Академический Документы
Профессиональный Документы
Культура Документы
Metadados
Data de Publicação 2010
Resumo As pequenas e médias empresas assumem um papel relevante na
economia nacional e internacional, em termos de produção, emprego
e volume de negócios. Contudo, existe uma carência de investigação
científica na área da segurança da informação nas pequenas e médias
empresas. o objectivo desta tese é atenuar esta lacuna, caracterizando a
eficácia das práticas de gestão da segurança da informação nas pequenas
e médias empresas e a formação da percepção dos riscos da segurança da
informação pelos seus ...
Palavras Chave Pequenas e médias empresas - Processamento de dados - Medidas de
segurança, Segurança informática, Sistemas de informação para a gestão -
Medidas de segurança, Avaliação do risco, Pequenas e médias empresas -
Gestão
Tipo doctoralThesis
Revisão de Pares Não
Coleções [ULL-FCEE] Teses
http://repositorio.ulusiada.pt
UNIVERSIDADE LUSÍADA DE LISBOA
Faculdade de Ciências da Economia e da Empresa
Doutoramento em Gestão
Constituição do Júri:
Lisboa
2010
UNIVERSIDADE LUSÍADA DE LISBOA
DEDICATÓRIA
Arminda e José.
AGRADECIMENTOS
Ao meu co-orientador, Professor Doutor Ilídio Rodrigues Antunes, pela sua orientação e
disponibilidade para acompanhar esta investigação.
À Eng.ª Sandra Martins do IAPMEI pelos contactos estabelecidos com algumas empresas
para a realização do pré-teste do instrumento de medida e à sua disponibilidade para nos
acompanhar nas visitas efectuadas.
Ao Dr. Gabriel Coimbra da IDC Portugal pela sua disponibilidade para uma colaboração
na administração do questionário e pela divulgação da nossa investigação e pedido de
resposta ao inquérito na página de Internet da IDC.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias iii
Empresas Portuguesas
À Dr.ª Paula Palma da INSTFORM, pela sua disponibilidade e empenho na administração
do questionário junto dos seus clientes.
O meu obrigado a todos aqueles que validaram o questionário: Prof. Doutor Marc Scholten,
Prof. Doutor Pedro Z. Caldeira, Prof. Doutor Rodrigo Magalhães, Prof. Doutor Luis Lages,
Prof.ª. Doutora Carmen Lages, Prof. Doutor Jorge Gomes, Prof. Doutor Fernando Gaspar,
Prof. Doutor Miguel Cunha, Prof. Doutor César Madureira e Prof.ª. Doutora Manuela
Sarmento; Dr. Hervé Silva e Dr. Rui Vaz da GMS Consulting, Dr. Edgar Pimenta e Dr.
Pedro Campos da Portugal Telecom; Dr. Carlos Palito e Eng. Valério Bargado da ZON
Multimédia.
RESUMO
O objectivo desta tese é atenuar esta lacuna, caracterizando a eficácia das práticas de
gestão da segurança da informação nas pequenas e médias empresas e a formação da
percepção dos riscos da segurança da informação pelos seus gestores.
ABSTRACT
Small and medium size firms are very important for national and international economies,
gross domestic product, turnover and employment. However, there is a dearth of scientific
empirical research in an area that is quintessential for small and medium size firms, which
is information security.
The aim of the present dissertation is to attenuate this gap by characterizing the
effectiveness of management practices of information security in small and medium size
firms and by studying the perception of information security risk formation of the
shareholders / managers of small and medium size firms.
The present research was based on questionnaire as the main instrument of data collection.
We collected 674 valid questionnaires, both electronically and paper versions were used.
We tested the conceptual model of research, using models of simple and multiple linear
regressions.
The results indicate that the information security governance, information security
technologies, people and managers perception of information security risk are crucial for
the effectiveness of management practices of information security in small and medium
size firms. Further research is needed to identify how perception of information security
risks is formed by the shareholders/managers of small and medium size firms; alternative
measurement instruments and sampling technique provide a better understanding of this
research area.
ÍNDICE
INTRODUÇÃO ................................................................................................................... 1
1. ENQUADRAMENTO ............................................................................................ 1
2. JUSTIFICAÇÃO DO TEMA .................................................................................. 3
3. PROBLEMA DA INVESTIGAÇÃO ...................................................................... 4
4. QUESTÕES DA INVESTIGAÇÃO ....................................................................... 5
5. OBJECTIVOS ......................................................................................................... 5
6. HIPÓTESES ............................................................................................................ 5
7. METODOLOGIA ................................................................................................... 8
8. MODELO METODOLÓGICO DA INVESTIGAÇÃO ......................................... 9
9. SÍNTESE DOS CAPÍTULOS DA TESE .............................................................. 11
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias vii
Empresas Portuguesas
CAPÍTULO 1 - FRAMEWORK PARA O ESTUDO DA SEGURANÇA DA
INFORMAÇÃO NAS ORGANIZAÇÕES ...................................................................... 14
1.1 INTRODUÇÃO..................................................................................................... 14
1.2 SUPORTE DA REVISÃO DA LITERATURA ................................................... 14
1.3 DEFINIÇÃO DO FRAMEWORK ......................................................................... 15
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias viii
Empresas Portuguesas
4.6.3 ANÁLISE DE AMEAÇAS .................................................................................... 74
4.6.4 ANÁLISE DE RISCO .......................................................................................... 77
4.6.5 CONTROLOS E MEDIDAS PREVENTIVAS ........................................................... 79
4.6.6 PLANO DE ACÇÃO ........................................................................................... 83
4.6.7 CONTROLAR E MONITORIZAR.......................................................................... 84
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xii
Empresas Portuguesas
D.2 TIPOLOGIA DAS TECNOLOGIAS DE SEGURANÇA DA INFORMAÇÃO 334
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xiii
Empresas Portuguesas
APÊNDICE J – MATRIZES DE CORRELAÇÃO ENTRE OS ITENS DOS
CONSTRUCTOS ............................................................................................................. 392
J.1 INTRODUÇÃO................................................................................................... 392
J.2 MATRIZES DE CORRELAÇÃO....................................................................... 392
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xiv
Empresas Portuguesas
Índice de Figuras
ÍNDICE DE FIGURAS
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xvi
Empresas Portuguesas
Figura B.2: Fases do processo de gestão do risco do General Security Risk Assessment. 318
Figura B.3: Passos do método CRAMM. .......................................................................... 320
Figura B.4: Fases da metodologia OCTAVE. ................................................................... 321
Figura B.5: Metodologias de Avaliação e Mitigação dos Riscos. ..................................... 322
Figura B.6: Processos da gestão do risco. ......................................................................... 324
Figura E.1: CobiT: recursos, processos e requisitos de negócio. ...................................... 350
Figura E.2: Modelo PECA aplicado aos processos do SGSI. ........................................... 353
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xvii
Empresas Portuguesas
Índice de Gráficos
ÍNDICE DE GRÁFICOS
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xviii
Empresas Portuguesas
Índice de Quadros
ÍNDICE DE QUADROS
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xix
Empresas Portuguesas
Quadro 8.1: Custos da não conformidade (explícitos e implícitos) e da conformidade.... 137
Quadro 9.1: Classificação das PMEs................................................................................. 143
Quadro 12.1: Constructos e itens....................................................................................... 176
Quadro 12.2: Fases da validação do instrumento de medida. ........................................... 182
Quadro 12.3: Valores de referência do KMO.................................................................... 192
Quadro 13.1: Classificação da associação linear. .............................................................. 222
Quadro 13.2: Classificação da autocorrelação dos resíduos. ............................................ 228
Quadro A.1: Métricas de segurança por classe e família de controlos. ............................. 313
Quadro C.1: Aspectos do The Standard of Good Practice. ............................................... 327
Quadro C.2: Domínios e objectivos de controlo do COBIT. .............................................. 329
Quadro C.3: Controlos e objectivos de controlo da ISO/IEC 17799:2005. ...................... 330
Quadro C.4: Grupos de controlos e áreas envolvidas do NIST SP 800-12. ...................... 331
Quadro C.5: Classes e famílias de controlos de segurança (NIST SP 800-53). ................ 332
Quadro E1: Regulamentações por âmbito, tipo e incidência............................................. 340
Quadro E.2: Domínios e processos do COBIT. .................................................................. 349
Quadro E.3: Processos do SGSI. ....................................................................................... 354
Quadro E.4: Requisitos da norma ISO/IEC 27001:2005................................................... 354
ÍNDICE DE TABELAS
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxi
Empresas Portuguesas
Tabela 13.6: Utilização da Internet pelas empresas em percentagem de respondentes. ... 208
Tabela 13.7: Software utilizado pelas empresas em percentagem de respondentes. ......... 208
Tabela 13.8: Aplicações de segurança utilizadas pelas empresas em percentagem de
respondentes. ..................................................................................................................... 209
Tabela 13.9: N.º de empresas com e sem incidentes de segurança por tipo de empresa... 209
Tabela 13.10: Incidentes de segurança sofridos pelas empresas. ...................................... 210
Tabela 13.11: Incidentes de segurança mais significativas por tipo de empresa. ............. 210
Tabela 13.12: Estatísticas descritivas dos 11 constructos. ................................................ 211
Tabela 13.13: Testes K-S e Shapiro-Wilk. ........................................................................ 213
Tabela 13.14: Testes de consistência interna e validade. .................................................. 215
Tabela 13.15: Valores de KMO para os constructos. ........................................................ 218
Tabela 13.16: Estatísticas descritivas dos 11 constructos. ................................................ 218
Tabela 13.17: Estatísticas descritivas e correlações entre constructos. ............................. 222
Tabela 13.18: Resumo do modelo de regressão. ............................................................... 223
Tabela 13.19: Testes F da Anova. ..................................................................................... 224
Tabela 13.20: Variáveis excluídas. .................................................................................... 224
Tabela 13.21: Coeficientes do modelo de regressão. ........................................................ 225
Tabela 13.22. Teste de normalidade da variável zre_1. .................................................... 229
Tabela 13.23: Diagnóstico de colinearidade...................................................................... 231
Tabela 13.24: Resumo dos modelos de regressão. ............................................................ 234
Tabela 13.25: Coeficientes dos modelos de regressão. ..................................................... 234
Tabela 13.26: Anova dos modelos de regressão. .............................................................. 235
Tabela 13.27: Testes de normalidade dos modelos de regressão. ..................................... 236
Tabela 13.28: Teste de Durbin-Watson. ............................................................................ 237
Tabela 13.29: Estatísticas descritivas e correlações entre variáveis.................................. 239
Tabela 13.30: Resumo do modelo de regressão. ............................................................... 239
Tabela 13.31: Testes F da Anova. ..................................................................................... 240
Tabela 13.32: Variáveis excluídas. .................................................................................... 241
Tabela 13.33: Coeficientes do modelo de regressão. ........................................................ 241
Tabela 13.34: Resumo do modelo de regressão. ............................................................... 243
Tabela 13.35: Coeficientes do modelo de regressão. ........................................................ 243
Tabela 13.36: Teste F da Anova. ....................................................................................... 244
Tabela 13.37. Teste de normalidade da variável zre_1. .................................................... 246
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxii
Empresas Portuguesas
Tabela 13.38: Diagnóstico de colinearidade...................................................................... 247
Tabela 13.39: Coeficientes de correlação. ......................................................................... 250
Tabela 13.40: Variáveis excluídas. .................................................................................... 251
Tabela 13.41: Coeficientes do modelo de regressão. ........................................................ 252
Tabela 13.42: Resumo do modelo de regressão. ............................................................... 252
Tabela 13.43: Resultados dos modelos de regressão......................................................... 254
Tabela I.1: Empresas (Nº e %) por actividade económica e escalão de pessoal ao serviço.
........................................................................................................................................... 386
Tabela I.2: Empresas (N.º e %) por tipo de PME e por actividade económica. ................ 387
Tabela I.3: Pessoal ao serviço (N.º e %) por actividade económica e escalão de pessoal ao
serviço................................................................................................................................ 388
Tabela I.4: Pessoal ao serviço (N.º e %) por tipo de PME e por actividade económica. .. 389
Tabela I.5: Volume de negócios das empresas (valor e %) por actividade económica e
escalão de pessoal ao serviço (em milhões de euros). ....................................................... 390
Tabela I.6: Volume de negócios por tipo de PME e por actividade económica (em milhões
de euros). ........................................................................................................................... 391
Tabela J.1: Correlação dos itens do constructo “percepção do risco pelos gestores”. ...... 392
Tabela J.2: Correlação dos itens do constructo “ambiente organizacional”...................... 392
Tabela J.3: Correlação dos itens do constructo “ambiente de SI/TI”. ............................... 393
Tabela J.4: Correlação dos itens do constructo “características individuais dos gestores”.
........................................................................................................................................... 393
Tabela J.5: Correlação dos itens do constructo “leis, regulamentos e normas”. ............... 393
Tabela J.6: Correlação dos itens do constructo “governo da segurança da informação”. . 394
Tabela J.7: Correlação dos itens do constructo “gestão do risco”. .................................... 394
Tabela J.8: Correlação dos itens do constructo “investimento em segurança da informação”.
........................................................................................................................................... 394
Tabela J.9: Correlação dos itens do constructo “tecnologia”. ........................................... 394
Tabela J.10: Correlação dos itens do constructo “pessoas”............................................... 395
Tabela J.11: Correlação dos itens do constructo “eficácia das práticas de segurança da
informação”. ...................................................................................................................... 395
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxiii
Empresas Portuguesas
Lista de Abreviaturas
LISTA DE ABREVIATURAS
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxiv
Empresas Portuguesas
Lista de Siglas
LISTA DE SIGLAS
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxv
Empresas Portuguesas
CAE ...............Classificação das actividades económicas.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxvi
Empresas Portuguesas
IPI ..................Informação Pessoal Identificável.
PECA .............Planear-Executar-Controlar-Actuar.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxvii
Empresas Portuguesas
SEI .................Software Engineering Institute.
SI....................Sistemas de informação.
UE ..................União Europeia.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxviii
Empresas Portuguesas
Introdução
INTRODUÇÃO
Esta introdução tem como objectivo elaborar uma síntese do trabalho desenvolvido nesta
tese e a forma como a mesma está estruturada Neste sentido, começa-se pela apresentação
do enquadramento, a justificação para a selecção do tema e o problema da investigação,
assim como as questões associadas à investigação e os objectivos que a mesma pretende
alcançar. Seguidamente, apresentam-se as hipóteses de investigação que foram formuladas
com base no modelo de investigação proposto e descreve-se a metodologia adoptada e o
modelo metodológico da investigação. A finalizar, faz-se uma síntese dos capítulos da tese.
1. ENQUADRAMENTO
Por sua vez, a globalização económica mundial tem conduzido a uma maior agressividade
concorrencial, em que todas as organizações, mesmo as de pequena dimensão, são
potenciais alvos de roubo de informações. Na realidade, são cada vez mais as notícias que
nos informam sobre o aumento significativo do roubo de informações com valor
económico nas empresas em todo o mundo. O roubo do conhecimento e da informação
reservada e confidencial de uma empresa é um acto de concorrência desleal e com
consequências desastrosas para essas empresas.
O aspecto crítico desta situação é que hoje toda esta informação está acessível em tempo
real e é vulnerável, pelo que deve ser protegida constantemente e, mais importante ainda,
sem interrupção do negócio. Caso contrário, assistir-se-á, num cenário pouco alarmante, a
uma quebra ou diminuição da competitividade ou, numa situação mais extrema, a
interrupções mais ou menos prolongadas das operações do negócio com consequências
desastrosas para as organizações.
Ainda que o negócio esteja cada vez mais dependente dos SI/TIC, os gestores das
organizações têm prestado pouca atenção à protecção dos activos de informação, apesar
das constantes ameaças que diariamente recaem sobre os mesmos, tentando explorar as
diversas vulnerabilidades que encerram e que não são protegidas pelos controlos mais
eficazes. O papel dos gestores passa por transformar esta ameaça aos seus activos
estratégicos de SI/TIC numa oportunidade de implementar as políticas adequadas de gestão
de risco e de segurança, de acordo com as melhores práticas do mercado, de forma a
garantir que todos os aspectos referentes ao risco e segurança são completa e
consistentemente endereçados e integrados no âmbito dos processos de negócio das suas
organizações.
Os riscos são idênticos para grandes empresas e para as PMEs. Contudo, estas são mais
vulneráveis a este tipo de ataques, na medida em que têm poucos recursos financeiros e
humanos para desenvolver e implementar um eficaz programa de segurança da informação.
2. JUSTIFICAÇÃO DO TEMA
Relativamente ao papel das PMEs no contexto económico e social, estas empresas são
reconhecidas como intervenientes importantes nas economias nacionais, criando emprego e
contribuindo de forma significativa para o progresso tecnológico e económico (Nieto &
Fernandéz, 2006). O Parlamento Europeu também reconhece a importância do papel das
PMEs ao afirmar que “as PMEs estão entre os elementos chave para assegurar o sucesso
dos objectivos do mercado único europeu, relativamente ao crescimento, emprego,
qualidade e diversificação e flexibilidade nos negócios” (Eyre & Smallman, 1998, p. 34).
Porque as PMEs representam um segmento muito significativo do tecido económico, não
pode ser desenvolvido qualquer tipo de conhecimento das práticas de gestão, problemas ou
tendências da segurança da informação, sem tomar em consideração este tipo de empresas.
Em termos profissionais, exercemos funções na área dos SI/TIC desde 1990, com destaque
para as funções de responsabilidade no controlo interno dos SI/TIC no âmbito da
certificação da ex-PT Multimédia (actual ZON Multimédia) no Sarbanes-Oxley Act e na
certificação em segurança da informação (ISO/IEC 27001). Ainda neste âmbito da
segurança da informação, obtivemos, em 2009, a certificação de Certified Information
Security Manager atribuída pela Information Systems Audit and Control Association
(ISACA).
3. PROBLEMA DA INVESTIGAÇÃO
A maior parte dos estudos sobre a segurança da informação nas PMEs investigam apenas
uma parte dos componentes da gestão da segurança, não existindo uma visão integrada da
segurança da informação nas PMEs.
Tanto quanto é do nosso conhecimento, não existem estudos que analisem o estado e a
eficácia das práticas de gestão da segurança da informação nas PMEs numa perspectiva
dimensional, englobando, simultaneamente, as questões organizacionais, humanas e
tecnológicas. Por outro lado, os estudos sobre a percepção dos riscos da segurança da
informação pelos gestores das PMEs são escassos e os seus resultados, determinados a
partir de um universo bastante restrito, carecem de uma confirmação empírica mais
aprofundada.
4. QUESTÕES DA INVESTIGAÇÃO
5. OBJECTIVOS
6. HIPÓTESES
Governo da Segurança da
Informação
H3A
(+)
H2A
(+) Variáveis de Controlo
Gestão do Risco
H3B
(+)
Índice de Segurança
H2A
(+)
Investimento em Segurança
H3C
(+) Índice de Utilização da
H2B Eficácia das Práticas de Informação
(+) Gestão da Segurança
da Informação nas PME
Tecnologia
H3D H2C Índice Tecnológico
(+) (+)
H2D
(+)
Pessoas
H3E
(+) H2E
(+)
Leis, Regulamentos e
Normas H3F
(+)
H3G
Percepção dos Riscos de Segurança (+)
da Informação pelos Gestores
H1C
(+) H1B H1A
(-) (+)
Características Individuais
Ambiente de SI/TI Ambiente Organizacional
dos Gestores
Figura 0.1: Modelo de investigação da eficácia das práticas de gestão da segurança da informação nas
PMEs.
H1A ········ Um negócio de risco elevado influencia positivamente a percepção dos riscos de
segurança da informação pelos gestores das PMEs.
H2A ········ Um nível elevado de percepção dos riscos de segurança da informação pelos
gestores das PMEs tem um efeito positivo na implementação de um governo da
segurança da informação.
H2B ········ Um nível elevado de percepção dos riscos de segurança da informação pelos
gestores das PMEs tem um efeito positivo na implementação de processos de
gestão de risco da segurança da informação.
H2C ········ Um nível elevado de percepção dos riscos de segurança da informação pelos
gestores das PMEs tem um efeito positivo no investimento em segurança da
informação.
H2D ········ Um nível elevado de percepção dos riscos de segurança da informação pelos
gestores das PMEs tem um efeito positivo na utilização das tecnologias de
segurança da informação.
H2F ········· Um nível elevado de percepção dos riscos de segurança da informação pelos
gestores das PMEs tem um efeito positivo na aplicação e utilização de leis,
normas e regulamentos.
H3G ········ A percepção dos riscos de segurança da informação pelos gestores está
relacionada positivamente com a eficácia da gestão da segurança da informação
nas PMEs.
7. METODOLOGIA
Para o cálculo da dimensão da amostra optou-se pela amostra aleatória simples para uma
população finita, cujo cálculo definiu em 381 casos o valor da amostra.
Para dos inquéritos recolhidos presencialmente junto dos clientes da empresa INSTFORM,
foram enviadas cerca de 10 000 mensagens electrónicas a convidar as PMEs a responder
ao questionário, tendo sido recolhidas 674 respostas válidas para análise.
Com base nessas respostas, testou-se o modelo conceptual de investigação, com recurso a
modelos de regressão linear simples e múltipla, de acordo com a seguinte estrutura:
− teste dos efeitos indirectos, i.e., a influência da percepção dos riscos da segurança
da informação pelos gestores sobre as seis dimensões da segurança da informação
constantes do modelo de investigação;
− teste dos efeitos directos das seis dimensões da segurança da informação e da
percepção dos riscos da segurança da informação pelos gestores sobre a eficácia
das práticas de gestão da segurança da informação;
− teste idêntico ao anterior, mas com a inclusão das variáveis de controlo.
Esta tese está dividida em duas partes (parte teórica e parte empírica) e 14 capítulos, além
da bibliografia, do glossário e de 11 apêndices.
O capítulo seis trata das tecnologias da segurança da informação, focando-se nos aspectos
referentes à selecção e categorias das tecnologias e às normas para a aquisição dessas
tecnologias de segurança da informação.
O capítulo nove aborda a segurança da informação nas PMEs, define o conceito de PMEs e
descreve a utilização dos SI/TIC e da segurança da informação nas PMEs.
O capítulo onze faz uma caracterização da população alvo objecto da investigação, expõe
os critérios para a definição do universo sob investigação e calcula a dimensão da amostra
que servirá de base ao teste do modelo conceptual de investigação.
PARTE TEÓRICA
CAPÍTULO 1
1.1 INTRODUÇÃO
A revisão da literatura subjacente à presente investigação teve como base diversos tipos de
documentos, destacando-se:
• Science Direct;
• Web of Knowledge;
• FirstSearch;
• JSTOR;
• EBSCO;
• b-on.
Para além destas bases de dados electrónicas de carácter geral, consultou-se, ainda, as
bases de dados electrónicas de algumas associações de que somos membros, tais como:
Este framework, conforme a Figura 1.1, assenta em seis dimensões: governo da segurança
da informação; gestão do risco; investimento em segurança; tecnologia, pessoas; leis,
regulamentos e normas. Cada uma destas dimensões integra, em função das suas próprias
características, os aspectos relacionados com métricas, avaliação, maturidade, ética,
normas, privacidade, etc. A revisão da literatura inclui, para além destas seis dimensões,
mais uma dimensão relativa ao estudo da segurança da informação nas PMEs.
Governo da
Segurança da Princípios, modelos e avaliação
Informação
Investimento em
Segurança Custos, impactos, modelos e avaliação
Gestão da
Segurança da
Informação
Tecnologia Produtos, avaliação e conformidade
Pequenas e Médias
Características, utilização de SI/TI e segurança
Empresas
CAPÍTULO 2
A SEGURANÇA DA INFORMAÇÃO
2.1 INTRODUÇÃO
controlo, a que o Control Objectives for Information and related Technology (COBIT) se
refere como requisitos do negócio para a informação” (ITGI, 2007a, p. 10). Enquadrados
nos requisitos mais amplos de qualidade, fiduciário e de segurança, o COBIT define sete
distintos critérios de informação (eficácia, eficiência, conformidade, fiabilidade,
confidencialidade, integridade e disponibilidade), conforme apresentado no Quadro 2.1.
Critério da
Requisito Descrição
Informação
• dados: objectos de dados no sentido mais lato, i.e., externos e internos, estruturados e
não estruturados, sons, gráficos, etc;
• sistemas aplicacionais: conjunto dos procedimentos manuais e automatizados;
• tecnologia: engloba o hardware, sistemas operativos, sistemas de gestão de bases de
dados, redes, multimédia, etc;
• instalações: recursos para albergar e suportar os SI/TIC;
• pessoas: competências, conhecimento e produtividade do pessoal para planear,
organizar, adquirir, entregar, suportar, monitorar e avaliar serviços e sistemas de
informação.
Os incidentes de segurança da informação são eventos imprevistos que têm uma elevada
probabilidade de comprometer as operações do negócio e ameaçar a segurança da
informação (ISO/IEC, 2005d), os quais têm origem, segundo Wiant (2005), nas
vulnerabilidades dos sistemas operativos, abuso das contas ou permissões válidas de
utilizadores e erros não intencionais dos utilizadores. Ao comprometer a disponibilidade,
integridade e confidencialidade da informação, os incidentes de segurança, como
esquematicamente representados na Figura 2.2, podem ter consequências desastrosas nos
objectivos do negócio.
Critérios da Informação
Nos últimos anos assistiu-se a alterações dramáticas na natureza e estrutura dos SI/TIC,
fazendo com que as tradicionais soluções de segurança já não sejam suficientes para
enfrentar os problemas de segurança actuais (Lipson & Fisher, 2000). Isto é especialmente
importante num ambiente de negócio cada vez mais interligado entre clientes, fornecedores
e outros parceiros de negócio. Como resultado deste incremento de interligação entre
sistemas, a informação está exposta a um número e variedade crescente de ameaças e
vulnerabilidades (Dhillon, Tejay, & Hong, 2007). Com a generalização dos SI/TIC e a
difusão da Internet, existe um elevado risco de ataques, falhas e vulnerabilidades para os
activos críticos e infra-estruturas das organizações (Shih & Wen, 2003) que vão desde
A informação é um activo que, tal como outros activos de negócio importantes, é essencial
para o negócio da organização e, consequentemente, necessita de protecção adequada
(Doughty, 2003; ISO/IEC, 2005d), a qual depende da probabilidade da ocorrência de um
risco de segurança e da amplitude do seu impacto (ITGI, 2006). Esta protecção deve estar
adaptada a cada uma das fases do ciclo de vida da informação, tal como preconizado por
McCumber (2005) no seu modelo de avaliação da segurança nos SI/TIC, cuja análise é
efectuada a partir da intersecção de três factores: estado da informação (transmissão,
armazenamento e processamento); medidas de segurança (pessoas, tecnologia e políticas);
características críticas da informação (confidencialidade, integridade e disponibilidade). O
Quadro 2.2 apresenta o modelo de ciclo de vida da informação proposto por Bernard
(2007), o qual inclui os estados da informação definidos por McCumber (2005).
Fase Descrição
A segurança da informação está a atingir uma situação bastante crítica, de tal modo que faz
dela um dos maiores problemas que as empresas enfrentam actualmente, devido a uma
alarmante vulnerabilidade que cresce de mão dada com o aumento geométrico dos dados
gerados e o modo como os utilizadores tratam esses dados (Reed, 2007). Dodds e Hague
(2004), defendem que as questões de segurança apenas assumem relevo quando uma
organização sofreu um ataque que comprometeu os seus SI/TIC, foi objecto de fraude ou
sofreu uma interrupção nas operações do negócio. Por seu lado, AlAboodi (2006) sustenta
que a segurança da informação é um elemento essencial nos processos de negócios actuais
e embora não deva ser uma competência básica da organização, ela deve estar presente na
cultura e nos processos de negócio da organização, para que, de acordo com Anderson
Apesar da maioria dos SI/TIC não terem sido desenhados para serem seguros (ISO/IEC,
2005d), Baskerville (1993) afirma que a maioria dos responsáveis pela análise e desenho
dos SI/TIC não têm a intenção de projectar um sistema de informação que seja pouco
seguro ou instável. Todavia, a segurança que pode ser alcançada através de meios técnicos
para prevenir estas vulnerabilidades dos SI/TIC é limitada, devendo, portanto, ser utilizada
uma combinação de salvaguardas técnicas e não técnicas (ITGI, 2007b; Wylder, 2007).
Nesta perspectiva, Musaji (2006) advoga que a segurança da informação é alcançada
através da implementação de um adequado conjunto de controlos, incluindo políticas,
processos, procedimentos, estruturas organizacionais e funções de software e hardware.
Estes controlos necessitam ser definidos, implementados, monitorizados, revistos e
aperfeiçoados quando necessário para assegurar que os objectivos específicos de segurança
e do negócio da organização são alcançados (ISO/IEC, 2005d). Esta nova filosofia da
segurança da informação é assumida por Caralli (2004a), ao afirmar que a segurança da
informação deve ser objecto de mudança de paradigma, passando-se de uma perspectiva
tecnológica da segurança para um modelo de gestão organizacional, compreendendo
pessoas, processos, negócio, clientes, fornecedores e parceiros, como apresentado no
Quadro 2.3.
Esta alteração de paradigma torna claro que a segurança da organização não resulta apenas
da segurança da sua infra-estrutura tecnológica, dado que uma abordagem centrada nos
factores estratégicos protege os activos e processos críticos da organização,
independentemente da sua natureza e localização (Caralli & Wilson, 2004).
Rainer, Marshall, Knapp, e Montgomery (2007) chamam a atenção para o facto dos
profissionais de segurança e os gestores de negócio não terem a mesma visão dos
problemas de segurança, pois se os primeiros estão mais focados nos problemas técnicos,
aos segundos importa mais uma perspectiva de gestão. Este latente desfasamento de
interesses, designadamente o alheamento dos técnicos da segurança relativamente à missão
da organização, pode traduzir-se numa dificuldade em desenvolver e implementar uma
estratégia de segurança eficaz (Caralli, 2004b).
Para Knapp e Marshall (2007), o suporte da gestão é uma condição essencial para a
eficácia da segurança da informação, a qual também depende da formação dos utilizadores,
da cultura de segurança e da relevância e aplicação das políticas de segurança.
Se, para Purser (2004a, p. 110), “a estratégia proporciona uma estrutura consistente e
coerente para a melhoria e assegura que a organização se mantém focalizada nas questões
mais importantes”, para G. Wang (2005) a estratégia da segurança da informação deve
adaptar-se aos recursos da empresa e à orientação do negócio. Neste sentido, e ainda
segundo G. Wang, a estratégia da segurança da informação é um processo único para cada
organização, pois os recursos e estratégias das organizações são diferentes. Para além da
dependência dos objectivos estratégicos das organizações e dos recursos ao seu dispor, a
estratégia da segurança da informação depende das restrições que os requisitos legais e
regulamentares impõem às organizações, na medida em que as condicionam na utilização
da informação e dos seus SI/TIC (Purser, 2004a). Este tipo de requisitos, como por
exemplo, leis sobre protecção de dados, privacidade, segredo bancário ou leis sobre a
limitação do uso de mecanismos criptográficos, podem, de acordo com Purser, ter um
impacto significativo na estratégia da segurança da informação.
Caralli (2004b) defende que os factores críticos de sucesso são um método eficaz para
definir uma efectiva estratégia de segurança e das actividades de gestão da segurança da
informação através da organização. “Os factores críticos de sucesso definem as áreas chave
do desempenho que são essenciais para que a organização realize a sua missão” (Caralli,
2004b, p. 2), pelo que representam as prioridades da gestão. Ainda segundo Caralli, os
factores críticos de sucesso permitem identificar os activos críticos a proteger, os requisitos
O 10th Annual Global Information Security Survey (Ernst & Young, 2007) revela que os
factores mais importantes nos projectos estratégicos da segurança da informação são a
disponibilidade de pessoal e especialistas de segurança com experiência e bem qualificados,
disponibilidades financeiras e o patrocínio e compromisso da gestão.
Para Wiant (2005), uma efectiva política de segurança pode aumentar a comunicação de
incidentes de segurança (designadamente os referentes à violação informática) e da
gravidade desses mesmos incidentes. Por seu lado, Karyda et al. (2005), assumem que a
implementação e utilização de uma política de segurança dos SI/TIC numa organização
deve ter em atenção, não só o quadro de referência dos indivíduos associados aos
processos de segurança, mas também o contexto social onde estes ocorrem, na medida em
que as decisões inerentes à formulação e implementação da política de segurança são
tomadas por pessoas e dependem da sua experiência e conhecimento, assim como dos seus
objectivos e prioridades pessoais. Karyda et al. (2005) concluem, então, que os factores
contextuais críticos para a gestão da segurança são:
• estrutura organizacional;
• cultura organizacional;
• suporte da gestão;
• existência de um órgão responsável pela formulação e implementação da política de
segurança;
Todavia, para Tompkins (2007), o requisito primordial para garantir o sucesso contínuo
das políticas de segurança passa por manter a gestão informada sobre a evolução da
implementação das políticas (utilizando as métricas da segurança da informação adequadas
para o efeito) e, acima de tudo, obter o compromisso da gestão pela execução, controlo e
monitorização da execução das políticas. O tipo de métricas a implementar para avaliar o
sucesso da política de segurança da informação estão referenciadas no Apêndice A –
Componentes, modelos e métricas da segurança da informação.
Depois de aprovada, a política de segurança deve ser disseminada pela organização a todos
aqueles que são afectados pela política, o que exige uma política de comunicação adequada
(Davis, 2007). Contudo, num estudo efectuado em grandes empresas do Reino Unido,
Fulford e Doherty (2003) concluem que o conhecimento específico acerca da actualização,
âmbito e disseminação de tais políticas no seio das organizações é bastante limitado, apesar
da maioria das empresas analisadas terem implementado políticas de segurança. Segundo
os autores, esta situação pode estar associada ao facto das empresas se limitarem a
implementar políticas de segurança por ser uma boa prática de gestão, em vez de as
transformarem numa ferramenta de trabalho para informar os colaboradores acerca das
suas responsabilidades na segurança da organização.
Segundo Tracy (2007), o sucesso das políticas de segurança pode ser avaliado através de:
• nível – o modelo apresenta cinco níveis, desde o nível 1 relativo à segurança física e
ambiental até à segurança definitiva do nível 5;
• processo – diz respeito aos três processos básicos da segurança: prevenção; detecção;
recuperação;
• pessoas – representa os índices sofisticação e visibilidade, os quais são apreendidos
do lado das pessoas.
O NIST (Chew et al., 2006, 2008; Swanson et al., 2003) propõe um modelo para a
maturidade do programa de segurança assente em cinco níveis. De acordo com este modelo,
esquematizado na Figura 2.4, o programa de segurança inicia-se pelo desenvolvimento das
políticas (nível 1), pelo desenvolvimento dos procedimentos (nível 2), pela implementação
dos procedimentos (nível 3), pela realização de testes de conformidade à eficácia dos
procedimentos (nível 4) e, no final, pela integração total das políticas e procedimentos nas
operações diárias da organização (nível 5). Os vários níveis do modelo estão associados à
disponibilidade dos dados e à correspondente recolha e tratamento automático, i.e., à
medida que existem mais dados disponíveis, torna-se mais fácil a sua recolha e
automatização e as métricas (implementação, eficácia/eficiência e impacto) podem ser
obtidas de forma mais realista.
Existem alguns modelos de maturidade que podem ser aplicados no âmbito das diversas
vertentes da segurança da informação, nomeadamente: o modelo de maturidade do
programa de segurança do NIST (Swanson et al., 2003); o modelo de maturidade utilizado
pelo COBIT (ITGI, 2007a) para avaliar o nível de desempenho dos processos de gestão dos
SI/TIC; o modelo de maturidade do United States General Accounting Office [GAO]
(GAO, 2004) para avaliar as práticas de gestão dos investimentos em SI/TIC. Além destes
modelos, existe também o modelo de maturidade do Software Engineering Institute [SEI] /
Carnegie Mellon University [CMU] (Herndon, Moore, Phillips, Walker & West, 2003;
Nelson, 2007) para avaliar os processos que as organizações utilizam para desenvolver,
entregar e manter produtos e serviços.
O Quadro 2.4 apresenta uma síntese destes modelos, com a indicação do propósito que
cada modelo pretende atingir e as respectivas fases.
CAPÍTULO 3
3.1 INTRODUÇÃO
Os escândalos verificados nos últimos anos com várias empresas como a Enron e
Worldcom, trouxeram para a discussão pública a necessidade de uma regulação eficaz
sobre a gestão das organizações, como forma de proteger os accionistas dos actos de gestão
danosos. Estes factos tiveram como consequência, segundo von Solms e von Solms (2006)
um aumento da atenção sobre a forma como as organizações são administradas e
controladas.
Sarbanes-Oxley [SOX] Act (2002) é um caso paradigmático, visto que, de acordo com o
ITGI (2005), alterou o ambiente de negócio e regulatório.
A OCDE (2004) defende que um bom governo das sociedades dá estabilidade aos
mercados financeiros, ao investimento e ao crescimento económico e contribui para um
aumento da competitividade das empresas.
Os escândalos financeiros atrás relatados e as ameaças cada vez mais frequentes aos
SI/TIC com impacto ao nível da continuidade do negócio, criaram a necessidade de uma
nova abordagem ao governo dos SI/TIC, como forma de proteger os activos mais críticos
da organização que, de acordo com o ITGI (2006), são a informação e a reputação. Esta
mudança de paradigma baseia-se na assumpção da importância estratégica dos SI/TIC para
habilitar a organização a suportar as suas operações de negócio (Kordel, 2004).
Daqui decorre que o governo dos SI/TIC não pode ser associado à gestão dos SI/TIC,
percebida como a gestão de serviços, produtos e operações dos SI/TIC (Krehnke, 2007) e
não é um acto de gestão separado do resto da governação empresarial (Grembergen, Haes,
& Guldentops, 2004). Pelo contrário, deve ser considerado um componente dessa
governação global, à qual são aplicados os princípios estratégicos do governo das
sociedades para direccionar e controlar os SI/TIC (ITGI, 2002), i.e., assenta numa estrutura
organizacional e num conjunto de processos que gerem e controlam as actividades dos
SI/TIC para alcançar os objectivos da organização, acrescentando valor através de um
correcto balanceamento entre os riscos e o retorno do investimento nos SI/TIC (Kordel,
2004).
Até muito recentemente, a preocupação com a protecção dos activos informacionais das
empresas tem estado focalizada nos SI/TIC e não na própria informação, fazendo com que
a segurança dos SI/TIC fosse circunscrita à segurança da informação dentro dos limites do
domínio tecnológico da infra-estrutura de rede (ITGI, 2006).
A crescente dependência das organizações na sua informação e nos sistemas que a tratam
(recolha, processamento, armazenamento e distribuição), juntamente com os riscos,
benefícios e oportunidades que os recursos informacionais apresentam, fazem com que o
governo da segurança da informação seja um factor cada vez mais crítico na governação
global e, segundo Krehnke (2007), esteja essencialmente focado em acrescentar valor e
mitigar os riscos relativos à segurança da informação. Se a informação é um recurso crítico
e fundamental para o futuro das organizações, então a sua protecção deve ser uma tarefa da
administração e as actividades da segurança da informação devem ser integradas e
constituir-se como parte integrante do governo da organização (Pironti, 2006; Poore, 2007;
von Solms & von Solms, 2006).
Com base nestas assumpções, pode-se definir o governo da segurança da informação como
um subconjunto do governo da organização que “providencia orientação estratégica,
assegura que os objectivos são alcançados, gere os riscos de forma apropriada, utiliza os
recursos organizacionais de modo responsável e monitoriza o sucesso ou falhanço do
programa de segurança da organização” (ITGI, 2006, p. 17), garantindo-se, desta forma, a
execução das seguintes funções (Moulton & Coles, 2003):
Para Westby e Allen (2007), o governo da segurança da informação está alicerçado num
conjunto de 14 actividades, integradas em quatro categorias distintas, como apresentado no
Quadro 3.1.
Categoria Actividade
Por outro lado, o governo da segurança da informação deve estar alinhado com o governo
dos SI/TIC, para que, segundo Doherty e Fulford (2006), se possa assegurar que as acções
resultantes do planeamento estratégico dos SI/TIC não sejam comprometidas por
problemas com a sua segurança, o que implica a revisão ou modificação da política de
segurança da informação sempre que seja definida uma nova estratégia dos SI/TIC ou se
verifique uma alteração da estratégia já implementada.
Como forma de promover uma cultura de segurança a OCDE publica em 1992 uma
primeira versão dos seus Guidelines for the Security of Information Systems, a qual é
actualizada em 2002 sob o título de Guidelines for the Security of Information Systems and
Networks, integrando um conjunto de nove princípios gerais. Baseando-se nestes princípios
da OECD, a ISSA publica os Generally Accepted Information Security Principles [GAISP]
(ISSA, 2003) e o NIST publica em 1996 os seus Generally Accepted Principles and
Practices for Securing Information Technology Systems (Swanson & Guttman, 1996) com
aplicação aos SI/TIC dos organismos federais dos EUA. Os GAISP estão traduzidos em
nove princípios gerais que estão relacionados com a segurança física, técnica e
administrativa e têm como objectivo assegurar a redução do risco e do potencial impacto
negativo de uma ameaça, fornecendo uma orientação global ao nível da governação para
estabelecer e manter a segurança da informação. Por seu lado, na definição dos seus oito
princípios gerais, o NIST utilizou os OECD Guidelines, combinando alguns princípios e
reescrevendo outros, pelo que não existe uma associação directa entre estes dois conjuntos
de princípios (Swanson & Guttman, 1996).
Tal como a OECD e a ISSA, também a NCSSTF (2004) identificou um conjunto básico de
princípios com a finalidade de ajudar as organizações a desenvolver uma estratégia de
implementação da sua política de governo da segurança da informação. Estes princípios,
“são baseados em diversas normas e modelos relativos à segurança da informação e
governo dos SI/TIC, tais como a norma ISO 17799, o Federal Information Security
Management Act (FISMA) (2002) e o COBIT” (NCSSTF, 2004, p. 8).
Objectivos
Administração Estratégia do Negócio
Organizacionais
Gestor Segurança da
Programas de
Informação / Comité Planos de Acção da Segurança, Políticas, Normas
Segurança
de Segurança
Implementação
Objectivos de
Segurança
Controlo / Métricas
Informação
Análise de Tendências
CO
R
NT
GI
RO
RI
DI
LA
R
Figura 3.2: Modelo “Ciclo Dirigir-Controlar”.
Fonte: von Solms e von Solms (2006, p. 409).
Nos modelos atrás referidos, todos, sem excepção, apresentam uma única estrutura
organizacional responsável pela implementação e controlo da política estratégica da
segurança da informação não manifestando, contudo, qualquer necessidade de segregação
de funções ao nível da realização das tarefas e do respectivo controlo.
Todavia, S. H. von Solms (2005) advoga que o governo da segurança da informação deve
ser decomposto em duas funções distintas: gestão operacional da segurança da informação
e a gestão da conformidade da segurança da informação, cada uma delas suportada numa
estrutura organizacional distinta, na medida em que uma é responsável pela execução das
actividades técnicas e não técnicas relacionadas com a implementação dos controlos,
políticas e procedimentos de segurança e, a outra, é responsável pela monitorização e
avaliação da conformidade dos controlos implementados.
Para Poole (2006) um modelo efectivo da segurança da informação é aquele que combina o
melhor do COBIT e da ISO 17799, pois permite alcançar os objectivos da organização em
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 48
Empresas Portuguesas
Capítulo 3 – O Governo da Segurança da Informação
Por seu lado, B. von Solms (2005) defende que estas duas normas são complementares e
que se as empresas as usarem em conjunto podem obter sinergias, apontando, no entanto,
vantagens e desvantagens na utilização de cada uma delas, sintetizadas no Quadro 3.3.
Segurança da informação é
Nem sempre é muito detalhado em
integrada num modelo vasto de
COBIT termos de “como” executar
governo dos SI/TIC, composto por
determinadas tarefas.
33 processos.
Muito detalhado e fornece mais Norma isolada e não integrada num
ISO
orientação em “como” realizar as modelo mais vasto de governo dos
17799
tarefas SI/ TIC.
Fonte: Adaptado de B. von Solms (2005).
O Quadro 3.4 apresenta os modelos e as normas mais importantes que poderão servir de
base para um efectivo governo da segurança da informação.
Dependendo dos objectivos específicos de cada organização e das leis locais a que pode
estar sujeita, nem todos os aspectos da segurança têm a mesma importância para a gestão
das organizações.
As várias fases do modelo de maturidade constantes do Quadro 3.5, estão associadas a três
factores fundamentais: a gestão do risco; as responsabilidades pela segurança da
informação; a continuidade do serviço das tecnologias de informação e comunicação (TIC).
Nível Descrição
• Não existe avaliação do risco para processos nem para as decisões do negócio.
• A organização não reconhece a necessidade de implementar uma política de
0 segurança da informação.
Não existente • A organização não tem uma compreensão dos riscos, vulnerabilidades e ameaças
para as operações das TIC ou o impacto das perdas ao nível dos serviços prestados
pelas TIC para a continuidade das operações do negócio.
• A organização trata os riscos das TIC de forma intermitente, sem utilizar políticas e
procedimentos formais.
1
• A organização reconhece a necessidade de implementar uma política de segurança
Inicial (ad da informação.
hoc)
• As responsabilidades pela continuidade dos serviços são informais e com
autoridade limitada.
• A organização compreende a importância dos riscos das TIC e da necessidade de os
2 controlar e gerir.
Repetitivo • As responsabilidades para a segurança da informação são atribuídas, mas não ao
mas intuitivo nível superior da gestão.
• É atribuída responsabilidade pela continuidade do serviço.
• Existência de uma política geral de gestão do risco que define quando e como
3 realizar a avaliação do risco.
Processos • Existe consciência sobre a problemática da segurança e a mesma é promovida pela
definidos gestão.
A gestão comunica de forma consistente a necessidade da continuidade do serviço.
(continua)
Nível Descrição
CAPÍTULO 4
4.1 INTRODUÇÃO
As organizações não podem eliminar totalmente os riscos a que os seus SI/TIC estão
sujeitos, pelo que um dos principais desafios dos seus gestores é reduzir os riscos da
segurança da informação para um nível aceitável e de acordo com a cultura de risco da
organização.
