DG Joaquim Casaca Tese

Universidades Lusíada
Casaca, Joaquim António Aurélio, 1958-

Um modelo integrado para a gestão da segurança
da informação nas pequenas e médias empresas
portuguesas
http://hdl.handle.net/11067/2820
Metadados
Data de Publicação 2010
Resumo As pequenas e médias empresas assumem um papel relevante na
economia nacional e internacional, em termos de produção, emprego
e volume de negócios. Contudo, existe uma carência de investigação
científica na área da segurança da informação nas pequenas e médias
empresas. o objectivo desta tese é atenuar esta lacuna, caracterizando a
eficácia das práticas de gestão da segurança da informação nas pequenas
e médias empresas e a formação da percepção dos riscos da segurança da
informação pelos seus ...
Palavras Chave Pequenas e médias empresas - Processamento de dados - Medidas de
segurança, Segurança informática, Sistemas de informação para a gestão -
Medidas de segurança, Avaliação do risco, Pequenas e médias empresas -
Gestão
Tipo doctoralThesis
Revisão de Pares Não
Coleções [ULL-FCEE] Teses
Esta página foi gerada automaticamente em 2019-10-28T18:52:17Z com

informação proveniente do Repositório
http://repositorio.ulusiada.pt
UNIVERSIDADE LUSÍADA DE LISBOA
Faculdade de Ciências da Economia e da Empresa
Doutoramento em Gestão
Um modelo integrado para a gestão da segurança

da informação nas pequenas e médias
empresas portuguesas
Realizado por:
Joaquim António Aurélio Casaca
Orientado por:
Prof.ª Doutora Maria Manuela Marques Faia Correia
Constituição do Júri:
Presidente: Prof. Doutor Eng. Diamantino Freitas Gomes Durão

Orientadora: Prof.ª Doutora Maria Manuela Marques Faia Correia
Arguente: Prof. Doutor Luís Manuel Ribeiro Vieira
Arguente: Prof. Doutor Eng. Joaquim Mesquita da Cunha Viana
Vogal: Prof.ª Doutora Eng.ª Maria Manuela Martins Saraiva Sarmento Coelho
Vogal: Prof. Doutor Ilídio Rodrigues Antunes
Tese aprovada em: 14 de Junho de 2010
Lisboa
2010
UNIVERSIDADE LUSÍADA DE LISBOA
FACULDADE DE CIÊNCIAS DA ECONOMIA E DA

EMPRESA
UM MODELO INTEGRADO PARA A GESTÃO DA

SEGURANÇA DA INFORMAÇÃO NAS PEQUENAS E
MÉDIAS EMPRESAS PORTUGUESAS
Autor: Mestre Joaquim António Casaca
Orientadora: Professora Doutora Manuela Faia Correia
Co-Orientador: Professor Doutor Ilídio Rodrigues Antunes
Tese submetida como requisito parcial para a obtenção do grau

de Doutor em Gestão
Lisboa, Janeiro de 2010

Dedicatória
DEDICATÓRIA
Aos meus pais,
Arminda e José.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias ii

Empresas Portuguesas
Agradecimentos
AGRADECIMENTOS
Ao atingir o final deste trabalho dedicado à segurança da informação nas pequenas e

médias empresas portuguesas, constato que tive a colaboração de muitas pessoas, sem a
qual seria impossível este resultado. Pedindo desculpa por algum involuntário
esquecimento, aqui deixo registado o meu reconhecimento.
Em primeiro lugar, o meu obrigado muito especial à minha orientadora, Professora

Doutora Manuela Faia Correia, pois foi a sua disponibilidade, apoio, acompanhamento e o
seu empenho que tornou possível elaborar, validar e concluir esta tese.
Ao meu co-orientador, Professor Doutor Ilídio Rodrigues Antunes, pela sua orientação e
disponibilidade para acompanhar esta investigação.
À Dr.ª Helena Duarte do IAPMEI, pela colaboração prestada na fase inicial da

investigação e à sua disponibilidade para colaborações futuras com o IAPMEI no âmbito
da segurança da informação nas pequenas e médias empresas portuguesas.
À Eng.ª Sandra Martins do IAPMEI pelos contactos estabelecidos com algumas empresas
para a realização do pré-teste do instrumento de medida e à sua disponibilidade para nos
acompanhar nas visitas efectuadas.
À Dr.ª Isabel Viana da Informa D&B pela disponibilização de registos de pequenas e

médias empresas para envio do questionário e à Dr.ª Maria do Carmo Prates pela selecção
das empresas constantes da base de dados da Informa D&B, de acordo com os critérios por
nós definidos.
Ao Dr. Gabriel Coimbra da IDC Portugal pela sua disponibilidade para uma colaboração
na administração do questionário e pela divulgação da nossa investigação e pedido de
resposta ao inquérito na página de Internet da IDC.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias iii
À Dr.ª Paula Palma da INSTFORM, pela sua disponibilidade e empenho na administração
do questionário junto dos seus clientes.
À Dr.ª Cláudia Guerreiro do INE pela disponibilização de informação sobre o número de

sociedades segundo a classificação CAE Rev.3 e à Dr.ª Cátia Pedro por nos facilitar os
contactos no INE.
O meu obrigado a todos aqueles que validaram o questionário: Prof. Doutor Marc Scholten,
Prof. Doutor Pedro Z. Caldeira, Prof. Doutor Rodrigo Magalhães, Prof. Doutor Luis Lages,
Prof.ª. Doutora Carmen Lages, Prof. Doutor Jorge Gomes, Prof. Doutor Fernando Gaspar,
Prof. Doutor Miguel Cunha, Prof. Doutor César Madureira e Prof.ª. Doutora Manuela
Sarmento; Dr. Hervé Silva e Dr. Rui Vaz da GMS Consulting, Dr. Edgar Pimenta e Dr.
Pedro Campos da Portugal Telecom; Dr. Carlos Palito e Eng. Valério Bargado da ZON
Multimédia.
Joaquim António A. Casaca
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias iv

Resumo
RESUMO
As pequenas e médias empresas assumem um papel relevante na economia nacional e

internacional, em termos de produção, emprego e volume de negócios. Contudo, existe
uma carência de investigação científica na área da segurança da informação nas pequenas e
médias empresas.
O objectivo desta tese é atenuar esta lacuna, caracterizando a eficácia das práticas de
gestão da segurança da informação nas pequenas e médias empresas e a formação da
percepção dos riscos da segurança da informação pelos seus gestores.
A presente investigação foi baseada num questionário como principal instrumento de

recolha de dados. Foram recolhidas 674 respostas válidas, tanto na versão electrónica,
como na versão em papel do questionário. Com base nessas respostas, testou-se o modelo
conceptual de investigação, com recurso a modelos de regressão linear simples e múltipla.
Os resultados indicam que o governo da segurança da informação, as tecnologias de

segurança da informação, as pessoas e a percepção dos riscos de segurança da informação
pelos gestores são determinantes na eficácia das práticas de gestão da segurança da
informação nas pequenas e médias empresas. São necessárias mais investigações para
identificar como é formada a percepção dos riscos da segurança da informação pelos
gestores das pequenas e médias empresas. A utilização de instrumentos de medida
alternativos e outras técnicas de amostragem podem fornecer uma melhor compreensão
desta área de investigação.
Palavras-chave: informação, segurança da informação, sistemas de informação,

tecnologias de informação e de comunicação, percepções da gestão, riscos, ameaças e
vulnerabilidades.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias v

Abstract
ABSTRACT
Small and medium size firms are very important for national and international economies,
gross domestic product, turnover and employment. However, there is a dearth of scientific
empirical research in an area that is quintessential for small and medium size firms, which
is information security.
The aim of the present dissertation is to attenuate this gap by characterizing the
effectiveness of management practices of information security in small and medium size
firms and by studying the perception of information security risk formation of the
shareholders / managers of small and medium size firms.
The present research was based on questionnaire as the main instrument of data collection.
We collected 674 valid questionnaires, both electronically and paper versions were used.
We tested the conceptual model of research, using models of simple and multiple linear
regressions.
The results indicate that the information security governance, information security
technologies, people and managers perception of information security risk are crucial for
the effectiveness of management practices of information security in small and medium
size firms. Further research is needed to identify how perception of information security
risks is formed by the shareholders/managers of small and medium size firms; alternative
measurement instruments and sampling technique provide a better understanding of this
research area.
Keywords: information, information security, information systems, information and

communication technologies, managerial perceptions, risks, threats and vulnerabilities.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias vi

Índice
ÍNDICE
DEDICATÓRIA ................................................................................................................... II

AGRADECIMENTOS ........................................................................................................ III
RESUMO ............................................................................................................................. V
ABSTRACT ........................................................................................................................ VI
ÍNDICE...............................................................................................................................VII
ÍNDICE DE FIGURAS ..................................................................................................... XV
ÍNDICE DE GRÁFICOS .............................................................................................. XVIII
ÍNDICE DE QUADROS .................................................................................................. XIX
ÍNDICE DE TABELAS ................................................................................................... XXI
LISTA DE ABREVIATURAS ...................................................................................... XXIV
LISTA DE SIGLAS ....................................................................................................... XXV
INTRODUÇÃO ................................................................................................................... 1
1. ENQUADRAMENTO ............................................................................................ 1
2. JUSTIFICAÇÃO DO TEMA .................................................................................. 3
3. PROBLEMA DA INVESTIGAÇÃO ...................................................................... 4
4. QUESTÕES DA INVESTIGAÇÃO ....................................................................... 5
5. OBJECTIVOS ......................................................................................................... 5
6. HIPÓTESES ............................................................................................................ 5
7. METODOLOGIA ................................................................................................... 8
8. MODELO METODOLÓGICO DA INVESTIGAÇÃO ......................................... 9
9. SÍNTESE DOS CAPÍTULOS DA TESE .............................................................. 11
PARTE TEÓRICA ............................................................................................................ 13
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias vii
CAPÍTULO 1 - FRAMEWORK PARA O ESTUDO DA SEGURANÇA DA
INFORMAÇÃO NAS ORGANIZAÇÕES ...................................................................... 14
1.1 INTRODUÇÃO..................................................................................................... 14
1.2 SUPORTE DA REVISÃO DA LITERATURA ................................................... 14
1.3 DEFINIÇÃO DO FRAMEWORK ......................................................................... 15
CAPÍTULO 2 - A SEGURANÇA DA INFORMAÇÃO ................................................ 18

2.1 INTRODUÇÃO..................................................................................................... 18
2.2 INFORMAÇÃO E SEGURANÇA DA INFORMAÇÃO..................................... 18
2.3 A IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO ............................ 25
2.4 ESTRATÉGIA E POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO ........... 29
2.5 NORMAS E MODELOS DE MATURIDADE .................................................... 33
CAPÍTULO 3 - O GOVERNO DA SEGURANÇA DA INFORMAÇÃO.................... 38

3.1 INTRODUÇÃO..................................................................................................... 38
3.2 O GOVERNO DAS SOCIEDADES ..................................................................... 38
3.3 O GOVERNO DOS SISTEMAS E TECNOLOGIAS DE INFORMAÇÃO E
COMUNICAÇÃO ........................................................................................................... 40
3.4 CARACTERÍSTICAS DO GOVERNO DA SEGURANÇA DA INFORMAÇÃO
............................................................................................................................... 41
3.5 MODELOS DE GOVERNO DA SEGURANÇA DA INFORMAÇÃO .............. 45
3.6 AVALIAÇÃO DO GOVERNO DA SEGURANÇA DA INFORMAÇÃO ......... 51
CAPÍTULO 4 - A GESTÃO DO RISCO DA SEGURANÇA DA INFORMAÇÃO ... 55

4.1 INTRODUÇÃO..................................................................................................... 55
4.2 O RISCO DA SEGURANÇA DA INFORMAÇÃO ............................................ 55
4.3 GESTÃO EFECTIVA DOS RISCOS DA SEGURANÇA DA INFORMAÇÃO 61
4.4 ABORDAGENS À GESTÃO DO RISCO DA SEGURANÇA DA
INFORMAÇÃO .............................................................................................................. 65
4.5 METODOLOGIAS E MODELOS ....................................................................... 69
4.6 MODELO PROCESSUAL DA GESTÃO DO RISCO DA SEGURANÇA DA
INFORMAÇÃO .............................................................................................................. 70
4.6.1 IDENTIFICAÇÃO E AVALIAÇÃO DE ACTIVOS .................................................... 71
4.6.2 ANÁLISE DE VULNERABILIDADES ................................................................... 73
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias viii
4.6.3 ANÁLISE DE AMEAÇAS .................................................................................... 74
4.6.4 ANÁLISE DE RISCO .......................................................................................... 77
4.6.5 CONTROLOS E MEDIDAS PREVENTIVAS ........................................................... 79
4.6.6 PLANO DE ACÇÃO ........................................................................................... 83
4.6.7 CONTROLAR E MONITORIZAR.......................................................................... 84
CAPÍTULO 5 - INVESTIMENTO EM SEGURANÇA DA INFORMAÇÃO ............ 86

5.1 INTRODUÇÃO..................................................................................................... 86
5.2 IMPACTOS E CUSTOS ....................................................................................... 86
5.3 AVALIAÇÃO DO INVESTIMENTO .................................................................. 89
5.4 INVESTIMENTO E ORÇAMENTAÇÃO ........................................................... 91
5.5 MODELO DE MATURIDADE ............................................................................ 95
CAPÍTULO 6 - TECNOLOGIAS DE SEGURANÇA DA INFORMAÇÃO ............... 99

6.1 INTRODUÇÃO..................................................................................................... 99
6.2 SELECÇÃO DE TECNOLOGIAS DE SEGURANÇA ....................................... 99
6.3 CATEGORIAS DE TECNOLOGIAS DE SEGURANÇA................................. 100
6.4 NORMAS PARA AQUISIÇÃO DE TECNOLOGIAS DE SEGURANÇA ...... 103
CAPÍTULO 7 - O FACTOR HUMANO NA SEGURANÇA DA INFORMAÇÃO .. 109

7.1 INTRODUÇÃO................................................................................................... 109
7.2 O PAPEL DAS PESSOAS NA SEGURANÇA DA INFORMAÇÃO ............... 109
7.3 FORMAÇÃO E ACÇÕES DE SENSIBILIZAÇÃO .......................................... 111
7.4 ENGENHARIA SOCIAL ................................................................................... 115
7.5 AS AMEAÇAS INTERNAS............................................................................... 117
7.6 O COMPORTAMENTO ÉTICO DOS UTILIZADORES ................................. 126
CAPÍTULO 8 - A SEGURANÇA DA INFORMAÇÃO COMO REQUISITO LEGAL

................................................................................................................................... 132
8.1 INTRODUÇÃO................................................................................................... 132
8.2 LEIS, NORMAS E REGULAMENTOS ............................................................ 132
8.3 CONFORMIDADE COM OS REQUISITOS LEGAIS ..................................... 135
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias ix

CAPÍTULO 9 - A SEGURANÇA DA INFORMAÇÃO NAS PEQUENAS E MÉDIAS
EMPRESAS ..................................................................................................................... 142
9.1 INTRODUÇÃO................................................................................................... 142
9.2 CONCEITO DE PEQUENAS E MÉDIAS EMPRESAS ................................... 142
9.3 UTILIZAÇÃO DOS SISTEMAS E TECNOLOGIAS DA INFORMAÇÃO E
COMUNICAÇÃO NAS PEQUENAS E MÉDIAS EMPRESAS ................................. 144
9.4 UTILIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO NAS PEQUENAS E
MÉDIAS EMPRESAS .................................................................................................. 146
CAPÍTULO 10 - MODELO DE INVESTIGAÇÃO E DEFINIÇÃO DE HIPÓTESES .

................................................................................................................................... 153
10.1 INTRODUÇÃO................................................................................................... 153
10.2 CONJECTURA TEÓRICA ................................................................................. 153
10.3 OBJECTIVOS E PROBLEMAS DA INVESTIGAÇÃO ................................... 154
10.4 MODELO E HIPÓTESES DE INVESTIGAÇÃO ............................................. 155
PARTE EMPÍRICA ........................................................................................................ 165
CAPÍTULO 11 - CARACTERIZAÇÃO DA POPULAÇÃO ALVO ......................... 166

11.1 INTRODUÇÃO................................................................................................... 166
11.2 CARACTERIZAÇÃO DAS PEQUENAS E MÉDIAS EMPRESAS
PORTUGUESAS........................................................................................................... 166
11.2.1 A IMPORTÂNCIA DAS PEQUENAS E MÉDIAS EMPRESAS PORTUGUESAS NA
ECONOMIA NACIONAL ................................................................................................ 166
11.2.2 A PRESENÇA DOS SISTEMAS E TECNOLOGIAS DA INFORMAÇÃO E
COMUNICAÇÃO NAS PEQUENAS E MÉDIAS EMPRESAS PORTUGUESAS ........................ 168
11.3 DEFINIÇÃO DA POPULAÇÃO ALVO DA INVESTIGAÇÃO ...................... 171
11.4 DIMENSIONAMENTO DA AMOSTRA .......................................................... 173
CAPÍTULO 12 - METODOLOGIA DE INVESTIGAÇÃO ....................................... 175

12.1 INTRODUÇÃO................................................................................................... 175
12.2 OPERACIONALIZAÇÃO DOS CONSTRUCTOS ........................................... 175
12.3 DESENHO DO INSTRUMENTO DE MEDIDA............................................... 181
12.4 VALIDAÇÃO DO INSTRUMENTO DE MEDIDA ......................................... 181
12.4.1 FASE I - REVISÃO .......................................................................................... 182
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias x
12.4.2 FASE II – PRÉ-TESTE ..................................................................................... 183
12.4.3 FASE III – TESTE PILOTO ............................................................................... 185
12.4.3.1 Determinação da Fiabilidade ............................................................. 188
12.4.3.2 Determinação da Validade de Constructo ......................................... 191
12.5 ADMINISTRAÇÃO DO QUESTIONÁRIO E RECOLHA DE DADOS ......... 195
12.5.1 CRIAÇÃO DA BASE DE DADOS DE PEQUENAS E MÉDIAS EMPRESAS .............. 195
12.5.2 ADMINISTRAÇÃO DO QUESTIONÁRIO ............................................................ 197
12.5.3 RECOLHA DE DADOS ..................................................................................... 200
CAPÍTULO 13 - RESULTADOS E DISCUSSÃO DOS DADOS ............................... 204

13.1 INTRODUÇÃO................................................................................................... 204
13.2 CARACTERIZAÇÃO DA AMOSTRA ............................................................. 204
13.3 ESTATÍSTICAS DESCRITIVAS, FIABILIDADE E VALIDADE DOS
CONSTRUCTOS .......................................................................................................... 211
13.4 TESTE DO MODELO CONCEPTUAL DE INVESTIGAÇÃO........................ 219
13.4.1 ESTRUTURA DO TESTE DO MODELO CONCEPTUAL DE INVESTIGAÇÃO .......... 219
13.4.2 TESTE DO MODELO “PERCEPÇÃO DOS RISCOS DA SEGURANÇA DA INFORMAÇÃO
PELOS GESTORES” ...................................................................................................... 221
13.4.2.1 Exploração dos Dados ....................................................................... 222

13.4.2.2 Estimação e Inferência....................................................................... 223
13.4.2.3 Hipóteses do Modelo ......................................................................... 227
13.4.3 TESTE DO MODELO “EFICÁCIA DA SEGURANÇA DA INFORMAÇÃO” .............. 231
13.4.3.1 Teste dos Efeitos Indirectos............................................................... 232
13.4.3.1.1 Exploração dos Dados ................................................................... 233
13.4.3.1.2 Estimação e Inferência .................................................................. 234
13.4.3.1.3 Hipóteses dos Modelos .................................................................. 236
13.4.3.2 Teste dos Efeitos Directos sem Variáveis de Controlo ..................... 237
13.4.3.2.3 Hipóteses do Modelo...................................................................... 244
13.4.3.3 Teste dos Efeitos Directos com Variáveis de Controlo ..................... 247
13.4.3.3.1 Variáveis Independentes Artificiais ............................................... 248
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xi

13.4.3.3.4 Hipóteses do Modelo...................................................................... 253
13.5 DISCUSSÃO DOS RESULTADOS ................................................................... 253
CAPÍTULO 14 - CONCLUSÕES E RECOMENDAÇÕES ........................................ 261

14.1 INTRODUÇÃO................................................................................................... 261
14.2 VERIFICAÇÃO DAS HIPÓTESES ................................................................... 261
14.3 REFLEXÕES FINAIS ........................................................................................ 265
14.4 CONTRIBUIÇÕES TEÓRICAS E PRÁTICAS ................................................. 268
14.5 LIMITES À INVESTIGAÇÃO E RECOMENDAÇÕES................................... 270
14.6 INVESTIGAÇÕES FUTURAS .......................................................................... 272
14.7 CONSIDERAÇÕES FINAIS .............................................................................. 272
BIBLIOGRAFIA ............................................................................................................. 274
GLOSSÁRIO ................................................................................................................... 302
APÊNDICE A – COMPONENTES, MODELOS E MÉTRICAS DA SEGURANÇA

DA INFORMAÇÃO ........................................................................................................ 306
A.1 INTRODUÇÃO................................................................................................... 306
A.2 COMPONENTES DA ESTRÉGIA DA SEGURANÇA DA INFORMAÇÃO . 306
A.3 MODELOS E MÉTRICAS DA SEGURANÇA DA INFORMAÇÃO .............. 308
APÊNDICE B – METODOLOGIAS DE GESTÃO DO RISCO DA SEGURANÇA

DA INFORMAÇÃO ........................................................................................................ 315
B.1 INTRODUÇÃO................................................................................................... 315
B.2 METODOLOGIAS DE GESTÃO DO RISCO DA SEGURANÇA DA
INFORMAÇÃO ............................................................................................................ 315
APÊNDICE C – NORMAS E REGULAMENTOS SOBRE CONTROLOS DE

SEGURANÇA DA INFORMAÇÃO.............................................................................. 326
C.1 INTRODUÇÃO................................................................................................... 326
C.2 NORMAS E REGULAMENTOS ....................................................................... 326
APÊNDICE D – TECNOLOGIAS DE SEGURANÇA DA INFORMAÇÃO ........... 334

D.1 INTRODUÇÃO................................................................................................... 334
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xii
D.2 TIPOLOGIA DAS TECNOLOGIAS DE SEGURANÇA DA INFORMAÇÃO 334
APÊNDICE E – LEIS E REGULAMENTAÇÕES SOBRE SEGURANÇA DA

INFORMAÇÃO ............................................................................................................... 338
E.1 INTRODUÇÃO................................................................................................... 338
E.2 TAXINOMIA DOS REGULAMENTOS, NORMAS E MODELOS ................ 338
E.3 LEIS E REGULAMENTAÇÕES ....................................................................... 345
E.4 NORMAS E MODELOS DE REFERÊNCIA DA SEGURANÇA DA
INFORMAÇÃO ............................................................................................................ 348
APÊNDICE F – LEGISLAÇÃO DA UNIÃO EUROPEIA SOBRE SEGURANÇA DA

INFORMAÇÃO ............................................................................................................... 357
F.1 INTRODUÇÃO................................................................................................... 357
F.2 LEGISLAÇÃO NACIONAL SOBRE PROTECÇÃO DE DADOS .................. 357
F.3 LEGISLAÇÃO NACIONAL SOBRE CIBERCRIMINALIDADE ................... 361
F.4 LEGISLAÇÃO NACIONAL SOBRE ASSINATURAS ELECTRÓNICAS..... 361
F.5 OUTRA LEGISLAÇÃO NACIONAL ............................................................... 362
F.6 LEGISLAÇÃO DA UNIÃO EUROPEIA .......................................................... 365
APÊNDICE G – QUESTIONÁRIOS ............................................................................ 367

G.1 INTRODUÇÃO................................................................................................... 367
G.2 QUESTIONÁRIO EM PAPEL ........................................................................... 367
G.3 QUESTIONÁRIO EM VERSÃO ELECTRÓNICA .......................................... 377
APÊNDICE H – MENSAGENS A CONVIDAR À RESPOSTA AO

QUESTIONÁRIO............................................................................................................ 381
H.1 INTRODUÇÃO................................................................................................... 381
H.2 MENSAGENS..................................................................................................... 381
APÊNDICE I – AS PEQUENAS E MÉDIAS EMPRESAS NA ECONOMIA

NACIONAL ..................................................................................................................... 385
I.1 INTRODUÇÃO................................................................................................... 385
I.2 INDICADORES ECONÓMICOS ...................................................................... 385
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xiii
APÊNDICE J – MATRIZES DE CORRELAÇÃO ENTRE OS ITENS DOS
CONSTRUCTOS ............................................................................................................. 392
J.1 INTRODUÇÃO................................................................................................... 392
J.2 MATRIZES DE CORRELAÇÃO....................................................................... 392
APÊNDICE K – DIAGRAMAS DO TESTE DO EFEITO MODERADOR DA

VARIÁVEL PERGEST ................................................................................................... 396
K.1 INTRODUÇÃO................................................................................................... 396
K.2 DIAGRAMAS DE DISPERSÃO ........................................................................ 396
K.3 DISTRIBUIÇÃO DA VARIÁVEL ZRE_1 ........................................................ 397
K.4 HOMOCEDASTICIDADE ................................................................................. 399
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xiv
Índice de Figuras
ÍNDICE DE FIGURAS
Figura 0.1: Modelo de investigação da eficácia das práticas de gestão da segurança da

informação nas PMEs. ........................................................................................................... 6
Figura 0.2: Modelo metodológico da investigação. ............................................................ 10
Figura 1.1: Modelo de referência para o estudo da gestão da segurança da informação. ... 17
Figura 2.1: Conceitos e relações de segurança. ................................................................... 20
Figura 2.2: Incidente de segurança. ..................................................................................... 22
Figura 2.3: Modelo de maturidade para a segurança da informação. .................................. 35
Figura 2.4: Maturidade do programa de segurança e tipos de medição. ............................. 36
Figura 3.1: Modelo para o governo da segurança da informação. ...................................... 46
Figura 3.2: Modelo “Ciclo Dirigir-Controlar”. ................................................................... 48
Figura 3.3: Modelo de controlo do governo da segurança da informação. ......................... 49
Figura 3.4: Modelo de maturidade do governo da segurança da informação...................... 52
Figura 3.5: As três dimensões da maturidade. ..................................................................... 53
Figura 4.1: Quatro elementos do risco. ............................................................................... 57
Figura 4.2: Componentes do risco. ...................................................................................... 58
Figura 4.3: Modelo para a percepção dos riscos dos sistemas pelos gestores. .................... 61
Figura 4.4: Ciclo das acções de segurança segundo a teoria da dissuasão. ......................... 62
Figura 4.5: Modelo de segurança. ....................................................................................... 64
Figura 4.6: Abordagens à gestão do risco............................................................................ 66
Figura 4.7: Modelo de Análise de Risco. ............................................................................ 71
Figura 4.8: O modelo PDCA para a gestão de vulnerabilidades. ........................................ 74
Figura 4.9: Elementos da análise de risco. .......................................................................... 77
Figura 4.10: Risco como função do valor do activo, ameaça e vulnerabilidade. ................ 81
Figura 4.11: Estratégia de mitigação dos riscos. ................................................................. 83
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xv

Figura 4.12: Estrutura conceptual para o desenvolvimento de procedimentos de avaliação.
............................................................................................................................................. 85
Figura 5.1: Nível de custos da segurança da informação. ................................................... 88
Figura 5.2: Ciclo de vida do investimento: seleccionar-controlar-avaliar........................... 96
Figura 5.3: Modelo de maturidade ITIM. ............................................................................ 97
Figura 6.1: Taxinomia das tecnologias de segurança da informação. ............................... 101
Figura 7.1: Componentes e ligações da ACSI. .................................................................. 114
Figura 7.2: Factores que influenciam o comportamento de segurança dos utilizadores. .. 120
Figura 7.3: Comportamentos dos utilizadores finais. ........................................................ 121
Figura 7.4: Âmbito de obrigação das teorias normativas da ética empresarial. ................ 128
Figura 7.5: Ambientes de comportamento. ....................................................................... 130
Figura 8.1: Evolução na adopção de modelos de segurança da informação. .................... 139
Figura 8.2: Regulamentações, normas e modelos de controlos......................................... 140
Figura 9.1: Caminho da comunicação sobre segurança dos SI/TIC nas PMEs................. 151
Figura 10.1: Modelo da percepção dos riscos da segurança da informação pelos gestores.
........................................................................................................................................... 156
Figura 10.2: Dimensões da segurança da informação. ...................................................... 156
Figura 10.3: Modelo de investigação da eficácia das práticas de gestão da segurança da
informação nas PMEs. ....................................................................................................... 158
Figura 13.1: Hipóteses do modelo de “Percepção dos riscos da segurança da informação
pelos gestores..................................................................................................................... 221
Figura 13.2: Hipóteses para testar o efeito moderador da variável PerGest. .................... 233
Figura 13.3: Hipóteses do teste dos efeitos directos das variáveis independentes, sem
variáveis de controlo.......................................................................................................... 238
Figura 13.4: Hipóteses do teste dos efeitos directos das variáveis independentes, com
variáveis de controlo.......................................................................................................... 248
Figura 13.5: Representação gráfica dos resultados dos modelos de regressão linear. ...... 253
Figura A.1: Nível de autoridade e de valor das políticas, normas e procedimentos de
segurança. .......................................................................................................................... 307
Figura A.2: Processo de medição da segurança da informação. ....................................... 309
Figura A.3: Conceitos e relações do processo de avaliação. ............................................. 310
Figura A.4: Processo de desenvolvimento das métricas de segurança dos SI/TIC. .......... 312
Figura B.1: Paradigma da gestão do risco do SEI/CMU. .................................................. 317
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xvi
Figura B.2: Fases do processo de gestão do risco do General Security Risk Assessment. 318
Figura B.3: Passos do método CRAMM. .......................................................................... 320
Figura B.4: Fases da metodologia OCTAVE. ................................................................... 321
Figura B.5: Metodologias de Avaliação e Mitigação dos Riscos. ..................................... 322
Figura B.6: Processos da gestão do risco. ......................................................................... 324
Figura E.1: CobiT: recursos, processos e requisitos de negócio. ...................................... 350
Figura E.2: Modelo PECA aplicado aos processos do SGSI. ........................................... 353
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xvii
Índice de Gráficos
ÍNDICE DE GRÁFICOS
Gráfico 13.1: Distribuição dos resíduos. ........................................................................... 228

Gráfico 13.2: Distribuição da variável zre_1..................................................................... 229
Gráfico 13.3: Distribuição dos resíduos. ........................................................................... 245
Gráfico 13.4: Distribuição da variável zre_1..................................................................... 246
Gráfico K.1: Relação entre GovSeg e PerGest. ................................................................. 396
Gráfico K.2: Relação entre GRisco e PerGest. ................................................................. 396
Gráfico K.3: Relação entre InvSeg e PerGest. .................................................................. 397
Gráfico K.4: Relação entre Tecno e PerGest. ................................................................... 397
Gráfico K.5: Relação entre Pessoas e PerGest. ................................................................ 397
Gráfico K.6: Relação entre Leis e PerGest........................................................................ 397
Gráfico K.7: Distribuição de ZRE_1 do modelo GovSeg / PerGest. ................................ 398
Gráfico K.8: Distribuição de ZRE_1 do modelo GRisco / PerGest. ................................. 398
Gráfico K.9: Distribuição de ZRE_1 do modelo InvSeg e PerGest. ................................. 398
Gráfico K.10: Distribuição de ZRE_1 do modelo Tecno / PerGest. ................................. 398
Gráfico K.11: Distribuição de ZRE_1 do modelo Pessoas / PerGest. .............................. 398
Gráfico K.12: Distribuição de ZRE_1 do modelo Leis / PerGest. .................................... 398
Gráfico K.13: Homocedasticidade do modelo GovSeg/PerGest. ...................................... 399
Gráfico K.14: Homocedasticidade do modelo GRisco/PerGest. ...................................... 399
Gráfico K.15: Homocedasticidade do modelo InvSeg/PerGest. ....................................... 399
Gráfico K.16: Homocedasticidade do modelo Tecno/PerGest. ........................................ 399
Gráfico K.17: Homocedasticidade do modelo Pessoas/PerGest. ..................................... 400
Gráfico K.18: Homocedasticidade do modelo Leis/PerGest............................................. 400
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xviii
Índice de Quadros
ÍNDICE DE QUADROS
Quadro 2.1: Critérios da informação. .................................................................................. 19

Quadro 2.2: Ciclo de vida da informação. ........................................................................... 25
Quadro 2.3: Modelo de gestão organizacional da segurança da informação. ..................... 26
Quadro 2.4: Modelos de maturidade de segurança dos SI/TIC. .......................................... 37
Quadro 3.1: Categorias e actividades do governo da segurança da informação. ................ 43
Quadro 3.2: Fases e actividades do modelo IDEAL. .......................................................... 47
Quadro 3.3: Vantagens e desvantagens do COBIT e ISO 17799. ........................................ 49
Quadro 3.4: Modelos e normas para implementação do governo da segurança da
informação. .......................................................................................................................... 50
Quadro 3.5: Fases do modelo de maturidade do COBIT. ..................................................... 52
Quadro 4.1: Perdas intangíveis e tangíveis.......................................................................... 58
Quadro 4.2: Abordagens à gestão do risco .......................................................................... 67
Quadro 4.3: Valor multidimensional da informação. .......................................................... 72
Quadro 4.4: Exemplos de ameaças. ..................................................................................... 75
Quadro 4.5: Normas e regulamentos referentes a controlos de segurança. ......................... 82
Quadro 4.6: Estratégias para tratamento dos riscos. ............................................................ 84
Quadro 6.1: Tecnologias de segurança por tipo de controlo de segurança. ...................... 101
Quadro 6.2: Taxionomia das tecnologias de segurança da informação. ........................... 102
Quadro 6.3: Níveis de garantia de avaliação da norma ISO/IEC 15408. .......................... 106
Quadro 6.4: Categorias e tipos de produtos de segurança. ................................................ 107
Quadro 7.1: Regulamentações com requisitos de formação.............................................. 113
Quadro 7.2: Os factores de comportamento de segurança. ............................................... 122
Quadro 7.3: Factores potencias de ataques internos. ......................................................... 123
Quadro 7.4: Categorias de dilemas éticos na utilização dos SI/TIC. ................................ 127
Quadro 7.5: Obrigações éticas. .......................................................................................... 129
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xix
Quadro 8.1: Custos da não conformidade (explícitos e implícitos) e da conformidade.... 137
Quadro 9.1: Classificação das PMEs................................................................................. 143
Quadro 12.1: Constructos e itens....................................................................................... 176
Quadro 12.2: Fases da validação do instrumento de medida. ........................................... 182
Quadro 12.3: Valores de referência do KMO.................................................................... 192
Quadro 13.1: Classificação da associação linear. .............................................................. 222
Quadro 13.2: Classificação da autocorrelação dos resíduos. ............................................ 228
Quadro A.1: Métricas de segurança por classe e família de controlos. ............................. 313
Quadro C.1: Aspectos do The Standard of Good Practice. ............................................... 327
Quadro C.2: Domínios e objectivos de controlo do COBIT. .............................................. 329
Quadro C.3: Controlos e objectivos de controlo da ISO/IEC 17799:2005. ...................... 330
Quadro C.4: Grupos de controlos e áreas envolvidas do NIST SP 800-12. ...................... 331
Quadro C.5: Classes e famílias de controlos de segurança (NIST SP 800-53). ................ 332
Quadro E1: Regulamentações por âmbito, tipo e incidência............................................. 340
Quadro E.2: Domínios e processos do COBIT. .................................................................. 349
Quadro E.3: Processos do SGSI. ....................................................................................... 354
Quadro E.4: Requisitos da norma ISO/IEC 27001:2005................................................... 354
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xx

Índice de Tabelas
ÍNDICE DE TABELAS
Tabela 2.1: Percentagem de inquiridos que respondem “Não sei”...................................... 23

Tabela 7.1: Métodos utilizados pelos atacantes internos................................................... 119
Tabela 11.1: Percentagem de empresas e de pessoas que utilizam computador em 2008. 169
Tabela 11.2: Tecnologias utilizadas nas empresas em 2008 (em percentagem). .............. 170
Tabela 11.3: Percentagem de empresas com ligação à Internet em 2008 ......................... 170
Tabela 11.4: Empresas (em %) que encontraram problemas de segurança....................... 171
Tabela 11.5: Nº de sociedades por escalão de n.º de trabalhadores. ................................. 173
Tabela 11.6: Validade do estudo. ...................................................................................... 174
Tabela 12.1: Estatísticas descritivas dos 11 constructos. .................................................. 186
Tabela 12.2: Testes K-S e Shapiro-Wilk. .......................................................................... 189
Tabela 12.3: Alfa de Cronbach para os 11 constructos. .................................................... 191
Tabela 12.4: Valores do KMO para os diversos constructos. ........................................... 193
Tabela 12.5: Variância explicada. ..................................................................................... 193
Tabela 12.6: Análise factorial confirmatória. .................................................................... 194
Tabela 12.7: Calendário do envio de mensagens. ............................................................. 200
Tabela 12.8: Estrutura das mensagens enviadas e recebidas. ............................................ 201
Tabela 12.9: Teste t para “n.º de empregados”.................................................................. 202
Tabela 12.10: teste t para “código CAE”. ......................................................................... 203
Tabela 12.11: Teste para “distrito”. ................................................................................... 203
Tabela 13.1: N.º de empresas por secção CAE e tipo de empresa. ................................... 205
Tabela 13.2: Nº de empresas por distrito e por tipo de empresa. ...................................... 205
Tabela 13.3: N.º de empresas com e sem departamento de informática por tipo de empresa.
........................................................................................................................................... 206
Tabela 13.4: Função exercida pelo respondente................................................................ 207
Tabela 13.5: Tecnologias utilizadas pelas empresas em percentagem de respondentes. .. 207
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxi
Tabela 13.6: Utilização da Internet pelas empresas em percentagem de respondentes. ... 208
Tabela 13.7: Software utilizado pelas empresas em percentagem de respondentes. ......... 208
Tabela 13.8: Aplicações de segurança utilizadas pelas empresas em percentagem de
respondentes. ..................................................................................................................... 209
Tabela 13.9: N.º de empresas com e sem incidentes de segurança por tipo de empresa... 209
Tabela 13.10: Incidentes de segurança sofridos pelas empresas. ...................................... 210
Tabela 13.11: Incidentes de segurança mais significativas por tipo de empresa. ............. 210
Tabela 13.12: Estatísticas descritivas dos 11 constructos. ................................................ 211
Tabela 13.13: Testes K-S e Shapiro-Wilk. ........................................................................ 213
Tabela 13.14: Testes de consistência interna e validade. .................................................. 215
Tabela 13.15: Valores de KMO para os constructos. ........................................................ 218
Tabela 13.16: Estatísticas descritivas dos 11 constructos. ................................................ 218
Tabela 13.17: Estatísticas descritivas e correlações entre constructos. ............................. 222
Tabela 13.18: Resumo do modelo de regressão. ............................................................... 223
Tabela 13.19: Testes F da Anova. ..................................................................................... 224
Tabela 13.20: Variáveis excluídas. .................................................................................... 224
Tabela 13.21: Coeficientes do modelo de regressão. ........................................................ 225
Tabela 13.22. Teste de normalidade da variável zre_1. .................................................... 229
Tabela 13.23: Diagnóstico de colinearidade...................................................................... 231
Tabela 13.24: Resumo dos modelos de regressão. ............................................................ 234
Tabela 13.25: Coeficientes dos modelos de regressão. ..................................................... 234
Tabela 13.26: Anova dos modelos de regressão. .............................................................. 235
Tabela 13.27: Testes de normalidade dos modelos de regressão. ..................................... 236
Tabela 13.28: Teste de Durbin-Watson. ............................................................................ 237
Tabela 13.29: Estatísticas descritivas e correlações entre variáveis.................................. 239
Tabela 13.31: Testes F da Anova. ..................................................................................... 240
Tabela 13.36: Teste F da Anova. ....................................................................................... 244
Tabela 13.37. Teste de normalidade da variável zre_1. .................................................... 246
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxii
Tabela 13.38: Diagnóstico de colinearidade...................................................................... 247
Tabela 13.39: Coeficientes de correlação. ......................................................................... 250
Tabela 13.43: Resultados dos modelos de regressão......................................................... 254
Tabela I.1: Empresas (Nº e %) por actividade económica e escalão de pessoal ao serviço.
........................................................................................................................................... 386
Tabela I.2: Empresas (N.º e %) por tipo de PME e por actividade económica. ................ 387
Tabela I.3: Pessoal ao serviço (N.º e %) por actividade económica e escalão de pessoal ao
serviço................................................................................................................................ 388
Tabela I.4: Pessoal ao serviço (N.º e %) por tipo de PME e por actividade económica. .. 389
Tabela I.5: Volume de negócios das empresas (valor e %) por actividade económica e
escalão de pessoal ao serviço (em milhões de euros). ....................................................... 390
Tabela I.6: Volume de negócios por tipo de PME e por actividade económica (em milhões
de euros). ........................................................................................................................... 391
Tabela J.1: Correlação dos itens do constructo “percepção do risco pelos gestores”. ...... 392
Tabela J.2: Correlação dos itens do constructo “ambiente organizacional”...................... 392
Tabela J.3: Correlação dos itens do constructo “ambiente de SI/TI”. ............................... 393
Tabela J.4: Correlação dos itens do constructo “características individuais dos gestores”.
........................................................................................................................................... 393
Tabela J.5: Correlação dos itens do constructo “leis, regulamentos e normas”. ............... 393
Tabela J.6: Correlação dos itens do constructo “governo da segurança da informação”. . 394
Tabela J.7: Correlação dos itens do constructo “gestão do risco”. .................................... 394
Tabela J.8: Correlação dos itens do constructo “investimento em segurança da informação”.
........................................................................................................................................... 394
Tabela J.9: Correlação dos itens do constructo “tecnologia”. ........................................... 394
Tabela J.10: Correlação dos itens do constructo “pessoas”............................................... 395
Tabela J.11: Correlação dos itens do constructo “eficácia das práticas de segurança da
informação”. ...................................................................................................................... 395
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxiii
Lista de Abreviaturas
LISTA DE ABREVIATURAS
et al. (et aliae) ....................... e outros (para pessoas);
e.g. (exempli gratia) .............. por exemplo;
etc. (et cetera) ....................... e outros (para coisas);
i.e. (id est) ............................. isto é.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxiv
Lista de Siglas
LISTA DE SIGLAS
ACM ..............Association for Computing Machinery.
ACSI ..............Arquitectura do Conhecimento da Segurança da Informação.
AESRI............Agência Europeia para a Segurança das Redes e da Informação.
AIMMAP .......Associação dos Industriais Metalomecânicos, Metalúrgicos e Afins de

Portugal.
ALE ...............Anual Loss Exposure.
ANEMM ........Associação Nacional das Empresas Metalúrgicas e Metalomecânicas.
ANIMEE........Associação Nacional dos Industriais de Material Eléctrico e Electrónico.
ANTROP .......Associação Nacional de Transportadores Rodoviários de Pesados de

Passageiros.
APAT .............Associação dos Transitários de Portugal.
APDA ............Associação Portuguesa de Distribuição e Drenagem de Água.
APEL .............Associação Portuguesa de Editores e Livreiros.
APIAM ..........Associação Portuguesa dos Industriais de Águas Minerais Naturais e de

Nascente.
APIMA ..........Associação Portuguesa das Indústrias de Mobiliário e Afins.
APIRAC ........Associação Portuguesa da Indústria de Refrigeração e Ar Condicionado.
APSI ..............Associação Portuguesa de Sistemas de Informação.
ARR ...............Alavancagem da redução do risco.
BIS .................Bank of International Settlements.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxv
CAE ...............Classificação das actividades económicas.
CCE ...............Comissão das Comunidades Europeias.
CCTA ............Central Computer and Telecommunications Agency.
CEC ...............Commission of the European Communities.
CERT .............Computer Emergency Response Team.
CISO ..............Chief information security officer.
COBIT ...........Control Objectives for Information and related Technology.
COSO ............Committee of Sponsoring Organizations of the Treadway Commission.
CMU ..............Carnegie Mellon University.
CRAMM ........CCTA Risk Analysis and Management Method.
CSI .................Computer Security Institute.
CSO ...............Chief security officer.
DMZ ..............Demilitarized zone.
DoD ...............Department of Defense.
EAL ...............Evaluation Assurance Levels.
ERDU ............Enterprise Research and Development Unit.
EUA ...............Estados Unidos da América.
FIPS ...............Federal Information Processing Standards.
FISMA ...........Federal Information Security Management Act.
GAO ..............General Accounting Office.
GAISP............Generally Accepted Information Security Principles.
GLB ...............Gramm-Leach-Bliley Act.
HIPAA ...........Health Insurance Portability and Accountability Act.
ICC ................International Chamber of Commerce.
IDEAL ...........Initiating, Diagnosing, Establishing, Acting, Learnig.
INE ................Instituto Nacional de Estatística.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxvi
IPI ..................Informação Pessoal Identificável.
ISA .................Internet Security Alliance.
ISACA ...........Information Systems Audit and Control Association.
ISF .................Information Security Forum.
ISO/IEC .........International Organization for Standardization/International Electrotechnical

Commission.
ISSA ..............Information Systems Security Association.
ITGI ...............IT Governance Institute.
ITIL................IT Infrastructure Library.
ITIM ..............Information Technology Investment Management.
ITSEC ............Information Technology Security Evaluation Criteria.
IUTICE ..........Inquérito à Utilização de Tecnologias da Informação e da Comunicação nas

Empresas.
NATO ............North Atlantic Treaty Organization.
NCSSTF ........National Cyber Security Summit Task Force.
NIST ..............National Institute of Standards and Technology.
OCDE ............Organização para a Cooperação e Desenvolvimento Económicos.
OCTAVE .......Operationally Critical Threat, Asset, and Vulnerability Evaluation.
OECD ............Organization for Economic Co-Operation and Development.
PECA .............Planear-Executar-Controlar-Actuar.
PDCA ............Plan, Do, Check, Act.
PMEs .............Pequenas e Médias Empresas.
ROI ................Return of Investment.
ROSI ..............Return on Security Investment.
RROI..............Risk-based Return on Investment.
SEC ................Security Exchange Commission.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxvii
SEI .................Software Engineering Institute.
SGSI ..............Sistema de gestão da segurança da informação.
SI....................Sistemas de informação.
SI/TIC ............Sistemas e Tecnologias de Informação e da Comunicação.
SOX ...............Sarbanes-Oxley Act.
TCP/IP ...........Transmission Control Protocol/Internet Protocol.
TCSEC ...........Trusted Computer System Evaluation Criteria.
TIC .................Tecnologias de Informação e da Comunicação.
TIR .................Taxa de rentabilidade interna.
TOE ...............Target of Evaluation.
TROI ..............Total ROI.
UE ..................União Europeia.
UMIC .............Agência para a Sociedade do Conhecimento.
VAL ...............Valor actual líquido.
VPN ...............Virtual private network.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xxviii
Introdução
INTRODUÇÃO
A informação é um dos activos fundamentais das pequenas e médias empresas (PMEs). A

protecção da informação pelos gestores destas empresas assume-se como um desafio
primordial para assegurar a sua competitividade numa economia globalizada e bastante
competitiva.
Esta introdução tem como objectivo elaborar uma síntese do trabalho desenvolvido nesta
tese e a forma como a mesma está estruturada Neste sentido, começa-se pela apresentação
do enquadramento, a justificação para a selecção do tema e o problema da investigação,
assim como as questões associadas à investigação e os objectivos que a mesma pretende
alcançar. Seguidamente, apresentam-se as hipóteses de investigação que foram formuladas
com base no modelo de investigação proposto e descreve-se a metodologia adoptada e o
modelo metodológico da investigação. A finalizar, faz-se uma síntese dos capítulos da tese.
1. ENQUADRAMENTO
A generalização dos sistemas e tecnologias de informação e comunicação (SI/TIC) e a

ampla utilização da Internet estão a fazer com que as organizações de todas as dimensões
confiem nos computadores para criar, processar, gerir e transmitir informação sensível do
negócio. Todavia, esta utilização dos SI/TIC e da Internet, obriga a que os activos de
informação estejam sujeitos a um elevado risco de ataques, falhas e vulnerabilidades, que
vão desde fraudes informáticas, espionagem, sabotagem, vandalismo até outros incidentes
como fogos ou inundações.
O valor da informação não passa despercebido a atacantes internos ou externos e a

criminosos que, de alguma forma, tentam roubar ou destruir uma organização. A tudo isto
acresce a utilização cada vez maior de aplicações de comércio electrónico, as quais
Um Modelo Integrado para Gestão da Segurança da Informação nas Pequenas e Médias 1

Introdução
apresentam bastantes oportunidades para acessos não autorizados aos sistemas de

informação.
Por sua vez, a globalização económica mundial tem conduzido a uma maior agressividade
concorrencial, em que todas as organizações, mesmo as de pequena dimensão, são
potenciais alvos de roubo de informações. Na realidade, são cada vez mais as notícias que
nos informam sobre o aumento significativo do roubo de informações com valor
económico nas empresas em todo o mundo. O roubo do conhecimento e da informação
reservada e confidencial de uma empresa é um acto de concorrência desleal e com
consequências desastrosas para essas empresas.
O aspecto crítico desta situação é que hoje toda esta informação está acessível em tempo
real e é vulnerável, pelo que deve ser protegida constantemente e, mais importante ainda,
sem interrupção do negócio. Caso contrário, assistir-se-á, num cenário pouco alarmante, a
uma quebra ou diminuição da competitividade ou, numa situação mais extrema, a
interrupções mais ou menos prolongadas das operações do negócio com consequências
desastrosas para as organizações.
Ainda que o negócio esteja cada vez mais dependente dos SI/TIC, os gestores das
organizações têm prestado pouca atenção à protecção dos activos de informação, apesar
das constantes ameaças que diariamente recaem sobre os mesmos, tentando explorar as
diversas vulnerabilidades que encerram e que não são protegidas pelos controlos mais
eficazes. O papel dos gestores passa por transformar esta ameaça aos seus activos
estratégicos de SI/TIC numa oportunidade de implementar as políticas adequadas de gestão
de risco e de segurança, de acordo com as melhores práticas do mercado, de forma a
garantir que todos os aspectos referentes ao risco e segurança são completa e
consistentemente endereçados e integrados no âmbito dos processos de negócio das suas
organizações.
Os riscos são idênticos para grandes empresas e para as PMEs. Contudo, estas são mais
vulneráveis a este tipo de ataques, na medida em que têm poucos recursos financeiros e
humanos para desenvolver e implementar um eficaz programa de segurança da informação.
Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias 2

Introdução
2. JUSTIFICAÇÃO DO TEMA
A opção de realizar um trabalho de investigação subordinado ao tema da segurança da

informação nas PMEs é justificada pelas seguintes ordens de razão: a actualidade do tema;
a insuficiente investigação empírica sobre o tema, tanto quanto é do nosso conhecimento; a
importância das PMEs no contexto económico e social dos países, em geral, e de Portugal,
em particular; motivos académicos e profissionais.
A actualidade e importância da segurança da informação traduz-se no facto da sociedade

actual estar confrontada, cada vez mais, com o roubo e/ou destruição de informações com
valor económico nas empresas em todo o mundo, quer devido a actos de espionagem, quer
devido a actos maliciosos perpetrados por criminosos ou pelos próprios empregados das
organizações. Sendo o conhecimento um dos activos mais importantes das PMEs, o roubo
desta informação reservada e confidencial pode ter consequências desastrosas para estas
empresas. Para evitar este cenário calamitoso é necessário que as PMEs protejam
adequadamente os seus activos de informação de ataques externos e internos.
Relativamente ao papel das PMEs no contexto económico e social, estas empresas são
reconhecidas como intervenientes importantes nas economias nacionais, criando emprego e
contribuindo de forma significativa para o progresso tecnológico e económico (Nieto &
Fernandéz, 2006). O Parlamento Europeu também reconhece a importância do papel das
PMEs ao afirmar que “as PMEs estão entre os elementos chave para assegurar o sucesso
dos objectivos do mercado único europeu, relativamente ao crescimento, emprego,
qualidade e diversificação e flexibilidade nos negócios” (Eyre & Smallman, 1998, p. 34).
Porque as PMEs representam um segmento muito significativo do tecido económico, não
pode ser desenvolvido qualquer tipo de conhecimento das práticas de gestão, problemas ou
tendências da segurança da informação, sem tomar em consideração este tipo de empresas.
Os motivos académicos e profissionais tiveram, também, um peso fundamental na selecção

da segurança da informação como tema central da presente investigação. Em termos
académicos, desde 1995 que estamos envolvidos no estudo da problemática dos SI/TIC, do
risco e da segurança da informação, quer na conclusão de uma pós-graduação em
“Tecnologias e Ciências da Informação para as Organizações”, quer no âmbito da
leccionação de disciplinas como “Auditoria e Controlo de Sistemas de Informação”,
“Gestão de Projectos Informáticos”, “Planeamento e Avaliação de Instalações Informáticas”
e “Auditoria Informática e E-business”.
Introdução
Em termos profissionais, exercemos funções na área dos SI/TIC desde 1990, com destaque
para as funções de responsabilidade no controlo interno dos SI/TIC no âmbito da
certificação da ex-PT Multimédia (actual ZON Multimédia) no Sarbanes-Oxley Act e na
certificação em segurança da informação (ISO/IEC 27001). Ainda neste âmbito da
segurança da informação, obtivemos, em 2009, a certificação de Certified Information
Security Manager atribuída pela Information Systems Audit and Control Association
(ISACA).
Como o nosso objectivo é enveredar pela actividade de consultor na área da gestão da

segurança da informação e continuar com a actividade académica no âmbito dos SI/TIC, a
presente investigação pode contribuir para um aprofundamento dos conhecimentos já
existentes e levar à descoberta e à reflexão de alguns temas relevantes que possam ser
desenvolvidos nas actividades de consultadoria e de ensino.
3. PROBLEMA DA INVESTIGAÇÃO
A maior parte dos estudos sobre a segurança da informação nas PMEs investigam apenas
uma parte dos componentes da gestão da segurança, não existindo uma visão integrada da
segurança da informação nas PMEs.
Tanto quanto é do nosso conhecimento, não existem estudos que analisem o estado e a
eficácia das práticas de gestão da segurança da informação nas PMEs numa perspectiva
dimensional, englobando, simultaneamente, as questões organizacionais, humanas e
tecnológicas. Por outro lado, os estudos sobre a percepção dos riscos da segurança da
informação pelos gestores das PMEs são escassos e os seus resultados, determinados a
partir de um universo bastante restrito, carecem de uma confirmação empírica mais
aprofundada.
Decorrente do exposto atrás, o problema subjacente à presente investigação é formulado do

seguinte modo:
Como é que as pequenas e médias empresas portuguesas abordam o problema da

segurança da informação nos seus processos de negócio?

