p. Mestrado.
Universidade Federal do Rio Grande do Norte - Engenharia de Produo.
Orientador(es): Anatlia Saraiva Martins Ramos. Biblioteca Depositaria: BCZM
GUPTA, Atul; HAMMOND, Rex. Information systems security issues and decisions
for small business: an empirical examination Information Management & Computer
Security, 2004, pg. 297-310. Disponvel em <http://www.emeralinsight.com/0968-
5227.htm>. Acesso em 09/09/2006.
HAIR, J R J oseph F.; BABIN, Barry; MONEY Arthur H.; SAMOUEL, Phillip.
Fundamentos de Mtodos de Pesquisa em Administrao - Porto Alegre: Bookman,
2005.
HOLANDA, Roosevelt de. O estado da arte em sistemas de gesto da segurana da
Informao: Norma ISO/IEC 27001:2005 So Paulo: Mdulo Security Magazine, 19
jan 2006. Disponvel em <http://www.modulo.com.br>seo documentos - artigos.
ISO 17799. ABNT NBR ISO/IEC 17799:2005 Tecnologia da Informao Tcnicas
de segurana Cdigo de prtica para a gesto da segurana da informao. Associao
Brasileira de Normas Tcnicas Rio de J aneiro: ABNT, 2005.
MDULO. 9 Pesquisa Nacional de Segurana da Informao Rio de J aneiro:
Outubro/2003. Disponvel em
<http://www.modulo.com.br/pdf/nona_pesquisa_modulo.pdf>.
MORAES, Giseli Diniz de Almeida; TERENCE, Ana Cladia Fernandes; ESCRIVO
Gesto da segurana da informao: fatores que influenciam sua adoo em pequenas e mdias
empresas

Vol.4, No. 3, 2007, p. 375-397
397
FILHO, Edmundo. A tecnologia da informao como suporte gesto estratgica da
informao na pequena empresa Revista de Gesto da Tecnologia e Sistemas da
Informao, v.1, n.1, 2004, p. 28-44.
LUNARDI, Guilherme Lerch; DOLCI, Pietro Cunha. Adoo de Tecnologia da
Informao e seu Impacto no Desempenho Organizacional: um estudo realizado com
micro e pequenas empresas Salvador: ENANPAD - 30 Encontro da ANPAD, 2006.
OLIVA, Rodrigo Polydoro; OLIVEIRA, Mrian. Elaborao, Implantao e
Manuteno de Poltica de Segurana por Empresas no Rio Grande do Sul em relao s
recomendaes da NBR/ISO17799 ENANPAD, 2003.
PALVIA, Prashant C.; PALVIA, Shailendra C. An examination of the IT satisfaction
of small-business users. Information & Management. Amsterdam: Mar 8, 1999.Vol.35,
Iss. 3; p. 127, 11 p..
PRATES, Glucia Aparecida; OSPINA, Marco Tlio. Tecnologia da Informao em
Pequenas Empresas: fatores de xito, restries e benefcios RAC, v.8, n.2, Abr/J un-
2004, p. 09-26.
ROCHA, Lus Fernando. Governana em TI e Segurana: COBIT e ISO 17799 no
mercado financeiro Modulo Security Magazine, 29/09/2003. Disponvel em
<http://www.modulo.com.br>seo documentos - artigos.
SCHNEIER, Bruce. Segurana.com: segredos e mentiras sobre a proteo na vida
digital Rio de J aneiro: Campus, 2001.
SMOLA, Marcos. Gesto da Segurana da Informao: uma viso executiva Rio de
J aneiro: Campus, 2003.

Dialnet GestaoDaSegurancaDaInformacao 2734365 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dialnet GestaoDaSegurancaDaInformacao 2734365 PDF

Uploaded by

Copyright:

Available Formats

Revista de Gesto da Tecnologia e Sistemas de Informao

Journal of Information Systems and Technology Management

You might also like