De um modo geral, a maioria dos textos sobre gestão do risco descreve o conceito de risco
em termos de incerteza e com efeito negativo:
• risco é a incerteza inerente a fazer negócio (Birch & McEvoy, 1992; McAdams, 2004;
Straub & Welke, 1998);
• risco “é fundamentalmente sobre a incerteza no desempenho do trabalho e dos
resultados correspondentes” (Sherer & Alter, 2004, p. 31);
• risco ”é a realização potencial de consequências indesejadas ou negativas de um
evento” (Heemstra & Kusters, 1996, p. 333).
Contudo, Alberts (2006) afirma que, dependendo do contexto em que é analisado, o risco
pode conduzir, tanto a uma situação potencial de perda, como a uma situação de
oportunidade de ganho. No entanto, “quando o risco é considerado potencialmente como
uma situação positiva, existe uma dificuldade em conhecer o verdadeiro benefício ou uma
exploração bem-sucedida de uma oportunidade” (Henry, 2007a, p. 323).
Para Alberts (2006), um risco, por definição, implica sempre uma perda potencial, mas,
dependendo das circunstâncias, também pode existir um ganho potencial (risco
especulativo), pelo que é possível classificar os riscos em duas categorias: riscos
especulativos (cuja consequência pode ser uma perda ou um ganho) e riscos perigosos (a
única consequência é uma situação de perda). Alter e Sherer (2004), por sua vez,
identificam duas conceptualizações do risco em função do resultado final, i.e., uma
conceptualização que considera os resultados como positivos ou negativos e, uma outra,
porventura a mais utilizada na literatura sobre risco, em que aborda apenas os resultados
negativos e se focaliza unicamente nos aspectos previsíveis que podem correr mal. Esta
conceptualização é uma consequência do facto dos autores introduzirem no seu modelo de
gestão do risco um elemento denominado “objectivos e expectativas”. Com base neste
elemento, avaliam o sucesso das medidas implementadas para reduzir/eliminar o risco, na
medida em que os resultados obtidos podem ser considerados êxitos ou falhas consoante o
conjunto de objectivos e expectativas considerados, dado que estes têm impacto nas fontes
de incerteza e no nível de aspiração dos intervenientes nos sistemas e têm um papel
relevante na avaliação dos resultados.
Para Loch, Carr, e Warkentin (1992), o risco, conforme representado na Figura 4.2, é
composto por quatro componentes distintos: (1) as forças (ameaças e não ameaças) que
exercem influência sobre a organização, em que as ameaças são capazes de produzir
consequências negativas; (2) os recursos, compostos por activos, pessoas ou ganhos
potencialmente afectados pelas ameaças; (3) os factores de modificação (internos e
externos) que influenciam a probabilidade de uma ameaça se tornar uma realidade ou a
gravidade das consequências quando a ameaça se materializa; (4) as consequências que
traduzem os impactos da ameaça sobre os recursos.
Alberts e Dorofee (2002) salientam que o mais importante em termos dos riscos da
segurança da informação é o impacto que estas consequências (divulgação, modificação,
perdas e/ou destruição e interrupção dos activos críticos) podem ter na organização. Este
impacto do risco corresponde à magnitude das perdas (Heemstra & Kusters, 1996), as
quais podem assumir uma forma tangível ou intangível, como apresentado no Quadro 4.1.
Por estes motivos, “as organizações estão tão dependentes dos seus SI/TIC que podem não
sobreviver a uma perturbação significativa da sua capacidade” (Loch et al., 1992, p. 184).
É um dado assente de que “não podemos eliminar totalmente os riscos devido à natureza
da própria segurança da informação e porque alguns riscos estão fora do alcance da
empresa” (Finne, 2000, p. 237) ou como salientado por Allen (2006, p. 1), “uma segurança
absoluta é não só impossível, mas altamente indesejável do ponto de vista da eficácia,
eficiência, risco/recompensa e custo/benefício”. Além disso, existem sempre os
denominados “riscos dos sistemas” que podem ser definidos como “a probabilidade que os
sistemas de informação de uma organização estão insuficientemente protegidos contra
determinados tipos de danos ou perdas” (Straub & Welke, 1998, p. 441). Acresce o facto
de que os riscos da informação são diferentes de outros riscos dado que não têm limites no
lado das desvantagens das empresas. Se uma empresa faz um investimento financeiro, o
pior que lhe pode acontecer é perder os montantes investidos. Mas, no caso de um
incidente de segurança, a perda é muito maior que os investimentos realizados na
implementação dos controlos ou dos activos perdidos, podendo, em caso extremo, levar à
falência da própria organização (Anderson, 2003).
Se nenhum sistema pode ser construído de forma absolutamente segura (Straub & Welke,
1998) e nenhum sistema ou actividade está isenta de risco (Peltier, 2004b), dado que o
risco é uma parte inerente ao negócio (ISACA, 2007), i.e., se os riscos não podem ser
totalmente eliminados, qual é o nível de risco que as organizações estão dispostas a aceitar
e gerir e qual o nível de segurança necessária? Em resposta a estas questões, Allen (2006)
defende que o nível adequado de segurança varia em função do negócio e dos riscos do
ambiente, assim como da variação da tolerância ao risco que a gestão está disposta a
aceitar. Ou seja, depende não só do nível de apetência ao risco e da tolerância ao risco,
como também da cultura de risco da organização. A apetência ao risco está relacionada
com a estratégia da organização e é “a quantidade de risco que uma entidade está disposta
a aceitar na sua procura de valor” (Committee of Sponsoring Organizations of the
Treadway Commission [COSO], 2007, p. 20) ou “é o nível de exposição ao risco ou o
potencial impacto adverso de um evento que a organização está disposta a aceitar ou
manter” (Jackson & Carey, 2007, p. 285). Por sua vez, a tolerância ao risco pode ser
definida como “o risco residual que a organização está disposta a aceitar depois de
implementadas as acções de mitigação dos riscos e dos processos de monitorização e
controlo” (Allen, 2006) ou “os níveis aceitáveis de variação relativamente à realização dos
objectivos” (COSO, 2007, p. 36). Trata-se de uma decisão do negócio, baseada na missão e
na cultura, mais do que em medidas quantitativas específicas (ISACA, 2007). A cultura de
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 59
Empresas Portuguesas
Capítulo 4 – A Gestão do Risco da Segurança da Informação
risco tem subjacente “um conjunto partilhado de atitudes, valores e práticas que
caracterizam a forma como uma entidade considera o risco nas suas actividades diárias”
(COSO, 2007, p. 20). Resumindo, pode afirmar-se que o nível de segurança adequado é
aquele em que as estratégias de protecção dos activos críticos e dos processos de negócio
da organização são proporcionais à apetência ao risco e da tolerância ao risco da
organização (Allen, 2006), devidamente enquadradas na sua cultura de risco.
Os riscos podem também ser caracterizados por: (1) origem (empregados, concorrentes,
etc.); (2) actividade, evento ou incidente (divulgação de informação confidencial, falha de
energia, etc.); (3) consequências ou impactos (indisponibilidade de serviço, perdas
financeiras, etc.); (4) razão específica para a sua ocorrência (intervenção humana, erro de
software, etc.); (5) controlos e mecanismos de protecção (políticas, formação em segurança,
etc.); (6) tempo e local de ocorrência (ISACA, 2007).
De acordo com Straub e Welke (1998), a percepção da gestão relativamente aos riscos de
segurança é função: (1) do ambiente organizacional (convicções sobre a susceptibilidade
dos riscos inerentes à indústria; (2) do ambiente dos SI/TIC (acções para tornar os sistemas
seguros); (3) das características individuais dos gestores (conhecimento dos sistemas e
consciência dos riscos dos sistemas), como esquematizado na Figura 4.3.
Figura 4.3: Modelo para a percepção dos riscos dos sistemas pelos gestores.
Fonte: Straub e Welke (1998, p. 444).
Apesar desta percepção global dos riscos de segurança, os gestores apenas têm
conhecimento de uma parte das acções que podem tomar para reduzir os riscos dos
sistemas e têm tendência para ver a segurança dos SI/TIC como uma forma de evitar
perdas e atenuar danos (Straub & Welke, 1998). Por sua vez, Loch et al. (1992) sugerem
que os gestores devem ter um maior conhecimento dos riscos potenciais associados não só
ao ambiente dos SI/TIC, mas também aos riscos provenientes dos colaboradores e
parceiros de negócio e devem “reconhecer que o seu nível global de preocupação com a
segurança pode subestimar o risco potencial inerente ao ambiente altamente interligado em
que operam” (Loch et al., 1992, p. 185). Nesta perspectiva, a segurança da informação
deve estar cada vez mais integrada com a gestão de risco corporativo que é, aliás, a
tendência observada actualmente, de acordo com o inquérito da Ernst & Young (2007) que
demonstra que cerca de 82% dos inquiridos apresenta algum grau de integração entre a
segurança da informação e a gestão de risco global.
A teoria da dissuasão geral foi uma das teorias amplamente utilizadas para criar
mecanismos para dissuadir potenciais abusos e reduzir os riscos nos SI/TIC. Esta teoria
postula acções genéricas que directa e indirectamente reduzem os riscos dos sistemas
(Straub & Welke, 1998), na medida em que desincentiva o cometimento de actos danosos
(designadamente abusos dos SI/TIC) através da aplicação de sanções relevantes, ou seja,
“quando o risco de punição é elevado e as sanções por violação são severas, a teoria prevê
que os potenciais infractores irão ser inibidos de cometer actos anti-sociais” (Straub, 1990,
p. 258).
Apesar de ser utilizada como base de investigação para a análise dos riscos de segurança,
os gestores raramente adoptam as acções de segurança preconizadas pela teoria da
dissuasão como uma ferramenta para reduzir os riscos dos SI/TIC (Straub & Welke, 1998),
conforme representado na Figura 4.4.
Todavia, Straub e Welke (1998) afirmam que existem poucas provas que evidenciem na
prática a eficácia destas técnicas, apesar da sua forte base teórica, nomeadamente as
conclusões do seu trabalho anterior (Straub, 1990) que apontam no sentido das medidas
preventivas da dissuasão poderem reduzir o risco de avultadas perdas devido a abuso dos
SI/TIC. O trabalho de Straub e Welke (1998) parte da assumpção de que existe uma
conexão entre o planeamento da segurança e o aumento das acções de protecção dos
sistemas e, consequentemente, uma diminuição dos riscos. No entanto, Straub e Welke
chamam a atenção para o facto destas premissas poderem não serem válidas, dado que
quando se aumenta a segurança num sistema, está-se a aumentar a complexidade desse
sistema e, consequentemente, a aumentar o respectivo risco.
No seu trabalho sobre os riscos nos sistemas de informação Alter e Sherer (2004) e Sherer
e Alter (2004), constroem um modelo para a análise e gestão do risco nos sistemas de
informação assente numa estrutura de sistema composta por nove elementos:
intervenientes nos sistemas; informação; tecnologia; práticas de trabalho; produtos e
serviços; clientes; ambiente; infra-estrutura; estratégia. A partir desta estrutura identificam
um conjunto de factores de risco para cada um dos seus nove elementos e organizam estes
factores de risco em função da fase do ciclo de vida de desenvolvimento de sistemas
(iniciação, desenvolvimento, implementação e operação e manutenção). Esta abordagem
Para Anderson et al. (1994), é a avaliação deste impacto que vai determinar os recursos
que devem ser investidos de forma a garantir a segurança destes activos. Todavia,
Stephenson (2004) salienta que é difícil estimar este tipo de impacto se não existirem
dados históricos e que “é razoável esperar que os resultados da avaliação não serão mais
fiáveis do que os próprios dados de origem” (Stephenson, 2004, p. 12).
Alberts e Dorofee (2002) defendem que a gestão do risco da segurança da informação deve
obedecer a um conjunto de princípios, os quais moldam a natureza das actividades de
gestão do risco e fornecem a base para o processo de avaliação. Alberts e Dorofee agrupam
estes princípios em três categorias:
313), a qual deve ser reduzida através de um equilíbrio entre o investimento em segurança
e os riscos associados, de forma a minimizar as perdas (Birch & McEvoy, 1992; Finne,
2000) ou maximizar os ganhos potenciais e minimizar as perdas potenciais (Kotulic &
Clark, 2004). Para Landoll (2006), a gestão dos riscos de segurança deve medir
correctamente o risco de segurança residual e “mantê-lo num nível igual ou inferior ao
nível de tolerância do risco de segurança” (Landoll, 2006, p. 37).
Alter e Sherer (2004) defendem que qualquer modelo de gestão do risco deve obedecer a
quatro características básicas:
al., 2001). Para ultrapassar todo este tipo de problemas, os autores defendem que estes
profissionais devem respeitar um conjunto de características para que seja possível evitar
soluções ineficazes ou perniciosas, nomeadamente:
• formação específica;
• autorização para exercer a profissão;
• obrigação ética de aplicar apenas as soluções adequadas e proteger a
confidencialidade das suas acções;
• obrigação profissional de controlar a utilização de soluções potencialmente perigosas
ou prejudiciais;
• obrigação profissional de informar as autoridades competentes sobre os riscos
tratados.
De acordo com Poore (2000), a informação tem diversos valores, dependendo do objectivo
da avaliação. Assim, para efeitos de gestão dos riscos de segurança e conforme
discriminado no Quadro 4.3, o valor da informação depende: da exclusividade da posse; da
Propriedade exclusiva X
Utilidade X
Custo original ou de re-criação X
Responsabilidade potencial X X X
Convertibilidade X X X
Impacto operacional X X
Fonte: Poore (2000, p. 21).
A informação tem um valor “positivo quando é precisa, oportuna, útil, autorizada e rara”
(Poore, 2000, p. 19). Este valor positivo é comprometido quando os controlos referentes à
confidencialidade, integridade e disponibilidade falham.
& Smith, 2003). De acordo com Gordon e Loeb (2001), um dos métodos de gestão
estratégica adoptada pelas empresas consiste na análise contínua da informação disponível
sobre os seus concorrentes. Logo, um dos princípios básicos de defesa, baseia-se na
identificação e valorização da informação que os concorrentes pretendem obter,
protegendo esses activos de informação em função do seu valor e do seu nível de
confidencialidade.
Uma vulnerabilidade é “uma característica dum sistema físico que permite que uma
ameaça possa ser explorada” (Birch & McEvoy, 1992, p. 48), uma falha num controlo
existente que pode permitir que um agente possa explorar e obter acesso não autorizado
aos activos organizacionais (Landoll, 2006) ou “uma fraqueza do hardware e software que
expõe um sistema a ataques, danos, interrupção ou exploração não autorizada”
(Nyanchama, 2005, p. 33).
Nyanchama (2005) propõe o modelo PDCA (Plan, Do, Check, Act), utilizado pela norma
ISO 27001 para estruturar todos os processos do sistema de gestão da segurança da
informação (ISO/IEC, 2005e), para o desenvolvimento, manutenção e melhoria dum
programa de gestão de vulnerabilidades, conforme esquematizado na Figura 4.8.
Aprendizagem contínua e
adaptação das melhores
práticas da indústria
Melhores práticas
da indústria
Estabelecer um
programa de gestão
de vulnerabilidades
Planear
Manter e melhorar o
programa de gestão de
vulnerabilidades
Desenvolver,
Manter e
Executar Melhorar Manter
Implementar o Programa de
programa de gestão Gestão de
de vulnerabilidades Vulnerabilidades
Controlar
Monitorar e rever
continuamente o
desempenho do programa
As ameaças são eventos negativos que ocorrem quando uma vulnerabilidade ou fraqueza é
explorada (Halvorson, 2008) e que podem ter impacto nos objectivos do negócio, podendo
resultar em perda, divulgação ou avaria de um activo da organização (Landoll, 2006;
Peltier, 2004b), ou “é algo que terá um efeito adverso na organização” (Birch & McEvoy,
1992, p. 48). O Quadro 4.4 apresenta alguns exemplos de ameaças.
A análise de ameaças consiste em catalogar cada uma das ameaças para o negócio (Birch
& McEvoy, 1992), identificando-se a ameaça para cada um dos activos de informação
relativamente à confidencialidade, integridade e disponibilidade e o seu impacto no
negócio (e.g., construindo uma tabela associando uma métrica a cada um dos intervalos de
valor identificados como perdas do negócio).
Existem três elementos associados com as ameaças (Peltier, 2001): o agente (catalisador
que realiza a ameaça: humano, natural ou técnico); o motivo (o que leva o agente a agir:
intencional ou acidental); os resultados (impactos negativos em termos de
confidencialidade, integridade e disponibilidade dos activos de informação). Loch et al.
(1992) conceptualizam as ameaças com base em quatro elementos: fontes (internas e
externas); perpetradores (humanos e não humanos); intenção (acidental e
intencional); consequências (divulgação, modificação, destruição e negação de utilização).
Para Drew (2005) a gestão das ameaças assenta em três elementos primordiais: as pessoas
(cujo objectivo consiste em analisar e tratar os incidentes de segurança); os processos (que
devem assegurar uma identificação e resposta rápida aos incidentes de segurança);
a tecnologia (como repositório central de toda a informação associada à gestão das
ameaças). Nesta perspectiva, Drew (2005) propõe um modelo para a gestão de ameaças
composto por:
• prevenção – realização das acções necessárias para prevenir intrusões nos sistemas;
• alerta precoce – permite à organização descobrir, hierarquizar e solucionar novas
ameaças que afectem os seus sistemas e infra-estruturas tecnológicas;
• identificação e avaliação – compreende a identificação de vulnerabilidades que
possam ser exploradas por ameaças e que permitem ter uma visão global da
exposição da organização às ameaças;
• detecção e resposta – envolve a monitorização de todos os componentes críticos da
infra-estrutura tecnológica deve ajustar-se aos interesses e necessidades dos
utilizadores.
A metodologia a adoptar pelas organizações para a avaliação do risco deve integrar uma
combinação de técnicas qualitativas e quantitativas (COSO, 2007). Neste sentido, o COSO
Onde Factor de Exposição é igual à percentagem das perdas dos activos causadas pela
ameaça identificada.
O produto do valor do activo pelo factor de exposição também é conhecido por perda única
esperada e pretende medir o impacto específico de um evento de segurança simples. A taxa
anual de ocorrência é a frequência esperada para a ocorrência da ameaça (Endorf, 2007).
Blakley et al. (2001) afirmam que não conhecem nenhuma norma que recomende a
utilização de métodos quantitativos para a análise de risco e que estes métodos são de
utilização geral em outras disciplinas, mas não na segurança da informação. Na realidade,
das metodologias de gestão de risco apresentadas (ver Apêndice B), nenhuma delas propõe
exclusivamente a utilização de técnicas quantitativas. Algumas dessas metodologias são,
por natureza, qualitativas (CRAMM, OCTAVE, NIST SP 800-30), enquanto outras
identificam as técnicas que devem ser utilizadas na avaliação dos riscos, como é o exemplo
da AS/NZS 4360:2004 (Standards Australia/Standards New Zealand, 2004) e do ISACA
(2007) que identificam três técnicas (qualitativa, semi-quantitativa e quantitativa).
Qualquer uma das abordagens tem as suas vantagens e desvantagens (Fariborz &
Shamkabt, 2005; Henry, 2007a; Peltier, 2001; Landoll, 2006; Stoneburner et al., 2002).
Quer se opte por uma ou outra técnica, é normal a utilização de uma matriz de exposição
ao risco, conjugando o impacto e a probabilidade de ocorrência do evento de risco. Esta
matriz possibilita a hierarquização dos riscos consoante o grau de exposição.
Um controlo pode ser definido como “as políticas, procedimentos, práticas e estruturas
organizativas desenhadas para fornecer uma garantia razoável que os objectivos do
negócio serão alcançados e os acontecimentos indesejáveis serão impedidos ou detectados
e corrigidos” (ITGI, 2007a, p. 13), ou seja, “é algo que reduz a exposição, quer pela
redução da probabilidade do ataque (redução da vulnerabilidade), da redução das perdas do
negócio associadas com a ameaça (redução do impacto) ou da redução das perdas
resultantes de um ataque bem sucedido (redução da exposição)” (Birch & McEvoy, 1992,
p. 48).
aceitável pela organização (Landoll, 2006; Peltier, 2004b; Rees et al., 2003) e proteger a
confidencialidade, integridade e disponibilidade da informação (NIST, 2005), tendo em
consideração que “nem todos os controlos implementados podem eliminar os riscos que
visam tratar” (Peltier, 2004b, p. 56).
Os controlos base são “os controlos de segurança mínimos recomendados para um sistema
de informação” (NIST, 2005, p. 112) e servem de ponto de partida para as organizações
determinarem quais os controlos de segurança necessários para proteger os seus activos.
De acordo com Gerber e von Solms (2001) os factores que determinam quais e quantos
controlos de segurança da informação são necessários são:
Após a identificação dos requisitos de segurança, dos riscos e das decisões acerca do
tratamento dos riscos, a fase seguinte do processo de gestão dos riscos é a selecção e
implementação dos controlos adequados para assegurar que os riscos são reduzidos para
um nível aceitável pela gestão. A selecção dos controlos pode ser efectuada com base em
qualquer uma das normas e regulamentos apresentados no Quadro 4.5 e detalhadas no
Apêndice C– Normas e regulamentos sobre controlos de segurança, tendo sempre em
atenção que os controlos a seleccionar devem satisfazer as necessidades da organização.
De acordo com o contexto e ambiente de risco próprio de cada organização, dever-se-á
optar pela(s) norma(s) que mais se adequa(m) à realidade de cada organização, tendo
sempre presente que esses controlos devem ser entendidos como princípios orientadores
para a gestão da segurança da informação.
Identificados os riscos e os controlos a implementar para gerir esses riscos, deve ser
definido um plano de acção que deve documentar a informação sobre (Halvorson, 2008):
A literatura sobre gestão de risco apresenta várias estratégias para tratamento dos riscos, as
quais estão sintetizadas no Quadro 4.6.
Esta avaliação do programa de segurança pode ser efectuada com base no NIST SP 800-
53A (Guide for Assessing the Security Controls in Federal Information Systems)
relativamente aos controlos implementados com base no NIST SP 800-53 (Recommended
Security Controls for Federal Information Systems). O objectivo do NIST SP 800-53A é
fornecer orientações para avaliar a eficácia dos controlos de segurança, propondo a
estrutura conceptual para o desenvolvimento de procedimentos de avaliação constante da
Figura 4.12.
CAPÍTULO 5
5.1 INTRODUÇÃO
Os custos associados com a segurança da informação são, de uma forma geral, tratados
como despesas operacionais e não como investimento de capital (Gordon & Loeb, 2006),
i.e., a segurança é vista como um custo ou um encargo que deve ser controlado e não como
uma actividade que contribua para o sucesso, rentabilidade ou crescimento da organização
(Caralli, 2004b; Dodds & Hague, 2004), além de ser considerada como uma actividade
centrada na tecnologia (Caralli & Wilson, 2004).
Dado que a segurança é um custo pelo facto de se fazer negócio (Fourie, 2003), ela deve
ser uma preocupação dos responsáveis financeiros das organizações, apesar de ser uma das
últimas funções a ser dotada de fundos financeiros para o desenvolvimento das suas
actividades (Quinnild, Fusile, & Smith, 2006). Todavia, é necessário convencer a gestão
que evitar um incidente de segurança é muito mais barato do que enfrentar os custos
derivados do incidente de segurança (Kadam, 2007), dado que os impactos provocados por
um incidente de segurança podem ser devastadores, podendo assumir uma de três formas
potenciais (Tsiakis & Stephanides, 2005):
Nesta perspectiva, deve-se ter presente que “o custo das medidas para minimizar o impacto
de potenciais incidentes de segurança deve ser compatível com o impacto esperado sobre
as funções normais da organização” (Anderson et al., 1994, p. 242), pelo que se deve
assegurar que os riscos são mitigados a um custo adequado (Davis, 2007). Neste sentido,
Noor, Dillon, e Williams (2001) defendem que o custo da mitigação dos riscos pode ser
comparado com os custos do impacto dos riscos para determinar a rendibilidade do
investimento (Return of Investment [ROI]). Por sua vez, Anderson (2003) sustenta que o
ROI para a implementação de um determinado controlo é a redução do ALE (ver Fórmula
2) dividido pelos custos de implementação desse controlo. Todavia, Kleinfeld (2006)
argumenta que a segurança não tem um ROI mensurável, pois quando a segurança falha
existe uma perda, mas, se não existem incidentes de segurança, existe um custo (associado
ao programa de segurança implementado), logo, como medir uma perda que nunca
aconteceu?
Peltier (2004b) defende que após a identificação dos controlos a implementar e da sua
avaliação em termos da sua exequibilidade e eficácia deve ser efectuada uma análise custo-
benefício que terá como objectivo determinar o impacto de implementar ou não
implementar o controlo.
O custo total de propriedade deve considerar todo o ciclo de vida do controlo e incluir
(ISACA, 2007, p. 95):
• custos de aquisição;
• custos de implementação e de utilização;
• custos de manutenção periódica;
• custos de avaliação e teste;
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 88
Empresas Portuguesas
Capítulo 5 – Investimento em Segurança da Informação
• monitorização de conformidade;
• prejuízo para os utilizadores;
• formação em novos procedimentos ou tecnologias.
Mercuri (2003) afirma que os custos associados com a segurança dos SI/TIC são muitas
vezes difíceis de avaliar porque as métricas utilizadas são irrealistas. Na sua opinião,
existem custos que podem ser calculados em termos monetários, tais como o roubo de
informação proprietária ou fraude financeira. Outros mais difíceis de quantificar envolvem
ataques de negação de serviço, vírus, código malicioso, violação de privilégios de acesso,
vandalismo em equipamentos, etc.
aproximações, Endorf (2007) faz depender o ROSI do valor obtido da subtracção entre o
custo que se espera perder num ano de um determinado activo e o custo anual do controlo
aplicado sobre esses activo, dado pela Equação 3:
(4)
Para Pinto et al. (2006), o RROI deve ser usado para avaliar os investimentos em
segurança, tendo em atenção os níveis mínimos aceites pela organização, mas não serve
para seleccionar investimentos de segurança alternativos. Segundo Pinto et al., (2006), o
valor actual líquido (VAL), ao considerar o tempo no valor do dinheiro, é a medida
alternativa mais robusta e consistente para o ROI quando está em causa a selecção de
soluções concorrentes, mas apresenta um aspecto desfavorável, na medida em que
necessita de informação detalhada sobre a identificação dos custos e proveitos ao longo do
tempo. Contudo, Taudes, Feurstein, e Mild (2000) afirmam que existem duas razões para
que o VAL não seja utilizado na área dos SI/TIC. “Primeiro, porque os gestores pensam
intuitivamente em termos de oportunidades (opções) e estas não são obtidas pela análise
VAL. Segundo, porque é difícil encontrar modelos de parâmetros correctos.” (Taudes et al.,
2000, p. 228).
Dado que para Purser (2004b) os processos de segurança da informação acrescentam valor
à organização pela redução do risco dos SI/TIC, o conceito de ROI tem que reflectir esta
realidade e nesse sentido propõe a criação do conceito Total ROI (TROI), rentabilidade
total do investimento, o qual inclui o impacto financeiro da alteração no risco. Deste modo,
e decorrente da Equação 5, um aumento do risco tem um impacto negativo no TROI, o que
na opinião do autor “fornece uma visão mais adequada dos benefícios totais do negócio
associados com um projecto que contém uma componente que reflecte o risco associado”
(Purser, 2004b, p. 543).
RG + PCG - VAR
RTI = (5)
I
O inquérito de 2007 do CSI (Richardson, 2008) mostra que as métricas mais utilizadas
pelas organizações para a avaliação do investimento em segurança da informação são, por
ordem crescente de utilização, o ROI (39%), o VAL (21%) e a TIR (17%).
Para Schechter e Smith (2003) o investimento a realizar em segurança tem que estar
alinhado com o nível desejado de segurança. Para os autores, o nível desejado de segurança
pode ser determinado quantitativamente como o ponto em que os custos de um invasor
potencial ultrapassam os benefícios do ataque. Schechter e Smith (2003) concluem que
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 91
Empresas Portuguesas
Capítulo 5 – Investimento em Segurança da Informação
para além de decidir quanto investir em segurança, os responsáveis devem efectuar uma
avaliação da análise dos aspectos sociais da detecção da intrusão e correspondentes
estratégias de resposta, para determinar a sua eficácia na dissuasão de ataques futuros.
Compartilhando a mesma linha de raciocínio, Rodewald (2005) afirma que a análise custo-
benefício é imperfeita para responder a questões como “qual o nível de orçamento que
deve ser atribuído ao departamento de segurança da informação?”, e, como tal, não se
devem fazer comparações entre o investimento em segurança da informação e um
investimento de capital normal. Neste sentido, o autor argumenta que o ROI é uma métrica
pobre para comparar investimentos em segurança da informação com investimentos que
produzem um retorno tangível.
Também Ryan e Ryan (2006) concordam que a segurança é difícil de quantificar. Contudo,
partindo do princípio que a segurança é o inverso do risco, os autores utilizam os cálculos
das perdas esperadas para desenvolver uma abordagem quantitativa para avaliar os ganhos
em segurança pela medição do decréscimo do risco, reconhecendo, todavia, que existe
pouca informação disponível para determinar as probabilidades de ataques bem sucedidos,
O modelo económico apresentado por Gordon e Loeb (2002b) tem como objectivo
determinar o montante óptimo do investimento em segurança da informação, para proteger
a confidencialidade, disponibilidade, integridade, autenticidade e não repudiação da
informação. Este modelo “considera como a vulnerabilidade da informação e as perdas
potenciais dessas vulnerabilidades afectam o montante óptimo de recursos que devem ser
dedicados à segurança da informação” (Gordon & Loeb, 2002b, p. 439). As conclusões
retiradas pelos autores resultantes da aplicação do modelo, apontam para que:
Na opinião de Matsuura (2003), este modelo de Gordon e Loeb apresenta duas restrições
fundamentais:
• a perda é tratada como uma constante, o que implica que o investimento estudado no
modelo se restringe apenas ao software, hardware e serviços de gestão da segurança
da informação;
• o investimento é contínuo e por isso os objectos de investimento não são tratados
como peças discretas mas sim como um todo.
Segundo Bodin, Gordon, e Loeb (2005), o modelo de Gordon e Loeb (2002b) não
considera critérios qualitativos ou não financeiros, nem outros conceitos quantitativos
como as opções reais, tema tratado posteriormente em Gordon, Loeb, e Lucyshyn (2003).
Para Bodin et al. (2005), as metodologias económicas tradicionais são utilizadas com
algum constrangimento na área da segurança da informação, dado que uma parte
significativa da informação sobre segurança da informação assume um carácter qualitativo
e não financeiro.
A teoria das opções reais foi desenvolvida inicialmente como uma técnica de suporte à
decisão na área dos investimentos de capital, em que “o conceito de real significa a
adaptação dos modelos matemáticos utilizados para valorizar as opções financeiras para
valorizar investimentos mais tangíveis” (Daneva, 2006, p. 5). As opções reais podem
assumir a forma de: opção por dar seguimento ao investimento; opção de abandonar; opção
de esperar antes de investir (Brealey & Myers, 1991).
Se a teoria das opções reais tem sido utilizada em diversos trabalhos de investigação na
área do investimento em SI/TIC (Benaroch, 2002; Benaroch, Jeffery, Kauffman, & Shan,
2007; Benaroch & Kauffman, 1999; Benaroch & Kauffman, 2000; Benaroch, Lichtenstein,
& Robinson, 2006; Taudes et al., 2000), já no que concerne à aplicação da teoria das
opções reais à segurança da informação o panorama é bem diferente, sendo de realçar
apenas os trabalhos de Gordon et al. (2003a) e Daneva (2006).
O GAO (2004) propõe um modelo do ciclo de vida do investimento composto por três
fases: seleccionar; controlar; avaliar. Este modelo pretende assegurar que as “práticas de
gestão de investimento, incluindo a segurança, sejam disciplinadas e aprofundadas ao
longo de cada fase do ciclo de vida do investimento” (Hash et al., 2005, p. 8), como
representado na Figura 5.2.
Conduzir entrevistas
Examinar Monitorar progresso
Fazer ajustamentos
Hierarquizar Tomar acções
Aplicar lições
Seleccionar correctivas
aprendidas
seja possível reforçar a abordagem à gestão dos investimentos em SI/TIC (Hash et al.,
2005).
1
A metodologia preconizada por Hash et al. (2005) é composta por sete fases, em que a última fase está
relacionada com a apresentação de documentos específicos às autoridades governamentais dos EUA, pelo
que, dada a sua especificidade, se optou pela sua eliminação.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 97
Empresas Portuguesas
Capítulo 5 – Investimento em Segurança da Informação
CAPÍTULO 6
6.1 INTRODUÇÃO
• aspectos organizacionais:
− os utilizadores finais;
− as relações entre os produtos de segurança e a missão da organização;
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 100
Empresas Portuguesas
Capítulo 6 – Tecnologias de Segurança da Informação
Detecção Resposta e
Prevenção e Dissuasão
Recuperação
A Figura 6.1 apresenta uma distribuição dos vários tipos de tecnologias por grupos e níveis.
Existe uma grande variedade de tecnologias de segurança da informação, com funções e
objectivos específicos. O Apêndice D lista as tecnologias de segurança mais utilizadas
pelas organizações.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 101
Empresas Portuguesas
Capítulo 6 – Tecnologias de Segurança da Informação
Por sua vez, o inquérito do CSI (Richardson, 2008) para o ano de 2007, mostra que as
tecnologias de segurança utilizadas por mais de 60% dos inquiridos são o software anti-
vírus, as firewalls, as VPN, o software anti-spyware, os sistemas de detecção de intrusão, a
encriptação de dados em trânsito e a gestão de vulnerabilidades.
Por seu lado, o E-Crime Watch Survey, conduzido pelo revista CSO, os serviços secretos
dos EUA (United States Secret Service), o Programa do Computer Emergency Response
Team (CERT) do SEI/CMU e a Microsoft Corp (CSO, 2007) revela que, de entre as
tecnologias utilizadas, as mais efectivas são as firewalls e controlos de acessos, enquanto
as menos efectivas são os processos e ferramentas de desenvolvimento de software e as
palavras-chave ocasionais.
Categoria de Tipo de
Fonte Assunto Abordado
Tecnologia Controlo
Hollis e Hollis (2006);
Gestão de identidades
McGhie (2007)
Leo (2007); Pulkkis, Grahn e Processos e métodos de
Karlsson (2006) autenticação Identificação e Prevenção &
Autenticação Dissuasão
Fleming (2003); Fried (2007) Biometria
Hootman (2007); Maradan, Cartões inteligentes e
Cotte e Fornas (2004) tokens
Clark (2007); Koshutanski e
Controlo de Prevenção &
Massacci (2007); Krehnke e Controlo de acessos
Acessos Dissuasão
Krehnke (2007);
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 102
Empresas Portuguesas
Capítulo 6 – Tecnologias de Segurança da Informação
Categoria de Tipo de
Fonte Assunto Abordado
Tecnologia Controlo
McBride (2007); Murray Protocolos de
(2007); Stackpole (2007) comunicação
Blanding (2007); Decker Segurança de redes e
(2007); Murphy (2006) comunicações Prevenção &
Firewall
Henry (2007); Thorsheim Dissuasão
Firewalls
(2007)
Redes privadas virtuais
Pasley (2007); Tiller (2007)
(VPN)
Cavusoglu, Mishra e
Raghunathan (2005); Sistemas de detecção de Detecção de
Detecção
Dampier e Siraj (2006); intrusão Intrusão
Freire (2007);
Broucek e Turner (2003); Resposta &
Forense digital Análise Forense
Corby (2007) Recuperação
Khelafa (2007); Mukkamala,
Sulaiman, Chavez e Sung Código malicioso e Protecção de
Detecção
(2007); Sharman, Krishna, antivírus Código Malicioso
Rao e Upadhyaya (2006)
Bertoni, Guajardo e Paar
Sistemas criptográficos
(2004); Ikbal (2007)
Infra-Estrutura de Prevenção &
Berbecaru, Derenale e Lioy Chave Pública Dissuasão
Infra-estrutura d e chave
(2004); Golod (2007);
pública (PKI)
Grabow (2007)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 103
Empresas Portuguesas
Capítulo 6 – Tecnologias de Segurança da Informação
Existe informação assimétrica quando os compradores não têm tanta informação acerca da
qualidade dos produtos quanto os vendedores, o que faz com que exista uma grande
pressão para a diminuição do preço e da qualidade, verificando-se a expulsão dos bons
produtos pelos maus produtos (Anderson, 2001). É neste sentido que Smith (2007) afirma
que a garantia de um produto de elevada segurança requer dois actos de fé por parte dos
investidores: a convicção de que o próprio produto será rentável, mesmo incluindo os
custos extras para garantir a elevada segurança; a convicção de que o próprio alto grau de
segurança irá afastar os compradores das alternativas de baixo custo e baixa segurança.
De acordo com Smith (2007), os programas de avaliação da segurança foram criados para
identificar produtos que atinjam determinadas normas em termos do seu desenho e
construção e da eficácia das suas características de segurança. O objectivo destes
programas, ainda segundo Smith, é criar um mercado para estes produtos e,
simultaneamente, permitir que o comprador possa distinguir entre um produto com um
elevado nível de garantia de segurança de um outro de baixo nível que, no entanto,
parecem semelhantes. Apesar destas vantagens aparentes, Smith afirma que as avaliações
de segurança sempre foram controversas, além de dispendiosas e consumidoras de tempo e
sem nunca assegurarem a ausência de falhas de segurança. Talvez devido a este facto, “os
fornecedores colocam centenas de produtos de segurança no mercado em cada ano, mas
apenas uma pequena parte é submetida a uma avaliação de segurança apoiada pelos
governos” (Smith, 2007, p. 207).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 104
Empresas Portuguesas
Capítulo 6 – Tecnologias de Segurança da Informação
Em 1991, a CCE criou o ITSEC (CEC, 1991), com uma diferença significativa
relativamente ao TCSEC, pois enquanto neste programa se procuravam características
específicas de segurança, o ITSEC permitia aos fornecedores criar a sua própria lista de
características de segurança, as quais eram depois avaliadas através dos critérios do ITSEC.
Por outro lado, enquanto as avaliações do ITSEC eram efectuadas por laboratórios
comerciais contratados pelo fornecedor, no TCSEC as avaliações eram realizadas por
agências governamentais com excesso de trabalho e pouco pessoal (Smith, 2007). As
avaliações do ITSEC eram reconhecidas pelos governos da Comunidade Europeia e dos
países da comunidade britânica, enquanto as avaliações do TCSEC eram reconhecidas
apenas pelo governo dos EUA e de alguns países aliados (Smith, 2007).
Alguns anos depois e após um esforço de harmonização entre estes dois programas, surge
em 1999, no âmbito da ISO, o chamado Common Criteria for Information Technology
Security Evaluation (abreviadamente Common Criteria), posteriormente transformado na
norma ISO/IEC 15408. Esta norma define os requisitos que os produtos devem satisfazer
do ponto de vista da segurança e apresenta uma base para comparar diferentes avaliações
de segurança (Trcek, 2003). Ainda de acordo com Trcek (2003), este programa de
avaliação permite: (1) aos consumidores determinar se um produto é suficientemente
seguro para a utilização pretendida; (2) aos responsáveis pelo desenvolvimento determinar
as propriedades de segurança desejadas e declará-las numa forma estandardizada; (3) aos
avaliadores verificar essas propriedades de segurança.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 105
Empresas Portuguesas
Capítulo 6 – Tecnologias de Segurança da Informação
Nível de
Abreviatura Designação
Confiança
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 106
Empresas Portuguesas
Capítulo 6 – Tecnologias de Segurança da Informação
Embora não sendo um programa de avaliação, o NIST publicou um guia para ajudar as
organizações a seleccionar as tecnologias de segurança, denominado Guide to Selecting
Information Technology (IT) Security Products (NIST SP 800-36). Este guia define as
categorias de produtos de segurança, especifica os tipos de produtos a incluir em cada uma
dessas categorias, como apresentado no Quadro 6.4, e fornece uma lista das características
e questões pertinentes que as organizações devem ter em consideração ao seleccionar um
produto de cada uma das categorias (Grance et al., 2003). Este guia auxilia a selecção das
tecnologias de segurança que devem ser utilizadas como controlos de segurança
operacionais ou técnicos, identificados após a realização da avaliação do risco.
• Tokens de segurança;
• Certificados digitais;
Identificação e Autenticação
• Protocolos de autenticação;
• Biometria.
• Listas de controlo de acessos;
Controlo de Acessos
• Controlos de acessos baseados em funções.
• Sistemas de detecção de intrusões baseados na rede;
• Sistemas de detecção de intrusões baseados em
Detecção de Intrusões computadores;
• Sistemas de detecção de intrusões baseados em aplicações;
• Prevenção da intrusão.
• Exploradores;
• Verificadores de integridade;
Protecção de Código Malicioso
• Monitores de vulnerabilidades;
• Bloqueadores de comportamento.
• Firewalls de filtragem de pacotes;
• Firewalls de monitorização de estados;
• Firewalls de acesso de proxy;
• Firewalls de proxy dedicadas;
Firewall • Firewalls de tecnologias híbridas;
• Conversão de endereços de rede;
• Firewalls baseadas em computadores;
• Firewalls pessoais;
• Gestão centralizada de firewalls distribuídas.
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 107
Empresas Portuguesas
Capítulo 6 – Tecnologias de Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 108
Empresas Portuguesas
7 O Factor Humano na Segurança da Informação
CAPÍTULO 7
7.1 INTRODUÇÃO
A CCE na sua comunicação 890 (CCE, 2001), reconhece a importância dos utilizadores
dos SI/TIC como um factor de extrema importância na segurança da informação, ao
afirmar que o ambiente do utilizador constitui um elemento-chave da infra-estrutura da
informação e que “as técnicas de segurança têm que ser aplicadas com autorização e
participação do utilizador e de acordo com as suas necessidades” (CCE, 2001, p. 10).
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 109
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
uma forma geral, as pessoas não têm uma boa compreensão do funcionamento dos SI/TIC
ou das ameaças a que estão vulneráveis (Hinde, 2003).
É comum falar-se que as pessoas são o elo mais fraco no modelo de segurança (Egan, 2005;
Henry, 2007b; Schneier apud Albrechtsen, 2007), mas para Egan (2005), as pessoas tanto
podem ser o elo mais fraco ou mais forte da cadeia da segurança da informação, ou, como
salienta Albrechtsen (2007, p. 277), “podem ser o único ou o obstáculo menos fiável à
prevenção de incidentes indesejados”. Albrechtsen e Hovden (2009), realçam o duplo
papel que os utilizadores podem assumir no âmbito da segurança da informação: como um
factor de risco (podem executar actos maliciosos – intencionais e não intencionais -,
ignoram os riscos e as formas de os mitigar) e como um recurso de combate às ameaças
através da sua actuação em conformidade com os regulamentos e políticas de segurança.
Também Bresz (2004) é de opinião que as pessoas podem ser o elo mais fraco da
segurança da informação se não tiverem a formação adequada e conclui que sem formação
e acções de sensibilização em segurança, as organizações não conseguem atingir os seus
objectivos em matéria de conformidade, ou, como defende Henry (2007b, p. 140), “pessoal
diligente e bem treinado pode tornar-se o elo mais forte da infra-estrutura de segurança de
uma organização”.
Schultz (2005) partilha da opinião que a segurança é um problema das pessoas e não da
tecnologia, pois são as pessoas que controlam e manipulam a tecnologia e não o contrário,
pois a tecnologia é desenhada para ser gerida e utilizada pelas pessoas, sem esquecer,
conforme salientado por Hinde (2003), que a maior parte das tecnologias de segurança são
desenhadas para funcionarem de acordo com um comportamento responsável e previsível
por parte dos utilizadores, o que nem sempre acontece. Schultz (2005) enumera um
conjunto de factores que fazem depender a segurança da informação do comportamento e
atitudes das pessoas, tais como:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 110
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Estas preocupações com a selecção de pessoal para assumir funções na área da segurança
da informação é um dos requisitos impostos pela norma ISO/IEC 17799:2005, a qual
estabelece que devem ser examinados os antecedentes de todos os candidatos a
empregados, parceiros e trabalhadores temporários, “em conformidade com as leis,
regulamentos e ética relevantes e proporcional aos requisitos de negócios, à classificação
da informação a ser acedida e aos riscos percepcionados” (ISO/IEC, 2005d, p. 23).
Também o NIST reconhece que a segurança dos SI/TIC só pode ser alcançada se todos os
intervenientes compreenderem os seus papéis e responsabilidade e forem formados
adequadamente (de Zafra, Pitcher, Tressler, & Ippolito, 1998). Neste sentido, publicou o
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 111
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 112
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Regulamento Requisito
O § 164.308(a)(5)(i) do 45 CFR Parts 160, 162, and 164 Health Insurance Reform:
HIPAA Act (1996) Security Standards; Final Rule, define os requisitos de formação e sensibilização
em segurança.
• O ponto 4 da alínea (a) do § 3544 requer que as agências governamentais
assegurem a formação do pessoal.
FISMA Act (2002)
• O ponto 4 da alínea (b) do § 3544 requer que as agências incluam a formação e
sensibilização em segurança nos seus programas de segurança da informação.
A alínea (b) do § 314.4 do 16 CFR Part 314 Standards for Safeguarding Customer
GLB Act (1999) Information; Final Rule, requer que os empregados obtenham formação no âmbito
da avaliação do risco.
Sarbanes-Oxley Act A secção 105 prevê sanções no caso da existência de limitações à formação ou
(2002) educação profissional.
• estabelecer responsabilidade;
• estar em conformidade com os requisitos legais para a formação e com as políticas
de segurança internas;
• demonstrar a devida diligência;
• determinar a audiência;
• definir a mensagem e os assuntos a transmitir;
• seleccionar os canais de comunicação;
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 113
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Por seu lado, Chun (2007), defende que os programas de sensibilização serão mais
relevantes, poderosos e efectivos se forem elaborados de forma a considerarem os
comportamentos e atitudes das pessoas, na medida em que “conhecendo o subtil, as formas
inconscientes para influenciar e incentivar estas atitudes pode ser um activo útil na
implementação de um programa de sensibilização de segurança mais persuasivo e eficaz”
(Chun, 2007, p. 530).