Introdução
4. QUESTÕES DA INVESTIGAÇÃO
Este trabalho de investigação pretende responder às seguintes questões fundamentais:
a) Quais são as práticas de gestão da segurança da informação nas PMEs?

b) Qual é a eficácia das práticas de gestão da segurança da informação nas PMEs?
c) Qual a percepção do risco da segurança da informação pelos gestores das PMEs?
d) Como é que a percepção dos riscos dos gestores das PMEs influencia as práticas de
gestão da segurança da informação nas PMEs?
e) A eficácia das práticas de gestão da segurança da informação nas PMEs que
sofreram incidentes de segurança, ou que têm uma utilização mais intensiva da
informação nos seus processos de negócio ou, ainda, as que recorrem mais
assiduamente às tecnologias de informação e comunicação, é diferente das PMEs
que não sofreram incidentes de segurança, não têm uma utilização intensiva da
informação e não recorrem assiduamente às tecnologias de informação e
comunicação?
5. OBJECTIVOS
Esta investigação pretende alcançar dois objectivos primordiais:
• determinar a forma como os riscos da segurança da informação são percepcionados

pelos gestores das PMEs;
• determinar a eficácia das práticas de gestão da segurança da informação nas PMEs.
6. HIPÓTESES
A presente investigação assenta num modelo derivado da revisão da literatura, o qual é

composto por seis dimensões de segurança (governo da segurança da informação, gestão
do risco, investimento em segurança, tecnologia da segurança da informação, pessoas e leis
regulamentos e normas), moderado pela “percepção dos riscos da segurança da informação
pelos gestores” sobre cada uma dessas dimensões, as quais, por sua vez, determinam o
nível de eficácia das práticas da gestão da segurança da informação nas PMEs,

Introdução
enquadradas pelas variáveis de controlo (índice de segurança, índice de utilização da

informação e índice tecnológico), conforme representado graficamente na Figura 0.1.
Governo da Segurança da
Informação
H3A
(+)
H2A
(+) Variáveis de Controlo
Gestão do Risco
H3B
(+)
Índice de Segurança
H2A
(+)
Investimento em Segurança
H3C
(+) Índice de Utilização da
H2B Eficácia das Práticas de Informação
(+) Gestão da Segurança
da Informação nas PME
Tecnologia
H3D H2C Índice Tecnológico
(+) (+)
H2D
(+)
Pessoas
H3E
(+) H2E
(+)
Leis, Regulamentos e
Normas H3F
(+)
H3G
Percepção dos Riscos de Segurança (+)
da Informação pelos Gestores
H1C
(+) H1B H1A
(-) (+)
Características Individuais
Ambiente de SI/TI Ambiente Organizacional
dos Gestores
Figura 0.1: Modelo de investigação da eficácia das práticas de gestão da segurança da informação nas
PMEs.
A este modelo de investigação estão associadas as seguintes de hipóteses de investigação:
H1A ········ Um negócio de risco elevado influencia positivamente a percepção dos riscos de
segurança da informação pelos gestores das PMEs.
H1B ········ A existência de alguns controlos de segurança técnicos e operacionais influencia

negativamente a percepção dos riscos de segurança da informação pelos gestores
das PMEs.
H1C ········ As elevadas competências dos gestores em SI/TIC influenciam positivamente a

percepção dos riscos de segurança da informação pelos gestores das PMEs.

Introdução
H2A ········ Um nível elevado de percepção dos riscos de segurança da informação pelos
gestores das PMEs tem um efeito positivo na implementação de um governo da
segurança da informação.
H2B ········ Um nível elevado de percepção dos riscos de segurança da informação pelos
gestores das PMEs tem um efeito positivo na implementação de processos de
gestão de risco da segurança da informação.
H2C ········ Um nível elevado de percepção dos riscos de segurança da informação pelos
gestores das PMEs tem um efeito positivo no investimento em segurança da
informação.
H2D ········ Um nível elevado de percepção dos riscos de segurança da informação pelos
gestores das PMEs tem um efeito positivo na utilização das tecnologias de
H2E········· Um nível elevado de percepção dos riscos de segurança da informação pelos

gestores das PMEs tem um efeito positivo na implementação de acções de
formação e sensibilização em segurança da informação.
H2F ········· Um nível elevado de percepção dos riscos de segurança da informação pelos
gestores das PMEs tem um efeito positivo na aplicação e utilização de leis,
normas e regulamentos.
H3A ········ A implementação de uma estrutura de governo da segurança da informação está

relacionada positivamente com a eficácia da gestão da segurança da informação
nas PMEs.
H3B ········ A implementação de processos de gestão de risco da segurança da informação está

nas PMEs.
H3C ········ A implementação de processos de análise de investimento em segurança da

informação está relacionada positivamente com a eficácia da gestão da segurança
da informação nas PMEs.
H3D ········ A utilização das tecnologias da segurança da informação está relacionada

positivamente com a eficácia da gestão da segurança da informação nas PMEs.

Introdução
H3E········· A implementação de acções de formação e sensibilização em segurança da

informação está relacionada positivamente com a eficácia da gestão da segurança
da informação nas PMEs.
H3F ········· A conformidade com as leis e normas de segurança da informação está

nas PMEs.
H3G ········ A percepção dos riscos de segurança da informação pelos gestores está
nas PMEs.
7. METODOLOGIA
O método usado para esta investigação foi um estudo empírico, utilizando-se um

questionário como principal instrumento de recolha de dados.
Este questionário foi objecto de um processo de validação de conteúdo, fiabilidade e

validade de constructo. Para o efeito foi realizado um pré-teste com aplicação presencial do
questionário junto de nove PMEs e um teste piloto com base em 232 respostas a uma
versão preliminar do questionário, lançado numa versão electrónica no serviço
“surveymonkey.com”. Aperfeiçoado o questionário nas suas versões papel e electrónica a
partir dos resultados do teste piloto, passou-se à fase seguinte de teste do modelo de
investigação e das correspondentes hipóteses de investigação.
Para o cálculo da dimensão da amostra optou-se pela amostra aleatória simples para uma
população finita, cujo cálculo definiu em 381 casos o valor da amostra.
Para dos inquéritos recolhidos presencialmente junto dos clientes da empresa INSTFORM,
foram enviadas cerca de 10 000 mensagens electrónicas a convidar as PMEs a responder
ao questionário, tendo sido recolhidas 674 respostas válidas para análise.
Com base nessas respostas, testou-se o modelo conceptual de investigação, com recurso a
modelos de regressão linear simples e múltipla, de acordo com a seguinte estrutura:
• teste do modelo “percepção dos riscos da segurança da informação pelos gestores”;

• teste do modelo “eficácia da segurança da informação”, em três fases:

Introdução
− teste dos efeitos indirectos, i.e., a influência da percepção dos riscos da segurança
da informação pelos gestores sobre as seis dimensões da segurança da informação
constantes do modelo de investigação;
− teste dos efeitos directos das seis dimensões da segurança da informação e da
percepção dos riscos da segurança da informação pelos gestores sobre a eficácia
das práticas de gestão da segurança da informação;
− teste idêntico ao anterior, mas com a inclusão das variáveis de controlo.
8. MODELO METODOLÓGICO DA INVESTIGAÇÃO
Decorrente da revisão da literatura foi construído um modelo conceptual da eficácia da

gestão da segurança da informação nas PMEs, ao qual foi associado um conjunto de
hipóteses de investigação. Com base neste modelo foram operacionalizados 11 constructos
que serviram de base ao desenho do instrumento de medida, o qual foi objecto, numa fase
inicial, de processos de validação de conteúdo, seguido de um teste piloto para aquilatar da
sua fiabilidade e validade de constructo.
Após um processo de recolha de dados através da utilização de questionários em versão

papel e electrónica, procedeu-se ao tratamento e análise desses dados, recorrendo à
utilização de modelos de regressão linear simples e múltipla. A fase seguinte consistiu na
discussão dos resultados obtidos em conjugação com a revisão da literatura, após o que se
passou à fase de conclusões e recomendações.
O modelo metodológico da investigação está representado esquematicamente na Figura 0.2.

Introdução
Figura 0.2: Modelo metodológico da investigação.

Introdução
9. SÍNTESE DOS CAPÍTULOS DA TESE
Esta tese está dividida em duas partes (parte teórica e parte empírica) e 14 capítulos, além
da bibliografia, do glossário e de 11 apêndices.
A parte teórica é dedicada à revisão da bibliografia (capítulos um a nove) e ao modelo de

investigação e definição de hipóteses, subdividindo-se em 10 capítulos.
O capítulo um apresenta o framework para o estudo da segurança da informação nas

organizações, tendo por base as diversas abordagens à segurança da informação.
O capítulo dois apresenta uma panorâmica geral da segurança da informação, abordando a

problemática da informação, da segurança da informação e da importância desta para as
organizações. Descrevem-se, ainda, as políticas, normas e modelos de maturidade para a
O capítulo três aborda a temática relativa ao governo da segurança da informação, tendo

por base os conceitos de governo das sociedades e governo dos SI/TIC. As características,
modelos e avaliação do governo da segurança da informação são outros dos temas
expostos.
O capítulo quatro apresenta a gestão do risco da segurança da informação, com especial

incidência no modelo processual da gestão do risco da segurança da informação. Os
diversos conceitos de risco, a gestão desses riscos e as diferentes abordagens à gestão do
risco, assim como a descrição das diversas metodologias e modelos para a gestão do risco
da segurança da informação são outros dos assuntos tratados.
O capítulo cinco aborda a problemática do investimento em segurança da informação,

tratando de aspectos relativos a impactos e custos, avaliação, orçamentação e modelo de
maturidade para os investimentos em segurança da informação.
O capítulo seis trata das tecnologias da segurança da informação, focando-se nos aspectos
referentes à selecção e categorias das tecnologias e às normas para a aquisição dessas
tecnologias de segurança da informação.
O capítulo sete analisa o papel do factor humano na segurança da informação, abordando

temas como o papel das pessoas na segurança da informação, formação e acções de
sensibilização dos empregados, a engenharia social, as ameaças internas e o
comportamento ético dos utilizadores.

Introdução
O capítulo oito dedica-se à apresentação da segurança da informação como um requisito

legal, abordando-se aspectos relacionados com as leis, normas e regulamentos e com a
conformidade com os requisitos legais.
O capítulo nove aborda a segurança da informação nas PMEs, define o conceito de PMEs e
descreve a utilização dos SI/TIC e da segurança da informação nas PMEs.
O capítulo dez apresenta os objectivos e problemas da investigação e o modelo conceptual

da eficácia da gestão da segurança da informação nas PMEs decorrente da revisão da
literatura, assim como as correspondentes hipóteses de investigação.
A parte empírica diz respeito à investigação empírica e subdivide-se em quatro capítulos.
O capítulo onze faz uma caracterização da população alvo objecto da investigação, expõe
os critérios para a definição do universo sob investigação e calcula a dimensão da amostra
que servirá de base ao teste do modelo conceptual de investigação.
O capítulo doze descreve a metodologia adoptada no desenvolvimento da investigação,

desde a operacionalização dos constructos, desenho e validação do instrumento de medida,
até ao processo de recolha de dados.
O capítulo treze apresenta os resultados e discussão dos dados, principiando por

caracterizar a amostra recolhida através dos questionários e apresentando as principais
estatísticas descritivas dos constructos e a transformação dos itens de cada constructo num
único factor ou variável. Posteriormente, são descritos os processos referentes aos testes do
modelo conceptual, divididos em quatro fases: teste do modelo “percepção dos riscos da
segurança da informação pelos gestores”; teste do modelo “eficácia da segurança da
informação”, em termos de efeitos indirectos, efeitos directos sem variáveis de controlo e
efeitos directos com variáveis de controlo. Finalmente, são discutidos os resultados dos
testes realizados a cada um dos modelos.
O capítulo catorze apresenta as conclusões e recomendações da investigação, onde se

inclui uma síntese da verificação das hipóteses de investigação, as reflexões finais, as
contribuições teóricas e práticas da investigação para os académicos e profissionais da
segurança da informação, as limitações à investigação e recomendações, as investigações
futuras e as considerações de fecho.

PARTE TEÓRICA
PARTE TEÓRICA

1 Framework para o Estudo da Segurança da Informação nas
Organizações
CAPÍTULO 1
FRAMEWORK PARA O ESTUDO DA SEGURANÇA DA

INFORMAÇÃO NAS ORGANIZAÇÕES
1.1 INTRODUÇÃO
A segurança da informação é uma área bastante vasta, englobando temáticas de vária

ordem, desde as questões meramente técnicas até às questões organizacionais, sociais e
legais. De forma a limitar o âmbito da investigação aos aspectos considerados mais
relevantes, optou-se por definir um modelo que enquadrasse as áreas temáticas objecto da
revisão da literatura.
Este capítulo apresenta os tipos de fontes utilizadas na revisão da literatura e as diferentes

abordagens à segurança da informação que estão na base do framework definido para o
estudo da segurança da informação nas organizações.
1.2 SUPORTE DA REVISÃO DA LITERATURA
A revisão da literatura subjacente à presente investigação teve como base diversos tipos de
documentos, destacando-se:
• artigos de revistas científicas;

• livros;
• relatórios técnicos;
• artigos de conferências;
• legislação nacional e internacional.

Capítulo 1 – Framework para o Estudo da Segurança da Informação nas Organizações
Esta documentação foi consultada a partir de diversas bases de dados electrónicas,

salientando-se as seguintes:
• Science Direct;
• Web of Knowledge;
• FirstSearch;
• JSTOR;
• EBSCO;
• b-on.
Para além destas bases de dados electrónicas de carácter geral, consultou-se, ainda, as
bases de dados electrónicas de algumas associações de que somos membros, tais como:
• Information System Audit and Control Association;

• Software Engineering Institute;
• ACM Digital Library;
1.3 DEFINIÇÃO DO FRAMEWORK
A literatura aborda a problemática da segurança da informação sob diversas perspectivas

de análise, desde aspectos técnicos, organizacionais e culturais, até aos aspectos
relacionados com a gestão do risco, com as pessoas e com as boas práticas, normas e
regulamentos internacionais. Dada esta diversidade de abordagens, torna-se essencial
definir uma estratégia de enquadramento lógico de todas estas perspectivas na revisão da
literatura subjacente à segurança da informação, pelo que se optou por criar um framework
para a análise da segurança da informação nas organizações, a partir dos pressupostos
apresentados a seguir.
Na sua análise das contribuições da investigação em segurança da informação, Siponen e

Oinas-Kukkonen (2007) concluem que a investigação na área da segurança da informação
se focalizou principalmente em questões técnicas e que é necessário desenvolver mais
estudos empíricos na gestão da segurança. Também Dhillon e Backhouse (2001) e Dhillon
e Torkzadeh (2006), argumentam que a maioria da investigação em segurança dos SI/TIC é
de natureza técnica, com uma atenção limitada às questões organizacionais e do factor
humano, conduzindo a uma compreensão limitada da forma como as organizações gerem

as várias dimensões da segurança da informação. Caralli (2004a) advoga que a segurança

da informação deve ser analisada através de um modelo de gestão organizacional,
compreendendo pessoas, processos, negócio, clientes, fornecedores e parceiros.
Não sendo a segurança da informação um problema técnico, mas um problema de gestão

(Corby, 2002; Dutta & McCrohan, 2002; Nosworthy, 2000; Schlarman, 2002; von Solms,
2001b), e também um problema social e organizacional porque os SI/TIC são sistemas
técnico-sociais (Laudon & Laudon, 2006) e têm que ser operados e usados pelas pessoas
(Dhillon & Backhouse, 2000), todas estas dimensões têm que estar presentes em qualquer
investigação que pretenda desenvolver uma perspectiva global da forma como as
organizações enfrentam as questões da segurança da informação.
As abordagens propostas na literatura para a análise da segurança da informação são

diversas. Enquanto Dutta e McCrohan (2002) propõem um modelo de abordagem à
segurança assente em quatro dimensões (organização, gestão, tecnologia e infra-estruturas
críticas), von Solms (2001b) defende que a segurança da informação assume um carácter
multidisciplinar, envolvendo múltiplas dimensões, tais como a governação (organização e
estratégia), as políticas (procedimentos, normas e directivas), as boas práticas
(conformidade), a ética, as leis, as pessoas, as tecnologias e a avaliação (métricas).
A defesa de uma abordagem abrangente à gestão da segurança é preconizada não só pela

Organization for Economic Co-Operation and Development [OECD] (2002) - princípio
oito: gestão da segurança -, como também pelo National Institute of Standards and
Technology [NIST] (Swanson & Guttman, 1996), o qual advoga, ainda, que a segurança
dos SI/TIC requer uma abordagem abrangente e integrada, sendo necessário considerar
áreas dentro e fora do âmbito específico da segurança dos SI/TIC.
Para o IT Governance Institute [ITGI] (2006), os elementos chave da gestão da segurança

da informação são: alinhamento estratégico; gestão de risco; gestão de recursos; avaliação
do desempenho; adição de valor. Na perspectiva da ISACA (2007), a segurança da
informação está direccionada para aspectos como governação, risco e outras questões de
gestão em toda a empresa.
Tendo em atenção todas estas diversas perspectivas e propostas de abordagem à

investigação em segurança da informação (decorrentes de uma primeira revisão generalista
da literatura), construiu-se um framework para o estudo da gestão da segurança da
informação nas organizações, integrando questões organizacionais, humanas e técnicas, de
forma a proporcionar uma compreensão ampla da forma como as organizações gerem as

várias dimensões da segurança da informação.
Este framework, conforme a Figura 1.1, assenta em seis dimensões: governo da segurança
da informação; gestão do risco; investimento em segurança; tecnologia, pessoas; leis,
regulamentos e normas. Cada uma destas dimensões integra, em função das suas próprias
características, os aspectos relacionados com métricas, avaliação, maturidade, ética,
normas, privacidade, etc. A revisão da literatura inclui, para além destas seis dimensões,
mais uma dimensão relativa ao estudo da segurança da informação nas PMEs.
Dimensões Principais Factores de Análise
Governo da
Segurança da Princípios, modelos e avaliação
Informação
Gestão do Risco Abordagens, processos, modelos e métricas
Investimento em
Segurança Custos, impactos, modelos e avaliação
Gestão da
Segurança da
Informação
Tecnologia Produtos, avaliação e conformidade
Pessoas Formação, ética, privacidade e ameaças internas
Leis, Regulamentos Conformidade, taxionomia e legislação

e Normas europeia/nacional
Pequenas e Médias
Características, utilização de SI/TI e segurança
Empresas
Figura 1.1: Framework para o estudo da gestão da segurança da informação.
A revisão da literatura que se segue, mostrando o estado da arte da segurança da

informação, tem por base o framework representado na Figura 1.1 e é suportada nos tipos
de documentos identificados no ponto anterior.

2 A Segurança da Informação
CAPÍTULO 2
A SEGURANÇA DA INFORMAÇÃO
2.1 INTRODUÇÃO
As organizações possuem diversos activos de informação que devem ser protegidos de

ameaças de variados tipos, através de estratégias e políticas de segurança da informação,
implementadas com base em modelos e métricas bem definidas, permitindo às
organizações melhorar o seu processo de responsabilização da segurança da informação.
Neste capítulo apresenta-se uma panorâmica geral da segurança da informação, abordando-

se a problemática da informação, da segurança da informação e da importância desta para
as organizações. Descrevem-se, ainda, a estratégia, as políticas e as normas e modelos de
maturidade para a segurança da informação.
2.2 INFORMAÇÃO E SEGURANÇA DA INFORMAÇÃO
O conceito de informação aplica-se ao armazenamento, comunicação, processamento ou

recepção de activos de conhecimento, tais como factos, dados ou opiniões, incluindo
números, gráficos ou formas narrativas, quer oral ou mantido sob qualquer meio
(Information Systems Security Association [ISSA], 2003). A informação pode ser impressa
ou escrita em papel, armazenada electronicamente, transmitida por correio ou utilizando
meios electrónicos, visualizada em filme ou falada em conversação. “Qualquer que seja a
forma que assuma ou os meios através dos quais é partilhada ou armazenada, deve ser
sempre protegida de forma apropriada” (International Organization for Standardization/
International Electrotechnical Commission [ISO/IEC], 2005d, p. viii). “Para satisfazer os
objectivos do negócio, a informação precisa de se adaptar a determinados critérios de

Capítulo 2 – A Segurança da Informação
controlo, a que o Control Objectives for Information and related Technology (COBIT) se
refere como requisitos do negócio para a informação” (ITGI, 2007a, p. 10). Enquadrados
nos requisitos mais amplos de qualidade, fiduciário e de segurança, o COBIT define sete
distintos critérios de informação (eficácia, eficiência, conformidade, fiabilidade,
confidencialidade, integridade e disponibilidade), conforme apresentado no Quadro 2.1.
Quadro 2.1: Critérios da informação.
Critério da
Requisito Descrição
Informação
Informação que é relevante e pertinente para os processos do

Eficácia negócio, entregue de forma oportuna, correcta, consistente e
Qualidade útil.
Produção da informação a partir da utilização óptima dos
Eficiência
recursos.
Estar em conformidade com as leis, regulamentos, políticas
Conformidade
internas e acordos contratuais.
Fiduciário
Fornecimento de informação apropriada para a gestão, para que
Fiabilidade
exerça as suas responsabilidades fiduciárias e de governo.
Protecção da informação sensível contra divulgação não
Confidencialidade
autorizada.
Diz respeito à exactidão e à integralidade da informação, assim
Segurança Integridade como a sua validade de acordo com os valores e expectativas do
negócio.
Informação que está disponível quando necessário pelos
Disponibilidade
processos do negócio.
Fonte: Adaptado de ITGI (2007a).
Os recursos de informação podem ser decompostos em (ITGI, 2007a):
• dados: objectos de dados no sentido mais lato, i.e., externos e internos, estruturados e
não estruturados, sons, gráficos, etc;
• sistemas aplicacionais: conjunto dos procedimentos manuais e automatizados;
• tecnologia: engloba o hardware, sistemas operativos, sistemas de gestão de bases de
dados, redes, multimédia, etc;
• instalações: recursos para albergar e suportar os SI/TIC;
• pessoas: competências, conhecimento e produtividade do pessoal para planear,
organizar, adquirir, entregar, suportar, monitorar e avaliar serviços e sistemas de
informação.

A segurança da informação está relacionada com a salvaguarda dos activos, os quais

devem ser protegidos de ameaças através da implementação de controlos de segurança que
garantam a eliminação e/ou redução dos riscos para esses activos, tal como representado na
Figura 2.1 sobre os conceitos e relações de segurança.
Figura 2.1: Conceitos e relações de segurança.

Fonte: ISO/IEC (2005a, p. 12).
A segurança da informação é a preservação da confidencialidade, integridade e

disponibilidade da informação (A. Wang, 2005; Henning, 2006; ISO/IEC, 2005d;
Landwehr, 2001; Peltier, 2004a; Posthumus & von Solms, 2004; Ross et al., 2007; Ryan &
Ryan, 2005; Siponen & Oinas-Kukkonen, 2007).
A confidencialidade é um requisito imposto no acesso à informação em que apenas um

conjunto limitado de indivíduos ou processos podem ter acesso a essa informação (Ryan &
Ryan, 2005). A informação está disponível apenas aos utilizadores e/ou processos que dela
necessitam, quando necessitam e sob determinadas circunstâncias (McCumber, 2005).
Frequentemente, as organizações enfrentam um dilema entre a protecção da informação e a
crescente necessidade de aceder a essa informação para efeitos de exploração e análise
(Sarathy & Muralidhar, 2002).

A integridade da informação está relacionada com a sua exactidão e robustez, pois se a

informação não é exacta ou completa pode conduzir a decisões incorrectas por parte dos
gestores (Posthumus & von Solms, 2004). Uma quebra de integridade pode resultar de uma
modificação intencional da informação por partes não autorizadas ou de modificação não
intencional no momento do armazenamento, processamento ou transmissão (Posthumus &
von Solms, 2004; Shih & Wen, 2003). Todavia, os dados podem estar disponíveis e não
comprometidos relativamente à sua confidencialidade, mas estejam degradados devido a
modificação ilícita (Ryan & Ryan, 2005).
A disponibilidade pretende assegurar que a informação está disponível para utilização em

tempo útil (Posthumus & von Solms, 2004), que as funções críticas são mantidas de forma
contínua e que um conjunto de serviços essenciais é fornecido aos clientes
(internos/externos), apesar da presença de ataques que possam comprometer a
disponibilidade dos recursos da organização e imobilizar as funções normais do negócio
(Shih & Wen, 2003). Sem informação atempada a organização não pode continuar com as
suas operações de negócio normais. Os dados podem estar protegidos contra divulgação,
modificação ilícita ou destruição, mas não estarem disponíveis quando necessários, em
virtude da degradação do desempenho dos sistemas causada por um ataque de negação de
serviço (Ryan & Ryan, 2005).
De acordo com o estudo de Ma, Johnston, e Pearson (2008), a importância destes

objectivos da segurança da informação varia em função do nível de criticidade da
informação. Assim, para organizações moderamente sensíveis à informação, a
confidencialidade está mais associada às práticas da gestão da segurança da informação,
enquanto para as organizações altamente sensíveis à informação, a confidencialidade, a
integridade e a responsabilização são os objectivos mais importantes da gestão da
Outros conceitos básicos associados à segurança da informação (relacionados com a

utilização da Internet) são:
• autenticação – assegurar que o utilizador é quem reivindica ser;

• não-repudiação – assegurar que o utilizador não pode negar posteriormente que não
realizou determinada actividade (Braithwaite, 2002; Landwehr, 2001);
• responsabilidade - estipular as responsabilidades e papéis dos utilizadores dos SI/TIC
(Shih & Wen, 2003).

Os incidentes de segurança da informação são eventos imprevistos que têm uma elevada
probabilidade de comprometer as operações do negócio e ameaçar a segurança da
informação (ISO/IEC, 2005d), os quais têm origem, segundo Wiant (2005), nas
vulnerabilidades dos sistemas operativos, abuso das contas ou permissões válidas de
utilizadores e erros não intencionais dos utilizadores. Ao comprometer a disponibilidade,
integridade e confidencialidade da informação, os incidentes de segurança, como
esquematicamente representados na Figura 2.2, podem ter consequências desastrosas nos
objectivos do negócio.
Critérios da Informação
Figura 2.2: Incidente de segurança.

Fonte: ITGI (2007b, p. 13).
Nos últimos anos assistiu-se a alterações dramáticas na natureza e estrutura dos SI/TIC,
fazendo com que as tradicionais soluções de segurança já não sejam suficientes para
enfrentar os problemas de segurança actuais (Lipson & Fisher, 2000). Isto é especialmente
importante num ambiente de negócio cada vez mais interligado entre clientes, fornecedores
e outros parceiros de negócio. Como resultado deste incremento de interligação entre
sistemas, a informação está exposta a um número e variedade crescente de ameaças e
vulnerabilidades (Dhillon, Tejay, & Hong, 2007). Com a generalização dos SI/TIC e a
difusão da Internet, existe um elevado risco de ataques, falhas e vulnerabilidades para os
activos críticos e infra-estruturas das organizações (Shih & Wen, 2003) que vão desde

fraudes informáticas, espionagem, sabotagem, vandalismo, fogo ou inundações. Outras

ameaças com resultados danosos compreendem código malicioso, pirataria informática e
ataques de negação de serviço, as quais são cada vez mais comuns e incrivelmente
sofisticadas (ISO/IEC, 2005d). De acordo com o inquérito de 2007 do Computer Security
Institute [CSI] (Richardson, 2008), 46% dos inquiridos afirmaram que as suas
organizações sofreram um incidente de segurança nos últimos doze meses, sendo que 26%
destes sofreram mais de 10 incidentes nesse período. O tipo de incidentes reportados por
mais de 50% dos inquiridos dizem respeito a abusos no acesso à Internet por utilizadores
internos (59%), vírus (52%) e roubo de computadores portáteis e dispositivos móveis
(50%). Todos estes ataques provocaram em 2007 perdas financeiras num total de cerca de
67 milhões de dólares, dos quais 21 milhões correspondem a fraudes financeiras, oito
milhões a vírus, cerca de sete milhões a penetração de sistemas por atacantes externos e
cerca de seis milhões devido a roubo de dados confidenciais. Todavia, segundo o inquérito
da CIO, CSO e da PriceWaterhouseCoopers (Berinato, 2007), ainda existem responsáveis
pela segurança da informação que não sabem o número e natureza dos incidentes de
segurança sofridos pelas suas organizações, como se pode constatar na Tabela 2.1.
Tabela 2.1: Percentagem de inquiridos que respondem “Não sei”.
2006 2007 2007 CSO/CISO

N.º de incidentes 29% 40% 29%
Tipo de ataque 26% 45% 32%
Primeiro método utilizado 26% 33% 20%
Fonte: Berinato (2007, p. 5).
Legenda: CSO - Chief Security Officer (responsável pela segurança)
CISO - Chief Information Security Officer (responsável pela segurança da
informação)
As falhas de segurança são causadas, normalmente, por (ITGI, 2007b):
• ausência de processos de gestão de riscos e ameaças;

• novas vulnerabilidades originadas pela utilização de novas tecnologias;
• ausência de processos que garantam a implementação oportuna de correcções às
aplicações e sistemas;
• aumento do trabalho em rede e em equipamentos sem fios;
• ausência de uma cultura de segurança;

• disciplina insuficiente na aplicação dos controlos;

• aumento dos ataques aos SI/TIC por parte de piratas informáticos, criminosos e até
terroristas;
• alteração dos requisitos de segurança emanados de normas legislativas e regulatórias.
O crescente aumento de novas ameaças e vulnerabilidades associadas às alterações

constantes do ambiente dos SI/TIC, juntamente com a necessidade de estar em
conformidade com novas leis e regulamentos, implica que as organizações devam ser
proactivas na prossecução da avaliação contínua da segurança dos seus activos críticos e,
simultaneamente, actualizar e reforçar continuamente as suas políticas e procedimentos de
segurança (Caralli, 2004a).
A informação tem um papel fundamental no suporte dos processos de negócio das

organizações e está exposta a três elementos fundamentais (Posthumus & von Solms, 2004;
Schlarman, 2001):
• tecnologia – utilizada para armazenar, processar e transmitir informação e suportar

os processos de negócio;
• pessoas – que criam e utilizam a informação através de vários meios como forma de
executar e suportar os processos de negócio;
• processos – que manipulam a informação para a execução de uma operação de
negócio.
Cada um destes elementos representa um potencial de risco para os activos de informação

das organizações e apenas através de um adequado equilíbrio entre estes três elementos se
pode atingir uma efectiva segurança da informação (Anderson, 2008). Todavia, Nicastro
(2007) argumenta que uma forma de se conseguir uma melhor segurança passa por uma
maior focalização nas pessoas e nos processos e menos na tecnologia, designadamente
através do estabelecimento de uma cultura de segurança na organização e de um adequado
programa de consciencialização e formação em segurança da informação.
A informação é um activo que, tal como outros activos de negócio importantes, é essencial
para o negócio da organização e, consequentemente, necessita de protecção adequada
(Doughty, 2003; ISO/IEC, 2005d), a qual depende da probabilidade da ocorrência de um
risco de segurança e da amplitude do seu impacto (ITGI, 2006). Esta protecção deve estar
adaptada a cada uma das fases do ciclo de vida da informação, tal como preconizado por

McCumber (2005) no seu modelo de avaliação da segurança nos SI/TIC, cuja análise é
efectuada a partir da intersecção de três factores: estado da informação (transmissão,
armazenamento e processamento); medidas de segurança (pessoas, tecnologia e políticas);
características críticas da informação (confidencialidade, integridade e disponibilidade). O
Quadro 2.2 apresenta o modelo de ciclo de vida da informação proposto por Bernard
(2007), o qual inclui os estados da informação definidos por McCumber (2005).
Quadro 2.2: Ciclo de vida da informação.
Fase Descrição
• Tratam os registos de acordo com as suas origens internas ou de

Criação e Recepção sua entrada na organização.
• Informação pode ser escrita, impressa, electrónica ou verbal.
Armazenamento • Inclui todos os locais onde a informação é armazenada.
Distribuição e
• Colocação da informação onde possa ser acedida e utilizada.
Transmissão
• Pode envolver a conversão da informação de uma forma para
Acesso e Utilização
outra.
• Refere-se à gestão da informação.
Manutenção
• Inclui processos relativos ao arquivo, recuperação e transferência.
• Tratamento da informação que raramente é acedida e sujeita a
Disposição e retenção em formatos específicos e em determinados períodos de
Destruição tempo.
• Destruição da informação através de meios apropriados e seguros.
Fonte: Adaptado de Bernard (2007).
2.3 A IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO
A segurança da informação está a atingir uma situação bastante crítica, de tal modo que faz
dela um dos maiores problemas que as empresas enfrentam actualmente, devido a uma
alarmante vulnerabilidade que cresce de mão dada com o aumento geométrico dos dados
gerados e o modo como os utilizadores tratam esses dados (Reed, 2007). Dodds e Hague
(2004), defendem que as questões de segurança apenas assumem relevo quando uma
organização sofreu um ataque que comprometeu os seus SI/TIC, foi objecto de fraude ou
sofreu uma interrupção nas operações do negócio. Por seu lado, AlAboodi (2006) sustenta
que a segurança da informação é um elemento essencial nos processos de negócios actuais
e embora não deva ser uma competência básica da organização, ela deve estar presente na
cultura e nos processos de negócio da organização, para que, de acordo com Anderson

(2003), seja possível garantir que os riscos da informação e os controlos estão em

equilíbrio.
Apesar da maioria dos SI/TIC não terem sido desenhados para serem seguros (ISO/IEC,
2005d), Baskerville (1993) afirma que a maioria dos responsáveis pela análise e desenho
dos SI/TIC não têm a intenção de projectar um sistema de informação que seja pouco
seguro ou instável. Todavia, a segurança que pode ser alcançada através de meios técnicos
para prevenir estas vulnerabilidades dos SI/TIC é limitada, devendo, portanto, ser utilizada
uma combinação de salvaguardas técnicas e não técnicas (ITGI, 2007b; Wylder, 2007).
Nesta perspectiva, Musaji (2006) advoga que a segurança da informação é alcançada
através da implementação de um adequado conjunto de controlos, incluindo políticas,
processos, procedimentos, estruturas organizacionais e funções de software e hardware.
Estes controlos necessitam ser definidos, implementados, monitorizados, revistos e
aperfeiçoados quando necessário para assegurar que os objectivos específicos de segurança
e do negócio da organização são alcançados (ISO/IEC, 2005d). Esta nova filosofia da
segurança da informação é assumida por Caralli (2004a), ao afirmar que a segurança da
informação deve ser objecto de mudança de paradigma, passando-se de uma perspectiva
tecnológica da segurança para um modelo de gestão organizacional, compreendendo
pessoas, processos, negócio, clientes, fornecedores e parceiros, como apresentado no
Quadro 2.3.
Quadro 2.3: Modelo de gestão organizacional da segurança da informação.
Área Situação Actual Situação Futura
Âmbito da Segurança Técnico Organizacional

Propriedade da Segurança Tecnologias da Informação Organização
Essência da Segurança Descontínuo e intermitente Integrado
Financiamento da Segurança Custo Investimento
Orientadores da Segurança Externo Interno
Abordagem da Segurança Ad hoc Controlado
Fonte: Caralli (2004a, p. 6).
Esta alteração de paradigma torna claro que a segurança da organização não resulta apenas
da segurança da sua infra-estrutura tecnológica, dado que uma abordagem centrada nos
factores estratégicos protege os activos e processos críticos da organização,
independentemente da sua natureza e localização (Caralli & Wilson, 2004).