Dimensões do
Conhecimento
PARTICIPANTES
Recursos do Características do
Conhecimento Conhecimento
Legenda:
Ligação primária
Ligação secundária
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 114
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Mudar a cultura exige que a organização se transforme numa organização que aprende,
com “capacidades para criar, adquirir e transferir conhecimento acerca da segurança da
informação e modificar o seu comportamento para reflectir o novo conhecimento sobre
segurança da informação” (Stahl, 2007, p. 558), ou seja, implica que se alterem os
comportamentos das pessoas acerca da forma como sentem, pensam e compreendem os
problemas da segurança da informação. Também Thomson e von Solms (2005)
argumentam que a cultura da organização deve ser utilizada para influenciar o
comportamento dos empregados no sentido de uma efectiva segurança da informação. Para
estes autores, existe uma relação biunívoca entre os comportamentos dos gestores
executivos e dos seus colaboradores que influencia a cultura da organização em matéria de
segurança da informação, resultado das práticas de segurança da informação dos gestores
que contribuem para moldar as atitudes dos colaboradores, por um lado, e a aceitação dos
comportamentos dos colaboradores pelos gestores, por outro lado.
A engenharia social está relacionada com as situações em que alguém tem acesso a
informação sensível ou obtém privilégios de acesso não autorizados a sistemas ou
instalações através da construção de relações de confiança inapropriadas com elementos
internos da organização (Damie, 2002). Trata-se, portanto, ainda segundo Damie, da arte
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 115
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Segundo Henry (2007b) e Peltier (2006), existem quatro grandes tipos de engenharia social:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 116
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Como resultado do seu estudo de campo empírico para investigar os ataques de engenharia
social, Workman (2007) recomenda aos gestores a implementação do seguinte conjunto de
medidas:
Por seu lado, Rogers (2007), defende que a abordagem mais apropriada para mitigar os
riscos e os impactos da engenharia social é aquela que junta os programas de formação,
sensibilização e educação com os controlos de segurança compensatórios.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 117
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Na sua essência, estes conceitos são unânimes em realçar dois aspectos fundamentais: (1) o
agente da acção é um colaborador interno que tem autorização para aceder aos sistemas e
(2) o agente utiliza esse privilégio para cometer actos ilegais ou quebrar os controlos de
segurança existentes. Como não existe uma diferença substancial entre estes conceitos e
para proceder a uma harmonização e simplificação dos mesmos, daqui em diante serão
utilizados os termos ameaça interna e ataque interno.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 118
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Survey (CSO, 2007) indica que os ataques internos representam cerca de 26% do total dos
eventos de segurança, enquanto os ataques externos são cerca de 58%. Ainda de acordo
com este inquérito, os crimes electrónicos mais praticados pelos atacantes internos são o
acesso não autorizado a informação, sistemas ou redes (relatado por 27% dos inquiridos
que sofreram crimes electrónicos), roubo de propriedade intelectual (24%), roubo de outro
tipo de informação, incluindo informação financeira e de clientes (23%) e fraude (cartões
de crédito, etc.) (19%). Os principais métodos utilizados pelos atacantes internos constam
da Tabela 7.1, com realce para as técnicas de engenharia social e utilização de contas
comprometidas.
% de inquiridos que
Tipo de Método sofreram crimes
electrónicos
Engenharia social 45%
Utilização de contas comprometidas 39%
Cópia de informação para dispositivos móveis 36%
Utilização das próprias contas 35%
Utilização de tecnologias sofisticadas (decifrador de
31%
palavras-chave e captura de informação da rede)
Fonte: CSO (2007).
A actividade maliciosa dos ataques internos incide, fundamentalmente, sobre três tipos de
actividades distintas: fraude; roubo de informação; sabotagem (Cappelli, Moore, Shimeall,
& Trzeciak, 2006). Outras actividades maliciosas perpetradas por atacantes internos
incluem espionagem, terrorismo, extorsão, suborno e corrupção (Greitzer et al., 2008).
Estas actividades, pela sua natureza, fazem com que os impactos dos ataques internos
sejam devastadores, não só em termos financeiros (fraude, roubo de informação, extorsão,
etc.), como nos danos provocados nos sistemas e infra-estruturas tecnológicas (sabotagem).
O CSI Survey 2007 (Richardson, 2008) revela que os crimes electrónicos perpetrados por
atacantes internos são responsáveis por cerca de 34% dos danos (em termos de custos ou
operações), enquanto os ataques externos representam 37% dos danos.
De acordo com Fenton e Wolfe (2007), as ameaças internas têm um impacto potencial
mais elevado do que as externas, dado que o protagonista interno já conhece os sistemas
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 119
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
que pretende atacar. Adicionalmente, o atacante interno tem conhecimento das políticas,
procedimentos e tecnologias utilizadas nas suas organizações, como também conhece
perfeitamente as suas vulnerabilidades, o que torna os seus ataques mais devastadores
(Cappelli et al., 2006). Para realizar um ataque, o atacante deve ter: (1) capacidade para
cometer o ataque; (2) motivo para o fazer; (3) oportunidade para cometer o ataque,
reconhecido na literatura como o modelo CMO (capacidade, motivo e oportunidade)
(Schultz, 2002).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 120
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Com base no resultado da sua investigação, Stanton et al. (2005) construíram uma
taxinomia do comportamento de segurança dos utilizadores finais composta por seis
elementos, os quais variam ao longo de duas dimensões: intencionalidade e conhecimento
técnico, tal como apresentado na Figura 7.3 e no Quadro 7.2, onde as seis categorias de
comportamento estão distribuídas pelas duas dimensões.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 121
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Para Stanton et al. (2005), os mecanismos mais indicados para mover os comportamentos
do tipo “erros ingénuos” para a categoria de “higiene base” são a formação e sensibilização,
assim como uma utilização mais adequada das regras de criação e alteração de palavras-
chave. Ainda segundo estes autores, é importante ter uma visão sistemática do
comportamento dos utilizadores finais que facilite uma correcta auditoria e avaliação desse
comportamento.
Contudo, Vroom e von Solms (2004) afirmam que é extremamente difícil auditar o
comportamento humano, mas reconhecem a necessidade de avaliar o comportamento dos
empregados para verificar se as suas atitudes e comportamentos estão em conformidade
com as políticas de segurança existentes na organização. Para estes autores, o processo de
avaliação do comportamento dos empregados passa pela análise da cultura da organização,
percebendo como as pessoas agem individual e colectivamente, i.e., compreender o
comportamento organizacional e a forma como os empregados são influenciados. Vroom e
von Solms (2004) concluem que não sendo possível auditar o comportamento humano e,
consequentemente, alterar esse comportamento para atingir os objectivos de segurança
propostos, a abordagem mais pragmática para alterar a cultura global da organização
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 122
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Segundo Egelman, King, Miller, Ragouzis, e Shehan (2007), a investigação acerca dos
comportamentos de segurança dos utilizadores é extremamente difícil, dado que os
utilizadores lidam com a segurança de forma pouco frequente e irregular. Segundo estes
autores, os vários tipos de investigação realizados têm limitações significativas. Por um
lado, porque os métodos para recolha de dados através da observação do comportamento
dos utilizadores são difíceis de implementar porque os utilizadores raramente são
confrontados com problemas de segurança. Por outro lado, porque a investigação
utilizando entrevistas e inquéritos sofre de limitações, na medida em que os utilizadores
dizem que tomam determinadas acções de segurança, quando, na realidade, agem de forma
completamente oposta.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 123
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Schultz considera que se for possível quantificar cada um dos indicadores e atribuir-lhes
uma determinada ponderação e, de seguida, utilizar uma equação matemática do tipo
regressão múltipla, consegue-se obter um valor que representa a probabilidade da
ocorrência de um ataque interno.
Num sentido oposto, Anderson, Selby, e Ramsey (2007) propõem uma solução técnica
para detectar os ataques internos. Esta solução baseia-se num sistema de análise de dados
dos utilizadores em tempo real, o qual permite detectar desvios no comportamento
esperado dos utilizadores no acesso à informação a que têm direito, tendo em consideração
os recursos e tipo de acessos necessários para esses mesmos utilizadores executarem as
funções que lhe estão atribuídas.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 124
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Também Cappelli et al. (2006) alegam que, embora os ataques internos possam ser
evitados, o que na sua opinião é um problema complexo, o processo adequado para tratar
com as ameaças internas passa pela prevenção, consubstanciada numa estratégia defensiva
consistente com as políticas, procedimentos e controlos técnicos. A resposta às ameaças
internas deve ser encontrada a partir de um correcto balanceamento entre as ferramentas
técnicas de defesa preventiva, políticas e práticas organizacionais e formação (Greitzer et
al., 2008).
Neste sentido, Cappelli et al. (2006) propõem as seguintes 13 boas práticas para a
prevenção e detecção das ameaças internas:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 125
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Como a tecnologia em si é neutra, a ética nos SI/TIC está preocupada com o impacto social
da tecnologia (Vidalis & Kazmi, 2007), ou, como afirma Laudon (1995, p. 38), não existe
ética nos SI/TIC “sem um conhecimento de como as TIC afectam a escolha humana, a
acção humana e o potencial humano”.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 126
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
A privacidade é, segundo Loch e Conger (1996), uma das preocupações éticas que mais
afectam os utilizadores dos SI/TIC. Os julgamentos éticos são diferentes entre homens e
mulheres, especialmente em relação a determinados dilemas éticos (Khazanchi, 1995). Os
homens e as mulheres também diferem substancialmente nos elementos importantes das
decisões éticas sobre a utilização dos SI/TIC (Loch & Conger, 1996). De igual modo,
Gattiker e Kelley (1999), concluem que os homens e os jovens são muito mais tolerantes a
determinados comportamentos relativos aos SI/TIC do que as pessoas mais velhas e as
mulheres.
Os utilizadores deparam-se com diversos dilemas na utilização dos SI/TIC, os quais podem
ser agrupados nas sete categorias apresentadas no Quadro 7.4.
Categoria Descrição
Estes dilemas derivam, igualmente, das chamadas teorias normativas da ética empresarial:
a teoria do accionista; a teoria do interveniente; a teoria do contrato social (Smith &
Hasnas, 1999):
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 127
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
A interligação entre estas três teorias está presente na Figura 7.4, enquanto as obrigações
éticas associadas a cada uma destas teorias são as que constam do Quadro 7.5.
A resolução dos dilemas enfrentados pelos utilizadores dos SI/TIC deve ter em
consideração as obrigações éticas associadas a cada uma das três teorias, diferenciando e
seleccionando as opções que não violem os direitos dos elementos de cada grupo. Dado
que estas teorias estão vocacionadas para providenciar orientações éticas para indivíduos
que trabalham em organizações com fins lucrativos num ambiente de mercado (Smith &
Hasnas, 1999), a aplicação destas teorias à realidade das organizações sem fins lucrativos
deve ser objecto de adaptações a essa realidade.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 128
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Smith (2002) considera que, só por si, estas três teorias não são suficientes para resolver os
dilemas enfrentados pelos utilizadores dos SI/TIC, pelo que é necessário incluir um
conjunto de regras distribuídas em três níveis: ao nível da empresa; ao nível da
indústria/profissão; ao nível das leis. Smith propõe que a definição das normas de conduta
para moldar o comportamento dos utilizadores de SI/TIC seja efectuada através da
integração entre as três teorias e o conjunto de regras existentes nos níveis empresarial,
industrial/profissional e legislativo.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 129
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
• o código deve ser organizado através de grupos aos quais o profissional deve
obrigações: público; empregador; clientes; profissão; colegas;
• as obrigações com os diferentes grupos devem ser uma união de todas as obrigações
contempladas nos códigos já existentes;
• o código é universal, pelo que não está sujeito a obrigações de qualquer país. Os
colegas, e.g., significa todos os colegas de profissão, independentemente da sua
nacionalidade;
• as obrigações para com as organizações profissionais devem ser idênticas às
obrigações para com a profissão;
• o código deve providenciar orientações gerais para com as prioridades das
obrigações dentro dos grupos definidos;
• o código deve detalhar os procedimentos para efeitos de comunicação e para
tratamento de queixas contra a violação do código e as medidas a tomar contra os
violadores das regras.
Todavia, Conger e Loch (2001) afirmam que a criação de um único código de ética é uma
ideia pouco sensata, na medida em que um código de ética profissional, por muito bom que
seja, não pode incluir as preocupações de todos os indivíduos, negócios, países ou
sociedades. Por outro lado, Conger e Loch argumentam que a importância do contexto,
definido no âmbito da Teoria Integrada dos Contratos Sociais, invalida o propósito de
tratar todos os comportamentos éticos através de códigos de ética genéricos. Segundo
Conger e Loch (2001), esta teoria preconiza que todos somos cidadãos de vários grupos,
como representado na Figura 7.5: a sociedade global; o país; a empresa; a organização
profissional; o indivíduo.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 130
Empresas Portuguesas
Capítulo 7 – O Factor Humano na Segurança da Informação
Em cada um destes ambientes, cada indivíduo representa um papel e conhece as regras que
tem que respeitar e os comportamentos que esperam dele.
A aplicação desta Teoria Integrada dos Contratos Sociais aos códigos de ética genéricos,
pode contribuir para a definição de um conjunto de orientações para o comportamento
ético-profissional (Conger & Loch, 2001).
A eficácia dos códigos de ética para impedir os crimes informáticos é bastante controversa
(Gattiker & Kelley, 1999), embora Harrington (1996) reconheça que os códigos de ética
têm algum efeito sobre as actividades maliciosas praticadas sobre os SI/TIC,
designadamente os actos de sabotagem.
Todavia, segundo Harrington (1996), alguns custos sociais e pessoais como a consciência,
vergonha, perda de respeito e angústia são mais penalizantes para aqueles que cometem
actos criminosos, do que as penalizações sofridas pela violação dos códigos de ética. Para
Harrington, o efeito dos códigos de ética é esporádico e fraco em comparação com aquelas
características psicológicas, mas têm algum efeito nos indivíduos com uma alta negação da
responsabilidade. Reconhecendo que os códigos de ética têm algum impacto no
comportamento dos utilizadores, Harrington, conclui que para controlar esses
comportamentos, a gestão tem que implementar outros controlos de segurança com
incidência nos aspectos da responsabilidade, tais como a descrição clara das funções,
práticas cuidadosas de contratação e colocação dos empregados, segregação de
responsabilidades, rotação de funções, etc. Independentemente da elevada ou fraca eficácia
dos códigos de ética, é um facto assente que os responsáveis pela segurança devem, de
acordo com Tippett (2007), encorajar a utilização ética dos SI/TIC no interior das
organizações, devendo, para o efeito, desenvolver um conjunto de acções, as quais,
segundo Tippett, devem compreender:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 131
Empresas Portuguesas
8 A Segurança da Informação como Requisito Legal
CAPÍTULO 8
8.1 INTRODUÇÃO
políticas. As novas leis e regulamentos tornam claro que a segurança da informação é uma
questão legal e da governação empresarial, pelo que a responsabilidade recai directamente
na gestão da organização (Smedinghoff, 2005b), tal como expresso nas leis norte-
americanas SOX Act (2002), GLB Act (1999) e HIPAA Act (1996) e na norma Basel II do
Bank for International Settlements [BIS] (2006) e proposta de Directiva da Solvência II da
UE (Comunicação COM(2007) 361 final) (CCE, 2007).
No âmbito do SOX Act (2002), a secção 302 - Corporate Responsibility for Financial
Reports, atribui a responsabilidade ao presidente executivo (Chief Executive Officer) e ao
executivo responsável pela área financeira (Chief Financial Officer) pela fiabilidade dos
relatórios financeiros. Esta fiabilidade é alcançada através da utilização de procedimentos
de controlo para prevenir, detectar e responder a acessos não autorizados e a manipulação
de sistemas e dados, garantindo-se que os SI/TIC produzem informação exacta e completa,
certificada pelos controlos de segurança implementados sobre os SI/TIC. O incumprimento
destes executivos na certificação dos relatórios financeiros tem uma penalização máxima
de 5 milhões de dólares ou pena de prisão de 20 anos, conforme estipulado pela secção 906
- Corporate Responsibility for Financial Reports. De igual modo, o GLB Act (1999),
regulador da actividade financeira nos EUA, atribui responsabilidades à gestão pela
protecção dos sistemas responsáveis pelo tratamento e transmissão de dados financeiros
(secção 103). A regulação da indústria financeira na UE, estabelecida pelo Basel II, atribui
à gestão bancária a responsabilidade pela definição de um modelo para avaliar os vários
riscos e pelo estabelecimento de um método para monitorizar a conformidade com as
políticas internas, além da adopção de um forte sistema de controlo interno e o
estabelecimento por escrito de políticas e procedimentos (BIS, 2006). Também a proposta
de Directiva Solvência II (relativa aos seguros de vida ao acesso à actividade de seguros e
resseguros e ao seu exercício) é muito clara na atribuição da responsabilidade dos gestores
pela solidez financeira das seguradoras, a qual será alcançada através de um bom governo
da sociedade. Este sistema de governo deve incluir o cumprimento dos requisitos de
competência e idoneidade, gestão de riscos, avaliação interna do risco e da solvência,
controlo interno, auditoria interna, entre outros. Na indústria da saúde dos EUA, o HIPAA
Act (1996) atribui à gestão a responsabilidade pelas medidas de segurança para proteger os
dados e pela condução das pessoas a quem compete aplicar e controlar essas medidas de
segurança (Assigned Security Responsibility - § 164.308(a)(2) do Health Insurance Reform:
Security Standards). A divulgação não autorizada de informação individual de saúde
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 134
Empresas Portuguesas
Capítulo 8 – A Segurança da Informação como Requisito Legal
incorre numa coima que pode ir até um máximo de 250 mil dólares e uma pena de prisão
de 10 anos (Tarantino, 2006).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 135
Empresas Portuguesas
Capítulo 8 – A Segurança da Informação como Requisito Legal
factor que tem um impacto mais significativo nas práticas da segurança da informação.
Cerca de 80% dos inquiridos confirma que a conformidade com as obrigações
regulamentares contribui para uma melhoria da segurança da informação nas organizações
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 137
Empresas Portuguesas
Capítulo 8 – A Segurança da Informação como Requisito Legal
De notar que, no longo prazo, os custos da conformidade tendem a ser menores que o custo
da não conformidade (Shaurette, 2007). Constata-se, portanto, que para assegurar a
conformidade com as regulamentações, as organizações incorrem num determinado nível
de investimento, o qual varia em função do número e tipo de medidas e acções que devem
ser implementadas.
Backhouse et al. (2006) afirmam que as normas contêm acções e processos que
influenciam as actividades organizacionais e as próprias organizações, pelo que se
revestem de instrumentos de poder. A partir desta asserção, os autores defendem que o
poder e a política são factores fundamentais na definição das normas e desenvolvem uma
investigação (estudo de caso sobre a criação da norma ISO 17799) para examinar a
interacção das contingências externas, agentes poderosos, recursos, afiliação em grupos
institucionais e de relevância social na criação de resultados políticos de sucesso. Esta
investigação conclui que as “decisões acerca do desenho e implementação das normas não
são normalmente alcançados na base de um processo lógico racional, mas são construídas
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 138
Empresas Portuguesas
Capítulo 8 – A Segurança da Informação como Requisito Legal
Esta abordagem parte da constatação de que os requisitos para os controlos de uma infra-
estrutura de TIC estão compreendidos em quatro grandes componentes: governo das TIC;
serviços de TIC; segurança da informação; operações de TIC. Movendo-se de modelo em
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 139
Empresas Portuguesas
Capítulo 8 – A Segurança da Informação como Requisito Legal
A Figura 8.2 apresenta uma lista das principais regulamentações mais importantes a nível
internacional e as diversas normas e modelos de referência existentes para assegurar a
conformidade com essas regulamentações.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 140
Empresas Portuguesas
Capítulo 8 – A Segurança da Informação como Requisito Legal
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 141
Empresas Portuguesas
9 A Segurança da Informação nas Pequenas e Médias Empresas
CAPÍTULO 9
9.1 INTRODUÇÃO
As ameaças e vulnerabilidades dos SI/TIC são idênticas para as grandes empresas e para as
PMEs. Enquanto as primeiras possuem recursos financeiros, materiais e humanos
vocacionados para combater as ameaças e reduzir as vulnerabilidades, já as PMEs são
caracterizadas por não disporem dos mesmos recursos que as grandes empresas e, desse
modo, estarem mais susceptíveis a incidentes de segurança com efeitos perniciosos sobre a
sua actividade.
Este capítulo aborda a segurança da informação nas PMEs, definindo o conceito de PMEs
e descrevendo a utilização dos SI/TIC e da segurança da informação nas PMEs.
Na realidade, cada país tem a sua própria definição de PME, o que levanta alguns
problemas na comparação de dados entre os diversos países para este tipo de empresas. Em
Portugal, são consideradas PMEs, de acordo com os Despachos Normativos n.º 52/87
(Ministério da Indústria e do Comércio, 1987), n.º 38/88 (Ministério da Indústria e Energia
e do Comércio e Turismo, 1988) e Aviso do Instituto de Apoio às Pequenas e Médias
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 142
Empresas Portuguesas
Capítulo 9 – A Segurança da Informação nas Pequenas e Médias Empresas
• empreguem até 500 trabalhadores (600, no caso de trabalho por turnos regulares);
• não ultrapassem 12 milhões de euros de vendas anuais;
• não possuam, nem sejam possuídas, em mais de 50% por outra empresa que
ultrapasse qualquer um dos limites definidos nos pontos anteriores.
Esta definição de PME não faz a distinção entre micro, pequenas e médias empresas.
Todavia, devido à necessidade de harmonizar os conceitos de PMEs no seio da UE,
nomeadamente para efeitos de atribuição de incentivos aos vários projectos comunitários, a
Comissão Europeia propôs, através da Recomendação da Comissão n.º 2003/361/CE (CCE,
2003), a definição de PMEs constante do Quadro 9.1.
N.º de
Categoria Volume de Negócios Balanço Total
Trabalhadores
Média Empresa < 250 < = 50 milhões de euros < = 43 milhões de euros
Pequena Empresa < 50 < = 10 milhões de euros < = 10 milhões de euros
Microempresa < 10 < = 2 milhões de euros < = 20 milhões de euros
Para efeitos desta tese, utilizar-se-á a definição de PMEs proposta pela CE, baseando-se,
essencialmente, no número de trabalhadores para distinguir cada uma das três categorias de
PMEs: micro, pequenas e médias empresas.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 143
Empresas Portuguesas
Capítulo 9 – A Segurança da Informação nas Pequenas e Médias Empresas
A investigação sobre a utilização e o papel dos SI/TIC nas PMEs é extremamente diverso e
incidindo sobre muitas características diferentes das PMEs, como a dimensão da empresa
(Cragg, King, & Hussin, 2002; Dutta & Evrard, 1999), estratégia de negócio (Levy, Powell,
& Yetton, 2002; Nieto & Fernandéz, 2006), cultura e estrutura organizacional (Azumah,
Koh, & Maguire, 2005; Bouthillier, 2002), atitudes perante os SI/TIC (Southern & Tilley,
2000), localização (Beheshti, 2004; Temtime, Chinyoka, & Shunda, 2003), etc.
Também a análise dos factores determinantes da adopção dos SI/TIC pelas PMEs foi
objecto de significativa investigação, designadamente na análise dos elementos
propulsionadores da adopção dos SI/TIC (Barba-Sánchez, Martínez-Ruiz, & Jiménez-
Zarco, 2007; Giunta & Trivieri, 2007; Lee & Runge, 2001; Lucchetti & Sterlacchini, 2004),
utilização de cenários tecnológicos (Knol & Stroeken, 2001), implicações para a gestão
(Ritchie & Brindley, 2005) e factores críticos de sucesso (Caldeira & Ward, 2002).
• as PMEs têm poucos recursos para investir em novos SI/TIC (Dutta & Evrard, 1999;
Lee & Runge, 2001);
• as PMEs têm falta de meios para proteger apropriadamente a sua infra-estrutura
tecnológica devido a restrições financeiras, recursos limitados e competências
adequadas (Weippl & Klemen, 2006);
• as PMEs não têm grandes e formais estruturas organizativas (Lee & Runge, 2001;
Street & Meister, 2004); mas sim estruturas altamente centralizadas, com os gestores
responsáveis pelas decisões críticas;
• os gestores são em número reduzido nas PMEs e têm fracas competências em SI/TIC,
o que limita a sua capacidade em delinear as estratégias em SI/TIC (Beheshti, 2004;
Caldeira & Ward, 2002; Mehrtens et al. apud Cragg et al., 2002). Os gestores das
PMEs têm pouco conhecimento das ameaças e riscos da segurança da informação e
das consequências para o negócio daí resultantes (Keller, Powell, Horstmann,
Predmore, & Crawford, 2005) e não consideram que a sua empresa seja um alvo de
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 144
Empresas Portuguesas
Capítulo 9 – A Segurança da Informação nas Pequenas e Médias Empresas
Segundo Dutta e Evrard (1999), se alguns anos atrás as PMEs poderiam estar atrasadas
relativamente às grandes empresas relativamente à utilização das novas tecnologias,
actualmente essa distinção já não faz sentido. A distinção nos dias de hoje efectua-se, de
acordo com Dutta e Evrard, entre as modernas PMEs que são ágeis na adopção de novas
tecnologias e as PMEs tradicionais que tendem a não abandonar as tecnologias tradicionais.
Esta agilidade em aproveitar e potenciar os SI/TIC está intimamente associada à qualidade
dos recursos humanos e à sua experiência tecnológica (Dutta & Evrard, 1999; Southern &
Tilley, 2000). O nível de utilização de novas tecnologias pelas PMEs também é
influenciado pela qualidade da gestão (gestores com mais conhecimento em matérias
técnicas) e a sua capacidade para obter e tratar com informação tecnológica (Burgess, 2002;
Dutta & Evrard, 1999; Lee & Runge, 2001). A experiência tecnológica dos empregados é
um dos factores discriminante da adopção do comércio electrónico pelas PMEs, conforme
apontado por Mirchandani e Motwani (2001).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 145
Empresas Portuguesas
Capítulo 9 – A Segurança da Informação nas Pequenas e Médias Empresas
Este guia deve ser utilizado, segundo o ICC, por todas as PMEs em que:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 146
Empresas Portuguesas
Capítulo 9 – A Segurança da Informação nas Pequenas e Médias Empresas
• compreender como os activos são utilizados, por quem e por que motivos;
• compreender a gestão da segurança – melhorar a gestão da segurança para os activos
críticos;
• conhecer as obrigações gerais na utilização dos activos de informação – considerar
os requisitos legais a que o negócio está sujeito, nomeadamente as leis de protecção
de dados.
Também a Internet Security Alliance (ISA) publicou um guia para as PMEs relativo às
ameaças informáticas para as empresas ligadas à Internet, recomendando as seguintes
acções (Woody & Clinton, 2004):
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 147
Empresas Portuguesas
Capítulo 9 – A Segurança da Informação nas Pequenas e Médias Empresas
A análise desta lista de controlos de segurança permite concluir que embora os controlos
considerados mais importantes sejam essencialmente soluções tecnológicas, muitos destes
controlos estão associados a políticas, normas e procedimentos, i.e., a processos de gestão
da segurança da informação.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 148
Empresas Portuguesas
Capítulo 9 – A Segurança da Informação nas Pequenas e Médias Empresas
Um dos efeitos da evolução tecnológica foi a diminuição do preço dos SI/TIC, o que fez
com que muitas das tecnologias que apenas estavam ao dispor das grandes empresas
passassem a estar ao alcance das PMEs, importando para o interior destas empresas o
mesmo tipo de vulnerabilidades e ameaças sentidas pelas grandes empresas. Todavia, não é
necessário a utilização de SI/TIC para que existam ameaças à segurança da informação,
pois basta que a empresa tenha um computador e que o mesmo esteja ligado a uma rede
para que existam potenciais ameaças à integridade, confidencialidade e disponibilidade da
informação da empresa (Johnson & Koch, 2006). Na realidade, basta a empresa utilizar a
Internet para estar vulnerável, dado que a dimensão ou o tipo de negócio não são
sinónimos de protecção contra ataques aos SI/TIC (Woody & Clinton, 2004), apesar de
existirem muitas pequenas empresas que não têm políticas de segurança activas devido ao
falso sentimento de segurança que possuem pelo facto de serem pequenas (Ng & Fenf,
2006).
Para Fenton e Wolfe (2007), um dos maiores problemas de segurança da informação nas
PMEs é a ausência da função e de um programa de segurança da informação, pois tem que
existir uma pessoa (gestor, director ou responsável de segurança) que assuma a
responsabilidade por toda a área de segurança. Entregar esta função a um administrador de
sistemas é uma condição para que o processo de segurança da informação seja um
insucesso.
Para Xie e Mead (2004), a insuficiência de recursos humanos das PMEs e a inexistência de
uma estrutura de SI/TIC é responsável pela ausência de informação sobre as falhas de
segurança e as consequentes perdas financeiras. Esta situação, segundo os autores, tem um
efeito pernicioso, na medida em que leva as empresas a ignorar as vulnerabilidades de
segurança dos seus sistemas e sujeitarem-se a sofrer as consequências das falhas de
segurança e as respectivas perdas financeiras em face de ataques bem sucedidos. Esta
situação não obsta, contudo, que os gestores das PMEs não estejam cientes das ameaças,
mas, de acordo com Johnson e Koch (2006), menos de metade dos inquiridos no seu
estudo para análise do conhecimento, preocupação e acções dos proprietários de pequenos
negócios relativamente aos riscos de segurança informáticos da Internet, mostraram estar a
tomar medidas para proteger os seus SI/TIC. Também Clear e Lee-Kelley (2005, p. 319)
realçam o facto de “a consciência do risco e a apreciação do risco pela gestão e pessoal são
baixas”.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 149
Empresas Portuguesas
Capítulo 9 – A Segurança da Informação nas Pequenas e Médias Empresas
Para muitos gestores das PMEs a segurança dos SI/TIC é efectuada basicamente a partir de
uma firewall ou da actualização do software anti-vírus ou, como salientado por Upfold e
Sewry (2006), a maioria dos gestores das PMEs vêm a segurança da informação como uma
intervenção técnica com o objectivo de combater os vírus e proceder à salvaguarda da
informação. Políticas de segurança, controlos de acesso, formação do pessoal são assuntos
que apenas merecem atenção depois de um incidente de segurança (Clear & Lee-Kelley,
2005; Weippl & Klemen, 2006). Conclusões relativamente semelhantes foram retiradas da
investigação de Ng e Feng (2006) e de Ruighaver e Wong (2002), cujas investigações
foram baseadas no modelo de Straub e Welke (1998) referente às percepções da gestão
sobre os riscos da segurança. Ng e Feng (2006) analisaram as preocupações de segurança
dos gestores de empresas tecnológicas recém-criadas e concluíram que este tipo de
empresas não só se focaliza, essencialmente, em controlos técnicos e operacionais,
prestando pouca atenção aos controlos de gestão, como também possui poucos recursos e
competências em segurança da informação. Relativamente ao estudo de Ruighaver e Wong
(2002) sobre a percepção dos riscos de segurança nas actividades de comércio electrónico
nas PMEs, os autores concluem que o fraco nível de conhecimentos dos gestores em
matéria de segurança, associado a algumas soluções técnicas de segurança implementadas
ao nível dos SI/TIC, conduzem a uma falsa percepção de ausência de risco ou a um nível
baixo de risco.
Um dos aspectos mais importantes no âmbito das PMEs diz respeito ao poder de decisão.
De facto, como salientado atrás, as PMEs não têm estruturas organizativas formais, mas
estruturas altamente centralizadas, com os gestores responsáveis pelas decisões críticas
(Lee & Runge, 2001; Street & Meister, 2004), o que os coloca, em termos de segurança
dos SI/TIC, numa posição difícil, dado que, segundo Weippl e Klemen (2006), os
decisores têm que confiar no responsável de SI/TIC (se existir), desenhar ou avaliar
propostas para as políticas de segurança e tomar a responsabilidade dessas políticas,
balancear o poder entre os utilizadores finais e o responsável pelos SI/TIC e estabelecer e
reforçar relações de confiança entre eles, tal como esquematizado na Figura 9.1.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 150
Empresas Portuguesas
Capítulo 9 – A Segurança da Informação nas Pequenas e Médias Empresas
Figura 9.1: Caminho da comunicação sobre segurança dos SI/TIC nas PMEs.
Fonte: Weippl e Klemen (2006, p. 120).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 151
Empresas Portuguesas
Capítulo 9 – A Segurança da Informação nas Pequenas e Médias Empresas
2005; Keller et al., 2005), riscos para a segurança de dados originados pelo teletrabalho
(Clear & Lee-Kelley, 2005) e riscos da segurança originados pela Internet (Johnson &
Koch, 2006).
Na área dos estudos gerais sobre a prática da segurança nas PMEs apenas foram
referenciados três trabalhos. Um estudo sobre a segurança da informação nas PMEs do
Cabo Oriental (Upfold e Sewry, 2006) tendo como base um inquérito devidamente
alinhado com a norma ISO/IEC 17799 e incidindo sobre uma amostra dos 134 controlos de
segurança incluídos nas 11 áreas de seguranças propostas na norma. Um outro trabalho de
investigação analisa a experiência e práticas da segurança da informação nas PMEs dos
EUA (Ryan, 2001), embora com uma vertente tecnológica muito acentuada. As conclusões
destes dois destes trabalhos apontam, em primeiro lugar, para uma prática desigual da
segurança da informação entre as PMEs analisadas e, em segundo lugar, para um nível
reduzido da utilização das tecnologias de segurança comuns, exceptuando o software
antivírus, palavras-chave e salvaguarda de dados.
• as PMEs europeias consideram que a segurança dos SI/TIC é importante, mas não
integram os processos de segurança no negócio;
• a sensibilização para as questões de segurança dos SI/TIC é fraca;
• a adopção das tecnologias e arquitecturas de segurança é limitada;
• os custos de segurança dos SI/TIC variam significativamente, independentemente da
tecnologia adoptada.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 152
Empresas Portuguesas
10 Modelo de Investigação e Definição de Hipóteses
CAPÍTULO 10
10.1 INTRODUÇÃO
Tendo como suporte teórico a revisão da literatura apresentada nos capítulos anteriores e
como resposta à escassez de trabalhos empíricos nesta área, em geral, e em Portugal, em
particular (tanto quanto é do nosso conhecimento), foi desenvolvido um modelo conceptual
de investigação para determinar a eficácia da gestão da segurança da informação nas PMEs.
As respostas às ameaças de que são alvo os SI/TIC são influenciadas não só pelos custos
associados às soluções tecnológicas e organizacionais, como também, pelas
regulamentações que as organizações são obrigadas a respeitar, designadamente as leis
sobre a privacidade e protecção de dados.
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 153
Empresas Portuguesas
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
Tanto quanto é do nosso conhecimento, não existem estudos que analisem o estado e a
eficácia das práticas de gestão da segurança da informação nas PMEs numa perspectiva
dimensional, englobando, simultaneamente, as questões organizacionais, humanas e
tecnológicas. Os estudos sobre a percepção dos gestores das PMEs sobre os riscos da
segurança da informação são escassos e os seus resultados, determinados a partir de um
universo bastante restrito, carecem de uma confirmação mais aprofundada.
A maior parte dos estudos por nós consultados sobre a segurança da informação nas PMEs
debruçam-se apenas uma parte dos componentes da gestão da segurança, não existindo
uma visão integrada da segurança da informação nas PMEs.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 154
Empresas Portuguesas
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 155
Empresas Portuguesas
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
Figura 10.1: Modelo “percepção dos riscos da segurança da informação pelos gestores”.
Fonte: Adaptado de Straub e Welke (1998, p. 444).
De salientar que este modelo não foi completamente validado pelos autores, os quais
recomendam o desenvolvimento de estudos adicionais para confirmar ou refutar este
modelo. O modelo de Straub e Welke (1998) para compreender a percepção dos riscos dos
sistemas pelos gestores foi derivado do modelo proposto por Goodhue e Straub (1991)
sobre as preocupações de segurança dos utilizadores dos sistemas, as quais eram também
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 156
Empresas Portuguesas
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
Existe uma tendência para que as políticas de segurança apenas sejam implementadas após
um incidente de segurança (Clear & Lee-Kelley, 2005; Weippl & Klemen, 2006). Por
outro lado, os riscos de segurança da informação crescem à medida que é necessário mais
informação para alimentar o processo de tomada de decisão (Fourie, 2003), i.e., quanto
mais intensiva é a utilização da informação, maior é a necessidade de implementar
controlos para garantir a segurança dessa informação em termos de disponibilidade,
integridade e confidencialidade.
Um dos objectivos desta investigação é saber até que ponto existe uma diferença na
eficácia das práticas de gestão da segurança da informação entre as PMEs que sofreram
incidentes de segurança, ou que têm uma utilização mais intensiva da informação nos seus
processos de negócio ou, ainda, as que recorrem mais assiduamente às tecnologias de
informação e comunicação, e as PMEs que não sofreram incidentes de segurança, não têm
uma utilização intensiva da informação e não recorrem assiduamente às tecnologias de
informação e comunicação.
Assim, o modelo final, conforme Figura 10.3, é um modelo composto pelas seis dimensões
de segurança, moderado pela “percepção dos riscos da segurança da informação pelos
gestores” sobre cada uma dessas dimensões, as quais, por sua vez, determinam o nível de
eficácia das práticas da gestão da segurança da informação nas PMEs, enquadradas pelas
variáveis de controlo.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 157
Empresas Portuguesas
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
Governo da Segurança da
Informação
H3A
(+)
H2A
(+) Variáveis de Controlo
Gestão do Risco
H3B
(+)
Índice de Segurança
H2A
(+)
Investimento em Segurança
H3C
(+) Índice de Utilização da
H2B Eficácia das Práticas de Informação
(+) Gestão da Segurança
da Informação nas PME
Tecnologia
H3D H2C Índice Tecnológico
(+) (+)
H2D
(+)
Pessoas
H3E
(+) H2E
(+)
Leis, Regulamentos e
Normas H3F
(+)
H3G
Percepção dos Riscos de Segurança (+)
da Informação pelos Gestores
H1C
(+) H1B H1A
(-) (+)
Características Individuais
Ambiente de SI/TI Ambiente Organizacional
dos Gestores
Figura 10.3: Modelo de investigação da eficácia das práticas de gestão da segurança da informação nas
PMEs.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 158
Empresas Portuguesas
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
a) Grupo de Hipóteses H1
• Ambiente organizacional
Kotulic e Clark (2004) referem que existe uma relação directa entre o nível de
risco do negócio e as preocupações sobre os riscos da segurança. De facto, cada
vez mais está a aumentar o número de intervenientes com uma variedade de
sofisticações e motivações, o que aumenta a incerteza do ambiente externo à
organização (Chang & Ho, 2006). Por outro lado, quanto mais elevado o ambiente
competitivo da organização, mais informação é necessária para alimentar o
processo de tomada de decisão e, consequentemente, maiores são os riscos de
segurança (Fourie, 2003). Neste sentido, a hipótese H1A é formulada da seguinte
forma:
• Ambiente de SI/TIC
Os gestores das PMEs não vêm as suas empresas como um alvo de ataques
externos ou internos (Weippl & Klemen, 2006) ou subestimam a espionagem
industrial, dado que o conhecimento é um dos activos mais importantes das PMEs
(Weippl & Klemen, 2006). Segundo Upfold e Sewry (2006), a maioria dos
gestores das PMEs vêm a segurança da informação como uma intervenção técnica
com o objectivo de combater os vírus e proceder à salvaguarda da informação,
focalizando-se, na óptica de Ng e Feng (2006), essencialmente em controlos
técnicos e operacionais. Daí que a hipótese H1B seja assim formulada:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 159
Empresas Portuguesas
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
b) Grupo de Hipóteses H2
• Percepção dos gestores / Governo da segurança da informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 160
Empresas Portuguesas
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
Os gestores das PMEs estão a tomar medidas para proteger os seus SI/TIC
(Johnson & Koch, 2006). Assim, a hipótese H2D assume a seguinte forma:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 161
Empresas Portuguesas
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
Sewry (2006) concluem que a maioria dos gestores das PMEs do Cabo Oriental
(África do Sul) nunca ouviram falar de normas de segurança. O ERDU (2004),
por seu lado, revela que existe um elevado conhecimento da lei sobre protecção de
dados nas PMEs britânicas. A hipótese H2F é assim formulada:
c) Grupo de Hipóteses H3
• Governo da segurança da informação
• Gestão do risco
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 162
Empresas Portuguesas
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
• Investimento em segurança
• Tecnologia
• Pessoas
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 163
Empresas Portuguesas
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
Para responder aos objectivos definidos para o presente trabalho de investigação foi
construído um modelo conceptual, ao qual estão associadas 16 hipóteses de investigação.
Estas hipóteses irão ser testadas empiricamente de acordo com a metodologia proposta a
seguir.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 164
Empresas Portuguesas
PARTE EMPÍRICA
PARTE EMPÍRICA
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 165
Empresas Portuguesas
11 Caracterização da População Alvo
CAPÍTULO 11
11.1 INTRODUÇÃO
Este capítulo faz uma caracterização das PMEs portuguesas, relevando a sua importância
na economia nacional e abordando a forma como utilizam os SI/TIC. Apresentam-se
também os pressupostos para a definição da população alvo da investigação e calcula-se a
dimensão da amostra para testar o modelo de investigação.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 167
Empresas Portuguesas
Capítulo 11 – Caracterização da População Alvo
• as PMEs empregam cerca de 76% das pessoas ao serviço das empresas, num total de
cerca de 3,9 milhões de pessoas. As PMEs representam mais de 90% do total das
pessoas ao serviço nas actividades económicas da pesca (100%), das indústrias
extractivas (100%), na produção e distribuição de electricidade, gás e água (100%),
na construção (91,1%), na educação (100%) e nas outras actividades de serviços
colectivos, sociais e pessoais (91,6%);
• as microempresas empregam cerca de 55% do total das pessoas ao serviço nas PMEs,
enquanto as pequenas empresas empregam cerca de 27% e as médias empresas 19%.
As actividades económicas que têm mais pessoas ao serviço são o comércio por
grosso e a retalho; reparação de veículos automóveis, motociclos e de bens de uso
pessoal e doméstico (25,3%), as indústrias transformadoras (22,4%), a construção
(15,5%) e as actividades imobiliárias, alugueres e serviços prestados às empresas
(14,9%);
• as PMEs têm um volume de negócios de cerca de 254 mil milhões de euros, o que
representa cerca de 72% do volume de negócios total das empresas portuguesas. As
PMEs representam a quase totalidade do volume de negócios nas actividades
económicas da pesca, das indústrias extractivas, da produção e distribuição de
electricidade, gás e água e da educação. De salientar que o estudo do INE não
apresenta o volume de negócios das actividades financeiras;
• o volume de negócios das PMEs está repartido sensivelmente de forma semelhante
pelas microempresas (36,3%), pequenas empresas (33,6%) e pelas médias empresas
(30,1%). As actividades económicas com um maior volume de negócios são o
comércio por grosso e a retalho; reparação de veículos automóveis, motociclos e de
bens de uso pessoal e doméstico (42,4%), as indústrias transformadoras (18,9%), a
construção e as actividades imobiliárias, alugueres e serviços prestados às empresas
(10,3%).
A utilização dos SI/TIC está fortemente implantada nas PMEs portuguesas, tal como se
pode constatar nas tabelas apresentadas a seguir, construídas com base nos quadros
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 168
Empresas Portuguesas
Capítulo 11 – Caracterização da População Alvo
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 169
Empresas Portuguesas
Capítulo 11 – Caracterização da População Alvo
• a Tabela 11.3 evidencia que enquanto pouco mais de metade (55%) das
microempresas têm ligação à Internet, essa percentagem cresce praticamente para os
100% nas médias empresas e situa-se nos 91% nas pequenas empresas. A ligação à
Internet efectua-se maioritariamente através de banda larga nas pequenas e médias
empresas, enquanto nas microempresas este tipo de ligação é prática de apenas 44%
deste tipo de empresas;
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 170
Empresas Portuguesas
Capítulo 11 – Caracterização da População Alvo
• a quase totalidade das empresas (99%) utiliza computador, assim como a quase
totalidade das pessoas ao serviço (98%) também utiliza computador;
• praticamente todas as empresas (99%) tem ligação à Internet, das quais 97% por
banda larga;
• as empresas com presença na Internet são cerca de 90%.
O universo ou população alvo das PMEs objecto de investigação foi definido tendo por
base alguns dos pressupostos utilizados na metodologia adoptada pelo INE no IUTICE de
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 171
Empresas Portuguesas
Capítulo 11 – Caracterização da População Alvo
2009 (INE, 2009c) e tendo por base a classificação portuguesa das actividades económicas
CAE Rev.3 (INE, 2007).
2. Forma Jurídica
3. Número de Trabalhadores
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 172
Empresas Portuguesas
Capítulo 11 – Caracterização da População Alvo
Escalão
Secções da CAE - Rev.3 Total
10 a 49 50 a 249
B - Indústrias extractivas 278 44 322
C – Indústrias transformadoras 11 892 2 332 14 224
D – Electricidade, gás, vapor, água quente e fria e ar frio 39 9 48
E – Captação tratamento e distribuição de água; saneamento,
163 76 239
gestão de resíduos e despoluição
F – Construção 8 437 829 9 266
G – Comércio por grosso e a retalho; reparação de veículos
9 653 971 10 624
automóveis e motociclos
H – Transportes e armazenagem 1 614 267 1 881
I – Alojamento, restauração e similares (apenas a Divisão 55 –
754 195 949
Alojamento);
J – Actividades de informação e de comunicação 675 145 820
K – Actividades Financeiras e de seguros; 387 107 494
L – Actividades imobiliárias 407 64 471
M – Actividades de consultoria, científicas, técnicas e
1 655 190 1 845
similares
N – Actividades administrativas e dos serviços de apoio 1 226 379 1 605
TOTAL 37 180 5 608 42 788
Para o cálculo da dimensão da amostra optou-se pela amostra aleatória simples para uma
população finita. Este método permite estimar uma proporção da população, definidos o
nível de confiança e o nível de precisão, de acordo com a Fórmula 6 (Sarmento, 2008).
p × (1 − p )
n=
D 2
p × (1 − p ) (6)
+
(Zα / 2 )2
N
Segundo Sarmento (2008, p. 26), “quando não se conhece a proporção (p) opta-se pela
hipótese mais pessimista, i.e., p = 0,5”.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 173
Empresas Portuguesas
Capítulo 11 – Caracterização da População Alvo
Tendo como objectivo obter um estudo com validade “Importante”, foram definidos os
valores da Tabela 11.6 para o cálculo da amostra:
Com base nestes parâmetros, o valor calculado para a amostra é de 381 casos.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 174
Empresas Portuguesas
12 Metodologia de Investigação
CAPÍTULO 12
METODOLOGIA DE INVESTIGAÇÃO
12.1 INTRODUÇÃO
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 175
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 176
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 177
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 178
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 179
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Todos estes itens foram ancorados numa escala ordinal de cinco níveis, de “Discordo
totalmente” (1) a “Concordo totalmente” (5). Estas escalas usam cinco respostas
alternativas, dado que “são suficientes especialmente no caso de perguntas que solicitam
atitudes, opiniões, gostos ou graus de satisfação” (Hill & Hill, 2005, p. 124).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 180
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Após a recepção das contribuições de cada um dos participantes neste processo, procedeu-
se às alterações e correcções entendidas como necessárias a uma correcta interpretação do
questionário, nomeadamente:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 182
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
O instrumento de medida foi actualizado com estas alterações, sendo a versão corrigida
utilizada na fase seguinte do pré-teste.
Desde o início desta investigação que foi tido como um objectivo fundamental o apoio de
um organismo (público e/ou privado) associado às PMEs. Nesse sentido, foi efectuado, em
18 de Fevereiro de 2009, um primeiro contacto com o IAPMEI, na pessoa da Dr.ª Helena
Duarte, para aquilatar da possibilidade de colaboração nesta investigação. Os propósitos
iniciais prendiam-se com a perspectiva de uma colaboração intensa na administração do
questionário, quer na fase do pré-teste, como nas fases subsequentes do teste piloto e teste.
Pretendia-se, essencialmente, que o IAPMEI utilizasse os seus canais de comunicação com
as PMEs para obter as respostas ao questionário. Na primeira reunião, efectuada nas
instalações do IAPMEI, em 25 de Fevereiro de 2009, foi-nos transmitido que a política de
comunicação daquele instituto não previa o tipo de colaboração por nós solicitado. Em face
desta informação, foi então acordado que a colaboração do IAPMEI incidiria
fundamentalmente nas seguintes tarefas:
Foi indicado ao IAPMEI que as PMEs a seleccionar deveriam estar localizadas na região
de Lisboa (fundamentalmente devido a aspectos logísticos) e pertencerem a sectores de
actividade económica diferentes. Para o efeito, foram seleccionadas três PMEs da indústria
transformadora (uma de fabricação de artigos farmacêuticos, outra de fabricação de outros
artigos de plástico e outra de fabricação de equipamento não doméstico para refrigeração e
ventilação) e uma do sector das tecnologias de informação.
As outras cinco PMEs que participaram no pré-teste pertenciam aos seguintes sectores de
actividade: comércio por grosso de outras máquinas e equipamentos; distribuição alimentar;
fabricação de aparelhos eléctricos, actividades de ensaios e análises técnicas; sistemas de
informação.
Este pré-teste serviu essencialmente para avaliar as dificuldades sentidas pelos inquiridos
na compreensão das questões e na cronometragem do tempo dispendido na resposta ao
questionário. Para esta fase foram utilizados os questionários em formato papel.
Com base nos comentários efectuados pelos inquiridos foi retirada um item do constructo
“Pessoas” referente à engenharia social, pois este termo evidenciava problemas de
compreensão ou ignorância do seu significado. Foi também retirado um item relativo aos
incidentes de segurança, pelo facto de representar uma redundância relativamente aos
restantes itens da mesma questão.
O instrumento de medida foi actualizado com estas alterações, sendo a versão corrigida
utilizada na fase seguinte do teste piloto.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 184
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
O teste piloto teve como objectivo determinar se cada um dos 11 constructos do modelo de
investigação era suficientemente adequado para ser utilizado com confiança e, por outro
lado, garantir que os componentes de um constructo definiam apenas um factor ou variável.
Para atingir estes objectivos determinou-se a fiabilidade e validade de cada um dos
constructos.
A partir de uma base de dados de PMEs fornecida pela empresa Informa D&B, foram
enviadas 2 000 mensagens de correio electrónico personalizadas a partir do sistema
“surveymonkey.com”. Simultaneamente, foram enviados mensagens electrónicas aos
nossos contactos pessoais e profissionais a solicitar resposta ao questionário a todos
aqueles que exercessem cargos de gestão nas PMEs enquadradas no âmbito do projecto de
investigação. Estas mensagens continham a indicação de um link geral para acesso ao
questionário, conferindo o anonimato de cada inquirido.
O número mínimo de respostas válidas (n) por item (k) deve obedecer a um rácio de 5
(Bentler & Chou, 1987; Pestana & Gageiro, 2008; Storch et al., 2007), o que no caso dos
63 itens do questionário relacionados com o modelo conceptual de investigação,
equivaleria a ter n = 315. Contudo, tendo em consideração que o modelo “percepção dos
riscos da segurança da informação pelos gestores” é avaliado separadamente do resto do
modelo global, se forem retirados os 16 itens relativos aos constructos “Ambiente
organizacional”, “Ambiente de SI/TI” e “Características individuais dos gestores”, obtêm-
se 47 itens, o que equivale a n = 235, o que significa que a amostra obtida está de acordo
com o número mínimo de respostas válidas exigido.
Os dados foram tratados a partir do software Statistical Package for the Social Sciences
(SPSS), versão 15.0.
Para efeitos de apresentação dos dados, optou-se por não segregar os dados pelos dois
modelos atrás referidos, mas apresentá-los de forma agregada. A Tabela 12.1 apresenta as
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 185
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
estatísticas descritivas mais relevantes associadas a cada um dos itens de cada constructo,
sendo de realçar:
Assimetria Curtose
Const. Desvio
Min Max Média Nº
Item Padrão Estatís Desv. Coef. Estatís Desv. Coef.
tica Pad tica Pad
Percepção do risco pelos gestores
PerGest1 1 5 3,940 0,049 -0,651 0,160 -4,069 0,924 0,319 2,897 231
PerGest2 1 5 3,970 0,052 -0,809 0,160 -5,056 1,293 0,319 4,053 231
PerGest3 2 5 4,130 0,048 -0,477 0,160 -2,981 -0,135 0,319 -0,423 231
Ambiente organizacional
AmbOrg1 1 5 3,390 0,080 -0,403 0,161 -2,503 -0,854 0,321 -2,660 228
AmbOrg2 1 5 3,080 0,079 -0,243 0,161 -1,509 -0,672 0,321 -2,093 228
AmbOrg3 1 5 2,690 0,068 0,209 0,161 1,298 -0,580 0,321 -1,807 228
Ambiente de sistemas e tecnologias de informação
AmbSTI1 1 5 3,190 0,070 -0,435 0,162 -2,685 -0,772 0,322 -2,398 226
AmbSTI2 1 5 3,590 0,056 -1,016 0,162 -6,272 0,895 0,322 2,780 226
AmbSTI3 1 5 3,760 0,055 -1,127 0,162 -6,957 1,895 0,322 5,885 226
AmbSTI4 1 5 3,770 0,052 -1,100 0,162 -6,790 2,094 0,322 6,503 226
AmbSTI5 1 5 4,030 0,051 -1,394 0,162 -8,605 3,675 0,322 11,413 226
AmbSTI6 1 5 2,520 0,074 0,330 0,162 2,037 -0,632 0,322 -1,963 226
Características individuais dos gestores
SocGes1 1 5 3,830 0,072 -1,051 0,163 -6,448 0,570 0,324 1,759 223
SocGes2 1 5 3,850 0,059 -0,845 0,163 -5,184 0,795 0,324 2,454 223
SocGes3 1 5 3,770 0,060 -0,755 0,163 -4,632 0,324 0,324 1,000 223
SocGes4 1 5 3,830 0,056 -0,718 0,163 -4,405 0,379 0,324 1,170 223
SocGes5 1 5 3,680 0,060 -0,637 0,163 -3,908 0,030 0,324 0,093 223
SocGes6 1 5 3,740 0,058 -0,799 0,163 -4,902 0,411 0,324 1,269 223
SocGes7 1 5 3,910 0,053 -0,913 0,163 -5,601 1,499 0,324 4,627 223
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 186
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Assimetria Curtose
Const. Desvio
Min Max Média Nº
Item Padrão Estatís Desv. Coef. Estatís Desv. Coef.
tica Pad tica Pad
Leis, regulamentos e normas
Leis1 1 5 3,320 0,064 -0,345 0,162 -2,130 -0,421 0,323 -1,303 225
Leis2 1 5 3,600 0,059 -0,625 0,162 -3,858 0,230 0,323 0,712 225
Leis3 1 5 3,580 0,058 -0,634 0,162 -3,914 0,328 0,323 1,015 225
Leis4 1 5 3,670 0,061 -0,733 0,162 -4,525 0,306 0,323 0,947 225
Leis5 1 5 3,370 0,060 -0,398 0,162 -2,457 -0,022 0,323 -0,068 225
Governo da segurança da informação
GovSeg1 1 5 3,390 0,062 -0,556 0,161 -3,453 -0,387 0,321 -1,206 228
GovSeg2 1 5 3,500 0,060 -0,724 0,161 -4,497 0,132 0,321 0,411 228
GovSeg3 1 5 3,450 0,058 -0,708 0,161 -4,398 0,214 0,321 0,667 228
GovSeg4 1 5 3,250 0,066 -0,411 0,161 -2,553 -0,581 0,321 -1,810 228
GovSeg5 1 5 3,330 0,063 -0,394 0,161 -2,447 -0,525 0,321 -1,636 228
GovSeg6 1 5 3,210 0,060 -0,392 0,161 -2,435 -0,264 0,321 -0,822 228
GovSeg7 1 5 3,290 0,063 -0,495 0,161 -6,525 -0,444 0,321 -1,383 228
Gestão do risco
GRisco1 1 5 3,970 0,057 -1,057 0,162 -6,525 1,462 0,322 4,540 227
GRisco2 1 5 3,140 0,063 -0,150 0,162 -0,926 -0,557 0,322 -1,730 227
GRisco3 1 5 3,040 0,062 -0,121 0,162 -0,747 -0,603 0,322 -1,873 227
GRisco4 1 5 2,980 0,063 -0,049 0,162 -0,302 -0,654 0,322 -2,031 227
GRisco5 1 5 3,220 0,060 -0,380 0,162 -2,346 -0,442 0,322 -1,373 227
GRisco6 1 5 3,190 0,071 -0,372 0,162 -2,296 -0,626 0,322 -1,944 227
Investimento em segurança da informação
InvSeg1 1 5 3,500 0,058 -0,834 0,160 -5,213 0,221 0,320 0,691 230
InvSeg2 1 5 2,830 0,065 -0,090 0,160 -0,563 -0,973 0,320 -3,041 230
InvSeg3 1 5 3,000 0,062 -0,234 0,160 -1,463 -0,679 0,320 -2,122 230
InvSeg4 1 5 3,800 0,053 -0,870 0,160 -5,438 1,103 0,320 3,447 230
Tecnologia
Tecno1 1 5 3,870 0,048 -1,475 0,160 -9,219 4,236 0,319 13,279 231
Tecno2 2 5 3,920 0,048 -0,505 0,160 -3,156 0,401 0,319 1,257 231
Tecno3 2 5 3,960 0,038 -0,548 0,160 -3,425 1,805 0,319 5,658 231
Tecno4 1 5 3,760 0,044 -0,674 0,160 -4,213 1,212 0,319 3,799 231
Pessoas
Pessoas1 1 5 3,670 0,056 -0,829 0,164 -5,055 0,721 0,327 2,205 220
Pessoas2 1 5 3,730 0,049 -0,948 0,164 -5,780 1,597 0,327 4,884 220
Pessoas3 1 5 3,240 0,071 -0,400 0,164 -2,439 -0,605 0,327 -1,850 220
Pessoas4 1 5 3,010 0,067 -0,158 0,164 -0,963 -0,696 0,327 -2,128 220
Pessoas5 1 5 2,800 0,070 0,028 0,164 0,171 -0,747 0,327 -2,284 220
Pessoas6 1 5 2,950 0,063 -0,142 0,164 -0,866 -0,837 0,327 -2,560 220
Pessoas7 1 5 3,510 0,064 -0,574 0,164 -3,500 0,244 0,327 0,746 220
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 187
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Assimetria Curtose
Const. Desvio
Min Max Média Nº
Item Padrão Estatís Desv. Coef. Estatís Desv. Coef.
tica Pad tica Pad
Pessoas8 1 5 3,340 0,063 -0,583 0,164 -3,555 -0,044 0,327 -0,135 220
Pessoas9 1 5 3,270 0,067 -0,476 0,164 -2,902 -0,429 0,327 -1,312 220
Eficácia das práticas de segurança da informação
Eficpr1 1 5 3,660 0,048 -1,144 0,161 -7,106 1,909 0,321 5,947 228
Eficpr2 1 5 3,750 0,049 -0,996 0,161 -6,186 2,075 0,321 6,464 228
Eficpr3 1 5 3,830 0,047 -1,064 0,161 -6,609 2,334 0,321 7,271 228
Eficpr4 1 5 3,730 0,047 -0,953 0,161 -5,919 1,731 0,321 5,393 228
Eficpr5 1 5 3,640 0,049 -0,690 0,161 -4,286 0,551 0,321 1,717 228
Eficpr6 2 5 3,760 0,044 -0,715 0,161 -4,441 0,888 0,321 2,766 228
Eficpr7 1 5 3,680 0,044 -0,530 0,161 -3,292 0,901 0,321 2,807 228
Eficpr8 1 5 3,830 0,046 -0,557 0,161 -3,460 1,097 0,321 3,417 228
Eficpr9 1 5 3,650 0,046 -0,870 0,161 -5,404 1,408 0,321 4,386 228
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 188
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Kolmogorov-Smirnov Shapiro-Wilk
Item
Estat. df Sig. Estat. df Sig.
PerGest1 0,311 231 0,000 0,818 231 0,000
PerGest2 0,305 231 0,000 0,819 231 0,000
PerGest3 0,256 231 0,000 0,816 231 0,000
AmbOrg1 0,237 228 0,000 0,891 228 0,000
AmbOrg2 0,210 228 0,000 0,898 228 0,000
AmbOrg3 0,205 228 0,000 0,907 228 0,000
AmbSTI1 0,271 226 0,000 0,866 226 0,000
AmbSTI2 0,355 226 0,000 0,789 226 0,000
AmbSTI3 0,356 226 0,000 0,784 226 0,000
AmbSTI4 0,357 226 0,000 0,780 226 0,000
AmbSTI5 0,354 226 0,000 0,735 226 0,000
AmbSTI6 0,197 226 0,000 0,902 226 0,000
SocGes1 0,310 223 0,000 0,818 223 0,000
SocGes2 0,312 223 0,000 0,833 223 0,000
SocGes3 0,309 223 0,000 0,843 223 0,000
SocGes4 0,320 223 0,000 0,830 223 0,000
SocGes5 0,312 223 0,000 0,846 223 0,000
SocGes6 0,337 223 0,000 0,820 223 0,000
SocGes7 0,332 223 0,000 0,803 223 0,000
Leis1 0,240 225 0,000 0,889 225 0,000
Leis2 0,294 225 0,000 0,859 225 0,000
Leis3 0,295 225 0,000 0,855 225 0,000
Leis4 0,312 225 0,000 0,846 225 0,000
Leis5 0,237 225 0,000 0,882 225 0,000
GovSeg1 0,295 228 0,000 0,853 228 0,000
GovSeg2 0,311 228 0,000 0,842 228 0,000
GovSeg3 0,299 228 0,000 0,844 228 0,000
GovSeg4 0,257 228 0,000 0,878 228 0,000
GovSeg5 0,264 228 0,000 0,875 228 0,000
GovSeg6 0,226 228 0,000 0,878 228 0,000
GovSeg7 0,271 228 0,000 0,865 228 0,000
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 189
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Kolmogorov-Smirnov Shapiro-Wilk
Item
Estat. df Sig. Estat. df Sig.
GRisco1 0,323 227 0,000 0,801 227 0,000
GRisco2 0,202 227 0,000 0,895 227 0,000
GRisco3 0,192 227 0,000 0,891 227 0,000
GRisco4 0,180 227 0,000 0,895 227 0,000
GRisco5 0,240 227 0,000 0,874 227 0,000
GRisco6 0,231 227 0,000 0,895 227 0,000
InvSeg1 0,335 230 0,000 0,812 230 0,000
InvSeg2 0,208 230 0,000 0,880 230 0,000
InvSeg3 0,200 230 0,000 0,883 230 0,000
InvSeg4 0,345 230 0,000 0,806 230 0,000
Tecno1 0,382 231 0,000 0,715 231 0,000
Tecno2 0,318 231 0,000 0,815 231 0,000
Tecno3 0,375 231 0,000 0,721 231 0,000
Tecno4 0,353 231 0,000 0,784 231 0,000
Pessoas1 0,336 220 0,000 0,819 220 0,000
Pessoas2 0,361 220 0,000 0,780 220 0,000
Pessoas3 0,248 220 0,000 0,888 220 0,000
Pessoas4 0,194 220 0,000 0,898 220 0,000
Pessoas5 0,186 220 0,000 0,907 220 0,000
Pessoas6 0,199 220 0,000 0,879 220 0,000
Pessoas7 0,251 220 0,000 0,878 220 0,000
Pessoas8 0,261 220 0,000 0,868 220 0,000
Pessoas9 0,255 220 0,000 0,879 220 0,000
Eficacia1 0,373 228 0,000 0,754 228 0,000
Eficacia2 0,355 228 0,000 0,780 228 0,000
Eficacia3 0,373 228 0,000 0,757 228 0,000
Eficacia4 0,364 228 0,000 0,774 228 0,000
Eficacia5 0,340 228 0,000 0,807 228 0,000
Eficacia6 0,372 228 0,000 0,764 228 0,000
Eficacia7 0,337 228 0,000 0,792 228 0,000
Eficacia8 0,332 228 0,000 0,805 228 0,000
Eficacia9 0,352 228 0,000 0,781 228 0,000
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 190
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Em face destes valores optou-se por continuar com a determinação do Alfa de Cronbach,
cujos valores constam da Tabela 12.3. Verifica-se que os valores de Alfa demonstram uma
fiabilidade boa ou muito boa da quase totalidade dos constructos (Pestana & Gageiro,
2008).
Alfa de Alfa de
Constructo Cronbach Cronbach
corrigido
Percepção do risco pelos gestores 0,891
Ambiente organizacional 0,530
Ambiente de sistemas e tecnologias de informação 0,808 0,834
Características individuais dos gestores 0,893 0,941
Leis, regulamentos e normas 0,914
Governo da segurança da informação 0,941
Gestão do risco 0,900
Investimento em segurança da informação 0,378 0,445
Tecnologia 0,788
Pessoas 0,812 0,860
Eficácia das práticas de segurança da informação 0,917
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 191
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Antes de se fazer uma análise factorial, é necessário saber se as correlações entre os itens
são adequadas para esse propósito. Para determinar se as correlações suportam uma análise
factorial utiliza-se o valor da medida de adequabilidade KMO (Kaiser-Meyer-Olkin
Measure of Sampling Adequacy). Os valores do KMO para aferir a qualidade da análise
factorial são os constantes do Quadro 12.3:
Porque a análise factorial não é apropriada quando o número de itens é inferior a quatro,
não se efectuou a análise factorial para os constructos “Percepção do risco pelos gestores”
e “Ambiente organizacional”. Pela mesma razão, não foi efectuada a análise factorial ao
constructo “Investimento em segurança da informação” depois de corrigido com a
eliminação do item “InvSeg1”.
Analisando as matrizes de correlação entre os itens dos diversos constructos (ver Apêndice
J), constata-se que as correlações são significativas na quase totalidade dos constructos
(quatro constructos apresentam correlações superiores a 0,50 em quase todos os itens e
outros quatros com correlações superiores a 0,4 na maioria dos itens), à excepção do
constructo “Investimento em segurança da informação” que apresenta correlações
negativas entre os itens, pelo que se verifica uma relação de linearidade entre os itens de
cada constructo.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 192
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Por outro lado, a análise dos valores de KMO, constantes da Tabela 12.4, confirma que
estas correlações suportam uma análise factorial, na medida em que a qualidade da análise
factorial é média para cinco constructos, boa para dois constructos e inaceitável para o
constructo “Investimento”, em virtude dos valores das correlações entre as suas variáveis.
Por sua vez, o teste de esfericidade de Barlett tem associado um nível de significância de
0,000 em todos os constructos, o que evidencia a existência de correlação entre algumas
variáveis de cada constructo.
Os valores obtidos através do cálculo da análise factorial permitem concluir que os itens de
cada constructo medem os mesmos conceitos, conforme os valores da variância total
explicada constante da Tabela 12.5.
Variância
Constructo
explicada
Ambiente de sistemas e tecnologias de informação 52,825
Características individuais dos gestores 72,552
Leis, regulamentos e normas 67,854
Governo da segurança da informação 69,385
Gestão do risco 62,261
Investimento em segurança da informação 35,980
Tecnologia 49,950
Pessoas 47,614
Eficácia das práticas de segurança da informação 55,463
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 193
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Em face dos resultados estatísticos obtidos com a exclusão dos itens “AmbSTI6”,
“SocGes1”, “InvSeg1”, “Pessoas4” e “Pessoas5”, reflectindo-se num aumento significativo
da fiabilidade e validade de cada um dos constructos, decidiu-se pela eliminação definitiva
destes itens do modelo e actualizar o instrumento de medida em consonância com estas
alterações. A versão definitiva do questionário (formato papel e electrónico) consta do
Apêndice G - Questionários.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 194
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Para efeitos de resposta ao questionário electrónico foi construída uma base de dados de
PMEs com cerca de 10 000 registos, contendo a seguinte informação:
• a partir de dois ficheiros fornecidos pela empresa Informa D&B, (um ficheiro com
cerca de 2 000 registos utilizado na fase do teste piloto e um outro ficheiro de cerca
de 3 000 registos);
• a partir da informação recolhida através do sítio da COFACE, tendo por base listas
de PMEs publicadas nalguns meios de comunicação social.
A identificação das PMEs foi efectuada com base em listagens publicadas por órgãos de
comunicação social ou entidades públicas e privadas e ainda pelas listas de sócios de
algumas associações empresariais, assim discriminadas:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 195
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 196
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Depois de recolhida e tratada a informação das diversas listas atrás referidas – eliminando-
se os nomes em duplicado -, construiu-se, com recurso à folha de cálculo Excel da
Microsoft, uma lista geral apenas com os nomes das PMEs.
b) Pesquisa de Informação
c) Tratamento da Informação
Uma vez concluída a base de dados, a informação referente ao nome da empresa, endereço
electrónico e código CAE de cada PME foi carregada no sistema “surveymonkey.com”
para posterior envio de mensagens electrónicas.
Como forma de publicitar o questionário o mais amplamente possível junto das PMEs,
solicitou-se a colaboração de várias entidades, especialmente aquelas directamente ligadas
às PMEs. Era nossa convicção que sendo uma associação de classe a solicitar a resposta a
um questionário, a probabilidade de se obter uma resposta era consideravelmente superior
a uma solicitação emanada de uma entidade (pessoa individual ou universidade) fora do
meio empresarial associativo.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 197
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Neste sentido, foram contactadas, via correia electrónico, algumas entidades e associações
empresariais, requerendo a sua colaboração para:
Destes contactos, apenas obtivemos respostas por parte da IDC Portugal e da Associação
Portuguesa de Sistemas de Informação (APSI). A IDC publicou na sua página da Internet
uma mensagem a divulgar a investigação e solicitar a resposta ao inquérito (ver Apêndice
H) e a APSI enviou uma mensagem electrónica a todos os seus associados com o mesmo
conteúdo.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 198
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
• um colector denominado “Email List” que tem como finalidade registar as respostas
obtidas através do link personalizado e associado a cada um dos endereços
electrónicos constantes da base de dados do sistema.. Este colector foi configurado
para garantir apenas uma resposta por cada endereço electrónico enviado e guardar o
endereço electrónico do respondente;
• um colector denominado “Anonymous” que regista as respostas obtidas através do
link geral criado pelo sistema, garantindo o anonimato do respondente. Este colector
foi configurado para garantir apenas uma resposta por computador e guardar o
endereço de IP (Internet Protocol) do respondente.
• o colector “Email List” foi configurado para garantir apenas uma resposta por cada
endereço electrónico enviado;
• o colector “Anonymous” foi configurado de modo a que não fosse possível
responder a mais do que um questionário a partir do mesmo endereço IP. Embora
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 199
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
esta solução não impeça um inquirido de responder mais do que uma vez ao
questionário a partir de computadores diferentes, ela é, todavia, um inibidor de
duplicação de respostas;
• na recolha presencial de questionários (versão papel) foi devidamente acautelado
pela empresa INSTFORM de que apenas um colaborador de cada empresa recebia e
preenchia um questionário.
Foram recebidas 724 respostas, das quais 172 foram recolhidas na versão papel, 515 pelo
colector “Email List” e 37 pelo colector “Anonymous”. Tendo em atenção o universo das
PMEs alvo (42 788), a taxa de resposta global fixou-se nos 1,69%. Contudo, tendo em
atenção o valor calculado para a amostra (381), as respostas obtidas representam quase o
dobro do valor da amostra.
Dado que apenas é possível efectuar o controlo das mensagens enviadas e respostas
recebidas através do colector “Email List” do “surveymonkey.com”, os valores constantes
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 200
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
da Tabela 12.8 reflectem a situação das mensagens enviadas, sendo de destacar que 1 809
mensagens não foram entregues no destinatário ou foram rejeitadas pelo computador do
destinatário e 34 empresas optaram por não responder e remover o seu endereço do sistema
“surveymonkey.com”, pois a mensagem enviada permitia esta opção.
Motivo N.º
Total de mensagens enviadas 9 963
Respostas 515
Não responderam 9 448
• Mensagens rejeitadas 1 809
• Mensagens removidas 34
• Mensagens recebidas e não respondidas 7 605
Das 724 respostas obtidas, foram eliminadas 50 casos, dado que não cumpriam o requisito
do número de trabalhadores considerados no universo em estudo. Trinta casos indicavam
que a empresa tinha mais de 250 trabalhadores e 20 casos tinham menos de 10
trabalhadores. A amostra final compreende 674 questionários válidos para análise e teste
do modelo de investigação, correspondendo a 1,6% do universo das PMEs alvo (42 788),
mas representando mais de 76% do valor calculado para a amostra (381 casos). Esta taxa
de resposta bastante baixa não é algo de muito preocupante, na medida em que elevadas
taxas de não respostas a questionários são normais (Kotulic & Clark, 2004; Tomaskovic-
Devey, Leiter, & Thompson, 1994), especialmente quando se trata de matéria sensível
como a segurança da informação, dado que se trata de um dos tipos de investigação mais
intrusivos e há uma desconfiança geral em fornecer este tipo de informação (Kotulic &
Clark, 2004).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 201
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
De acordo com Ju, Chen, Sun, e Wu (2006), um dos problemas com a investigação através
de questionários é a ausência de estimativas acerca das não respostas. Conforme o exposto
atrás, apenas é possível efectuar uma análise de não respostas ao universo das mensagens
electrónicas enviadas pelo sistema “surveymonkey.com”. Contudo, não é possível definir
de forma precisa a informação relativa a número de empregados, código CAE e distrito
para aqueles que não responderam, de forma a comparar com exactidão as duas amostras e
verificar a existência ou não de diferenças entre elas. Deste modo, e seguindo o método
utilizado por vários autores (e.g., Gupta & Hammond, 2005; Ma, Johnston, & Pearson,
2008; Masrek, Karim, & Hussein, 2008, Qingxiong & Pearson, 2005), decidiu-se pela
comparação entre as respostas mais cedo e mais tarde, a partir das variáveis número de
empregados, código CAE e distrito. Para este efeito, consideraram-se apenas as respostas
obtidas através do colector “Email List” e constituíram-se duas amostras, uma com as
respostas obtidas entre 9 de Junho e 13 de Julho de 2009 (respostas mais cedo) e outra com
as respostas obtidas entre 14 de Julho e 31 de Agosto de 2009 (respostas mais tarde),
período que abrange as últimas três mensagens de seguimento, conforme Tabela 12.7.
Os valores das Tabelas 12.9 a 12.11 referentes aos testes t realizados sobre as variáveis
número de empregados, código CAE e distrito, demonstram não se rejeitar a hipótese de
que as médias dos dois grupos são iguais, i.e., não há diferença entre os dois grupos de
respostas. Conclui-se, portanto, que não existe qualquer influência das não respostas na
amostra.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 202
Empresas Portuguesas
Capítulo 12 – Metodologia de Investigação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 203
Empresas Portuguesas
13 Resultados e Discussão dos Dados
CAPÍTULO 13
13.1 INTRODUÇÃO
A análise das principais características das PMEs que responderam ao questionário revela
que:
• a maioria das respostas ao questionário provém das pequenas empresas (com mais de
10 e menos de 50 empregados) com 463 respostas (68,7%), enquanto as médias
empresas (com mais de 50 e menos de 250 empregados) são apenas 211 (31,3%),
conforme Tabela 13.1. Mais de metade das empresas pertencem ao sector da
indústria transformadora (33,8%) e do comércio por grosso e a retalho; reparação de
veículos automóveis e motociclos (17,8%). De realçar que os respondentes estão
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 204
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Tipo de Empresa
Secções da CAE - Rev.3 Pequena Média TOTAL
Empresa Empresa
B - Indústrias extractivas 6 2 8
C – Indústrias transformadoras 118 110 228
D – Electricidade, gás, vapor, água quente e fria e ar frio 4 2 6
E – Captação tratamento e distribuição de água;
7 9 16
saneamento, gestão de resíduos e despoluição
F – Construção 26 14 40
G – Comércio por grosso e a retalho; reparação de veículos
95 25 120
automóveis e motociclos
H – Transportes e armazenagem 12 14 26
I – Alojamento, restauração e similares 18 10 28
J – Actividades de informação e de comunicação 55 13 68
K – Actividades Financeiras e de seguros 14 1 15
L – Actividades imobiliárias 2 0 2
M – Actividades de consultoria, científicas, técnicas e
57 6 63
similares
N – Actividades administrativas e dos serviços de apoio 49 5 54
TOTAL 463 211 674
Tipo de Empresa
Distrito Pequena Média TOTAL
Empresa Empresa
Açores 1 1 2
Aveiro 25 29 54
Beja 1 2 3
Braga 26 16 42
Bragança 2 0 2
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 205
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Tipo de Empresa
Distrito Pequena Média TOTAL
Empresa Empresa
Castelo Branco 3 6 9
Coimbra 12 5 17
Évora 6 2 8
Faro 10 4 14
Guarda 0 3 3
Leiria 23 15 38
Lisboa 245 66 311
Madeira 8 1 9
Portalegre 4 0 4
Porto 58 36 94
Santarém 17 7 24
Setúbal 15 8 23
Viana do Castelo 1 2 3
Vila Real 3 2 5
Viseu 3 6 9
TOTAL 463 211 674
Tabela 13.3: N.º de empresas com e sem departamento de informática por tipo de empresa.
Tipo de Empresa
Departamento de
Pequena Média TOTAL
Informática
Empresa Empresa
Sim 139 139 278
Não 324 72 396
TOTAL 463 211 674
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 206
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
• a quase totalidade das empresas utiliza a Internet (98,8%) nos seus processos de
negócio e cerca de 66% tem presença na Internet através de website próprio. As redes
locais (com e sem fios) são utilizadas por cerca de metade das empresas, de acordo
com a Tabela 13.5;
Tipo de Tecnologia %
Internet 98,8%
Intranet 44,1%
Extranet 11,4%
Rede local com fios (LAN) 58,3%
Rede local sem fios (wireless) 46,7%
Rede de longa distância (WAN) 14,4%
Comércio Electrónico 20,0%
EDI (troca electrónica de informação) 18,4%
Website próprio 65,7%
• a Internet é utilizada por mais de 70% das empresas para procurar informação
(88,1%), realizar pagamentos e/ou recebimentos (76,6%) e obter serviços bancários e
financeiros (73,4%), como apresentado na Tabela 13.6;
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 207
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Utilização da Internet %
Procura de informação 88,1
Monitorização do mercado 55,9
Recepção de bens e/ou serviços digitais 37,8
Obtenção de serviços pós-venda 24,8
Obtenção de serviços bancários e financeiros 73,4
Actividades de educação e/ou formação 25,7
Venda de bens e/ou serviços 30,4
Compra de bens e/ou serviços 47,0
Realizar pagamentos e/ou recebimentos 76,6
Tipo de Software %
Escritório Electrónico (Office) 60,7
Contabilidade e Facturação 82,9
Gestão comercial 71,8
Gestão administrativa 50,0
Gestão de pessoal (salários) 67,2
Datawarehouse 08,9
ERP (enterprise resource planning) 22,7
CAD/CAM 21,4
Software estatístico 15,6
Pagamentos e/ou recebimentos electrónicos 34,0
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 208
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Aplicações de Segurança %
Verificação de vírus ou software de protecção 93,8
Firewalls (software ou hardware) 83,2
Servidores seguros 53,7
Controlos de acesso, autorização e autenticação 59,6
Backup de informação numa localização externa à empresa 55,5
Subscrição de um serviço de segurança (ex: antivírus e alerta
59,1
de intrusão na rede)
Filtros anti-spam (e-mails não solicitados) 69,0
Assinatura electrónica digital 19,6
Encriptação para confidencialidade 17,4
Outros mecanismos de segurança 17,5
• cerca de 54% das empresas tiveram incidentes de segurança nos últimos 12 meses,
com maior incidência nas pequenas empresas (62,9%) do que nas médias empresas
(37,1%), conforme Tabela 13.9;
Tabela 13.9: N.º de empresas com e sem incidentes de segurança por tipo de empresa.
Tipo de Empresa
Incidente de
Pequena Média TOTAL
Segurança
Empresa Empresa
Sim 229 135 364
Não 234 76 310
TOTAL 463 211 674
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 209
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Empresas
Incidentes de Segurança
N.º %
Foi vítima de um desastre natural (inundações, sismos, tempestades, fogos, etc.)? 34 5,1
Foi vítima de fraude? 14 2,1
Teve uma violação dos privilégios de acesso aos sistemas de informação por
17 2,5
parte de colaboradores internos?
Teve um acesso aos sistemas de informação por parte de um atacante externo? 19 2,8
Sofreu um roubo de dados dos seus sistemas? 14 2,1
Teve problemas com vírus ou outro tipo de software malicioso? 228 33,8
Teve informação confidencial divulgada? 15 2,2
Teve dados corrompidos ou parcialmente perdidos? 96 14,3
Teve problemas com a fiabilidade dos sistemas de informação? 76 11,3
Teve roubo dos equipamentos informáticos? 48 7,1
Teve empregados que abusaram dos seus privilégios de acesso à Internet? 142 21,1
Perdeu dinheiro devido a algum problema de segurança da informação? 21 3,1
Tipo de Empresa
Incidente de Segurança Pequena Média TOTAL
Empresa Empresa
Problemas com vírus ou outro tipo de software malicioso 137 91 228
Empregados que abusaram dos seus privilégios de acesso à
72 70 142
Internet
Dados corrompidos ou parcialmente perdidos 57 39 96
Problemas com a fiabilidade dos sistemas de informação 44 32 76
TOTAL 310 232 542
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 210
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
qualquer tipo de incidente nos últimos 12 meses, assumindo maior destaque os incidentes
com software malicioso e abuso do acesso à Internet pelos empregados.
• todos os itens, sem excepção, apresentam os valores mínimos (1) e máximo (5) de
respostas possíveis;
• o número de respostas válidas para efeito do cálculo das estatísticas é bastante
significativo em todos os itens, atingindo o seu valor mais baixo nos constructos
“Características individuais dos gestores” e “Eficácia das práticas de segurança da
informação”, com uma taxa de respostas válidas de 98,2%;
• os coeficientes de assimetria e curtose conduzem à conclusão que os itens não têm
uma distribuição normal.
Assimetria Curtose
Const. Desvio
Min Max Média Nº
Item Padrão Desv. Desv.
Estat. Coef. Estat. Coef.
Pad. Pad.
Percepção do risco pelos gestores
PerGest1 1 5 3,96 0,028 -0,740 0,094 -7,872 1,102 0,188 5,862 672
PerGest2 1 5 3,99 0,030 -0,979 0,094 -10,415 1,833 0,188 9,750 672
PerGest3 1 5 4,11 0,029 -0,930 0,094 -9,894 1,769 0,188 9,410 672
Ambiente organizacional
AmbOrg1 1 5 3,51 0,045 -0,548 0,095 -5,768 -0,535 0,190 -2,816 663
AmbOrg2 1 5 2,97 0,039 0,265 0,095 2,789 -0,639 0,190 -3,363 663
AmbOrg3 1 5 2,69 0,038 0,144 0,095 1,516 -0,521 0,190 -2,742 663
Ambiente de sistemas e tecnologias de informação
AmbSTI1 1 5 3,33 0,038 -0,697 0,095 -7,337 -0,257 0,190 -1,353 663
AmbSTI2 1 5 3,60 0,031 -1,126 0,095 -11,853 1,524 0,190 8,021 663
AmbSTI3 1 5 3,76 0,030 -0,960 0,095 -10,105 1,723 0,190 9,068 663
AmbSTI4 1 5 3,69 0,029 -0,841 0,095 -8,853 1,290 0,190 6,789 663
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 211
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Assimetria Curtose
Const. Desvio
Min Max Média Nº
Item Padrão Desv. Desv.
Estat. Coef. Estat. Coef.
Pad. Pad.
AmbSTI5 1 5 3,91 0,030 -0,983 0,095 -10,347 2,144 0,190 11,284 663
Características individuais dos gestores
SocGes1 1 5 3,68 0,036 -0,830 0,095 -8,737 0,567 0,190 2,984 662
SocGes2 1 5 3,61 0,036 -0,703 0,095 -7,400 0,324 0,190 1,705 662
SocGes3 1 5 3,71 0,033 -0,682 0,095 -7,179 0,671 0,190 3,532 662
SocGes4 1 5 3,58 0,034 -0,538 0,095 -5,663 0,221 0,190 1,163 662
SocGes5 1 5 3,62 0,033 -0,612 0,095 -6,442 0,386 0,190 2,032 662
SocGes6 1 5 3,76 0,032 -0,709 0,095 -7,463 0,905 0,190 4,763 662
Leis, regulamentos e normas
Leis1 1 5 3,35 0,035 -0,415 0,095 -4,368 -0,231 0,190 -1,216 663
Leis2 1 5 3,55 0,033 -0,666 0,095 -7,011 0,465 0,190 2,447 663
Leis3 1 5 3,55 0,032 -0,667 0,095 -7,021 0,607 0,190 3,195 663
Leis4 1 5 3,59 0,033 -0,576 0,095 -6,063 0,346 0,190 1,821 663
Leis5 1 5 3,29 0,033 -0,374 0,095 -3,937 0,097 0,190 0,511 663
Governo da segurança da informação
GovSeg1 1 5 3,47 0,033 -0,724 0,095 -7,621 0,249 0,189 1,317 665
GovSeg2 1 5 3,54 0,033 -0,742 0,095 -7,811 0,420 0,189 2,222 665
GovSeg3 1 5 3,50 0,032 -0,704 0,095 -7,411 0,419 0,189 2,217 665
GovSeg4 1 5 3,32 0,035 -0,435 0,095 -4,579 -0,178 0,189 -0,942 665
GovSeg5 1 5 3,36 0,033 -0,436 0,095 -4,589 -0,023 0,189 -0,122 665
GovSeg6 1 5 3,30 0,033 -0,385 0,095 -4,053 0,032 0,189 0,169 665
GovSeg7 1 5 3,34 0,034 -0,514 0,095 -5,411 -0,022 0,189 -0,116 665
Gestão do risco
GRisco1 1 5 3,96 0,034 -1,069 0,095 -11,253 1,318 0,190 6,937 663
GRisco2 1 5 3,21 0,034 -0,368 0,095 -3,874 -0,331 0,190 -1,742 663
GRisco3 1 5 3,17 0,034 -0,282 0,095 -2,968 -0,330 0,190 -1,737 663
GRisco4 1 5 3,08 0,035 -0,187 0,095 -1,968 -0,384 0,190 -2,021 663
GRisco5 1 5 3,21 0,033 -0,397 0,095 -4,179 -0,124 0,190 -0,653 663
GRisco6 1 5 3,09 0,039 -0,164 0,095 -1,726 -0,665 0,190 -3,500 663
Investimento em segurança da informação
InvSeg1 1 5 3,05 0,039 -0,224 0,094 -2,383 -0,884 0,189 -4,678 668
InvSeg2 1 5 3,17 0,035 -0,367 0,094 -3,904 -0,563 0,189 -2,979 668
InvSeg3 1 5 3,91 0,030 -0,934 0,094 -9,936 1,764 0,189 9,333 668
Tecnologia
Tecno1 1 5 3,85 0,026 -1,141 0,094 -12,138 3,273 0,189 17,317 669
Tecno2 1 5 3,95 0,028 -0,693 0,094 -7,372 1,404 0,189 7,429 669
Tecno3 1 5 3,90 0,025 -0,488 0,094 -5,191 1,131 0,189 5,984 669
Tecno4 1 5 3,70 0,027 -0,363 0,094 -3,862 0,625 0,189 3,307 669
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 212
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Assimetria Curtose
Const. Desvio
Min Max Média Nº
Item Padrão Desv. Desv.
Estat. Coef. Estat. Coef.
Pad. Pad.
Pessoas
Pessoas1 1 5 3,69 0,031 -0,905 0,095 -9,526 1,155 0,189 6,111 665
Pessoas2 1 5 3,72 0,028 -1,028 0,095 -10,821 1,901 0,189 10,058 665
Pessoas3 1 5 3,31 0,037 -0,501 0,095 -5,274 -0,331 0,189 -1,751 665
Pessoas4 1 5 3,04 0,036 -0,232 0,095 -2,442 -0,737 0,189 -3,899 665
Pessoas5 1 5 3,45 0,035 -0,528 0,095 -5,558 0,310 0,189 1,640 665
Pessoas6 1 5 3,35 0,034 -0,635 0,095 -6,684 0,102 0,189 0,540 665
Pessoas7 1 5 3,30 0,035 -0,562 0,095 -5,916 -0,066 0,189 -0,349 665
Eficácia das práticas de segurança da informação
Eficpr1 1 5 3,67 0,028 -1,101 0,095 -11,589 2,262 0,190 11,905 662
Eficpr2 1 5 3,78 0,028 -1,199 0,095 -12,621 2,947 0,190 15,511 662
Eficpr3 1 5 3,82 0,027 -1,029 0,095 -10,832 2,424 0,190 12,758 662
Eficpr4 1 5 3,77 0,027 -0,954 0,095 -10,042 2,123 0,190 11,174 662
Eficpr5 1 5 3,67 0,029 -0,750 0,095 -7,895 1,103 0,190 5,805 662
Eficpr6 1 5 3,75 0,027 -0,909 0,095 -9,568 1,894 0,190 9,968 662
Eficpr7 1 5 3,63 0,028 -0,504 0,095 -5,305 0,961 0,190 5,058 662
Eficpr8 1 5 3,70 0,027 -0,552 0,095 -5,811 1,318 0,190 6,937 662
Eficpr9 1 5 3,60 0,027 -0,637 0,095 -6,705 1,230 0,190 6,474 662
Kolmogorov-Smirnov Shapiro-Wilk
Item
Estat. df Sig. Estat. df Sig.
PerGest1 0,328 672 0,000 0,802 672 0,000
PerGest2 0,328 672 0,000 0,791 672 0,000
PerGest3 0,292 672 0,000 0,794 672 0,000
AmbOrg1 0,245 663 0,000 0,886 663 0,000
AmbOrg2 0,199 663 0,000 0,896 663 0,000
AmbOrg3 0,204 663 0,000 0,902 663 0,000
AmbSTI1 0,299 663 0,000 0,842 663 0,000
AmbSTI2 0,353 663 0,000 0,778 663 0,000
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 213
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Kolmogorov-Smirnov Shapiro-Wilk
Item
Estat. df Sig. Estat. df Sig.
AmbSTI3 0,349 663 0,000 0,792 663 0,000
AmbSTI4 0,339 663 0,000 0,805 663 0,000
AmbSTI5 0,335 663 0,000 0,792 663 0,000
SocGes1 0,311 662 0,000 0,843 662 0,000
SocGes2 0,297 662 0,000 0,856 662 0,000
SocGes3 0,295 662 0,000 0,850 662 0,000
SocGes4 0,271 662 0,000 0,870 662 0,000
SocGes5 0,291 662 0,000 0,857 662 0,000
SocGes6 0,300 662 0,000 0,841 662 0,000
Leis1 0,251 663 0,000 0,878 663 0,000
Leis2 0,296 663 0,000 0,848 663 0,000
Leis3 0,293 663 0,000 0,845 663 0,000
Leis4 0,285 663 0,000 0,859 663 0,000
Leis5 0,220 663 0,000 0,875 663 0,000
GovSeg1 0,307 665 0,000 0,837 665 0,000
GovSeg2 0,315 665 0,000 0,832 665 0,000
GovSeg3 0,307 665 0,000 0,832 665 0,000
GovSeg4 0,247 665 0,000 0,876 665 0,000
GovSeg5 0,252 665 0,000 0,868 665 0,000
GovSeg6 0,230 665 0,000 0,871 665 0,000
GovSeg7 0,259 665 0,000 0,863 665 0,000
GRisco1 0,320 663 0,000 0,804 663 0,000
GRisco2 0,230 663 0,000 0,876 663 0,000
GRisco3 0,211 663 0,000 0,881 663 0,000
GRisco4 0,210 663 0,000 0,888 663 0,000
GRisco5 0,221 663 0,000 0,871 663 0,000
GRisco6 0,203 663 0,000 0,899 663 0,000
InvSeg1 0,231 669 0,000 0,880 669 0,000
InvSeg2 0,238 669 0,000 0,870 669 0,000
InvSeg3 0,335 669 0,000 0,797 669 0,000
Tecno1 0,379 669 0,000 0,734 669 0,000
Tecno2 0,321 669 0,000 0,804 669 0,000
Tecno3 0,336 669 0,000 0,789 669 0,000
Tecno4 0,314 669 0,000 0,812 669 0,000
Pessoas1 0,345 665 0,000 0,803 665 0,000
Pessoas2 0,368 665 0,000 0,766 665 0,000
Pessoas3 0,260 665 0,000 0,875 665 0,000
Pessoas4 0,213 665 0,000 0,879 665 0,000
Pessoas7 0,255 665 0,000 0,867 665 0,000
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 214
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Kolmogorov-Smirnov Shapiro-Wilk
Item
Estat. df Sig. Estat. df Sig.