A segurança da informação não é um problema técnico, mas um problema de gestão

(Corby, 2002; Dutta & McCrohan, 2002; Nosworthy, 2000; Schlarman, 2002; von Solms,
2001b), e também um problema social e organizacional porque os SI/TIC são sistemas
técnico-sociais (Laudon & Laudon, 2006) e têm que ser operados e usados pelas pessoas
(Dhillon & Backhouse, 2000). Tracy (2007) também não reduz a segurança da informação
a uma mera questão técnica, pois para ele, mais importante do que protecção técnica contra
ameaças e vulnerabilidades é a existência de uma forte cultura de segurança em que exista
incentivo e reforço do comportamento positivo. De facto, muitas vezes existem soluções
técnicas para colmatar as vulnerabilidades, mas os procedimentos e responsabilidades
(elementos fundamentais da política de segurança) ou não estão definidos ou não são
cumpridos conforme estipulado. Assim, para Tracy (2007), o espírito da política de
segurança é transposto para a prática diária da organização através do estabelecimento de
uma mentalidade de segurança como forma de fazer negócio, incluir a segurança nos
processos de tomada de decisão do negócio e avaliando continuamente a segurança com
base em métricas fidedignas.
“A segurança da informação é a protecção da informação de uma vasta gama de ameaças

de forma a assegurar a continuidade do negócio, minimizar os riscos do negócio e
maximizar os retornos dos investimentos e as oportunidades de negócio” (ISO/IEC, 2005d,
p. viii), combinando sistemas, operações e controlos internos (técnicos, físicos e
operacionais) para garantir a confidencialidade, integridade e disponibilidade da
informação (Hong, Chi, Chao, & Tang, 2003; Peltier, 1999; Posthumus & von Solms,
2004). Estas características da informação devem ser salvaguardadas através da sua
classificação, permitindo, deste modo, estabelecer os níveis apropriados de protecção, pois
se toda a informação é criada da mesma forma, nem toda a informação tem o mesmo valor
e está sujeita aos mesmos riscos (Appleyard, 2007; Peltier, 1998, 1999).
“A segurança da informação protege os activos de informação contra o risco de perda,

descontinuidade operacional, má utilização, divulgação não autorizada, inacessibilidade e
avaria” (ITGI, 2006, p. 15), pelo que um dos seus principais objectivos consiste em reduzir
os impactos danosos na organização para um nível de risco aceitável. O tipo e o perfil da
organização, assim como o seu negócio e os seus objectivos influenciam o nível de risco.
Quanto mais elevado o ambiente competitivo da organização, mais informação é

necessária para alimentar o processo de tomada de decisão e, consequentemente, maiores

são os riscos de segurança (Fourie, 2003).
Partindo do princípio de que nenhum sistema é totalmente imune a ataques, falhas ou

acidentes, Lipson e Fisher (2000) desenvolvem o conceito de capacidade de sobrevivência,
ou seja, as condições em que os SI/TIC conseguem funcionar, considerando um nível
aceitável de funcionalidade ou um período máximo de duração de inoperacionalidade
aceitável. Lipson e Fisher definem sobrevivência como a capacidade dos SI/TIC
cumprirem a sua missão, de forma oportuna, mesmo na presença de ataques, falhas ou
acidentes, ou seja, “a existência da organização não será ameaçada seriamente pela perda
de uma proporção máxima estimável dos seus recursos” (Snow, Straub, Stucke, &
Baskerville, 2006, p. 156). Para Masood, Sedigh-Ali, e Ghafoor (2006) a sobrevivência
depende da robustez da protecção do sistema, da protecção do perímetro e dos domínios da
intrusão e detecção, enquanto que para Snow et al. (2006) a solução técnica para a
manutenção da sobrevivência passa pela existência de um sistema fiável que garanta 100%
de redundância. Contudo, Lipson e Fisher (2000) defendem que a sobrevivência não
depende apenas deste tipo de controlos tecnológicos, mas, acima de tudo, de uma correcta
gestão do risco, suportada por adequadas estratégias de mitigação e contingência.
Rainer, Marshall, Knapp, e Montgomery (2007) chamam a atenção para o facto dos
profissionais de segurança e os gestores de negócio não terem a mesma visão dos
problemas de segurança, pois se os primeiros estão mais focados nos problemas técnicos,
aos segundos importa mais uma perspectiva de gestão. Este latente desfasamento de
interesses, designadamente o alheamento dos técnicos da segurança relativamente à missão
da organização, pode traduzir-se numa dificuldade em desenvolver e implementar uma
estratégia de segurança eficaz (Caralli, 2004b).
Os benefícios de uma boa segurança da informação não se restringem apenas a uma

redução do risco ou uma redução no impacto se ocorrer um evento de risco.
Complementarmente, uma boa segurança da informação melhora a reputação da
organização, constrói e melhora a relação de confiança com os parceiros do negócio, assim
como pode aumentar a eficiência na medida em que evita a perda de tempo e esforço com
a recuperação de incidentes de segurança (ITGI, 2007a). De acordo com o ITGI (2008), o
sucesso da segurança da informação pode ser avaliado através da:

• conformidade total ou existência de desvios mínimos relativamente aos requisitos

mínimos de segurança;
• percentagem de planos e políticas existentes e documentados, incluindo a missão da
segurança da informação, visão, objectivos e códigos de conduta;
• percentagem de planos e políticas de segurança da informação comunicados a todas
as partes interessadas.
Para Knapp e Marshall (2007), o suporte da gestão é uma condição essencial para a
eficácia da segurança da informação, a qual também depende da formação dos utilizadores,
da cultura de segurança e da relevância e aplicação das políticas de segurança.
2.4 ESTRATÉGIA E POLÍTICAS DE SEGURANÇA DA

INFORMAÇÃO
Se, para Purser (2004a, p. 110), “a estratégia proporciona uma estrutura consistente e
coerente para a melhoria e assegura que a organização se mantém focalizada nas questões
mais importantes”, para G. Wang (2005) a estratégia da segurança da informação deve
adaptar-se aos recursos da empresa e à orientação do negócio. Neste sentido, e ainda
segundo G. Wang, a estratégia da segurança da informação é um processo único para cada
organização, pois os recursos e estratégias das organizações são diferentes. Para além da
dependência dos objectivos estratégicos das organizações e dos recursos ao seu dispor, a
estratégia da segurança da informação depende das restrições que os requisitos legais e
regulamentares impõem às organizações, na medida em que as condicionam na utilização
da informação e dos seus SI/TIC (Purser, 2004a). Este tipo de requisitos, como por
exemplo, leis sobre protecção de dados, privacidade, segredo bancário ou leis sobre a
limitação do uso de mecanismos criptográficos, podem, de acordo com Purser, ter um
impacto significativo na estratégia da segurança da informação.
Caralli (2004b) defende que os factores críticos de sucesso são um método eficaz para
definir uma efectiva estratégia de segurança e das actividades de gestão da segurança da
informação através da organização. “Os factores críticos de sucesso definem as áreas chave
do desempenho que são essenciais para que a organização realize a sua missão” (Caralli,
2004b, p. 2), pelo que representam as prioridades da gestão. Ainda segundo Caralli, os
factores críticos de sucesso permitem identificar os activos críticos a proteger, os requisitos

de confidencialidade, integridade e disponibilidade associados a estes activos, assim como

suportar uma avaliação de riscos e definir as estratégias de mitigação e contingência a estes
riscos. Para Pironti (2006), a implementação de uma estratégia de segurança da informação
de sucesso deve considerar os seguintes elementos críticos:
• compromisso da gestão com as iniciativas de segurança;

• conhecimento das questões de segurança pela gestão;
• planeamento da segurança da informação deve ser realizado antes da implementação
de novas tecnologias;
• integração entre o negócio e a segurança da informação;
• alinhamento da segurança da informação com os objectivos da organização.
O 10th Annual Global Information Security Survey (Ernst & Young, 2007) revela que os
factores mais importantes nos projectos estratégicos da segurança da informação são a
disponibilidade de pessoal e especialistas de segurança com experiência e bem qualificados,
disponibilidades financeiras e o patrocínio e compromisso da gestão.
As políticas de segurança são declarações de princípios bastante vastas que representam a

posição da gestão para uma área específica de controlo (Davis, 2007; Höne & Eloff, 2002),
são neutras em termos tecnológicos, orientadas para os riscos, fixam instruções e
procedimentos e definem penalidades e medidas preventivas se a política é transgredida
(Rees, Bandyopadhyay, & Spafford, 2003). As políticas de segurança incluem as intenções
e prioridades tendo em vista a protecção dos SI/TIC (objectivos da segurança), juntamente
com uma descrição genérica dos meios e métodos para atingir esses objectivos (Karyda,
Kiountouzis, & Kokolakis, 2005), além de conter os requisitos de normas e conformidade,
definição de responsabilidades da gestão da segurança da informação e referência a
documentos que suportam a política (Höne & Eloff, 2002; Peltier, 1999; Shaurette, 2007;
Trcek, 2003). A definição de políticas, normas, procedimentos e directrizes (componentes
da estratégia de segurança da informação) estão descritas no Apêndice A – Componentes,
modelos e métricas da segurança da informação.
Para Höne e Eloff (2002), os elementos essenciais de uma política de segurança da

informação são:
• definição do âmbito e objectivos da segurança da informação;

• definição da segurança da informação;

• compromisso da gestão para com a segurança da informação;

• aprovação da política;
• objectivos da política e princípios da segurança da informação;
• papéis e responsabilidades;
• acções disciplinares por violação da política;
• monitorização e revisão;
• declaração de conhecimento e aceitação da política pelos utilizadores.
Se para Davis (2007, p. 569) o objectivo fundamental das políticas de segurança é

“assegurar que os riscos são tratados e controlados de forma consistente em toda a
organização”, para Nosworthy (2000), as políticas de segurança devem atingir outros
objectivos, nomeadamente:
• demonstrar o compromisso da gestão para com a segurança da informação;

• definir as linhas orientadoras da política de segurança, enquadrando-a na gestão
corrente da organização;
• manter a continuidade das operações e desse modo continuar a fornecer serviços;
• proteger os activos da organização.
Para Wiant (2005), uma efectiva política de segurança pode aumentar a comunicação de
incidentes de segurança (designadamente os referentes à violação informática) e da
gravidade desses mesmos incidentes. Por seu lado, Karyda et al. (2005), assumem que a
implementação e utilização de uma política de segurança dos SI/TIC numa organização
deve ter em atenção, não só o quadro de referência dos indivíduos associados aos
processos de segurança, mas também o contexto social onde estes ocorrem, na medida em
que as decisões inerentes à formulação e implementação da política de segurança são
tomadas por pessoas e dependem da sua experiência e conhecimento, assim como dos seus
objectivos e prioridades pessoais. Karyda et al. (2005) concluem, então, que os factores
contextuais críticos para a gestão da segurança são:
• estrutura organizacional;
• cultura organizacional;
• suporte da gestão;
• existência de um órgão responsável pela formulação e implementação da política de
segurança;

• programa contínuo de educação e formação em segurança;

• participação dos utilizadores na formulação da política de segurança;
• contribuição para os objectivos dos utilizadores;
Todavia, para Tompkins (2007), o requisito primordial para garantir o sucesso contínuo
das políticas de segurança passa por manter a gestão informada sobre a evolução da
implementação das políticas (utilizando as métricas da segurança da informação adequadas
para o efeito) e, acima de tudo, obter o compromisso da gestão pela execução, controlo e
monitorização da execução das políticas. O tipo de métricas a implementar para avaliar o
sucesso da política de segurança da informação estão referenciadas no Apêndice A –
Componentes, modelos e métricas da segurança da informação.
Depois de aprovada, a política de segurança deve ser disseminada pela organização a todos
aqueles que são afectados pela política, o que exige uma política de comunicação adequada
(Davis, 2007). Contudo, num estudo efectuado em grandes empresas do Reino Unido,
Fulford e Doherty (2003) concluem que o conhecimento específico acerca da actualização,
âmbito e disseminação de tais políticas no seio das organizações é bastante limitado, apesar
da maioria das empresas analisadas terem implementado políticas de segurança. Segundo
os autores, esta situação pode estar associada ao facto das empresas se limitarem a
implementar políticas de segurança por ser uma boa prática de gestão, em vez de as
transformarem numa ferramenta de trabalho para informar os colaboradores acerca das
suas responsabilidades na segurança da organização.
Segundo Tracy (2007), o sucesso das políticas de segurança pode ser avaliado através de:
• resultados de auditorias de segurança;

• medidas da produtividade perdida devido a problemas com a segurança da
informação;
• satisfação do utilizador com os procedimentos da segurança da informação;
• conhecimentos do utilizador acerca dos procedimentos da segurança da informação.
Uma efectiva política de segurança da informação depende da existência ou da aplicação

de um determinado conjunto de factores que von Solms e von Solms (2004) intitulam de
“pecados mortais” para o insucesso de um programa de segurança da informação:
1. não reconhecer a segurança da informação como uma responsabilidade da

administração da organização (governo da segurança da informação);

2. não reconhecer que a segurança da informação não é um problema técnico, mas um

problema do negócio;
3. não reconhecer que a segurança da informação é uma disciplina multi-dimensional;
4. não reconhecer que a estratégia da segurança da informação deve ser implementada
com base numa adequada análise de risco;
5. não compreender a importância das boas práticas internacionais na gestão da
segurança da informação;
6. não compreender que uma política de segurança organizacional é essencial;
7. não conceber que a aplicação da conformidade da segurança da informação e da sua
monitorização é fundamental;
8. não reconhecer a necessidade de uma apropriada estrutura para o governo da
9. não reconhecer a importância capital da consciencialização da segurança da
informação entre os utilizadores;
10. não disponibilizar aos gestores da segurança da informação a infra-estrutura,
ferramentas e mecanismos de suporte para executar correctamente as suas
responsabilidades.
2.5 NORMAS E MODELOS DE MATURIDADE
Existem algumas normas orientadoras e boas experiências de métricas de segurança na

área dos SI/TIC, designadamente:
• Trusted Computer System Evaluation Criteria (TCSEC), (Department of Defense

[DoD], 1985) publicado pelo departamento de defesa dos Estados Unidos da
América (EUA), com o propósito de servir de base para a avaliação da eficácia dos
controlos de segurança incorporados nos produtos dos sistemas automáticos de
processamento de dados (DoD, 1985);
• Information Technology Security Evaluation Criteria (ITSEC) (Commission of the
European Communities [CEC], 1991), publicado pela Comissão das Comunidades
Europeias (CCE), tem como objectivo principal, dada a tendência crescente para a
necessidade de aplicar medidas de segurança técnicas nos SI/TIC, avaliar as medidas
de segurança técnicas implementadas no hardware, software e firmware;

• Information technology - Security techniques - Evaluation criteria for IT security -

Part 1: Introduction and general model (ISO/IEC, 2005a); Information technology -
Security techniques - Evaluation criteria for IT security - Part 2: Security functional
requirements (ISO/IEC, 2005b) e Information technology - Security techniques -
Evaluation criteria for IT security - Part 3: Security assurance requirements
(ISO/IEC, 2005c). Esta norma, dividida em três partes, deve ser utilizada como base
para avaliação das propriedades de segurança dos produtos de SI/TIC, definindo a
estrutura e o conteúdo necessários dos componentes funcionais de segurança para
efeitos da avaliação de segurança (Parte 2) e os requisitos de garantia (Parte 3);
• Security Metrics Guide for Information Technology Systems (Swanson et al., 2003)
que fornece orientações sobre a forma como uma organização, através do uso de
métricas, identifica a adequação dos controlos de segurança, políticas e
procedimentos implementados. Também fornece uma abordagem para ajudar a
gestão a decidir onde investir em recursos adicionais de protecção de segurança ou
identificar e avaliar os controlos não defectivos (Swanson et al., 2003);
• Guide for Developing Performance Metrics for Information Security (Chew et al.,
2006), que se concentra no desenvolvimento e execução de métricas de segurança da
informação para um programa de segurança da informação, dirigido especificamente
aos organismos públicos dos EUA, mas com aplicação a qualquer entidade privada;
• Performance Measurement Guide for Information Security (Chew et al., 2008) que é
um guia para auxiliar no desenvolvimento, selecção e implementação de medidas
para serem utilizadas ao nível do sistema de informação e do programa.
Um dos aspectos mais importantes relacionado com as métricas é medir o progresso do

programa de segurança contra um modelo de maturidade (Chapin & Akridge, 2005), pelo
que se apresentam, de seguida, alguns modelos de maturidade e a sua relação com as
métricas de segurança.
AlAboodi (2006) propõe um modelo de maturidade para a segurança da informação que

tem como objectivo avaliar e medir a eficácia e eficiência da forma como os conceitos e
práticas da segurança da informação são abordados e mantidos. Embora o autor afirme que
este modelo incorpora diversas escolas de pensamento na área da segurança da informação,
este modelo de maturidade está intimamente ligado à norma ISO 17799:2005, dado que
existe uma ligação estreita entre os níveis do modelo e os domínios daquela norma. Trata-

se de um modelo multi-nível que se propõe avaliar a “gestão da segurança da informação e

a avaliação do nível da prática e consciencialização da segurança em qualquer organização
assente nas tecnologias de informação e comunicação” (AlAboodi, 2006, p. 2). A
utilização do modelo, representado na Figura 2.3, permite perceber onde e com que grau de
extensão, os processos básicos da segurança (prevenção, detecção e recuperação) estão
implementados e integrados.
Figura 2.3: Modelo de maturidade para a segurança da informação.

Fonte: AlAboodi (2006, p. 2).
As três dimensões do modelo são (AlAboodi, 2006):
• nível – o modelo apresenta cinco níveis, desde o nível 1 relativo à segurança física e
ambiental até à segurança definitiva do nível 5;
• processo – diz respeito aos três processos básicos da segurança: prevenção; detecção;
recuperação;
• pessoas – representa os índices sofisticação e visibilidade, os quais são apreendidos
do lado das pessoas.
O NIST (Chew et al., 2006, 2008; Swanson et al., 2003) propõe um modelo para a
maturidade do programa de segurança assente em cinco níveis. De acordo com este modelo,
esquematizado na Figura 2.4, o programa de segurança inicia-se pelo desenvolvimento das
políticas (nível 1), pelo desenvolvimento dos procedimentos (nível 2), pela implementação

dos procedimentos (nível 3), pela realização de testes de conformidade à eficácia dos
procedimentos (nível 4) e, no final, pela integração total das políticas e procedimentos nas
operações diárias da organização (nível 5). Os vários níveis do modelo estão associados à
disponibilidade dos dados e à correspondente recolha e tratamento automático, i.e., à
medida que existem mais dados disponíveis, torna-se mais fácil a sua recolha e
automatização e as métricas (implementação, eficácia/eficiência e impacto) podem ser
obtidas de forma mais realista.
Figura 2.4: Maturidade do programa de segurança e tipos de medição.

Fonte: Swanson et al. (2003, p. 11).
Existem alguns modelos de maturidade que podem ser aplicados no âmbito das diversas
vertentes da segurança da informação, nomeadamente: o modelo de maturidade do
programa de segurança do NIST (Swanson et al., 2003); o modelo de maturidade utilizado
pelo COBIT (ITGI, 2007a) para avaliar o nível de desempenho dos processos de gestão dos
SI/TIC; o modelo de maturidade do United States General Accounting Office [GAO]
(GAO, 2004) para avaliar as práticas de gestão dos investimentos em SI/TIC. Além destes
modelos, existe também o modelo de maturidade do Software Engineering Institute [SEI] /
Carnegie Mellon University [CMU] (Herndon, Moore, Phillips, Walker & West, 2003;
Nelson, 2007) para avaliar os processos que as organizações utilizam para desenvolver,
entregar e manter produtos e serviços.
O Quadro 2.4 apresenta uma síntese destes modelos, com a indicação do propósito que
cada modelo pretende atingir e as respectivas fases.

Quadro 2.4: Modelos de maturidade de segurança dos SI/TIC.
Modelo Níveis de Maturidade Propósito

Nível 1 - Política
NIST Nível 1 - Procedimento
Direccionado para os
(Swanson et al., Nível 1 - Implementação
níveis de documentação
2003) Nível 1 - Testes
Nível 1 - Integração
Nível 0 - Não existente
Nível 1 - Inicial (ad hoc) Direccionado para a
COBIT Nível 2 - Repetitivo mas intuitivo auditoria de
(ITGI, 2007a) Nível 3 - Processos definidos procedimentos
Nível 4 - Gerível e mensurável específicos
Nível 5 - Optimizado
Nível 0 - Incompleto
Nível 1 - Executado
CMMI Direccionado para a
Nível 2 - Gerido
(Herndon et al., segurança da engenharia
Nível 3 - Definido e design de software
2003; Nelson, 2007)
Nível 4 – Gerido quantitativamente
Nível 5 - Optimizado
Nível 1 – Criar consciência de Investimento
Nível 2 – Construir as fundações do investimento Direccionado para as
ITIM Nível 3 – Desenvolver processo de investimento práticas de gestão dos
(GAO, 2004) Nível 4 – Melhorar processo de investimento investimentos em
Nível 5 – Potenciar SI/TIC para resultados SI/TIC
estratégicos
Fonte: Chapin e Akridge (2005, p. 3).
Após um processo de avaliação da segurança da informação é expectável que a gestão da

organização execute as acções recomendadas pelos avaliadores, o que, devido a
determinadas razões, nem sempre se verifica. Neal (2006) apresenta uma análise
interessante sobre a resistência às conclusões da avaliação da segurança, argumentando que
a resistência, entendida como uma forma passiva ou activa de não iniciar ou dar
continuidade ao plano das estratégias de mitigação das ameaças identificadas numa
avaliação da segurança, não é apenas função das variáveis tradicionais como riscos,
restrições orçamentais, formação deficiente, má gestão ou insuficiência de recursos, mas
está, também, associada a variáveis psico-sociais, tais como: efeito espectador; controlo
pessoal e incapacidade de tomar decisões; submissão à autoridade; estilo de liderança. Para
eliminar o efeito destas variáveis, Neal define um conjunto de medidas preventivas, como
“passos que a gestão pode tomar para impedir que as conclusões da avaliação possam
tornar-se obsoletas e implementar as medidas de segurança necessárias para reduzir as
vulnerabilidades identificadas na avaliação” (Neal, 2006, p. 51).
3 O Governo da Segurança da Informação
CAPÍTULO 3
O GOVERNO DA SEGURANÇA DA INFORMAÇÃO
3.1 INTRODUÇÃO
A protecção dos activos de informação das organizações é conseguida através de uma

estratégia e políticas de segurança que permitam, entre outros factores, gerir e avaliar os
riscos da segurança, alocar correctamente os recursos e estar em conformidade com as leis,
regulamentos e políticas de segurança.
Neste capítulo apresenta-se a temática do governo da segurança da informação, tendo por

base os conceitos de governo das sociedades e governo dos SI/TIC. As características,
modelos e avaliação do governo da segurança da informação são outros dos temas
expostos.
3.2 O GOVERNO DAS SOCIEDADES
Os escândalos verificados nos últimos anos com várias empresas como a Enron e
Worldcom, trouxeram para a discussão pública a necessidade de uma regulação eficaz
sobre a gestão das organizações, como forma de proteger os accionistas dos actos de gestão
danosos. Estes factos tiveram como consequência, segundo von Solms e von Solms (2006)
um aumento da atenção sobre a forma como as organizações são administradas e
controladas.
O fracasso deste tipo de políticas organizacionais levou os legisladores e reguladores a

criarem uma teia complexa de novas leis e regulamentos com o objectivo de melhorarem a
governação empresarial, o sistema de controlo interno e a segurança, em que a lei

Capítulo 3 – O Governo da Segurança da Informação
Sarbanes-Oxley [SOX] Act (2002) é um caso paradigmático, visto que, de acordo com o
ITGI (2005), alterou o ambiente de negócio e regulatório.
Todavia, ciente da importância que as empresas assumem na economia actual e o interesse

na forma como as organizações são administradas ultrapassa o mero interesse dos
accionistas no desempenho individual das empresas, a Organização para a Cooperação e o
Desenvolvimento Económico (OCDE) publicou em 1999 uma primeira versão dos seus
“Princípios da OCDE sobre o Governo das Sociedades”, com uma revisão posterior em
2004 (OCDE, 2004). Estes princípios proporcionaram, segundo a OCDE, uma orientação
específica para as iniciativas legislativas e regulamentadoras, tanto nos Estados-Membros
da OCDE como em países terceiros, como é o caso do citado SOX Act (2002). Estes
princípios definem objectivos para uma boa prática do governo das sociedades, contêm
normas não vinculativas e linhas orientadoras sobre a sua aplicação e abrangem as
seguintes áreas: (i) assegurar a base para um enquadramento eficaz do governo das
sociedades; (ii) os direitos dos accionistas e funções fundamentais de exercício dos direitos;
(iii) o tratamento equitativo dos accionistas; (iv) o papel dos outros sujeitos com interesses
relevantes no governo das sociedades; (v) divulgação de informação e transparência; (vi)
as responsabilidades do órgão de administração.
A OCDE (2004) defende que um bom governo das sociedades dá estabilidade aos
mercados financeiros, ao investimento e ao crescimento económico e contribui para um
aumento da competitividade das empresas.
O governo das sociedades inclui as actividades que asseguram que os planos da

organização são executados e que as suas políticas são implementadas (Warkentin &
Johnston, 2006) e os objectivos são atingidos com um equilíbrio entre o risco e o retorno
do investimento (Fitzgerald, 2007). O governo das sociedades pode, então, ser definido
como um conjunto de responsabilidades e práticas exercidas pela gestão (Fink, Huegle, &
Dortschy, 2006) com o objectivo de “providenciar orientação estratégica, assegurar que os
objectivos são alcançados, verificar que os riscos são geridos de forma apropriada e
verificar que os recursos da organização são usados com responsabilidade” (ITGI, 2005, p.
5).

3.3 O GOVERNO DOS SISTEMAS E TECNOLOGIAS DE

INFORMAÇÃO E COMUNICAÇÃO
Os escândalos financeiros atrás relatados e as ameaças cada vez mais frequentes aos
SI/TIC com impacto ao nível da continuidade do negócio, criaram a necessidade de uma
nova abordagem ao governo dos SI/TIC, como forma de proteger os activos mais críticos
da organização que, de acordo com o ITGI (2006), são a informação e a reputação. Esta
mudança de paradigma baseia-se na assumpção da importância estratégica dos SI/TIC para
habilitar a organização a suportar as suas operações de negócio (Kordel, 2004).
Os objectivos do governo das sociedades apenas são atingidos através de um processo

formal de planeamento, aquisição, gestão e utilização dos recursos estratégicos da
organização, entre os quais se incluem os SI/TIC, conforme decorrente do exposto atrás.
Deste modo, este governo específico dos SI/TIC tem como objectivo a distribuição das
responsabilidades de decisão na estrutura organizacional e o estabelecimento de
procedimentos e práticas necessárias para criar e suportar as decisões estratégicas dos
SI/TIC (Peterson, 2004; Warkentin & Johnston, 2006), as quais são tomadas em quatro
domínios distintos dos SI/TIC: princípios; infra-estrutura; arquitectura; investimento e
respectiva hierarquização (Weill & Woodham, 2002; Weill & Ross, 2004). Por seu lado, as
responsabilidades estão direccionadas para a obtenção dos seguintes objectivos
estratégicos: acrescentar valor e potenciar o negócio através dos SI/TIC; mitigar os riscos
relacionados com os SI/TIC (ITGI, 2002; Kordel, 2004; Poore, 2007).
Daqui decorre que o governo dos SI/TIC não pode ser associado à gestão dos SI/TIC,
percebida como a gestão de serviços, produtos e operações dos SI/TIC (Krehnke, 2007) e
não é um acto de gestão separado do resto da governação empresarial (Grembergen, Haes,
& Guldentops, 2004). Pelo contrário, deve ser considerado um componente dessa
governação global, à qual são aplicados os princípios estratégicos do governo das
sociedades para direccionar e controlar os SI/TIC (ITGI, 2002), i.e., assenta numa estrutura
organizacional e num conjunto de processos que gerem e controlam as actividades dos
SI/TIC para alcançar os objectivos da organização, acrescentando valor através de um
correcto balanceamento entre os riscos e o retorno do investimento nos SI/TIC (Kordel,
2004).

3.4 CARACTERÍSTICAS DO GOVERNO DA SEGURANÇA DA

INFORMAÇÃO
Até muito recentemente, a preocupação com a protecção dos activos informacionais das
empresas tem estado focalizada nos SI/TIC e não na própria informação, fazendo com que
a segurança dos SI/TIC fosse circunscrita à segurança da informação dentro dos limites do
domínio tecnológico da infra-estrutura de rede (ITGI, 2006).
A informação é um componente indispensável na condução do negócio da maioria das

organizações (Knapp & Marshall, 2007). As organizações actuais já não são caracterizadas
pelos seus activos físicos, mas por pessoas que criam, processam e distribuem informação
(Dhillon & Backhouse, 2000). A informação é a base dos processos de negócio e o meio de
obter vantagem competitiva sobre a concorrência, tornando-se, assim, um activo crítico no
desempenho das organizações e, como tal, deve ser protegido adequadamente (von Solms
& von Solms, 2006).
Enquanto a segurança dos SI/TIC diz respeito à segurança da tecnologia, a segurança da

informação trata, por um lado, os riscos, benefícios e processos relacionados com a
informação e, por outro lado, com todos os aspectos da informação (falada, escrita,
impressa, electrónica ou baseada em qualquer outro meio) e do seu tratamento (criação,
transporte, armazenamento e destruição), enquadrando todos os processos da informação,
físicos e electrónicos, envolvendo, não só pessoas e tecnologia, como também, relações
com parceiros, clientes e terceiros (ITGI, 2006).
A crescente dependência das organizações na sua informação e nos sistemas que a tratam
(recolha, processamento, armazenamento e distribuição), juntamente com os riscos,
benefícios e oportunidades que os recursos informacionais apresentam, fazem com que o
governo da segurança da informação seja um factor cada vez mais crítico na governação
global e, segundo Krehnke (2007), esteja essencialmente focado em acrescentar valor e
mitigar os riscos relativos à segurança da informação. Se a informação é um recurso crítico
e fundamental para o futuro das organizações, então a sua protecção deve ser uma tarefa da
administração e as actividades da segurança da informação devem ser integradas e
constituir-se como parte integrante do governo da organização (Pironti, 2006; Poore, 2007;
von Solms & von Solms, 2006).

Apesar de muitas organizações adoptarem uma abordagem à segurança da informação

centrada na tecnologia (Caralli & Wilson, 2004), a segurança da informação passou de um
problema técnico, da responsabilidade da direcção de sistemas de informação, a um
problema do negócio (Caralli, 2004a) e da governação, a qual é responsável por garantir
que “as actividades apropriadas da segurança da informação estão sendo executadas de
modo a que os riscos sejam reduzidos de forma apropriada e os investimentos da segurança
da informação sejam direccionados adequadamente” (Fitzgerald, 2007, p. 16). Estas
actividades requerem o envolvimento efectivo da gestão para avaliar as ameaças e definir
as respostas a essas ameaças (von Solms, 2001a; National Cyber Security Summit Task
Force [NCSSTF] 2004; Knapp & Marshall, 2007). Se, porventura, este envolvimento da
gestão não se verifique e a responsabilidade pela segurança da informação for delegada
num nível organizacional que careça de autoridade, responsabilidade e de recursos para
actuar em conformidade com os objectivos, assistir-se-á a um completo falhanço da
implementação de uma política eficaz da segurança da informação na organização (Allen,
2005).
Com base nestas assumpções, pode-se definir o governo da segurança da informação como
um subconjunto do governo da organização que “providencia orientação estratégica,
assegura que os objectivos são alcançados, gere os riscos de forma apropriada, utiliza os
recursos organizacionais de modo responsável e monitoriza o sucesso ou falhanço do
programa de segurança da organização” (ITGI, 2006, p. 17), garantindo-se, desta forma, a
execução das seguintes funções (Moulton & Coles, 2003):
• responsabilidades e práticas da segurança;

• estratégias e objectivos para a segurança;
• gestão e avaliação dos riscos;
• gestão dos recursos da segurança;
• conformidade com a legislação, regulamentos e políticas de segurança.
Para Westby e Allen (2007), o governo da segurança da informação está alicerçado num
conjunto de 14 actividades, integradas em quatro categorias distintas, como apresentado no
Quadro 3.1.

Quadro 3.1: Categorias e actividades do governo da segurança da informação.
Categoria Actividade
• Definir a estrutura de governo.

• Atribuir papéis e responsabilidades, definindo linhas de
Estrutura
comunicação.
• Desenvolver políticas de alto nível.
• Inventariar activos de informação.
• Desenvolver e actualizar descrições dos sistemas.
Activos e
Responsabilidades • Definir e actualizar a propriedade e custódia dos activos.
• Designar responsabilidades de segurança e segregação de
deveres.
• Determinar e actualizar requisitos de conformidade.
Conformidade • Mapear activos com a tabela de autoridade.
• Mapear e analisar os fluxos de informação.
• Realizar avaliação de ameaças, vulnerabilidades e risco.
• Determinar critérios operacionais.
Avaliação e
Estratégia • Desenvolver e actualizar plano de gestão de risco.
• Desenvolver e actualizar estratégia de segurança da
organização.
Fonte: Adaptado de Westby e Allen (2007).
Uma execução adequada destas funções permite obter um conjunto de benefícios do

governo da segurança da informação, que para o ITGI (2006) se podem resumir a:
• redução da incerteza das operações do negócio através da redução dos riscos

relacionados com a segurança da informação para níveis aceitáveis pela organização;
• optimização da utilização dos recursos escassos de segurança;
• eficiente e efectiva gestão do risco, melhoria de processos e resposta rápida a
incidentes de segurança;
• garantia da implementação de uma eficaz política de segurança da informação e
conformidade da mesma com leis e regulamentos;
• garantia de que as decisões críticas não são tomadas com base em informação
defeituosa.
Por outro lado, o governo da segurança da informação deve estar alinhado com o governo
dos SI/TIC, para que, segundo Doherty e Fulford (2006), se possa assegurar que as acções
resultantes do planeamento estratégico dos SI/TIC não sejam comprometidas por
problemas com a sua segurança, o que implica a revisão ou modificação da política de

segurança da informação sempre que seja definida uma nova estratégia dos SI/TIC ou se
verifique uma alteração da estratégia já implementada.
Como resultado da crescente interligação dos SI/TIC e das redes de comunicações, a

exposição a um crescente e mais vasto número de ameaças e vulnerabilidades é cada vez
maior e conduz ao surgimento de novos problemas de segurança. Para que os governos e as
organizações possam enfrentar estes novos desafios, a OECD (2002) realça a necessidade
da existência de um maior conhecimento e compreensão destes problemas de segurança e
da necessidade de desenvolver uma cultura de segurança, a qual “requer liderança e
participação extensiva e que deve resultar numa acentuada prioridade para a gestão e
planeamento da segurança, assim como na compreensão da necessidade de segurança entre
todos os intervenientes” (OECD, 2002, p. 8). Para Dhillon e Backhouse (2000) esta cultura
da segurança da informação apenas pode ser alcançada através da responsabilidade,
integridade, confiança e ética.
Como forma de promover uma cultura de segurança a OCDE publica em 1992 uma
primeira versão dos seus Guidelines for the Security of Information Systems, a qual é
actualizada em 2002 sob o título de Guidelines for the Security of Information Systems and
Networks, integrando um conjunto de nove princípios gerais. Baseando-se nestes princípios
da OECD, a ISSA publica os Generally Accepted Information Security Principles [GAISP]
(ISSA, 2003) e o NIST publica em 1996 os seus Generally Accepted Principles and
Practices for Securing Information Technology Systems (Swanson & Guttman, 1996) com
aplicação aos SI/TIC dos organismos federais dos EUA. Os GAISP estão traduzidos em
nove princípios gerais que estão relacionados com a segurança física, técnica e
administrativa e têm como objectivo assegurar a redução do risco e do potencial impacto
negativo de uma ameaça, fornecendo uma orientação global ao nível da governação para
estabelecer e manter a segurança da informação. Por seu lado, na definição dos seus oito
princípios gerais, o NIST utilizou os OECD Guidelines, combinando alguns princípios e
reescrevendo outros, pelo que não existe uma associação directa entre estes dois conjuntos
de princípios (Swanson & Guttman, 1996).
Tal como a OECD e a ISSA, também a NCSSTF (2004) identificou um conjunto básico de
princípios com a finalidade de ajudar as organizações a desenvolver uma estratégia de
implementação da sua política de governo da segurança da informação. Estes princípios,
“são baseados em diversas normas e modelos relativos à segurança da informação e

governo dos SI/TIC, tais como a norma ISO 17799, o Federal Information Security
Management Act (FISMA) (2002) e o COBIT” (NCSSTF, 2004, p. 8).
Todos estes princípios compreendem, de uma certa forma, os domínios do governo da

segurança da informação instituídos pelo ITGI (2006), designadamente:
• alinhamento estratégico: da segurança da informação com a estratégia do negócio

como meio de ajudar a alcançar os objectivos organizacionais;
• gestão de risco: com o objectivo de gerir e mitigar os riscos e reduzir os impactos
potenciais para um nível aceitável pela gestão;
• gestão de recursos: utilizando o conhecimento sobre a segurança da informação e a
infra-estrutura tecnológica de forma eficaz e eficiente;
• avaliação do desempenho: avaliando, controlando e reportando as métricas da gestão
da segurança da informação, de modo a assegurar que os objectivos da organização
são atingidos;
• acrescentar valor: optimizando os investimentos em segurança da informação como
meio de ajudar a alcançar os objectivos organizacionais.
3.5 MODELOS DE GOVERNO DA SEGURANÇA DA

INFORMAÇÃO
Para a maioria das organizações, a implementação de uma efectiva política de governo da

segurança da informação é uma actividade fundamental, dado que, de uma forma geral, as
acções sobre segurança da informação são fragmentadas e de natureza táctica, i.e., sem
direcção da gestão (ITGI, 2008). Existem diversos modelos para desenvolver um governo
da segurança da informação, devendo cada organização adoptar aquele que melhor se
adapte às suas necessidades e objectivos.
A Figura 3.1 apresenta o modelo de governo da segurança da informação proposto pelo

ITGI (2006), o qual assenta nas seguintes características:
• uma metodologia para a gestão do risco da segurança da informação;

• uma estratégia de segurança alinhada com os objectivos do negócio e dos SI/TIC;
• uma estrutura organizacional adequada;

• políticas de segurança que tratem de todas as questões da estratégia, controlo e

regulação;
• um conjunto de normas de segurança para cada política para assegurar que os
procedimentos e orientações estão em conformidade com a política;
• institucionalização de processos de monitorização para assegurar conformidade e
providenciar informação sobre a mitigação dos riscos;
• um processo que assegure avaliação contínua e actualização das políticas de
segurança, normas, procedimentos e riscos.
Objectivos
Administração Estratégia do Negócio
Organizacionais
Comité de Segurança Gestão do Risco / Estratégia da Segurança da Requisitos de

e Gestão Executiva Informação Segurança
Gestor Segurança da
Programas de
Informação / Comité Planos de Acção da Segurança, Políticas, Normas
Segurança
de Segurança
Implementação
Objectivos de
Segurança
Controlo / Métricas
Informação
Análise de Tendências
Figura 3.1: Modelo para o governo da segurança da informação.

Fonte: ITGI (2006, p. 19).
O NCSSTF (2004) propõe um modelo de governo da segurança da informação composto

pelas seguintes áreas de governo:
• autoridade e funções da administração, gestão executiva e gestão intermédia;

• responsabilidades de todos os empregados e utilizadores;
• unidade organizacional para o programa de segurança;
• unidade organizacional de prestação de informação;
• avaliação do programa de segurança da informação.

Como forma de implementar este modelo de governo, o NCSSTF recomenda a utilização

do modelo IDEAL (Initiating, Diagnosing, Establishing, Acting, Learning), desenvolvido
pelo SEI/CMU, o qual apresenta uma abordagem para a melhoria contínua, definindo os
passos necessários para que seja possível obter um programa de melhoria bem sucedido. O
Quadro 3.2 apresenta as cinco fases e as 15 actividades que compõem este modelo.
Quadro 3.2: Fases e actividades do modelo IDEAL.
Fase Designação Actividades
• Estímulos para a mudança.

Planear os alicerces para um esforço de • Definir o contexto.
Iniciar
melhoria de sucesso. • Constituir patrocínio.
• Mapear infra-estruturas.
• Características actuais e estados
Determinar onde se está e para onde se desejados.
Diagnosticar
pretende ir.
• Desenvolver recomendações.
• Definir prioridades.
Desenvolver um plano de trabalho
Determinar • Desenvolver abordagem.
detalhado.
• Planear acções.
• Criar solução.
Realizar o trabalho de acordo com o • Testar solução.
Actuar
planeado nas fases anteriores. • Refinar solução.
• Implementar solução.
Rever o que foi realizado e determinar • Analisar e validar.
Aprender como implementar melhorias de forma • Propor acções futuras.
mais eficiente no futuro.
Fonte: Gremba e Myers (1997).
Partindo do conceito de governo da segurança da informação anteriormente descrito, von

Solms e von Solms (2006) apresentam um modelo, que denominam de “Ciclo Dirigir-
Controlar”, transversal a todos os níveis da organização e parte integrante e fundamental
do governo da segurança da informação, conforme representado na Figura 3.2.
Este modelo baseia-se no princípio de que compete à gestão dirigir e controlar a

organização, i.e., fornecer orientação estratégica através de políticas, normas e
procedimentos para o funcionamento da organização e assegurar que a organização está em
conformidade, não só com as leis nacionais ou sectoriais, mas também com as políticas,
normas e procedimentos definidos internamente.

CO
R
NT
GI
RO
RI
DI
LA
R
Figura 3.2: Modelo “Ciclo Dirigir-Controlar”.
Fonte: von Solms e von Solms (2006, p. 409).
Nos modelos atrás referidos, todos, sem excepção, apresentam uma única estrutura
organizacional responsável pela implementação e controlo da política estratégica da
segurança da informação não manifestando, contudo, qualquer necessidade de segregação
de funções ao nível da realização das tarefas e do respectivo controlo.
Todavia, S. H. von Solms (2005) advoga que o governo da segurança da informação deve
ser decomposto em duas funções distintas: gestão operacional da segurança da informação
e a gestão da conformidade da segurança da informação, cada uma delas suportada numa
estrutura organizacional distinta, na medida em que uma é responsável pela execução das
actividades técnicas e não técnicas relacionadas com a implementação dos controlos,
políticas e procedimentos de segurança e, a outra, é responsável pela monitorização e
avaliação da conformidade dos controlos implementados.
De forma a garantir que todos os elementos críticos da segurança são considerados na

estratégia da segurança da informação, as políticas de segurança deverão basear-se nas
diversas normas, sistemas de referência e códigos de boas práticas existentes para a
implementação de um efectivo governo da segurança da informação (Caralli, 2004a),
permitindo à organização preencher os requisitos internos e externos em termos de
protecção dos seus activos de informação do negócio e, dessa forma, abranger todos os
riscos a que a organização está sujeita (Posthumus & von Solms, 2004).
Para Poole (2006) um modelo efectivo da segurança da informação é aquele que combina o
melhor do COBIT e da ISO 17799, pois permite alcançar os objectivos da organização em
matéria de governação empresarial, concentrando-se no controlo e na responsabilização,

como apresentado na Figura 3.3.
Figura 3.3: Modelo de controlo do governo da segurança da informação.

Fonte: Poole (2006, p. 3).
Por seu lado, B. von Solms (2005) defende que estas duas normas são complementares e
que se as empresas as usarem em conjunto podem obter sinergias, apontando, no entanto,
vantagens e desvantagens na utilização de cada uma delas, sintetizadas no Quadro 3.3.
Quadro 3.3: Vantagens e desvantagens do COBIT e ISO 17799.
Norma Vantagem Desvantagem
Segurança da informação é
Nem sempre é muito detalhado em
integrada num modelo vasto de
COBIT termos de “como” executar
governo dos SI/TIC, composto por
determinadas tarefas.
33 processos.
Muito detalhado e fornece mais Norma isolada e não integrada num
ISO
orientação em “como” realizar as modelo mais vasto de governo dos
17799
tarefas SI/ TIC.
Fonte: Adaptado de B. von Solms (2005).
O Quadro 3.4 apresenta os modelos e as normas mais importantes que poderão servir de
base para um efectivo governo da segurança da informação.

Quadro 3.4: Modelos e normas para implementação do governo da segurança da informação.
Modelo / Importância para o Governo da

Aplicação Âmbito
Norma Segurança da Informação
Gestão da segurança da Gestão das práticas de segurança da

ISO 17799 Internacional
informação. informação.
Objectivos de controlo para a
Controlo e segurança de
COBIT Internacional
TIC.
segurança de TIC e processos de
controlo.
Serviços de TIC e práticas de gestão
Gestão de serviços de
ITIL Internacional de operações que contribuem para a
TIC.
segurança.
ISF – The Práticas de segurança da
Internacional Segurança da informação.
Standard informação.
Práticas de segurança da
Segurança de sistemas de
NIST SP 800-14 Sobretudo EUA informação concentradas nos
informação.
sistemas.
Segurança de sistemas de Abordagem para seleccionar e
NIST SP 800-53 Sobretudo EUA
informação. especificar controlos de segurança.
Define os controlos mínimos para
Segurança de sistemas de
FIPS 200 Sobretudo EUA garantir a segurança dos sistemas de
informação.
informação.
Práticas de segurança da
HIPAA EUA Segurança de dados. informação concentradas na
informação e nos dados.
CMMI e outros
Estrutura para a melhoria dos
modelos de Internacional Processos de melhoria.
processos e maturidade.
maturidade
Fonte: Caralli (2004a, p 40).
Dependendo dos objectivos específicos de cada organização e das leis locais a que pode
estar sujeita, nem todos os aspectos da segurança têm a mesma importância para a gestão
das organizações.
Se para alguns países como os EUA e de influência anglo-saxónica, a preocupação

fundamental assenta na adequação e teste dos controlos relativos à informação financeira
devido a imposições legais e regulatórias, para os países da União Europeia (UE) a
prioridade direcciona-se para as questões relacionadas com a privacidade e consequente
segurança e confidencialidade da informação pessoal (ITGI, 2006).
De todas as considerações que foram efectuadas sobre as características e propriedades do

governo da segurança da informação, resulta claro que, para se conseguir alcançar um
desempenho eficaz neste domínio, é necessário a existência de uma cultura de segurança
que observe os seguintes requisitos (Westby & Allen, 2007):

• a segurança da informação é gerida em todas as vertentes da organização;

• os gestores são responsáveis pela segurança da informação perante todas as partes
com interesses na organização;
• a segurança da informação é entendida como um requisito do negócio;
• a segurança da informação é determinada em função da análise de risco;
• os papéis, responsabilidades e segregação de funções estão claramente definidos no
âmbito da segurança da informação;
• a segurança da informação assenta em políticas e procedimentos suportados por
pessoas, processos e tecnologia;
• os recursos estão devidamente atribuídos às funções e actividades da segurança da
informação;
• o pessoal tem formação adequada e conhecimento acerca da problemática da
• os requisitos de segurança são definidos de acordo com o ciclo de vida dos activos de
informação;
• a segurança da informação é planeada, gerida e avaliada como parte integrante da
estratégia da organização;
• a segurança da informação é avaliada e auditada periodicamente.
3.6 AVALIAÇÃO DO GOVERNO DA SEGURANÇA DA

INFORMAÇÃO
O ITGI (2006, 2008) propõe que a avaliação da governação da segurança da informação

seja efectuada através do modelo de maturidade adoptado pelo COBIT 4.1 (ITGI, 2007a),
constante da Figura 3.4, o qual permite, não só posicionar a organização em termos de
desenvolvimento do seu programa de governação, mas, simultaneamente, efectuar uma
comparação com a média da indústria da qual a organização faz parte.

Figura 3.4: Modelo de maturidade do governo da segurança da informação.

Fonte: ITGI (2006, p. 36).
As várias fases do modelo de maturidade constantes do Quadro 3.5, estão associadas a três
factores fundamentais: a gestão do risco; as responsabilidades pela segurança da
informação; a continuidade do serviço das tecnologias de informação e comunicação (TIC).
Quadro 3.5: Fases do modelo de maturidade do COBIT.
Nível Descrição
• Não existe avaliação do risco para processos nem para as decisões do negócio.
• A organização não reconhece a necessidade de implementar uma política de
0 segurança da informação.
Não existente • A organização não tem uma compreensão dos riscos, vulnerabilidades e ameaças
para as operações das TIC ou o impacto das perdas ao nível dos serviços prestados
pelas TIC para a continuidade das operações do negócio.
• A organização trata os riscos das TIC de forma intermitente, sem utilizar políticas e
procedimentos formais.
1
• A organização reconhece a necessidade de implementar uma política de segurança
Inicial (ad da informação.
hoc)
• As responsabilidades pela continuidade dos serviços são informais e com
autoridade limitada.
• A organização compreende a importância dos riscos das TIC e da necessidade de os
2 controlar e gerir.
Repetitivo • As responsabilidades para a segurança da informação são atribuídas, mas não ao
mas intuitivo nível superior da gestão.
• É atribuída responsabilidade pela continuidade do serviço.
• Existência de uma política geral de gestão do risco que define quando e como
3 realizar a avaliação do risco.
Processos • Existe consciência sobre a problemática da segurança e a mesma é promovida pela
definidos gestão.
A gestão comunica de forma consistente a necessidade da continuidade do serviço.
(continua)

Nível Descrição
• A avaliação do risco é um procedimento estandardizado e as excepções aos

4 procedimentos carecem da aprovação da gestão das TIC.
Gerível e • As responsabilidades para a segurança da informação estão claramente atribuídas e
mensurável reforçadas.
• As responsabilidades e as normas para a continuidade do serviço são reforçadas.
• A avaliação do risco é realizada regularmente com base nos processos definidos e
gerida em conformidade.
5 • A segurança da informação é uma responsabilidade comum da gestão das TIC e do
negócio e está devidamente enquadrada com os objectivos de segurança do negócio
Optimizado da organização.
• Os planos de continuidade do serviço e continuidade do negócio estão integrados e
alinhados.
Fonte: Adaptado de ITGI (2007a).
Decorrente deste modelo, constata-se que a maturidade é função de três vectores:

capacidade (medição dos processos de gestão implementados); cobertura (capacidade
utilizada); controlos (sofisticação dos controlos implementados depende da apetência ao
risco da organização e dos requisitos de conformidade exigidos), conforme ilustrado pela
Figura 3.5.
Figura 3.5: As três dimensões da maturidade.

Fonte: ITGI (2007a, p. 19).
O sucesso da governação da segurança da informação pode ser medido através das

seguintes medidas (ITGI, 2008):

• ausência de incidentes que causem problemas junto da opinião pública;

• redução do número de novas implementações que sejam adiadas devido a problemas
associados à segurança da informação;
• número dos processos críticos de negócio que têm planos de continuidade adequados;
• número dos componentes da infra-estrutura crítica com monitorização automática;
• melhoria no conhecimento dos utilizadores das suas responsabilidades na segurança
da informação.

4 A Gestão do Risco da Segurança da Informação
CAPÍTULO 4
A GESTÃO DO RISCO DA SEGURANÇA DA

INFORMAÇÃO
4.1 INTRODUÇÃO
As organizações não podem eliminar totalmente os riscos a que os seus SI/TIC estão
sujeitos, pelo que um dos principais desafios dos seus gestores é reduzir os riscos da
segurança da informação para um nível aceitável e de acordo com a cultura de risco da
organização.
Este capítulo apresenta a gestão do risco da segurança da informação, com especial

incidência no modelo processual da gestão do risco da segurança da informação. Os
diversos conceitos de risco, a gestão desses riscos e as diferentes abordagens à gestão do
risco, assim como a descrição das diversas metodologias e modelos para a gestão do risco
da segurança da informação são outros dos assuntos tratados.
4.2 O RISCO DA SEGURANÇA DA INFORMAÇÃO
De um modo geral, a maioria dos textos sobre gestão do risco descreve o conceito de risco
em termos de incerteza e com efeito negativo:
• risco é a possibilidade de sofrer perdas, reduzindo o valor do negócio (Blakley,

McDermott, & Geer, 2001; Williams, Ambrose, Bentrem, & Merendino, 2004);
• incidentes de risco são eventos com um potencial para causar perdas ou danos
(Alberts & Dorofee, 2002; Lyytinen & Mathiassen, 1998);

Capítulo 4 – A Gestão do Risco da Segurança da Informação
• risco é a incerteza inerente a fazer negócio (Birch & McEvoy, 1992; McAdams, 2004;
Straub & Welke, 1998);
• risco “é fundamentalmente sobre a incerteza no desempenho do trabalho e dos
resultados correspondentes” (Sherer & Alter, 2004, p. 31);
• risco ”é a realização potencial de consequências indesejadas ou negativas de um
evento” (Heemstra & Kusters, 1996, p. 333).
Contudo, Alberts (2006) afirma que, dependendo do contexto em que é analisado, o risco
pode conduzir, tanto a uma situação potencial de perda, como a uma situação de
oportunidade de ganho. No entanto, “quando o risco é considerado potencialmente como
uma situação positiva, existe uma dificuldade em conhecer o verdadeiro benefício ou uma
exploração bem-sucedida de uma oportunidade” (Henry, 2007a, p. 323).
Para Alberts (2006), um risco, por definição, implica sempre uma perda potencial, mas,
dependendo das circunstâncias, também pode existir um ganho potencial (risco
especulativo), pelo que é possível classificar os riscos em duas categorias: riscos
especulativos (cuja consequência pode ser uma perda ou um ganho) e riscos perigosos (a
única consequência é uma situação de perda). Alter e Sherer (2004), por sua vez,
identificam duas conceptualizações do risco em função do resultado final, i.e., uma
conceptualização que considera os resultados como positivos ou negativos e, uma outra,
porventura a mais utilizada na literatura sobre risco, em que aborda apenas os resultados
negativos e se focaliza unicamente nos aspectos previsíveis que podem correr mal. Esta
conceptualização é uma consequência do facto dos autores introduzirem no seu modelo de
gestão do risco um elemento denominado “objectivos e expectativas”. Com base neste
elemento, avaliam o sucesso das medidas implementadas para reduzir/eliminar o risco, na
medida em que os resultados obtidos podem ser considerados êxitos ou falhas consoante o
conjunto de objectivos e expectativas considerados, dado que estes têm impacto nas fontes
de incerteza e no nível de aspiração dos intervenientes nos sistemas e têm um papel
relevante na avaliação dos resultados.
Independentemente do seu tipo, todos os riscos, segundo Alberts (2006) compreendem,

quatro elementos, como apresentado na Figura 4.1:
• contexto – ambiente em que o risco é analisado e que influencia a avaliação das

consequências;
• acção – acto ou evento que desencadeia o risco (sem acção não existe risco);
• condição – estado actual ou o conjunto de circunstâncias que podem conduzir ao

risco;
• consequências – resultados potenciais ou efeitos de uma acção combinada com uma
determinada condição.
Figura 4.1: Quatro elementos do risco.

Fonte: Alberts (2006, p. 6).
Substituindo acção por ameaça, condições por vulnerabilidades e consequências por

impacto nos activos, resulta que o risco “é algo que existe quando uma ameaça e uma
vulnerabilidade se sobrepõem” (Birch & McEvoy, 1992, p. 48) ou que é “uma função da
probabilidade de que uma ameaça identificada ocorrerá e do impacto que essa ameaça terá
no processo de negócio ou na missão do activo objecto de análise” (Peltier, 2004b, p. 48).
Assim, o risco é função da ameaça, da vulnerabilidade e do valor do activo, traduzido
através da Equação 1 (Henry, 2007a; Landoll, 2006; Yazar, 2002):
Risco = Ameaça × Vulnerabilidade × Valor do Activo (1)
Para Loch, Carr, e Warkentin (1992), o risco, conforme representado na Figura 4.2, é
composto por quatro componentes distintos: (1) as forças (ameaças e não ameaças) que
exercem influência sobre a organização, em que as ameaças são capazes de produzir
consequências negativas; (2) os recursos, compostos por activos, pessoas ou ganhos
potencialmente afectados pelas ameaças; (3) os factores de modificação (internos e
externos) que influenciam a probabilidade de uma ameaça se tornar uma realidade ou a
gravidade das consequências quando a ameaça se materializa; (4) as consequências que
traduzem os impactos da ameaça sobre os recursos.

Figura 4.2: Componentes do risco.

Fonte: Loch et al. (1992, p. 175).
Alberts e Dorofee (2002) salientam que o mais importante em termos dos riscos da
segurança da informação é o impacto que estas consequências (divulgação, modificação,
perdas e/ou destruição e interrupção dos activos críticos) podem ter na organização. Este
impacto do risco corresponde à magnitude das perdas (Heemstra & Kusters, 1996), as
quais podem assumir uma forma tangível ou intangível, como apresentado no Quadro 4.1.
Quadro 4.1: Perdas intangíveis e tangíveis.
Tipo de Perda Descrição
• Imagem de marca e reputação pública.

• Confiança do público e do cliente na exactidão das transacções comerciais.
Intangível • Aptidão para manter os rendimentos de forma oportuna.
• Privacidade de empregados e clientes.
• Capacidade para satisfazer os requisitos dos reguladores.
• Produtividade.
• Rendimento (perdas directas ou perda de receitas futuras).
Tangível • Desempenho financeiro (acesso ao crédito e ao mercado de capitais).
• Custos diversos (aluguer de equipamento, custos de horas extra, custos
extraordinários de expedição, etc.).
Fonte: Adaptado de Fariborz e Shamkabt (2005), Landoll (2006) e Nyanchama (2005).
Por estes motivos, “as organizações estão tão dependentes dos seus SI/TIC que podem não
sobreviver a uma perturbação significativa da sua capacidade” (Loch et al., 1992, p. 184).

É um dado assente de que “não podemos eliminar totalmente os riscos devido à natureza
da própria segurança da informação e porque alguns riscos estão fora do alcance da
empresa” (Finne, 2000, p. 237) ou como salientado por Allen (2006, p. 1), “uma segurança
absoluta é não só impossível, mas altamente indesejável do ponto de vista da eficácia,
eficiência, risco/recompensa e custo/benefício”. Além disso, existem sempre os
denominados “riscos dos sistemas” que podem ser definidos como “a probabilidade que os
sistemas de informação de uma organização estão insuficientemente protegidos contra
determinados tipos de danos ou perdas” (Straub & Welke, 1998, p. 441). Acresce o facto
de que os riscos da informação são diferentes de outros riscos dado que não têm limites no
lado das desvantagens das empresas. Se uma empresa faz um investimento financeiro, o
pior que lhe pode acontecer é perder os montantes investidos. Mas, no caso de um
incidente de segurança, a perda é muito maior que os investimentos realizados na
implementação dos controlos ou dos activos perdidos, podendo, em caso extremo, levar à
falência da própria organização (Anderson, 2003).
Se nenhum sistema pode ser construído de forma absolutamente segura (Straub & Welke,
1998) e nenhum sistema ou actividade está isenta de risco (Peltier, 2004b), dado que o
risco é uma parte inerente ao negócio (ISACA, 2007), i.e., se os riscos não podem ser
totalmente eliminados, qual é o nível de risco que as organizações estão dispostas a aceitar
e gerir e qual o nível de segurança necessária? Em resposta a estas questões, Allen (2006)
defende que o nível adequado de segurança varia em função do negócio e dos riscos do
ambiente, assim como da variação da tolerância ao risco que a gestão está disposta a
aceitar. Ou seja, depende não só do nível de apetência ao risco e da tolerância ao risco,
como também da cultura de risco da organização. A apetência ao risco está relacionada
com a estratégia da organização e é “a quantidade de risco que uma entidade está disposta
a aceitar na sua procura de valor” (Committee of Sponsoring Organizations of the
Treadway Commission [COSO], 2007, p. 20) ou “é o nível de exposição ao risco ou o
potencial impacto adverso de um evento que a organização está disposta a aceitar ou
manter” (Jackson & Carey, 2007, p. 285). Por sua vez, a tolerância ao risco pode ser
definida como “o risco residual que a organização está disposta a aceitar depois de
implementadas as acções de mitigação dos riscos e dos processos de monitorização e
controlo” (Allen, 2006) ou “os níveis aceitáveis de variação relativamente à realização dos
objectivos” (COSO, 2007, p. 36). Trata-se de uma decisão do negócio, baseada na missão e
na cultura, mais do que em medidas quantitativas específicas (ISACA, 2007). A cultura de
risco tem subjacente “um conjunto partilhado de atitudes, valores e práticas que
caracterizam a forma como uma entidade considera o risco nas suas actividades diárias”
(COSO, 2007, p. 20). Resumindo, pode afirmar-se que o nível de segurança adequado é
aquele em que as estratégias de protecção dos activos críticos e dos processos de negócio
da organização são proporcionais à apetência ao risco e da tolerância ao risco da
organização (Allen, 2006), devidamente enquadradas na sua cultura de risco.
Os riscos podem ter origens e naturezas diversas:
• Straub e Welke (1998) classificam os riscos em dois grandes grupos: riscos

relacionados com catástrofes (furacões, sismos, fogos e sabotagem) e riscos
relacionados com a violação informática (penetração não autorizada e/ou ilícita nos
computadores da empresa);
• Loch et al. (1992) fazem uma tipologia dos riscos a partir da sua origem (interna ou
externa), do seu perpetrador (humano e não-humano), da sua intenção (acidental ou
não intencional) e das suas consequências (divulgação, modificação, destruição e
negação de utilização);
• Posthumus e von Solms (2004) classificam os riscos em três naturezas distintas:
− riscos naturais - riscos associados a fenómenos naturais, que incluem a
possibilidade de eventos de ameaças como inundações, sismos, tempestades e
fogos que têm impacto na organização. Têm potencial para causar estragos
consideráveis, não apenas nos activos de informação, mas também nas estruturas
físicas;
− riscos técnicos – riscos que resultam da dependência da tecnologia que está
largamente integrada nos processos de negócio das organizações e que afecta a
confidencialidade, integridade e disponibilidade dos activos de informação (falhas
de hardware e software);
− riscos humanos – são resultado de actos deliberados ou acidentais dos seres
humanos. Estes ricos tendem a ser numerosos e podem causar avultados estragos,
pelo que são uma área de grande preocupação relativamente à protecção dos
activos críticos de informação.
Os riscos podem também ser caracterizados por: (1) origem (empregados, concorrentes,
etc.); (2) actividade, evento ou incidente (divulgação de informação confidencial, falha de
energia, etc.); (3) consequências ou impactos (indisponibilidade de serviço, perdas

financeiras, etc.); (4) razão específica para a sua ocorrência (intervenção humana, erro de
software, etc.); (5) controlos e mecanismos de protecção (políticas, formação em segurança,
etc.); (6) tempo e local de ocorrência (ISACA, 2007).
4.3 GESTÃO EFECTIVA DOS RISCOS DA SEGURANÇA DA

INFORMAÇÃO
Um dos principais desafios da gestão da organização é reduzir os riscos da segurança da

informação para um nível aceitável e condizente com a cultura de risco da organização.
De acordo com Straub e Welke (1998), a percepção da gestão relativamente aos riscos de
segurança é função: (1) do ambiente organizacional (convicções sobre a susceptibilidade
dos riscos inerentes à indústria; (2) do ambiente dos SI/TIC (acções para tornar os sistemas
seguros); (3) das características individuais dos gestores (conhecimento dos sistemas e
consciência dos riscos dos sistemas), como esquematizado na Figura 4.3.
Figura 4.3: Modelo para a percepção dos riscos dos sistemas pelos gestores.
Fonte: Straub e Welke (1998, p. 444).
Apesar desta percepção global dos riscos de segurança, os gestores apenas têm
conhecimento de uma parte das acções que podem tomar para reduzir os riscos dos
sistemas e têm tendência para ver a segurança dos SI/TIC como uma forma de evitar
perdas e atenuar danos (Straub & Welke, 1998). Por sua vez, Loch et al. (1992) sugerem
que os gestores devem ter um maior conhecimento dos riscos potenciais associados não só

ao ambiente dos SI/TIC, mas também aos riscos provenientes dos colaboradores e
parceiros de negócio e devem “reconhecer que o seu nível global de preocupação com a
segurança pode subestimar o risco potencial inerente ao ambiente altamente interligado em
que operam” (Loch et al., 1992, p. 185). Nesta perspectiva, a segurança da informação
deve estar cada vez mais integrada com a gestão de risco corporativo que é, aliás, a
tendência observada actualmente, de acordo com o inquérito da Ernst & Young (2007) que
demonstra que cerca de 82% dos inquiridos apresenta algum grau de integração entre a
segurança da informação e a gestão de risco global.
A teoria da dissuasão geral foi uma das teorias amplamente utilizadas para criar
mecanismos para dissuadir potenciais abusos e reduzir os riscos nos SI/TIC. Esta teoria
postula acções genéricas que directa e indirectamente reduzem os riscos dos sistemas
(Straub & Welke, 1998), na medida em que desincentiva o cometimento de actos danosos
(designadamente abusos dos SI/TIC) através da aplicação de sanções relevantes, ou seja,
“quando o risco de punição é elevado e as sanções por violação são severas, a teoria prevê
que os potenciais infractores irão ser inibidos de cometer actos anti-sociais” (Straub, 1990,
p. 258).
Apesar de ser utilizada como base de investigação para a análise dos riscos de segurança,
os gestores raramente adoptam as acções de segurança preconizadas pela teoria da
dissuasão como uma ferramenta para reduzir os riscos dos SI/TIC (Straub & Welke, 1998),
conforme representado na Figura 4.4.
Figura 4.4: Ciclo das acções de segurança segundo a teoria da dissuasão.

Fonte: Straub e Welke (1998, p. 446).

Se as medidas de dissuasão não impedem os potenciais intrusos de violar as normas de

segurança, o segundo nível do sistema de defesa deve prevenir os ataques através da
utilização de medidas preventivas (controlo de acessos físicos e lógicos). Se os intrusos
ultrapassam com sucesso as duas primeiras linhas de defesa, a organização deve ser capaz
de detectar a intrusão através de medidas de detecção (software antivírus e auditoria dos
sistemas, e.g.) e, no caso de ter existido danos, a organização deverá poder remediar os
efeitos nocivos do acto abusivo e punir o agressor.
Todavia, Straub e Welke (1998) afirmam que existem poucas provas que evidenciem na
prática a eficácia destas técnicas, apesar da sua forte base teórica, nomeadamente as
conclusões do seu trabalho anterior (Straub, 1990) que apontam no sentido das medidas
preventivas da dissuasão poderem reduzir o risco de avultadas perdas devido a abuso dos
SI/TIC. O trabalho de Straub e Welke (1998) parte da assumpção de que existe uma
conexão entre o planeamento da segurança e o aumento das acções de protecção dos
sistemas e, consequentemente, uma diminuição dos riscos. No entanto, Straub e Welke
chamam a atenção para o facto destas premissas poderem não serem válidas, dado que
quando se aumenta a segurança num sistema, está-se a aumentar a complexidade desse
sistema e, consequentemente, a aumentar o respectivo risco.
De acordo com Straub e Welke (1998), os gestores devem implementar um programa de

segurança que inclua um modelo de planeamento dos riscos de segurança, formação e
consciencialização em segurança e análise matricial das medidas preventivas. A matriz de
medidas preventivas é obtida através da intersecção do ciclo das acções de segurança e as
propostas de solução organizacional geradas no processo de planeamento. O programa de
consciencialização em segurança tem como objectivo providenciar conhecimento sobre a
eficácia das medidas do ciclo das acções de segurança para diminuir os riscos dos sistemas.
No seu trabalho sobre os riscos nos sistemas de informação Alter e Sherer (2004) e Sherer
e Alter (2004), constroem um modelo para a análise e gestão do risco nos sistemas de
informação assente numa estrutura de sistema composta por nove elementos:
intervenientes nos sistemas; informação; tecnologia; práticas de trabalho; produtos e
serviços; clientes; ambiente; infra-estrutura; estratégia. A partir desta estrutura identificam
um conjunto de factores de risco para cada um dos seus nove elementos e organizam estes
factores de risco em função da fase do ciclo de vida de desenvolvimento de sistemas
(iniciação, desenvolvimento, implementação e operação e manutenção). Esta abordagem

de integrar a gestão do risco com o ciclo de vida de desenvolvimento de sistemas é também

defendida por Peltier (2004b), Stoneburner, Goguen, e Feringa (2002) e ISACA (2007) e
justificada por Ross, Katzke, Johnson, Swanson, e Stoneburner (2008, p. 11) “como sendo
o método mais eficaz e económico para assegurar que a estratégia de protecção da
organização foi repercutida nos sistemas de informação e nos produtos componentes das
tecnologias de informação necessários para suportar os processos de negócio e a missão da
organização”.
Anderson, Longley, e Kwok (1994) propõem uma metodologia para o desenvolvimento de

um modelo de segurança organizacional que possa responder às perguntas dos gestores do
tipo: qual o nível de segurança necessária e quais as prioridades de segurança actuais? Este
modelo, apresentado na Figura 4.5, baseia-se na assumpção de que o objectivo da
segurança da informação é proteger os activos de informação contra o impacto de eventos
que não podem ser evitados.
Figura 4.5: Modelo de segurança.

Fonte: Anderson et al. (1994, p. 243).
Os impactos no negócio estão relacionados com os três elementos básicos da segurança da

informação, ou seja, perda de confidencialidade, integridade e disponibilidade dos activos
de informação da organização.
Para Anderson et al. (1994), é a avaliação deste impacto que vai determinar os recursos
que devem ser investidos de forma a garantir a segurança destes activos. Todavia,
Stephenson (2004) salienta que é difícil estimar este tipo de impacto se não existirem

dados históricos e que “é razoável esperar que os resultados da avaliação não serão mais
fiáveis do que os próprios dados de origem” (Stephenson, 2004, p. 12).
4.4 ABORDAGENS À GESTÃO DO RISCO DA SEGURANÇA DA

INFORMAÇÃO
A gestão do risco é uma função primordial da segurança da informação e fornece uma

justificação para todas as actividades da segurança da informação (ISACA, 2007),
assumindo-se como um “processo que permite aos gestores do negócio equilibrar os custos
operacionais e económicos das medidas de protecção e alcançar ganhos na capacidade de
missão através da protecção dos processos de negócios que suportam os objectivos do
negócio ou a missão da empresa” (Peltier, 2004b, p. 44). A gestão do risco é um processo
contínuo que nunca está concluído e que deve ser constantemente revisto e actualizado em
função das alterações no ambiente e da descoberta de novas ameaças ou vulnerabilidades
(Laliberte, 2004), tratando-se, portanto, “de um processo total que identifica, controla e
elimina ou minimiza eventos incertos que podem afectar negativamente os recursos dos
sistemas e, consequentemente, os processos do negócio” (Braithwaite, 2002, p. 77).
Alberts e Dorofee (2002) defendem que a gestão do risco da segurança da informação deve
obedecer a um conjunto de princípios, os quais moldam a natureza das actividades de
gestão do risco e fornecem a base para o processo de avaliação. Alberts e Dorofee agrupam
estes princípios em três categorias:
• princípios culturais e organizacionais – aspectos da organização e da sua cultura face

ao risco que são essenciais para uma gestão de sucesso dos riscos da segurança da
informação;
• princípios da gestão do risco - princípios básicos comuns às práticas de gestão do
risco eficazes;
• princípios de avaliação dos riscos da segurança da informação - aspectos
fundamentais que formam a base de uma avaliação eficaz do risco de segurança da
informação.
O objectivo da gestão do risco é “seleccionar uma linha de acção que providencie um

balanceamento entre benefícios prováveis e a exposição ao risco” (Powell & Klein, 1996, p.

313), a qual deve ser reduzida através de um equilíbrio entre o investimento em segurança
e os riscos associados, de forma a minimizar as perdas (Birch & McEvoy, 1992; Finne,
2000) ou maximizar os ganhos potenciais e minimizar as perdas potenciais (Kotulic &
Clark, 2004). Para Landoll (2006), a gestão dos riscos de segurança deve medir
correctamente o risco de segurança residual e “mantê-lo num nível igual ou inferior ao
nível de tolerância do risco de segurança” (Landoll, 2006, p. 37).
As abordagens à gestão do risco “são normalmente representadas através da utilização de

conceitos como factores de risco, técnicas de resolução dos riscos e heurísticas” (Lyytinen
& Mathiassen, 1998, p. 237), tal como representado esquematicamente na Figura 4.6.
Figura 4.6: Abordagens à gestão do risco.

Fonte: Lyytinen e Mathiassen (1998, p. 236).
Este modelo presume a existência de dependências causais positivas entre os riscos e as

perdas e dependências causais negativas entre a intervenção da gestão e os riscos, em linha
com as definições anteriores de risco e com as conclusões de Straub e Welke (1998).

Alter e Sherer (2004) defendem que qualquer modelo de gestão do risco deve obedecer a
quatro características básicas:
• clareza – deve ser baseado em conceitos claros;

• exequível – os conceitos devem ser compreendidos pelos intervenientes no negócio,
providenciando uma análise de risco rigorosa, cuja eficiência não deve estar
submetida a uma rigidez matemática;
• completo – deve compreender os aspectos chave para os gestores do negócio e das
TIC;
• adaptável – deve ajustar-se aos interesses e necessidades dos utilizadores.
A literatura apresenta várias abordagens para a gestão do risco, as quais estão

sistematizadas no Quadro 4.2.
Quadro 4.2: Abordagens à gestão do risco
Fonte Fases da Metodologia Etapas/Descrição da Fase
• Identificação dos riscos.

Análise • Análise.
• Hierarquização.
• Medidas de redução dos riscos.
Heemstra & Controlo • Planeamento da gestão do risco.
Kusters (1996) • Controlo dos riscos residuais.
• Relatórios.
Monitorização
• Reavaliação.
• Reavaliação.
Avaliação
• Adaptação.
• Definir estratégia e programa.
• Definir apetência ao risco.
Definição da estratégia
• Determinar abordagem de tratamento.
• Estabelecer políticas, procedimentos e normas de risco.
• Identificar riscos.
• Hierarquizar riscos.
Avaliação
• Identificar métodos para avaliar os riscos.
Jackson e Carey • Medir os riscos.
(2007)
• Identificar métodos de tratamento dos riscos.
Tratamento • Implementar os métodos.
• Medir a avaliar o risco residual.
• Monitorar os riscos continuamente.
• Monitorar os riscos continuamente o programa de
Monitorização e reporte
gestão dos riscos.
• Reportar a eficácia da gestão dos riscos.
(continua)

• Determinar a sensibilidade da informação.

Análise de valor
• Estimar o valor dos activos.
Análise das • Identificar vulnerabilidades.
vulnerabilidades e do • Ponderar vulnerabilidades.
risco • Avaliar probabilidades das ameaças.
Calcular perdas devidas a • Revisão dos riscos.
Fariborz &
ameaças e benefícios dos • Identificar controlos.
Shamkabt (2005)
controlos • Avaliar alterações nas probabilidades das ameaças.
• Enumerar os procedimentos de pesquisa.
Selecção de controlos
• Abordagem de programação matemática.
• Desenvolver e aprovar plano.
Implementação de
• Implementar controlos.
alternativas
• Testar e avaliar.
Reconhecimento de um
• Identificação de problemas de segurança.
problema de segurança
• Identificação de ameaças.
Análise de risco
• Hierarquização dos riscos.
• Criação de soluções para satisfazer necessidades
Straub e Welke Geração de alternativas
especificadas na análise de risco.
(1998)
• Alinhar ameaças com soluções apropriadas.
Planeamento de decisões
• Seleccionar e hierarquizar projectos de segurança.
• Executar planos de segurança, incorporando as
Implementação das
soluções no processo contínuo de segurança da
medidas de segurança
organização.
• Ameaças/probabilidades.
• Vulnerabilidades/exploração.
Avaliação do risco
• Activos/impactos.
• Riscos/controlos.
• Exploração.
Testes e revisão
Landoll (2006) • Auditoria dos controlos.
• Implementação de salvaguardas.
Mitigação dos riscos
• Controlos adicionais.
• Tratamento de incidentes.
Segurança operacional • Correcções de programas.
• Formação.
Identificação dos riscos • Determinar o impacto potencial da realização de
ameaças internas e externas em todo o ambiente dos
SI/TIC
Análise dos riscos • Compreender e aprofundar o grau das perdas dos
Bandyopadhyay e activos de informação como consequência da realização
Mykytyn (1999) de ameaças internas e externas
Medidas de redução do • Implementar medidas para reduzir os riscos
risco
Monitorização dos riscos • Assegurar que são devidamente aplicados os controlos
eficazes para controlar os riscos
(continua)

• Definir o programa de segurança da informação, em

Definir âmbito função dos riscos estratégicos, tácticos e operacionais a
tratar.
• Identificar riscos com base nas ameaças e
Identificação
vulnerabilidades.
• Quantificação dos riscos a partir das estimativas da
Quantificação probabilidade e do impacto de um evento de risco
Halvorson (2008) ocorrer com sucesso.
• Definir estratégia de tratamento dos riscos com base na
Tratamento
tolerância ao risco da organização.
• Definição dos objectivos dos controlos para mitigação
Mitigação
dos riscos.
• Definição de métricas para avaliar o desempenho do
Avaliação
programa de segurança da informação.
Conhecer missão e
• Compreender o ambiente no qual a organização opera.
objectivos
Conhecer os requisitos
• Compreender as ameaças e vulnerabilidades potenciais
de segurança da
que a organização enfrenta.
informação
• Conhecer as novas ameaças, tendências, componentes
Avaliar o ambiente de
Henry (2007a) dos sistemas e ferramentas para definir soluções de
risco
segurança.
Definir alternativas • Definir as estratégias de tratamento dos riscos.
Seleccionar os controlos • Seleccionar os controlos em função da estratégia
de segurança definida.
Implementar os controlos • Implementar os controlos de segurança previamente
de segurança seleccionados.
4.5 METODOLOGIAS E MODELOS
Para desenvolver um programa de gestão de risco sistemático, as organizações devem

utilizar, com as correspondentes adaptações à realidade de cada uma delas, um framework
no quadro da segurança de informação. Devido ao facto de existir uma vasta gama de
ameaças e vulnerabilidades, bem como de diferentes ambientes de negócio, torna-se difícil
implementar uma correcta metodologia de gestão de risco. Em virtude de todas estas
nuances, Blakley et al. (2001) defendem que o resultado final do programa de gestão do
risco depende da experiência da equipa de gestão de risco, originando, na maior parte das
vezes, inconsistência nos resultados. Além disso, os profissionais da gestão de risco não
têm nenhuma obrigação ética, formalmente reconhecida, para encontrar soluções seguras e
eficazes em termos de gestão de risco para os incidentes de segurança tratados (Blakley et
al., 2001). Para ultrapassar todo este tipo de problemas, os autores defendem que estes
profissionais devem respeitar um conjunto de características para que seja possível evitar
soluções ineficazes ou perniciosas, nomeadamente:
• formação específica;
• autorização para exercer a profissão;
• obrigação ética de aplicar apenas as soluções adequadas e proteger a
confidencialidade das suas acções;
• obrigação profissional de controlar a utilização de soluções potencialmente perigosas
ou prejudiciais;
• obrigação profissional de informar as autoridades competentes sobre os riscos
tratados.
O Apêndice B lista as metodologias da gestão do risco da segurança da informação mais

referenciadas na literatura da especialidade.
4.6 MODELO PROCESSUAL DA GESTÃO DO RISCO DA

SEGURANÇA DA INFORMAÇÃO
A gestão do risco da segurança da informação compreende um processo formal de

planeamento, execução e controlo das actividades organizacionais e técnicas que é
necessário implementar para atingir os objectivos que as organizações se propõem alcançar
em matéria de segurança da informação.
Alberts e Dorofee (2002) advogam que as organizações devem integrar os processos de

gestão do risco da segurança da informação nos processos do negócio, de modo a que os
primeiros suportem as metas e objectivos organizacionais, estejam integrados com as
práticas de gestão e as políticas organizacionais e que também estejam em conformidade
com as leis e regulamentos a que a organização deve obedecer.
A maioria das metodologias de gestão de risco (ver Apêndice B) apresentam um conjunto

de processos semelhantes, tal como a identificação e valorização dos activos, a
identificação das ameaças susceptíveis de ocorrerem e das vulnerabilidades associadas a
essas ameaças, a determinação do risco em função das combinações de activos, ameaças e
vulnerabilidades identificados e implementação de controlos para reduzir ou eliminar os

riscos identificados. Estes processos podem ser combinados de forma a constituir um

modelo geral de gestão do risco, tal como esquematizado na Figura 4.7, composto por seis
fases distintas: identificação e avaliação de activos; avaliação de ameaças; avaliação de
vulnerabilidades; análise de risco; identificação de controlos; planos de acção.
Figura 4.7: Modelo de Análise de Risco.

Fonte: ISACA (2007, p. 84).
4.6.1 IDENTIFICAÇÃO E AVALIAÇÃO DE ACTIVOS
O processo de identificação e avaliação do activo compreende várias etapas: identificar o

activo; determinar o seu valor, localização e proprietário; identificar os processos de
negócio que suporta; determinar a sua sensibilidade ao risco (Laliberte, 2004; Nyanchama,
2005).
Os activos compreendem: software (aplicações e bases de dados); hardware (equipamentos

de rede e telecomunicações, computadores); informação (electrónica, papel, etc.); pessoas
(Fariborz & Shamkabt, 2005; Laliberte, 2004;). Os activos críticos são aqueles que
permitem às organizações atingir os seus objectivos e suportar a sua missão (Caralli,
2004b).
De acordo com Poore (2000), a informação tem diversos valores, dependendo do objectivo
da avaliação. Assim, para efeitos de gestão dos riscos de segurança e conforme
discriminado no Quadro 4.3, o valor da informação depende: da exclusividade da posse; da

utilidade; do custo de criação ou recriação; potencial responsabilidade; da convertibilidade

ou da sua natureza fungível; do seu impacto operacional (Poore, 2000).
Quadro 4.3: Valor multidimensional da informação.
Fase Confidencialidade Integridade Disponibilidade
Propriedade exclusiva X
Utilidade X
Custo original ou de re-criação X
Responsabilidade potencial X X X
Convertibilidade X X X
Impacto operacional X X
Fonte: Poore (2000, p. 21).
A informação tem um valor “positivo quando é precisa, oportuna, útil, autorizada e rara”
(Poore, 2000, p. 19). Este valor positivo é comprometido quando os controlos referentes à
confidencialidade, integridade e disponibilidade falham.
A determinação do valor do activo “deve considerar o impacto do activo nas operações, o

valor da informação que o activo detém, preocupações regulamentares, custos do risco de
reputação associados ao activo e muitos outros factores” (Laliberte, 2004, p. 40). Apenas
uma correcta avaliação do activo permite estimar a adequação dos controlos e a
conformidade do orçamento para segurança da informação (Poore, 2000), dado que se não
se tiver um conhecimento mais ou menos preciso sobre o valor dos activos, o investimento
nos controlos não será o mais adequado. Se, para alguns tipos de activos, a sua valorização
pode ser calculada utilizando técnicas quantitativas, para outros, no entanto, é preferível
utilizar técnicas qualitativas. Poore (2000) defende a utilização de técnicas qualitativas
quando existe dificuldade em definir um valor quantitativo ou quando os eventos são
altamente incertos.
No processo de identificação e valorização dos activos de informação toma especial

relevância o papel dos sistemas de análise da concorrência, em que Gordon e Loeb (2001)
propõem a utilização da segurança da informação como a resposta lógica da teoria dos
jogos à análise de sistemas da concorrência, na medida em que esta análise se transformou
actualmente numa ameaça da segurança. De facto, a concorrência é uma das entidades que
mais pode beneficiar das perdas da organização alvo de ameaças bem sucedidas (Schechter

& Smith, 2003). De acordo com Gordon e Loeb (2001), um dos métodos de gestão
estratégica adoptada pelas empresas consiste na análise contínua da informação disponível
sobre os seus concorrentes. Logo, um dos princípios básicos de defesa, baseia-se na
identificação e valorização da informação que os concorrentes pretendem obter,
protegendo esses activos de informação em função do seu valor e do seu nível de
confidencialidade.
4.6.2 ANÁLISE DE VULNERABILIDADES
Uma vulnerabilidade é “uma característica dum sistema físico que permite que uma
ameaça possa ser explorada” (Birch & McEvoy, 1992, p. 48), uma falha num controlo
existente que pode permitir que um agente possa explorar e obter acesso não autorizado
aos activos organizacionais (Landoll, 2006) ou “uma fraqueza do hardware e software que
expõe um sistema a ataques, danos, interrupção ou exploração não autorizada”
(Nyanchama, 2005, p. 33).
A análise de vulnerabilidades tem como objectivo determinar os pontos fracos

(vulnerabilidades) que podem ser explorados pelas ameaças identificadas e que podem ter
impactos negativos nos activos previamente identificados (Laliberte, 2004). Se não forem
encontradas vulnerabilidades correspondentes às ameaças, não haverá nenhum risco (Birch
& McEvoy, 1992; Landoll, 2006).
As vulnerabilidades podem ser de três tipos: administrativas (associadas às políticas e

procedimentos); físicas (que existem nos controlos físicos, geográficos ou de pessoal);
técnicas (que existem nos controlos lógicos dos sistemas) (Landoll, 2006).
Existem diversos tipos de vulnerabilidades, destacando-se os seguintes (Dutta &
McCrohan, 2002; ISACA, 2007, Stoneburner et al., 2002):
• identificação dos empregados que já saíram da organização não foi removida do

sistema;
• identificação e senha de acesso fornecidos pelo fabricante do hardware não foram
removidas/inactivos do servidor XYZ;
• não foram instalados os programas de correcção para suprimir falhas de segurança;
• ausência de funcionalidades de segurança;
• carência de mecanismos de detecção de intrusão e de salvaguarda e recuperação;
• desenho da rede de comunicações deficiente;

• utilização de palavras-chave fracas;
• insuficiente formação em segurança;
• software com defeitos;
• tecnologia não testada;
• manutenção de equipamentos e software inadequada.
Nyanchama (2005) propõe o modelo PDCA (Plan, Do, Check, Act), utilizado pela norma
ISO 27001 para estruturar todos os processos do sistema de gestão da segurança da
informação (ISO/IEC, 2005e), para o desenvolvimento, manutenção e melhoria dum
programa de gestão de vulnerabilidades, conforme esquematizado na Figura 4.8.
Aprendizagem contínua e
adaptação das melhores
práticas da indústria
Melhores práticas
da indústria
Estabelecer um
programa de gestão
de vulnerabilidades
Planear
Manter e melhorar o
programa de gestão de
vulnerabilidades
Desenvolver,
Manter e
Executar Melhorar Manter
Implementar o Programa de
programa de gestão Gestão de
de vulnerabilidades Vulnerabilidades
Controlar
Monitorar e rever
continuamente o
desempenho do programa
Figura 4.8: O modelo PDCA para a gestão de vulnerabilidades.

Fonte: Nyanchama (2005, p. 31).
4.6.3 ANÁLISE DE AMEAÇAS
As ameaças são eventos negativos que ocorrem quando uma vulnerabilidade ou fraqueza é
explorada (Halvorson, 2008) e que podem ter impacto nos objectivos do negócio, podendo
resultar em perda, divulgação ou avaria de um activo da organização (Landoll, 2006;

Peltier, 2004b), ou “é algo que terá um efeito adverso na organização” (Birch & McEvoy,
1992, p. 48). O Quadro 4.4 apresenta alguns exemplos de ameaças.
Quadro 4.4: Exemplos de ameaças.
Fonte Categoria Tipo
• Eventos naturais (fogo, água, sismos, etc.).

• Piratas informáticos.
• Empregados descontentes.
Laliberte (2004) • Falhas nas comunicações.
• Falhas de hardware.
• Erros de software.
• Ataques terroristas.
• Erros e falhas humanas.
• Naturais (fogo, inundações, sismos, etc.).
• Erros ou falhas técnicas de hardware.
Whitman (2003)
• Erros ou falhas técnicas de software.
• Obsolescência tecnológica.
• Actos de sabotagem, vandalismo e terrorismo.
Naturais • Inundações, fogo.
Dutta e McCrohan Organizacionais • Empregados descontentes; concorrentes.
(2002)
• Fraquezas no hardware, software e componentes de
Técnicas
rede.
Internas (empregados, gestores, etc.).
Humanas Externas (piratas informáticos, terroristas, ex-
empregados, concorrentes, etc.).
Landoll (2006) Naturais Fogo, sismos, água, furacões, tornados, etc.
Internas (energia, comunicações, etc.).
Tecnológicas Externas (energia, comunicações, etc.).
Sistema (hardware, software, aplicações).
Naturais Inundações, sismos, tornados, tempestades, etc.
Peltier (2004b);
Stoneburner et al. Não intencionais (erros e omissões).
(2002); Bowen, Humanas Deliberadas (fraude, software malicioso, acessos não
Hash, e Wilson autorizados).
(2006)
Ambientais Interrupção de energia eléctrica, poluição.
Naturais Inundações, fogo, ciclones, sismos.
Fogo, água, estragos/desmoronamento de edifícios,
Não Intencionais
falhas de equipamentos.
ISACA (2007) Intencionais Físicas Bombas, fogo, água, roubo.
Fraude, espionagem, roubo de identidade, código
Intencionais Não
malicioso, engenharia social, ataques de negação de
Físicas
serviço.
A análise de ameaças consiste em catalogar cada uma das ameaças para o negócio (Birch
& McEvoy, 1992), identificando-se a ameaça para cada um dos activos de informação
relativamente à confidencialidade, integridade e disponibilidade e o seu impacto no

negócio (e.g., construindo uma tabela associando uma métrica a cada um dos intervalos de
valor identificados como perdas do negócio).
O objectivo da análise de ameaças é “identificar as ameaças que têm o potencial

(capacidade e intenção) para explorar vulnerabilidades e afectar negativamente os activos”
(Laliberte, 2004, p. 40) e determinar a probabilidade da ameaça explorar uma
vulnerabilidade e, deste modo, avaliar o nível de risco a que a organização está sujeita.
Existem três elementos associados com as ameaças (Peltier, 2001): o agente (catalisador
que realiza a ameaça: humano, natural ou técnico); o motivo (o que leva o agente a agir:
intencional ou acidental); os resultados (impactos negativos em termos de
confidencialidade, integridade e disponibilidade dos activos de informação). Loch et al.
(1992) conceptualizam as ameaças com base em quatro elementos: fontes (internas e
externas); perpetradores (humanos e não humanos); intenção (acidental e
intencional); consequências (divulgação, modificação, destruição e negação de utilização).
Para Drew (2005) a gestão das ameaças assenta em três elementos primordiais: as pessoas
(cujo objectivo consiste em analisar e tratar os incidentes de segurança); os processos (que
devem assegurar uma identificação e resposta rápida aos incidentes de segurança);
a tecnologia (como repositório central de toda a informação associada à gestão das
ameaças). Nesta perspectiva, Drew (2005) propõe um modelo para a gestão de ameaças
composto por:
• prevenção – realização das acções necessárias para prevenir intrusões nos sistemas;
• alerta precoce – permite à organização descobrir, hierarquizar e solucionar novas
ameaças que afectem os seus sistemas e infra-estruturas tecnológicas;
• identificação e avaliação – compreende a identificação de vulnerabilidades que
possam ser exploradas por ameaças e que permitem ter uma visão global da
exposição da organização às ameaças;
• detecção e resposta – envolve a monitorização de todos os componentes críticos da
infra-estrutura tecnológica deve ajustar-se aos interesses e necessidades dos
utilizadores.

4.6.4 ANÁLISE DE RISCO
A análise de risco tem como base os conceitos de ameaça, vulnerabilidade, riscos e

controlos (Birch & McEvoy, 1992), como esquematizado na Figura 4.9. A existência de
ameaças e vulnerabilidades não constitui, só por si, a existência de riscos. As ameaças e
vulnerabilidades devem ser quantificadas para determinar a existência e magnitude dos
riscos no ambiente definido (Halvorson, 2008).
Figura 4.9: Elementos da análise de risco.

Fonte: Vraalsen et al. (2007, p. 314).
A análise de risco identifica os activos de negócio que a organização pretende proteger e as

ameaças a que esses activos estão expostos (Laliberte, 2004; Rees, Bandyopadhyay, &
Spafford, 2003). O objectivo da análise de risco é “identificar e avaliar todos os riscos e
sugerir um conjunto de controlos que permitam reduzir os riscos para um nível aceitável”
(Gerber & von Solms, 2001, p. 580). A análise de risco proporciona aos gestores a
informação necessária para o processo de tomada de decisão sobre o investimento em
segurança da informação e para desenvolver as políticas de gestão de risco adequadas,
permitindo definir o valor que deve ser dispendido em segurança e as áreas onde o mesmo
deve ser aplicado (Birch & McEvoy, 1992; Peltier, 2004b), de forma a reduzir a sua
exposição ao risco (Laliberte, 2004).
A metodologia a adoptar pelas organizações para a avaliação do risco deve integrar uma
combinação de técnicas qualitativas e quantitativas (COSO, 2007). Neste sentido, o COSO

preconiza a utilização de técnicas qualitativas quando os riscos não se prestam à

quantificação ou não existe suficiente informação credível ou a análise dos dados
quantitativos não é exequível ou não é rentável. Por seu lado, as técnicas quantitativas são
utilizadas em actividades mais complexas e sofisticadas, como complemento das técnicas
qualitativas, e requerem um elevado grau de esforço e rigor, utilizando modelos
matemáticos na maior parte das vezes.
A abordagem quantitativa expressa o risco em termos numéricos, sendo a utilização da

Exposição Anual à Perda (Anual Loss Exposure [ALE]) uma das técnicas mais salientes
deste tipo de abordagem, dado que “permite estimar o risco através do cálculo do valor da
perda expectável decorrente de uma determinada ameaça” (Silva, Carvalho & Torres, 2003,
p. 40) e é geralmente expresso na Equação 2 (Endorf, 2007; ISACA 2007):
ALE = Valor do Activo × Factor de Exposição × Taxa Anual de Ocorrência (2)
Onde Factor de Exposição é igual à percentagem das perdas dos activos causadas pela
ameaça identificada.
O produto do valor do activo pelo factor de exposição também é conhecido por perda única
esperada e pretende medir o impacto específico de um evento de segurança simples. A taxa
anual de ocorrência é a frequência esperada para a ocorrência da ameaça (Endorf, 2007).
A abordagem qualitativa não tem nenhum valor numérico associado, baseando-se,

geralmente, em opiniões e julgamentos e os resultados são resumidos em palavras como
“baixo”, “médio” e “alto” (Alberts & Dorofee, 2002). Utiliza diferentes cenários de
possibilidades de riscos e hierarquiza a gravidade da ameaça e a sensibilidade do activo
(ISACA, 2007).
Os pressupostos para a utilização de uma ou outra abordagem são variados, embora os

diversos autores reconheçam que a qualidade, fiabilidade, credibilidade e objectividade da
informação de suporte seja um factor decisivo para o resultado final da análise dos riscos
(Alberts & Dorofee, 2002; COSO, 2007; Powell & Klein, 1996; Stephenson, 2004).
Blakley et al. (2001) afirmam que não conhecem nenhuma norma que recomende a
utilização de métodos quantitativos para a análise de risco e que estes métodos são de
utilização geral em outras disciplinas, mas não na segurança da informação. Na realidade,

das metodologias de gestão de risco apresentadas (ver Apêndice B), nenhuma delas propõe
exclusivamente a utilização de técnicas quantitativas. Algumas dessas metodologias são,
por natureza, qualitativas (CRAMM, OCTAVE, NIST SP 800-30), enquanto outras
identificam as técnicas que devem ser utilizadas na avaliação dos riscos, como é o exemplo
da AS/NZS 4360:2004 (Standards Australia/Standards New Zealand, 2004) e do ISACA
(2007) que identificam três técnicas (qualitativa, semi-quantitativa e quantitativa).
Embora reconhecendo que os métodos de análise de risco que utilizam técnicas

quantitativas de forma intensiva não são os mais adequados para as actuais análises de
risco de segurança da informação em contraponto com os métodos qualitativos, os quais
devido à sua natureza geram resultados inconsistentes, Karabacak e Sogukpinar (2005)
propõem um modelo baseado numa abordagem quantitativa para analisar os riscos de
segurança da informação. Este modelo está basicamente assente na preparação de um
inquérito com o objectivo de recolher dados quantitativos junto dos utilizadores de modo a
avaliar os riscos de segurança da informação.
Qualquer uma das abordagens tem as suas vantagens e desvantagens (Fariborz &
Shamkabt, 2005; Henry, 2007a; Peltier, 2001; Landoll, 2006; Stoneburner et al., 2002).
Quer se opte por uma ou outra técnica, é normal a utilização de uma matriz de exposição
ao risco, conjugando o impacto e a probabilidade de ocorrência do evento de risco. Esta
matriz possibilita a hierarquização dos riscos consoante o grau de exposição.
4.6.5 CONTROLOS E MEDIDAS PREVENTIVAS
Um controlo pode ser definido como “as políticas, procedimentos, práticas e estruturas
organizativas desenhadas para fornecer uma garantia razoável que os objectivos do
negócio serão alcançados e os acontecimentos indesejáveis serão impedidos ou detectados
e corrigidos” (ITGI, 2007a, p. 13), ou seja, “é algo que reduz a exposição, quer pela
redução da probabilidade do ataque (redução da vulnerabilidade), da redução das perdas do
negócio associadas com a ameaça (redução do impacto) ou da redução das perdas
resultantes de um ataque bem sucedido (redução da exposição)” (Birch & McEvoy, 1992,
p. 48).
Os controlos são práticas (técnicas), procedimentos (actividades) ou mecanismos

(tecnologia) que têm como objectivo eliminar os riscos ou reduzi-los para um nível

aceitável pela organização (Landoll, 2006; Peltier, 2004b; Rees et al., 2003) e proteger a
confidencialidade, integridade e disponibilidade da informação (NIST, 2005), tendo em
consideração que “nem todos os controlos implementados podem eliminar os riscos que
visam tratar” (Peltier, 2004b, p. 56).
Os controlos base são “os controlos de segurança mínimos recomendados para um sistema
de informação” (NIST, 2005, p. 112) e servem de ponto de partida para as organizações
determinarem quais os controlos de segurança necessários para proteger os seus activos.
De acordo com Gerber e von Solms (2001) os factores que determinam quais e quantos
controlos de segurança da informação são necessários são:
• os requisitos de negócio que determinam em que medida a confidencialidade, a

integridade e disponibilidade de informações devem ser preservadas;
• os estatutos, regulamentos e normas que podem ser aplicados na organização;
• os riscos que ameaçam a infra-estrutura.
Os controlos podem ser preventivos, detectivos e correctivos (Halvorson, 2008; Landoll,

2006), assim como correctivos, dissuasores, de recuperação e compensatórios (Hare, 2007),
cuja finalidade é a seguinte (ISACA, 2007):
• controlos dissuasores: reduzir a probabilidade de ocorrência de ameaças;

• controlos preventivos: reduzir as vulnerabilidades e evitar ataques com sucesso ou
reduzir o seu impacto;
• controlos correctivos: reduzir o impacto;
• controlos compensatórios: compensar o aumento do risco;
• controlos detectivos: descobrir ataques ou provas que indiciem um ataque e
desencadear controlos preventivos ou correctivos.
Os controlos devem ter um conjunto de características, tais como (Hare, 2007):
• oportunidade: de identificação e de resposta às ameaças identificadas;

• economia: custo do controlo face ao custo potencial da ameaça;
• responsabilidade: a implementação e monitorização do controlo devem ser atribuídas
a um interveniente do processo em particular;
• posicionamento: momento da implementação do controlo – antes, durante ou após
determinado processo;

• flexibilidade: os controlos devem ser modulares e de fácil substituição quando novos

métodos ou sistemas são desenvolvidos;
• aplicabilidade: deve fornecer à gestão as respostas e acções necessárias para a
manutenção dos processos de negócio;
• completo: deve satisfazer todos os objectivos associados à implementação do
controlo.
Decorrente do modelo representado na Figura 4.10, conclui-se que, mesmo depois de

implementados todos os controlos de segurança, ainda existe algum risco remanescente,
denominado de risco residual (Halvorson, 2008; Landoll, 2006), o qual “pode ser resultado
de alguns activos que ficaram desprotegidos intencionalmente, quer devido ao nível de
risco baixo que lhe foi atribuído, quer ao elevado custo do controlo proposto” (Gerber &
von Solms, 2005, p. 23).
Figura 4.10: Risco como função do valor do activo, ameaça e vulnerabilidade.

Fonte: Yazar (2002, p. 3).
A aceitação do risco residual deve ter em consideração um conjunto de factores,

destacando-se: a conformidade com a regulamentação; a política organizacional; os activos
críticos; os níveis aceitáveis dos impactos potenciais; o custo e eficácia da implementação
dos controlos (ISACA, 2007).

Após a identificação dos requisitos de segurança, dos riscos e das decisões acerca do
tratamento dos riscos, a fase seguinte do processo de gestão dos riscos é a selecção e
implementação dos controlos adequados para assegurar que os riscos são reduzidos para
um nível aceitável pela gestão. A selecção dos controlos pode ser efectuada com base em
qualquer uma das normas e regulamentos apresentados no Quadro 4.5 e detalhadas no
Apêndice C– Normas e regulamentos sobre controlos de segurança, tendo sempre em
atenção que os controlos a seleccionar devem satisfazer as necessidades da organização.
De acordo com o contexto e ambiente de risco próprio de cada organização, dever-se-á
optar pela(s) norma(s) que mais se adequa(m) à realidade de cada organização, tendo
sempre presente que esses controlos devem ser entendidos como princípios orientadores
para a gestão da segurança da informação.
Quadro 4.5: Normas e regulamentos referentes a controlos de segurança.
Classificação Normas e Regulamentos
• The Standard of Good Practice for Information Security.

• Generally Accepted Information Security Principles.
• Control Objectives for Information and related Technology (COBIT).
• Information Technology – Security Techniques – Code of Practice for
Geral Information Security Management ( ISO/IEC 17799:2005).
• An Introduction to Computer Security: The NIST Handbook (NIST SP
800-12).
• Recommended Security Controls for Federal Information Systems (NIST
SP 800-53).
• International Convergence of Capital Measurement and Capital
Finanças Standards: A Revised Framework (Basel II).
Sectorial
• Gramm-Leach-Bliley Financial Modernization Act of 1999 (GLB).

• Health Insurance Portability and Accountability Act (HIPAA) Security
Saúde
Rule.
Seguros • Solvency II.
Existem diversas normas e regulamentos referentes a controlos de segurança, uns mais

generalistas, outros direccionados para sectores específicos da actividade económica.
Todavia, conforme salientado por Landoll (2006), a selecção por uma ou outra norma de
controlos de segurança depende do ambiente de risco de cada organização.