Eficacia1 0,357 662 0,000 0,763 662 0,000
Eficacia2 0,374 662 0,000 0,746 662 0,000
Pessoas5 0,245 665 0,000 0,873 665 0,000
Pessoas6 0,268 665 0,000 0,855 665 0,000
Eficacia3 0,371 662 0,000 0,757 662 0,000
Eficacia4 0,359 662 0,000 0,772 662 0,000
Eficacia5 0,330 662 0,000 0,811 662 0,000
Eficacia6 0,359 662 0,000 0,775 662 0,000
Eficacia7 0,306 662 0,000 0,814 662 0,000
Eficacia8 0,320 662 0,000 0,800 662 0,000
Eficacia9 0,316 662 0,000 0,797 662 0,000
A análise dos coeficientes de curtose e simetria (Tabela 13.12) demonstram que se rejeita a
possibilidade de simetria para a quase totalidade dos itens (97% dos 58 itens), mas não se
rejeita o achatamento mesocúrtico para um terço dos itens (31%).
A partir dos itens utilizados para medir cada constructo, procedeu-se à determinação da
fiabilidade e validade de constructo dos 11 constructos identificados no modelo de
investigação, tal como foi efectuado na fase do teste piloto. Os resultados obtidos para o
Alfa de Cronbach e para os pesos dos factores (para efeitos de validade dos constructos),
são os constantes da Tabela 13.14.
Peso do Alfa de
Constructo / Item
factor Cronbach
Percepção do risco pelos gestores 0,880
PerGest1 0,802
PerGest2 0,940
PerGest3 0,789
Ambiente organizacional 0,496
AmbOrg1 0,534
AmbOrg2 0,337
AmbOrg3 0,651
Ambiente de sistemas e tecnologias de informação 0,841
AmbSTI1 0,580
AmbSTI2 0,662
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 215
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Peso do Alfa de
Constructo / Item
factor Cronbach
AmbSTI3 0,848
AmbSTI4 0,858
AmbSTI5 0,656
Características individuais dos gestores 0,939
SocGes1 0,827
SocGes2 0,863
SocGes3 0,830
SocGes4 0,906
SocGes5 0,876
SocGes6 0,788
Leis, regulamentos e normas 0,901
Leis1 0,704
Leis2 0,930
Leis3 0,910
Leis4 0,785
Leis5 0,667
Governo da segurança da informação 0,939
GovSeg1 0,813
GovSeg2 0,824
GovSeg3 0,786
GovSeg4 0,830
GovSeg5 0,863
GovSeg6 0,875
GovSeg7 0,811
Gestão do risco 0,895
GRisco1 0,562
GRisco2 0,889
GRisco3 0,912
GRisco4 0,852
GRisco5 0,803
GRisco6 0,602
Investimento em segurança da informação 0,574
InvSeg1 0,669
InvSeg2 0,641
InvSeg3 0,374
Tecnologia 0,826
Tecno1 0,623
Tecno2 0,702
Tecno3 0,882
Tecno4 0,755
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 216
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Peso do Alfa de
Constructo / Item
factor Cronbach
Pessoas 0,876
Pessoas1 0,610
Pessoas2 0,680
Pessoas3 0,814
Pessoas4 0,684
Pessoas5 0,642
Pessoas6 0,810
Pessoas7 0,725
Eficácia das práticas de segurança da informação 0,928
Eficpr1 0,796
Eficpr2 0,831
Eficpr3 0,789
Eficpr4 0,845
Eficpr5 0,772
Eficpr6 0,785
Eficpr7 0,700
Eficpr8 0,705
Eficpr9 0,676
Verifica-se que os valores dos alfas demonstram uma fiabilidade boa (cinco constructos)
ou muito boa (quatro constructos), enquanto dois constructos apresentam uma fiabilidade
inadmissível, embora o constructo “Investimento em segurança” apresente um valor muito
próximo (0,574) do limiar de 0,6.
Por seu lado, os pesos dos factores são todos significativos (> 0,5), à excepção dos itens
AmbOrg2 e InvSeg3, revelando, portanto, uma identificação forte com o respectivo
constructo.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 217
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Constructo KMO
Ambiente de sistemas e tecnologias de informação 0,791
Características individuais dos gestores 0,869
Leis, regulamentos e normas 0,849
Governo da segurança da informação 0,918
Gestão do risco 0,874
Tecnologia 0,778
Pessoas 0,878
Eficácia das práticas de segurança da informação 0,913
Em função dos resultados anteriores, foi efectuada uma análise factorial de componentes
principais para os itens de cada constructo, obtendo-se 11 factores ou variáveis, cujas
estatísticas descritivas mais relevantes constam da Tabela 13.16.
Assimetria Curtose
Construc Desvio
Min Max Nº
to Padrão Desv. Desv.
Estat. Coef. Estat. Coef.
Pad. Pad.
PerGest -4,452 1,450 0,0386 -0,719 0,094 -7,649 1,338 0,188 7,117 672
AmbOrg -2,743 2,655 0,0388 -0,124 0,095 -1,305 -0,118 0,190 -0,621 663
AmbSTI -4,215 2,082 0,0388 -0,987 0,095 -10,389 2,210 0,190 11,632 663
SocGes -3,462 1,742 0,0389 -0,596 0,095 -6,274 0,926 0,190 4,874 662
Leis -3,391 2,093 0,0388 -0,598 0,095 -6,595 0,998 0,190 5,253 663
GovSeg -3,290 2,177 0,0388 -0,567 0,095 -5,968 0,644 0,189 3,407 665
GRisco -3,065 2,350 0,0389 -0,477 0,095 -5,021 0,467 0,190 2,458 663
InvSeg -3,598 2,458 0,0387 -0,361 0,094 -3,840 0,826 0,189 4,370 669
Tecno -5,122 2,072 0,0387 -0,512 0,094 -5,447 2,280 0,189 12,063 669
Pessoas -3,673 2,392 0,0388 -0,628 0,095 -6,611 1,161 0,189 6,143 665
Eficacia -4,812 2,282 0,0389 -0,985 0,095 -10,368 2,977 0,190 15,668 662
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 218
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 219
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
A aplicação dos modelos de regressão linear é efectuada com base em dois métodos
utilizados pelo SPSS:
Nos modelos de regressão linear múltipla, como existe mais do que uma variável
independente, são utilizados ambos os métodos. Nos modelos de regressão linear simples,
como existe apenas uma variável independente, só faz sentido utilizar o método Enter. De
salientar que quando não existem variáveis excluídas do modelo de regressão, os
coeficientes produzidos por ambos os métodos (Stepwise e Enter) são idênticos, razão pela
qual não se efectuam análises diferenciadas nestas circunstâncias.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 220
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Um dos objectivos desta investigação incluía o teste ao modelo “percepção dos riscos da
segurança da informação pelos gestores”, adaptado de Straub e Welke (1998), o qual, por
sua vez, foi derivado do modelo sobre “as preocupações de segurança dos utilizadores dos
sistemas” de Goodhue e Straub (1991). Os testes empíricos às hipóteses deste modelo
revelaram um suporte fraco e parcial para algumas das relações propostas, pelo que Straub
e Welke (1998) recomendam a realização de estudos adicionais para confirmar ou refutar
este modelo. Nesta perspectiva, e tendo presente o conjunto de hipóteses definidas acerca
do efeito da percepção dos riscos de segurança da informação pelos gestores sobre a
eficácia das práticas de gestão da segurança de informação, torna-se relevante conhecer
com que base se formam essas percepções dos gestores.
A Equação 7 testa as hipóteses H1A, H1B, e H1C representadas graficamente na Figura 13.1.
Figura 13.1: Hipóteses do modelo de “Percepção dos riscos da segurança da informação pelos gestores
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 221
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
A análise dos coeficientes de correlação linear (R) constantes da Tabela 13.17, evidencia
uma associação linear positiva fraca entre as quatro variáveis, excepto para a associação
entre as variáveis PerGest e AmbSTI que é moderada, conforme os critérios definidos no
Quadro 13.1, garantindo-se, deste modo, um dos requisitos para a utilização deste modelo.
A variável independente mais correlacionada com a variável dependente (PerGest) é
AmbSTI (R = 0,543) e as duas variáveis independentes mais correlacionadas são AmbSTI e
AmbOrg (R = 0,470).
Desvio
Constructo Média N PerGest AmbOrg AmbSTI SocGes
Padrão
PerGest -0,00944 1,00450 640 0,338 0,543 0,314
AmbOrg -0,00023 1,00604 640 0,470 0,265
AmbSTI -0,01239 0,99734 640 0,406
SocGes -0,00575 1,00343 640
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 222
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Para o efeito para examinar a relação entre a variável dependente PerGest e as variáveis
independentes AmbOrg, AmbSTI e SocGes, aplicou-se o método de regressão linear
múltipla.
Change Statistics
Adjusted Std. Error of R Square Durbin-
Model R R Square R Square the Estimate Change F Change df1 df2 Sig. F Change Watson
1 ,543a ,294 ,293 ,84449154 ,294 266,080 1 638 ,000
2 ,552 b ,305 ,303 ,83889505 ,010 9,541 1 637 ,002
3 ,559c ,312 ,309 ,83512620 ,007 6,762 1 636 ,010 1,936
a. Predictors: (Constant), AmbSTI
b. Predictors: (Constant), AmbSTI, SocGes
c. Predictors: (Constant), AmbSTI, SocGes, AmbOrg
d. Dependent Variable: PerGest
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 223
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
ANOVAd
Sum of
Model Squares df Mean Square F Sig.
1 Regression 189,759 1 189,759 266,080 ,000a
Residual 455,000 638 ,713
Total 644,759 639
2 Regression 196,474 2 98,237 139,591 ,000b
Residual 448,286 637 ,704
Total 644,759 639
3 Regression 201,190 3 67,063 96,157 ,000c
Residual 443,569 636 ,697
Total 644,759 639
a. Predictors: (Constant), AmbSTI
b. Predictors: (Constant), AmbSTI, SocGes
c. Predictors: (Constant), AmbSTI, SocGes, AmbOrg
d. Dependent Variable: PerGest
Excluded Variablesc
Collinearity Statistics
Partial Minimum
Model Beta In t Sig. Correlation Tolerance VIF Tolerance
1 AmbOrg ,107a 2,859 ,004 ,113 ,779 1,283 ,779
SocGes ,112a 3,089 ,002 ,121 ,835 1,198 ,835
2 AmbOrg ,097b 2,600 ,010 ,103 ,773 1,294 ,694
a. Predictors in the Model: (Constant), AmbSTI
b. Predictors in the Model: (Constant), AmbSTI, SocGes
c. Dependent Variable: PerGest
Assim, 1,0% da variabilidade total da variável PerGest poderá ser explicada com a
inclusão da variável SocGes no modelo de regressão. Este valor de 1,0% corresponde ao
aumento do R2change pela introdução da variável SocGes no modelo que já continha a
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 224
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
A Tabela 13.19 referente aos testes F da Anova confirma este resultado, dado que a soma
dos quadrados relativos à regressão do modelo 2 é de 196,47, correspondendo a 30,5% do
total da soma dos quadrados. O nível de significância 0,000 para o teste F do modelo 2,
mostra que a contribuição das variáveis AmbSTI e SocGes é significativa e leva à rejeição
da nulidade dos coeficientes dos parâmetros destas variáveis.
Unstandardized Standardized
Coefficients Coefficients Correlations Collinearity Statistics
Model B Std. Error Beta t Sig. Zero-order Partial Part Tolerance VIF
1 (Constant) -,003 ,033 -,080 ,936
AmbSTI ,546 ,033 ,543 16,312 ,000 ,543 ,543 ,543 1,000 1,000
2 (Constant) -,003 ,033 -,078 ,938
AmbSTI ,501 ,036 ,497 13,750 ,000 ,543 ,478 ,454 ,835 1,198
SocGes ,112 ,036 ,112 3,089 ,002 ,314 ,121 ,102 ,835 1,198
3 (Constant) -,003 ,033 -,095 ,924
AmbSTI ,458 ,040 ,455 11,523 ,000 ,543 ,416 ,379 ,694 1,441
SocGes ,103 ,036 ,103 2,850 ,005 ,314 ,112 ,094 ,828 1,208
AmbOrg ,097 ,037 ,097 2,600 ,010 ,338 ,103 ,086 ,773 1,294
a. Dependent Variable: PerGest
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 225
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
A Tabela 13.19 referente aos testes F da Anova, confirma este resultado, dado que a soma
dos quadrados relativos à regressão do modelo 3 é de 204,19, correspondendo a 31,2% do
total da soma dos quadrados. O nível de significância 0,000 para o teste F do modelo 3,
mostra que a contribuição das variáveis AmbSTI, SocGes e AmbOrg é significativa e leva à
rejeição da nulidade dos coeficientes dos parâmetros destas variáveis.
De acordo com os testes t da Tabela 13.20, conclui-se que cada uma das variáveis
independentes (AmbSTI, SocGes e AmbOrg) contribui significativamente (p ≤ 0,01) para
explicar a variação da variável dependente PerGest, rejeitando-se, portanto, a hipótese nula
de que não se verifica a contribuição adicional de uma variável independente para a
explicação da variação da variável dependente. No entanto, os valores baixos do Fchange
(Tabela 13.18) para a inclusão das variáveis SocGes e AmbOrg significam uma baixa
contribuição destas variáveis para a explicação da variação da variável PerGest.
Esta equação explica a variação de PerGest, para qualquer erro tipo I do analista, conforme
teste F = 96,157 com sig = 0,000, de acordo com a Tabela 13.19. De salientar que o teste F
da Anova mede a bondade do ajustamento da equação global da regressão (Pestana &
Gageiro, 2005), i.e., testa a hipótese nula de que todos os coeficientes são iguais a zero. Se
o valor do teste F conduz à rejeição de que todos os coeficientes são nulos, verifica-se,
contudo, que o teste t para a variável constante (sig = 0,924) não leva à rejeição de que o
parâmetro α seja nulo (Tabela 13.21), pelo que a Equação 8 não considera o valor da
constante (α = 0).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 226
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Em termos globais, por cada aumento de um desvio padrão em AmbOrg, AmbSTI e SocGes
verifica-se um aumento de 0,658 desvios padrões em PerGest.
Para avaliar a adequação do modelo estimado pela Equação 8 para prever o resultado em
amostras diferentes, utiliza-se o coeficiente de determinação ajustado de Stein ( ),
dado pela Fórmula 9.
2
1 2 1 2
1 1 (9)
1 2
Este coeficiente informa sobre a qualidade do modelo em termos de validação cruzada, i.e.,
dá informação sobre a qualidade com que o modelo se pode generalizar e que se pretende
que seja semelhante ao R2.
a) Homocedasticidade
O Gráfico 13.1 mostra que os resíduos mantêm uma amplitude mais ou menos constante
em relação ao eixo horizontal zero, pelo que não se rejeita a hipótese da
homocedasticidade.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 227
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
b) Autocorrelação
Segundo Pestana e Gageiro (2005), a região de aceitação (RA) da hipótese nula (não existe
autocorrelação entre as variáveis aleatórias residuais) e as regiões críticas (RC) são as
constantes do Quadro 13.2.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 228
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
c) Normalidade
A normalidade dos resíduos é testada usando o teste K-S em relação à variável zre_1
(criada pelo SPSS no cálculo da regressão). O valor do teste K-S constante da Tabela 13.22
aponta para a rejeição da hipótese nula, i.e., a variável zre_1 não apresenta uma
distribuição normal.
Tests of Normality
a
Kolmogorov-Smirnov Shapiro-Wilk
Statistic df Sig. Statistic df Sig.
Standardized Residual ,081 640 ,000 ,978 640 ,000
a. Lilliefors Significance Correction
Todavia, analisando o Gráfico 13.2 constata-se que a grande maioria das observações não
se afasta da recta da normal, indiciando, portanto, um desfasamento pouco acentuado da
normalidade.
d) Multicolinearidade
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 229
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Como as variáveis independentes apresentam sempre alguma correlação entre si, interessa
analisar a intensidade da multicolinearidade entre essas variáveis, processo que pode ser
efectuado através da análise da correlação entre as variáveis independentes, dos
indicadores de tolerância e VIF e, ainda, dos valores próprios, condition index e proporção
de variância.
Segundo Pestana e Gageiro (2005), um valor superior a 0,8 (em termos absolutos) de um
coeficiente de correlação entre duas variáveis independentes indicia a possibilidade de
existência de multicolinearidade. Analisando a Tabela 13.14 constata-se que todos os
coeficientes de correlação entre as variáveis AmbSTI, AmbOrg e SocGes são inferiores a
0,8 em valor absoluto, pelo que se conclui não existir um indicador de multicolinearidade.
A tolerância mede o grau em que uma variável independente é explicada por todas as
outras variáveis independentes, variando entre zero e um (Pestana & Gageiro, 2005).
Quanto mais próximo de zero maior será a multicolinearidade, sendo que valores de
tolerância inferiores a 0,20 geram elevada multicolinearidade. A análise da Tabela 13.21
mostra que os valores de tolerância são todos superiores a 0,7, indicando uma baixa
multicolinearidade.
O inverso da tolerância designa-se por VIF e, deste modo, quanto menor o indicador,
menor será a multicolinearidade. O valor habitualmente considerado como o limite acima
do qual existe multicolinearidade é VIF > 10 (Pestana & Gageiro, 2005). A Tabela 13.21
apresenta valores para os VIF próximos de um para cada uma das variáveis independentes,
indiciando, portanto, uma baixa multicolinearidade.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 230
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Analisando a Tabela 13.23 constata-se que não se verifica nenhuma das condições atrás
descritas para se concluir pela existência de elevada multicolinearidade, tal como se
concluiu para os indicadores apresentados anteriormente.
Collinearity Diagnosticsa
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 231
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
• teste dos efeitos indirectos: efeito moderador da variável PerGest sobre as restantes
variáveis independentes do modelo;
• teste dos efeitos directos de todas as variáveis independentes do modelo sobre a
variável dependente Eficacia, sem a inclusão das variáveis de controlo;
• teste dos efeitos directos de todas as variáveis independentes do modelo sobre a
variável dependente Eficacia, com a inclusão das variáveis de controlo (variáveis
independentes artificiais) – IndexTEC, IndexSEG e IndexINF.
As Equações 10 a 15 testam as hipóteses H2A, H2B, H2C, H2D, H2E e H2F representadas
graficamente na Figura 13.2.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 232
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 233
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Os coeficientes obtidos para cada uma das regressões lineares simples são os constantes da
Tabela 13.25.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 234
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
(β) seja igual a zero. Por seu lado, os valores do teste F da Anova constantes da Tabela
13.26, levam à rejeição de que todos os coeficientes são nulos.
Modelo F Sig.
GovSeg × PerGest 188,668 0,000
GRisco × PerGest 137,033 0,000
InvSeg × PerGest 10,062 0,002
Tecno × PerGest 102,259 0,000
Pessoas × PerGest 139,402 0,000
Leis × PerGest 176,007 0,000
Em função destes resultados, a recta estimada, obtida pelo método dos mínimos quadrados,
para cada um dos modelos é dada por:
Interpretando cada uma destas equações, pode-se concluir que um aumento de um desvio
padrão em PerGest tem um efeito superior ou igual em 0,415 desvios padrões em GovSeg,
GRisco, Pessoas e Leis, um aumento de 0,364 desvios padrões em Tecno e um aumento de
0,123 desvios padrões em InvSeg.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 235
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
do teste F para cada um dos modelos (sig = 0,000, qualquer que seja o erro tipo I do
analista), conclui-se que a relação linear entre a variável dependente e independente (em
cada modelo) é estatisticamente significativa, i.e., cada um dos modelos estimados mostra-
se adequado para descrever as relações definidas para as variáveis. A análise dos testes t e
F permitem extrapolar os resultados da amostra para o universo.
a) Normalidade
O teste K-S para a variável zre_1 de cada um dos modelos aponta para a rejeição da
hipótese nula, conforme os valores da Tabela 13.27.
Isto significa que a variável zre_1 em cada modelo não tem distribuição normal. Todavia,
as distribuições da variável zre_1 mostram que quase todas as observações não se afastam
da recta da normal, evidenciando, deste modo, um desfasamento pouco acentuado da
normalidade (ver Apêndice K – Gráficos K.7 a K.12).
Kolmogorov-Smirnov Shapiro-Wilk
Modelo Variável
Estatística df Sig. Estatística df Sig.
GovSeg × PerGest zre_1 0,075 663 0,000 0,973 663 0,000
GRisco × PerGest zre_1 0,078 661 0,000 0,980 661 0,000
InvSeg × PerGest zre_1 0,053 667 0,000 0,981 667 0,000
Tecno × PerGest zre_1 0,132 667 0,000 0,957 667 0,000
Pessoas × PerGest zre_1 0,075 663 0,000 0,974 663 0,000
Leis × PerGest zre_1 0,072 661 0,000 0,974 661 0,000
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 236
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
b) Homocedasticidade
c) Autocorrelação
Região de Durbin-
Modelo dl du Resultado
aceitação Watson
GovSeg × PerGest 1,868 1,874 [1,874;2,126] 1,876 Não se Rejeita-se H0
GRisco × PerGest 1,868 1,874 [1,874;2,126] 1,968 Não se Rejeita-se H0
InvSeg × PerGest 1,868 1,874 [1,874;2,126] 1,649 Rejeita-se H0
Tecno × PerGest 1,868 1,874 [1,874;2,126] 1,846 Rejeita-se H0
Pessoas × PerGest 1,868 1,874 [1,874;2,126] 1,878 Não se Rejeita-se H0
Leis × PerGest 1,868 1,874 [1,874;2,126] 1,865 Rejeita-se H0
O presente modelo tem como objectivo analisar apenas os efeitos directos (sem inclusão
dos efeitos moderadores da variável PerGest e dos efeitos directos das variáveis de
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 237
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
A Equação 22 testa as hipóteses H3A, H3B, H3C, H3D, H3E, H3F e H3G representadas
graficamente na Figura 13.3.
Figura 13.3: Hipóteses do teste dos efeitos directos das variáveis independentes, sem variáveis de
controlo.
A análise dos coeficientes de correlação linear constantes da Tabela 13.29, evidencia uma
associação linear positiva moderada entre as variáveis, exceptuando a associação linear
entre InvSeg e as restantes variáveis que é fraca (R < 0,2) e entre GovSeg com Leis e
GRisco que é elevada.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 238
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Model Summaryf
Change Statistics
Adjusted Std. Error of R Square Durbin-
Model R R Square R Square the Estimate Change F Change df1 df2 Sig. F Change Watson
1 ,646a ,417 ,416 ,76926601 ,417 443,864 1 621 ,000
2 ,718b ,516 ,514 ,70160582 ,099 126,549 1 620 ,000
3 ,731c ,535 ,533 ,68810262 ,019 25,572 1 619 ,000
4 ,738d ,545 ,542 ,68109455 ,010 13,804 1 618 ,000
5 ,741e ,550 ,546 ,67816623 ,005 6,349 1 617 ,012 1,948
a. Predictors: (Constant), Pessoas
b. Predictors: (Constant), Pessoas, Tecno
c. Predictors: (Constant), Pessoas, Tecno, GovSeg
d. Predictors: (Constant), Pessoas, Tecno, GovSeg, PerGest
e. Predictors: (Constant), Pessoas, Tecno, GovSeg, PerGest, GRisco
f. Dependent Variable: Eficacia
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 239
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Eficacia é explicada pela variável Pessoas, enquanto os restantes 58,3% são explicados por
outras variáveis não identificadas.
A Tabela 13.31 referente aos testes F da Anova, confirma este resultado, dado que a soma
dos quadrados relativos à regressão do modelo 1 é de 262,7, correspondendo a 41,7% do
total da soma dos quadrados. O nível de significância 0,000 para o teste F do modelo 1,
mostra que a contribuição da variável Pessoas é significativa e leva à rejeição da nulidade
do coeficiente do parâmetro desta variável.
Sum of
Model Squares df Mean Square F Sig.
1 Regression 262,665 1 262,665 443,864 ,000a
Residual 367,489 621 ,592
Total 630,155 622
2 Regression 324,959 2 162,480 330,075 ,000b
Residual 305,195 620 ,492
Total 630,155 622
3 Regression 337,067 3 112,356 237,295 ,000c
Residual 293,087 619 ,473
Total 630,155 622
4 Regression 343,471 4 85,868 185,104 ,000d
Residual 286,684 618 ,464
Total 630,155 622
5 Regression 346,390 5 69,278 150,634 ,000e
Residual 283,764 617 ,460
Total 630,155 622
a. Predictors: (Constant), Pessoas
b. Predictors: (Constant), Pessoas, Tecno
c. Predictors: (Constant), Pessoas, Tecno, GovSeg
d. Predictors: (Constant), Pessoas, Tecno, GovSeg, PerGest
e. Predictors: (Constant), Pessoas, Tecno, GovSeg, PerGest, GRisco
f. Dependent Variable: Eficacia
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 240
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Collinearity Statistics
Partial Minimum
Model Beta In t Sig. Correlation Tolerance VIF Tolerance
1 PerGest ,203a 6,196 ,000 ,241 ,828 1,208 ,828
Leis ,236a 6,087 ,000 ,237 ,590 1,696 ,590
GovSeg ,256a 6,495 ,000 ,252 ,566 1,767 ,566
GRisco ,089a 2,185 ,029 ,087 ,560 1,787 ,560
Tecno ,373a 11,249 ,000 ,412 ,710 1,408 ,710
InvSeg -,001a -,047 ,963 -,002 ,955 1,047 ,955
2 PerGest ,147b 4,799 ,000 ,189 ,803 1,246 ,653
Leis ,152b 4,125 ,000 ,164 ,560 1,785 ,523
GovSeg ,187b 5,057 ,000 ,199 ,548 1,826 ,498
GRisco ,024b ,625 ,532 ,025 ,546 1,833 ,490
InvSeg -,037b -1,289 ,198 -,052 ,944 1,059 ,699
3 PerGest ,116c 3,715 ,000 ,148 ,754 1,326 ,492
Leis ,081c 1,925 ,055 ,077 ,426 2,349 ,416
GRisco -,099c -2,293 ,022 -,092 ,402 2,490 ,402
InvSeg -,045c -1,591 ,112 -,064 ,941 1,062 ,495
4 Leis ,061d 1,443 ,149 ,058 ,418 2,395 ,406
GRisco -,108d -2,520 ,012 -,101 ,401 2,497 ,389
InvSeg -,047d -1,686 ,092 -,068 ,941 1,063 ,489
5 Leis ,067e 1,613 ,107 ,065 ,416 2,404 ,331
InvSeg -,038e -1,343 ,180 -,054 ,921 1,085 ,389
a. Predictors in the Model: (Constant), Pessoas
b. Predictors in the Model: (Constant), Pessoas, Tecno
c. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg
d. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg, PerGest
e. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg, PerGest, GRisco
f. Dependent Variable: Eficacia
Este valor de 9,9% corresponde ao aumento do R2change pela introdução da variável Tecno
no modelo que já continha a variável Pessoas, conforme se pode observar na linha do
modelo 2 da Tabela 13.30. O R2 do modelo aumentou 9,9%, passando o modelo a explicar
agora 51,6% da variação da variável Eficacia, o que significa que os restantes 48,4% são
explicados por outras variáveis. Saliente-se que o acréscimo de 9,9% no R2 é igual ao
coeficiente de determinação semi-parcial (= 0,3142 × 100), constante no modelo 2 da
Tabela 13.33.
Unstandardized Standardized
Coefficients Coefficients Correlations Collinearity Statistics
Model B Std. Error Beta t Sig. Zero-order Partial Part Tolerance VIF
1 (Constant) -,014 ,031 -,469 ,639
Pessoas ,646 ,031 ,646 21,068 ,000 ,646 ,646 ,646 1,000 1,000
2 (Constant) -,015 ,028 -,541 ,589
Pessoas ,445 ,033 ,445 13,412 ,000 ,646 ,474 ,375 ,710 1,408
Tecno ,377 ,034 ,373 11,249 ,000 ,613 ,412 ,314 ,710 1,408
3 (Constant) -,015 ,028 -,544 ,587
Pessoas ,338 ,039 ,338 8,691 ,000 ,646 ,330 ,238 ,498 2,007
Tecno ,347 ,033 ,343 10,377 ,000 ,613 ,385 ,284 ,687 1,455
GovSeg ,190 ,037 ,187 5,057 ,000 ,570 ,199 ,139 ,548 1,826
4 (Constant) -,015 ,027 -,564 ,573
Pessoas ,321 ,039 ,321 8,290 ,000 ,646 ,316 ,225 ,492 2,034
Tecno ,330 ,033 ,327 9,900 ,000 ,613 ,370 ,269 ,675 1,481
GovSeg ,155 ,038 ,153 4,038 ,000 ,570 ,160 ,110 ,515 1,944
PerGest ,118 ,032 ,116 3,715 ,000 ,436 ,148 ,101 ,754 1,326
5 (Constant) -,015 ,027 -,558 ,577
Pessoas ,352 ,041 ,352 8,698 ,000 ,646 ,330 ,235 ,446 2,243
Tecno ,336 ,033 ,332 10,091 ,000 ,613 ,376 ,273 ,672 1,488
GovSeg ,209 ,044 ,207 4,771 ,000 ,570 ,189 ,129 ,389 2,571
PerGest ,122 ,032 ,120 3,859 ,000 ,436 ,154 ,104 ,752 1,330
GRisco -,107 ,042 -,108 -2,520 ,012 ,478 -,101 -,068 ,401 2,497
a. Dependent Variable: Eficacia
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 241
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
A Tabela 13.31 referente aos testes F da Anova, confirma este resultado, dado que a soma
dos quadrados relativos à regressão do modelo 2 é de 324,96, correspondendo a 51,6% do
total da soma dos quadrados. O nível de significância 0,000 para o teste F do modelo 2,
mostra que a contribuição das variáveis Pessoas e Tecno é significativa e leva à rejeição da
nulidade dos coeficientes dos parâmetros destas variáveis.
A próxima variável a entrar no modelo é GovSeg, dado que é aquela que apresenta maior
coeficiente de correlação parcial (0,199), conforme modelo 2 da Tabela 13.32. Esta
variável passa a explicar 4% (= 0,1992 × 100) da variação da variável Eficacia que não é
explicada por Pessoas nem por Tecno, correspondendo a uma contribuição absoluta de 1,9%
(= 4% × 48,4%). Este valor de 1,9% corresponde ao aumento do R2change pela introdução da
variável GovSeg no modelo que já continha as variáveis Pessoas e Tecno, conforme se
pode observar na linha do modelo 3 da Tabela 13.30. O R2 do modelo aumentou 1,9%,
passando o modelo a explicar agora 53,5% da variação da variável Eficacia, o que significa
que os restantes 46,5% são explicados por outras variáveis. De notar que o acréscimo de
1,9% no R2 é igual ao coeficiente de determinação semi-parcial (= 0,1392 × 100), constante
no modelo 3 da Tabela 13.33.
A Tabela 13.31 referente aos testes F da Anova, confirma este resultado, dado que a soma
dos quadrados relativos à regressão do modelo 3 é de 337,07, correspondendo a 53,5% do
total da soma dos quadrados. O nível de significância 0,000 para o teste F do modelo 3,
mostra que a contribuição das variáveis Pessoas, Tecno e GovSeg é significativa e leva à
rejeição da nulidade dos coeficientes dos parâmetros destas variáveis.
De acordo com os testes t da Tabela 13.32, conclui-se que cada uma das variáveis
independentes (Pessoas, Tecno, GovSeg, PerGest e GRisco) contribui significativamente
(p < 0,05) para explicar a variação da variável dependente Eficacia, rejeitando-se, portanto,
a hipótese nula de que não se verifica a contribuição adicional de uma variável
independente para a explicação da variação da variável dependente. No entanto, os valores
baixos do Fchange para a inclusão das variáveis GovSeg, PerGest e GRisco significam uma
baixa contribuição destas variáveis para a explicação da variação da variável Eficacia.
0,10, pelo que se conclui que nenhuma destas variáveis independentes tem poder
explicativo na variável dependente Eficacia.
Model Summaryb
Change Statistics
Adjusted Std. Error of R Square Durbin-
Model R R Square R Square the Estimate Change F Change df1 df2 Sig. F Change Watson
1 ,743a ,553 ,548 ,67700822 ,553 108,552 7 615 ,000 1,931
a. Predictors: (Constant), InvSeg, PerGest, Tecno, GRisco, Leis, Pessoas, GovSeg
b. Dependent Variable: Eficacia
Unstandardized Standardized
Coefficients Coefficients Correlations Collinearity Statistics
Model B Std. Error Beta t Sig. Zero-order Partial Part Tolerance VIF
1 (Constant) -,015 ,027 -,554 ,579
PerGest ,116 ,032 ,114 3,641 ,000 ,436 ,145 ,098 ,738 1,355
Leis ,064 ,042 ,064 1,518 ,129 ,553 ,061 ,041 ,414 2,418
GovSeg ,180 ,047 ,178 3,788 ,000 ,570 ,151 ,102 ,331 3,021
GRisco -,103 ,043 -,104 -2,409 ,016 ,478 -,097 -,065 ,390 2,564
Tecno ,333 ,034 ,329 9,871 ,000 ,613 ,370 ,266 ,654 1,529
Pessoas ,340 ,041 ,340 8,203 ,000 ,646 ,314 ,221 ,424 2,356
InvSeg -,035 ,028 -,035 -1,228 ,220 ,135 -,049 -,033 ,916 1,091
a. Dependent Variable: Eficacia
A equação estimada pelo modelo de regressão linear múltipla (Tabela 13.34) é a seguinte:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 243
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Esta equação explica a variação da variável Eficacia, para qualquer erro tipo I do analista,
conforme teste F = 150,634 com sig = 0,000, de acordo com a Tabela 13.36.
ANOVAb
Sum of
Model Squares df Mean Square F Sig.
1 Regression 348,275 7 49,754 108,552 ,000a
Residual 281,879 615 ,458
Total 630,155 622
a. Predictors: (Constant), InvSeg, PerGest, Tecno, GRisco, Leis, Pessoas, GovSeg
b. Dependent Variable: Eficacia
Um aumento de um desvio padrão em cada uma das variáveis independentes, excepto para
a variável GRisco, tem um efeito positivo no desvio padrão da variável Eficacia. Já um
aumento de um desvio padrão em GRisco faz diminuir 0,107 desvios padrões na variável
dependente. Em termos globais, por cada aumento de um desvio padrão em Pessoas, Tecno,
GovSeg, PerGest e GRisco, verifica-se um aumento de 0,912 desvios padrões em Eficacia.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 244
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
a) Homocedasticidade
b) Autocorrelação
c) Normalidade
O valor do teste K-S constante da Tabela 13.37 aponta para a rejeição da hipótese nula, ou
seja, a variável zre_1 não apresenta uma distribuição normal.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 245
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Tests of Normality
a
Kolmogorov-Smirnov Shapiro-Wilk
Statistic df Sig. Statistic df Sig.
Standardized Residual ,069 634 ,000 ,944 634 ,000
a. Lilliefors Significance Correction
Todavia, analisando o Gráfico 13.4 constata-se que a grande maioria das observações não
se afasta da recta da normal, indiciando, portanto, um desfasamento pouco acentuado da
normalidade.
d) Multicolinearidade
Os valores para os coeficientes Tolerância e VIF são todos superiores a 0,2 e inferiores a
10, respectivamente (Tabela 13.35), indiciando, portanto, uma baixa multicolinearidade.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 246
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Analisando a Tabela 13.38 constata-se que não se verifica nenhuma situação em que as
dimensões apresentem, cumulativamente, valores próprios próximos de zero, o condition
index maior que 30 e a proporção da variância superior a 0,90 em pelo menos duas
variáveis independentes, pelo que se conclui pela inexistência de elevada
multicolinearidade, tal como se verificou para os outros indicadores.
A Equação 24 testa as hipóteses H3A, H3B, H3C, H3D, H3E, H3F e H3G representadas
graficamente na Figura 13.4.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 247
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Governo da Segurança da
Informação
H3A
(+)
Variáveis de Controlo
Gestão do Risco
H3B
(+)
Índice de Segurança
Investimento em Segurança
H3C
(+) Eficácia das Práticas de Índice de Utilização da
Gestão da Segurança Informação
da Informação nas PME
Tecnologia
H3D
(+) Índice Tecnológico
Pessoas
H3E
(+)
Leis, Regulamentos e
Normas H3F
(+)
H3G
Percepção dos Riscos de Segurança (+)
da Informação pelos Gestores
Figura 13.4: Hipóteses do teste dos efeitos directos das variáveis independentes, com variáveis de
controlo
A construção de cada uma destas variáveis foi efectuada com base nas respostas às
questões 1 (sector de actividade), 8 (tipo de tecnologias utilizadas), 9 (tipo de software
utilizado, 10 (utilização da Internet), 11 (aplicações de segurança utilizadas) e 24
(incidentes de segurança sofridos nos últimos 12 meses) do questionário em formato
electrónico (com a correspondente numeração do questionário em formato papel) e
obedeceu aos seguintes critérios de elaboração:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 248
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
a) variável IndexTEC
Esta variável resulta da integração de quatro variáveis criadas a partir das respostas
às questões 8 (variável IndTec), 9 (variável IndSW), 10 (variável IndInt) e 11
(variável IndSeg), de acordo com os seguintes critérios:
b) variável IndexSEG
c) variável IndexINF
representam uma associação linear muito fraca com as restantes variáveis. Enquanto as
variáveis IndexCAE e IndexTEC evidenciam uma associação linear positiva com quase
todas as outras variáveis, a variável IndexSEG tem uma associação linear negativa com
praticamente todas as outras variáveis.
Esta situação do novo modelo de regressão não acrescentar nada de substancial ao modelo
de regressão anterior, é justificado pelo facto das variáveis independentes artificiais não
contribuírem para explicar a variação da variável dependente Eficacia, como se pode
deduzir da análise da Tabela 13.40.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 250
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Collinearity Statistics
Partial Minimum
Model Beta In t Sig. Correlation Tolerance VIF Tolerance
1 PerGest ,203a 6,196 ,000 ,241 ,828 1,208 ,828
Leis ,236a 6,087 ,000 ,237 ,590 1,696 ,590
GovSeg ,256a 6,495 ,000 ,252 ,566 1,767 ,566
GRisco ,089a 2,185 ,029 ,087 ,560 1,787 ,560
Tecno ,373a 11,249 ,000 ,412 ,710 1,408 ,710
InvSeg -,001a -,047 ,963 -,002 ,955 1,047 ,955
IndexCAE ,036a 1,157 ,248 ,046 ,981 1,019 ,981
IndexSEG -,005a -,178 ,859 -,007 ,986 1,014 ,986
IndexTEC ,089a 2,907 ,004 ,116 ,996 1,004 ,996
2 PerGest ,147b 4,799 ,000 ,189 ,803 1,246 ,653
Leis ,152b 4,125 ,000 ,164 ,560 1,785 ,523
GovSeg ,187b 5,057 ,000 ,199 ,548 1,826 ,498
GRisco ,024b ,625 ,532 ,025 ,546 1,833 ,490
InvSeg -,037b -1,289 ,198 -,052 ,944 1,059 ,699
IndexCAE ,038b 1,365 ,173 ,055 ,981 1,019 ,700
IndexSEG -,015b -,527 ,598 -,021 ,985 1,015 ,701
IndexTEC ,059b 2,108 ,035 ,084 ,987 1,013 ,704
3 PerGest ,116c 3,715 ,000 ,148 ,754 1,326 ,492
Leis ,081c 1,925 ,055 ,077 ,426 2,349 ,416
GRisco -,099c -2,293 ,022 -,092 ,402 2,490 ,402
InvSeg -,045c -1,591 ,112 -,064 ,941 1,062 ,495
IndexCAE ,027c ,967 ,334 ,039 ,974 1,027 ,497
IndexSEG -,011c -,391 ,696 -,016 ,984 1,016 ,495
IndexTEC ,041c 1,484 ,138 ,060 ,969 1,032 ,496
4 Leis ,061d 1,443 ,149 ,058 ,418 2,395 ,406
GRisco -,108d -2,520 ,012 -,101 ,401 2,497 ,389
InvSeg -,047d -1,686 ,092 -,068 ,941 1,063 ,489
IndexCAE ,016d ,564 ,573 ,023 ,962 1,040 ,491
IndexSEG -,003d -,125 ,901 -,005 ,979 1,021 ,489
IndexTEC ,033d 1,179 ,239 ,047 ,962 1,040 ,488
5 Leis ,067e 1,613 ,107 ,065 ,416 2,404 ,331
InvSeg -,038e -1,343 ,180 -,054 ,921 1,085 ,389
IndexCAE ,019e ,681 ,496 ,027 ,960 1,042 ,389
IndexSEG -,002e -,077 ,939 -,003 ,979 1,022 ,389
IndexTEC ,033e 1,215 ,225 ,049 ,962 1,040 ,386
a. Predictors in the Model: (Constant), Pessoas
b. Predictors in the Model: (Constant), Pessoas, Tecno
c. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg
d. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg, PerGest
e. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg, PerGest, GRisco
f. Dependent Variable: Eficacia
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 251
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
se rejeita a hipótese nula de que os mesmos são iguais a zero, dado que eles não são
estatisticamente relevantes para qualquer tipo de erro I do analista.
Unstandardized Standardized
Coefficients Coefficients Correlations Collinearity Statistics
Model B Std. Error Beta t Sig. Zero-order Partial Part Tolerance VIF
1 (Constant) -,042 ,045 -,934 ,351
PerGest ,110 ,032 ,108 3,380 ,001 ,436 ,135 ,091 ,718 1,393
Leis ,065 ,042 ,065 1,536 ,125 ,553 ,062 ,041 ,413 2,423
GovSeg ,174 ,048 ,172 3,650 ,000 ,570 ,146 ,099 ,328 3,047
GRisco -,106 ,043 -,107 -2,468 ,014 ,478 -,099 -,067 ,389 2,572
Tecno ,332 ,034 ,328 9,785 ,000 ,613 ,368 ,264 ,647 1,545
Pessoas ,342 ,042 ,341 8,199 ,000 ,646 ,315 ,221 ,421 2,376
InvSeg -,032 ,029 -,032 -1,108 ,268 ,135 -,045 -,030 ,851 1,176
IndexCAE ,064 ,067 ,026 ,946 ,345 ,124 ,038 ,026 ,934 1,071
IndexSEG -,009 ,056 -,005 -,170 ,865 -,082 -,007 -,005 ,960 1,042
IndexTEC ,065 ,064 ,029 1,013 ,311 ,130 ,041 ,027 ,897 1,115
a. Dependent Variable: Eficacia
Model Summaryb
Change Statistics
Adjusted Std. Error of R Square Durbin-
Model R R Square R Square the Estimate Change F Change df1 df2 Sig. F Change Watson
1 ,744a ,554 ,547 ,67762997 ,554 76,034 10 612 ,000 1,924
a. Predictors: (Constant), IndexTEC, IndexCAE, IndexSEG, Tecno, InvSeg, PerGest, GRisco, Leis, Pessoas, GovSeg
b. Dependent Variable: Eficacia
A equação estimada pelo modelo de regressão linear múltipla (Tabela 13.41) é a seguinte:
Um aumento de um desvio padrão em cada uma das variáveis independentes, excepto para
a variável GRisco, tem um efeito positivo no desvio padrão da variável Eficacia. Em
termos globais, por cada aumento de um desvio padrão em GovSeg, GRisco, Tecno,
Pessoas e PerGest, verifica-se um aumento de 0,752 desvios padrões em Eficacia.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 252
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Em função do que foi afirmado atrás para a estimação do modelo, também no que diz
respeito à verificação das hipóteses do modelo (homocedasticidade, ausência de
autocorrelação, normalidade das variáveis aleatórias residuais e multicolinearidade entre as
variáveis independentes) nada de significativamente diferente se pode deduzir para o
modelo em análise, relativamente ao modelo anterior.
Os resultados finais dos testes das hipóteses, calculados através da utilização de modelos
de regressão linear simples e múltipla, constam da Figura 13.5 e da Tabela 13.43.
Figura 13.5: Representação gráfica dos resultados dos modelos de regressão linear.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 253
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 254
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
O modelo “percepção dos riscos da segurança da informação pelos gestores” não foi
totalmente confirmado empiricamente, na medida em que os testes empíricos das hipóteses
subjacentes ao modelo revelam um fraco suporte da teoria que serviu de base ao
desenvolvimento do modelo. De facto, cerca de 70% da variação da percepção dos riscos
da segurança da informação pelos gestores é explicada por outros factores que não aqueles
que estão incluídos no modelo.
Os resultados dos testes apontam para que a percepção dos riscos da segurança da
informação pelos gestores das PMEs esteja dependente quase exclusivamente dos
controlos implementados ao nível dos SI/TIC. Esta situação está em sintonia com os
argumentos defendidos por diversos autores (Clear & Lee-Kelley, 2005; Ng & Feng, 2006;
Ruighaver & Wong, 2002; Upfold & Sewry, 2006; Weippl & Klemen, 2006) de que os
gestores das PMEs vêem a segurança da informação essencialmente como uma intervenção
técnica com o objectivo de combater o software malicioso e proteger a informação.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 255
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Em função do reduzido suporte empírico obtido para algumas das hipóteses propostas,
apresentam-se duas alternativas possíveis para validar a teoria:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 256
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
dos riscos da segurança da informação pelos gestores tem que estar alicerçada numa teoria
devidamente validada e testada que permita aos gestores das PMEs conhecerem os riscos a
que os seus SI/TIC estão sujeitos e lhes permitam implementar as políticas de segurança
consideradas mais adequadas ao nível de risco que estão dispostos a aceitar e gerir
adequadamente.
Qualquer que seja o modelo adoptado – modelo de efeitos directos com ou sem variáveis
independentes artificiais - os resultados são idênticos no que diz respeito à aceitação ou
rejeição das hipóteses H3A, H3B, H3C , H3D, H3E, H3F e H3G.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 257
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Apesar das variáveis de controlo não serem significativas, importa realçar que as PMEs
que utilizam a informação de forma intensiva nos seus processos de negócio e que
suportam esses processos de negócio com uma intensa utilização das tecnologias de
informação e comunicação, têm um efeito positivo na explicação da variação da eficácia
das práticas de gestão da segurança da informação nessas empresas. Contrariamente, as
PMEs que sofreram incidentes de segurança nos últimos 12 meses têm um efeito negativo
na explicação da variação da eficácia das práticas de gestão da segurança da informação.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 258
Empresas Portuguesas
Capítulo 13 – Resultados e Discussão dos Dados
Contrariamente à noção de que existe um baixo nível de consciência do risco por parte dos
gestores das PMEs (Clear & Lee-Kelley, 2005), ou que a sensibilização para as questões de
segurança dos SI/TIC é fraca (Forrester Research, 2004), os resultados mostram que existe
uma percepção dos riscos da segurança da informação por parte dos gestores das PMEs e
essa percepção é determinante na eficácia das práticas de gestão da segurança da
informação nas suas empresas.
Os resultados demonstram que as PMEs não adoptam processos de análise e gestão dos
riscos a que os seus activos de informação estão potencialmente sujeitos, situação que pode
ser explicada por dois grupos de factores. Por um lado, a insuficiência de recursos
humanos qualificados (Xie & Mead, 2004) ou o facto de existirem poucos recursos
dedicados aos SI/TIC (Cragg et al., 2002). Por outro lado, pela circunstância dos gestores
das PMEs terem pouco conhecimento das ameaças e riscos a que os seus activos de
informação estão sujeitos (Keller et al., 2005) ou considerarem que as suas empresas não
são um alvo de ameaças externas ou internas (Weippl & Klemen, 2006).
Contrariamente ao defendido pela Ernst & Young (2007) de que a conformidade com as
leis e regulamentos contribui para uma melhoria da segurança da informação, os resultados
mostram que as leis, regulamentos e normas não são determinantes na eficácia das práticas
de gestão da segurança da informação nas PMEs. Esta situação pode ser justificada pelo
facto dos gestores das PMEs desconhecerem parte da legislação aplicável à segurança da
informação.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 260
Empresas Portuguesas
14 Conclusões e Recomendações
CAPÍTULO 14
CONCLUSÕES E RECOMENDAÇÕES
14.1 INTRODUÇÃO
Hipótese 1A
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 261
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
Hipótese 1B
Hipótese 1C
Hipótese 2A
Hipótese 2B
Hipótese 2C
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 262
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
Hipótese 2D
Hipótese 2E
Hipótese 2F
Hipótese 3A
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 263
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
Hipótese 3B
Hipótese 3C
Não suportada. O valor do coeficiente β é igual a -0,032 (não rejeição da hipótese nula –
sig. = 0,268), segundo o modelo de regressão linear múltipla utilizado.
Hipótese 3D
Hipótese 3E
Hipótese 3F
Não suportada. O valor do coeficiente β é igual a 0,065 (não rejeição da hipótese nula – sig.
= 0,125), segundo o modelo de regressão linear múltipla utilizado.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 264
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
Hipótese 3G
Os factores que estão na origem das falhas e incidentes de segurança da informação são
diversos, abrangendo factores tecnológicos (inexistência ou debilidade dos controlos
técnicos e operacionais e utilização de tecnologias de segurança certificadas), processuais
(inexistência ou debilidade dos processos de gestão dos riscos, ameaças e vulnerabilidades,
das políticas de segurança, do investimento em segurança e da conformidade com as leis,
regulamentos e normas) e humanos (inexistência ou debilidade das acções de
consciencialização e formação em segurança da informação e de uma cultura de segurança).
Apesar dos riscos e ameaças que recaem sobre a segurança da informação, existem,
contudo, determinadas práticas de gestão que os gestores podem implementar para
maximizar a protecção dos seus activos de informação críticos para o negócio das suas
organizações. A presente tese conclui que as actividades inerentes ao governo da segurança
da informação (políticas e normas de segurança da informação, metodologia de gestão do
risco e estrutura organizacional), à tecnologia (controlos técnicos e operacionais e
adequação das tecnologias de segurança adquiridas), às pessoas (acções de
consciencialização e formação em segurança da informação) e à percepção dos riscos da
segurança da informação pelos gestores, são os factores que têm mais impacto sobre a
eficácia da segurança da informação nas PMEs portuguesas.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 265
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
Este resultado evidencia que a segurança da informação nas PMEs já ultrapassou uma
vertente meramente tecnológica, passando a integrar as dimensões organizacional e
humana, reconhecendo a importância das políticas e normas de segurança e do papel dos
colaboradores, tanto na execução das políticas, como na correcta utilização dos SI/TIC.
As PMEs já começam a adoptar uma abordagem à segurança da informação que não inclui
apenas os controlos técnicos e operacionais, passando, assim, a focalizar-se nos aspectos
organizacionais e humanos, cientes de que a tecnologia, só por si, é insuficiente para
garantir uma adequada eficácia da segurança da informação, i.e., as PMEs estão
conscientes de que a segurança da informação é, cada vez mais, um problema das pessoas
e não da tecnologia, tal como defendido por Schultz (2005). As PMEs reconhecem,
portanto, que é necessário estabelecer um adequado equilíbrio entre as pessoas, os
processos e a tecnologia, para que seja possível alcançar uma segurança da informação
eficaz, em consonância com o nível de segurança pretendido e de acordo com a percepção
dos gestores sobre os riscos da segurança da informação a que as suas organizações estão
sujeitas.
A percepção dos riscos da segurança da informação pelos gestores das PMEs desempenha
um papel fundamental na estratégia de segurança adoptada pelas PMEs, na medida em que
o poder das decisões críticas está centralizado nos gestores. Se o seu nível de percepção
dos riscos é baixo e como os recursos humanos, técnicos, materiais e financeiros são
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 266
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
escassos e orientados para outros objectivos estratégicos, os gestores não vão ter uma
acção determinante na estratégia da segurança da informação, pois não irão desviar os
recursos necessários das actividades consideradas mais importantes para algo que
considerem ter pouca utilidade para o negócio das suas organizações. Em sentido oposto,
uma elevada percepção dos riscos da segurança da informação pelos gestores fará com que
a problemática da segurança da informação seja compreendida como um factor essencial
para o negócio e, nesta perspectiva, serão afectados os recursos considerados suficientes
para proteger a informação de ameaças contra a sua integridade, disponibilidade e
confidencialidade.
Os resultados empíricos obtidos comprovam que a percepção dos gestores tem um efeito
directo determinante (mas reduzido) na eficácia da segurança da informação, mas, em
contrapartida, tem um efeito significativo em todas as dimensões da segurança da
informação testadas e, por essa via, um efeito moderador na eficácia das práticas de gestão
da segurança da informação nas PMEs. Este facto revela a importância que a percepção
dos riscos da segurança da informação pelos gestores assume na definição de um modelo
que tenha como objectivo conhecer as práticas de gestão da segurança da informação.
É um facto assumido por diversos autores (e.g., Clear & Lee-Kelley, 2005; Ng & Feng,
2006; Ruighaver & Wong, 2002; Weippl & Klemen, 2006) que as políticas de segurança,
controlos de acesso e formação são assuntos que apenas merecem atenção depois de um
incidente de segurança. Nesta perspectiva, seria expectável que as empresas que sofreram
incidentes de segurança nos últimos 12 meses, tivessem uma maior eficácia das suas
práticas de gestão da segurança da informação. Todavia, os resultados demonstram
precisamente o contrário. Os incidentes de segurança ocorridos não tiveram como
consequência um aumento dos controlos de segurança para aumentar a eficácia da
segurança da informação. Esta situação deve-se, provavelmente, ao facto de, num primeiro
nível, os principais incidentes reportados estarem relacionados com problemas com vírus
ou outro tipo de software malicioso e com o abuso dos privilégios de acesso à Internet por
parte dos empregados. Apenas num segundo nível são reportados incidentes referentes a
dados corrompidos ou parcialmente destruídos e a problemas com a fiabilidade dos
sistemas de informação. A natureza dos incidentes sofridos, associado ao facto de não ter
existido prejuízos financeiros ou esses prejuízos se terem revelado de pouca importância,
não obrigou a um aumento ou reforço do investimento em segurança da informação. Estes
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 267
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
Sendo um dado adquirido que o conhecimento é um dos activos mais importantes das
PMEs (Weippl & Klemen, 2006) e que existem maiores riscos de segurança da informação
nas empresas que utilizam intensivamente a informação, pois mais informação é necessária
para alimentar o processo de tomada de decisão (Fourie, 2003), os resultados mostram que
estas empresas não reconhecem o perigo da espionagem industrial e das ameaças a que os
seus activos de informação estão submetidos, na medida em que as suas práticas de gestão
da segurança da informação não são diferentes das PMEs que não utilizam a informação
como um recurso estratégico do seu negócio.
Para os investigadores, este estudo preenche uma lacuna no conhecimento das práticas de
gestão da segurança da informação nas PMEs e introduz novas perspectivas na
investigação da segurança da informação. Na verdade, a utilização da percepção dos riscos
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 268
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
A nossa investigação evidenciou que os processos associados com a gestão do risco e com
a conformidade com os requisitos legais, não são determinantes na eficácia das práticas de
gestão da segurança da informação nas PMEs portuguesas. Uma das razões apontadas para
esta situação poderá estar relacionada com a inexistência de recursos humanos
especializados nesta área. De forma a ultrapassar este constrangimento, propomos a
implementação de uma pós-graduação em segurança da informação, integrando não só os
aspectos tecnológicos e físicos da segurança, mas, sobretudo, os aspectos referentes à
gestão de risco e respectivas metodologias, normas e regulamentos e aos processos de
gestão do factor humano da segurança.
Para além das contribuições teóricas atrás apresentadas, este estudo também acarreta
algumas contribuições para os profissionais no domínio da segurança da informação.
Os gestores das PMEs podem melhorar a eficácia das suas práticas de gestão da segurança
da informação aplicando o modelo proposto nesta investigação nas suas organizações, na
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 269
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
medida em que o modelo integra as áreas mais críticas que os gestores podem gerir, de
forma a aumentar a eficácia das sua políticas de segurança da informação.
O modelo conceptual proposto é uma ferramenta útil, tanto para as PMEs que têm
departamentos de SI/TIC, como para aquelas que fazem a externalização dos seus serviços
de SI/TIC. Suportando-se neste modelo, as primeiras podem avaliar e monitorar o estado
da segurança da informação, melhorar o design do seu programa de segurança da
informação, assim como delinear um plano de acções de sensibilização e formação em
segurança da informação para todos aqueles que tratam com a informação crítica do
negócio. No caso das segundas, o modelo pode servir de referência para celebrar contratos
de prestação de serviços na área da segurança da informação com os seus fornecedores de
serviços de SI/TIC.
Para a nossa actividade de consultor, este modelo servirá, essencialmente, como uma
ferramenta de diagnóstico para avaliar o estado actual da segurança da informação numa
determinada organização e definir os planos de acções que será necessário implementar
para se atingir o nível de segurança desejado.
Uma limitação importante na realização desta investigação foi, tanto quanto é do nosso
conhecimento, a escassez de trabalhos de investigação em segurança da informação nas
PMEs, comparativamente aos estudos sobre a temática geral da segurança da informação.
Esta situação provocou alguns constrangimentos na formulação e desenvolvimento do
modelo de investigação e das correspondentes hipóteses teóricas.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 270
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
dimensão da amostra (381 casos), a amostra obtida não é suficientemente grande, tendo em
atenção que o universo das PMEs objecto de investigação foi de 42 788 empresas. Por
outro lado, o âmbito das PMEs envolvidas neste estudo foi muito amplo em termos do
sector de actividade, englobando 13 secções da CAE Rev.3. Os estudos que abordam um
sector específico ou indústria têm mais probabilidade de identificar objectivos específicos
e práticas que são mais relevantes dentro desse sector específico ou indústria.
Os resultados dos testes ao modelo revelaram que algumas das hipóteses teóricas de
investigação formuladas não tinham suporte empírico, pelo que importa melhorar o
instrumento de medida associado a essas hipóteses, para confirmar se a teoria estava
correcta ou o instrumento de medida não estava adequadamente definido para suportar a
teoria subjacente. O aperfeiçoamento do instrumento de medida pode passar por garantir
que cada constructo tenha mais do que três itens, dado que o facto de alguns dos
constructos do nosso instrumento de medida conterem apenas três itens inviabilizou a
realização da análise factorial para determinar a validade de constructo.
O modelo conceptual utilizado na presente investigação foi testado com base nos modelos
de regressão linear simples e múltipla, tendo produzido os resultados apresentados no
capítulo anterior. Existem, contudo, outros métodos para testar o modelo de investigação
proposto, pelo que será interessante confrontar os resultados do nosso estudo com os
resultados obtidos com a utilização de outros métodos, como, por exemplo, o método das
equações estruturais.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 271
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
A informação e o conhecimento são dois dos activos mais importantes das PMEs. A
preservação deste conhecimento, em termos de integridade, disponibilidade e
confidencialidade é um dos objectivos estratégicos primordiais que devem orientar as
acções das PMEs, sob pena de perderem a sua competitividade ou, em último caso, de não
conseguirem sobreviver num mercado globalizado e cada vez mais agressivo
concorrencialmente.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 272
Empresas Portuguesas
Capítulo 14 – Conclusões e Recomendações
A segurança da informação deve merecer uma atenção especial por parte dos gestores das
PMEs, na medida em que as ameaças aos seus activos basilares do negócio (informação e
conhecimento) tendem a aumentar cada vez mais. Tal como demonstram os resultados da
nossa investigação, a acção dos gestores não deve focalizar-se apenas na tecnologia, mas,
fundamentalmente, nos aspectos relacionados com os colaboradores, tanto em termos de
ameaças internas, como em termos das ameaças externas que fazem recursos às técnicas da
engenharia social. De facto, as estimativas avançadas pela comunicação social da
especialidade apontam para que as ameaças aos SI/TIC tendem a aumentar e que a
engenharia social vai estar no topo das ameaças à segurança da informação para o ano de
2010 (Casa dos Bits, 2009).
Ao concluir esta investigação sentimos que, face aos factos apresentados anteriormente,
devem ser desenvolvidos mais esforços na realização de estudos adicionais sobre a
segurança da informação nas PMEs portuguesas e contribuir, dessa forma, para manter a
sua competitividade e inovação no mercado global actual.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 273
Empresas Portuguesas
Bibliografia
BIBLIOGRAFIA
Association for Computing Machinery. (1992). ACM Code of Ethics and Professional Conduct.
Recuperado em 20 de Maio, 2008, em www.acm.org/about/code-of-ethics.
Agência Europeia para a Segurança das Redes e da Informação. (2006). Guia do Utilizador: Como
Sensibilizar para a Segurança da Informação. Recuperado em 12 de Janeiro, 2009, em
http://www.enisa.europa.eu/doc/pdf/deliverables/WGAR/guide_pt.pdf.
AlAboodi, S. S. (2006). A New Approach for Assessing the Maturity of Information Security.
Information Systems Control Journal, 3. Recuperado em 20 de Julho, 2008, em
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/Conte
ntDisplay.cfm&ContentID=33735.
Alberts, C. J. (2006). Common Elements of Risk (Technical Note: CMU/SEI-2006-TN-014).
Pittsburgh, PA: Carnegie Mellon University, Software Engineering Institute, Acquisition
Support Program. Recuperado em 11 de Maio, 2007, em
www.sei.cmu.edu/pub/documents/06.reports/pdf/06tn014.pdf.
Alberts, C. J., & Dorofee, A. J. (2001). OCTAVE Criteria, Version 2.0 (Technical Report
CMU/SEI-2001-TR-016; ESC-TR-2001-016). Pittsburgh, PA: Carnegie Mellon University,
Software Engineering Institute, Networked Systems Survivability Program. Recuperado em
19 de Junho, 2006, em www.cert.org/archive/pdf/01tr016.pdf.
Alberts, C. J., & Dorofee, A. (2002). Managing Information Security Risks: The OCTAVE
Approach: Addison Wesley.
Alberts, C. J., Dorofee, A. J., & Allen, J. H. (2001). OCTAVE Catalog of Practices, Version 2.0
(Technical Report CMU/SEI-2001-TR-020; ESC-TR-2001-020). Pittsburgh, PA: Carnegie
Mellon University, Software Engineering Institute, Networked Systems Survivability
Program. Recuperado em 3 de Fevereiro, 2005, em www.cert.org/archive/pdf/01tr020.pdf.
Alberts, C. J., Dorofee, A., Stevens, J., & Woody, C. (2003). Introduction to the OCTAVE
Approach. Pittsburgh, PA: Carnegie Mellon University, Software Engineering Institute,
Networked Systems Survivability Program. Recuperado em 19 de Junho, 2006, em
www.cert.org/octave/approach_intro.pdf.
Albrechtsen, E. (2007). A Qualitative Study of Users’ View on Information Security. Computers &
Security, 26(4), 276-289. Recuperado em 26 de Junho, 2008, da b-on database.
Albrechtsen, E., & Hovden, J. (2009). The Information Security Digital Divide Between
Information SecurityManagers and Users. Computers & Security, 1-15. Recuperado em 13
de Março, 2009, da Business Source Premier database.
Allen, J. H. (2005). An Introduction to Governing for Enterprise Security. Recuperado em 27 de
Novembro, 2006, em http://www.sei.cmu.edu/publications/news-at-
sei/columns/security_matters/2005/1/security-matters-2005-1.pdf.
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 274
Empresas Portuguesas
Bibliografia
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 275
Empresas Portuguesas
Bibliografia
Bandyopadhyay, K., & Mykytyn, P. P. (1999). A Framework for Integrated Risk Management in
Information Technology. Management Decision, 37( 5/6), 437-444. Recuperado em 19 de
Maio, 2007, da b-on database.
Bank for International Settlements. (2006). International Convergence of Capital Measurement
and Capital Standards: A Revised Framework - Comprehensive Version (Basel II).
Recuperado em 27 de Outubro, 2008, em http://www.bis.org/publ/bcbs128.pdf?noframes=1.
Barba-Sánchez, V., Martínez-Ruiz, M. P., & Jiménez-Zarco, A. I. (2007). Drivers, Benefits and
Challenges of ICT Adoption by Small and Medium Sized Enterprises (SMEs): A Literature
Review. Problems and Perspectives in Management, 5(1), 103-114. Recuperado em 30 de
Abril, 2007, da Business Source Premier database.
Baskerville, R. (1993). Information Systems Security Design Methods: Implications for
Information Systems Development. ACM Computing Surveys (CSUR), 25(4), 375-414.
Recuperado em 7 de Maio, 2007, da ACM Digital Library database.
Bassellier, G., Reich, B. H., & Benbasat, I. (2001). Information Technology Competence of
Business Managers: A Definition and Research Model. Journal of Management Information
Systems, 17(4), 159-182. Recuperado em 13 de Março, 2009, da Business Source Premier
database.
Beaver, K., & Harold, R. (2004). The Practical Guide to HIPAA Privacy and Security Compliance.
Boca Raton: Auerbach Publications.
Beheshti, H. M. (2004). The Impact of IT on SMEs in the United States. Information Management
& Computer Security, 12(4), 318-327. Recuperado em 2 de Junho, 2007, da b-on database.
Benaroch, M. (2002). Managing Information Technology Investment Risk: A Real Options
Perspective. Journal of Management Information Systems, 19(2), 43-84. Recuperado em 23
de Junho, 2008, da Business Search Premier database.
Benaroch, M., Jeffery, M., Kauffman, R. J., & Shan, S. (2007). Option-Based Risk Management: A
Field Study of Sequential Information Technology Investment Decisions. Journal of
Management Information Systems, 24(2), 103-140. Recuperado em 23 de Junho, 2008, da
Business Search Premier database.
Benaroch, M., & Kauffman, R. J. (1999). A Case for Using Real Options Pricing Analysis to
Evaluate Information Technology Project Investments. Information Systems Research, 10(1),
70-86. Recuperado em 23 de Junho, 2008, da Business Search Premier database.
Benaroch, M., & Kauffman, R. J. (2000). Justifying Electronic Banking Network Expansion Using
Real Options Analysis. MIS Quarterly, 24(2), 197-225. Recuperado em 23 de Junho, 2008,
da Business Search Premier database.
Benaroch, M., Lichtenstein, Y., & Robinson, K. (2006). Real Options in Information Technology
Risk Management: An Empirical Validation of Risk-Option Relationships. MIS Quarterly,
30(4), 827-864. Recuperado em 3 de Maio, 2008, da Business Search Premier database.
Bentler, P. M., & Chou, C.-P. (1987). Practical Issues in Structural Modeling. Sociological
Methods & Research, 16(1), 78-117. Recuperado em 25 de Maio, 2007, da b-on database.
Berbecaru, D., Derenale, C., & Lioy, A. (2004). Digital Certificates and Public-Key Infrastructures.
In M. Fugini & C. Bellettini (Eds.), Information Security Policies and Actions in Modern
Integrated Systems (Vol. 1, pp. 64-97). Hershey, London, Melbourne, Singapore: Idea Group
Publishing.
Berinato, S. (2007). The Global State of Information Security 2007. Recuperado em 21 de Maio,
2008, em
www.pwc.com/extweb/pwcpublications.nsf/docid/114E0DE67DE6965385257341005AED7
B/$FILE/PwC_GISS2007.pdf.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 276
Empresas Portuguesas
Bibliografia
Bernard, R. (2007). Information Lifecycle Security Risk Assessment: A tool for closing security
gaps. Computers & Security, 26(1), 26-30. Recuperado em 26 de Junho, 2008, da b-on
database.
Bertoni, G., Guajardo, J., & Paar, C. (2004). Architectures for Advanced Cryptographic Systems.
In M. Fugini & C. Bellettini (Eds.), Information Security Policies and Actions in Modern
Integrated Systems (Vol. 1, pp. 1-63). Hershey, London, Melbourne, Singapore: Idea Group
Publishing.
Birch, D. G., & McEvoy, N. A. (1992). Risk Analysis for Information Systems. Journal of
Information Technology (Routledge, Ltd.), 7(1), 44-53. Recuperado em 3 de Maio, 2008, da
Academic Search Premier database.
Bodin, L. D., Gordon, L. A., & Loeb, M. P. (2005). Evaluating Information Security Investments
Using the Analytic Hierarchy Process. Communications of the ACM, 48(2), 79-83.
Recuperado em 12 de Junho, 2007, da Business Search Premier database.
Blakley, B., McDermott, E., & Geer, D. (2001). Information Security is Information Risk
Management. Paper presented at the Proceedings of the 2001 Workshop on New Security
Paradigms, Cloudcroft, New Mexico. Recuperado em 2 de Junho, 2007, da ACM Digital
Library database.
Blanding, S. F. (2007). Secured Connections to External Networks. In H. F. Tipton & M. Krause
(Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 1811-25). Boca Raton: Auerbach
Publications.
Bouthillier, F. (2002). Access to Information for Small Business Managers: Examination of some
Strategies and Values. The Canadian Journal of Information and Library Science, 27(3), 5-
23. Recuperado em 2 de Junho, 2007, da b-on database.
Bowen, P., Hash, J., & Wilson, M. (2006). Information Security Handbook: A Guide for Managers
(NIST Special Publication 800-100). U.S. Department of Commerce: National Institute of
Standards and Technology. Recuperado em 13 de Junho, 2007, em
http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf.
Braithwaite, T. (2002). Securing E-Business Systems - A Guide for Managers and Executives. New
York: John Wiley & Sons, Inc.
Brealey, R. A., & Myers, S. C. (1991). Principles of Corporate Finance (4ª ed.). New York:
McGraw-Hill.
Bresz, F. P. (2004). People-Often the Weakest Link in Security, But One of the Best Places to Start.
Journal of Health Care Compliance, 6(4), 57-60. Recuperado em 23 de Junho, 2008, da
Business Search Premier database.
Broucek, V., & Turner, P. (2003). A Forensic Computing Perspective on the Need for Information
Systems Security Management. In R. Azari (Ed.), Current Security Management & Ethical
Issues of Information Technology (Vol. 1, pp. 42-9). Hershey, London, Melbourne,
Singapore, Beijing: IRM Press.
Burgess, S. (2002). Information Technology in Small Business: Issues and Challenges. Recuperado
em 10 de Abril, 2006, em https://igi-pub.com/downloads/excerpts/1930708351BookEx.pdf.
Busta, B., Portz, K., Strong, J., & Lewis, R. (2006). Expert Consensus on the Top IT Controls for a
Small Business. Information Systems Control Journal. Recuperado em 30 de Julho, 2007,
em
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/Conte
ntDisplay.cfm&ContentID=38217.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 277
Empresas Portuguesas
Bibliografia
Caldeira, M. M., & Ward, J. M. (2002). Understanding the Successful Adoption and Use of IS/IT
in SMEs: an Explanation from Portuguese Manufacturing Industries. Information Systems
Journal, 12(2), 121-152. Recuperado em 16 de Maio, 2007, da Business Search Premier
database.
Cappelli, D. M., Desai, A. G., Moore, A. P., Shimeall, T. J., Weaver, E. A., & Willke, B. J. (2007).
Management and Education of the Risk of Insider Threat (MERIT): Mitigating the Risk of
Sabotage to Employers’ Information, Systems, or Networks (Technical Note: CMU/SEI-
2006-TN-041). Pittsburgh: Carnegie Mellon University, Software Engineering Institute,
CERT Program. Recuperado em 11 de Maio, 2007, em
http://www.sei.cmu.edu/pub/documents/06.reports/pdf/06tn041.pdf.
Cappelli, D. M., Moore, A. P., Shimeall, T. J., & Trzeciak, R. F. (2006). Common Sense Guide to
Prevention and Detection of Insider Threats (Version 2.1 - 2nd Edition). Carnegie Mellon
University, CyLab. Recuperado em 17 de Maio, 2008, em
www.cert.org/archive/pdf/CommonSenseInsiderThreatsV2.1-1-070118.pdf.
Caralli, R. A. (2004a). Managing for Enterprise Security (Technical Note: CMU/SEI-2004-TN-
046). Pittsburgh, PA: Carnegie Mellon University, Software Engineering Institute,
Networked Systems Survivability Program. Recuperado em 8 de Maio, 2007, em
http://www.sei.cmu.edu/pub/documents/04.reports/pdf/04tn046.pdf.
Caralli, R. A. (2004b). The Critical Success Factor Method: Establishing a Foundation for
Enterprise Security Management (Technical Report: CMU/SEI-2004-TR-010; ESC-TR-
2004-010) (1). Pittsburgh, PA: Carnegie Mellon University, Software Engineering Institute,
Networked Systems Survivability Program. Recuperado em 11 de Maio, 2007, em
http://www.sei.cmu.edu/pub/documents/04.reports/pdf/04tr010.pdf.
Caralli, R. A. & Wilson, W. R. (2004). The Challenges of Security Management. Pittsburgh, PA:
Carnegie Mellon University, Software Engineering Institute, Networked Systems
Survivability Program. Recuperado em 31 de Agosto, 2006, em
http://www.cert.org/archive/pdf/ESMchallenges.pdf.
Carneiro, A. (2002). Introdução à Segurança dos Sistemas de Informação. Lisboa: FCA - Editora
de Informática.
Casa dos Bits. (2009). Engenharia social no topo das ameaças para 2010. Recuperado em 16 de
Dezembro, 2009, em
http://tek.sapo.pt/noticias/internet/engenharia_social_no_topo_das_ameacas_para_20_10355
57.html.
Cavusoglu, H., Mishra, B., & Raghunathan, S. (2005). The Value of Intrusion Detection Systems in
Information Technology Security Architecture. Information Systems Research, 16(1), 28-46.
Recuperado em 3 de Maio, 2008, da Business Search Premier database.
Chang, S. E., & Ho, C. B. (2006). Organizational Factors to the Effectiveness of Implementing
Information Security Management. Industrial Management & Data System, 106(3), 345-361.
Recuperado em 13 de Março, 2009, da Business Search Premier database.
Chapin, D. A., & Akridge. (2005). How Can Security Be Measured? Information Systems Control
Journal, 2. Recuperado em 30 de Julho, 2007, em
http://www.isaca.org/Template.cfm?Section=Archives&Template=/ContentManagement/Co
ntentDisplay.cfm&ContentID=24173.
Chew, E., Clay, A., Hash, J., Bartol, N., & Brown, A. (2006). Guide for Developing Performance
Metrics for Information Security (Special Publication 800-80, Initial Public Draft). U.S.
Department of Commerce: National Institute of Standards and Technology. Recuperado em
13 de Junho, 2007, em http://csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 278
Empresas Portuguesas
Bibliografia
Chew, E., Swanson, M., Stine, K., Bartol, N., Brown, A., & Robinson, W. (2008). Performance
Measurement Guide for Information Security (NIST Special Publication 800-55 Revision 1).
U.S. Department of Commerce: National Institute of Standards and Technology. Recuperado
em 25 de Novembro, 2008, em http://csrc.nist.gov/publications/nistpubs/800-55-
Rev1/SP800-55-rev1.pdf.
Choi, N., Kim, D., Goo, J., & Whitmore, A. (2008). Knowing is Doing - An Empirical Validation
of the Relationship Between Managerial Information Security Awareness and Action.
Information Management & Computer Security, 16(5), 484-501. Recuperado em 13 de
Março, 2009, da Business Search Premier database.
Chun, S. W. (2007). Change That Attitude: The ABCs of a Persuasive Security Awareness. In H. F.
Tipton & M. Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 521-30).
Boca Raton: Auerbach Publications.
Churchill Jr., G. A. (1979). A Paradigm for Developing Better Measures of Marketing Constructs.
Journal of Marketing Research (JMR), 16(1), 64-73. Recuperado em 13 de Março, 2009, da
Business Source Premier database.
Círculo de Leitores. (1985). Moderno Dicionário da Língua Portuguesa (Vol. 2): Author.
Clark, I. (2007). An Introduction to Role-Based Access Control. In H. F. Tipton & M. Krause
(Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 751-63). Boca Raton: Auerbach
Publications.
Clear, F., & Lee-Kelley. (2005). Risks to Data Security for Small Firms Raised by Telework. Paper
presented at the IACIS Pacific 2005. Recuperado em 11 de Abril, 2006, em
http://www.umcs.lublin.pl/d/iacis/3c/1-t5460.pdf.
Comissão das Comunidades Europeias. (1987). Recomendação n.º 87/598/CEE de 8 de Dezembro.
Comissão das Comunidades Europeias. (1992). Recomendação n.º 92/295/CEE de 7 de Abril.
Comissão das Comunidades Europeias. (1997). Recomendação n.º 97/489/CE de 30 de Julho.
Comissão das Comunidades Europeias. (2001). Comunicação COM(2000) 890 final de 26 de
Janeiro.
Comissão das Comunidades Europeias. (2003). Recomendação n.º 2003/361/CE de 6 de Maio.
Jornal Oficial da União Europeia, n.º L 124, 36-41.
Comissão das Comunidades Europeias. (2004). Comunicação COM(2004) 28 final de 22 de
Janeiro.
Comissão das Comunidades Europeias. (2007). Comunicação COM(2007) 361 final, 2007/0143
(COD), de 10 de Julho.
Commission of the European Communities. (1991). Information Technology Security Evaluation
Criteria (ITSEC), Version 1.2 (Document COM(90) 314). Recuperado em 25 de Novembro,
2008, em http://www.ssi.gouv.fr/site_documents/ITSEC/ITSEC-uk.pdf.
Committee of Sponsoring Organizations of the Treadway Commission. (2007). Enterprise Risk
Management Framework. Recuperado em 27 de Maio, 2008, em
www.erm.coso.org/Coso/coserm.nsf/vwWebResources/PDF_Manuscript/$file/COSO_Manu
script.pdf.
Comunidades Europeias. (2006). A nova definição de PME: Guia do utilizador e modelo de
declaração. Recuperado em 12 de Janeiro, 2009, em
http://ec.europa.eu/enterprise/enterprise_policy/sme_definition/sme_user_guide_pt.pdf.
Conger, S., & Loch, K. D. (2001). Invitation to a Public Debate on Ethical Computer Use. ACM
SIGMIS Database, 32(1), 58-69. Recuperado em 16 de Maio, 2008, da The ACM Digital
Library database.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 279
Empresas Portuguesas
Bibliografia
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 280
Empresas Portuguesas
Bibliografia
Dhillon, G., & Backhouse, J. (2000). Information System Security Management in the New
Millennium. Communications of the ACM, 43(7), 125-128. Recuperado em 3 de Julho, 2008,
da Business Search Premier database.
Dhillon, G., & Backhouse, J. (2001). Current Directions in IS Security Research: Towards Socio-
Organizational Perspectives. Information Systems Journal, 11(2), 127-143. Recuperado em
10 de Abril, 2008, da Business Search Premier database.
Dhillon, G., & Moores, S. (2001). Computer Crimes: Theorizing About the Enemy Within.
Computers & Security, 20(8), 715-723. Recuperado em 26 de Junho, 2008, da b-on database.
Dhillon, G., Tejay, G., & Hong, W. (2007). Identifying Governance Dimensions to Evaluate
Information Systems Security in Organizations. Paper presented at the 40th Annual Hawaii
International Conference on System Sciences (HICSS'07). Recuperado em 5 de Agosto,
2008, em http://www2.computer.org/portal/web/csdl/doi/10.1109/HICSS.2007.257.
Dhillon, G., & Torkzadeh, G. (2006). Value-focused Assessment of Information System Security in
Organizations. Information Systems Journal, 16(3), 293-314. Recuperado em 18 de
Fevereiro, 2008, da Business Search Premier database.
Diário de Notícias (2006, Março). 1500 PMEs 2006.
Doherty, N. F., & Fulford, H. (2006). Aligning the Information Security Policy with the Strategic
Information Systems Plan. Computers & Security, 25(1), 55-63. Recuperado em 26 de Junho,
2008, da b-on database.
Dodds, R., & Hague, I. (2004). Information Security - More Than an IT Issue? Chartered
Accountants Journal, 83(11), 56-57. Recuperado em 30 de Abril, 2007, da Business Search
Premier database.
Doughty, K. (2003). Implementing Enterprise Security. Computers & Security, 22(2), 99-114.
Recuperado em 26 de Junho, 2008, da b-on database.
Drew, S. (2005). Reducing Enterprise Risk with Effective Threat Management. Information
Systems Security, 13(6), 37-42. Recuperado em 30 de Abril, 2007, da Academic Search
Premier database.
Drugescu, C., & Etges, R. (2006). Maximizing the Return on Investment on Information Security
Programs: Program Governance and Metrics. Information Systems Security, 15(6), 30-40.
Recuperado em 30 de Abril, 2008, da Academic Search Premier database.
Dutta, S., & Evrard, P. (1999). Information Technology and Organisation within European Small
Enterprises. European Management Journal, 17(3), 239-251. Recuperado em 2 de Junho,
2007, da b-on database.
Dutta, A., & McCrohan, K. (2002). Management's Role in Information Security in a Cyber
Economy. California Management Review, 45(1), 67-87. Recuperado em 11 de Junho, 2007,
da Business Search Premier database.
Egan, M. (2005). Information Security and the Human Factor. Information Systems Control
Journal, 3. Recuperado em 20 de Julho, 2008, em
http://www.isaca.org/Template.cfm?Section=Archives&Template=/ContentManagement/Co
ntentDisplay.cfm&ContentID=25110.
Egelman, S., King, J., Miller, R. C., Ragouzis, N., & Shehan, E. (2007). Security User Studies:
Methodologies and Best Practices. Paper presented at the Conference on Human Factors in
Computing Systems: CHI '07 extended abstracts on Human factors in computing systems,
San Jose, California, USA. Recuperado em 25 de Fevereiro, 2008, da The ACM Digital
Library database.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 281
Empresas Portuguesas
Bibliografia
Eloff, M., & von Solms, S. (2000). Information Security Management: A Hierarchical Framework
for Various Approaches. Computers & Security, 19(3), 243-256. Recuperado em 26 de
Junho, 2008, da b-on database.
Endorf, C. F. (2007). Measuring ROI on Security. In H. F. Tipton & M. Krause (Eds.), Information
Security Handbook (6ª ed., Vol. 1, pp. 133-7). Boca Raton: Auerbach Publications.
Enterprise Research and Development Unit. (2004). Data Protection and Small and Medium
Enterprises. Lincoln: University of Lincoln, Recuperado em 10 de Abril, 2006, em
http://www.ico.gov.uk/upload/documents/library/corporate/research_and_reports/dataprotect
ioninsmes.pdf.
Erkonen, S. (2008). ISO Standards Draft Content. In H. F. Tipton & M. Krause (Eds.), Information
Security Handbook (6ª ed., Vol. 2, pp. 245-52). Boca Raton: Auerbach Publications.
Ernst & Young (2007). 10th Annual Global Information Security Survey. Recuperado em 21 de
Maio, 2008, em
www.ey.com/Global/assets.nsf/International/EY_TSRS_GISS2007/$file/EY_TSRS_GISS20
07.pdf.
Eyre, P., & Smallman, C. (1998). Euromanagement Competences in Small and Medium-Sized
Enterprises: A Development Path for the New Millennium. Management Decision, 36(1),
34-42. Recuperado em 15 de Maio, 2007, da b-on database.
Fariborz, F., & Shamkabt, B. N. (2005). A Management Perspective on Risk of Security Threats to
Information Systems. Information Technology and Management(6), 203-225. Recuperado
em 2 de Junho, 2007, da Academic Search Premier database.
Federal Information Security Management Act, 44 USC § 101 (2002).
Federal Trade Commission. (2002). 16 CFR Part 314 Standards for Safeguarding Customer
Information; Final Rule, May 23. Federal Register, vol. 67, n.º 100, 36484-36494.
Fenton, J. H., & Wolfe, J. M. (2007). Organizing for Success: Some Human Resources Issues in
Information Security. In H. F. Tipton & M. Krause (Eds.), Information Security Handbook
(6ª ed., Vol. 1, pp. 451-64). Boca Raton: Auerbach Publications.
Fink, D., Huegle, T., & Dortschy, M. (2006). A Model of Information Security Governance for E-
Business. In M. Warkentin & R. B. Vaughn (Eds.), Enterprise information Systems
Assurance and System Security: Managerial and Techical Issues (pp. 1-15). Hershey,
London, Melbourne, Singapore: Idea Group Publishing.
Finne, T. (2000). Information Systems Risk Management: Key Concepts and Business Processes.
Computers & Security, 19(3), 234-242. Recuperado em 26 de Junho, 2008, da b-on database.
Fitzgerald, T. (2007). Information Security Governance. In H. F. Tipton & M. Krause (Eds.),
Information Security Handbook (6ª ed., Vol. 1, pp. 15-34). Boca Raton: Auerbach
Publications.
Fitzgerald, T. (2008). Compliance Assurance: Taming the Beast. In H. F. Tipton & M. Krause
(Eds.), Information Security Handbook (6ª ed., Vol. 2, pp. 377-88). Boca Raton: Auerbach
Publications.
Fleming, S. T. (2003). Biometrics: Past, Present and Future. In R. Azari (Ed.), Current Security
Management & Ethical Issues of Information Technology (Vol. 1, pp. 111-32). Hershey,
London, Melbourne, Singapore, Beijing: IRM Press.
Flowerday, S., & von Solms, R. (2005). Real-time Information Integrity = System Integrity + Data
Integrity + Continuous Assurances. Computers & Security, 24(8), 604-613. Recuperado em
26 de Junho, 2008, da b-on database.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 282
Empresas Portuguesas
Bibliografia
Forrester Research. (2004). IT Security In European Small And Midsize Enterprises. Recuperado
em 10 de Abril, 2006, em http://www.ese-security.com/PDF/eSe_Security_-
_Final_Report.pdf.
Fourie, L. C. H. (2003). The Management of Information Security - A South African Case Study.
South African Journal of Business Management, 34(2), 19-29. Recuperado em 11 de Junho,
2007, da Business Search Premier database.
Freeman, E. H. (2007a). Holistic Information Security: ISO 27001 and Due Care. Information
Systems Security, 16(5), 291-294. Recuperado em 30 de Abril, 2008, da Academic Search
Premier database.
Freeman, E. H. (2007b). Regulatory Compliance and the Chief Compliance Officer. Information
Systems Security, 16(6), 357-361. Recuperado em 30 de Abril, 2008, da Academic Search
Premier database.
Freire, M. M. (2007). Interoperability Among Intrusion Detection Systems. In D. Khadraoui & F.
Herrmann (Eds.), Advances in Enterprise Information Technology Security (Vol. 1, pp. 92-
102). Hershey, New York: Information Science Reference.
Fried, S. D. (2007). Enhancing Security through Biometric Technology. In H. F. Tipton & M.
Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 869-86). Boca Raton:
Auerbach Publications.
Fulford, H., & Doherty, N. F. (2003). The Application of Information Security Policies in Large
UK-based Organizations: an Exploratory Investigation. Information Management &
Computer Security, 11(3), 106-114. Recuperado em 2 de Junho, 2007, da b-on database.
Furnell, S., Bryant, P., & Phippen, A. (2007). Assessing the Security Perceptions of Personal
Internet Users. Computers & Security, 26(5), 410-417. Recuperado em 26 de Junho, 2008, da
b-on database.
Gattiker, U. E., & Kelley, H. (1999). Morality and Computers: Attitudes and Differences in Moral
Judgments. Information Systems Research, 10(3), 233-244. Recuperado em 3 de Maio, 2008,
da Business Search Premier database.
General Accounting Office. (2004). Information Technology Investment Management - A
Framework for Assessing and Improving Process Maturity (GAO-04-394G). Recuperado em
26 de Novembro, 2008, em http://www.gao.gov/new.items/d04394g.pdf.
Gerber, M., & von Solms, R. (2001). From Risk Analysis to Security Requirements. Computers &
Security, 20(7), 577-584. Recuperado em 26 de Junho, 2008, da b-on database.
Gerber, M., & von Solms, R. (2005). Management of Risk in the Information Age. Computers &
Security, 24(1), 16-30. Recuperado em 26 de Junho, 2008, da b-on database.
Gercek, G., & Saleem, N. (2005). Securing Small Business Computer Networks: An Examination
of Primary Security Threats and Their Solutions. Information Systems Security, 14(3), 18-28.
Recuperado em 30 de Abril, 2007, da Academic Search Premier database.
Giunta, A., & Trivieri, F. (2007). Understanding the Determinants of Information Technology
Adoption: Evidence from Italian Manufacturing Firms. Applied Economics, 39(10), 1325-
1334. Recuperado em 30 de Julho, 2007, da Business Search Premier database.
Golod, A. (2007). PKI Registration. In H. F. Tipton & M. Krause (Eds.), Information Security
Handbook (6ª ed., Vol. 1, pp. 1183-95). Boca Raton: Auerbach Publications.
Gordon, L. A., & Loeb, M. P. (2001). Using Information Security as a Response to Competitor
Analysis Systems. Communications of the ACM, 44(9), 70-75. Recuperado em 16 de Maio,
2008, da Business Search Premier database.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 283
Empresas Portuguesas
Bibliografia
Gordon, L. A., & Loeb, M. P. (2002a). Return On Information Security Investments: Myths vs
Realities. Strategic Finance, 84(5), 26-31. Recuperado em 16 de Abril, 2008, da Business
Search Premier database.
Gordon, L. A., & Loeb, M. P. (2002b). The Economics of Information Security Investment. ACM
Transactions on Information and System Security (TISSEC), 5(4), 438-457. Recuperado em
25 de Fevereiro, 2008, da The ACM Digital Library.
Gordon, L. A., & Loeb, M. P. (2006). Budgeting Process for Information Security Expenditures.
Communications of the ACM, 49(1), 121-125. Recuperado em 12 de Junho, 2008, da
Business Search Premier database.
Gordon, L. A., Loeb, M. P., & Lucyshyn, W. (2003). Information Security Expenditures and Real
Options: A Wait and See Approach. Computer Security Journal, 19(2), 1-7. Recuperado em
18 de Novembro, 2008, em
http://www.cpppe.umd.edu/Bookstore/Documents/ISExpenditures_11.2.03.pdf.
Grabow, G. C. (2007). Preserving Public Key Hierarchy. In H. F. Tipton & M. Krause (Eds.),
Information Security Handbook (6ª ed., Vol. 1, pp. 1175-81). Boca Raton: Auerbach
Publications.
Gramm-Leach-Bliley Act, 12 USC § 1811 (1999).
Grance, T., Stevens, M., & Myers, M. (2003). Guide to Selecting Information Technology Security
Products (NIST Special Publication 800-36). U.S. Department of Commerce: National
Institute of Standards and Technology. Recuperado em 25 de Novembro, 2008, em
http://csrc.nist.gov/publications/nistpubs/800-36/NIST-SP800-36.pdf.
Greitzer, F. L., Moore, A. P., Cappelli, D. M., Andrews, D. H., Carroll, L. A., & Hull, T. D. (2008).
Combating the Insider Cyber Threat. IEEE Security & Privacy, 61-64. Recuperado em 1 de
Janeiro, 2009, em www.cert.org/archive/pdf/combatthreat0408.pdf.
Gremba, J., & Myers, C. (1997). The IDEAL(SM) Model: A Practical Guide for Improvement.
Pittsburgh, PA: Carnegie Mellon University, Software Engineering Institute. Recuperado em
28 de Julho, 2008, em http://www.sei.cmu.edu/ideal/ideal.bridge.html.
Grembergen, W. V., Haes, S. D., & Guldentops, E. (2004). Structures, Processes and Relational
Mechanisms for IT Governance. In W. V. Grembergen (Ed.), Strategies for Information
Technology Governance. Hershey, London, Melbourne, Singapore: Idea Group Publishing.
Gupta, A., & Hammond, R. (2005). Information Systems Security Issues and Decisions for Small
Businesses - An Empirical Examination. Information Management & Computer Security,
13(4), 297-310. Recuperado em 13 de Março, 2009, da Business Search Premier database.
Halvorson, N. (2008). Information Risk Management: A Process Approach to Risk Diagnosis and
Treatment. In H. F. Tipton & M. Krause (Eds.), Information Security Handbook (6ª ed., Vol.
2, pp. 71-81). Boca Raton: Auerbach Publications.
Hansche, S. D. (2007). Making Security Awareness Happen. In H. F. Tipton & M. Krause (Eds.),
Information Security Handbook (6ª ed., Vol. 1, pp. 541-53). Boca Raton: Auerbach
Publications.
Hare, C. (2007). It Is All About Control. In H. F. Tipton & M. Krause (Eds.), Information Security
Handbook (6ª ed., Vol. 1, pp. 165-77). Boca Raton: Auerbach Publications.