4.6.6 PLANO DE ACÇÃO
Identificados os riscos e os controlos a implementar para gerir esses riscos, deve ser
definido um plano de acção que deve documentar a informação sobre (Halvorson, 2008):
• as acções propostas, prioridades e calendarização;

• requisito dos recursos a utilizar;
• papéis e responsabilidades de todas as partes envolvidas no processo;
• medidas de avaliação das acções implementadas;
• elaboração de relatórios de controlo e monitorização.
A estratégia a adoptar para o tratamento dos riscos é função da apetência ao risco,

tolerância ao risco e cultura de risco da organização. É, portanto, em função destas
variáveis e após a determinação da exposição ao risco que a organização vai definir qual o
tipo de tratamento a dar a cada um dos riscos identificados, podendo utilizar um processo
como o apresentado na Figura 4.11.
Figura 4.11: Estratégia de mitigação dos riscos.

Fonte: Bowen et al. (2006, p. 92).
A literatura sobre gestão de risco apresenta várias estratégias para tratamento dos riscos, as
quais estão sintetizadas no Quadro 4.6.

Quadro 4.6: Estratégias para tratamento dos riscos.
Tipo de Estratégia Descrição Fonte
Blakley et al. (2001); COSO

(2007); Halvorson (2008);
Aceitação do risco pela gestão, i.e.,
Heemstra & Kusters (1996); Henry
manutenção do risco se o mesmo tem um
Aceitação/Retenção (2007a); ISACA (2007); Jackson e
custo baixo ou uma probabilidade reduzida de
Carey (2007); Landoll (2006);
ocorrer.
Peltier (2004b); Purser (2004a);
Stoneburner et al. (2002);.
Birch e McEvoy (1992); COSO
(2007); Heemstra & Kusters
Implementação de controlos para reduzir o (1996); Henry (2007a); ISACA
Atenuação/Redução
risco para um nível aceitável. (2007); Jackson e Carey (2007);
Landoll (2006); Peltier (2004b);
Purser (2004a);
COSO (2007); Halvorson (2008);
Heemstra & Kusters (1996);
Eliminação do risco através da supressão dos
Eliminação ISACA (2007); Jackson e Carey
processos que originam esses riscos.
(2007); Peltier (2004b);
Stoneburner et al. (2002);
Implementação de controlos que minimizam o Birch & McEvoy (1992); Blakley
Limitação/Anulação/ impacto adverso da ameaça que explora et al. (2001); Halvorson (2008);
Mitigação determinada vulnerabilidade ou reduzindo a Peltier (2004b); Stoneburner et al.
probabilidade de que o evento ocorra. (2002)
Processo que hierarquiza, implementa e Peltier (2004b); Stoneburner et al.
Planeamento
mantém os controlos. (2002)
Birch & McEvoy (1992); Blakley
et al. (2001); Halvorson (2008);
Transferência do risco para terceiros
Heemstra & Kusters (1996); Henry
(companhia de seguros, e.g.) de forma a
Transferência (2007a); ISACA (2007); Jackson e
compensar as perdas originadas por uma
Carey (2007); Landoll (2006);
ameaça.
Peltier (2004b); Purser (2004a);
Stoneburner et al. (2002);
Vários negócios partilham o custo de
Indemnização Blakley et al. (2001)
determinados riscos.
Aceita partilhar o risco através de parcerias, COSO (2007); Jackson e Carey
Partilha
outsourcing ou outras abordagens de partilha. (2007);
Como a organização tem competência chave
Aquisição para gerir este tipo de risco e procura adquirir Jackson e Carey (2007)
risco adicional deste tipo.
4.6.7 CONTROLAR E MONITORIZAR
Uma adequada segurança da informação e dos sistemas que a processam é da

responsabilidade da gestão da organização, pelo que a gestão deve conhecer o estado actual
do programa de segurança da informação e dos controlos implementados, de forma a tomar
as decisões mais adequadas e decidir pelos investimentos mais económicos que mitiguem

os riscos para um nível aceitável. Depois de implementados, “os controlos de segurança

devem ser avaliados para determinar se foram implementados correctamente, se funcionam
como desejado e se produzem os resultados pretendidos para satisfazer os requisitos de
segurança do sistema” (Ross, Johnson, Katzke, Toth, & Rogers 2005, p. 1).
Esta avaliação do programa de segurança pode ser efectuada com base no NIST SP 800-
53A (Guide for Assessing the Security Controls in Federal Information Systems)
relativamente aos controlos implementados com base no NIST SP 800-53 (Recommended
Security Controls for Federal Information Systems). O objectivo do NIST SP 800-53A é
fornecer orientações para avaliar a eficácia dos controlos de segurança, propondo a
estrutura conceptual para o desenvolvimento de procedimentos de avaliação constante da
Figura 4.12.
Figura 4.12: Estrutura conceptual para o desenvolvimento de procedimentos de avaliação.

Fonte: Ross et al. (2005, p. 5).
O componente de entrada compreende apenas o identificador do controlo de segurança

objecto de avaliação e o nível de impacto do sistema de informação em que o controlo é
aplicado. O componente de processamento identifica os métodos e objectos de avaliação
relativos ao controlo de segurança identificado no componente de entrada. O componente
de saída consiste num conjunto de declarações processuais para determinar a eficácia do
controlo de segurança.

5 Investimento em Segurança da Informação
CAPÍTULO 5
INVESTIMENTO EM SEGURANÇA DA INFORMAÇÃO
5.1 INTRODUÇÃO
O investimento em segurança da informação deve estar em consonância com o nível de

risco que a organização está disposta a suportar, tendo sempre em atenção que o
investimento efectuado para evitar um incidente de segurança deve ser inferior aos custos
resultantes do incidente que se pretende evitar.
Neste capítulo aborda-se a problemática do investimento em segurança da informação,

com incidência nos aspectos relativos a impactos e custos, avaliação, orçamentação e
modelo de maturidade para os investimentos em segurança da informação.
5.2 IMPACTOS E CUSTOS
Os custos associados com a segurança da informação são, de uma forma geral, tratados
como despesas operacionais e não como investimento de capital (Gordon & Loeb, 2006),
i.e., a segurança é vista como um custo ou um encargo que deve ser controlado e não como
uma actividade que contribua para o sucesso, rentabilidade ou crescimento da organização
(Caralli, 2004b; Dodds & Hague, 2004), além de ser considerada como uma actividade
centrada na tecnologia (Caralli & Wilson, 2004).
Dado que a segurança é um custo pelo facto de se fazer negócio (Fourie, 2003), ela deve
ser uma preocupação dos responsáveis financeiros das organizações, apesar de ser uma das
últimas funções a ser dotada de fundos financeiros para o desenvolvimento das suas
actividades (Quinnild, Fusile, & Smith, 2006). Todavia, é necessário convencer a gestão
que evitar um incidente de segurança é muito mais barato do que enfrentar os custos

Capítulo 5 – Investimento em Segurança da Informação
derivados do incidente de segurança (Kadam, 2007), dado que os impactos provocados por
um incidente de segurança podem ser devastadores, podendo assumir uma de três formas
potenciais (Tsiakis & Stephanides, 2005):
• impacto económico imediato – o custo de reparação ou substituição dos sistemas e

interrupção das operações do negócio e dos fluxos de caixa;
• impacto económico de curto prazo – perda de clientes devido à incapacidade de
entregar produtos ou serviços e impacto negativo na reputação da organização;
• impacto económico de longo prazo – declínio na avaliação de mercado da
organização e do valor das acções no mercado de capitais.
Nesta perspectiva, deve-se ter presente que “o custo das medidas para minimizar o impacto
de potenciais incidentes de segurança deve ser compatível com o impacto esperado sobre
as funções normais da organização” (Anderson et al., 1994, p. 242), pelo que se deve
assegurar que os riscos são mitigados a um custo adequado (Davis, 2007). Neste sentido,
Noor, Dillon, e Williams (2001) defendem que o custo da mitigação dos riscos pode ser
comparado com os custos do impacto dos riscos para determinar a rendibilidade do
investimento (Return of Investment [ROI]). Por sua vez, Anderson (2003) sustenta que o
ROI para a implementação de um determinado controlo é a redução do ALE (ver Fórmula
2) dividido pelos custos de implementação desse controlo. Todavia, Kleinfeld (2006)
argumenta que a segurança não tem um ROI mensurável, pois quando a segurança falha
existe uma perda, mas, se não existem incidentes de segurança, existe um custo (associado
ao programa de segurança implementado), logo, como medir uma perda que nunca
aconteceu?
Peltier (2004b) defende que após a identificação dos controlos a implementar e da sua
avaliação em termos da sua exequibilidade e eficácia deve ser efectuada uma análise custo-
benefício que terá como objectivo determinar o impacto de implementar ou não
implementar o controlo.
A análise custo-benefício pode ser qualitativa ou quantitativa e tem como objectivo

demonstrar que os custos de implementação dos controlos podem ser justificados com a
redução do nível do risco (Stoneburner et al., 2002). Segundo os autores, uma análise
custo-benefício deve compreender os seguintes processos:

• determinação do impacto da implementação de novos controlos ou da melhoria de

controlos já existentes;
• determinação do impacto da não implementação de novos controlos ou da melhoria
de controlos já existentes;
• estimar os custos de implementação dos controlos, considerando o custo total de
propriedade;
• avaliar os custos de implementação e benefícios tendo em consideração o nível
crítico do sistema e dos dados, para determinar a importância para a organização da
implementação dos novos controlos, dados os seus custos e impacto relativo.
É praticamente impraticável e dispendioso eliminar todos os riscos, pelo que cada

organização deve ter consciência do nível de risco que deve aceitar. Este nível razoável de
aceitação do risco é o ponto óptimo onde os custos das perdas intersectam o custo de
mitigar os riscos (ISACA, 2007), conforme esquematizado na Figura 5.1.
Figura 5.1: Nível de custos da segurança da informação.

Fonte: ITGI (2008, p. 38).
O custo total de propriedade deve considerar todo o ciclo de vida do controlo e incluir
(ISACA, 2007, p. 95):
• custos de aquisição;
• custos de implementação e de utilização;
• custos de manutenção periódica;
• custos de avaliação e teste;
• monitorização de conformidade;
• prejuízo para os utilizadores;
• formação em novos procedimentos ou tecnologias.
5.3 AVALIAÇÃO DO INVESTIMENTO
Mercuri (2003) afirma que os custos associados com a segurança dos SI/TIC são muitas
vezes difíceis de avaliar porque as métricas utilizadas são irrealistas. Na sua opinião,
existem custos que podem ser calculados em termos monetários, tais como o roubo de
informação proprietária ou fraude financeira. Outros mais difíceis de quantificar envolvem
ataques de negação de serviço, vírus, código malicioso, violação de privilégios de acesso,
vandalismo em equipamentos, etc.
Uma das métricas mais utilizadas para determinar o custo-benefício da segurança da

informação é, segundo Gordon e Loeb (2002a), a rentabilidade do investimento em
segurança (Return on Security Investment [ROSI]), mas, na sua opinião, existe alguma
confusão e uma utilização incorrecta desta métrica. Sobre esta temática, Gordon e Loeb
afirmam que a noção contabilística de rentabilidade do investimento não é válida para
avaliar decisões de investimento e que, em contrapartida, a taxa de rentabilidade interna
(TIR) “é a métrica apropriada para avaliar investimentos, incluindo os investimentos em
segurança da informação” (Gordon & Loeb, 2002a, p. 28). Contudo, segundo os autores,
não se deve tentar maximizar a TIR nos investimentos em segurança da informação porque
“seleccionando o investimento em segurança com a TIR mais elevada não se maximizam
os benefícios líquidos” (Gordon & Loeb, 2002a, p. 30). Como consequência, “as empresas
devem investir substancialmente menos em segurança da informação do que as perdas
esperadas das falhas de segurança” (Gordon & Loeb, 2002a, p. 30), na medida em que é
necessário considerar a relação entre o nível de investimento e a diminuição da
probabilidade de uma falha de segurança, conceito denominado de “função de
probabilidade de falha de segurança”, o qual foi utilizado por Gordon e Loeb (2002b) na
criação de um modelo económico para determinar o montante óptimo do investimento em
Apesar de reconhecer que existem diversos argumentos contra a métrica ROSI,

designadamente o facto de assentar em cálculos com pouca precisão e se basear em

aproximações, Endorf (2007) faz depender o ROSI do valor obtido da subtracção entre o
custo que se espera perder num ano de um determinado activo e o custo anual do controlo
aplicado sobre esses activo, dado pela Equação 3:
ROSI = Exposição Anual à Perda ALE - Custo Actual do Controlo (3)
Heemstra e Kusters (1996) propõem o conceito de alavancagem da redução do risco (ARR)

que consiste na determinação da eficácia da implementação de determinado controlo,
comparando o seu custo com os benefícios esperados, cuja formalização matemática pode
ser expressa pela Equação 4, em que ER é igual à exposição ao risco e CC é igual ao custo
do controlo:
(4)
O conceito de RROI (Risk-based Return on Investment) estabelece que “é

significativamente menos oneroso aceitar alguns danos dos ataques aos sistemas do que
tentar impedir totalmente todos os danos” (Pinto, Arora, Hall, & Schmitz, 2006, p. 18).
Este indicador mede a eficácia com que os recursos são utilizados para reduzir o risco, i.e.,
um RROI positivo significa que o nível de redução do risco é superior aos custos de
implementação dos controlos associados a esse risco.
Para Pinto et al. (2006), o RROI deve ser usado para avaliar os investimentos em
segurança, tendo em atenção os níveis mínimos aceites pela organização, mas não serve
para seleccionar investimentos de segurança alternativos. Segundo Pinto et al., (2006), o
valor actual líquido (VAL), ao considerar o tempo no valor do dinheiro, é a medida
alternativa mais robusta e consistente para o ROI quando está em causa a selecção de
soluções concorrentes, mas apresenta um aspecto desfavorável, na medida em que
necessita de informação detalhada sobre a identificação dos custos e proveitos ao longo do
tempo. Contudo, Taudes, Feurstein, e Mild (2000) afirmam que existem duas razões para
que o VAL não seja utilizado na área dos SI/TIC. “Primeiro, porque os gestores pensam
intuitivamente em termos de oportunidades (opções) e estas não são obtidas pela análise
VAL. Segundo, porque é difícil encontrar modelos de parâmetros correctos.” (Taudes et al.,
2000, p. 228).

Dado que para Purser (2004b) os processos de segurança da informação acrescentam valor
à organização pela redução do risco dos SI/TIC, o conceito de ROI tem que reflectir esta
realidade e nesse sentido propõe a criação do conceito Total ROI (TROI), rentabilidade
total do investimento, o qual inclui o impacto financeiro da alteração no risco. Deste modo,
e decorrente da Equação 5, um aumento do risco tem um impacto negativo no TROI, o que
na opinião do autor “fornece uma visão mais adequada dos benefícios totais do negócio
associados com um projecto que contém uma componente que reflecte o risco associado”
(Purser, 2004b, p. 543).
RG + PCG - VAR
RTI = (5)
I
Onde RTI é a rentabilidade total do investimento, RG é o rendimento gerado, PCG é a

poupança de custos gerada, VAR é o valor da alteração do risco e I é o investimento.
O inquérito de 2007 do CSI (Richardson, 2008) mostra que as métricas mais utilizadas
pelas organizações para a avaliação do investimento em segurança da informação são, por
ordem crescente de utilização, o ROI (39%), o VAL (21%) e a TIR (17%).
5.4 INVESTIMENTO E ORÇAMENTAÇÃO
Para Anderson e Choobineh (2008), as decisões do investimento em segurança são

tomadas em todos os níveis da organização (operacional, táctico e estratégico). Enquanto
nos dois primeiros níveis as decisões são tomadas com base na optimização dos recursos
de segurança para minimizar os danos e as perdas, no nível estratégico define-se o
orçamento tendo por base os custos da segurança com os custos alternativos da não
segurança. Reconhecendo que estas decisões de investimento em segurança são
complicadas, Birch e McEvoy (1992) defendem que o investimento deve ser direccionado
para reduzir a exposição aos riscos inerentes aos SI/TIC no contexto dos riscos gerais do
negócio.
Para Schechter e Smith (2003) o investimento a realizar em segurança tem que estar
alinhado com o nível desejado de segurança. Para os autores, o nível desejado de segurança
pode ser determinado quantitativamente como o ponto em que os custos de um invasor
potencial ultrapassam os benefícios do ataque. Schechter e Smith (2003) concluem que
para além de decidir quanto investir em segurança, os responsáveis devem efectuar uma
avaliação da análise dos aspectos sociais da detecção da intrusão e correspondentes
estratégias de resposta, para determinar a sua eficácia na dissuasão de ataques futuros.
Gordon e Loeb (2006) salientam que a análise custo-benefício, utilizando o modelo do

VAL, é um processo económico racional e sólido para planear os investimentos de capital,
mas de aplicação pouco exequível na orçamentação do investimento em segurança da
informação, porque, na sua opinião, se a estimativa dos custos de segurança pode ser
efectuada com um grau razoável de exactidão, o mesmo não se pode afirmar relativamente
à estimativa dos benefícios potenciais, pois esta exige a existência de informação sobre as
perdas potenciais resultantes de falhas de segurança e a probabilidade de realização dessas
falhas. De qualquer forma, os autores argumentam que a utilização do VAL pode ser
encarado como uma abordagem económica ideal para a orçamentação das despesas com a
segurança da informação. Neste sentido, conduziram um estudo empírico dirigido às
empresas do índice S&P 500 (Standard & Poors 500) para analisar como as organizações
tomam as suas decisões sobre as despesas com a segurança da informação e concluíram
que, de uma forma geral, os gestores de segurança da informação utilizam alguma forma
de análise económica na orçamentação da segurança da informação. Enquanto uns
abordam as despesas de segurança da informação com uma abordagem formal do VAL,
outros utilizam uma análise económica modificada, i.e., com pouca preocupação em
quantificar os benefícios.
Compartilhando a mesma linha de raciocínio, Rodewald (2005) afirma que a análise custo-
benefício é imperfeita para responder a questões como “qual o nível de orçamento que
deve ser atribuído ao departamento de segurança da informação?”, e, como tal, não se
devem fazer comparações entre o investimento em segurança da informação e um
investimento de capital normal. Neste sentido, o autor argumenta que o ROI é uma métrica
pobre para comparar investimentos em segurança da informação com investimentos que
produzem um retorno tangível.
Também Ryan e Ryan (2006) concordam que a segurança é difícil de quantificar. Contudo,
partindo do princípio que a segurança é o inverso do risco, os autores utilizam os cálculos
das perdas esperadas para desenvolver uma abordagem quantitativa para avaliar os ganhos
em segurança pela medição do decréscimo do risco, reconhecendo, todavia, que existe
pouca informação disponível para determinar as probabilidades de ataques bem sucedidos,

necessárias para calcular as perdas expectáveis. Partindo dos conceitos de sobrevivência e

falhas, os autores constroem um modelo quantitativo que lhes permite obter as
probabilidades dos ataques bem sucedidos. Com base nesta informação e no valor dos
activos, é possível calcular as perdas esperadas e utilizar estes valores para medir a eficácia
de determinado investimento em segurança e, deste modo, tomar as decisões correctas na
orçamentação do investimento em segurança da informação.
O modelo económico apresentado por Gordon e Loeb (2002b) tem como objectivo
determinar o montante óptimo do investimento em segurança da informação, para proteger
a confidencialidade, disponibilidade, integridade, autenticidade e não repudiação da
informação. Este modelo “considera como a vulnerabilidade da informação e as perdas
potenciais dessas vulnerabilidades afectam o montante óptimo de recursos que devem ser
dedicados à segurança da informação” (Gordon & Loeb, 2002b, p. 439). As conclusões
retiradas pelos autores resultantes da aplicação do modelo, apontam para que:
• para um largo grupo de funções de probabilidade de falhas de segurança, o montante

óptimo a gastar em segurança da informação é uma função crescente do nível de
vulnerabilidade a que essa informação está sujeita;
• para um segundo grupo de funções de probabilidade de falhas de segurança, o
montante óptimo a gastar em segurança da informação nem sempre aumenta com o
nível de vulnerabilidade;
• para os dois grupos de funções de probabilidade de falhas de segurança, o montante
óptimo a gastar em segurança da informação nunca excede 37% das perdas esperadas
resultantes das falhas de segurança.
Na opinião de Matsuura (2003), este modelo de Gordon e Loeb apresenta duas restrições
fundamentais:
• a perda é tratada como uma constante, o que implica que o investimento estudado no
modelo se restringe apenas ao software, hardware e serviços de gestão da segurança
da informação;
• o investimento é contínuo e por isso os objectos de investimento não são tratados
como peças discretas mas sim como um todo.
Segundo Bodin, Gordon, e Loeb (2005), o modelo de Gordon e Loeb (2002b) não
considera critérios qualitativos ou não financeiros, nem outros conceitos quantitativos

como as opções reais, tema tratado posteriormente em Gordon, Loeb, e Lucyshyn (2003).
Para Bodin et al. (2005), as metodologias económicas tradicionais são utilizadas com
algum constrangimento na área da segurança da informação, dado que uma parte
significativa da informação sobre segurança da informação assume um carácter qualitativo
e não financeiro.
Argumentando que as ferramentas como a análise de risco e a análise custo-benefício

trabalham com dados agregados a um alto nível, Avusoglu, Mishra, e Raghunathan (2004)
propõem um modelo analítico para ultrapassar estas limitações, cujo objectivo é analisar os
problemas de investimento em segurança dos SI/TIC. Tendo por base as tecnologias de
segurança, os parâmetros de qualidade e custos dessas tecnologias e, ainda, os parâmetros
específicos dos atacantes e da empresa, o modelo permite determinar o tipo de tecnologia
que permite obter uma poupança máxima.
A teoria das opções reais foi desenvolvida inicialmente como uma técnica de suporte à
decisão na área dos investimentos de capital, em que “o conceito de real significa a
adaptação dos modelos matemáticos utilizados para valorizar as opções financeiras para
valorizar investimentos mais tangíveis” (Daneva, 2006, p. 5). As opções reais podem
assumir a forma de: opção por dar seguimento ao investimento; opção de abandonar; opção
de esperar antes de investir (Brealey & Myers, 1991).
Taudes et al. (2000) afirmam que as abordagens quantitativas tradicionais de análise

custo/benefício apenas dão uma perspectiva parcial das situações de decisão, pelo que a
melhor opção passa pela utilização da teoria das opções reais para suportar as decisões de
investimento em SI/TIC.
Se a teoria das opções reais tem sido utilizada em diversos trabalhos de investigação na
área do investimento em SI/TIC (Benaroch, 2002; Benaroch, Jeffery, Kauffman, & Shan,
2007; Benaroch & Kauffman, 1999; Benaroch & Kauffman, 2000; Benaroch, Lichtenstein,
& Robinson, 2006; Taudes et al., 2000), já no que concerne à aplicação da teoria das
opções reais à segurança da informação o panorama é bem diferente, sendo de realçar
apenas os trabalhos de Gordon et al. (2003a) e Daneva (2006).
Tendo como objectivo explicar que a opção de adiamento do investimento em segurança

da informação é responsável pela predominância das falhas de seguranças, Gordon et al.
(2003a) concluem que o nível do investimento em segurança é função da ocorrências das
falhas de segurança actuais, i.e., “existe uma resposta reactiva e não proactiva
relativamente a uma parte significativa dos investimentos em segurança, o que é

consistente com a perspectiva das opções reais sobre o investimento de capital” (Gordon et
al., 2003a, p. 6). Trata-se, portanto, de uma abordagem do tipo “esperar para ver”, a qual,
segundo os autores, é consistente com uma perspectiva económica racional para impedir
falhas de segurança de uma forma rentável. Daneva (2006) propõe que o processo de
decisão em segurança baseado nas opções reais seja efectuado através de uma abordagem
composta por cinco fases: (1) identificação das opções de segurança nos níveis estratégico
e táctico; (2) identificação de classes de factores de risco; (3) selecção de um modelo
matemático para valorizar as opções; (4) caracterização do contexto do investimento em
segurança; (5) interpretação dos resultados.
Apesar da importância do investimento em segurança e das considerações atrás referidas, o

facto é que, de acordo com o inquérito de 2007 do CSI (Richardson, 2008), menos de 10%
dos inquiridos despendem mais de 10% do seu orçamento total de SI/TIC em segurança da
informação.
5.5 MODELO DE MATURIDADE
Os processos de segurança dos SI/TIC e o planeamento e controlo do investimento são, de

uma forma geral, executados de forma separada (Hash et al., 2005), pelo que é
recomendável que exista uma integração entre ambos os processos.
O GAO (2004) propõe um modelo do ciclo de vida do investimento composto por três
fases: seleccionar; controlar; avaliar. Este modelo pretende assegurar que as “práticas de
gestão de investimento, incluindo a segurança, sejam disciplinadas e aprofundadas ao
longo de cada fase do ciclo de vida do investimento” (Hash et al., 2005, p. 8), como
representado na Figura 5.2.

Seleccionar Controlar Avaliar
Criar um carteira de Documentar, medir e

Determinar o valor de
investimentos de SI/TI gerir os investimentos de
cada investimento de SI/
que maximize o SI/TI em relação aos
TI relativamente aos
desempenho da missão custos, benefícios e
requisitos da missão
calendários projectados
Utilizar um conjunto de e outras medidas
Modificar os processos
medidas para comparar identificadas
dos investimentos de SI/
os projectos ao longo da
TI para reflectir as lições
carteira
aprendidas
Identificar alternativas
Conduzir revisões pós
para cada investimento,
implementação para
calcular indicadores
determinar quais os
financeiros e comparar
objectivos que foram
os resultados com o
alcançados e o seu
objectivo do
impacto no investimento
investimento
Conduzir entrevistas
Examinar Monitorar progresso
Fazer ajustamentos
Hierarquizar Tomar acções
Aplicar lições
Seleccionar correctivas
aprendidas
Figura 5.2: Ciclo de vida do investimento: seleccionar-controlar-avaliar.

Fonte: Adaptado de Hash et al. (2005, p. 9) e GAO (2004, p. 8).
As actividades da fase Seleccionar incluem a triagem de novos projectos, analisar e

classificar todos os projectos com base em critérios de risco, custo e benefício, seleccionar
um portfólio de projectos e estabelecer uma agenda para revisão dos projectos (Hash et al.,
2005). Os processos da fase de Controlo estão relacionados com a monitorização do
progresso de cada projecto através da utilização de um conjunto de medidas, para que seja
possível tomar as acções correctivas necessárias para a resolução dos problemas
identificados (GAO, 2004; Hash et al., 2005). A fase de Avaliação pretende determinar a
eficácia do investimento (Hash et al., 2005).
Complementarmente a este modelo do ciclo de vida do investimento, o GAO (2004)

desenvolveu um modelo de maturidade de cinco estádios para avaliar a maturidade das
práticas de gestão dos investimentos efectuados pelas agências governamentais dos EUA.
Este modelo de maturidade para a gestão do investimento em SI/TIC (Information
Technology Investment Management [ITIM]) pode ser utilizado para, de uma forma geral,
determinar o estado actual das capacidades de gestão do investimento de qualquer
organização e, em função dos resultados obtidos, recomendar passos adicionais para que

seja possível reforçar a abordagem à gestão dos investimentos em SI/TIC (Hash et al.,
2005).
Tendo em consideração os modelos anteriores, Hash et al. (2005) propõem um modelo

para integrar a segurança dos SI/TIC nos processos de planeamento e controlo do
investimento, assegurando, deste modo, que a “integração da segurança nestes processos
garante que os recursos de informação são planeados e fornecidos de forma completa e
disciplinada, permitindo, em última análise, uma melhor segurança para os investimentos
de SI/TIC” (Hash et al., 2005, p. 23), tal como apresentado na Figura 5.3.
Figura 5.3: Modelo de maturidade ITIM.

Fonte: Adaptado de Hash et al. (2005, p. 12) e GAO (2004, p. 11).
A integração da segurança nos processos de planeamento e controlo do investimento é

efectuada através de uma metodologia assente em seis passos 1 , garantindo que os
1
A metodologia preconizada por Hash et al. (2005) é composta por sete fases, em que a última fase está
relacionada com a apresentação de documentos específicos às autoridades governamentais dos EUA, pelo
que, dada a sua especificidade, se optou pela sua eliminação.
requisitos da missão e de segurança são satisfeitos ao longo do ciclo de vida do

investimento (Hash et al., 2005).
As actividades principais de cada um dos passos da metodologia incluem (Hash et al.,

2005):
• identificar ponto de partida – utilizar as métricas de segurança ou outra informação

disponível para estabelecer o ponto de partida do actual estado da segurança;
• identificar requisitos de prioridade – avaliar a atitude de segurança relativamente aos
requisitos do responsável pelos SI/TIC e à missão da organização;
• estabelecer prioridades ao nível organizacional – definir prioridades dos potenciais
investimentos de segurança dos SI/TIC ao nível organizacional em contraponto com
o impacto financeiro da implementação dos controlos de segurança apropriados;
• estabelecer prioridades ao nível dos sistemas – definir prioridades das acções
correctivas ao nível dos sistemas contra a sensibilidade dos sistemas e do impacto
das acções correctivas;
• desenvolver materiais de suporte – desenvolver materiais de suporte, tanto para o
nível organizacional como para o nível dos sistemas;
• implementar direcção de análise de investimento e gestão do portfólio – definir
prioridade dos casos de negócio contra os requisitos e prioridades do responsável
pelos SI/TIC e determinar o portfólio de investimentos.

6 Tecnologias de Segurança da Informação
CAPÍTULO 6
TECNOLOGIAS DE SEGURANÇA DA INFORMAÇÃO
6.1 INTRODUÇÃO
Existe uma grande variedade de tecnologias de segurança da informação, com funções e

objectivos diferentes, devendo ser preocupação das organizações a aquisição de produtos
certificados, cuja garantia de funcionamento seja assegurada por testes e revisões
independente.
Este capítulo apresenta os aspectos referentes à selecção e categorias das tecnologias e às

normas para a aquisição dessas tecnologias de segurança da informação.
6.2 SELECÇÃO DE TECNOLOGIAS DE SEGURANÇA
A selecção de tecnologias de segurança é uma parte integrante da concepção,

desenvolvimento e manutenção de uma infra-estrutura de segurança dos SI/TIC que
garante a confidencialidade, integridade e disponibilidade da informação crítica da
organização (Grance, Stevens, & Myers, 2003).
Para além das categorias e especificidades das tecnologias de segurança da informação, as

organizações devem ter em consideração alguns aspectos gerais (organizacionais, dos
produtos e dos fornecedores) quando seleccionam esses produtos, designadamente (Grance
et al., 2003):
• aspectos organizacionais:
− os utilizadores finais;
− as relações entre os produtos de segurança e a missão da organização;

Capítulo 6 – Tecnologias de Segurança da Informação
− as características da informação a proteger;

− os requisitos, políticas e procedimentos de segurança da organização.
• aspectos sobre as características dos produtos:
− o ciclo de vida do custo dos produtos;
− a facilidade de utilização e escalabilidade;
− as vulnerabilidades conhecidas;
− as dependências críticas de segurança com outros produtos;
− as interacções com a infra-estrutura existente.
• aspectos sobre os fornecedores:
− a selecção de um determinado produto de segurança limita a aquisição futura de
outros produtos de segurança;
− a experiência do fornecedor com o produto;
− a capacidade do fornecedor em responder a falhas de segurança dos seus produtos.
Além destes factores, as empresas devem ter em consideração as avaliações independentes

às características e propriedades desses produtos quando compram produtos de segurança
prontos a utilizar (Trcek, 2003).
6.3 CATEGORIAS DE TECNOLOGIAS DE SEGURANÇA
Um dos resultados finais da análise de risco é a identificação dos controlos necessários

para a eliminação ou redução dos riscos. Uma vez identificados estes controlos, o passo
seguinte passa pela identificação das tecnologias de segurança da informação que podem
assegurar a implementação desses controlos, os quais podem ser de três tipos: controlos de
prevenção e dissuasão; controlos de detecção; controlos de resposta e recuperação. As
tecnologias de segurança da informação associadas a cada um destes tipos de controlo
estão indicadas no Quadro 6.1.
Venter e Eloff (2003) classificam as tecnologias de segurança da informação em dois

grandes grupos: pró-activas e reactivas. Por sua vez, cada um destes grupos está dividido
em três níveis: rede; computador; aplicação.
Quadro 6.1: Tecnologias de segurança por tipo de controlo de segurança.
Detecção Resposta e
Prevenção e Dissuasão
Recuperação
• Firewalls; • Firewalls; • Procedimentos de

• Infra-estrutura de chave pública; • Exploradores de código salvaguarda;
• Cartões inteligentes para identificação e malicioso; • Ferramentas forenses;
autenticação; • Sistemas de detecção de • Aplicação das leis;
• Dispositivos de encriptação; intrusão; • Procedimentos.
• Monitores de comportamento de sistemas • Filtragem de conteúdos;
operativos; • Análise de registos de
• Formação de empregados; auditoria;
• Execução da política de segurança; • Formação de empregados;
• Utilização de produtos de elevada • Ferramentas forenses;
garantia. • Procedimentos.
Fonte: Vaughn (2006, p. 193).
A Figura 6.1 apresenta uma distribuição dos vários tipos de tecnologias por grupos e níveis.
objectivos específicos. O Apêndice D lista as tecnologias de segurança mais utilizadas
pelas organizações.
Figura 6.1: Taxinomia das tecnologias de segurança da informação.

Fonte: Venter e Eloff (2003, p. 299).
O inquérito da responsabilidade da empresa PriceWaterhouseCoopers e das revistas CIO e

CSO (Berinato, 2007), revela que, em 2007, mais de 70% dos inquiridos utilizam diversos
tipos de tecnologias de segurança, com destaque para as firewalls, sistemas de detecção de
intrusão e gestão de identidades.
Por sua vez, o inquérito do CSI (Richardson, 2008) para o ano de 2007, mostra que as
tecnologias de segurança utilizadas por mais de 60% dos inquiridos são o software anti-
vírus, as firewalls, as VPN, o software anti-spyware, os sistemas de detecção de intrusão, a
encriptação de dados em trânsito e a gestão de vulnerabilidades.
Por seu lado, o E-Crime Watch Survey, conduzido pelo revista CSO, os serviços secretos
dos EUA (United States Secret Service), o Programa do Computer Emergency Response
Team (CERT) do SEI/CMU e a Microsoft Corp (CSO, 2007) revela que, de entre as
tecnologias utilizadas, as mais efectivas são as firewalls e controlos de acessos, enquanto
as menos efectivas são os processos e ferramentas de desenvolvimento de software e as
palavras-chave ocasionais.
Dada a diversidade de tecnologias existentes e tendo em consideração as especificidades,

funções e características de cada uma delas, existe uma extensa literatura de carácter
técnico sobre essas tecnologias. O Quadro 6.2 apresenta uma síntese de alguma dessa
literatura sobre as tecnologias de segurança da informação.
Quadro 6.2: Taxionomia das tecnologias de segurança da informação.
Categoria de Tipo de
Fonte Assunto Abordado
Tecnologia Controlo
Hollis e Hollis (2006);
Gestão de identidades
McGhie (2007)
Leo (2007); Pulkkis, Grahn e Processos e métodos de
Karlsson (2006) autenticação Identificação e Prevenção &
Autenticação Dissuasão
Fleming (2003); Fried (2007) Biometria
Hootman (2007); Maradan, Cartões inteligentes e
Cotte e Fornas (2004) tokens
Clark (2007); Koshutanski e
Controlo de Prevenção &
Massacci (2007); Krehnke e Controlo de acessos
Acessos Dissuasão
Krehnke (2007);
(continua)
Categoria de Tipo de
Fonte Assunto Abordado
Tecnologia Controlo
McBride (2007); Murray Protocolos de
(2007); Stackpole (2007) comunicação
Blanding (2007); Decker Segurança de redes e
(2007); Murphy (2006) comunicações Prevenção &
Firewall
Henry (2007); Thorsheim Dissuasão
Firewalls
(2007)
Redes privadas virtuais
Pasley (2007); Tiller (2007)
(VPN)
Cavusoglu, Mishra e
Raghunathan (2005); Sistemas de detecção de Detecção de
Detecção
Dampier e Siraj (2006); intrusão Intrusão
Freire (2007);
Broucek e Turner (2003); Resposta &
Forense digital Análise Forense
Corby (2007) Recuperação
Khelafa (2007); Mukkamala,
Sulaiman, Chavez e Sung Código malicioso e Protecção de
Detecção
(2007); Sharman, Krishna, antivírus Código Malicioso
Rao e Upadhyaya (2006)
Bertoni, Guajardo e Paar
Sistemas criptográficos
(2004); Ikbal (2007)
Infra-Estrutura de Prevenção &
Berbecaru, Derenale e Lioy Chave Pública Dissuasão
Infra-estrutura d e chave
(2004); Golod (2007);
pública (PKI)
Grabow (2007)
6.4 NORMAS PARA AQUISIÇÃO DE TECNOLOGIAS DE

SEGURANÇA
A gestão da segurança da informação é, na opinião de Anderson (2001), um problema

muito mais profundo e político do que geralmente se pensa. Para o autor, as verdadeiras
forças que estão por detrás da concepção dos sistemas de segurança estão mais
preocupados em obter o monopólio do mercado deste tipo de tecnologias, cobrar preços
diferentes a diferentes utilizadores pelo mesmo serviço e desfazerem-se do risco. Segundo
Anderson, a segurança da informação é poder e dinheiro, pelo que o avaliador das
tecnologias de segurança não deve prestar atenção apenas aos aspectos técnicos, mas
aplicar também ferramentas económicas, como a informação assimétrica e o risco moral.
Anderson (2001) atesta que a insegurança da informação se deve, acima de tudo, a

incentivos perversos. Os problemas que causam a insegurança são, segundo o autor, as
externalidades de rede, a informação assimétrica, o risco moral, as selecções adversas e

esvaziamento de responsabilidade.
Existe informação assimétrica quando os compradores não têm tanta informação acerca da
qualidade dos produtos quanto os vendedores, o que faz com que exista uma grande
pressão para a diminuição do preço e da qualidade, verificando-se a expulsão dos bons
produtos pelos maus produtos (Anderson, 2001). É neste sentido que Smith (2007) afirma
que a garantia de um produto de elevada segurança requer dois actos de fé por parte dos
investidores: a convicção de que o próprio produto será rentável, mesmo incluindo os
custos extras para garantir a elevada segurança; a convicção de que o próprio alto grau de
segurança irá afastar os compradores das alternativas de baixo custo e baixa segurança.
As decisões de compra de produtos de segurança (hardware e software) são, na maior

parte das vezes, tomadas com base em recomendações da equipa técnica de SI/TIC, a partir
do próprio processo de orçamentação (critérios de rentabilidade do investimento) e/ou de
apresentações dos vendedores desses produtos (Vaughn, 2006). A decisão de compra
raramente está relacionada com a noção de produtos certificados e de garantia de
segurança, ou seja, confiança no correcto funcionamento do produto, cuja garantia de
segurança é assegurada por testes e revisões independentes.
De acordo com Smith (2007), os programas de avaliação da segurança foram criados para
identificar produtos que atinjam determinadas normas em termos do seu desenho e
construção e da eficácia das suas características de segurança. O objectivo destes
programas, ainda segundo Smith, é criar um mercado para estes produtos e,
simultaneamente, permitir que o comprador possa distinguir entre um produto com um
elevado nível de garantia de segurança de um outro de baixo nível que, no entanto,
parecem semelhantes. Apesar destas vantagens aparentes, Smith afirma que as avaliações
de segurança sempre foram controversas, além de dispendiosas e consumidoras de tempo e
sem nunca assegurarem a ausência de falhas de segurança. Talvez devido a este facto, “os
fornecedores colocam centenas de produtos de segurança no mercado em cada ano, mas
apenas uma pequena parte é submetida a uma avaliação de segurança apoiada pelos
governos” (Smith, 2007, p. 207).
Um dos primeiros programas de segurança a ser implementado foi o TCSEC, também

chamado de “Livro Laranja” (DoD, 1985). O objectivo deste programa consistia em avaliar
os produtos de segurança a serem comprados pelas entidades governamentais dos EUA.
Em 1991, a CCE criou o ITSEC (CEC, 1991), com uma diferença significativa
relativamente ao TCSEC, pois enquanto neste programa se procuravam características
específicas de segurança, o ITSEC permitia aos fornecedores criar a sua própria lista de
características de segurança, as quais eram depois avaliadas através dos critérios do ITSEC.
Por outro lado, enquanto as avaliações do ITSEC eram efectuadas por laboratórios
comerciais contratados pelo fornecedor, no TCSEC as avaliações eram realizadas por
agências governamentais com excesso de trabalho e pouco pessoal (Smith, 2007). As
avaliações do ITSEC eram reconhecidas pelos governos da Comunidade Europeia e dos
países da comunidade britânica, enquanto as avaliações do TCSEC eram reconhecidas
apenas pelo governo dos EUA e de alguns países aliados (Smith, 2007).
Alguns anos depois e após um esforço de harmonização entre estes dois programas, surge
em 1999, no âmbito da ISO, o chamado Common Criteria for Information Technology
Security Evaluation (abreviadamente Common Criteria), posteriormente transformado na
norma ISO/IEC 15408. Esta norma define os requisitos que os produtos devem satisfazer
do ponto de vista da segurança e apresenta uma base para comparar diferentes avaliações
de segurança (Trcek, 2003). Ainda de acordo com Trcek (2003), este programa de
avaliação permite: (1) aos consumidores determinar se um produto é suficientemente
seguro para a utilização pretendida; (2) aos responsáveis pelo desenvolvimento determinar
as propriedades de segurança desejadas e declará-las numa forma estandardizada; (3) aos
avaliadores verificar essas propriedades de segurança.
A norma ISO/IEC 15408 é composta por três partes:
• parte 1: introdução e modelo geral: define os conceitos gerais e princípios da

avaliação das tecnologias de segurança, apresentando um modelo geral de avaliação
(ISO/IEC, 2005a);
• parte 2: componentes funcionais de segurança: estabelece um conjunto de
componentes funcionais que servem como modelos padrão em que se baseiam os
requisitos funcionais para os objectivos de avaliação (Target of Evaluation [TOE]).
Esta parte cataloga o conjunto de componentes funcionais e organiza-os em famílias
e classes (ISO/IEC, 2005b);
• parte 3: componentes de garantia de segurança: estabelece um conjunto de
componentes de garantia que servem como modelos padrão em que se baseiam os
requisitos de garantia para os TOE. Esta parte cataloga o conjunto de componentes
de garantia e organiza-os em famílias e classes, além de definir critérios de avaliação

para os perfis de protecção e para os alvos de segurança e apresenta sete pacotes de
garantia pré-definidos, denominados de Níveis de Garantia de Avaliação (Evaluation
Assurance Levels [EAL]) (ISO/IEC, 2005c).
Os níveis de garantia de avaliação preconizados pela norma ISO/IEC 15408 estão

sintetizados no Quadro 6.3 e têm a seguinte interpretação (Trcek, 2003):
Quadro 6.3: Níveis de garantia de avaliação da norma ISO/IEC 15408.
Nível de
Abreviatura Designação
Confiança
EAL1 Testado funcionalmente Baixo

EAL2 Testado estruturalmente
EAL3 Testado e controlado metodicamente
EAL4 Desenhado, testado e revisto metodicamente Médio
EAL5 Desenhado e testado semi-formalmente
EAL6 Desenho verificado semi-formalmente e testado
EAL7 Desenho verificado formalmente e testado Elevado
Fonte: Herrmann (2007, p. 1496).
• EAL1 - refere-se aos produtos testados funcionalmente quanto à garantia de nível

mais baixo para a qual a avaliação é significativa e economicamente justificável;
• EAL2 - refere-se aos produtos testados estruturalmente e ainda sem impor tarefas
adicionais aos responsáveis pelo desenvolvimento. É aplicável para um nível baixo
ou moderado de segurança;
• EAL3 - refere-se aos produtos testados e controlados metodicamente e fornece um
nível moderado de garantia de segurança sem substanciais custos de reengenharia;
• EAL4 - refere-se aos produtos desenhados, testados e revistos metodicamente.
Fornece um nível de segurança moderado para elevado para os produtos
convencionais, incorrendo em custos adicionais mínimos de engenharia;
• EAL5 - refere-se aos produtos desenhados e testados semi-formalmente. Requer
custos adicionais pouco expressivos e fornece um elevado nível de segurança;
• EAL6 - refere-se à verificação semi-formal do desenho e teste dos produtos, cujo
objectivo é proteger activos valiosos contra riscos significativos.
• EAL7 - refere-se à verificação formal do desenho e teste dos produtos e constitui o

limite superior para os produtos de utilidade máxima, com aplicação em situações de
elevado risco e/ou o valor dos activos justifique o investimento neste tipo de
produtos.
Embora não sendo um programa de avaliação, o NIST publicou um guia para ajudar as
organizações a seleccionar as tecnologias de segurança, denominado Guide to Selecting
Information Technology (IT) Security Products (NIST SP 800-36). Este guia define as
categorias de produtos de segurança, especifica os tipos de produtos a incluir em cada uma
dessas categorias, como apresentado no Quadro 6.4, e fornece uma lista das características
e questões pertinentes que as organizações devem ter em consideração ao seleccionar um
produto de cada uma das categorias (Grance et al., 2003). Este guia auxilia a selecção das
tecnologias de segurança que devem ser utilizadas como controlos de segurança
operacionais ou técnicos, identificados após a realização da avaliação do risco.
Quadro 6.4: Categorias e tipos de produtos de segurança.
Categoria Tipo de Produto
• Tokens de segurança;
• Certificados digitais;
Identificação e Autenticação
• Protocolos de autenticação;
• Biometria.
• Listas de controlo de acessos;
Controlo de Acessos
• Controlos de acessos baseados em funções.
• Sistemas de detecção de intrusões baseados na rede;
• Sistemas de detecção de intrusões baseados em
Detecção de Intrusões computadores;
• Sistemas de detecção de intrusões baseados em aplicações;
• Prevenção da intrusão.
• Exploradores;
• Verificadores de integridade;
Protecção de Código Malicioso
• Monitores de vulnerabilidades;
• Bloqueadores de comportamento.
• Firewalls de filtragem de pacotes;
• Firewalls de monitorização de estados;
• Firewalls de acesso de proxy;
• Firewalls de proxy dedicadas;
Firewall • Firewalls de tecnologias híbridas;
• Conversão de endereços de rede;
• Firewalls baseadas em computadores;
• Firewalls pessoais;
• Gestão centralizada de firewalls distribuídas.
(continua)
Categoria Tipo de Produto
• Protecção de chaves e módulos criptográficos;

Infra-Estrutura de Chave • Repositórios de certificados;
Pública • Recuperação de chaves;
• Estado dos certificados
Exploradores de • Exploradores de vulnerabilidades de rede;
Vulnerabilidades • Exploradores de vulnerabilidades de computadores;
• Ferramentas de recolha e preservação de evidências;
Forense Informática
• Ferramentas de análise
• Escrever por cima de;
• Desmagnetização;
Limpeza de Media
• Destruição;
• Limpeza de memória
Fonte: Adaptado de Grance et al. (2003).
Apesar da existência destes programas de avaliação, a questão fundamental é, na opinião

de Smith (2007), se os cliente são obrigados ou não a usar produtos de segurança objecto
de avaliação, porque, de uma forma geral, os consumidores preferem produtos mais
baratos e fáceis de utilizar, em detrimento de produtos com custos de propriedade
superiores e elevados níveis de segurança.
7 O Factor Humano na Segurança da Informação
CAPÍTULO 7
O FACTOR HUMANO NA SEGURANÇA DA