Harrington, S. J. (1996). The Effect of Codes of Ethics and Personal Denial of Responsibility on
Computer Abuse Judgments and Intentions. MIS Quarterly, 20(3), 257-278. Recuperado em
2 de Maio, 2008, da Business Search Premier database.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 284
Empresas Portuguesas
Bibliografia
Hash, J., Bartol, N., Rollins, H., Robinson, W., Abeles, J., & Batdorff, S. (2005). Integrating IT
Security into the Capital Planning and Investment Control Process (NIST Special
Publication 800-65). U.S. Department of Commerce: National Institute of Standards and
Technology. Recuperado em 25 de Novembro, 2008, em
http://csrc.nist.gov/publications/nistpubs/800-65/SP-800-65-Final.pdf.
Health Insurance Portability and Accountability Act, 42 U.S.C. § 1301 (1996).
Heemstra, F. J., & Kusters, R. J. (1996). Dealing With Risk: a Practical Approach. Journal of
Information Technology (Routledge, Ltd.), 11(4), 333-346. Recuperado em 3 de Maio, 2008,
da Academic Search Premier database.
Henning, R. R. (2006). Security Engineering: It Is All About Control and Assurance Objectives. In
M. Warkentin & R. B. Vaughn (Eds.), Enterprise Information Systems Assurance and
System Security: Managerial and Technical Issues (pp. 168-81). Hershey; London;
Melbourne; Singapore: Idea Group Publishing.
Henry, K. (2007a). Risk Management and Analysis. In H. F. Tipton & M. Krause (Eds.),
Information Security Handbook (6ª ed., Vol. 1, pp. 321-9). Boca Raton: Auerbach
Publications.
Henry, K. (2007b). The Human Side of Information Security. In H. F. Tipton & M. Krause (Eds.),
Information Security Handbook (6ª ed., Vol. 1, pp. 139-54). Boca Raton: Auerbach
Publications.
Henry, P. A. (2007). An Examination of Firewall Architectures. In H. F. Tipton & M. Krause
(Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 1941-95). Boca Raton: Auerbach
Publications.
Herold, R. (2007). Training Your Employees to Identify Potencial Fraud and How to Encourage
Them to Come Forward. In H. F. Tipton & M. Krause (Eds.), Information Security
Handbook (6ª ed., Vol. 1, pp. 499-519). Boca Raton: Auerbach Publications.
Herndon, M. A., Moore, R., Phillips, M., Walker, J., & West, L. (2003). Interpreting Capability
Maturity Model Integration (CMMI) for Service Organizations – a Systems Engineering and
Integration Services Example (CMU/SEI-2003-TN-005). Pittsburgh, PA: Carnegie Mellon
University, Software Engineering Institute, Software Engineering Process Management.
Recuperado em 30 de Outubro, 2008, em
http://www.sei.cmu.edu/pub/documents/03.reports/pdf/03tn005.pdf.
Herrmann, D. S. (2007). The Common Criteria for IT Security Evaluation. In H. F. Tipton & M.
Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 1487-500). Boca Raton:
Auerbach Publications.
Herrmann, F., & Khadraoui, D. (2007). Security Risk Management Methodologies. In F. Herrmann
& D. Khadraoui (Eds.), Advances in Enterprise Information Technology Security (pp. 261-
73). Hershey, New York: Information Science Reference.
Hill, M. M., & Hill, A. (2005). Investigação por Questionário (2ª ed.). Lisboa: Edições Sílabo.
Hinde, S. (2003). Careless About Privacy. Computers & Security, 22(4), 284-288. Recuperado em
26 de Junho, 2008, da b-on database.
Hootman, J. T. (2007). A Guide to Evaluating Tokens. In H. F. Tipton & M. Krause (Eds.),
Information Security Handbook (6ª ed., Vol. 1, pp. 775-84). Boca Raton: Auerbach
Publications.
Hollis, K. M., & Hollis, D. M. (2006). Identity Management: A Comprehensive Approach to
Ensuring a Secure NetworkInfrastructure. In M. Warkentin & R. B. Vaughn (Eds.),
Enterprise Information Systems Assurance and System Security: Managerial and Technical
Issues (Vol. 1, pp. 372-83). Hershey; London; Melbourne; Singapore: Idea Group Publishing.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 285
Empresas Portuguesas
Bibliografia
Höne, K., & Eloff, J. (2002). Information Security Policy – What do International Information
Security Standards Say? Computers & Security, 21(5), 402-409. Recuperado em 26 de Junho,
2008, da b-on database.
Hong, K.-S., Chi, Y.-P., Chao, L. R., & Tang, J.-H. (2003). An Integrated System Theory of
Information Security Management. Information Management & Computer Security, 11(5),
243-248. Recuperado em 2 de Junho, 2007, da b-on database.
Howard, P. D. (2007). The Security Policy Life Cycle: Functions and Responsibilities. In H. F.
Tipton & M. Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 377-87).
Boca Raton: Auerbach Publications.
Ikbal, J. (2007). An Introduction to Cryptography. In H. F. Tipton & M. Krause (Eds.), Information
Security Handbook (6ª ed., Vol. 1, pp. 1121-39). Boca Raton: Auerbach Publications.
Information Security Forum. (2007). The Standard of Good Practice for Information Security.
Recuperado em 27 de Maio, 2008, em
https://www.isfsecuritystandard.com/SOGP07/index.htm.
Information Systems Audit and Control Association (2007). CISM Review Manual 2008. Rolling
Meadows: Author.
Information Systems Security Association. (2003). Generally Accepted Information Security
Principles (GAISP). Recuperado em 3 de Julho, 2008, em
http://all.net/books/standards/GAISP-v30.pdf.
Instituto Nacional de Estatística. (2003). Classificação Portuguesa das Actividades Económicas
(CAE-Rev.2.1). Recuperado em 6 de Janeiro, 2009, em
http://metaweb.ine.pt/sine/anexos/pdf/CAE-REV.2.1NOTAINTRODUTORIA-V00001.pdf.
Instituto Nacional de Estatística. (2007). Classificação Portuguesa das Actividades Económicas
(CAE-Rev.3). Recuperado em 6 de Janeiro, 2009, em
http://metaweb.ine.pt/sine/anexos/pdf/ApresentacaoCAERev3.pdf.
Instituto Nacional de Estatística. (2009a). A Sociedade da Informação em Portugal 2008.
Recuperado em 5 de Junho, 2009, em
http://www.ine.pt/xportal/xmain?xpid=INE&xpgid=ine_publicacoes&PUBLICACOESpub_
boui=70345549&PUBLICACOESmodo=2.
Instituto Nacional de Estatística. (2009b). Empresas em Portugal 2007. Lisboa: Instituto Nacional
de Estatística.
Instituto Nacional de Estatística. (2009c). IUTICE - Inquérito à Utilização de Tecnologias da
Informação e da Comunicação nas Empresas 2009 - Documento Metodológico. Recuperado
em 2 de Junho, 2009, em
http://metaweb.ine.pt/SIM/OPERACOES/DOCMET_PDF/DOCMET_PDF_270_2_0.pdf.
International Chamber of Commerce. (2004). Information Security Issues and Resources for Small
and Entrepreneurial Companies. Recuperado em 28 de Fevereiro, 2007, em
http://www.intgovforum.org/Substantive_1st_IGF/securing_your_business.pdf.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 286
Empresas Portuguesas
Bibliografia
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 287
Empresas Portuguesas
Bibliografia
Karabacak, B., & Sogukpinar, I. (2006). A Quantitative Method for ISO 17799 Gap Analysis.
Computers & Security, 25(6), 413-419. Recuperado em 26 de Junho, 2008, da b-on database.
Karyda, M., Kiountouzis, E., & Kokolakis, S. (2005). Information Systems Security Policies: a
Contextual Perspective. Computers & Security, 24(3), 246-260. Recuperado em 26 de Junho,
2008, da b-on database.
Kasunic, M., McCurley, J., & Zubrow, D. (2008). Can You Trust Your Data? Establishing the
Need for a Measurement and Analysis Infrastructure Diagnostic (Technical Note CMU/SEI-
2008-TN-028) (1): Carnegie Mellon University, Software Engineering Institute, Software
Engineering Process Management Program. Recuperado em 10 de Dezembro, 2008, em
http://www.sei.cmu.edu/pub/documents/08.reports/08tn028.pdf.
Keller, S., Powell, A., Horstmann, B., Predmore, C., & Crawford, M. (2005). Information Security
Threats and Practices in Small Businesses. Information Systems Management, 22(2), 7-19.
Recuperado em 12 de Junho, 2007, da Business Search Premier database.
Kesh, S., & Ratnasingam, P. (2007). A Knowledge Architecture for IT Security. Communications
of the ACM, 50(7), 103-108. Recuperado em 30 de Julho, 2007, da Business Search Premier
database.
Khazanchi, D. (1995). Unethical Behavior in Information Systems: The Gender Factor. Journal of
Business Ethics, 14(9), 741-749. Recuperado em 7 de Maio, 2007, da Business Search
Premier database.
Khelafa, H. (2007). Prevention and Handlind of Malicious Code. In D. Khadraoui & F. Herrmann
(Eds.), Advances in Enterprise Information Technology Security (Vol. 1, pp. 239-59).
Hershey, New York: Information Science Reference.
Kleinfeld, A. (2006). Measuring Security. Information Systems Security, 15(5), 7-12. Recuperado
em 30 de Abril, 2008, da Academic Search Premier database.
Knapp, K. J., & Marshall, T. E. (2007). Top Management Support Essential for Effective
Information Security. In H. F. Tipton & M. Krause (Eds.), Information Security Handbook
(6ª ed., Vol. 1, pp. 51-8). Boca Raton: Auerbach Publications.
Knapp, K. J., Marshall, T. E., Rainer, R. K., & Ford, F. N. (2005). Managerial Dimensions in
Information Security: A Theoretical Model of Organizational Effectiveness. Recuperado em
1 de Janeiro, 2009, em https://www.isc2.org/download/auburn_study2005.pdf.
Knapp, K. J., Marshall, T. E., Rainer, R. K., & Ford, F. N. (2007). Information Security
Effectiveness: Conceptualization and Validation of a Theory. International Journal of
Information Security and Privacy, 1(2), 37-60. Recuperado em 20 de Janeiro, 2009, da b-on
database.
Knol, W. H. C., & Stroeken, J. H. M. (2001). The Diffusion and Adoption of Information
Technology in Small- and Medium-sized Enterprises through IT Scenarios. Technology
Analysis & Strategic Management, 13(2), 227-246. Recuperado em 26 de Maio, 2007, da
Academic Search Premier database.
Kordel, L. (2004). IT Governance Hands-on: Using COBIT to Implement IT Governance.
Information Systems Control Journal, 2. Recuperado em 13 de Março, 2007, em
http://www.isaca.org/Template.cfm?Section=Archives&Template=/ContentManagement/Co
ntentDisplay.cfm&ContentID=18438.
Koshutanski, H., & Massacci, F. (2007). Interactive Access Control and Trust Negotiation for
Autonomic Communication. In D. Khadraoui & F. Herrmann (Eds.), Advances in Enterprise
Information Technology Security (Vol. 1, pp. 120-48). Hershey, New York: Information
Science Reference.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 288
Empresas Portuguesas
Bibliografia
Kotulic, A. G., & Clark, J. G. (2004). Why There Aren’t More Information Security Research
Studies. Information & Management, 41(5), 597-607. Recuperado em 2 de Junho, 2007, da
Business Search Premier database.
Krehnke, D. C. (2007). Corporate Governance. In H. F. Tipton & M. Krause (Eds.), Information
Security Handbook (6ª ed., Vol. 1, pp. 35-44). Boca Raton: Auerbach Publications.
Krehnke, M. E., & Krehnke, D. C. (2007). Sensitive or Critical Data Access Controls. In H. F.
Tipton & M. Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 739-50).
Boca Raton: Auerbach Publications.
Laliberte, S. (2004). Risk Assessment for IT Security. Bank Accounting & Finance (08943958),
17(5), 38-42. Recuperado em 18 de Maio, 2007, da Business Search Premier database.
Landoll, D. J. (2006). The Security Risks Assessment Handbook: A Complete Guide for Performing
Risk Assessments. Boca Raton: Auerbach Publications.
Landwehr, C. E. (2001). Computer Security. International Journal of Information Security, 1(1), 3-
13. Recuperado em 12 de Junho, 2007, da Academic Search Premier database.
Laudon, K. C. (1995). Ethical Concepts and Information Technology. Communications of the ACM,
38(12), 33-39. Recuperado em 7 de Maio, 2007, da Business Search Premier database.
Laudon, K. C., & Laudon, J. P. (2006). Management Information Systems: Managing the Digital
Firm (9ª ed.). New Jersey: Pearson Education, Inc.
Leach, J. (2003). Improving User Security Behaviour. Computers & Security, 22(8), 685-692.
Recuperado em 26 de Junho, 2008, da b-on database.
Lee, J., & Runge, J. (2001). Adoption of Information Technology in Small Business: Testing
Drivers of Adoption for Entrepreneurs. Journal of Computer Information Systems, 42(1), 44-
57. Recuperado em 17 de Maio, 2007, da Business Search Premier database.
Lemieux, V. L. (2004). Two Approaches to Managing Information Risks. Information
Management Journal, 38(5), 56-62. Recuperado em 12 de Junho, 2007, da Academic Search
Premier database.
Leo, R. A. (2007). Single Sign-On for the Enterprise. In H. F. Tipton & M. Krause (Eds.),
Information Security Handbook (6ª ed., Vol. 1, pp. 887-907). Boca Raton: Auerbach
Publications.
Levy, M., Powell, P., & Yetton, P. (2002). The Dynamics of SME Information Systems. Small
Business Economics, 19(4), 341-354. Recuperado em 2 de Junho, 2007, da b-on database.
Lipson, H. F., & Fisher, D. A. (2000). Survivability - A New Technical and Business Perspective on
Security, Recuperado em 31 de Agosto, 2006, em
http://www.cert.org/archive/pdf/busperspec.pdf- 401.
Litwak, P. (2004). Practical Issues Your Organization May Face When Developing a Security
Management Program. Journal of Health Care Compliance, 6(4), 19-27. Recuperado em 12
de Junho, 2007, da Business Search Premier database.
Lobree, B. A. (2002). Impact of Legislation on Information Security Management. Information
Systems Security, 11(5), 41-48. Recuperado em 27 de Julho, 2007, da Academic Search
Premier database.
Loch, K. D., Carr, H. H., & Warkentin, M. E. (1992). Threats to Information Systems: Today's
Reality, Yesterday's Understanding. MIS Quarterly, 16(2), 173-186. Recuperado em 7 de
Maio, 2007, da Business Search Premier database.
Lu, H.-P., Hsu, C.-L., & Hsu, H.-Y. (2005). An Empirical Study of the Effect of Perceived Risk
upon Intention to Use Online Applications. Information Management & Computer Security,
13(2), 106-120. Recuperado em 13 de Março, 2009, da Business Search Premier database.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 289
Empresas Portuguesas
Bibliografia
Lucchetti, R., & Sterlacchini, A. (2004). The Adoption of ICT among SMEs: Evidence from an
Italian Survey. Small Business Economics, 23(2), 151-168. Recuperado em 30 de Abril, 2007,
da Business Search Premier database.
Lyytinen, K., & Mathiassen, L. (1998). Attention Shaping and Software Risk-A Categorical
Analysis of Four Classical Risk Management Approaches. Information Systems Research,
9(3), 233-255. Recuperado em 3 de Maio, 2008, da Business Search Premier database.
Ma, Q., Johnston, A. C., & Pearson, J. M. (2008). Information Security Management Objectives
and Practices: A Parsimonious Framework. Information Management & Computer Security,
16(3), 251-270. Recuperado em 13 de Março, 2009, da Business Search Premier database.
Maradan, G., Cotte, P., & Fornas, T. (2004). Smart Card Applications and Systems: Market Trend
and Impact on Other Technological Developments. In M. Fugini & C. Bellettini (Eds.),
Information Security Policies and Actions in Modern Integrated Systems (Vol. 1, pp. 98-147).
Hershey, London, Melbourne, Singapore: Idea Group Publishing.
Masood, A., Sedigh-Ali, S., & Ghafoor, A. (2006). Security Management for an E-Enterprise. In M.
Warkentin & R. B. Vaughn (Eds.), Enterprise Information Systems Assurance and System
Security: Managerial and Technical Issues (pp. 95-111). Hershey; London; Melbourne;
Singapore: Idea Group Publishing.
Matsuura, K. (2003). Information Security and Economics in Computer Networks: An
Interdisciplinary Survey and a Proposal of Integrated Optimization of Investment. University
of Tokyo, Institute of Industrial Science. Recuperado em 17 de Novembro, 2008, em
http://kmlab.iis.u-tokyo.ac.jp/old/publications/2003d/Matsuura_CEF2003.pdf.
McAdams, A. C. (2004). Security and Risk Management: A Fundamental Business Issue.
Information Management Journal, 38(4), 36-44. Recuperado em 18 de Maio, 2007, da
Academic Search Premier database.
McBride, G. G. (2007). ISO/OSI and TCP/IP Network Model Characteristics. In H. F. Tipton & M.
Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 1917-27). Boca Raton:
Auerbach Publications.
McCumber, J. (2005). Assessing and Managing Security Risk in IT Systems: A Structured
Methodology. Boca Raton; London; New York; Washington, D.C.: Auerbach.
McGhie, L. L. (2007). Identity Management: Benefits and Challenges. In H. F. Tipton & M.
Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 823-41). Boca Raton:
Auerbach Publications.
Mercuri, R. T. (2003). Analyzing Security Costs. Communications of the ACM, 46(6), 15-18.
Recuperado em 16 de Maio, 2008, da Business Search Premier database.
Milberg, S. J., Burke, S. J., Smith, H. J., & Kallman, E. A. (1995). Values, Personal Information
Privacy, and Regulatory Approaches. Communications of the ACM, 38(12), 65-74.
Recuperado em 7 de Maio, 2007, da Business Search Premier database.
Ministério da Ciência e da Tecnologia. (1999). Decreto-Lei n.º 290-D/99 de 2 de Agosto. Diário da
República, 1.ª Série, n.º 178, 4990-(2)-(10).
Ministério da Ciência e da Tecnologia. (2000). Decreto Regulamentar n.º 16/2000 de 2 de Outubro.
Diário da República, 1.ª Série, n.º 228, 5408-5410.
Ministério da Cultura. (2000). Decreto-Lei n.º 122/2000 de 4 de Julho. Diário da República, 1.ª
Série, n.º 152, 2911-2914.
Ministério da Indústria e do Comércio. (1987). Despacho Normativo n.º 52/87 de 24 de Junho.
Diário da República, 1.ª Série, n.º 142, 2403-2406.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 290
Empresas Portuguesas
Bibliografia
National Institute of Standards and Technology. (2004). Standards for Security Categorization of
Federal Information and Information Systems (FIPS PUB 1999). Author. Recuperado em 24
de Outubro, 2008, em http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf.
National Institute of Standards and Technology. (2005). Recommended Security Controls to
Protect Information Systems. I-WAYS, Digest of Electronic Commerce Policy and
Regulation, 28(2), 109-116. Recuperado em 11 de Junho, 2007, da Business Search Premier
database.
National Institute of Standards and Technology. (2006). Minimum Security Requirements for
Federal Information and Information Systems (FIPS PUB 200). Recuperado em 18 de Julho,
2008, em http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf.
Neal, R. (2006). Social Psychological Variables That Contribute to Resistance to Security
Assessment Findings. Information Systems Security, 15(1), 43-52. Recuperado em 30 de
Abril, 2007, da Academic Search Premier database.
Nelson, M. (2007). Software Engineering Institute Capability Maturity Model. In H. F. Tipton & M.
Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 2475-89). Boca Raton:
Auerbach Publications.
Ng, B. Y., & Feng, A. E. (2006). An Exploratory Study on Managerial Security Concerns in
Technology Start-ups. Paper presented at the 10th Pacific Asia Conference on Information
Systems, Kuala Lumpur, Malaysia. Recuperado em 7 de Janeiro, 2009, em http://www.pacis-
net.org/file/2006/1095.pdf.
Ng, B. Y., Kankanhalli, A., & Xu, Y. (2008). Studying Users' Computer Security Behavior: A
Health Belief Perspective. Decision Support Systems, 1-11. Recuperado em 13 de Março,
2009, da Business Source Premier database.
Nicastro, F. M. (2007). People, Processes, and Technology: A Winning Combination. In H. F.
Tipton & M. Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 389-99).
Boca Raton: Auerbach Publications.
Nichols, E. A., & Sudbury, A. (2006). Implementing Security Metrics Initiatives. Information
Systems Security, 15(5), 30-38. Recuperado em 30 de Abril, 2008, da Academic Search
Premier database.
Nieto, M., & Fernández, Z. (2006). The Role of Information Technology in Corporate Strategy of
Small and Medium Enterprises. Journal of International Entrepreneurship, 3(4), 251-262.
Recuperado em 30 de Abril, 2007, da Business Search Premier database.
Nosworthy, J. D. (2000). Implementing Information Security in the 21st Century - Do You Have
the Balancing Factors? Computers & Security, 19(4), 337-347. Recuperado em 26 de Junho,
2008, da b-on database.
Noor, I., Dillon, R. B., & Williams, R. (2001). Enterprise IT Risk Management: A Case Study.
AACE International Transactions, 6.1-6.8. Recuperado em 19 de Maio, 2007, da Business
Search Premier database.
Nyanchama, M. (2005). Enterprise Vulnerability Management and Its Role in Information Security
Management. Information Systems Security, 14(3), 29-56. Recuperado em 30 de Abril, 2007,
da Academic Search Premier database.
Organisation for Economic Co-Operation and Development. (2002). OECD Guidelines for the
Security of Information Systems and Networks: Towards a Culture of Security. Recuperado
em 4 de Julho, 2008, em
http://www.ftc.gov/bcp/conline/edcams/infosecurity/popups/OECD_guidelines.pdf.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 292
Empresas Portuguesas
Bibliografia
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 293
Empresas Portuguesas
Bibliografia
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 294
Empresas Portuguesas
Bibliografia
Purser, S. (2004a). A Practical Guide to Managing Information Security. Boston; London: Artech
House.
Purser, S. A. (2004b). Improving ROI of Security Management Process. Computers & Security,
23(7), 542-546. Recuperado em 26 de Junho, 2008, da b-on database.
Qingxiong, M., & Pearson, J. M. (2005). ISO 17799: "Best Practices" In Information Security
Management? Communications of AIS, 2005(15), 577-591. Recuperado em 27 de Junho,
2008, da Business Search Premier database.
Quinnild, J., Fusile, J., & Smith, C. (2006). Why Information Security Belongs on the CFO's
Agenda. hfm (Healthcare Financial Management), 60(2), 56-59. Recuperado em 12 de
Junho, 2007, da Business Search Premier database.
Rainer, R. K., Marshall, T. E., Knapp, K. J., & Montgomery, G. H. (2007). Do Information
Security Professionals and Business Managers View Information Security Issues Differently?
Information Systems Security, 16(2), 100-108. Recuperado em 30 de Abril, 2008, da
Academic Search Premier database.
Reed, B. (2007). Implementing Information Lifecycle Security (ILS). Information Systems Security,
16(3), 177-181. Recuperado em 30 de Abril, 2008, da Academic Search Premier database.
Rees, J., Bandyopadhyay, S., & Spafford, E. H. (2003). PFIRES: A Policy Framework for
Information Security. Communications of the ACM, 46(7), 101-106. Recuperado em 12 de
Junho, 2007, da Business Search Premier database.
Reis, E. (2005). Estatística Descritiva (6ª ed.). Lisboa: Edições Sílabo.
Richardson, R. (2008). 2007 CSI Computer Crime and Security Survey. Recuperado em 20 de Maio,
2008, em http://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf.
Ritchie, B., & Brindley, C. (2005). ICT Adoption by SMEs: Implications for Relationships and
Management. New Technology, Work and Employment, 20(3), 205-217. Recuperado em 30
de Abril, 2007, da Business Search Premier database.
Rodewald, G. (2005). Aligning Information Security Investments with a Firm's Risk Tolerance.
Paper presented at the 2nd annual conference on Information security curriculum
development, Kennesaw, Georgia. Recuperado em 25 de Fevereiro, 2008, da The ACM
Digital Library database.
Rogers, M. K. (2007). Social Engineering: The Human Factor in Information Assurance. In H. F.
Tipton & M. Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 2897-910).
Boca Raton: Auerbach Publications.
Ross, R., Johnson, A., Katzke, S., Toth, P., & Rogers, G. (2005). Guide for Assessing the Security
Controls in Federal Information Systems (NIST Special Publication 800-53A). U.S.
Department of Commerce: National Institute of Standards and Technology. Recuperado em
4 de Novembro, 2008, em http://all.net/books/standards/NIST-
CSRC/csrc.nist.gov/publications/drafts/sp800-53A-ipd.pdf.
Ross, R., Katzke, S., Johnson, A., Swanson, M., & Stoneburner, G. (2008). Managing Risk from
Information Systems: An Organizational Perspective (NIST Special Publication 800-39). U.S.
Department of Commerce: National Institute of Standards and Technology. Recuperado em
18 de Maio, 2008, em http://csrc.nist.gov/publications/drafts/800-39/SP800-39-spd-sz.pdf.
Ross, R., Katzke, S., Johnson, A., Swanson, M., Stoneburner, G., & Rogers, G. (2007).
Recommended Security Controls for Federal Information Systems (Special Publication 800-
53 Revision 2). U.S. Department of Commerce: National Institute of Standards and
Technology. Recuperado em 18 de Maio, 2008, em
http://csrc.nist.gov/publications/nistpubs/800-53-Rev2/sp800-53-rev2-final.pdf.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 295
Empresas Portuguesas
Bibliografia
Ruighaver, A., & Wong, C. (2002). On the Perceptions of E-commerce Security Risks in SME’s.
Paper presented at the The Sixth Pacific Asia Conference on Information Systems 2002,
Tokyo, Japan. Recuperado em 15 de Janeiro, 2009, em http://www.pacis-
net.org/file/2002/077.PDF.
Ryan, J. J. C. H. (2001). Information Security Practices and Experiences in Small Businesses.
Cambridge: Harvard University, Center for Information Policy Research. Recuperado em 24
de Maio, 2007, em http://pirp.harvard.edu/pdf-blurb.asp?id=493.
Ryan, J. J. C. H., & Ryan, D. J. (2005). Proportional Hazards in Information Security. Risk
Analysis: An International Journal, 25(1), 141-149. Recuperado em 12 de Junho, 2007, da
Business Search Premier database.
Ryan, J. J. C. H., & Ryan, D. J. (2006). Expected Benefits of Information Security Investments.
Computers & Security, 25(8), 579-588. Recuperado em 26 de Junho, 2008, da b-on database.
Saint-Germain, R. (2005). Information Security Management Best Practice Based on ISO/IEC
17799. Information Management Journal, 39(4), 60-66. Recuperado em 11 de Junho, 2007,
da Academic Search Premier database.
Sarathy, R., & Muralidhar, K. (2002). The Security of Confidential Numerical Data in Databases.
Information Systems Research, 13(4), 389-403. Recuperado em 3 de Maio, 2008, da
Business Search Premier database.
Sarbanes-Oxley Act, 15 USC § 7201 (2002).
Schaeffer, N. C., & Presser, S. (2003). The Science of Asking Questions. Annual Review of
Sociology, 29(1), 65-88. Recuperado em 13 de Março, 2009, da Business Source Premier
database.
Schlarman, S. (2001). The People, Policy, Technology (PPT) Model: Core Elements of the Security
Process. Information Systems Security, 10(5), 36-41. Recuperado em 30 de Abril, 2007, da
Academic Search Premier database.
Schlarman, S. (2002). The Case for a Security Information System. Information Systems Security,
11(4), 44-50. Recuperado em 30 de Abril, 2007, da Academic Search Premier database.
Schlarman, S. (2007a). Selecting an IT Control Framework. Information Systems Security, 16(3),
147-151. Recuperado em 30 de Abril, 2008, da Academic Search Premier database.
Schlarman, S. (2007b). The IT Compliance Equation: Understanding the Elements. Information
Systems Security, 16(4), 224-232. Recuperado em 30 de Abril, 2008, da Academic Search
Premier database.
Scholl, M., Stine, K., Hash, J., Bowen, P., Johnson, A., Smith, C. D., et al. (2008). An Introductory
Resource Guide for Implementing the Health Insurance Portability and Accountability Act
(HIPAA) Security Rule (NIST Draft SP 800-66 Rev1). U.S. Department of Commerce:
National Institute of Standards and Technology. Recuperado em 21 de Outubro, 2008, em
http://csrc.nist.gov/publications/drafts/800-66-Rev1/Draft_SP800-66-Rev1.pdf.
Schultz, E. E. (2002). A Framework for Understanding and Predicting Insider Attacks. Computers
& Security, 21(6), 526-531. Recuperado em 26 de Junho, 2008, da b-on database.
Schultz, E. E. (2005). The Human Factor in Security. Computers & Security, 24(6), 425-426.
Recuperado em 26 de Junho, 2008, da b-on database.
Semanário Económico (2002, 31 de Outubro). 1500 Maiores PMEs.
Shaurette, K. M. (2007). Make Security Part of Your Company’s DNA. In H. F. Tipton & M.
Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 579-89). Boca Raton:
Auerbach Publications.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 296
Empresas Portuguesas
Bibliografia
Sherer, S. A., & Alter, S. (2004). Information System Risks and Risk Factors: Are They Mostly
About Information Systems? Communications of the Association for Information Systems,
2004(14), 29-64. Recuperado em 12 de Junho, 2007, da Business Search Premier database.
Sharman, R., Krishna, K. P., Rao, H. R., & Upadhyaya, S. (2006). Malware and Antivirus
Deployment for Enterprise Security. In M. Warkentin & R. B. Vaughn (Eds.), Enterprise
Information Systems Assurance and System Security: Managerial and Technical Issues (Vol.
1, pp. 42-60). Hershey; London; Melbourne; Singapore: Idea Group Publishing.
Shih, S. C., & Wen, H. J. (2003). Building E-Enterprise Security: A Business View. Information
Systems Security, 12(4), 41-49. Recuperado em 22 de Maio, 2008, da Academic Search
Premier database.
Silva, P., Carvalho, H., & Torres, C. (2003). Segurança dos Sistemas de Informação - Gestão
Estratégica da Segurança Empresarial (1ª ed.). Lisboa: Centro Atlântico.
Silverman, D. L. (2007). Data Security Breaches: The State of Notification Laws. Intellectual
Property & Technology Law Journal, 19(7), 5-12. Recuperado em 30 de Julho, 2007, da
Business Search Premier database.
Siponen, M. (2006). Information Security Standards Focus on the Existence of Process, Not Its
Content. Communications of the ACM, 49(8), 97-100. Recuperado em 26 de Maio, 2007, da
Business Search Premier database.
Siponen, M. T. & Oinas-Kukkonen, H. (2007). A Review of Information Security Issues and
Respective Research Contributions. ACM SIGMIS Database, 38(1), 60-80. Recuperado em 2
de Junho, 2007, da ACM Digital Library database.
Slade, R. M. (2008). Security Frameworks. In H. F. Tipton & M. Krause (Eds.), Information
Security Handbook (6ª ed., Vol. 2, pp. 253-69). Boca Raton: Auerbach Publications.
Smedinghoff, T. J. (2005a). The New Law of Information Security: What Companies Need to Do
Now. Computer & Internet Lawyer, 22(11), 9-25. Recuperado em 27 de Julho, 2007, da
Business Search Premier database.
Smedinghoff, T. J. (2005b). Trends in the Law of Information Security. Intellectual Property &
Technology Law Journal, 17(1), 1-5. Recuperado em 11 de Junho, 2007, da Business Search
Premier database.
Smith, H. J. (2002). Ethics and Information Systems: Resolving the Quandaries. ACM SIGMIS
Database, 33(3), 8-22. Recuperado em 7 de Maio, 2007, da The ACM Digital Library
database.
Smith, R. E. (2007). Trends in Security Product Evaluations. Information Systems Security, 16(4),
203-216. Recuperado em 30 de Abril, 2008, da Academic Search Premier database.
Smith, H. J., & Hasnas, J. (1999). Ethics and Information Systems: The Corporate Domain. MIS
Quarterly, 23(1), 109-127. Recuperado em 7 de Maio, 2007, da Business Search Premier
database.
Snow, A. P., Straub, D., Stucke, C., & Baskerville, R. (2006). The Survivability Principle: IT-
Enabled Dispersal of Organizational Capital. In M. Warkentin & R. B. Vaughn (Eds.),
Enterprise Information Systems Assurance and System Security: Managerial and Technical
Issues (pp. 150-66). Hershey; London; Melbourne; Singapore: Idea Group Publishing.
Southern, A., & Tilley, F. (2000). Small Firms and Information and Communication Technologies
(ICTs): Toward a Typology of ICTs Usage. New Technology, Work and Employment, 15(2),
138-154. Recuperado em 25 de Maio, 2007, da b-on database.
Stackpole, B. (2007). An Introduction to IPSec. In H. F. Tipton & M. Krause (Eds.), Information
Security Handbook (Volume 1) (6ª ed., Vol. 1, pp. 2093-101). Boca Raton: Auerbach
Publications.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 297
Empresas Portuguesas
Bibliografia
Stahl, S. (2007). Beyond Information Security Awareness Training: It Is Time To Change the
Culture. In H. F. Tipton & M. Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1,
pp. 555-65). Boca Raton: Auerbach Publications.
Standards Australia/Standards New Zealand. (2004). Risk Management - AS/NZS 4360:2004.
Recuperado em 16 de Junho, 2008, em
http://www.cqurire.com/htm/paper/risk/Aust_Standards_4360-2004.pdf.
Stanton, J. M., Stam, K. R., Mastrangelo, P., & Jolton, J. (2005). Analysis of End User Security
Behaviors. Computers & Security, 24(2), 124-133. Recuperado em 26 de Junho, 2008, da b-
on database.
Stephenson, P. (2004). Forensic Analysis of Risks in Enterprise Systems. Information Systems
Security, 13(4), 11-21. Recuperado em 30 de Abril, 2008, da Academic Search Premier
database.
Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk Management Guide for Information
Technology Systems (Special Publication 800-30). Department of Commerce: National
Institute of Standards and Technology. Recuperado em 13 de Junho, 2007, em
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.
Storch, E. A., Lack, C., Merlo, L. J., Marien, W. E., Geffken, G. R., Grabill, K., et al. (2007).
Associations between miscellaneous symptoms and symptoms dimensions: An examination
of pediatric obsessive-compulsive disorder. Behaviour Reserach and Therapy, 45, 2593-
2603. Recuperado em 16 de Stembro, 2009, da b-on database.
Straub, D. W. (1989). Validating Instruments in MIS Research. MIS Quarterly, 13(2), 147-169.
Recuperado em 13 de Março, 2009, da Business Source Premier database.
Straub, D. W. (1990). Effective IS Security: An Empirical Study. Information Systems Research,
1(3), 255-276. Recuperado em 12 de Junho, 2007, da Business Search Premier database.
Straub, D. W., & Welke, R. J. (1998). Coping With Systems Risk: Security Planning Models for
Management Decision Making. MIS Quarterly, 22(4), 441-469. Recuperado em 20 de Março,
2008, da Business Search Premier database.
Street, C. T., & Meister, D. B. (2004). Small Business Growth and Internal Transparency: The Role
of Information Systems. MIS Quarterly, 28(3), 473-506. Recuperado em 13 de Maio, 2007,
da Business Search Premier database.
Swanson, M., Bartol, N., Sabato, J., Hash, J., & Graffo, L. (2003). Security Metrics Guide for
Information Technology Systems (Special Publication 800-55). U.S. Department of
Commerce: National Institute of Standards and Technology. Recuperado em 15 de Maio,
2007, em http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf.
Swanson, M., & Guttman, B. (1996). Generally Accepted Principles and Practices for Securing
Information Technology Systems. U.S. Department of Commerce: National Institute of
Standards and Technology. Recuperado em 17 de Maio, 2008, em
http://csrc.nist.gov/publications/nistpubs/800-14/800-14.pdf.
Tarantino, A. (2006). Manager's Guide to Compliance: Sarbanes-Oxley, COSO, ERM, COBIT,
IFRS, BASEL II, OMB A-123, ASX 10, OECD Principles, Turnbull Guidance, Best Practices
and Case Studies. New Jersey: John Wiley & Sons, Inc.
Taudes, A., Feurstein, M., & Mild, A. (2000). Options Analysis Of Software Platform Decisions: A
Case Study. MIS Quarterly, 24(2), 227-243. Recuperado em 23 de Junho, 2008, da Business
Search Premier database.
Temtime, Z., Chinyoka, S., & Shunda, J. (2003). Toward Strategic Use of IT in SMEs: a
Developing Country Perspective. Information Management & Computer Security, 11(5),
230-237. Recuperado em 2 de Junho, 2007, da b-on database.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 298
Empresas Portuguesas
Bibliografia
von Solms, B., & von Solms, R. (2004). The 10 Deadly Sins of Information Security Management.
Computers & Security, 23(5), 371-376. Recuperado em 26 de Junho, 2008, da b-on database.
von Solms, R., & von Solms, S. H. (2006). Information Security Governance: A model based on
the Direct–Control Cycle. Computers & Security, 25(6), 108-412. Recuperado em 26 de
Junho, 2008, da b-on database.
Vraalsen, F., Mahler, T., Lund, M. S., Hogganvik, I., den Braber, F., & Stolen, K. (2007).
Assessing Enterprise Risk Level: The CORAS Approach. In D. Khadraoui & F. Herrmann
(Eds.), Advances in Enterprise Information Technology Security (pp. 311-33). Hershey, New
York: Information Science Reference.
Vroom, C., & von Solms, R. (2004). Towards Information Security Behavioural Compliance.
Computers & Security, 23(3), 191-198. Recuperado em 26 de Junho, 2008, da b-on database.
Wang, A. J. A. (2005). Information Security Models and Metrics. Paper presented at the ACM
Southeast Regional Conference, Kennesaw, Georgia. Recuperado em 16 de Maio, 2008, da
ACM Digital Library database.
Wang, G. (2005). Strategies and Influence for Information Security. Information Systems Control
Journal, 1. Recuperado em 20 de Julho, 2008, em
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/Conte
ntDisplay.cfm&ContentID=23548.
Warkentin, M., & Johnston, A. C. (2006). IT Security Governance and Centralized Security
Controls. In M. Warkentin & R. B. Vaughn (Eds.), Enterprise information Systems
Assurance and System Security: Managerial and Techical Issues (pp. 16-24). Hershey,
London, Melbourne, Singapore: Idea Group Publishing.
Weill, P., & Ross, J. W. (2004). IT Governance on One Page (CISR WP n.º 349 and Sloan WP n.º
4516-04). Massachusetts Institute of Technology, Sloan School of Management, Center for
Information Systems Research. Recuperado em 13 de Março, 2007, em
web.mit.edu/cisr/working%20papers/cisrwp349.pdf.
Weill, P., & Woodham, R. (2002). Don't just Lead, Govern: Implementing Effective IT Governance
(CISR WP n.º 326 and 4237-02). Massachusetts Institute of Technology, Sloan School of
Management, Center for Information Systems Research. Recuperado em 28 de Março, 2007,
em http://web.mit.edu/cisr/working%20papers/cisrwp326.pdf.
Weippl, E. R., & Klemen, M. (2006). Implementing IT Security for Small and Medium Enterprises.
In M. Warkentin & R. B. Vaughn (Eds.), Enterprise information Systems Assurance and
System Security: Managerial and Techical Issues (pp. 112-30). Hershey, London, Melbourne,
Singapore: Idea Group Publishing.
Westby, J. R., & Allen, J. H. (2007). Governing for Enterprise Security (GES) Implementation
Guide (Technical Note: CMU/SEI-2007-TN-020). Pittsburgh, PA: Carnegie Mellon
University, Software Engineering Institute, CERT Program. Recuperado em 11 de Maio,
2007, em http://www.sei.cmu.edu/pub/documents/07.reports/07tn020.pdf.
Whitman, M. E. (2003). Enemy at the Gate: Threats to Information Security. Communications of
the ACM, 46(8), 91-95. Recuperado em 1 de Maio, 2008, da Business Source Premier
database.
Wiant, T. L. (2005). Information Security Policy’s Impact on Reporting Security Incidents.
Computers & Security, 24(6), 448-459. Recuperado em 26 de Junho, 2008, da b-on database.
Williams, N. I. (2003). E-business Security Issues for SMEs in a Virtual Hosting Environment.
ACM International Conference Proceeding Series, 49, 357-364. Recuperado em 28 de Maio,
2007, da The ACM Digital Library database.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 300
Empresas Portuguesas
Bibliografia
Williams, R. C., Ambrose, K., Bentrem, L., & Merendino, T. (2004). Risk Based Diagnostics
(Technical Note: CMU/SEI-2004-TN-013). Pittsburgh, PA: Carnegie Mellon University,
Software Engineering Institute, Acquisition Support Program. Recuperado em 13 de Maio,
2006, em http://www.sei.cmu.edu/pub/documents/04.reports/pdf/04tn013.pdf.
Woody, C., & Clinton, L. (2004). Common Sense Guide to Cyber Security for Small Businesses:
Recommended Actions for Information Security. Recuperado em 10 de Abril, 2006, em
http://www.us-cert.gov/reading_room/CSG-small-business.pdf.
Workman, M. (2007). Gaining Access with Social Engineering: An Empirical Study of the Threat.
Information Systems Security, 16(6), 315-331. Recuperado em 30 de Abril, 2008, da
Academic Source Premier database.
Wylder, J. O. (2007). Toward Enforcing Security Policy: Encouraging Personal Accountability for
Corportate Information Security Policy. In H. F. Tipton & M. Krause (Eds.), Information
Security Handbook (6ª ed., Vol. 1, pp. 367-75). Boca Raton: Auerbach Publications.
Xie, N., & Mead, N. R. (2004). SQUARE Project: Cost/Benefit Analysis Framework for
Information Security Improvement Projects in Small Companies (Technical Note: CMU/SEI-
2004-TN-045) (2). Pittsburgh: Carnegie Mellon University, Software Engineering Institute,
Networked Systems Survivability Program. Recuperado em 31 de Agosto, 2006, em
www.sei.cmu.edu/publications/documents/04.reports/04tn045.html.
Yazar, Z. (2002). A Qualitative Risk Analysis and Management Tool – CRAMM. Recuperado em
20 de Outubro, 2008, em http://www.sans.org/reading_room/whitepapers/auditing/83.php.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 301
Empresas Portuguesas
Glossário
GLOSSÁRIO
Análise de Ameaças ............. Análise das fontes de ameaça contra as vulnerabilidades dos
SI/TIC para determinar as ameaças de um determinado
SI/TIC num determinado ambiente operacional.
Avaliação de Risco ............... Processo de identificação dos riscos para a segurança dos
SI/TIC e determinar a probabilidade de ocorrência, o impacto
resultante e as garantias adicionais que possam mitigar esse
impacto.
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 302
Empresas Portuguesas
Glossário
Correio electrónico ............... Sistema que permite enviar e receber mensagens (de texto,
voz, imagem, etc.) por computadores integrados em redes de
comunicação.
Encriptação ........................... Conversão de dados num formato específico que não permite
a sua leitura por pessoas não autorizadas.
Engenharia Social ................. Uso de truques psicológicos nos utilizadores legítimos dos
SI/TIC para obter informações (nomes de utilizador e
palavras-chave), necessárias para ter acesso a um SI/TIC.
Firewall ................................. Equipamento que protege uma rede interna contra o acesso
externo de utilizadores não autorizados.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 303
Empresas Portuguesas
Glossário
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 304
Empresas Portuguesas
Glossário
Sarbanes-Oxley Act (SOX) .. Lei que introduz regras de governo das sociedades para
assegurar maior transparência nos resultados obtidos nas
organizações, institui punições contra fraudes empresariais e
garante maior independência aos órgãos de auditoria.
Vírus ..................................... Programa mal intencionado que, uma vez instalado num
computador, destrói, altera ou provoca erros no
processamento da informação.
World Wide Web (WWW) .... Consiste em software cliente/servidor que suporta
documentos formatados de uma forma específica utilizando
uma linguagem denominada HTML (HyperText Markup
Language). Esta linguagem suporta ligações a outros
documentos, assim como a gráficos, áudio, vídeo e outro tipo
de ficheiros.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 305
Empresas Portuguesas
Apêndice A – Componentes, Modelos e Métricas da Segurança da Informação
APÊNDICE A
A.1 INTRODUÇÃO
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 306
Empresas Portuguesas
Apêndice A – Componentes, Modelos e Métricas da Segurança da Informação
Figura A.1: Nível de autoridade e de valor das políticas, normas e procedimentos de segurança.
Fonte: Purser (2004a, p. 134).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 307
Empresas Portuguesas
Apêndice A – Componentes, Modelos e Métricas da Segurança da Informação
• directrizes: “Uma descrição de uma maneira particular de realizar algo que é menos
prescritivo do que um procedimento” (ITGI, 2008, p. 45). São indicações gerais para
recomendar ou sugerir uma abordagem para implementar políticas ou normas e
devem conter informação que auxilie na execução dos procedimentos (Peltier, 1999).
Para evitar a ocorrência destes erros, Kasunic et al. propõem um processo de medição
conforme apresentado na Figura A.2.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 308
Empresas Portuguesas
Apêndice A – Componentes, Modelos e Métricas da Segurança da Informação
As métricas da segurança da informação têm como objectivo medir a eficácia dos esforços
de segurança da organização ao longo do tempo (Chapin & Akridge, 2005) e podem
fornecer orientação na hierarquização de acções correctivas e aumentar o nível de
conhecimento da segurança na organização (Payne, 2006; A. Wang, 2005).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 309
Empresas Portuguesas
Apêndice A – Componentes, Modelos e Métricas da Segurança da Informação
As métricas de segurança devem ter as seguintes características (Chapin & Akridge, 2005;
Drugescu & Etges, 2006):
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 310
Empresas Portuguesas
Apêndice A – Componentes, Modelos e Métricas da Segurança da Informação
Além de ter em atenção estas características das métricas, qualquer programa de avaliação
da segurança da informação deve considerar os seguintes factores (Chew et al., 2008):
A. Wang (2005) sustenta que existem alguns equívocos acerca das métricas de segurança,
na medida em que estas: (i) são mais qualitativas do que quantitativas; (ii) são mais
subjectivas do que objectivas; (iii) são muitas vezes definidas sem um modelo formal; (iv)
não incorporam o factor tempo.
Para Swanson et al. (2003) o processo de desenvolvimento das métricas de segurança dos
SI/TIC compreende, como ilustrado na Figura A.4, seis fases distintas, integradas em duas
actividades principais: identificação e definição do actual programa de segurança dos
SI/TIC; desenvolvimento e selecção de métricas específicas para medir a implementação,
eficácia e eficiência; o impacto dos controlos de segurança.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 311
Empresas Portuguesas
Apêndice A – Componentes, Modelos e Métricas da Segurança da Informação
Swanson et al. (2003) definem três tipos de métricas: (1) métricas de implementação para
medir a implementação da política de segurança, i.e., para demonstrar a evolução da
implementação das políticas e procedimentos e nos controlos de segurança; (2) métricas de
eficácia/eficiência para medir os resultados da entrega de serviços de segurança, sendo
utilizadas para monitorar os resultados da implementação dos controlos de segurança e
(3) métricas de impacto para medir o impacto no negócio ou na missão dos eventos e
actividades de segurança, através da quantificação da poupança de custos originada pela
aplicação do programa de segurança. Estas métricas podem ser utilizadas simultaneamente
em qualquer programa de segurança da informação, contudo, “a utilidade das métricas
varia consoante a maturidade de cada programa de segurança da informação” (Chew, Clay,
Hash, Bartol, & Brown, 2006, p. 15).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 312
Empresas Portuguesas
Apêndice A – Componentes, Modelos e Métricas da Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 313
Empresas Portuguesas
Apêndice A – Componentes, Modelos e Métricas da Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 314
Empresas Portuguesas
Apêndice B – Metodologias de Gestão do Risco da Segurança da Informação
APÊNDICE B
B.1 INTRODUÇÃO
Embora algumas das metodologias adiante apresentadas não tratem especificamente a área
de segurança da informação (e.g., COSO), elas contribuem com uma perspectiva adequada
para o tratamento deste tipo específico de riscos, razão pela qual se optou pela sua
integração nesta secção.
Apesar de não se focar nos riscos da segurança da informação, as fases deste sistema de
referência são, na sua essência, relativamente semelhantes às de outros modelos de gestão
do risco, podendo, portanto, ser adaptado para a implementação de um modelo de gestão
do risco da segurança da informação.
A gestão do risco corporativo preconizada pelo COSO (2007) é constituída por oito
componentes interligados e integrados com o processo de gestão:
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 315
Empresas Portuguesas
Apêndice B – Metodologias de Gestão de Risco da Segurança da Informação
Uma outra metodologia para a gestão do risco é a preconizada pelo SEI/CMU. Embora o
objectivo desta metodologia esteja direccionada para a gestão de projectos, também pode
ser usada na gestão dos riscos de segurança da informação.
As várias fases desta metodologia, representadas na Figura B.1, são (Noor, Dillon &
Williams, 2001):
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 317
Empresas Portuguesas
Apêndice B – Metodologias de Gestão de Risco da Segurança da Informação
Figura B.2: Fases do processo de gestão do risco do General Security Risk Assessment.
Fonte: ASIS International (2003, p. 7).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 318
Empresas Portuguesas
Apêndice B – Metodologias de Gestão de Risco da Segurança da Informação
CRAMM (CCTA Risk Analysis and Management Method) é uma análise de risco
qualitativa associada a uma ferramenta de gestão e foi desenvolvida pela Central Computer
and Telecommunications Agency [CCTA] do Reino Unido em 1985 para fornecer os
departamentos governamentais com um método para as revisões de segurança dos sistemas
de informação (Herrmann & Khadraoui, 2007; Yazar, 2002). Este método é utilizado nos
países da comunidade britânica (Commonwealth) e nos países da North Atlantic Treaty
Organization [NATO] (Herrmann & Khadraoui, 2007).
Este método, conforme a Figura B.3, é composto por três estádios (Herrmann & Khadraoui,
2007):
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 319
Empresas Portuguesas
Apêndice B – Metodologias de Gestão de Risco da Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 320
Empresas Portuguesas
Apêndice B – Metodologias de Gestão de Risco da Segurança da Informação
Este guia para a gestão do risco dos SI/TIC define duas áreas principais: as actividades de
avaliação do risco (compostas por nove passos) e as actividades de mitigação dos riscos
(compostas por sete passos), conforme apresentado na Figura B.5.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 321
Empresas Portuguesas
Apêndice B – Metodologias de Gestão de Risco da Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 322
Empresas Portuguesas
Apêndice B – Metodologias de Gestão de Risco da Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 323
Empresas Portuguesas
Apêndice B – Metodologias de Gestão de Risco da Segurança da Informação
Esta norma, publicada juntamente pelo Joint Standards Australia/Standards New Zealand
Committee OB-007, proporciona uma orientação geral para a gestão dos riscos,
providenciando uma estrutura genérica para o estabelecimento do contexto, identificação,
análise, avaliação, monitorização e comunicação dos riscos (Standards Australia/Standards
New Zealand 2004).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 324
Empresas Portuguesas
Apêndice B – Metodologias de Gestão de Risco da Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 325
Empresas Portuguesas
Apêndice C – Normas e Regulamentos sobre Controlos de Segurança da Informação
APÊNDICE C
C.1 INTRODUÇÃO
Esta norma, publicada pela primeira vez em 1996 pelo Information Security Forum [ISF] é
actualizada e melhorada em cada dois anos de forma a refinar as áreas de melhores práticas
da segurança da informação, reflectir o pensamento recente sobre segurança da informação
e estar alinhada com outras normas relacionadas com a segurança da informação, tais como
a ISO 27001 e COBIT (ISF, 2007).
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 326
Empresas Portuguesas
Apêndice C – Normas e Regulamentos sobre Controlos de Segurança da Informação
Esta norma está direccionada para a forma como a segurança da informação suporta os
processos chave de negócio das organizações. Como a maioria dos processos está
dependente de aplicações suportadas em TIC, a norma centra-se, essencialmente, no
aspecto de segurança relativo às “Aplicações de negócio críticas” (ISF, 2007).
Esta norma assenta em seis diferentes aspectos, cada um dos quais decomposto em áreas e
estas, por sua vez, decompostas em secções, cujo número está detalhado no Quadro C.1.
Gestão da Segurança 7 36
Aplicações de Negócio Críticas 6 25
Instalações Informáticas 6 31
Redes 5 25
Desenvolvimento de Sistemas 6 23
Ambiente do Utilizador Final 6 26
TOTAL 36 166
Esta norma é publicada pela ISSA e é o sucessor dos Generally Accepted System Security
Principles, “projecto criado em 1992 como resposta à recomendação n.º 1 do relatório
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 327
Empresas Portuguesas
Apêndice C – Normas e Regulamentos sobre Controlos de Segurança da Informação
Computers at Risk, publicado pelo USA National Research Council em Dezembro de 1990”
(ISSA, 2003, p. i)
Apesar de não estar tão estruturada e detalhada como outras normas, os GAISP apresentam
14 princípios funcionais gerais e os objectivos de cada um desses princípios, assim
discriminados (ISSA, 2003):
O COBIT está direccionado, acima de tudo, para governação das TIC das organizações,
cujos objectivos de controlo abarcam outros âmbitos que não apenas os relativos à
segurança da informação. Todavia, com base no COBIT 4.1, o ITGI publicou o COBIT
Security Baseline: An Information Security Survival Kit (ITGI, 2007b), que contém os
objectivos de controlo relativos à segurança da informação, discriminados no Quadro C.2.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 328
Empresas Portuguesas
Apêndice C – Normas e Regulamentos sobre Controlos de Segurança da Informação
Os controlos de segurança da informação objecto desta norma são para ser implementados
como forma de responder aos requisitos de segurança identificados na avaliação de risco.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 329
Empresas Portuguesas
Apêndice C – Normas e Regulamentos sobre Controlos de Segurança da Informação
• Política de segurança.
• Gestão do programa de segurança.
Controlos de Gestão • Gestão do risco de segurança.
• Segurança no ciclo de vida dos sistemas.
• Garantia.
• Questões relativas ao pessoal/utilizadores.
• Preparação para contingências e desastres.
• Tratamento de incidentes de segurança dos sistemas.
Controlos Operacionais
• Consciencialização, formação e educação.
• Considerações de segurança nas operações e suporte dos sistemas.
• Segurança física e ambiental.
• Identificação e autenticação.
• Controlo de acessos lógicos.
Controlos Técnicos
• Pistas de auditoria.
• Criptografia.
Fonte: NIST (1996).
Esta norma tem como finalidade proporcionar orientação para a selecção e especificação
de controlos de segurança para os sistemas de informação das agências governamentais dos
EUA. O seu objectivo é “fornecer um conjunto de controlos de segurança suficientemente
rico para satisfazer a amplitude e a profundidade do requisitos de segurança exigidos aos
sistemas de informação e que seja consistente e complementar com outras normas de
segurança já existentes” (Ross et al., 2007, p. 4).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 331
Empresas Portuguesas
Apêndice C – Normas e Regulamentos sobre Controlos de Segurança da Informação
Classe Família
Decorrente das atribuições cometidas ao NIST pelo FISMA 2002, esta entidade publicou a
versão NIST Draft Special Publication 800-66 Revision 1, An Introductory Resource
Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA)
Security Rule (Scholl et al., 2008), a qual diz respeito especificamente à salvaguarda da
protecção da informação de saúde em formato electrónico (Scholl et al., 2008). Mais
concretamente no que respeita aos controlos de segurança da informação, o que o NIST SP
800-66 faz é um mapeamento entre as secções de segurança do HIPPA Security Role
discriminadas no 45 CFR Parts 160, 162, and 164 Health Insurance Reform: Security
Standards; Final Rule (Department of Health and Human Services, 2003) com os
controlos constantes do NIST SP 800-53. Os requisitos de segurança estabelecidos pelo
HIPPA Security Role são agrupados em três categorias principais: controlos
administrativos, físicos e técnicos (Pabrai, 2003).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 332
Empresas Portuguesas
Apêndice C – Normas e Regulamentos sobre Controlos de Segurança da Informação
Na secção 501 do GLB Act (1999) é referido que as instituições financeiras devem
implementar um conjunto de controlos administrativos, técnicos e físicos com o objectivo
de: (1) assegurar a segurança e confidencialidade da informação sobre os clientes; (2)
proteger contra ameaças e perigos à segurança e integridade dessa informação; (3) proteger
contra acessos não autorizados à utilização dessa informação que pode trazer prejuízos aos
clientes.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 333
Empresas Portuguesas
Apêndice D – Tecnologias de Segurança da Informação
APÊNDICE D
D.1 INTRODUÇÃO
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 334
Empresas Portuguesas
Apêndice D – Tecnologias de Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 335
Empresas Portuguesas
Apêndice D – Tecnologias de Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 336
Empresas Portuguesas
Apêndice D – Tecnologias de Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 337
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
APÊNDICE E
E.1 INTRODUÇÃO
Este apêndice apresenta uma taxionomia dos regulamentos, normas e modelos, descreve as
principais leis e regulamentações sobre a segurança da informação e apresenta as normas e
modelos de referência da segurança da informação.
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 338
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
eliminando confusões (Eloff & von Solms, 2000). Existem normas internacionais,
nacionais e organizacionais. A diferença entre as duas primeiras incide,
essencialmente, no seu nível de aprovação;
• directivas ou linhas de orientação: referem-se a um conjunto de acções recomendadas
ou declarações de políticas que devem ser executadas para atingir um objectivo
específico (Eloff & von Solms, 2000);
• códigos de boas práticas: na sua essência são semelhantes às directivas ou linhas de
orientação, com a diferença que se baseiam na experiência de muitos anos. Regra
geral, a conformidade com uma norma exige que se respeitem um conjunto de
códigos de boas práticas (Eloff & von Solms, 2000);
• certificação: descreve o processo através do qual uma organização, produto ou
serviço é testado e avaliado para se determinar se está em conformidade ou não com
uma norma específica (Eloff & von Solms, 2000). As organizações que aplicam um
conjunto de regras sobre a segurança da informação tendo como base de referência a
norma ISO 27001, podem solicitar a certificação nesta norma, quer ao nível de toda a
informação crítica do negócio, quer ao nível dos processos específicos em que essas
regras são aplicadas;
• legislação: diz respeito a um requisito legal contido numa lei relacionada com os
sistemas de informação, a qual estabelece que esse requisito deve ser satisfeito (Eloff
& von Solms, 2000);
• avaliação: constitui o processo através do qual determinado produto é testado e
avaliado para aquilatar a satisfação de requisitos pré-definidos e para que seja
possível a sua classificação num determinado nível (por exemplo, EAL3 da norma
ISO/IEC 15408).
O Quadro E.1 lista toda a regulamentação referida nesta tese, classificada de acordo com a
nomenclatura atrás apresentada, indicando ainda o objectivo, incidência e âmbito de
aplicação de cada um dos regulamentos.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 339
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
An Introduction to Computer
Providenciar auxílio na segurança EUA Segurança dos
Security: The NIST Handbook D
dos recursos dos SI/TIC. (b) SI/TIC.
(NIST, 1996)
An Introductory Resource Guide for
Segurança dos
Implementing the Health Insurance Identificar as actividades típicas na EUA sistemas de
Portability and Accountability Act implementação de um programa de D
(b) informação de
(HIPAA) Security Rule (Draft) segurança da informação.
saúde.
(Scholl et al., 2008)
COBIT Security Baseline: An Providenciar orientação sobre os
Tecnologias de
Information Security Survival Kit riscos da segurança nas tecnologias I P
informação.
(ITGI, 2007b) de informação.
ISO/IEC 15408-1 Information
Providenciar as bases para a Avaliação das
technology - Security techniques -
avaliação das propriedades de tecnologias de
Evaluation criteria for IT security - I A
segurança dos produtos das segurança da
Part 1: Introduction and general
tecnologias de informação. informação.
model (ISO/IEC, 2005a)
ISO/IEC 15408-2 Information
Definir a estrutura necessária e o Avaliação das
technology - Security techniques -
conteúdo dos componentes tecnologias de
Evaluation criteria for IT security - I A
funcionais de segurança para efeitos segurança da
Part 2: Security functional
de avaliação de segurança. informação.
requirements (ISO/IEC, 2005b)
ISO/IEC 15408-3 Information
Avaliação das
technology - Security techniques -
Definir os requisitos de garantia da tecnologias de
Evaluation criteria for IT security - I A
norma. segurança da
Part 3: Security assurance
informação.
requirements (ISO/IEC, 2005c)
Control Objectives for Information
Fornecer um modelo de controlo do Governo das
and related Technology (COBIT) I P
governo das TIC. TIC.
(ITGI, 2007a)
Proteger as pessoas singulares no
Directiva 95/46/CE do Parlamento
que diz respeito ao tratamento de Protecção de
Europeu e do Conselho, de 24 de UE L
dados pessoais e à livre circulação dados pessoais.
Outubro de 1995
desses dados.
Directiva 2000/31/CE do
Promover o comércio electrónico Protecção de
Parlamento Europeu e do Conselho UE L
no mercado interno. dados pessoais.
de 8 de Junho de 2000
Promover a conservação de dados
gerados ou tratados no contexto da
Directiva 2006/24/CE do
oferta de serviços de comunicações Protecção de
Parlamento Europeu e do Conselho UE L
electrónicas publicamente dados pessoais.
de 15 de Março
disponíveis ou de redes públicas de
comunicações.
Enterprise Risk Management Fornecer orientações na gestão do
I D Gestão do risco.
Framework (COSO, 2007) risco empresarial.
Melhorar a gestão e promoção dos
Governo
FISMA Act ( 2002) serviços e processos do governo EUA L
electrónico.
electrónico.
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 340
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
Promover um conhecimento
Generally Accepted Information Segurança da
alargado da segurança da I D
Security Principles (ISSA, 2003) informação.
informação.
Generally Accepted Principles and Fornecer uma base para as
Practices for Securing Information organizações estabelecerem e EUA Segurança dos
P
Technology Systems (Swanson & reverem os seus programas de (b) SI/TIC
Guttman, 1996) segurança dos SI/TIC.
Para melhorar a concorrência na
indústria dos serviços financeiros,
fornecendo um quadro prudencial
Serviços
Gramm-Leach-Bliley Act (1999) para a afiliação de bancos, empresas EUA L
financeiros.
de valores mobiliários, companhias
de seguros e outros prestadores de
serviços financeiros.
Fornecer orientações para a Avaliação da
Guide for Assessing the Security
avaliação dos controlos de EUA segurança dos
Controls in Federal Information D
segurança utilizados nos sistemas (b) sistemas de
Systems (Ross et al., 2005)
de informação. informação.
Desenvolver e implementar
Guide for Developing Performance métricas da segurança da Avaliação da
EUA
Metrics for Information Security informação para um qualquer D segurança da
(b)
(Chew et al., 2006) programa de segurança da informação.
informação.
Fornecer orientações na selecção
Guide to Selecting Information Selecção de
das tecnologias de segurança para EUA
Technology Security Products D tecnologias de
serem utilizadas como controlos de (b)
(Grance et al., 2003) segurança.
segurança operacionais ou técnicos.
Melhorar a eficácia e eficiência do
sistema de saúde, encorajando o
desenvolvimento de um sistema de
Sistemas de
informação de saúde através do
HIPAA Act (1996) EUA L informação de
estabelecimento de normas e
saúde.
requisitos para a transmissão
electrónica de certa informação de
saúde.
Fornecer linhas de orientação para
ajudar as organizações a avaliar o Governo da
Information Security Governance: A
seu desempenho e a pôr em prática I D segurança da
Call to Action (NCSSTF, 2004)
um programa de governo da informação.
segurança da informação.
Information Security Governance: Providenciar uma abordagem para
Governo da
Guidance for Boards of Directors proteger os activos da informação
I D segurança da
and Executive Management (ITGI, que suportam os processos críticos
informação.
2006) do negócio.
Fornecer orientações sobre a
Information Security Governance: Governo da
implementação de uma estratégia de
Guidance for Information Security I D segurança da
segurança da informação dentro do
Managers (ITGI, 2008) informação.
modelo geral de governação.
(continua)
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 341
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 342
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 343
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
Avaliação das
Trusted Computer System Avaliar os produtos de segurança a
tecnologias de
Evaluation Criteria (DoD 5200.28- serem comprados pelas entidades EUA A
segurança da
STD) (DoD, 1985) governamentais dos EUA.
informação.
16 CFR Part 314 Standards for Estabelecer normas para os Segurança e
Safeguarding Customer controlos administrativos, técnicos confidencialidade
EUA L
Information; Final Rule (Federal e físicos a implementar pelas da informação
Trade Comission, 2002) instituições financeiras. dos clientes.
45 CFR Parts 160, 162, and 164
Health Insurance Reform: Security Definição de normas para a Segurança da
Standards; Final Rule (Department segurança da informação de saúde EUA L informação de
of Health and Human Services, protegida electronicamente. saúde.
2003)
Legenda:
I Internacional
EUA Estados Unidos da América
Âmbito UE União Europeia
PT Portugal
AS/NZS Austrália e Nova Zelândia
N Norma
D Directivas ou linhas de orientação
P Código de boas práticas
Tipo
C Certificação
L Legislação
A Avaliação
Notas:
(a) para utilização por todas as empresas (dos EUA e fora dos EUA) que estejam
cotadas nas bolsas de valores dos EUA;
(b) para utilização pelas agências federais dos EUA, mas pode ser utilizado por
organizações não governamentais numa base voluntária;
(c) para utilização pelas organizações públicas ou privadas da Austrália e da Nova
Zelândia;
(d) para utilização pelas agências federais dos EUA, mas pode ser utilizado pelas
empresas do sector privado que estejam incluídas na infra-estrutura crítica dos EUA.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 344
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
O GLB Act (1999), também conhecido como o Financial Services Moderation Act de 1999
teve como destino as instituições financeiras que mantêm, processam e recolhem
informações financeiras (Fitzgerald, 2008).
Uma das principais características desta lei dos EUA relativamente aos controlos da
segurança da informação, prende-se, essencialmente com o facto de impor exigências de
privacidade financeira às instituições financeiras, incluindo seguradoras. Exige que estas
organizações informem os seus clientes das suas práticas de privacidade e partilha da
informação e os clientes, por sua vez, têm direito a limitar a partilha da sua informação em
poder daquela organizações (Tarantino, 2006).
Em associação com esta lei existem diversas leis estaduais que impõem a notificação ao
interessado de quebra de segurança com os seus dados pessoais. O California’s Security
Breach Information Act (SBIA) foi a primeira destas leis estaduais a impor às organizações
a obrigação de notificar os residentes no Estado da Califórnia das falhas de segurança
envolvendo os seus dados pessoais (Silverman, 2007).
O SOX Act (2002) foi promulgado após o escândalo protagonizado pelas empresas
Enron/Arthur Andersen e WorldCom devido às suas práticas contabilísticas incorrectas e
para satisfazer a necessidade de implementar adequados controlos de auditoria interna para
efeitos de reporte financeiro (Fitzgerald, 2008).
A secção 404 do SOX (2002) – avaliação da gestão dos controlos internos, impõe que os
relatórios anuais exigidos pela Security Exchange Commission [SEC] devem conter um
relatório sobre o controlo interno em que (n.º 1 e n.º 2 da subsecção (a) da secção 404):
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 345
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
• contenha uma avaliação, a partir do fim do ano fiscal mais recente, da eficácia da
estrutura de controlo interno e dos procedimentos para a realização dos relatórios
financeiros (n.º 2 da subsecção (a)).
A subsecção (b) impõe que os controlos implementados sejam auditados e testados por
entidades independentes.
O HIPAA Act (1996) foi decretado em 1996, mas a regulamentação específica sobre
privacidade e segurança (HIPAA Final Security Role) apenas foi promulgada em 2003
(Fitzgerald, 2008).
O HIPAA Act (1996) tem como objectivo melhorar a eficiência e eficácia do sistema de
cuidados de saúde dos EUA, encorajando o desenvolvimento de um sistema de informação
de saúde através do estabelecimento de normas e requisitos para a transmissão electrónica
de determinada informação de saúde (Beaver & Harold, 2004; Litwak, 2004; Pabrai, 2003).
Por sua vez, o objectivo do HIPAA Final Security Role é “assegurar que as medidas de
segurança adequadas são criadas para proteger a segurança e privacidade das informações
dos cuidados de saúde, mantidas por prestadores de cuidados de saúde, planos de seguros
de saúde, empregadores e de todos aqueles que manipulam transacções electrónicas de
cuidados de saúde” (Fitzgerald, 2008, p. 380).
O FISMA Act (2002) foi formulado para assegurar que as práticas adequadas de segurança
da informação fossem implementadas em todas as grandes infra-estruturas de SI/TIC dos
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 346
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
EUA (Fitzgerald, 2008), sendo extensivo aos fornecedores e outras fontes que suportam os
SI/TIC dos departamentos governamentais (Slade, 2008).
O FISMA Act (2002) tem como objectivo primordial o fornecimento de uma estrutura que
garanta a eficácia dos controlos de segurança dos recursos de informação e proporcionar o
desenvolvimento e manutenção dos controlos mínimos necessários para proteger os
sistemas de informação governamentais.
A UE adoptou diversas medidas para lutar contra as mensagens com conteúdo ilegal e
lesivo na Internet (Directiva 2006/24/CE), para proteger os direitos de propriedade
intelectual e os dados pessoais (Directiva 95/46/CE), para promover o comércio
electrónico assim como a utilização das assinaturas electrónicas e para reforçar a segurança
das transacções (Directiva 2000/31/CE) (Mitrakas, 2006).
Em 2004, o grupo dos dez (constituído por onze países industriais: Bélgica, Canadá,
França, Alemanha, Itália, Japão, Países Baixos, Suécia, Suíça, o Reino Unido e os Estados
Unidos da América, que cooperam nos domínios económico, monetário e financeiro),
reunido na cidade suíça de Basileia, publicou um novo modelo para a
adequação/suficiência de capital denominado International Convergence of Capital
Measurement and Capital Standards: A Revised Framework, também conhecido por Basel
II. Este modelo assenta no acordo de 1988 e estabelece os detalhes para a adopção de
requisitos mínimos de capital mais sensíveis ao risco exigido às organizações bancárias
(Tarantino, 2006). O Basel II assenta em três pilares: requisitos mínimos de capital (pilar
1); processo de revisão da supervisão (pilar 2); disciplina de mercado (pilar 3).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 347
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
Este sistema de referência, publicado pelo ITGI, organismo fundado pelo ISACA, tem
como objectivo “fornecer a informação que as organizações necessitam para alcançar os
seus objectivos, investir, gerir e controlar os seus recursos de TIC, utilizando um conjunto
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 348
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
estruturado de processos” (ITGI, 2007a, p. 10). O COBIT trata o risco numa perspectiva de
negócio e tecnológica e está estruturado em quatro domínios (Planeamento e Organização;
Aquisição e Implementação; Entrega e Suporte e Monitorização e Avaliação) e 34
processos e correspondentes objectivos de controlo de alto nível, conforme apresentado no
Quadro E.2.
Domínio Processo
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 349
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
fraude e relatórios financeiros. Outro dos seus objectivos é estudar os factores que
conduzem às informações financeiras fraudulentas e produzir recomendações para as
empresas privadas, empresas de auditoria e diversos reguladores, tal como a SEC dos EUA
(Fitzgerald, 2008).
O controlo interno definido pelo COSO encerra os seguintes conceitos (Cote, 2007):
• o controlo interno é um processo, i.e., um meio para atingir um fim e não o fim em si
mesmo;
• o controlo interno é executado e influenciado por pessoas, não se resumindo a
manuais e políticas;
• o controlo interno deve fornecer uma garantia razoável (e não absoluta) à gestão.
O COSO baseia-se num quadro tridimensional para avaliar os controlos (Slade, 2008):
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 351
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
Os controlos internos preconizados pelo COSO têm como propósito providenciar uma
garantia razoável de que são alcançados os objectivos relativos à eficácia e eficiência das
operações, fiabilidades das demonstrações financeiras e a conformidade com as leis e
regulamentações (Flowerday & von Solms, 2005).
Tal como o COBIT, também o COSO pode ser utilizado para assegurar a conformidade
com o SOX Act (2002), dado que esta conformidade se baseia, fundamentalmente, nas
actividades de controlo (Cote, 2007). Além disso, o COSO também pode ser usado para os
controlos relacionados com as TIC, mas os critérios de avaliação devem ser satisfeitos em
função do ambiente das TIC.
c) IT Infrastructure Library
d) ISO/IEC 27001:2005
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 352
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 353
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
Processo Descrição
Requisito Componentes
• Requisitos gerais
• Estabelecer e gerir o SGIS
− Estabelecer o SGSI
Secção 4 − Implementar e explorar o SGSI
Sistema de Gestão da − Monitorizar e rever o SGSI
Segurança da Informação − Manter e melhorar o SGSI
(SGSI) • Requisitos dos documentos
− Gerais
− Controlo dos documentos
− Controlo dos registos
• Compromisso da gestão
Secção 5
• Gestão de recursos
Responsabilidades da
− Provimento de recursos
Gestão)
− Formação, consciencialização e competência
Secção 6
Auditorias internas ao SGSI
• Geral
Secção 7
• Inputs da revisão
Revisão do SGSI pela Gestão
• Resultados da revisão
• Melhoria contínua
Secção 8
• Acções correctivas
Melhoria do(SGSI
• Acções preventivas
Fonte: Adaptado de ISO/IEC (2005d).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 354
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
e) ISO/IEC 17799:2005
Esta norma é uma das mais utilizadas para a segurança da informação e é utilizada pelas
organizações como base para o desenvolvimento de normas e práticas de gestão da
segurança. Engloba um vasto conjunto de requisitos de segurança e fornece uma sólida
cobertura para os processos de segurança da informação (Schlarman, 2007a), além de
providenciar os objectivos de controlo, em consonância com os requisitos legais,
regulamentares ou de negócio (Erkonen, 2008).
Esta norma tem como objectivo “estabelecer linhas orientadoras e princípios para a
iniciação, implementação, manutenção e melhoria da gestão da segurança da informação
numa organização” (ISO/IEC, 2005d, p. 1) e é reconhecida e aceite como das melhores
“boas práticas” pelos profissionais de segurança (Qingxiong & Pearson, 2005).
Existe também um processo de certificação nesta norma, através do qual uma organização
se torna certificada ISO. Este tipo de certificação funciona não só como uma declaração
pública da capacidade da organização em gerir a segurança da informação, mas também
como uma demonstração aos parceiros e clientes que a organização implementou os
controlos adequados de segurança da informação e da continuidade do negócio (Saint-
Germain, 2005).
O NIST é a entidade dos EUA responsável pela produção de normas e linhas de orientação
para a segurança dos SI/TIC dos organismos federais, responsabilidade atribuída pelo
Computer Security Act de 1987 (NIST, 1996).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 355
Empresas Portuguesas
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
A norma FIPS 199 tem como objectivo ajudar os organismos governamentais a categorizar
os seus sistemas de informação em baixo, médio e elevado impacto para os objectivos de
segurança confidencialidade, integridade e disponibilidade (NIST, 2004). Por sua vez, a
norma FIPS 200 especifica não só os requisitos mínimos de segurança para a informação e
sistemas de informação, mas também um processo baseado no risco para seleccionar os
controlos de segurança necessários para satisfazer os requisitos mínimos de segurança, os
quais abrangem dezassete domínios de segurança, com o objectivo de proteger a
confidencialidade, integridade e disponibilidade dos sistemas de informação, assim como a
informação processada, armazenada e transmitida por esses sistemas (NIST, 2006). Estes
requisitos mínimos de segurança devem estar em consonância com a classificação dos
sistemas efectuada a partir do FIPS 199 e os controlos para satisfazer estes requisitos
devem ser seleccionados a partir da norma NIST SP 800-53.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 356
Empresas Portuguesas
Apêndice F – Legislação da União Europeia sobre Segurança da Informação
APÊNDICE F
F.1 INTRODUÇÃO
Este apêndice apresenta uma breve descrição das principais leis nacionais sobre protecção
de dados, comunicações comerciais não solicitadas, cibercriminalidade e assinaturas
electrónicas, parte das quais dizem respeito à transposição para a ordem jurídica
portuguesa das Directivas emanadas da UE.
A legislação mais importante sobre protecção de dados é composta pelas seguintes normas
regulatórias:
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 357
Empresas Portuguesas
Apêndice F – Legislação Nacional e da União Europeia sobre Segurança da Informação
• segurança física das instalações (capítulo 3), englobando, entre outros, os seguintes
aspectos: áreas de segurança; localização e estrutura das instalações; energia eléctrica;
climatização; protecção contra incêndios e radiações magnéticas; controlo de
entradas e saídas; responsável e pessoal de segurança; dispositivos de detecção de
intrusos; protecção contra a observação e contra a escuta;
• segurança dos suportes físicos (capítulo 4), onde se enquadram: controlo de
circulação dos suportes informáticos; suportes magnéticos e ópticos; medidas de
segurança nas comunicações e nas redes de comunicação;
• segurança lógica (capítulo 5), onde se destacam: procedimentos de prevenção para
controlo lógico de acessos; segurança no desenvolvimento e aquisição de suportes
lógicos; planos de recuperação e reposição;
• classificação, preparação e segurança de dados e programas classificados (capítulo 6),
salientando-se: classificação de programas e marcação de programas classificados;
identificação dos suportes magnéticos ou ópticos;
• reprodução, transferência, controlo de segurança e destruição de dados e programas
classificados (capítulo 7).
Esta lei (Assembleia da República, 1998) transpõe para a ordem jurídica portuguesa a
Directiva 95/46/CE (Parlamento Europeu e Conselho da União Europeia, 1995), relativa à
protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à
livre circulação desses dados. O tratamento de dados pessoais deve processar-se de forma
transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos,
liberdades e garantias fundamentais (art.º 2.º). A lei aplica-se ao tratamento de dados
pessoais total ou parcialmente automatizado, assim como ao tratamento por meios não
automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados (n.º 1
do art.º 4.º).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 358
Empresas Portuguesas
Apêndice F – Legislação Nacional e da União Europeia sobre Segurança da Informação
17.º). O Capítulo III diz respeito à transferência de dados pessoais e o Capítulo IV define a
natureza, atribuições e competências da Comissão Nacional de Protecção de Dados
[CNPD], autoridade nacional com competência para controlar e fiscalizar o cumprimento
das disposições legais e regulamentares em matéria de protecção de dados pessoais.
Esta lei (Assembleia da República, 2004) transpõe para a ordem jurídica nacional a
Directiva n.º 2002/58/CE (Parlamento Europeu e Conselho da União Europeia, 2002a),
relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das
comunicações electrónicas. Esta lei aplica-se ao tratamento dos dados pessoais no contexto
das redes e serviços de comunicações electrónicas acessíveis ao público, especificando e
complementando as disposições da Lei nº 67/98 (Lei da Protecção de Dados Pessoais) (n.º
2 do art.º 1.º).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 359
Empresas Portuguesas
Apêndice F – Legislação Nacional e da União Europeia sobre Segurança da Informação
Tal como referido no art.º 1.º, este diploma (Ministério da Justiça, 2004) transpõe para a
ordem jurídica interna a Directiva n.º 2000/31/CE (Parlamento Europeu e Conselho da
União Europeia, 2000a), relativa a certos aspectos legais dos serviços da sociedade de
informação, em especial do comércio electrónico, no mercado interno (Directiva sobre
Comércio Electrónico) bem como o artigo 13.º da Directiva n.º 2002/58/CE, relativa ao
tratamento de dados pessoais e a protecção da privacidade no sector das comunicações
electrónicas (Directiva relativa à Privacidade e às Comunicações Electrónicas).
Para efeitos do disposto neste diploma, entende-se por (n.º 1 do art.º 3.º):
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 360
Empresas Portuguesas
Apêndice F – Legislação Nacional e da União Europeia sobre Segurança da Informação
A principal lei sobre a criminalidade informática é a Lei n.º 109/91, a seguir discriminada:
Esta lei (Assembleia da República, 1991) tipifica os seguintes crimes informáticos, cuja
prática faz incorrer o agente prevaricador nas penas previstas:
As penas acessórias previstas neste diploma para os agentes prevaricadores vão desde a
perda de bens (art.º 12.º), interdição temporária do exercício de certas actividades ou
profissões (art.º 14.º), até ao encerramento temporário do estabelecimento (art.º 15.º) e
encerramento definitivo do estabelecimento (art.º 16.º).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 361
Empresas Portuguesas
Apêndice F – Legislação Nacional e da União Europeia sobre Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 362
Empresas Portuguesas
Apêndice F – Legislação Nacional e da União Europeia sobre Segurança da Informação
No âmbito deste diploma, entende-se por base de dados ”a colectânea de obras, dados ou
outros elementos independentes, dispostos de modo sistemático ou metódico e susceptíveis
de acesso individual por meios electrónicos ou outros” (Ministério da Cultura, 2000, p.
2911).
Este diploma (Presidência do Conselho de Ministros, 1994) transpõe para a ordem jurídica
portuguesa a Directiva n.º 91/250/CEE, do Conselho, de 14 de Maio, relativa à protecção
jurídica dos programas de computador e tem por objectivo condensar todas as normas
específicas de protecção dos programas de computador, evitando-se, deste modo,
alterações ao Código do Direito de Autor e dos Direitos Conexos.
O diploma define os termos da autoria dos programas informáticos (art.º 3.º), a sua duração
(art.º 4.º) e a reprodução e transformação dos programas informáticos (art.º 5.º), assim
como os vários direitos associados, designadamente os direitos do utente (art.º 6.º), direito
de pôr em circulação (art.º 8.º) e direitos do titular originário (art.º 9.º). Estão ainda
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 363
Empresas Portuguesas
Apêndice F – Legislação Nacional e da União Europeia sobre Segurança da Informação
contemplados a apreensão dos programas informáticos (art.º 13.º) e a tutela penal (art.º
14.º).
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 364
Empresas Portuguesas
Apêndice F – Legislação Nacional e da União Europeia sobre Segurança da Informação
Para além das Directivas da UE transpostas para a ordem jurídica portuguesa, existem
ainda diversas regulamentações relativas ao comércio electrónico e segurança dos sistemas
e redes de informação, sendo de salientar as seguintes:
a) Comércio Electrónico
• recomendação da Comissão 92/295/CEE (Comissão das Comunidades Europeias,
1992), relativa a códigos de conduta para a protecção dos consumidores em matéria
de contratos negociados à distância;
• directiva 2002/65/CE (Parlamento Europeu e Conselho da União Europeia, 2002b),
relativa à comercialização à distância de serviços financeiros prestados a
consumidores e que altera as Directivas 90/619/CEE do Conselho, 97/7/CE e
98/27/CE;
• directiva 1999/93/CE (Parlamento Europeu e Conselho da União Europeia, 1993),
relativa a um quadro legal comunitário para as assinaturas electrónicas;
• directiva 2001/115/CE (Parlamento Europeu e Conselho da União Europeia, 2001),
que altera a Directiva 77/388/CEE, tendo em vista simplificar, modernizar e
harmonizar as condições aplicáveis à facturação em matéria de imposto sobre o valor
acrescentado;
• directiva 2000/46/CE (Parlamento Europeu e Conselho da União Europeia, 2000b),
relativa ao acesso à actividade das instituições de moeda electrónica e ao seu
exercício, bem como à sua supervisão prudencial;
• recomendação da Comissão 87/598/CEE (Comissão das Comunidades Europeias,
1987), relativa a um código europeu de boa conduta em matéria de pagamento
electrónico (relações entre instituições financeiras, comerciantes-prestadores de
serviços e consumidores);
• recomendação da Comissão 97/489/CE (Comissão das Comunidades Europeias,
1997), relativa às transacções realizadas através de um instrumento de pagamento
electrónico e, nomeadamente, às relações entre o emitente e o detentor.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 365
Empresas Portuguesas
Apêndice F – Legislação Nacional e da União Europeia sobre Segurança da Informação
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 366
Empresas Portuguesas
Apêndice G – Questionários
APÊNDICE G
QUESTIONÁRIOS
G.1 INTRODUÇÃO
Este apêndice apresenta o desenho do questionário, nas suas versões em papel e electrónica.
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 367
Empresas Portuguesas
Apêndice G – Questionários
N.º de pessoas que utilizam computadores, pelo menos uma vez por semana:
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 368
Empresas Portuguesas
Apêndice G – Questionários
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 369
Empresas Portuguesas
Apêndice G – Questionários
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 370
Empresas Portuguesas
Apêndice G – Questionários
Participam/lideram o desenvolvimento da
estratégia das tecnologias de informação.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 371
Empresas Portuguesas
Apêndice G – Questionários
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 372
Empresas Portuguesas
Apêndice G – Questionários
3.5 Tecnologia:
Nem
Discordo discordo Concordo
Discordo Concordo
totalmente nem Totalmente
concordo
1 2 3 4 5
As tecnologias de segurança são adquiridas em
função das características da informação a
proteger.
A sua empresa adquire tecnologias de segurança
certificadas.
As tecnologias de segurança adquiridas pela sua
empresa estão em conformidade com a infra-
estrutura tecnológica existente.
A estratégia de segurança da sua empresa baseia-
se em controlos técnicos e operacionais.
3.6 Pessoas:
Nem
Discordo discordo Concordo
Discordo Concordo
totalmente nem Totalmente
concordo
1 2 3 4 5
Os empregados compreendem perfeitamente as
consequências da violação das políticas de
segurança.
A consciencialização da segurança da informação
é transmitida correctamente.
Os utilizadores recebem formação em segurança
antes de receberem autorização para aceder à rede
informática da empresa.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 373
Empresas Portuguesas
Apêndice G – Questionários
Nem
Discordo discordo Concordo
Discordo Concordo
totalmente nem Totalmente
concordo
1 2 3 4 5
Existe um programa contínuo de
consciencialização em segurança.
Os empregados do departamento de tecnologias de
informação estão bem treinados relativamente às
políticas de segurança da informação.
Os utilizadores recebem formação em segurança
adequada às suas funções.
Os empregados recebem formação sobre os
perigos da Internet.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 374
Empresas Portuguesas
Apêndice G – Questionários
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 375
Empresas Portuguesas
Apêndice G – Questionários
25-Fabricação de produtos metálicos, excepto máquinas e 65-Seguros, resseguros e fundos de pensões, excepto segurança
equipamentos. social obrigatória.
26-Fabricação de equipamentos informáticos, equipamento para 66-Actividades auxiliares de serviços financeiros e dos seguros.
comunicações e produtos electrónicos e ópticos. 68-Actividades imobiliárias.
27-Fabricação de equipamento eléctrico. 69-Actividades jurídicas e de contabilidade.
28-Fabricação de máquinas e de equipamentos, n.e.. 70-Actividades das sedes sociais e de consultoria para a gestão.
29-Fabricação de veículos automóveis, reboques, semi-reboques 71-Actividades de arquitectura, de engenharia e técnicas afins;
e componentes para veículos automóveis. actividades de ensaios e de análises técnicas.
30-Fabricação de outro equipamento de transporte. 72-Actividades de investigação científica e de desenvolvimento.
31-Fabrico de mobiliário e de colchões. 73-Publicidade, estudos de mercado e sondagens de opinião.
32-Outras indústrias transformadoras. 74-Outras actividades de consultoria, científicas, técnicas e
33-Reparação, manutenção e instalação de máquinas e similares.
equipamentos. 75-Actividades veterinárias.
35-Electricidade, gás, vapor, água quente e fria e ar frio. 77-Actividades de aluguer.
36-Captação, tratamento e distribuição de água. 78-Actividades de emprego.
37-Recolha, drenagem e tratamento de águas residuais. 79-Agências de viagem, operadores turísticos, outros serviços de
38-Recolha, tratamento e eliminação de resíduos; valorização de reservas e actividades relacionadas.
materiais. 80-Actividades de investigação e segurança.
39-Descontaminação e actividades similares. 81-Actividades relacionadas com edifícios, plantação e
41-Promoção imobiliária (desenvolvimento de projectos de manutenção de jardins.
edifícios); construção de edifícios. 82-Actividades de serviços administrativos e de apoio prestados
42-Engenharia civil. às empresas.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 376
Empresas Portuguesas
Apêndice G – Questionários
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 377
Empresas Portuguesas
Apêndice G – Questionários
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 378
Empresas Portuguesas
Apêndice G – Questionários
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 379
Empresas Portuguesas
Apêndice G – Questionários
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 380
Empresas Portuguesas
Apêndice H – Mensagens a Convidar à Resposta ao Questionário
APÊNDICE H
H.1 INTRODUÇÃO
H.2 MENSAGENS
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 381
Empresas Portuguesas
Apêndice H – Mensagens a Convidar à Resposta ao Questionário
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 382
Empresas Portuguesas
Apêndice H – Mensagens a Convidar à Resposta ao Questionário
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 383
Empresas Portuguesas
Apêndice H – Mensagens a Convidar à Resposta ao Questionário
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 384
Empresas Portuguesas
Apêndice I – As Pequenas e Médias Empresas na Economia Nacional
APÊNDICE I
I.1 INTRODUÇÃO
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 385
Empresas Portuguesas
Apêndice I – As Pequenas e Médias Empresas na Economia Nacional
Tabela I.1: Empresas (Nº e %) por actividade económica e escalão de pessoal ao serviço.
Pessoal ao Serviço
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 386
Empresas Portuguesas
Apêndice I – As Pequenas e Médias Empresas na Economia Nacional
Tabela I.2: Empresas (N.º e %) por tipo de PME e por actividade económica.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 387
Empresas Portuguesas
Apêndice I – As Pequenas e Médias Empresas na Economia Nacional
Tabela I.3: Pessoal ao serviço (N.º e %) por actividade económica e escalão de pessoal ao serviço.
Pessoal ao Serviço
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 388
Empresas Portuguesas
Apêndice I – As Pequenas e Médias Empresas na Economia Nacional
Tabela I.4: Pessoal ao serviço (N.º e %) por tipo de PME e por actividade económica.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 389
Empresas Portuguesas
Apêndice I – As Pequenas e Médias Empresas na Economia Nacional
Tabela I.5: Volume de negócios das empresas (valor e %) por actividade económica e escalão de
pessoal ao serviço (em milhões de euros).
Pessoal ao Serviço
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 390
Empresas Portuguesas
Apêndice I – As Pequenas e Médias Empresas na Economia Nacional
Tabela I.6: Volume de negócios por tipo de PME e por actividade económica (em milhões de euros).
K - Actividades imobiliárias e
15 438 56,9% 6 360 23,5% 5 314 19,6% 27 112 10,7%
serviços prestados às empresas
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 391
Empresas Portuguesas
Apêndice J – Matrizes de Correlação entre os Itens dos Constructos
APÊNDICE J
J.1 INTRODUÇÃO
Tabela J.1: Correlação dos itens do constructo “percepção do risco pelos gestores”.
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 392
Empresas Portuguesas
Apêndice J – Matrizes de Correlação entre os Itens dos Constructos
Tabela J.4: Correlação dos itens do constructo “características individuais dos gestores”.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 393
Empresas Portuguesas
Apêndice J – Matrizes de Correlação entre os Itens dos Constructos
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 394
Empresas Portuguesas
Apêndice J – Matrizes de Correlação entre os Itens dos Constructos
Tabela J.11: Correlação dos itens do constructo “eficácia das práticas de segurança da informação”.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 395
Empresas Portuguesas
Apêndice K – Diagramas do Teste do Efeito Moderador da Variável PerGest
APÊNDICE K
K.1 INTRODUÇÃO
Gráfico K.1: Relação entre GovSeg e PerGest. Gráfico K.2: Relação entre GRisco e PerGest.
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 396
Empresas Portuguesas
Apêndice K – Diagramas do Teste do Efeito Moderador da Variável PerGest
Gráfico K.5: Relação entre Pessoas e PerGest. Gráfico K.6: Relação entre Leis e PerGest.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 397
Empresas Portuguesas
Apêndice K – Diagramas do Teste do Efeito Moderador da Variável PerGest
Gráfico K.7: Distribuição de ZRE_1 do modelo Gráfico K.8: Distribuição de ZRE_1 do modelo
Gráfico K.9: Distribuição de ZRE_1 do modelo Gráfico K.10: Distribuição de ZRE_1 do modelo
InvSeg e PerGest. Tecno / PerGest.
Gráfico K.11: Distribuição de ZRE_1 do modelo Gráfico K.12: Distribuição de ZRE_1 do modelo
Pessoas / PerGest. Leis / PerGest.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 398
Empresas Portuguesas
Apêndice K – Diagramas do Teste do Efeito Moderador da Variável PerGest
K.4 HOMOCEDASTICIDADE
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 399
Empresas Portuguesas
Apêndice K – Diagramas do Teste do Efeito Moderador da Variável PerGest
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 400
Empresas Portuguesas