INFORMAÇÃO
7.1 INTRODUÇÃO
As pessoas assumem um papel fundamental no âmbito da segurança da informação, na

medida em que são, simultaneamente, um factor de risco, pelo facto de poderem perpetrar
actos maliciosos (intencionais e não intencionais) e um recurso no combate às ameaças de
segurança através da execução de procedimentos e controlos de segurança.
Este capítulo analisa o papel do factor humano na segurança da informação, abordando

temas como o papel das pessoas na segurança da informação, formação e acções de
sensibilização dos empregados, a engenharia social, as ameaças internas e o
comportamento ético dos utilizadores.
7.2 O PAPEL DAS PESSOAS NA SEGURANÇA DA INFORMAÇÃO
A CCE na sua comunicação 890 (CCE, 2001), reconhece a importância dos utilizadores
dos SI/TIC como um factor de extrema importância na segurança da informação, ao
afirmar que o ambiente do utilizador constitui um elemento-chave da infra-estrutura da
informação e que “as técnicas de segurança têm que ser aplicadas com autorização e
participação do utilizador e de acordo com as suas necessidades” (CCE, 2001, p. 10).
Para garantir a confidencialidade, integridade e disponibilidade da informação, as

organizações devem assegurar que todas as pessoas envolvidas compreendem as suas
responsabilidades em matéria de segurança da informação (Hansche, 2007), dado que, de
Capítulo 7 – O Factor Humano na Segurança da Informação
uma forma geral, as pessoas não têm uma boa compreensão do funcionamento dos SI/TIC
ou das ameaças a que estão vulneráveis (Hinde, 2003).
É comum falar-se que as pessoas são o elo mais fraco no modelo de segurança (Egan, 2005;
Henry, 2007b; Schneier apud Albrechtsen, 2007), mas para Egan (2005), as pessoas tanto
podem ser o elo mais fraco ou mais forte da cadeia da segurança da informação, ou, como
salienta Albrechtsen (2007, p. 277), “podem ser o único ou o obstáculo menos fiável à
prevenção de incidentes indesejados”. Albrechtsen e Hovden (2009), realçam o duplo
papel que os utilizadores podem assumir no âmbito da segurança da informação: como um
factor de risco (podem executar actos maliciosos – intencionais e não intencionais -,
ignoram os riscos e as formas de os mitigar) e como um recurso de combate às ameaças
através da sua actuação em conformidade com os regulamentos e políticas de segurança.
Também Bresz (2004) é de opinião que as pessoas podem ser o elo mais fraco da
segurança da informação se não tiverem a formação adequada e conclui que sem formação
e acções de sensibilização em segurança, as organizações não conseguem atingir os seus
objectivos em matéria de conformidade, ou, como defende Henry (2007b, p. 140), “pessoal
diligente e bem treinado pode tornar-se o elo mais forte da infra-estrutura de segurança de
uma organização”.
Schultz (2005) partilha da opinião que a segurança é um problema das pessoas e não da
tecnologia, pois são as pessoas que controlam e manipulam a tecnologia e não o contrário,
pois a tecnologia é desenhada para ser gerida e utilizada pelas pessoas, sem esquecer,
conforme salientado por Hinde (2003), que a maior parte das tecnologias de segurança são
desenhadas para funcionarem de acordo com um comportamento responsável e previsível
por parte dos utilizadores, o que nem sempre acontece. Schultz (2005) enumera um
conjunto de factores que fazem depender a segurança da informação do comportamento e
atitudes das pessoas, tais como:
• as pessoas estão envolvidas na instalação, configuração e manutenção da tecnologia,

pelo que os erros humanos podem acontecer, mesmo que inadvertidamente,
traduzindo-se em vulnerabilidades que podem ser exploradas intencional ou
acidentalmente;
• as pessoas podem ser levadas a praticar actos desonestos e utilizar a tecnologia para
aceder de forma não autorizada a informação e sistemas a que não têm direito;
• as pessoas, designadamente as responsáveis pela administração das tecnologias,

enveredam, em nome da eficiência, por caminhos mais curtos, não respeitando as
políticas e procedimentos institucionalizados;
• embora sejam solicitadas informações acerca do candidato no momento do
recrutamento e selecção, essas informações não são confirmadas posteriormente,
mesmo que a pessoa em causa possa ter alterado a sua vida ou estilo de vida,
levando-o, potencialmente, a ser um factor de ameaça interna.
O processo de selecção do pessoal com funções de responsabilidade na área da segurança

da informação é, de igual modo, um factor primordial para Fenton e Wolfe (2007). De
acordo com estes autores, a organização deve conferir os antecedentes criminais e
financeiros dos candidatos, assim como, segundo Shaw et tal. in Fenton e Wolfe (2007), se
deve questionar o candidato sobre a utilização incorrecta de recursos de informação em
funções anteriores.
Estas preocupações com a selecção de pessoal para assumir funções na área da segurança
da informação é um dos requisitos impostos pela norma ISO/IEC 17799:2005, a qual
estabelece que devem ser examinados os antecedentes de todos os candidatos a
empregados, parceiros e trabalhadores temporários, “em conformidade com as leis,
regulamentos e ética relevantes e proporcional aos requisitos de negócios, à classificação
da informação a ser acedida e aos riscos percepcionados” (ISO/IEC, 2005d, p. 23).
7.3 FORMAÇÃO E ACÇÕES DE SENSIBILIZAÇÃO
A importância da formação e das acções de sensibilização em segurança da informação é

um factor primordial na área da segurança dos recursos humanos, tal como relevado pela
norma ISO/IEC 17799:2005, a qual estipula que “todos os empregados de uma
organização e, quando relevante, os parceiros e pessoal temporário, devem receber
formação de sensibilização adequada e actualizações periódicas nas políticas e
procedimentos organizacionais, em função da sua função” (ISO/IEC, 2005d, p. 26).
Também o NIST reconhece que a segurança dos SI/TIC só pode ser alcançada se todos os
intervenientes compreenderem os seus papéis e responsabilidade e forem formados
adequadamente (de Zafra, Pitcher, Tressler, & Ippolito, 1998). Neste sentido, publicou o
NIST SP 800-16 Information Technology Security Training Requirements: A Role and

Performance-Based Model, cujos objectivos passam por:
• realçar as funções, papéis e responsabilidades dos indivíduos e reconhecer que cada

indivíduo tem uma formação única e, portanto, diferentes níveis de compreensão;
• fornecer um framework para identificar as necessidades de formação e assegurar que
todos recebem a formação apropriada;
• fornecer uma estrutura para avaliar a eficácia da formação.
Tanto a norma ISO/IEC 17799:2005 como o NIST SP 800-16 apresentam os conceitos de

acções de sensibilização, formação e educação em segurança da informação. Dado que
estes conceitos têm objectivos diferentes, importa realçar as diferenças entre eles. Assim:
• acções de sensibilização – têm como objectivo criar sensibilidade para as

vulnerabilidades e ameaças dos SI/TIC, i.e., construir uma consciencialização em
segurança em todos os empregados (Hansche, 2007);
• formação – é um processo mais formal que as acções de sensibilização, dado que tem
como objectivo a obtenção de capacidades ou a utilização de ferramentas específicas
(Peltier, 2005) ou a aquisição e acumulação de conhecimento, capacidades e
competências que permitam aos intervenientes melhorar o seu desempenho (Hansche,
2007);
• educação – uma instrução mais profunda, orientada para o desenvolvimento de uma
carreira (Peltier, 2005).
A maior parte da legislação referida no capítulo 9 contém requisitos referentes à formação

e educação em segurança da informação, designadamente os regulamentos constantes do
Quadro 7.1.
Apesar da legislação e as normas evidenciarem a necessidade de formação em segurança

da informação, o inquérito de 2007 do CSI (Richardson, 2008) mostra que as organizações
dedicam uma parte pouco significativa dos seus orçamentos de segurança em SI/TIC para
esta área. Quase metade dos inquiridos (48%) gasta menos de 1% do seu orçamento para a
segurança dos SI/TIC em acções de formação e sensibilização.
Quadro 7.1: Regulamentações com requisitos de formação.
Regulamento Requisito
O § 164.308(a)(5)(i) do 45 CFR Parts 160, 162, and 164 Health Insurance Reform:
HIPAA Act (1996) Security Standards; Final Rule, define os requisitos de formação e sensibilização
em segurança.
• O ponto 4 da alínea (a) do § 3544 requer que as agências governamentais
assegurem a formação do pessoal.
FISMA Act (2002)
• O ponto 4 da alínea (b) do § 3544 requer que as agências incluam a formação e
sensibilização em segurança nos seus programas de segurança da informação.
A alínea (b) do § 314.4 do 16 CFR Part 314 Standards for Safeguarding Customer
GLB Act (1999) Information; Final Rule, requer que os empregados obtenham formação no âmbito
da avaliação do risco.
Sarbanes-Oxley Act A secção 105 prevê sanções no caso da existência de limitações à formação ou
(2002) educação profissional.
A implementação de um programa contínuo de formação e de acções de sensibilização

permite (Herold, 2007):
• estabelecer responsabilidade;
• estar em conformidade com os requisitos legais para a formação e com as políticas
de segurança internas;
• demonstrar a devida diligência;
Segundo Nosworthy (2000), os benefícios de um programa de formação e acções de

sensibilização em segurança são:
• envolver todos os colaboradores da organização;

• aprender a partir dos erros e incidentes;
• aumentar o controlo;
• reduzir os riscos;
• manter a continuidade das operações do negócio.
Para Bresz (2004), as organizações devem manter de forma regular um programa de

formação e acções de sensibilização em segurança e garantir uma avaliação periódica dessa
formação. Segundo Bresz, um programa de formação e acções de sensibilização em
segurança deve contemplar as seguintes etapas:
• determinar a audiência;
• definir a mensagem e os assuntos a transmitir;
• seleccionar os canais de comunicação;
• realizar a formação e acções de sensibilização;

• medir os resultados.
Peltier (2005) enfatiza a importância da segmentação da audiência para o sucesso das

acções de sensibilização, pois só assim se pode estimular e motivar os intervenientes para
alcançar os objectivos definidos para este tipo de acções.
Por seu lado, Chun (2007), defende que os programas de sensibilização serão mais
relevantes, poderosos e efectivos se forem elaborados de forma a considerarem os
comportamentos e atitudes das pessoas, na medida em que “conhecendo o subtil, as formas
inconscientes para influenciar e incentivar estas atitudes pode ser um activo útil na
implementação de um programa de sensibilização de segurança mais persuasivo e eficaz”
(Chun, 2007, p. 530).
Este tipo de formação e acções de sensibilização traduzem a disseminação do

conhecimento através da organização. Para que esta disseminação do conhecimento possa
ser realizada de forma adequada e eficaz deve-se utilizar um mecanismo formal para a
identificação e distribuição do conhecimento, vulgarmente designada como gestão do
conhecimento. Partindo deste conceito, Kesh e Ratnasingam (2007) constroem a sua
arquitectura de conhecimento da segurança da informação (ACSI) assente em três
elementos principais, como esquematizado na Figura 7.1: dimensões do conhecimento;
recursos do conhecimento; características do conhecimento; participantes.
Dimensões do
Conhecimento
PARTICIPANTES
Recursos do Características do
Conhecimento Conhecimento
Legenda:
Ligação primária
Ligação secundária
Figura 7.1: Componentes e ligações da ACSI.

Fonte: Kesh e Ratnasingam (2007, p. 104).
A formação e as acções de sensibilização sobre a segurança da informação não incidem

apenas sobre os colaboradores da organização, mas é um problema de toda a sociedade,
pois, tal como Furnell, Bryant, e Phippen (2007, p. 411) sugerem, “as organizações apenas
se podem proteger totalmente se os utilizadores domésticos o fizerem”. Se os utilizadores
domésticos estiverem conscientes dos riscos a que estão sujeitos e tiverem uma prática
diária de aplicação de medidas de segurança nos seus SI/TIC, transferem essas atitudes
para as organizações onde trabalham, contribuindo, por essa via, para uma cultura de
segurança nessas organizações. Daqui se conclui que é o comportamento das pessoas que
influencia, em última instância, o sucesso dos programas de segurança da informação, i.e.,
a segurança real não está associada apenas às tecnologias e processos, mas também “a uma
cultura que compreende, pensa e sente correctamente os problemas de segurança da
informação” (Stahl, 2007, p. 558).
Mudar a cultura exige que a organização se transforme numa organização que aprende,
com “capacidades para criar, adquirir e transferir conhecimento acerca da segurança da
informação e modificar o seu comportamento para reflectir o novo conhecimento sobre
segurança da informação” (Stahl, 2007, p. 558), ou seja, implica que se alterem os
comportamentos das pessoas acerca da forma como sentem, pensam e compreendem os
problemas da segurança da informação. Também Thomson e von Solms (2005)
argumentam que a cultura da organização deve ser utilizada para influenciar o
comportamento dos empregados no sentido de uma efectiva segurança da informação. Para
estes autores, existe uma relação biunívoca entre os comportamentos dos gestores
executivos e dos seus colaboradores que influencia a cultura da organização em matéria de
segurança da informação, resultado das práticas de segurança da informação dos gestores
que contribuem para moldar as atitudes dos colaboradores, por um lado, e a aceitação dos
comportamentos dos colaboradores pelos gestores, por outro lado.
7.4 ENGENHARIA SOCIAL
A engenharia social está relacionada com as situações em que alguém tem acesso a
informação sensível ou obtém privilégios de acesso não autorizados a sistemas ou
instalações através da construção de relações de confiança inapropriadas com elementos
internos da organização (Damie, 2002). Trata-se, portanto, ainda segundo Damie, da arte
de manipular as pessoas, levando-as a falar/agir contrariamente às regras e procedimentos

em vigor na organização. A engenharia social está mais relacionada com a psicologia e a
sociologia do que com a tecnologia (Rusch apud Rogers, 2007).
Segundo Henry (2007b) e Peltier (2006), existem quatro grandes tipos de engenharia social:
• intimidação – está relacionado com a ameaça de punição ou de ridicularização por

seguir as regras estabelecidas, na qual o atacante convence a pessoa vítima da
engenharia social a quebrar as regras;
• prestabilidade – faz apelo ao instinto natural das pessoas em ser prestável ou ajudar
outras pessoas. Uma das áreas mais vulnerável a este tipo de manipulação é o serviço
de assistência a utilizadores, dado que é responsável pela resolução de problemas
relacionados com a (re)inicialização de palavras-chave, acessos remotos e outros
serviços que explorados por atacantes (externos ou internos) podem permitir o acesso
indevido aos sistemas da organização;
• técnico – refere-se à utilização das tecnologias para obter informação, e.g., envio de
correio electrónico para receber uma resposta que compromete a segurança;
• utilização do nome de terceiros – está relacionado com a utilização de nomes de
pessoas com funções relevantes na organização para obter informações ou acessos
aos sistemas ou instalações.
Segundo Damie (2002), as áreas mais susceptíveis de serem alvo de um ataque de

engenharia social são as áreas onde os empregados: (1) têm acesso a bastante informação
privada ou confidencial; (2) interagem com clientes e o público; (3) não estão
sensibilizados para as ameaças da engenharia social. As funções mais vulneráveis a este
tipo de ataques são as secretárias ou assistentes da gestão, os colaboradores do centro de
assistência a utilizadores e administradores de bases de dados e de redes de comunicação
(Damie, 2002; Peltier, 2006).
Dadas as suas características e potenciais resultados, os riscos associados com a engenharia

social são extremamente elevados. O combate a esta técnica terá que ser efectuado,
essencialmente, com formação e acções de sensibilização, implementação de políticas e
procedimentos adequados e a realização de testes para avaliar a conformidade do
comportamento das pessoas com o estabelecido nas políticas e procedimentos (Damie,
2002; Peltier, 2006)
Para Vidalis e Kazmi (2007), um método eficaz de combater a vulnerabilidade da

engenharia social é a utilização do que designam de “decepção” ou “engano”. Este método
baseia-se, segundo os autores, em dois processos: simulação (mostrar o falso, desviando as
atenções do que é real) e dissimulação (esconder o real, levando à confusão sobre o que é
ou não real). Este método pressupõe que se “enganem” os próprios colaboradores, o que,
em última instância, pode suscitar questões éticas sobre a utilização do método.
Como resultado do seu estudo de campo empírico para investigar os ataques de engenharia
social, Workman (2007) recomenda aos gestores a implementação do seguinte conjunto de
medidas:
• ajudar os empregados a reconhecer e discriminar os alvos apropriados das suas

responsabilidades;
• compartimentar papéis e funções e disponibilizar informação proporcionalmente à
função exercida, de modo a que a informação sensível não seja divulgada
inadvertidamente;
• providenciar formação e sensibilização, designadamente em termos de conduta ética
e responsabilidade;
• implementar políticas de segurança que estabeleçam de forma inequívoca as
condições em que a informação sensível pode ser divulgada e que definam os
processos para reportar os incidentes de segurança.
Por seu lado, Rogers (2007), defende que a abordagem mais apropriada para mitigar os
riscos e os impactos da engenharia social é aquela que junta os programas de formação,
sensibilização e educação com os controlos de segurança compensatórios.
7.5 AS AMEAÇAS INTERNAS
A literatura sobre os comportamentos de segurança dos utilizadores apresenta diversas

definições para as acções maliciosas levadas a cabo pelos utilizadores, tais como insider
(elemento interno à própria organização), ameaças insider, atacantes insider, ataque
interno e crime informáticos praticados por empregados. Embora, na sua essência, o
significado de cada um destes termos não divirja entre si, importa apresentar cada um deles:
• um insider é “um agente de ameaça que está directa ou indirectamente empregado na

organização e tem acesso aos sistemas ou a informação sensível que não é divulgada
a ele e ao público em geral” (Vidalis apud Vidalis e Kazmi, 2007, p. 36);
• atacantes internos são aqueles que “estão capacitados para utilizar um determinado
sistema informático com um nível de autorização que lhes foi concedido e ao utilizar
esse sistema violam a política de segurança da sua organização (Tugular & Spafford
apud Schultz , 2002, p. 526);
• ameaça insider refere-se “às ameaças com origem nas pessoas a quem foi atribuído
acesso aos sistemas de informação e comunicação (SIC) e fazem uma má utilização
dos seus privilégios, violando as políticas de segurança da organização”
(Theoharidou, Kokolakis, Karyda, & Kiountouzis, 2005, p. 473), ou ao
“comportamento intencionalmente nocivo, não ético ou ilegal praticado por
indivíduos que possuem acesso interno aos activos de informações da organização”
(Stanton, Stam, Mastrangelo, & Jolton, 2005, p. 125);
• ataque insider pode ser definido como “uma intencional má utilização dos sistemas
informáticos pelos utilizadores que estão autorizados a aceder a esses sistemas e
redes” (Schultz & Shumway apud Schultz, 2002, p. 526);
• um crime informático praticado pelos actuais empregados de uma organização é “um
deliberado desvio de privilégios que os indivíduos se propõem utilizar para ganhar
vantagens desonestas através da utilização dos sistemas informáticos” (Dhillon &
Moores, 2001, p. 715).
Na sua essência, estes conceitos são unânimes em realçar dois aspectos fundamentais: (1) o
agente da acção é um colaborador interno que tem autorização para aceder aos sistemas e
(2) o agente utiliza esse privilégio para cometer actos ilegais ou quebrar os controlos de
segurança existentes. Como não existe uma diferença substancial entre estes conceitos e
para proceder a uma harmonização e simplificação dos mesmos, daqui em diante serão
utilizados os termos ameaça interna e ataque interno.
A ameaça de ataques provenientes dos elementos internos à própria organização

(empregados actuais e antigos, parceiros e pessoal temporário) é real e bastante
significativa. De acordo com o inquérito Global Information Security de 2007 (Berinato,
2007), os ataques praticados pelos empregados é muito superior aos ataques dos piratas
informáticos (69% contra 41%, respectivamente). Por seu lado, o 2007 E-Crime Watch
Survey (CSO, 2007) indica que os ataques internos representam cerca de 26% do total dos
eventos de segurança, enquanto os ataques externos são cerca de 58%. Ainda de acordo
com este inquérito, os crimes electrónicos mais praticados pelos atacantes internos são o
acesso não autorizado a informação, sistemas ou redes (relatado por 27% dos inquiridos
que sofreram crimes electrónicos), roubo de propriedade intelectual (24%), roubo de outro
tipo de informação, incluindo informação financeira e de clientes (23%) e fraude (cartões
de crédito, etc.) (19%). Os principais métodos utilizados pelos atacantes internos constam
da Tabela 7.1, com realce para as técnicas de engenharia social e utilização de contas
comprometidas.
Tabela 7.1: Métodos utilizados pelos atacantes internos.
% de inquiridos que
Tipo de Método sofreram crimes
electrónicos
Engenharia social 45%
Utilização de contas comprometidas 39%
Cópia de informação para dispositivos móveis 36%
Utilização das próprias contas 35%
Utilização de tecnologias sofisticadas (decifrador de
31%
palavras-chave e captura de informação da rede)
Fonte: CSO (2007).
A actividade maliciosa dos ataques internos incide, fundamentalmente, sobre três tipos de
actividades distintas: fraude; roubo de informação; sabotagem (Cappelli, Moore, Shimeall,
& Trzeciak, 2006). Outras actividades maliciosas perpetradas por atacantes internos
incluem espionagem, terrorismo, extorsão, suborno e corrupção (Greitzer et al., 2008).
Estas actividades, pela sua natureza, fazem com que os impactos dos ataques internos
sejam devastadores, não só em termos financeiros (fraude, roubo de informação, extorsão,
etc.), como nos danos provocados nos sistemas e infra-estruturas tecnológicas (sabotagem).
O CSI Survey 2007 (Richardson, 2008) revela que os crimes electrónicos perpetrados por
atacantes internos são responsáveis por cerca de 34% dos danos (em termos de custos ou
operações), enquanto os ataques externos representam 37% dos danos.
De acordo com Fenton e Wolfe (2007), as ameaças internas têm um impacto potencial
mais elevado do que as externas, dado que o protagonista interno já conhece os sistemas
que pretende atacar. Adicionalmente, o atacante interno tem conhecimento das políticas,
procedimentos e tecnologias utilizadas nas suas organizações, como também conhece
perfeitamente as suas vulnerabilidades, o que torna os seus ataques mais devastadores
(Cappelli et al., 2006). Para realizar um ataque, o atacante deve ter: (1) capacidade para
cometer o ataque; (2) motivo para o fazer; (3) oportunidade para cometer o ataque,
reconhecido na literatura como o modelo CMO (capacidade, motivo e oportunidade)
(Schultz, 2002).
Para Leach (2003), as ameaças internas têm origem, fundamentalmente, em fracos

comportamentos de segurança dos utilizadores, pelo que importa conhecer os factores que
influenciam os comportamentos de segurança dos utilizadores para proceder à alteração
desses comportamentos e alinhá-los com as políticas e procedimentos de segurança
estabelecidos pela organização. Segundo Leach, são seis os factores que influenciam o
comportamento de segurança dos utilizadores, divididos por dois grupos, conforme
apresentado na Figura 7.2.
Figura 7.2: Factores que influenciam o comportamento de segurança dos utilizadores.

Fonte: Leach (2003: p. 686).
1. o primeiro grupo, denominado, “as percepções dos utilizadores acerca dos

comportamentos esperados dos empregados”, engloba os seguintes factores:
− o conhecimento existente na organização (composto por políticas, normas,
procedimentos, valores, etc.);
− o comportamento demonstrado pelos gestores executivos e pelos colegas;
− o bom senso de segurança dos utilizadores e as suas ferramentas de tomada de

decisão.
2. o segundo grupo, designado por “disponibilidade dos utilizadores para constringir o
seu comportamento ao respeito pelas normas”, inclui os seguintes factores:
− os valores pessoais dos utilizadores e normas de conduta;
− o contrato psicológico dos utilizadores com o seu empregador;
− o esforço necessário para obter a conformidade e as tentações para não estar em
conformidade.
Segundo Leach (2003), os três factores chave para melhorar o comportamento de

segurança dos utilizadores são o comportamento demonstrado pelos gestores executivos e
pelos colegas, o bom senso de segurança dos utilizadores e as suas ferramentas de tomada
de decisão e a robustez do contrato psicológico dos utilizadores com o seu empregador.
Albrechtsen (2007) reconhece, também, que a qualidade da gestão da segurança afecta, de
alguma forma, a sensibilização dos utilizadores, a sua motivação e o seu comportamento,
resultado da qualidade do comportamento demonstrado pelos gestores executivos.
Com base no resultado da sua investigação, Stanton et al. (2005) construíram uma
taxinomia do comportamento de segurança dos utilizadores finais composta por seis
elementos, os quais variam ao longo de duas dimensões: intencionalidade e conhecimento
técnico, tal como apresentado na Figura 7.3 e no Quadro 7.2, onde as seis categorias de
comportamento estão distribuídas pelas duas dimensões.
Figura 7.3: Comportamentos dos utilizadores finais.

Fonte: Stanton et al. (2005, p. 127).
Quadro 7.2: Os factores de comportamento de segurança.
Conhecimento Intenção Categoria Descrição
O comportamento requer conhecimento técnico

Destruição
Elevado Maliciosa associado a uma forte intenção para prejudicar os
intencional.
recursos das TIC da organização.
Utilização abusiva O comportamento requer conhecimento técnico
Baixo Maliciosa mínimo mas inclui intenção de fazer mal.
prejudicial.
Reparações
Elevado Neutra mas sem intenção clara de prejudicar os recursos
perigosas.
das TIC da organização.
Baixo Neutra Erros ingénuos. mínimo mas sem intenção clara de prejudicar os
recursos das TIC da organização
Garantia de
Elevado Benéfica associado a uma forte intenção de preservar e
conhecimento.
proteger os recursos das TIC da organização.
O comportamento não requer conhecimento
técnico mas inclui uma clara intenção de
Baixo Benéfica Higiene básica.
preservar e proteger os recursos das TIC da
organização.
Fonte: Stanton et al. (2005, p. 126).
Para Stanton et al. (2005), os mecanismos mais indicados para mover os comportamentos
do tipo “erros ingénuos” para a categoria de “higiene base” são a formação e sensibilização,
assim como uma utilização mais adequada das regras de criação e alteração de palavras-
chave. Ainda segundo estes autores, é importante ter uma visão sistemática do
comportamento dos utilizadores finais que facilite uma correcta auditoria e avaliação desse
comportamento.
Contudo, Vroom e von Solms (2004) afirmam que é extremamente difícil auditar o
comportamento humano, mas reconhecem a necessidade de avaliar o comportamento dos
empregados para verificar se as suas atitudes e comportamentos estão em conformidade
com as políticas de segurança existentes na organização. Para estes autores, o processo de
avaliação do comportamento dos empregados passa pela análise da cultura da organização,
percebendo como as pessoas agem individual e colectivamente, i.e., compreender o
comportamento organizacional e a forma como os empregados são influenciados. Vroom e
von Solms (2004) concluem que não sendo possível auditar o comportamento humano e,
consequentemente, alterar esse comportamento para atingir os objectivos de segurança
propostos, a abordagem mais pragmática para alterar a cultura global da organização
consiste em estudar, simultaneamente, a cultura organizacional e o comportamento das

pessoas.
Segundo Egelman, King, Miller, Ragouzis, e Shehan (2007), a investigação acerca dos
comportamentos de segurança dos utilizadores é extremamente difícil, dado que os
utilizadores lidam com a segurança de forma pouco frequente e irregular. Segundo estes
autores, os vários tipos de investigação realizados têm limitações significativas. Por um
lado, porque os métodos para recolha de dados através da observação do comportamento
dos utilizadores são difíceis de implementar porque os utilizadores raramente são
confrontados com problemas de segurança. Por outro lado, porque a investigação
utilizando entrevistas e inquéritos sofre de limitações, na medida em que os utilizadores
dizem que tomam determinadas acções de segurança, quando, na realidade, agem de forma
completamente oposta.
A utilização de algumas técnicas, como a realização de testes de penetração, podem ajudar

a analisar de forma fidedigna o comportamento dos utilizadores perante situações
semelhantes a incidentes de segurança reais. Contudo, estas técnicas encerram
preocupações éticas, além de poderem constranger os utilizadores e ter um impacto
negativo na sua produtividade, pelo que não devem ser utilizadas (Egelman et al., 2007;
Greitzer et al., 2008).
Combater os ataques internos, passa não só por mudar os comportamentos e atitudes,

conhecendo como são influenciados (Figura 7.2) e qual o seu resultado (Figura 7.3), mas
também por prever e detectar os ataques internos. Neste sentido, Schultz (2002), propõe
um modelo composto por seis variáveis como potenciais indicadores de ataques internos,
tal como apresentado no Quadro 7.3.
Quadro 7.3: Factores potencias de ataques internos.
Indicador Descrição Acção Defensiva
Antes de realizarem o ataque final, os

Marcadores Tentar encontrar, o mais cedo possível,
atacantes deixam marcas deliberadas, no
deliberados este tipo de marcas.
sentido de passar uma mensagem.
Analisar os erros cometidos pelos
Erros Os atacantes cometem erros no processo de atacantes e tentar determinar o seu
significativos preparação dos ataques. objectivo.
(continua)
Indicador Descrição Acção Defensiva
Procedimentos utilizados pelo atacante para Analisar os procedimentos efectuados

Comportamento
obter mais informação sobre a potencial pelo atacante para determinar as suas
preliminar
vítima. intenções.
Padrões de Padrões de utilização consistentes em vários Analisar os comandos/operações nos
utilização sistemas, pode revelar as intenções do diversos sistemas para detectar padrões
correlacionados potencial atacante. de utilização correlacionados.
Analisar pedidos para obtenção de
Comportamento O comportamento verbal (agressão, domínio,
privilégios de nível elevado ou acesso
verbal etc.) pode indiciar a iminência de um ataque.
a sistemas.
A análise de factores de personalidade (e.g., Analisar os traços de personalidade dos
Traços de
introversão) pode ser utilizada para prever empregados, tendo em consideração os
personalidade
ataques internos. problemas éticos subjacentes).
Fonte: Schultz (2002).
Schultz considera que se for possível quantificar cada um dos indicadores e atribuir-lhes
uma determinada ponderação e, de seguida, utilizar uma equação matemática do tipo
regressão múltipla, consegue-se obter um valor que representa a probabilidade da
ocorrência de um ataque interno.
Num sentido oposto, Anderson, Selby, e Ramsey (2007) propõem uma solução técnica
para detectar os ataques internos. Esta solução baseia-se num sistema de análise de dados
dos utilizadores em tempo real, o qual permite detectar desvios no comportamento
esperado dos utilizadores no acesso à informação a que têm direito, tendo em consideração
os recursos e tipo de acessos necessários para esses mesmos utilizadores executarem as
funções que lhe estão atribuídas.
Os comportamentos desviantes levam os utilizadores a subverterem os controlos de

segurança existentes, pelo que Dhillon e Moores (2001) preconizam que a organização
deve implementar diversos tipos de controlos para evitar que os empregados pratiquem
actos maliciosos e ilegais. Estes actos decorrem de acções racionais e são resultado “de
uma combinação de factores pessoais, situações de trabalho e disponibilidade de
oportunidades” (Dhillon & Moores, 2001, p. 715). Os controlos que podem ser
implementados para minimizar a probabilidade de ocorrência de crimes internos são,
segundo Dhillon e Moores, de três tipos:
• controlos técnicos – têm como objectivo restringir o acesso a instalações e aos

SI/TIC;
• controlos formais – têm como finalidade o estabelecimento de regras e a assegurar a

conformidade com as regulamentações e procedimentos internos;
• controlos informais – estão relacionados essencialmente com a implementação de
programas de formação e sensibilização.
Também Cappelli et al. (2006) alegam que, embora os ataques internos possam ser
evitados, o que na sua opinião é um problema complexo, o processo adequado para tratar
com as ameaças internas passa pela prevenção, consubstanciada numa estratégia defensiva
consistente com as políticas, procedimentos e controlos técnicos. A resposta às ameaças
internas deve ser encontrada a partir de um correcto balanceamento entre as ferramentas
técnicas de defesa preventiva, políticas e práticas organizacionais e formação (Greitzer et
al., 2008).
Neste sentido, Cappelli et al. (2006) propõem as seguintes 13 boas práticas para a
prevenção e detecção das ameaças internas:
1) estabelecer avaliações de riscos periódicas;

2) estabelecer acções periódicas de formação e sensibilização em segurança para todos
os empregados;
3) explicar a segregação de funções e o menor privilégio;
4) implementar práticas e políticas rigorosas de palavras-chave;
5) monitorizar e auditar em tempo real as acções dos empregados;
6) ter cuidados extremos com os administradores de sistemas e utilizadores com muito
privilégios;
7) defender activamente contra código malicioso;
8) utilizar defesa em vários níveis contra ataques remotos;
9) monitorizar e responder a comportamentos suspeitos;
10) desactivar acessos aos sistemas após rescisão de contrato;
11) recolher e arquivar dados para utilizar em posteriores investigações;
12) implementar processos de salvaguarda e recuperação da informação;
13) documentar devidamente os controlos sobre ameaças internas.
Também a norma ISO/IEC 17799:2005 (ISO/IEC, 2005d), na secção oito relativa à

segurança dos recursos humanos, estabelece um conjunto de controlos que, correctamente
implementados, diminuem a probabilidade de ocorrência de ataques internos,
designadamente:
• controlos sobre a selecção de pessoal;

• controlos sobre termos e condições de emprego, salientando-se:
− assinatura de acordos de confidencialidade, respeito pelas leis de direitos de autor
e legislação sobre protecção de dados;
− tratamento de informação pessoal.
• controlos relativos a formação, sensibilização e educação em segurança da
informação;
• controlos relacionados com processos disciplinares para quem cometa uma violação
de segurança;
• controlos referentes à entrega dos activos e remoção de acessos aos SI/TIC momento
do término da função ou do emprego.
O CERT do SEI/CMU tem realizado bastante investigação no domínio das ameaças

internas, quer associado a outras instituições dos EUA, designadamente os US Secret
Service e o National Threat Assessment Center, quer ao nível do seu próprio CERT
Program. Uma parte dessa investigação tem sido dedicada às actividades maliciosas
relativas à sabotagem e espionagem (Band et al., 2006) e ao programa MERIT –
Management and Education of the Risk of Insider Threat (Cappelli et al., 2007).
7.6 O COMPORTAMENTO ÉTICO DOS UTILIZADORES
A ética “estuda os valores morais e os princípios que devem nortear o comportamento

humano” (Círculo de Leitores, 1985). Para Laudon (1995, p. 39), “a ética deve ser
encarada como um processo de dialéctica e compreensão humana e não uma condição
estática que foi alcançada”. Ainda segundo Laudon, as acções éticas provêm das decisões
dos indivíduos baseadas nas suas convicções pessoais.
Como a tecnologia em si é neutra, a ética nos SI/TIC está preocupada com o impacto social
da tecnologia (Vidalis & Kazmi, 2007), ou, como afirma Laudon (1995, p. 38), não existe
ética nos SI/TIC “sem um conhecimento de como as TIC afectam a escolha humana, a
acção humana e o potencial humano”.
No contexto dos SI/TIC, o comportamento ético depende, fundamentalmente, do facto dos

utilizadores serem recompensados ou punidos pela sua conduta imoral ou acções não éticas
(Khazanchi, 1995).
A privacidade é, segundo Loch e Conger (1996), uma das preocupações éticas que mais
afectam os utilizadores dos SI/TIC. Os julgamentos éticos são diferentes entre homens e
mulheres, especialmente em relação a determinados dilemas éticos (Khazanchi, 1995). Os
homens e as mulheres também diferem substancialmente nos elementos importantes das
decisões éticas sobre a utilização dos SI/TIC (Loch & Conger, 1996). De igual modo,
Gattiker e Kelley (1999), concluem que os homens e os jovens são muito mais tolerantes a
determinados comportamentos relativos aos SI/TIC do que as pessoas mais velhas e as
mulheres.
Os utilizadores deparam-se com diversos dilemas na utilização dos SI/TIC, os quais podem
ser agrupados nas sete categorias apresentadas no Quadro 7.4.
Quadro 7.4: Categorias de dilemas éticos na utilização dos SI/TIC.
Categoria Descrição
Obrigação de não divulgar informação confidencial a pessoas estranhas á

Divulgação
organização.
Obrigação de ser socialmente responsável pela utilização e disseminação
Responsabilidade social
da informação.
Obrigação de agir com integridade e honestidade no desempenho das suas
Integridade
funções.
Obrigação de evitar conflitos de interesses e informar as partes envolvidas
Conflito de interesses (clientes ou empregadores) de potenciais conflitos de interesses que
possam existir na execução das suas tarefas.
Obrigação de tomar as acções apropriadas para actos ilegais ou não éticos
Responsabilidade
de que possa ter conhecimento.
Obrigação de proteger a privacidade e confidencialidade da informação
Protecção da privacidade
manuseada por si, no desempenho das suas funções.
Obrigação de não explorar as fraquezas ou vulnerabilidades dos SI/TIC
Conduta pessoal
para proveito próprio.
Fonte: Adaptado de Khazanchi (1995).
Estes dilemas derivam, igualmente, das chamadas teorias normativas da ética empresarial:
a teoria do accionista; a teoria do interveniente; a teoria do contrato social (Smith &
Hasnas, 1999):
• teoria do accionista – os accionistas entregam capital aos gestores, os quais actuam

como seus representantes na realização de objectivos específicos;
• teoria do interveniente – os gestores têm um dever fiduciário não apenas para os
accionistas da empresa, mas também para as partes intervenientes;
• teoria do contrato social – da qual deriva a responsabilidade social dos gestores em
concordar com uma sociedade sem corporações ou outros acordos de negócio
complexos.
A interligação entre estas três teorias está presente na Figura 7.4, enquanto as obrigações
éticas associadas a cada uma destas teorias são as que constam do Quadro 7.5.
Figura 7.4: Âmbito de obrigação das teorias normativas da ética empresarial.

Fonte: Smith e Hasnas (1999, p. 113).
A resolução dos dilemas enfrentados pelos utilizadores dos SI/TIC deve ter em
consideração as obrigações éticas associadas a cada uma das três teorias, diferenciando e
seleccionando as opções que não violem os direitos dos elementos de cada grupo. Dado
que estas teorias estão vocacionadas para providenciar orientações éticas para indivíduos
que trabalham em organizações com fins lucrativos num ambiente de mercado (Smith &
Hasnas, 1999), a aplicação destas teorias à realidade das organizações sem fins lucrativos
deve ser objecto de adaptações a essa realidade.
Quadro 7.5: Obrigações éticas.
Teoria do Accionista Teoria do Interveniente Teoria do Contrato Social

• Rejeitar acções que são
fraudulentas, desumanize
• Determinar quem são os empregados ou envolvam
intervenientes principais. a discriminação de
• Determinar os direitos indivíduos.
• Conformidade com as
de cada um e rejeitar • Eliminar as opções que
leis e regulamentos.
Obrigação opções que violem esses
• Evitar fraudes e reduzem o bem-estar dos
Ética direitos.
enganos. membros da sociedade.
• Aceitar as restantes • Escolher as opções
• Maximizar lucros. opções que melhor remanescentes que
equilibrem os interesses maximizem a
dos intervenientes. probabilidade de sucesso
financeiro.
Fonte: Smith & Hasnas (1999, p. 114).
Smith (2002) considera que, só por si, estas três teorias não são suficientes para resolver os
dilemas enfrentados pelos utilizadores dos SI/TIC, pelo que é necessário incluir um
conjunto de regras distribuídas em três níveis: ao nível da empresa; ao nível da
indústria/profissão; ao nível das leis. Smith propõe que a definição das normas de conduta
para moldar o comportamento dos utilizadores de SI/TIC seja efectuada através da
integração entre as três teorias e o conjunto de regras existentes nos níveis empresarial,
industrial/profissional e legislativo.
Tendo em consideração os impactos potenciais dos comportamentos não éticos, as

organizações criaram os seus próprios códigos de condutas como forma de controlarem e
condicionarem os comportamentos dos seus colaboradores. Não existe um código único
sobre ética nos SI/TIC, cada organização tem as suas próprias regras de conduta, dado que
a lei (nacional ou internacional) não exige que os profissionais dos SI/TIC tenham uma
certificação para desempenharem as suas funções (Oz, 1992).
O código de ética mais representativo é o da Association for Computing Machinery

(ACM), englobando 24 deveres de responsabilidade pessoal para orientar os profissionais
da área dos SI/TIC, distribuídas por quatro grupos de imperativos: imperativos morais
globais; imperativos profissionais específicos; imperativos de liderança organizacional;
imperativos de conformidade com o código (ACM, 1992).
Como forma de ultrapassar as potenciais vicissitudes da inexistência de um código, Oz

(1992) propõe a criação de um único código de ética, baseado nos seguintes princípios:
• o código deve ser organizado através de grupos aos quais o profissional deve
obrigações: público; empregador; clientes; profissão; colegas;
• as obrigações com os diferentes grupos devem ser uma união de todas as obrigações
contempladas nos códigos já existentes;
• o código é universal, pelo que não está sujeito a obrigações de qualquer país. Os
colegas, e.g., significa todos os colegas de profissão, independentemente da sua
nacionalidade;
• as obrigações para com as organizações profissionais devem ser idênticas às
obrigações para com a profissão;
• o código deve providenciar orientações gerais para com as prioridades das
obrigações dentro dos grupos definidos;
• o código deve detalhar os procedimentos para efeitos de comunicação e para
tratamento de queixas contra a violação do código e as medidas a tomar contra os
violadores das regras.
Todavia, Conger e Loch (2001) afirmam que a criação de um único código de ética é uma
ideia pouco sensata, na medida em que um código de ética profissional, por muito bom que
seja, não pode incluir as preocupações de todos os indivíduos, negócios, países ou
sociedades. Por outro lado, Conger e Loch argumentam que a importância do contexto,
definido no âmbito da Teoria Integrada dos Contratos Sociais, invalida o propósito de
tratar todos os comportamentos éticos através de códigos de ética genéricos. Segundo
Conger e Loch (2001), esta teoria preconiza que todos somos cidadãos de vários grupos,
como representado na Figura 7.5: a sociedade global; o país; a empresa; a organização
profissional; o indivíduo.
Figura 7.5: Ambientes de comportamento.

Fonte: Conger e Loch (2001, p. 61).
Em cada um destes ambientes, cada indivíduo representa um papel e conhece as regras que
tem que respeitar e os comportamentos que esperam dele.
A aplicação desta Teoria Integrada dos Contratos Sociais aos códigos de ética genéricos,
pode contribuir para a definição de um conjunto de orientações para o comportamento
ético-profissional (Conger & Loch, 2001).
A eficácia dos códigos de ética para impedir os crimes informáticos é bastante controversa
(Gattiker & Kelley, 1999), embora Harrington (1996) reconheça que os códigos de ética
têm algum efeito sobre as actividades maliciosas praticadas sobre os SI/TIC,
designadamente os actos de sabotagem.
Todavia, segundo Harrington (1996), alguns custos sociais e pessoais como a consciência,
vergonha, perda de respeito e angústia são mais penalizantes para aqueles que cometem
actos criminosos, do que as penalizações sofridas pela violação dos códigos de ética. Para
Harrington, o efeito dos códigos de ética é esporádico e fraco em comparação com aquelas
características psicológicas, mas têm algum efeito nos indivíduos com uma alta negação da
responsabilidade. Reconhecendo que os códigos de ética têm algum impacto no
comportamento dos utilizadores, Harrington, conclui que para controlar esses
comportamentos, a gestão tem que implementar outros controlos de segurança com
incidência nos aspectos da responsabilidade, tais como a descrição clara das funções,
práticas cuidadosas de contratação e colocação dos empregados, segregação de
responsabilidades, rotação de funções, etc. Independentemente da elevada ou fraca eficácia
dos códigos de ética, é um facto assente que os responsáveis pela segurança devem, de
acordo com Tippett (2007), encorajar a utilização ética dos SI/TIC no interior das
organizações, devendo, para o efeito, desenvolver um conjunto de acções, as quais,
segundo Tippett, devem compreender:
• o desenvolvimento de um código de ética dos SI/TIC para a organização;

• a inclusão de informação sobre ética dos SI/TIC nos manuais dos empregados;
• a promoção e participação em acções de formação e sensibilização sobre ética nos
SI/TIC.
8 A Segurança da Informação como Requisito Legal
CAPÍTULO 8
A SEGURANÇA DA INFORMAÇÃO COMO REQUISITO

LEGAL
8.1 INTRODUÇÃO
A segurança da informação é uma obrigação legal e da competência da gestão das

organizações. As leis, normas e regulamentos exigem às organizações a implementação de
controlos e medidas de segurança, pelo que as organizações devem incluir a problemática
da conformidade com a segurança da informação nos seus processos de negócio.
Neste capítulo apresenta-se a segurança da informação como um requisito legal,

abordando-se aspectos relacionados com as leis, normas e regulamentos e com a
conformidade com os requisitos legais.
8.2 LEIS, NORMAS E REGULAMENTOS
Os responsáveis pela segurança da informação têm a responsabilidade de garantir que os

seus SI/TIC estão realmente seguros, mas também têm que conhecer as leis e regulamentos
que têm impacto no negócio, dado que algumas dessas leis contêm penalidades para quem
não garanta a sua conformidade (Lobree, 2002). A segurança da informação é, portanto,
não apenas uma boa prática de negócio, mas também uma obrigação legal (Smedinghoff,
2005b), pelo que as organizações têm que enquadrar as questões da segurança da
informação nas perspectivas operacional, legal e de conformidade (Myler & Broadbent,
2006).
Um elemento fundamental no ambiente transaccional actual das organizações diz respeito

às questões legais e regulamentares. Neste sentido, “o mapeamento dos riscos das
Capítulo 8 – A Segurança da Informação como Requisito Legal
organizações para um conjunto de normas, leis ou regulamentos transformou-se numa

necessidade” (Stephenson, 2004, p. 12). Estes riscos estão essencialmente ligados “à
viabilidade das operações do negócio, protecção da privacidade individual, evitar o roubo
de identidade, proteger os dados sensíveis do negócio, assegurar a responsabilidade pela
informação financeira corporativa e preservar a autenticidade e integridade dos dados
transaccionais” (Smedinghoff, 2005b, p. 1).
No entanto, como refere Smedinghoff (2005a), as leis e regulamentos não pormenorizam

quais as medidas de segurança que as organizações devem implementar para satisfazer as
suas obrigações legais. De uma forma geral, obrigam as organizações a definir e manter
um sistema de controlo interno, controlos e medidas de segurança, sem, contudo, definir
orientações específicas para implementar e controlar essas medidas. De acordo com
Smedinghoff (2005a), as regulamentações de segurança indicam os factores que são
relevantes na determinação das medidas de segurança que devem ser implementadas,
designadamente:
• a probabilidade e o impacto dos riscos potenciais no negócio;

• a dimensão da organização, complexidade e capacidades;
• a natureza e âmbito das operações do negócio;
• a informação crítica a proteger;
• a infra-estrutura tecnológica da organização;
• o custo dos controlos a implementar.
Segundo Caralli e Wilson (2004), a regulamentação reflecte a necessidade das

organizações examinarem criticamente as suas necessidades de protecção e implementar as
correspondentes estratégias de segurança e controlo. “Estar em conformidade com os
regulamentos é certamente uma actividade importante na organização, mas não pode
substituir um processo de gestão estratégica da segurança” (Caralli & Wilson, 2004, p. 10),
na medida em que pode conduzir a um falso sentimento acerca da eficácia dos programas
de segurança, dado que os regulamentos cobrem apenas alguns activos e processos da
organização.
Indústrias reguladas, empresas cotadas nas bolsas de valores e departamentos

governamentais são geralmente constrangidas a cumprir com precisas e explícitas
directrizes orientadoras relativamente à gestão de riscos, segurança e governo corporativo
(Tracy, 2007), pelo que compete à gestão a coordenação, execução e aplicação destas
políticas. As novas leis e regulamentos tornam claro que a segurança da informação é uma
questão legal e da governação empresarial, pelo que a responsabilidade recai directamente
na gestão da organização (Smedinghoff, 2005b), tal como expresso nas leis norte-
americanas SOX Act (2002), GLB Act (1999) e HIPAA Act (1996) e na norma Basel II do
Bank for International Settlements [BIS] (2006) e proposta de Directiva da Solvência II da
UE (Comunicação COM(2007) 361 final) (CCE, 2007).
No âmbito do SOX Act (2002), a secção 302 - Corporate Responsibility for Financial
Reports, atribui a responsabilidade ao presidente executivo (Chief Executive Officer) e ao
executivo responsável pela área financeira (Chief Financial Officer) pela fiabilidade dos
relatórios financeiros. Esta fiabilidade é alcançada através da utilização de procedimentos
de controlo para prevenir, detectar e responder a acessos não autorizados e a manipulação
de sistemas e dados, garantindo-se que os SI/TIC produzem informação exacta e completa,
certificada pelos controlos de segurança implementados sobre os SI/TIC. O incumprimento
destes executivos na certificação dos relatórios financeiros tem uma penalização máxima
de 5 milhões de dólares ou pena de prisão de 20 anos, conforme estipulado pela secção 906
- Corporate Responsibility for Financial Reports. De igual modo, o GLB Act (1999),
regulador da actividade financeira nos EUA, atribui responsabilidades à gestão pela
protecção dos sistemas responsáveis pelo tratamento e transmissão de dados financeiros
(secção 103). A regulação da indústria financeira na UE, estabelecida pelo Basel II, atribui
à gestão bancária a responsabilidade pela definição de um modelo para avaliar os vários
riscos e pelo estabelecimento de um método para monitorizar a conformidade com as
políticas internas, além da adopção de um forte sistema de controlo interno e o
estabelecimento por escrito de políticas e procedimentos (BIS, 2006). Também a proposta
de Directiva Solvência II (relativa aos seguros de vida ao acesso à actividade de seguros e
resseguros e ao seu exercício) é muito clara na atribuição da responsabilidade dos gestores
pela solidez financeira das seguradoras, a qual será alcançada através de um bom governo
da sociedade. Este sistema de governo deve incluir o cumprimento dos requisitos de
competência e idoneidade, gestão de riscos, avaliação interna do risco e da solvência,
controlo interno, auditoria interna, entre outros. Na indústria da saúde dos EUA, o HIPAA
Act (1996) atribui à gestão a responsabilidade pelas medidas de segurança para proteger os
dados e pela condução das pessoas a quem compete aplicar e controlar essas medidas de
segurança (Assigned Security Responsibility - § 164.308(a)(2) do Health Insurance Reform:
Security Standards). A divulgação não autorizada de informação individual de saúde
incorre numa coima que pode ir até um máximo de 250 mil dólares e uma pena de prisão
de 10 anos (Tarantino, 2006).
Independentemente das características e especificidades das diversas normas e

regulamentos sobre segurança da informação, as medidas de segurança propostas pela
maioria dessas normas e regulamentos incide sobre as seguintes áreas (Smedinghoff,
2005a):
• controlos de segurança para as instalações físicas onde estão instalados os SI/TIC;

• controlos de acesso físicos às instalações de SI/TIC;
• controlos de acessos técnicos aos sistemas;
• procedimentos de detecção de intrusão;
• procedimentos acerca dos empregados;
• procedimentos sobre alteração de sistemas;
• integridade, confidencialidade e armazenamento de dados;
• destruição de dados, hardware e equipamento de armazenamento de dados;
• controlos de auditoria;
• planos de contingência e de resposta a incidentes.
8.3 CONFORMIDADE COM OS REQUISITOS LEGAIS
Os crescentes incidentes de segurança envolvendo fraudes financeiras (casos das empresas

norte-americanas Enron e o Worldcom) e o roubo de dados pessoais, assim como a
crescente ameaça do terrorismo internacional, levaram ao surgimento de novas
regulamentações sobre os diversos negócios (financeiros, saúde, seguros, etc.). As
organizações envolvidas são obrigadas a adaptar as suas operações de negócio a essas
regulamentações e a demonstrar periodicamente, através de auditorias, a sua conformidade
(Müller & Supatgiat, 2007). O objectivo primário destas regulamentações é assegurar que
os processos adequados estão implementados, que as pessoas estão conscientes das suas
responsabilidades e que os aspectos técnicos da segurança são geridos devidamente
(Fitzgerald, 2008).
De acordo com o inquérito da Ernst & Young (2007), a conformidade com as

regulamentações continua a ser a principal preocupação das organizações, ou seja, é o
factor que tem um impacto mais significativo nas práticas da segurança da informação.
Cerca de 80% dos inquiridos confirma que a conformidade com as obrigações
regulamentares contribui para uma melhoria da segurança da informação nas organizações
Tal como referido anteriormente, a segurança da informação não é um produto, mas um

processo, pelo que a conformidade com as obrigações de segurança requer uma abordagem
orientada a processos, exigindo às organizações (Smedinghoff, 2005b):
• realizar avaliações de riscos periódicas para identificar ameaças e vulnerabilidades

que afectam as operações do negócio;
• desenvolver e implementar um programa de segurança para eliminar ou reduzir os
riscos identificados;
• testar o programa de segurança para garantir a sua eficácia;
• alterar e adaptar o programa de segurança face a alterações do ambiente;
• realizar auditorias externas;
• garantir que a gestão é responsável pela definição, implementação e revisão do
programa de segurança.
A conformidade com a segurança da informação é, deste modo, alcançada com a

implementação de um programa de segurança, estabelecido por escrito, que inclua:
avaliação de activos; avaliação de risco; definição e implementação de medidas de
segurança; gestão de terceiros relativamente a questões de segurança da informação;
consciencialização e formação; monitorização e teste do programa de segurança; revisão e
ajustes ao programa de segurança (Smedinghoff, 2005a). Daqui se deduz que a
conformidade assegura que foram efectuadas diligências para alcançar as boas práticas de
segurança impostas pelas regulamentações governamentais (Fitzgerald, 2008).
Apesar de se conseguir uma adequada implementação deste tipo de programa de segurança,

é quase impossível atingir uma conformidade perfeita devido à natureza complexa dos
processos de negócio e à impossibilidade de erradicar o erro humano (Müller & Supatgiat,
2007). De acordo com estes autores, a conformidade é um processo contínuo que envolve a
inspecção permanente dos empregados, sistemas, processos e produtos. Para Freeman
(2007b, p. 358) “um programa corporativo de conformidade é um sistema desenhado para
detectar e impedir violações da lei pelos agentes, empregados, executivos e directores do
negócio”. Algumas das leis vigentes, tal como acontece com o SOX Act (2002), exigem a
atribuição de responsabilidades pela conformidade a um responsável da organização,
vulgarmente designado por director executivo da conformidade (Chief Compliance

Officer).
A conformidade obriga as organizações a incorrerem em determinados custos (explícitos e

implícitos) para garantir a conformidade com os regulamentos a que obrigatoriamente (se
estiverem enquadradas numa indústria regulada, como por exemplo, as indústrias
financeiras e de seguros), ou de forma facultativa, estão compelidas a assegurar. Todavia, a
não conformidade também acarreta custos, quer pelo facto da organização ser obrigada a
implementar um programa de conformidade, quer pela ineficiência das operações de
negócio como reflexo da inexistência ou ausência de controlos que permitam um
desempenho eficaz das actividades do negócio, como apresentado no Quadro 8.1.
Quadro 8.1: Custos da não conformidade (explícitos e implícitos) e da conformidade.
Custos da Conformidade Custos da não Conformidade
• Penalidades financeiras e legais,

incluindo coimas;
Custos da implementação das recomendações dos
• Regulamentações como o SOX
auditores.
• Penalidades criminais com
inclusão de prisão efectiva.
Desconfiança dos consumidores na
Custo de oportunidade das perdas de rendimento ou
organização com impacto nos hábitos
Custos Explícitos
quota de mercado devido aos encargos para estar

de compra, resultando em perdas
em conformidade (para as empresas que não estão
potenciais (rendimentos, valor das
em conformidade).
acções, etc.)
Custo de oportunidade das perdas de rendimento
devido á proibição de vender o produto (para as
empresas cujo produto não está em conformidade).
Coimas financeiras pela não conformidade
Responsabilidade pessoal e criminal para os
executivos, auditores e membros da administração Operações de negócio deficientes
para as transgressões relacionadas com a não causam aumento nos custos devido a
conformidade. sistemas automáticos deficientes,
sistemas ineficazes e uma falta de
Diminuição na procura de produtos, perda de controlos que resultam na possibilidade
reputação e diminuição do valor das acções devido de realização de actividades
Custos Implícitos
a publicidade negativa. inapropriadas ou ilegais.

Diminuição na procura de produtos devido à
diminuição da confiança dos clientes na qualidade
da segurança dos produtos.
Elevada volatilidade do valor das acções devido à
incerteza do futuro da organização.
Fonte: Adaptado de Müller & Supatgiat (2007) e Shaurette (2007).
De notar que, no longo prazo, os custos da conformidade tendem a ser menores que o custo
da não conformidade (Shaurette, 2007). Constata-se, portanto, que para assegurar a
conformidade com as regulamentações, as organizações incorrem num determinado nível
de investimento, o qual varia em função do número e tipo de medidas e acções que devem
ser implementadas.
Através de um modelo de optimização quantitativa, Müller e Supatgiat (2007) determinam

o portfólio óptimo das medidas a implementar para garantir a conformidade e o tipo e
frequência óptimos das inspecções internas a serem instituídas. Este modelo permite
também aos autores calcular o investimento óptimo para assegurar a conformidade, além
de concluir que a realização de pequenas inspecções internas antes da auditoria externa são
economicamente justificadas. Todavia, é um facto assente que a maioria das organizações
considera que a conformidade com as regulamentações governamentais é um processo
demasiado oneroso, o que pode conduzir a tomadas de decisão de não implementar os
controlos que asseguram a conformidade (Fitzgerald, 2008), apesar de conhecerem as
penalidades em que incorrem.
As normas são especificações essenciais de compatibilidade que moldam a configuração

dos sistemas (Backhouse, Hsu, & Silva, 2006) e não cobrem todos os elementos e
características em grande extensão (Höne & Eloff, 2002), i.e., estão mais preocupadas com
a existência de processos (que garantam a segurança dos sistemas e da informação) do que
com o conteúdo desses processos (Siponen, 2006). Quase todas as normas advogam a
existência de uma análise de risco, mas não especificam como esta análise pode ser
alcançada na prática.
Backhouse et al. (2006) afirmam que as normas contêm acções e processos que
influenciam as actividades organizacionais e as próprias organizações, pelo que se
revestem de instrumentos de poder. A partir desta asserção, os autores defendem que o
poder e a política são factores fundamentais na definição das normas e desenvolvem uma
investigação (estudo de caso sobre a criação da norma ISO 17799) para examinar a
interacção das contingências externas, agentes poderosos, recursos, afiliação em grupos
institucionais e de relevância social na criação de resultados políticos de sucesso. Esta
investigação conclui que as “decisões acerca do desenho e implementação das normas não
são normalmente alcançados na base de um processo lógico racional, mas são construídas
através de constantes realinhamentos de interesses entre os actores envolvidos”

(Backhouse et al., 2006, p. 414).
Um dos primeiros desafios a enfrentar na definição de um programa de conformidade

passa pela selecção do modelo a utilizar para a definição dos objectivos de controlo. COSO,
COBIT e as normas ISO (17799 e 27001), juntamente com modelos desenvolvidos
internamente ou uma combinação de todos estes modelos e normas resultam, regra geral,
no modelo final (Schlarman, 2007b). Além destes modelos e normas, estão também
disponíveis diversas orientações técnicas, tais como as publicadas pelo NIST, que estão
mais direccionadas para o detalhe técnico e que servem de complemento a modelos de
nível mais elevado, como, por exemplo, o COBIT (Schlarman, 2007a). Um dos factores
fundamentais na utilização dos diferentes modelos de referência, normas e directivas
técnicas é o conhecimento dos requisitos do negócio e das necessidades da organização,
tendo em consideração, como é óbvio, a regulamentação específica no caso da organização
estar incluída numa indústria regulada.
As organizações adoptam caminhos diferentes na adopção de um destes modelos, sendo a

abordagem mais comum a apresentada na Figura 8.1 (Schlarman, 2007a).
Figura 8.1: Evolução na adopção de modelos de segurança da informação.

Fonte: Schlarman (2007a, p. 150).
Esta abordagem parte da constatação de que os requisitos para os controlos de uma infra-
estrutura de TIC estão compreendidos em quatro grandes componentes: governo das TIC;
serviços de TIC; segurança da informação; operações de TIC. Movendo-se de modelo em
modelo (consoante a componente envolvida), a organização funde os diferentes modelos

num modelo específico próprio.
A avaliação do programa de conformidade deve ter sempre presente o paradigma Pessoas,

Processos e Tecnologia, dado que, segundo Schlarman (2007b), a eficácia dos controlos
deve ser medida pela avaliação destes três componentes: (1) em que medida as pessoas
envolvidas no processo compreendem os objectivos de controlo (controlos de pessoas); (2)
como é que o processo está desenhado para incorporar os controlos (controlos de
processos); (3) como é que a tecnologia está implementada para aplicar os controlos
técnicos.
Na adopção de um programa de conformidade é necessário ter em consideração que não

existe nenhuma norma ou modelo de referência de segurança que seja adequado para todas
as situações e aplicações, pelo que são necessários múltiplos pontos de vistas para
proporcionar uma segurança realista e que os vários modelos e normas apresentam pontos
de vista adicionais necessários à construção de uma arquitectura de segurança adequada à
realidade de cada organização (Slade, 2008).
A Figura 8.2 apresenta uma lista das principais regulamentações mais importantes a nível
internacional e as diversas normas e modelos de referência existentes para assegurar a
conformidade com essas regulamentações.
Figura 8.2: Regulamentações, normas e modelos de controlos.

Fonte: Fitzgerald (2008, p. 379).
O Apêndice E apresenta em detalhe cada uma das regulamentações, normas e modelos de

controlos listados na Figura 8.2. Por sua vez, o Apêndice F apresenta uma descrição
sumária das principais leis nacionais envolvendo a problemática da segurança da
informação.
9 A Segurança da Informação nas Pequenas e Médias Empresas
CAPÍTULO 9
A SEGURANÇA DA INFORMAÇÃO NAS PEQUENAS E

MÉDIAS EMPRESAS
9.1 INTRODUÇÃO
As ameaças e vulnerabilidades dos SI/TIC são idênticas para as grandes empresas e para as
PMEs. Enquanto as primeiras possuem recursos financeiros, materiais e humanos
vocacionados para combater as ameaças e reduzir as vulnerabilidades, já as PMEs são
caracterizadas por não disporem dos mesmos recursos que as grandes empresas e, desse
modo, estarem mais susceptíveis a incidentes de segurança com efeitos perniciosos sobre a
sua actividade.
Este capítulo aborda a segurança da informação nas PMEs, definindo o conceito de PMEs
e descrevendo a utilização dos SI/TIC e da segurança da informação nas PMEs.
9.2 CONCEITO DE PEQUENAS E MÉDIAS EMPRESAS
É comum encontrar na literatura a referência de que a definição de pequeno negócio, ou

mais propriamente o conceito de PME, é um tópico controverso (Burgess, 2002; Eyre &
Smallman, 1998; Ritchie & Brindley, 2005; Street & Meister, 2004).
Na realidade, cada país tem a sua própria definição de PME, o que levanta alguns
problemas na comparação de dados entre os diversos países para este tipo de empresas. Em
Portugal, são consideradas PMEs, de acordo com os Despachos Normativos n.º 52/87
(Ministério da Indústria e do Comércio, 1987), n.º 38/88 (Ministério da Indústria e Energia
e do Comércio e Turismo, 1988) e Aviso do Instituto de Apoio às Pequenas e Médias
Capítulo 9 – A Segurança da Informação nas Pequenas e Médias Empresas
Empresas e ao Investimento [IAPMEI] (Ministério da Indústria e Energia e do Comércio e

Turismo, 1993), as empresas que, cumulativamente, preencham os seguintes requisitos:
• empreguem até 500 trabalhadores (600, no caso de trabalho por turnos regulares);
• não ultrapassem 12 milhões de euros de vendas anuais;
• não possuam, nem sejam possuídas, em mais de 50% por outra empresa que
ultrapasse qualquer um dos limites definidos nos pontos anteriores.
Esta definição de PME não faz a distinção entre micro, pequenas e médias empresas.
Todavia, devido à necessidade de harmonizar os conceitos de PMEs no seio da UE,
nomeadamente para efeitos de atribuição de incentivos aos vários projectos comunitários, a
Comissão Europeia propôs, através da Recomendação da Comissão n.º 2003/361/CE (CCE,
2003), a definição de PMEs constante do Quadro 9.1.
Quadro 9.1: Classificação das PMEs.
N.º de
Categoria Volume de Negócios Balanço Total
Trabalhadores
Média Empresa < 250 < = 50 milhões de euros < = 43 milhões de euros
Pequena Empresa < 50 < = 10 milhões de euros < = 10 milhões de euros
Microempresa < 10 < = 2 milhões de euros < = 20 milhões de euros
Relativamente ao pessoal dedicado aos SI/TIC e/ou à segurança da informação por

categoria de PMEs, é normal, segundo a Agência Europeia para a Segurança das Redes e
da Informação [AESRI] (2006) a seguinte situação:
• as microempresas, de uma forma geral, não têm peritos de SI/TIC ou de segurança da

informação a nível interno;
• as pequenas empresas podem ter ou não um especialista de SI/TIC, mas é pouco
provável que tenham um perito em segurança da informação;
• as médias empresas têm, normalmente, um especialista em SI/TIC e poderão ter
alguém com conhecimentos de segurança da informação.
Para efeitos desta tese, utilizar-se-á a definição de PMEs proposta pela CE, baseando-se,
essencialmente, no número de trabalhadores para distinguir cada uma das três categorias de
PMEs: micro, pequenas e médias empresas.
9.3 UTILIZAÇÃO DOS SISTEMAS E TECNOLOGIAS DA

INFORMAÇÃO E COMUNICAÇÃO NAS PEQUENAS E
MÉDIAS EMPRESAS
A investigação sobre a utilização e o papel dos SI/TIC nas PMEs é extremamente diverso e
incidindo sobre muitas características diferentes das PMEs, como a dimensão da empresa
(Cragg, King, & Hussin, 2002; Dutta & Evrard, 1999), estratégia de negócio (Levy, Powell,
& Yetton, 2002; Nieto & Fernandéz, 2006), cultura e estrutura organizacional (Azumah,
Koh, & Maguire, 2005; Bouthillier, 2002), atitudes perante os SI/TIC (Southern & Tilley,
2000), localização (Beheshti, 2004; Temtime, Chinyoka, & Shunda, 2003), etc.
Também a análise dos factores determinantes da adopção dos SI/TIC pelas PMEs foi
objecto de significativa investigação, designadamente na análise dos elementos
propulsionadores da adopção dos SI/TIC (Barba-Sánchez, Martínez-Ruiz, & Jiménez-
Zarco, 2007; Giunta & Trivieri, 2007; Lee & Runge, 2001; Lucchetti & Sterlacchini, 2004),
utilização de cenários tecnológicos (Knol & Stroeken, 2001), implicações para a gestão
(Ritchie & Brindley, 2005) e factores críticos de sucesso (Caldeira & Ward, 2002).
A literatura realça algumas características sobre as PMEs e os SI/TIC, nomeadamente:
• as PMEs têm poucos recursos para investir em novos SI/TIC (Dutta & Evrard, 1999;
Lee & Runge, 2001);
• as PMEs têm falta de meios para proteger apropriadamente a sua infra-estrutura
tecnológica devido a restrições financeiras, recursos limitados e competências
adequadas (Weippl & Klemen, 2006);
• as PMEs não têm grandes e formais estruturas organizativas (Lee & Runge, 2001;
Street & Meister, 2004); mas sim estruturas altamente centralizadas, com os gestores
responsáveis pelas decisões críticas;
• os gestores são em número reduzido nas PMEs e têm fracas competências em SI/TIC,
o que limita a sua capacidade em delinear as estratégias em SI/TIC (Beheshti, 2004;
Caldeira & Ward, 2002; Mehrtens et al. apud Cragg et al., 2002). Os gestores das
PMEs têm pouco conhecimento das ameaças e riscos da segurança da informação e
das consequências para o negócio daí resultantes (Keller, Powell, Horstmann,
Predmore, & Crawford, 2005) e não consideram que a sua empresa seja um alvo de
piratas informáticos (atacantes externos) ou de ameaças internas (Weippl & Klemen,

2006);
• as PMEs têm uma abordagem reactiva ao investimento em SI/TIC,
fundamentalmente focada no custo (Levy et al., 2002). A adopção dos SI/TIC
depende do tipo de tecnologia e dos custos associados a cada um desses tipos e às
competências técnicas internas (Lucchetti & Sterlacchini, 2004);
• as PMEs têm poucos recursos dedicados aos SI/TIC (Cragg et al., 2002);
• as PMEs têm um poder limitado sobre clientes e fornecedores (Nieto & Fernandéz,
2006);
• os SI/TIC são utilizados em funções administrativas nas PMEs para reduzir custos e
aumentar a produtividade (Dutta & Evrard, 1999).
Segundo Dutta e Evrard (1999), se alguns anos atrás as PMEs poderiam estar atrasadas
relativamente às grandes empresas relativamente à utilização das novas tecnologias,
actualmente essa distinção já não faz sentido. A distinção nos dias de hoje efectua-se, de
acordo com Dutta e Evrard, entre as modernas PMEs que são ágeis na adopção de novas
tecnologias e as PMEs tradicionais que tendem a não abandonar as tecnologias tradicionais.
Esta agilidade em aproveitar e potenciar os SI/TIC está intimamente associada à qualidade
dos recursos humanos e à sua experiência tecnológica (Dutta & Evrard, 1999; Southern &
Tilley, 2000). O nível de utilização de novas tecnologias pelas PMEs também é
influenciado pela qualidade da gestão (gestores com mais conhecimento em matérias
técnicas) e a sua capacidade para obter e tratar com informação tecnológica (Burgess, 2002;
Dutta & Evrard, 1999; Lee & Runge, 2001). A experiência tecnológica dos empregados é
um dos factores discriminante da adopção do comércio electrónico pelas PMEs, conforme
apontado por Mirchandani e Motwani (2001).
Os fornecedores de tecnologia desempenham, de igual modo, um papel muito importante

na adopção de novas tecnologias pelas PMEs (Dutta & Evrard, 1999), dado que as PMEs
têm que confiar na experiência dos fornecedores e/ou consultores devido à falta de
conhecimentos internos de SI/TIC (Burgess, 2002).
9.4 UTILIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO NAS

PEQUENAS E MÉDIAS EMPRESAS
Tendo em consideração que a segurança da informação é um aspecto primordial na gestão

corrente de todas as empresas e ciente de que os princípios emanados dos OECD
Guidelines for the security of networks and information systems não são aplicáveis às
PMEs, a International Chamber of Commerce (ICC), em colaboração com o Business and
Industry Advisory Committee to the OECD, publicou, em 2004, um guia destinado às
pequenas empresas com recursos limitados na área das TIC, denominado Information
Security Issues and Resources for Small and Entrepreneurial Companies. Este guia,
elaborado com base nos princípios emanados dos OECD Guidelines, tem como objectivo
ajudar as PMEs a identificar e responder a problemas de segurança, mas não determina a
melhor solução de segurança para uma empresa, pois isso depende de vários factores,
como a dimensão e os recursos do negócio, a sensibilidade da informação que se pretende
proteger, os riscos inerentes ao próprio negócio (ligações com o exterior e correspondentes
ameaças potenciais) e ao tipo de software e hardware utilizados e as vulnerabilidades
associadas (ICC, 2004).
Este guia deve ser utilizado, segundo o ICC, por todas as PMEs em que:
• a informação da empresa ou pessoal esteja guardada em computadores;

• os empregados acedem a informação importante através de redes de comunicação;
• os empregados utilizam a Internet;
• os empregados utilizam o correio electrónico;
• a empresa tem um sítio na Internet.
Este guia desenvolve um conjunto de recomendações para que as PMEs façam da

segurança da informação parte integrante da sua forma de fazer negócio. A primeira parte
destas recomendações incidem sobre o que as PMEs devem conhecer acerca da segurança
da informação (baseado nos princípios dos OECD Guidelines) designadamente:
• conhecer a importância da informação para o negócio – avaliar os objectivos do

negócio, a informação necessária para atingir os objectivos e os activos utilizados
para criar, processar, armazenar e distribuir essa informação crítica;
• conhecer os activos relacionados com a segurança da informação – identificar e
elaborar um inventário de todos os activos de informação críticos do negócio;
• compreender como os activos são utilizados, por quem e por que motivos;
• compreender a gestão da segurança – melhorar a gestão da segurança para os activos
críticos;
• conhecer as obrigações gerais na utilização dos activos de informação – considerar
os requisitos legais a que o negócio está sujeito, nomeadamente as leis de protecção
de dados.
A segunda parte das recomendações abordam a política de segurança e o seu conteúdo, o

qual deve incluir:
• uma declaração da importância da informação para o negócio e que a mesma deve

ser protegida em termos de confidencialidade, integridade e disponibilidade;
• uma lista das principais normas para garantir a protecção da informação,
nomeadamente:
− segurança física;
− segurança das pessoas;
− controlos de acesso;
− tecnologias de segurança;
− planos de recuperação e resposta a incidentes de segurança;
− Auditorias de segurança.
• uma indicação dos procedimentos para implementar cada uma das normas;
• as medidas a adoptar para os empregados aplicarem os procedimentos e as
penalizações para aqueles que infrinjam as políticas de segurança, normas e
procedimentos.
A AESRI reconhecendo que “a sensibilização para os riscos e as formas de protecção

disponíveis constitui a primeira linha de defesa para a segurança dos sistemas e redes de
informação” (AESRI, 2006, p. 6) e que a sensibilização para as questões de segurança da
informação na UE é claramente insuficiente, publicou um Guia do Utilizador direccionado
para os utilizadores domésticos e as PMEs, com o objectivo de fornecer conselhos práticos
para a realização de acções de sensibilização relativas à segurança da informação.
Também a Internet Security Alliance (ISA) publicou um guia para as PMEs relativo às
ameaças informáticas para as empresas ligadas à Internet, recomendando as seguintes
acções (Woody & Clinton, 2004):
• utilizar palavras-chave fortes e a sua alteração regular;

• ter cuidado com os anexos do correio electrónico e ficheiros transferidos da Internet;
• instalar, manter e aplicar programas antivírus;
• instalar e utilizar firewalls;
• remover software não utilizado e contas dos utilizadores que saíram da empresa;
• estabelecer controlos de acessos físicos para todos os equipamentos informáticos;
• criar salvaguardas para os ficheiros e software importante;
• manter o software actualizado;
• implementar controlos de acessos à rede de comunicações;
• limitar o acesso a informação sensível e confidencial;
• estabelecer e seguir um plano financeiro da gestão do risco da segurança;
• obter ajuda técnica externa quando necessário.
Tendo como objectivo determinar os controlos de segurança mais importantes para as

pequenas empresas, Busta, Portz, Strong, e Lewis (2006), utilizando o método Delphi,
concluíram que os 11 controlos de segurança mais importantes, são, por ordem de
importância decrescente:
• segurança das redes de comunicação;

• protecção contra vírus;
• procedimentos de salvaguarda da informação;
• controlos de acesso;
• inclusão dos SI/TIC no planeamento da empresa a curto e médio/longo prazo;
• plano de recuperação e continuidade dos SI/TIC;
• procedimentos de autenticação e identificação;
• suporte da gestão;
• programa de avaliação do risco;
• programa de formação em segurança dos SI/TIC;
• controlos de tratamento de dados.
A análise desta lista de controlos de segurança permite concluir que embora os controlos
considerados mais importantes sejam essencialmente soluções tecnológicas, muitos destes
controlos estão associados a políticas, normas e procedimentos, i.e., a processos de gestão
da segurança da informação.
Um dos efeitos da evolução tecnológica foi a diminuição do preço dos SI/TIC, o que fez
com que muitas das tecnologias que apenas estavam ao dispor das grandes empresas
passassem a estar ao alcance das PMEs, importando para o interior destas empresas o
mesmo tipo de vulnerabilidades e ameaças sentidas pelas grandes empresas. Todavia, não é
necessário a utilização de SI/TIC para que existam ameaças à segurança da informação,
pois basta que a empresa tenha um computador e que o mesmo esteja ligado a uma rede
para que existam potenciais ameaças à integridade, confidencialidade e disponibilidade da
informação da empresa (Johnson & Koch, 2006). Na realidade, basta a empresa utilizar a
Internet para estar vulnerável, dado que a dimensão ou o tipo de negócio não são
sinónimos de protecção contra ataques aos SI/TIC (Woody & Clinton, 2004), apesar de
existirem muitas pequenas empresas que não têm políticas de segurança activas devido ao
falso sentimento de segurança que possuem pelo facto de serem pequenas (Ng & Fenf,
2006).
Para Fenton e Wolfe (2007), um dos maiores problemas de segurança da informação nas
PMEs é a ausência da função e de um programa de segurança da informação, pois tem que
existir uma pessoa (gestor, director ou responsável de segurança) que assuma a
responsabilidade por toda a área de segurança. Entregar esta função a um administrador de
sistemas é uma condição para que o processo de segurança da informação seja um
insucesso.
Para Xie e Mead (2004), a insuficiência de recursos humanos das PMEs e a inexistência de
uma estrutura de SI/TIC é responsável pela ausência de informação sobre as falhas de
segurança e as consequentes perdas financeiras. Esta situação, segundo os autores, tem um
efeito pernicioso, na medida em que leva as empresas a ignorar as vulnerabilidades de
segurança dos seus sistemas e sujeitarem-se a sofrer as consequências das falhas de
segurança e as respectivas perdas financeiras em face de ataques bem sucedidos. Esta
situação não obsta, contudo, que os gestores das PMEs não estejam cientes das ameaças,
mas, de acordo com Johnson e Koch (2006), menos de metade dos inquiridos no seu
estudo para análise do conhecimento, preocupação e acções dos proprietários de pequenos
negócios relativamente aos riscos de segurança informáticos da Internet, mostraram estar a
tomar medidas para proteger os seus SI/TIC. Também Clear e Lee-Kelley (2005, p. 319)
realçam o facto de “a consciência do risco e a apreciação do risco pela gestão e pessoal são
baixas”.
Para muitos gestores das PMEs a segurança dos SI/TIC é efectuada basicamente a partir de
uma firewall ou da actualização do software anti-vírus ou, como salientado por Upfold e
Sewry (2006), a maioria dos gestores das PMEs vêm a segurança da informação como uma
intervenção técnica com o objectivo de combater os vírus e proceder à salvaguarda da
informação. Políticas de segurança, controlos de acesso, formação do pessoal são assuntos
que apenas merecem atenção depois de um incidente de segurança (Clear & Lee-Kelley,
2005; Weippl & Klemen, 2006). Conclusões relativamente semelhantes foram retiradas da
investigação de Ng e Feng (2006) e de Ruighaver e Wong (2002), cujas investigações
foram baseadas no modelo de Straub e Welke (1998) referente às percepções da gestão
sobre os riscos da segurança. Ng e Feng (2006) analisaram as preocupações de segurança
dos gestores de empresas tecnológicas recém-criadas e concluíram que este tipo de
empresas não só se focaliza, essencialmente, em controlos técnicos e operacionais,
prestando pouca atenção aos controlos de gestão, como também possui poucos recursos e
competências em segurança da informação. Relativamente ao estudo de Ruighaver e Wong
(2002) sobre a percepção dos riscos de segurança nas actividades de comércio electrónico
nas PMEs, os autores concluem que o fraco nível de conhecimentos dos gestores em
matéria de segurança, associado a algumas soluções técnicas de segurança implementadas
ao nível dos SI/TIC, conduzem a uma falsa percepção de ausência de risco ou a um nível
baixo de risco.
Um dos aspectos mais importantes no âmbito das PMEs diz respeito ao poder de decisão.
De facto, como salientado atrás, as PMEs não têm estruturas organizativas formais, mas
estruturas altamente centralizadas, com os gestores responsáveis pelas decisões críticas
(Lee & Runge, 2001; Street & Meister, 2004), o que os coloca, em termos de segurança
dos SI/TIC, numa posição difícil, dado que, segundo Weippl e Klemen (2006), os
decisores têm que confiar no responsável de SI/TIC (se existir), desenhar ou avaliar
propostas para as políticas de segurança e tomar a responsabilidade dessas políticas,
balancear o poder entre os utilizadores finais e o responsável pelos SI/TIC e estabelecer e
reforçar relações de confiança entre eles, tal como esquematizado na Figura 9.1.
Figura 9.1: Caminho da comunicação sobre segurança dos SI/TIC nas PMEs.
Fonte: Weippl e Klemen (2006, p. 120).
Em contraste com as grandes empresas, as PMEs raramente estabelecem políticas de

segurança dos SI/TIC, assim como é praticamente inexistente a documentação dos sistemas
(Weippl & Klemen, 2006). Ryan (2001), no seu trabalho sobre as práticas da segurança da
informação nas PMEs dos EUA, conclui que são poucas as empresas com políticas de
segurança documentadas, o que confirma os resultados apresentados por Mitchell e Jones
(2002) de que apenas 38% das empresas inquiridas na sua investigação sobre o controlo
dos SI/TIC nas PMEs tinham políticas formais para controlar a utilização dos recursos de
SI/TIC.
O conhecimento das PMEs sobre leis, regulamentos e normas relativas à segurança da

informação varia consoante a localização geográfica das mesmas. Se, no caso do estudo
sobre a segurança da informação nas PMEs do Cabo Oriental, Upfold e Sewry (2006)
concluem que a maioria dos gestores nunca ouviram falar de normas de segurança, já a
investigação do Enterprise Research and Development Unit (ERDU) (2004), da
Universidade de Lincoln, sobre a protecção da informação nas PMEs britânicas, mais
precisamente sobre o Data Protection Act, revela que existe um elevado conhecimento
desta lei e da sua relevância para os negócios das PMEs inquiridas.
A investigação da literatura sobre segurança da informação nas PMEs não se mostrou

muito profícua, tanto no que diz respeito à quantidade e/ou qualidade de estudos sobre a
problemática global da segurança da informação nas PMEs, quer na quantidade de estudos
parcelares. Nesta área, os trabalhos mais significativos incidem sobre a segurança do
comércio electrónico (Williams, 2003), projectos de segurança da informação (Xie &
Mead, 2004), protecção de dados (ERDU, 2004), segurança de redes (Gercek & Saleem,
2005; Keller et al., 2005), riscos para a segurança de dados originados pelo teletrabalho
(Clear & Lee-Kelley, 2005) e riscos da segurança originados pela Internet (Johnson &
Koch, 2006).
Na área dos estudos gerais sobre a prática da segurança nas PMEs apenas foram
referenciados três trabalhos. Um estudo sobre a segurança da informação nas PMEs do
Cabo Oriental (Upfold e Sewry, 2006) tendo como base um inquérito devidamente
alinhado com a norma ISO/IEC 17799 e incidindo sobre uma amostra dos 134 controlos de
segurança incluídos nas 11 áreas de seguranças propostas na norma. Um outro trabalho de
investigação analisa a experiência e práticas da segurança da informação nas PMEs dos
EUA (Ryan, 2001), embora com uma vertente tecnológica muito acentuada. As conclusões
destes dois destes trabalhos apontam, em primeiro lugar, para uma prática desigual da
segurança da informação entre as PMEs analisadas e, em segundo lugar, para um nível
reduzido da utilização das tecnologias de segurança comuns, exceptuando o software
antivírus, palavras-chave e salvaguarda de dados.
O terceiro trabalho versa sobre as questões e decisões de segurança dos sistemas de

informações para pequenas empresas (Gupta & Hammond, 2005). As principais
conclusões desta investigação relevam o facto das PMEs disporem de procedimentos e
políticas de segurança implementados no terreno e de fazerem uso de tecnologias para
neutralizar as ameaças de segurança. Todavia, Gupta e Hammond (2005), concluem que as
empresas continuam a escolher tecnologias que podem ser pouco eficazes para o seu
ambiente organizacional e tecnológico, quer porque os gestores não têm competências
técnicas para seleccionar as tecnologias apropriadas ou porque não dispõem de tempo para
definirem as estratégias de segurança da informação mais adequadas às suas organizações.
Um inquérito às PMEs europeias conduzido pela Forrester Research em 2004 (Forrester

Research, 2004), permitiu concluir que:
• as PMEs europeias consideram que a segurança dos SI/TIC é importante, mas não
integram os processos de segurança no negócio;
• a sensibilização para as questões de segurança dos SI/TIC é fraca;
• a adopção das tecnologias e arquitecturas de segurança é limitada;
• os custos de segurança dos SI/TIC variam significativamente, independentemente da
tecnologia adoptada.
10 Modelo de Investigação e Definição de Hipóteses
CAPÍTULO 10
MODELO DE INVESTIGAÇÃO E DEFINIÇÃO DE

HIPÓTESES
10.1 INTRODUÇÃO
Tendo como suporte teórico a revisão da literatura apresentada nos capítulos anteriores e
como resposta à escassez de trabalhos empíricos nesta área, em geral, e em Portugal, em
particular (tanto quanto é do nosso conhecimento), foi desenvolvido um modelo conceptual
de investigação para determinar a eficácia da gestão da segurança da informação nas PMEs.
Este capítulo faz um enquadramento da conjectura teórica associada à investigação da

segurança da informação, define os objectivos e as questões da investigação e apresenta o
modelo conceptual de investigação e as correspondentes hipóteses de investigação.
10.2 CONJECTURA TEÓRICA
A problemática da segurança da informação e dos SI/TIC que criam, processam,

armazenam e distribuem essa informação, resulta, fundamentalmente, do desenvolvimento
das redes de comunicação e da abertura dos SI/TIC ao seu contexto externo (fornecedores,
clientes, parceiros de negócio e colaboradores no exterior) e ao peso cada vez maior do
processamento automático da informação nos processos de negócio das organizações.
As respostas às ameaças de que são alvo os SI/TIC são influenciadas não só pelos custos
associados às soluções tecnológicas e organizacionais, como também, pelas
regulamentações que as organizações são obrigadas a respeitar, designadamente as leis
sobre a privacidade e protecção de dados.
Capítulo 10 – Modelo de Investigação e Definição de Hipóteses
A segurança da informação é, acima de tudo, uma questão organizacional, técnica e social.

A gestão eficiente da segurança da informação requer o desenvolvimento de políticas de
seguranças adequadas, de uma cultura de risco e de segurança patrocinada pelos gestores e
transmitida aos restantes colaboradores através de acções de formação e de sensibilização.
Conhecer as ameaças e os riscos da segurança da informação deve ser uma preocupação
permanente dos gestores, independentemente do negócio e da dimensão da empresa.
10.3 OBJECTIVOS E PROBLEMAS DA INVESTIGAÇÃO
É reconhecida a preocupação com o facto de não existirem muitos trabalhos de

investigação na área da segurança da informação (Kotulic & Clark, 2004). Se o âmbito da
análise for a segurança da informação nas PMEs, esse problema torna-se ainda mais
preocupante, dado que os trabalhos são escassos e o seu nível de abrangência é limitado,
incidindo, fundamentalmente, em temas bastante específicos e delimitados no tipo de
abordagens que realizam (Clear & Lee-Kelley, 2005; Gercek & Saleem, 2005; Johnson &
Koch, 2006; Keller et al., 2005; Ng & Feng, 2006; Ruighaver & Wong, 2002; Williams,
2003; Xie & Mead, 2004).
Porque as PMEs representam um segmento muito significativo do tecido económico, tanto

ao nível do emprego, como no volume de negócios, não pode ser desenvolvido qualquer
tipo de conhecimento das práticas de gestão, problemas ou tendências da segurança da
informação, sem tomar em consideração este tipo de empresas.
Tanto quanto é do nosso conhecimento, não existem estudos que analisem o estado e a
eficácia das práticas de gestão da segurança da informação nas PMEs numa perspectiva
dimensional, englobando, simultaneamente, as questões organizacionais, humanas e
tecnológicas. Os estudos sobre a percepção dos gestores das PMEs sobre os riscos da
segurança da informação são escassos e os seus resultados, determinados a partir de um
universo bastante restrito, carecem de uma confirmação mais aprofundada.
A maior parte dos estudos por nós consultados sobre a segurança da informação nas PMEs
debruçam-se apenas uma parte dos componentes da gestão da segurança, não existindo
uma visão integrada da segurança da informação nas PMEs.
O propósito desta investigação é determinar a eficácia das práticas de gestão da segurança

da informação nas PMEs e de como é formada a percepção dos riscos da segurança da
informação pelos gestores das PMEs.
Considerando a carência de investigação empírica e a importância da segurança da

informação para as organizações, em geral, e para as PMEs, em particular, esta
investigação pretende responder às seguintes questões fundamentais:
1. quais são as práticas de gestão da segurança da informação nas PMEs?

2. qual é a eficácia das práticas de gestão da segurança da informação nas PMEs?
3. qual a percepção de risco da segurança da informação pelos gestores das PMEs?
4. como é que a percepção dos riscos dos gestores das PMEs influencia as práticas de
gestão da segurança da informação nas PMEs?
5. a eficácia das práticas de gestão da segurança da informação nas PMEs que
sofreram incidentes de segurança, ou que têm uma utilização mais intensiva da
informação nos seus processos de negócio ou, ainda, as que recorrem mais
assiduamente às tecnologias de informação e comunicação, é diferente das PMEs
que não sofreram incidentes de segurança, não têm uma utilização intensiva da
informação e não recorrem assiduamente às tecnologias de informação e
comunicação?
10.4 MODELO E HIPÓTESES DE INVESTIGAÇÃO
O modelo de investigação conceptual proposto para responder às questões apresentadas

atrás, é um modelo composto por dois grupos de elementos: um grupo formado pelo
modelo “percepção dos riscos da segurança da informação pelos gestores” adaptado de
Straub e Welke (1998), conforme representado na Figura 10.1, e um segundo grupo
constituído pelas dimensões da segurança da informação definidas no capítulo 1
(framework para o estudo da segurança da informação nas organizações), como
apresentado na Figura 10.2. Cada uma destas dimensões corresponde a um constructo, cuja
determinação é baseada na revisão da literatura relativa a cada uma das dimensões.
Figura 10.1: Modelo “percepção dos riscos da segurança da informação pelos gestores”.
Fonte: Adaptado de Straub e Welke (1998, p. 444).
Figura 10.2: Dimensões da segurança da informação.
O modelo “percepção dos riscos da segurança da informação pelos gestores” de Straub e

Welke (1998) pressupõe que as preocupações dos gestores acerca da segurança na sua
organização dependem do risco inerente à industria em que a organização está inserida, às
acções tomadas pela gestão para manter a segurança e aos factores individuais dos gestores,
como os seus conhecimentos e competências em matéria de SI/TIC e de segurança.
De salientar que este modelo não foi completamente validado pelos autores, os quais
recomendam o desenvolvimento de estudos adicionais para confirmar ou refutar este
modelo. O modelo de Straub e Welke (1998) para compreender a percepção dos riscos dos
sistemas pelos gestores foi derivado do modelo proposto por Goodhue e Straub (1991)
sobre as preocupações de segurança dos utilizadores dos sistemas, as quais eram também
função do ambiente da indústria (ambiente organizacional), do ambientes dos SI/TIC e das

características individuais dos utilizadores dos sistemas. Este modelo não foi confirmado
empiricamente, pois os testes empíricos das hipóteses do modelo encontraram um suporte
fraco e parcial.
Existe uma tendência para que as políticas de segurança apenas sejam implementadas após
um incidente de segurança (Clear & Lee-Kelley, 2005; Weippl & Klemen, 2006). Por
outro lado, os riscos de segurança da informação crescem à medida que é necessário mais
informação para alimentar o processo de tomada de decisão (Fourie, 2003), i.e., quanto
mais intensiva é a utilização da informação, maior é a necessidade de implementar
controlos para garantir a segurança dessa informação em termos de disponibilidade,
integridade e confidencialidade.
Um dos objectivos desta investigação é saber até que ponto existe uma diferença na
eficácia das práticas de gestão da segurança da informação entre as PMEs que sofreram
incidentes de segurança, ou que têm uma utilização mais intensiva da informação nos seus
processos de negócio ou, ainda, as que recorrem mais assiduamente às tecnologias de
informação e comunicação, e as PMEs que não sofreram incidentes de segurança, não têm
uma utilização intensiva da informação e não recorrem assiduamente às tecnologias de
informação e comunicação.
Assim, o modelo final, conforme Figura 10.3, é um modelo composto pelas seis dimensões
de segurança, moderado pela “percepção dos riscos da segurança da informação pelos
gestores” sobre cada uma dessas dimensões, as quais, por sua vez, determinam o nível de
eficácia das práticas da gestão da segurança da informação nas PMEs, enquadradas pelas
variáveis de controlo.
Informação
H3A
(+)
H2A
(+) Variáveis de Controlo
Gestão do Risco
H3B
(+)
H2A
(+)
H3C
(+) Índice de Utilização da
H2B Eficácia das Práticas de Informação
(+) Gestão da Segurança
Tecnologia
H3D H2C Índice Tecnológico
(+) (+)
H2D
(+)
Pessoas
H3E
(+) H2E
(+)
Normas H3F
(+)
H3G
H1C
(+) H1B H1A
(-) (+)
Características Individuais
Ambiente de SI/TI Ambiente Organizacional
dos Gestores
Figura 10.3: Modelo de investigação da eficácia das práticas de gestão da segurança da informação nas
PMEs.
A este modelo de investigação estão associados três grupos de hipóteses de investigação:
a) o primeiro grupo de hipóteses [H1] está relacionado com a determinação da

percepção dos riscos de segurança da informação pelos gestores;
b) o segundo grupo de hipóteses [H2] pretende determinar o efeito moderador da
“percepção dos riscos de segurança da informação pelos gestores” sobre as
dimensões da segurança: “governo da segurança da informação”, “gestão do risco”;
“investimento em segurança”; “tecnologia”; “pessoas”; “leis, normas e
regulamentos”;
c) o terceiro grupo de hipóteses [H3] pretende avaliar a eficácia das práticas da gestão
da segurança da informação nas PMEs, tendo em consideração o efeito directo de
cada uma das suas dimensões e da “percepção dos riscos de segurança da
informação pelos gestores”.
a) Grupo de Hipóteses H1
• Ambiente organizacional
Kotulic e Clark (2004) referem que existe uma relação directa entre o nível de
risco do negócio e as preocupações sobre os riscos da segurança. De facto, cada
vez mais está a aumentar o número de intervenientes com uma variedade de
sofisticações e motivações, o que aumenta a incerteza do ambiente externo à
organização (Chang & Ho, 2006). Por outro lado, quanto mais elevado o ambiente
competitivo da organização, mais informação é necessária para alimentar o
processo de tomada de decisão e, consequentemente, maiores são os riscos de
segurança (Fourie, 2003). Neste sentido, a hipótese H1A é formulada da seguinte
forma:
Um negócio de risco elevado influencia positivamente a percepção

H1A:
dos riscos de segurança da informação pelos gestores das PMEs.
• Ambiente de SI/TIC
Os gestores das PMEs não vêm as suas empresas como um alvo de ataques
externos ou internos (Weippl & Klemen, 2006) ou subestimam a espionagem
industrial, dado que o conhecimento é um dos activos mais importantes das PMEs
(Weippl & Klemen, 2006). Segundo Upfold e Sewry (2006), a maioria dos
gestores das PMEs vêm a segurança da informação como uma intervenção técnica
com o objectivo de combater os vírus e proceder à salvaguarda da informação,
focalizando-se, na óptica de Ng e Feng (2006), essencialmente em controlos
técnicos e operacionais. Daí que a hipótese H1B seja assim formulada:
A existência de alguns controlos de segurança técnicos e operacionais

H1B: influencia negativamente a percepção dos riscos de segurança da
informação pelos gestores das PMEs.
• Características individuais dos gestores
Os gestores das PMEs têm fracas competências em SI/TIC (Beheshti, 2004;

Caldeira & Ward, 2002), pelo que se propõe a seguinte hipótese H1C:
As elevadas competências dos gestores em SI/TIC influenciam

H1C: positivamente a percepção dos riscos de segurança da informação
pelos gestores das PMEs.
b) Grupo de Hipóteses H2
• Percepção dos gestores / Governo da segurança da informação
As percepções dos gestores acerca dos riscos potenciais de segurança influenciam

o que eles desejam da sua gestão da segurança da informação (Kotulic & Clark,
2004). Políticas de segurança, controlos de acesso, formação do pessoal são
assuntos que apenas merecem atenção depois de um incidente de segurança
(Weippl & Klemen, 2006; Clear & Lee-Kelley, 2005). A hipótese H2A proposta é:
Um nível elevado de percepção dos riscos de segurança da

H2A: informação pelos gestores das PMEs tem um efeito positivo na
implementação de um governo da segurança da informação.
• Percepção dos gestores / Gestão do risco
Os gestores das PMEs têm pouco conhecimento das ameaças e riscos da

segurança da informação e das consequências para o negócio daí resultantes
(Keller et al., 2005) e não consideram que a sua empresa seja um alvo de piratas
informáticos ou de ameaças internas (Weippl & Klemen, 2006), pelo que a
hipótese H2B assume a seguinte forma:

informação pelos gestores das PMEs tem um efeito positivo na
H2B:
implementação de processos de gestão de risco da segurança da
informação.
• Percepção dos gestores / Investimento em segurança
As PMEs têm falta de meios para proteger apropriadamente a sua infra-estrutura

tecnológica devido a restrições financeiras, recursos limitados e competências
adequadas (Weippl & Klemen, 2006) e têm uma abordagem reactiva ao
investimento em SI/TIC e à sua protecção (Levy et al., 2002). Em consequência,
Peltier (2004b) defende que após a identificação dos controlos a implementar e da
avaliação em termos da sua exequibilidade e eficácia, deve ser efectuada uma

análise custo-benefício que terá como objectivo determinar o impacto de
implementar ou não implementar o controlo. Nesta perspectiva, deriva-se a
hipótese H2C:

H2C: informação pelos gestores das PMEs tem um efeito positivo no
investimento em segurança da informação
• Percepção dos gestores / Tecnologia
Os gestores das PMEs estão a tomar medidas para proteger os seus SI/TIC
(Johnson & Koch, 2006). Assim, a hipótese H2D assume a seguinte forma:

H2D: informação pelos gestores das PMEs tem um efeito positivo na
utilização das tecnologias de segurança da informação.
• Percepção dos gestores / Pessoas
A sensibilização para as questões de segurança da informação na UE é claramente

insuficiente, particularmente nos utilizadores domésticos e PMEs (AESRI, 2006),
dado que a consciência do risco e a apreciação do risco pelos gestores e restante
pessoal das PMEs são baixas (Clear & Lee-Kelley, 2005). Esta situação leva à
formulação da hipótese H2E:

informação pelos gestores das PMEs tem um efeito positivo na
H2E:
implementação de acções de formação e sensibilização em segurança
da informação.
• Percepção dos gestores / Leis, regulamentos e normas
A segurança da informação é uma obrigação legal, na medida em que as leis e

regulamentos obrigam as organizações a definir e manter um sistema de controlo
interno e controlos e medidas de segurança (Smedinghoff, 2005a). O
conhecimento das PMEs sobre leis, regulamentos e normas relativas à segurança
da informação varia consoante a localização geográfica das mesmas. Upfold e
Sewry (2006) concluem que a maioria dos gestores das PMEs do Cabo Oriental
(África do Sul) nunca ouviram falar de normas de segurança. O ERDU (2004),
por seu lado, revela que existe um elevado conhecimento da lei sobre protecção de
dados nas PMEs britânicas. A hipótese H2F é assim formulada:

H2F: informação pelos gestores das PMEs tem um efeito positivo na
aplicação e utilização de leis, normas e regulamentos.
c) Grupo de Hipóteses H3
• Governo da segurança da informação
As PMEs raramente estabelecem políticas de segurança dos SI/TIC (Weippl &

Klemen, 2006) e são poucas as PMEs com políticas de segurança documentadas
(Ryan, 2001). Além disso, um dos maiores problemas de segurança da informação
nas PMEs é a ausência da função de segurança da informação (Fenton & Wolfe,
2007). As PMEs europeias consideram que a segurança dos SI/TIC é importante,
mas não integram os processos de segurança no negócio (Forrester Research,
2004). Do exposto, resulta a hipótese H3A:
A implementação de uma estrutura de governo da segurança da

H3A: informação está relacionada positivamente com a eficácia da gestão
da segurança da informação nas PMEs.
• Gestão do risco
A dimensão ou o tipo de negócio não são sinónimos de protecção contra ataques

aos SI/TIC (Woody & Clinton, 2004), apesar de existirem muitas pequenas
empresas que não têm políticas de segurança activas devido ao falso sentimento
de segurança que possuem pelo facto de serem pequenas (Ng & Fenf, 2006). A
hipótese H3B fica assim formulada:
A implementação de processos de gestão de risco da segurança da

H3B: informação está relacionada positivamente com a eficácia da gestão
da segurança da informação nas PMEs.
• Investimento em segurança
Os custos de segurança dos SI/TIC nas PMEs variam significativamente

(Forrester Research, 2004). O investimento em segurança deve estar em
consonância com o valor dos activos de informação (Poore, 2000) e tem que estar
alinhado com o nível desejado de segurança (Schechter & Smith, 2003). A
hipótese H3C proposta é:
A implementação de processos de análise de investimento em

H3C: segurança da informação está relacionada positivamente com a
eficácia da gestão da segurança da informação nas PMEs.
• Tecnologia
Os controlos de segurança mais importantes utilizados pelas PMEs são soluções

tecnológicas (Busta et al., 2006), mas a adopção das tecnologias e arquitecturas de
segurança pelas PMEs é limitada (Forrester Research, 2004). Assim a hipótese
H3D proposta é:
A utilização das tecnologias da segurança da informação está

H3D: relacionada positivamente com a eficácia da gestão da segurança da
informação nas PMEs.
• Pessoas
Nas PMEs, a sensibilização para as questões de segurança dos SI/TIC é fraca

(Forrester Research, 2004). Daqui resulta a hipótese H3E:
A implementação de acções de formação e sensibilização em

H3E: segurança da informação está relacionada positivamente com a
eficácia da gestão da segurança da informação nas PMEs.
• Leis, regulamentos e normas
As regulamentações de segurança indicam os factores que são relevantes na

determinação das medidas de segurança que devem ser implementadas
(Smedinghoff, 2005a), pelo que estar em conformidade com os regulamentos é,
portanto, uma actividade importante na organização (Caralli & Wilson, 2004). A
conformidade com as leis e regulamentos é um factor que contribui para uma

melhoria da segurança da informação nas organizações (Ernst & Young, 2007).
Assim, a hipótese H3F proposta é:
A conformidade com as leis e normas de segurança da informação

H3F: está relacionada positivamente com a eficácia da gestão da
• Percepção dos gestores
Nas PMEs, a sensibilização para as questões de segurança dos SI/TIC é fraca

(Forrester Research, 2004). A formulação da hipótese H3G é:
A percepção dos riscos de segurança da informação pelos gestores

H3G: está relacionada positivamente com a eficácia da gestão da
Para responder aos objectivos definidos para o presente trabalho de investigação foi
construído um modelo conceptual, ao qual estão associadas 16 hipóteses de investigação.
Estas hipóteses irão ser testadas empiricamente de acordo com a metodologia proposta a
seguir.
PARTE EMPÍRICA
PARTE EMPÍRICA
11 Caracterização da População Alvo
CAPÍTULO 11
CARACTERIZAÇÃO DA POPULAÇÃO ALVO
11.1 INTRODUÇÃO
Este capítulo faz uma caracterização das PMEs portuguesas, relevando a sua importância
na economia nacional e abordando a forma como utilizam os SI/TIC. Apresentam-se
também os pressupostos para a definição da população alvo da investigação e calcula-se a
dimensão da amostra para testar o modelo de investigação.
11.2 CARACTERIZAÇÃO DAS PEQUENAS E MÉDIAS EMPRESAS

PORTUGUESAS
As PMEs assumem um papel preponderante na economia europeia e nacional, dada a sua

importância a nível de emprego e volume de negócios. A utilização dos SI/TIC pelas
PMEs contribuem para a dinamização do seu nível de competitividade e de inovação. De
seguida apresentam-se os principais indicadores económicos das PMEs na economia
nacional e analisa-se empiricamente a utilização dos SI/TIC pelas PMEs portuguesas.
11.2.1 A IMPORTÂNCIA DAS PEQUENAS E MÉDIAS EMPRESAS PORTUGUESAS

NA ECONOMIA NACIONAL
As PMEs são reconhecidas como intervenientes importantes nas economias nacionais,

criando emprego e contribuindo de forma significativa para o progresso tecnológico e
económico (Nieto & Fernandéz, 2006). O Parlamento Europeu também reconhece a
importância do papel das PMEs ao afirmar que “as PMEs estão entre os elementos chave
Capítulo 11 – Caracterização da População Alvo
para assegurar o sucesso dos objectivos do mercado único europeu, relativamente ao

crescimento, emprego, qualidade e diversificação e flexibilidade nos negócios” (Eyre &
Smallman, 1998, p. 34). Esta flexibilidade permite às PMEs ajustar-se rapidamente às
alterações do mercado e construir significativas capacidades de inovação (Nieto &
Fernandéz, 2006).
Nos 25 Estados-Membros da UE existem cerca de 23 milhões de PMEs que representam

99% do total de empresas da UE e empregam perto de 75 milhões de pessoas
(Comunidades Europeias, 2006).
Os últimos dados estatísticos publicados pelo Instituto Nacional de Estatística [INE]

relativos às empresas em Portugal são referentes ao ano de 2007 (INE, 2009b) e estão
agrupados pelo código de classificação das actividades económicas (CAE) portuguesas,
revisão 2.1 (CAE Rev.2.1) (INE, 2003). No universo considerado não estão incluídas as
empresas das secções L - Administração pública, defesa e segurança social obrigatória, P -
Actividades das famílias com empregados domésticos e actividades de produção das
famílias para uso próprio e Q - Organismos internacionais e outras instituições extra-
territoriais. As empresas analisadas neste estudo compreendem as sociedades e as empresas
individuais (empresários em nome individual e trabalhadores independentes).
As principais conclusões a retirar deste estudo sobre as PMEs portuguesas, em termos de

número de empresas, número de empregados e volume de negócios, são as seguintes (ver
Apêndice I – As PMEs na economia nacional):
• em Portugal existem cerca de um milhão e cento e vinte cinco mil PMEs

representando 99,9% do total de empresas. As PMEs representam mais de 99% das
empresas em cada uma das secções da CAE Rev.2.1, à excepção da produção e
distribuição de electricidade, gás e água em que representa cerca de 98% das
empresas desta actividade económica;
• as microempresas são cerca de 96% das PMEs, enquanto as pequenas empresas são 4%
e as médias empresas são 0,6%. As actividades económicas com maior número de
PMEs são o comércio por grosso e a retalho; reparação de veículos automóveis,
motociclos e de bens de uso pessoal e doméstico (26,6%), as actividades imobiliárias,
alugueres e serviços prestados às empresas (20,4%) e a construção (10,9%);
• as PMEs empregam cerca de 76% das pessoas ao serviço das empresas, num total de
cerca de 3,9 milhões de pessoas. As PMEs representam mais de 90% do total das
pessoas ao serviço nas actividades económicas da pesca (100%), das indústrias
extractivas (100%), na produção e distribuição de electricidade, gás e água (100%),
na construção (91,1%), na educação (100%) e nas outras actividades de serviços
colectivos, sociais e pessoais (91,6%);
• as microempresas empregam cerca de 55% do total das pessoas ao serviço nas PMEs,
enquanto as pequenas empresas empregam cerca de 27% e as médias empresas 19%.
As actividades económicas que têm mais pessoas ao serviço são o comércio por
grosso e a retalho; reparação de veículos automóveis, motociclos e de bens de uso
pessoal e doméstico (25,3%), as indústrias transformadoras (22,4%), a construção
(15,5%) e as actividades imobiliárias, alugueres e serviços prestados às empresas
(14,9%);
• as PMEs têm um volume de negócios de cerca de 254 mil milhões de euros, o que
representa cerca de 72% do volume de negócios total das empresas portuguesas. As
PMEs representam a quase totalidade do volume de negócios nas actividades
económicas da pesca, das indústrias extractivas, da produção e distribuição de
electricidade, gás e água e da educação. De salientar que o estudo do INE não
apresenta o volume de negócios das actividades financeiras;
• o volume de negócios das PMEs está repartido sensivelmente de forma semelhante
pelas microempresas (36,3%), pequenas empresas (33,6%) e pelas médias empresas
(30,1%). As actividades económicas com um maior volume de negócios são o
comércio por grosso e a retalho; reparação de veículos automóveis, motociclos e de
bens de uso pessoal e doméstico (42,4%), as indústrias transformadoras (18,9%), a
construção e as actividades imobiliárias, alugueres e serviços prestados às empresas
(10,3%).
11.2.2 A PRESENÇA DOS SISTEMAS E TECNOLOGIAS DA INFORMAÇÃO E

COMUNICAÇÃO NAS PEQUENAS E MÉDIAS EMPRESAS PORTUGUESAS
A utilização dos SI/TIC está fortemente implantada nas PMEs portuguesas, tal como se
pode constatar nas tabelas apresentadas a seguir, construídas com base nos quadros
estatísticos do documento “A Sociedade da Informação em Portugal 2008” (INE, 2009a).

A informação estatística relativa às empresas constante deste documento tem por base o
“Inquérito à Utilização de Tecnologias da Informação e da Comunicação nas Empresas”
(IUTICE), realizado pelo INE em colaboração com a Agência para a Sociedade do
Conhecimento, IP (UMIC), tendo como referência a classificação utilizada pela UE em
termos de número de empregados: microempresas (com menos de 10 empregados),
pequenas empresas (com mais de 10 e menos de 50 empregados) e as médias empresas
(com mais de 50 e menos de 250 empregados).
Entre os principais resultados a extrair da utilização das tecnologias da informação e da

comunicação nas empresas em 2008 (com excepção das empresas financeiras – secção J
CAE Rev.2.1), destacam-se:
• a utilização de computadores está fortemente implantada nas PMEs portuguesas, com

maior predominância nas médias e pequenas empresas do que nas microempresas
(100%, 95% e 64%, respectivamente), enquanto a percentagem de pessoas que
utiliza computador é maior nas microempresas (42%) contra os 36% e 35% nas
pequenas e médias empresas, como consta na Tabela 11.1;
Tabela 11.1: Percentagem de empresas e de pessoas que utilizam computador em 2008.
Tipo de Empresa Empresas Pessoas

Microempresas 64 42
Pequenas Empresas 95 36
Médias Empresas 100 35
Fonte: INE (2009a).
• embora os dados disponibilizados pelo INE não diferenciem as pequenas e médias

empresas, a Tabela 11.2 indica que as tecnologias mais utilizadas por todas as
empresas são o correio electrónico, a Intranet e as redes locais, com e sem fios. É
evidente a diferença entre a percentagem de microempresas que utilizam estas
tecnologias (52%, 7% e 21%, respectivamente) e as empresas com mais de 10
efectivos ao serviço (90%, 22% e 58%, respectivamente);
Tabela 11.2: Tecnologias utilizadas nas empresas em 2008 (em percentagem).
Empresas com mais Micro

Tipo de Tecnologia
de 10 trabalhadores empresas
Correio electrónico 90 52
Intranet 22 07
LAN (local area network) - Total 58 21
- LAN com fios n.d. n.d.
- Wireless LAN (redes locais sem fios) 24 10
Extranet 18 07
Fonte: INE (2009a).
Legenda: n.d. – dado não disponível
• a Tabela 11.3 evidencia que enquanto pouco mais de metade (55%) das
microempresas têm ligação à Internet, essa percentagem cresce praticamente para os
100% nas médias empresas e situa-se nos 91% nas pequenas empresas. A ligação à
Internet efectua-se maioritariamente através de banda larga nas pequenas e médias
empresas, enquanto nas microempresas este tipo de ligação é prática de apenas 44%
deste tipo de empresas;
Tabela 11.3: Percentagem de empresas com ligação à Internet em 2008
Micro Pequenas Médias

Ligação Internet
empresas empresas empresas
Ligação à Internet 55 91 99
Ligação à Internet através de
44 79 90
banda larga
Fonte: INE (2009a).
• a presença das empresas na Internet (possuir sítio próprio) é função da dimensão da

empresa, realçando-se o facto de cerca de 68% das médias empresas terem um sítio
próprio na Internet;
• apenas 22% das empresas com dez ou mais pessoas ao serviço têm pessoal
exclusivamente dedicado às tecnologias da informação e comunicação.
Os principais resultados de 2008 apresentados pelo INE (2009b) para as empresas

financeiras, com mais de dez empregados, são:
• a quase totalidade das empresas (99%) utiliza computador, assim como a quase
totalidade das pessoas ao serviço (98%) também utiliza computador;
• praticamente todas as empresas (99%) tem ligação à Internet, das quais 97% por
banda larga;
• as empresas com presença na Internet são cerca de 90%.
A partir de 2008, o INE abandonou a recolha de informação sobre a segurança da

informação praticada pelas empresas portuguesas, de modo que o IUTICE de 2009 já não
inclui nenhuma secção própria para a recolha deste tipo de informação. A informação
recolhida desde 2003 sobre segurança incluía as seguintes áreas:
• aplicações de segurança utilizadas nas empresas (dados não recolhidos a partir de

2008);
• empresas que actualizaram algumas aplicações de segurança (software antivírus) nos
últimos três meses (dados não recolhidos a partir de 2006);
• empresas que encontraram problemas de segurança (dados não recolhidos a partir de
2007).
Embora não especifique o tipo de problema de segurança enfrentado, é interessante

verificar que o número de empresas que reportaram problemas de segurança entre 2003 e
2006 é relativamente baixo e com uma tendência decrescente nos anos analisados, tal como
se pode constatar na Tabela 11.4.
Tabela 11.4: Empresas (em %) que encontraram problemas de segurança.
Tipo de empresa 2003 2004 2005 2006

Microempresas 8 9 5 7
Empresas com 10 ou mais trabalhadores 22 27 12 11
Fonte: INE (2009a).
11.3 DEFINIÇÃO DA POPULAÇÃO ALVO DA INVESTIGAÇÃO
O universo ou população alvo das PMEs objecto de investigação foi definido tendo por
base alguns dos pressupostos utilizados na metodologia adoptada pelo INE no IUTICE de
2009 (INE, 2009c) e tendo por base a classificação portuguesa das actividades económicas
CAE Rev.3 (INE, 2007).
Os critérios utilizados para a definição do universo ou população alvo são os seguintes:
1. Classificação portuguesa das actividades económicas CAE Rev.3

• Secção B - Indústrias extractivas;
• Secção C – Indústrias transformadoras;
• Secção D – Electricidade, gás, vapor, água quente e fria e ar frio;
• Secção E – Captação tratamento e distribuição de água; saneamento, gestão de
resíduos e despoluição;
• Secção F – Construção;
• Secção G – Comércio por grosso e a retalho; reparação de veículos automóveis e
motociclos;
• Secção H – Transportes e armazenagem;
• Secção I – Alojamento, restauração e similares (apenas a Divisão 55 –
Alojamento);
• Secção J – Actividades de informação e de comunicação;
• Secção K – Actividades Financeiras e de seguros;
• Secção L – Actividades imobiliárias;
• Secção M – Actividades de consultoria, científicas, técnicas e similares;
• Secção N – Actividades administrativas e dos serviços de apoio.
2. Forma Jurídica
Apenas são consideradas as sociedades, excluindo-se empresas individuais

(empresários em nome individual e trabalhadores independentes).
3. Número de Trabalhadores
Apenas são consideradas as empresas com mais de 10 e menos de 250

trabalhadores.
O número de sociedades, por número de trabalhadores, constante do Ficheiro de Unidades

Estatísticas (FUE) do INE é, segundo os critérios acima definidos, de 42.788, como
discriminado na Tabela 11.5 (C. Guerreiro, comunicação pessoal, 14 de Junho, 2009).
Tabela 11.5: Nº de sociedades por escalão de n.º de trabalhadores.
Escalão
Secções da CAE - Rev.3 Total
10 a 49 50 a 249
B - Indústrias extractivas 278 44 322
C – Indústrias transformadoras 11 892 2 332 14 224
D – Electricidade, gás, vapor, água quente e fria e ar frio 39 9 48
E – Captação tratamento e distribuição de água; saneamento,
163 76 239
gestão de resíduos e despoluição
F – Construção 8 437 829 9 266
G – Comércio por grosso e a retalho; reparação de veículos
9 653 971 10 624
automóveis e motociclos
H – Transportes e armazenagem 1 614 267 1 881
I – Alojamento, restauração e similares (apenas a Divisão 55 –
754 195 949
Alojamento);
J – Actividades de informação e de comunicação 675 145 820
K – Actividades Financeiras e de seguros; 387 107 494
L – Actividades imobiliárias 407 64 471
M – Actividades de consultoria, científicas, técnicas e
1 655 190 1 845
similares
N – Actividades administrativas e dos serviços de apoio 1 226 379 1 605
TOTAL 37 180 5 608 42 788
11.4 DIMENSIONAMENTO DA AMOSTRA
Para o cálculo da dimensão da amostra optou-se pela amostra aleatória simples para uma
população finita. Este método permite estimar uma proporção da população, definidos o
nível de confiança e o nível de precisão, de acordo com a Fórmula 6 (Sarmento, 2008).
p × (1 − p )
n=
D 2
p × (1 − p ) (6)
+
(Zα / 2 )2
N
Onde n: amostra; N: população (finita); D: nível de precisão e Zα/2: normal estandardizada

e p: proporção da população.
Segundo Sarmento (2008, p. 26), “quando não se conhece a proporção (p) opta-se pela
hipótese mais pessimista, i.e., p = 0,5”.
Tendo como objectivo obter um estudo com validade “Importante”, foram definidos os
valores da Tabela 11.6 para o cálculo da amostra:
Tabela 11.6: Validade do estudo.
Nível de Normal Nível de

Validade do estudo confiança estandardizada significância
(λ) (Zα/2) (α=1-λ)
Importante 95% ±1,96 5%
Fonte: Sarmento (2008, p. 27).
Com base nestes parâmetros, o valor calculado para a amostra é de 381 casos.
Decorrente da caracterização efectuada atrás, verifica-se que as PMEs estão presentes em

todos os sectores de actividade, assumem diversas formas jurídicas, têm menos de 250
empregados e representam cerca de 99,9% do número total das empresas nacionais, ou seja,
cerca de 1 125 mil empresas. Tendo em consideração, não só a dimensão da população
alvo objecto da presente investigação, mas também, o facto de as taxas de não respostas a
inquéritos serem elevadas, optou-se por calcular a dimensão da amostra através do método
da amostra aleatória simples para uma população finita, a partir de uma segmentação das
PMEs, de acordo com alguns dos pressupostos utilizados na metodologia adoptada pelo
INE no IUTICE de 2009 (INE, 2009c). Será, portanto, este universo de PMEs que servirá
de base ao teste empírico das hipóteses de investigação definidas previamente.
12 Metodologia de Investigação
CAPÍTULO 12
METODOLOGIA DE INVESTIGAÇÃO
12.1 INTRODUÇÃO
Definido o modelo e as hipóteses de investigação, importa apresentar a metodologia

adoptada para testar empiricamente as hipóteses do modelo conceptual proposto e a forma
como se obtiveram os dados para a realização dos testes empíricos.
Este capítulo apresenta o método de operacionalização dos constructos associado ao

modelo conceptual da eficácia da gestão da segurança da informação nas PMEs, assim
como a identificação das diversas etapas percorridas para o desenho do instrumento de
medida. Outros assuntos tratados dizem respeito às fases de validação do instrumento de
medida e à descrição do processo de administração do inquérito e correspondente método
de recolha de dados.
12.2 OPERACIONALIZAÇÃO DOS CONSTRUCTOS
O modelo de investigação proposto é constituído por dois grupos de elementos: um grupo

formado pelo modelo “percepção dos riscos da segurança da informação pelos gestores” de
Straub e Welke (1998) e, um segundo grupo, formado pelas dimensões da segurança da
informação analisadas na revisão da bibliografia, assente no framework para o estudo da
segurança da informação nas organizações (apresentado no capítulo 1). O modelo de
investigação é composto por 11 constructos, os quais foram operacionalizados através da
utilização de medidas validadas por estudos anteriores ou pela adaptação de variáveis
retiradas da revisão da literatura, de acordo com o apresentado no Quadro 12.1.
Capítulo 12 – Metodologia de Investigação
A construção dos constructos teve em consideração os procedimentos recomendados por

Churchill (1979), designadamente no que respeita à especificação e domínio dos
constructos.
Quadro 12.1: Constructos e itens.
Constructo Item Descrição dos Itens Fonte
A informação está protegida contra a utilização abusiva Goodhue e

PerGest1
intencional. Straub, 1991.
Percepção do
A informação está salvaguardada de alterações ou de Goodhue e
risco pelos PerGest2
utilização não autorizada. Straub, 1991.
gestores
A informação crítica está protegida contra aqueles que não Goodhue e
PerGest3
devem ter acesso a ela. Straub, 1991.
A sua empresa tem patentes, contratos ou informação crítica
Desenvolvido
AmbOrg1 do negócio que tem de proteger de ataques externos ou
pelo autor.
internos.
Ambiente
Goodhue e
organizacional AmbOrg2 A sua empresa está inserida numa indústria de baixo risco.
Straub, 1991.
A dimensão da sua empresa justifica ataques de piratas Ng e Feng,
AmbOrg3
informáticos. 2006.
Na sua empresa existem processos de gestão de riscos e
AmbSTI1 ITGI, 2007b.
ameaças.
Na sua empresa existem processos que garantem a
AmbSTI2 implementação oportuna de correcções às aplicações e ITGI, 2007b.
sistemas.
Ambiente de AmbSTI3 Na sua empresa existe uma cultura de segurança. ITGI, 2007b.
sistemas e
tecnologias de Na sua empresa existe uma disciplina na aplicação dos
informação controlos de segurança.
Na sua empresa existem controlos de acessos a sistemas e
aplicações.
Na sua empresa existem ataques aos sistemas e tecnologias
AmbSTI6 de informação por parte de piratas informáticos, criminosos ITGI, 2007b.
e até terroristas.
A sua empresa tem identificada toda a legislação aplicável à ISO/IEC,
Leis1
segurança da informação. 2005d.
A sua empresa tem processos implementados para garantir a
ISO/IEC,
Leis2 privacidade dos dados pessoais em conformidade com a lei
2005d.
vigente.
Leis, A sua empresa tem processos implementados para garantir a
ISO/IEC,
regulamentos Leis3 protecção dos dados pessoais em conformidade com a lei
2005d.
e normas vigente.
A sua empresa tem processos implementados para garantir
ISO/IEC,
Leis4 que toda a documentação relevante está protegida contra
2005d.
perdas, destruição e falsificação, de acordo com a lei vigente.
A sua empresa tem conhecimento da existência de normas ISO/IEC,
Leis5
internacionais para a segurança da informação. 2005d.
(continua)
Os gestores utilizam computadores pessoais para a sua Bassellier et

SocGes1
produtividade pessoal. al, 2001.
Os gestores participam/lideram as actividades relacionadas
Bassellier et
SocGes2 com a criação de novos projectos de tecnologias de
al, 2001.
informação.
Os gestores participam/lideram as actividades relacionadas Bassellier et
SocGes3
com a gestão de projectos de tecnologias de informação. al, 2001.
Características
Os gestores participam/lideram as actividades relacionadas
individuais Bassellier et
SocGes4 com a definição dos custos e benefícios dos projectos de
dos gestores al, 2001.
tecnologias de informação.
Os gestores participam/lideram o desenvolvimento da Bassellier et
SocGes5
estratégia das tecnologias de informação. al, 2001.
Os gestores participam/lideram a criação de políticas de Bassellier et
SocGes6
tecnologias de informação na empresa. al, 2001.
Os gestores participam/lideram a definição do orçamento das Bassellier et
SocGes7
tecnologias de informação. al, 2001.
A sua empresa tem uma metodologia para a gestão do risco
GovSeg1 ITGI, 2006.
A sua empresa tem uma estratégia de segurança alinhada
GovSeg2 com os objectivos do negócio e dos sistemas e tecnologias de ITGI, 2006.
informação.
A sua empresa tem uma estrutura organizacional adequada à
GovSeg3 ITGI, 2006.
gestão da segurança da informação.
Governo da A sua empresa tem políticas de segurança da informação
GovSeg4 ITGI, 2006.
segurança da documentadas.
informação A sua empresa tem um conjunto de normas de segurança
GovSeg5 para assegurar que os procedimentos e orientações estão em ITGI, 2006.
conformidade com as políticas de segurança.
A sua empresa tem processos de monitorização para
GovSeg6 providenciar informação sobre o tratamento dos riscos de ITGI, 2006.
A sua empresa tem processos para actualizar as políticas de
GovSeg7 ITGI, 2006.
segurança.
A sua empresa tem um inventário de todos os activos de ISACA,
GRisco1
informação (software, hardware, informação e pessoas). 2007.
A sua empresa tem um processo de avaliação das ameaças ISACA,
GRisco2
aos activos de informação. 2007.
A sua empresa tem um processo de avaliação das ISACA,
GRisco3
Gestão do vulnerabilidades dos activos de informação. 2007.
risco A sua empresa tem um programa de análise dos riscos de ISACA,
GRisco4
segurança da informação. 2007.
A sua empresa tem um plano de acção para a implementação ISACA,
GRisco5
dos controlos de segurança. 2007.
ISACA,
GRisco6 A sua empresa realiza auditorias de segurança periódicas.
2007.
(continua)
Na sua empresa o investimento em segurança está em Schechter e

InvSeg1
consonância com o nível desejado de segurança. Smith, 2003.
Na sua empresa o nível de investimento em segurança resulta Gordon et
Investimento InvSeg2
da ocorrência de falhas de segurança. al., 2003a.
em segurança
da informação Na sua empresa as soluções de segurança são adquiridas em
InvSeg3 Smith, 2007.
função do preço.
Na sua empresa todos os investimentos em segurança são Peltier,
InvSeg4
objecto de uma análise custo-benefício. 2004b.
Os empregados compreendem perfeitamente as Knapp et al.,
Pessoas1
consequências da violação das políticas de segurança. 2005.
A consciencialização da segurança da informação é Knapp et al.,
Pessoas2
transmitida correctamente. 2005.
Os utilizadores recebem formação em segurança antes de
Knapp et al.,
Pessoas3 receberem autorização para aceder à rede informática da
2005.
empresa.
Políticas de segurança importantes são desconhecidas de Knapp et al.,
Pessoas4
muitos dos empregados. 2005.
As políticas de segurança da informação estão disponíveis Knapp et al.,
Pessoas Pessoas5
on-line a todos os empregados. 2005.
Existe um programa contínuo de consciencialização em Knapp et al.,
Pessoas6
segurança. 2005.
Os empregados do departamento de tecnologias de
Knapp et al.,
Pessoas7 informação estão bem treinados relativamente às políticas de
2005.
Os utilizadores recebem formação em segurança adequada às Knapp et al.,
Pessoas8
suas funções. 2005.
Os empregados recebem formação sobre os perigos da Knapp et al.,
Pessoas9
Internet. 2005.
As tecnologias de segurança são adquiridas em função das Grance et al.,
Tecno1
características da informação a proteger. 2003.
Tecno2 A sua empresa adquire tecnologias de segurança certificadas. Smith, 2007.
Tecnologia As tecnologias de segurança adquiridas pela sua empresa
Grance et al.,
Tecno3 estão em conformidade com a infra-estrutura tecnológica
2003.
existente.
A estratégia de segurança da sua empresa baseia-se em Ng e Feng,
Tecno4
controlos técnicos e operacionais. 2006.
(continua)
O programa de segurança da informação atinge a maior parte Knapp et al.,

Eficpr1
dos seus objectivos. 2007.
O programa de segurança da informação cumpre os Knapp et al.,
Eficpr2
objectivos mais importantes. 2007.
De um modo geral, a informação está suficientemente Knapp et al.,
Eficpr3
protegida. 2007.
Globalmente, o programa de segurança da informação é Knapp et al.,
Eficpr4
eficaz. 2007.
Eficácia das
O programa de segurança da informação mantém os riscos no Knapp et al.,
práticas de Eficpr5
mínimo. 2007.
segurança da
informação As medidas de segurança reduzem o risco para um nível Knapp et al.,
Eficpr6
aceitável. 2007.
As medidas de segurança proporcionam um retorno do Knapp et al.,
Eficpr7
investimento positivo. 2007.
As medidas de segurança permitem à empresa estar em Knapp et al.,
Eficpr8
conformidade com os requisitos legais. 2007.
As medidas de segurança influenciam a consciencialização e
Knapp et al.,
Eficpr9 o comportamento individual e organizacional de forma
2007.
positiva.
A interpretação de cada um destes constructos assenta nas seguintes assumpções:
• o constructo “Percepção do risco pelos gestores” pretende medir o nível de risco

percepcionado pelos gestores relativamente à informação existente nas suas
organizações através de três itens utilizados por Goodhue e Straub (1991) no seu
modelo teórico sobre as preocupações de segurança dos utilizadores;
• o constructo “Ambiente organizacional”, composto por três itens adaptados da
revisão da literatura, avalia o nível de risco em que a organização está inserida, sendo
expectável que nas indústrias com um alto nível de risco os gestores tenham uma
maior percepção dos riscos de segurança;
• o constructo “Ambiente de sistemas e tecnologias de informação” é medido através
de seis itens adaptados da revisão da literatura que procuram reflectir o esforço já
efectuado pela organização para proteger os activos de informação das ameaças
identificadas. Nas organizações com muitos recursos aplicados na segurança, os
gestores crêem que a sua organização está bem protegida, o que os leva a ter uma
menor percepção dos riscos de segurança;
• o constructo “Características individuais dos gestores” utiliza sete itens do modelo de
competências de TIC de Bassellier et al. (2001) para avaliar em que medida os
conhecimentos e competências dos gestores nas questões de SI/TIC têm um efeito

determinante nas suas percepções de segurança;
• o constructo “Leis, regulamentos e normas” é composto por cinco itens adaptados da
revisão da literatura (norma ISO/IEC 17799:2005) que procuram avaliar em que
medida o conhecimento dos gestores sobre as leis, regulamentos e normas
influenciam as medidas de segurança adoptadas;
• o constructo “Governo da segurança da informação” é medido por sete itens
adaptados da revisão da literatura para avaliar se a segurança da informação é
entendida como um processo de negócio devidamente estruturado;
• o constructo “Gestão do risco” é composto por seis itens adaptados da revisão da
literatura com o objectivo de verificar a existência de um processo formal de gestão
do risco que permita identificar ameaças e implementar os respectivos controlos de
segurança;
• o constructo “Investimento em segurança da informação” é constituído por quatro
itens adaptados da revisão da literatura para avaliar os pressupostos em que as
organizações se baseiam na execução dos seus investimentos em segurança da
informação;
• o constructo “Tecnologia” é medido por quatro itens adaptados da revisão da
literatura para avaliar a qualidade e objectivos das tecnologias de segurança
adquiridas;
• o constructo “Pessoas” utiliza nove itens retirados do modelo de eficácia
organizacional da segurança da informação de Knapp et al. (2005) para determinar o
papel dos recursos humanos nas políticas de segurança da informação implementadas
na organização;
• o constructo “Eficácia das práticas de segurança da informação” é composto por
nove itens retirados do modelo de eficácia da segurança da informação de Knapp et
al. (2007), onde se procura avaliar a eficácia do programa e das medidas de
segurança implementadas na organização.
Todos estes itens foram ancorados numa escala ordinal de cinco níveis, de “Discordo
totalmente” (1) a “Concordo totalmente” (5). Estas escalas usam cinco respostas
alternativas, dado que “são suficientes especialmente no caso de perguntas que solicitam
atitudes, opiniões, gostos ou graus de satisfação” (Hill & Hill, 2005, p. 124).
12.3 DESENHO DO INSTRUMENTO DE MEDIDA
O instrumento de medida é constituído por duas partes. A primeira parte solicita

informação acerca da empresa (dimensão, actividade, função do respondente), sobre o tipo
de tecnologias utilizadas (software, tecnologia, aplicações de segurança) e sobre incidentes
de segurança. A maioria das variáveis incluídas nesta parte foi retirada do IUTICE de 2009
(INE, 2009c), utilizando-se escalas de rácio e nominais para recolha da informação
pretendida. A segunda parte é constituída pelos constructos associados ao modelo de
investigação e procura recolher informação sobre as percepções de risco por parte dos
gestores e das práticas de segurança da informação nas suas organizações a partir de
escalas ordinais.
O desenho do instrumento de medida teve em consideração os aspectos relacionados com a

estrutura, o formato, a ordem e a clareza das questões, as quais foram organizadas em
secções para minimizar potenciais confusões nas respostas dos inquiridos, sendo atribuídos
valores numéricos a cada uma das questões. Seguindo as recomendações de Ng,
Kankanhalli, e Xu (2008), o nome da Universidade foi devidamente sobressaído para
efeitos de credibilidade. De forma a reduzir as não respostas, foi seguida a metodologia de
Tomaskovic-Devey, Leiter, e Thompson (1994), designadamente no que respeita à recolha
de informação sensível, tempo dispendido na resposta e flexibilidade na administração do
inquérito.
Tendo como objectivo conseguir o máximo número de respostas, utilizando diferentes

suportes de recolha de informação, o instrumento de medida foi criado em dois formatos
diferentes: um formato em papel e outro em formato electrónico, criado a partir de um
serviço de Internet especialista em inquéritos em tempo real (www.surveymonkey.com). O
formato electrónico, de acordo com Hsi-Peng, Chin-Lung, e Hsiu-Ying (2005), apresenta
algumas vantagens relativamente ao formato em papel, na medida em que os custos
associados são menores, as respostas são mais rápidas e não existem restrições geográficas
de distribuição do mesmo.
12.4 VALIDAÇÃO DO INSTRUMENTO DE MEDIDA
Como as conclusões empíricas (confirmatórias) são reforçadas quando um instrumento de

validação precede a validade das conclusões internas e estatísticas (Straub, 1989), torna-se
necessário validar o instrumento de medida. A metodologia de validação incluiu as fases

constantes do Quadro 12.2.
Quadro 12.2: Fases da validação do instrumento de medida.
Fase Nome da Fase Método utilizado
Validade de conteúdo, validação de escalas e

Fase I Revisão
revisão de sintaxe e de semântica.
Fase II Pré-Teste Validade de conteúdo.
• Fiabilidade (Alfa de Cronbach).
Fase III Teste Piloto
• Validade constructo (Análise factorial).
12.4.1 FASE I - REVISÃO
A fase de revisão do instrumento de medida teve como objectivo fundamental a validação

das escalas e a cobertura dos constructos, consubstanciando-se nos seguintes
procedimentos:
a) envio do questionário para validação das escalas e conteúdo aos seguintes

académicos: Prof. Doutores Marc Scholten, Pedro Z. Caldeira, Rodrigo Magalhães,
Luis Lages, Carmen Lages, Jorge Gomes, Fernando Gaspar, Miguel Cunha, César
Madureira; Manuela Sarmento;
b) envio do questionário a especialistas de SI/TIC e em segurança da informação,
designadamente a dois consultores com experiência na implementação de processos
de segurança da informação, dois auditores de sistemas de informação e a duas
pessoas com responsabilidades na área de segurança da informação;
c) envio do inquérito a uma professora de português do ensino secundário para revisão
do português.
Após a recepção das contribuições de cada um dos participantes neste processo, procedeu-
se às alterações e correcções entendidas como necessárias a uma correcta interpretação do
questionário, nomeadamente:
• correcções de sintaxe e semântica sugeridos;

• alteração de algumas preposições que apresentavam afirmações duplas, desdobrando-
as em afirmações simples;
• alteração das preposições negativas para preposições positivas;
• inclusão de alguns itens na primeira parte do questionário relativamente às aplicações

de segurança;
• eliminação de duas questões pertencentes à primeira parte do questionário: uma
relacionada com obstáculos no tratamento da segurança da informação e outra sobre
o nível de preocupação com incidentes de segurança, na medida em que
apresentavam demasiados itens e não estavam relacionadas com o modelo de
investigação.
O instrumento de medida foi actualizado com estas alterações, sendo a versão corrigida
utilizada na fase seguinte do pré-teste.
12.4.2 FASE II – PRÉ-TESTE
Para garantir que as questões eram devidamente explícitas e compreendidas pelos

inquiridos, foi realizado um pré-teste junto de um grupo de nove PMEs de diversos
sectores de actividade económica. Neste processo foi obtida a colaboração do Instituto de
Apoio às Pequenas e Médias Empresas e à Inovação, I.P. (IAPMEI), permitindo visitar
quatro PMEs e aplicar presencialmente o questionário junto dos responsáveis dessas
empresas. Procedimento idêntico foi efectuado nas restantes cinco PMEs, cujos
responsáveis foram contactados directamente para aplicação presencial do questionário.
Desde o início desta investigação que foi tido como um objectivo fundamental o apoio de
um organismo (público e/ou privado) associado às PMEs. Nesse sentido, foi efectuado, em
18 de Fevereiro de 2009, um primeiro contacto com o IAPMEI, na pessoa da Dr.ª Helena
Duarte, para aquilatar da possibilidade de colaboração nesta investigação. Os propósitos
iniciais prendiam-se com a perspectiva de uma colaboração intensa na administração do
questionário, quer na fase do pré-teste, como nas fases subsequentes do teste piloto e teste.
Pretendia-se, essencialmente, que o IAPMEI utilizasse os seus canais de comunicação com
as PMEs para obter as respostas ao questionário. Na primeira reunião, efectuada nas
instalações do IAPMEI, em 25 de Fevereiro de 2009, foi-nos transmitido que a política de
comunicação daquele instituto não previa o tipo de colaboração por nós solicitado. Em face
desta informação, foi então acordado que a colaboração do IAPMEI incidiria
fundamentalmente nas seguintes tarefas:
• contactar seis PMEs para participação no pré-teste do questionário;

• definir, em colaboração com as PMEs seleccionadas, um calendário de visitas;

• acompanhar-nos nas visitas às PMEs seleccionadas, funcionando como um elemento
facilitador do contacto com a empresa para a aplicação presencial do questionário
junto do sócio/gestor da PMEs;
• utilizar o site e newsletters do IAPMEI para divulgar o questionário e solicitar a
resposta por parte das PMEs.
Foi indicado ao IAPMEI que as PMEs a seleccionar deveriam estar localizadas na região
de Lisboa (fundamentalmente devido a aspectos logísticos) e pertencerem a sectores de
actividade económica diferentes. Para o efeito, foram seleccionadas três PMEs da indústria
transformadora (uma de fabricação de artigos farmacêuticos, outra de fabricação de outros
artigos de plástico e outra de fabricação de equipamento não doméstico para refrigeração e
ventilação) e uma do sector das tecnologias de informação.
As visitas às PMEs seleccionadas foram efectuadas entre o dia 20 de Abril e o dia 1 de

Maio de 2009, com a colaboração da Eng.ª Sandra Martins do IAPMEI.
As outras cinco PMEs que participaram no pré-teste pertenciam aos seguintes sectores de
actividade: comércio por grosso de outras máquinas e equipamentos; distribuição alimentar;
fabricação de aparelhos eléctricos, actividades de ensaios e análises técnicas; sistemas de
informação.
Este pré-teste serviu essencialmente para avaliar as dificuldades sentidas pelos inquiridos
na compreensão das questões e na cronometragem do tempo dispendido na resposta ao
questionário. Para esta fase foram utilizados os questionários em formato papel.
Com base nos comentários efectuados pelos inquiridos foi retirada um item do constructo
“Pessoas” referente à engenharia social, pois este termo evidenciava problemas de
compreensão ou ignorância do seu significado. Foi também retirado um item relativo aos
incidentes de segurança, pelo facto de representar uma redundância relativamente aos
restantes itens da mesma questão.
O instrumento de medida foi actualizado com estas alterações, sendo a versão corrigida
utilizada na fase seguinte do teste piloto.
12.4.3 FASE III – TESTE PILOTO
O teste piloto teve como objectivo determinar se cada um dos 11 constructos do modelo de
investigação era suficientemente adequado para ser utilizado com confiança e, por outro
lado, garantir que os componentes de um constructo definiam apenas um factor ou variável.
Para atingir estes objectivos determinou-se a fiabilidade e validade de cada um dos
constructos.
A partir de uma base de dados de PMEs fornecida pela empresa Informa D&B, foram
enviadas 2 000 mensagens de correio electrónico personalizadas a partir do sistema
“surveymonkey.com”. Simultaneamente, foram enviados mensagens electrónicas aos
nossos contactos pessoais e profissionais a solicitar resposta ao questionário a todos
aqueles que exercessem cargos de gestão nas PMEs enquadradas no âmbito do projecto de
investigação. Estas mensagens continham a indicação de um link geral para acesso ao
questionário, conferindo o anonimato de cada inquirido.
A recolha da informação decorreu durante os dias 5 de Maio e 1 de Junho de 2009. Foram

recebidas 232 respostas válidas, 178 correspondentes às mensagens electrónicas
personalizadas do “surveymonkey.com” (correspondendo a uma taxa de resposta de 8,9%)
e 54 referentes ao acesso anónimo ao sistema.
O número mínimo de respostas válidas (n) por item (k) deve obedecer a um rácio de 5
(Bentler & Chou, 1987; Pestana & Gageiro, 2008; Storch et al., 2007), o que no caso dos
63 itens do questionário relacionados com o modelo conceptual de investigação,
equivaleria a ter n = 315. Contudo, tendo em consideração que o modelo “percepção dos
riscos da segurança da informação pelos gestores” é avaliado separadamente do resto do
modelo global, se forem retirados os 16 itens relativos aos constructos “Ambiente
organizacional”, “Ambiente de SI/TI” e “Características individuais dos gestores”, obtêm-
se 47 itens, o que equivale a n = 235, o que significa que a amostra obtida está de acordo
com o número mínimo de respostas válidas exigido.
Os dados foram tratados a partir do software Statistical Package for the Social Sciences
(SPSS), versão 15.0.
Para efeitos de apresentação dos dados, optou-se por não segregar os dados pelos dois
modelos atrás referidos, mas apresentá-los de forma agregada. A Tabela 12.1 apresenta as
estatísticas descritivas mais relevantes associadas a cada um dos itens de cada constructo,
sendo de realçar:
• todos os itens, com excepção de quatro, apresentam os valores mínimos (1) e

máximo (5) de respostas possíveis;
• o número de respostas válidas para efeito do cálculo das estatísticas é bastante
significativo em todos os itens, atingindo o seu valor mais baixo no constructo
“Pessoas”, com uma taxa de respostas válidas de 94,8%.
Tabela 12.1: Estatísticas descritivas dos 11 constructos.
Assimetria Curtose
Const. Desvio
Min Max Média Nº
Item Padrão Estatís Desv. Coef. Estatís Desv. Coef.
tica Pad tica Pad
Percepção do risco pelos gestores
PerGest1 1 5 3,940 0,049 -0,651 0,160 -4,069 0,924 0,319 2,897 231
PerGest2 1 5 3,970 0,052 -0,809 0,160 -5,056 1,293 0,319 4,053 231
PerGest3 2 5 4,130 0,048 -0,477 0,160 -2,981 -0,135 0,319 -0,423 231
Ambiente organizacional
AmbOrg1 1 5 3,390 0,080 -0,403 0,161 -2,503 -0,854 0,321 -2,660 228
AmbOrg2 1 5 3,080 0,079 -0,243 0,161 -1,509 -0,672 0,321 -2,093 228
AmbOrg3 1 5 2,690 0,068 0,209 0,161 1,298 -0,580 0,321 -1,807 228
Ambiente de sistemas e tecnologias de informação
AmbSTI1 1 5 3,190 0,070 -0,435 0,162 -2,685 -0,772 0,322 -2,398 226
AmbSTI2 1 5 3,590 0,056 -1,016 0,162 -6,272 0,895 0,322 2,780 226
AmbSTI3 1 5 3,760 0,055 -1,127 0,162 -6,957 1,895 0,322 5,885 226
AmbSTI4 1 5 3,770 0,052 -1,100 0,162 -6,790 2,094 0,322 6,503 226
AmbSTI5 1 5 4,030 0,051 -1,394 0,162 -8,605 3,675 0,322 11,413 226
AmbSTI6 1 5 2,520 0,074 0,330 0,162 2,037 -0,632 0,322 -1,963 226
Características individuais dos gestores
SocGes1 1 5 3,830 0,072 -1,051 0,163 -6,448 0,570 0,324 1,759 223
SocGes2 1 5 3,850 0,059 -0,845 0,163 -5,184 0,795 0,324 2,454 223
SocGes3 1 5 3,770 0,060 -0,755 0,163 -4,632 0,324 0,324 1,000 223
SocGes4 1 5 3,830 0,056 -0,718 0,163 -4,405 0,379 0,324 1,170 223
SocGes5 1 5 3,680 0,060 -0,637 0,163 -3,908 0,030 0,324 0,093 223
SocGes6 1 5 3,740 0,058 -0,799 0,163 -4,902 0,411 0,324 1,269 223
SocGes7 1 5 3,910 0,053 -0,913 0,163 -5,601 1,499 0,324 4,627 223
(continua)
Assimetria Curtose
Const. Desvio
Min Max Média Nº
tica Pad tica Pad
Leis, regulamentos e normas
Leis1 1 5 3,320 0,064 -0,345 0,162 -2,130 -0,421 0,323 -1,303 225
Leis2 1 5 3,600 0,059 -0,625 0,162 -3,858 0,230 0,323 0,712 225
Leis3 1 5 3,580 0,058 -0,634 0,162 -3,914 0,328 0,323 1,015 225
Leis4 1 5 3,670 0,061 -0,733 0,162 -4,525 0,306 0,323 0,947 225
Leis5 1 5 3,370 0,060 -0,398 0,162 -2,457 -0,022 0,323 -0,068 225
Governo da segurança da informação
GovSeg1 1 5 3,390 0,062 -0,556 0,161 -3,453 -0,387 0,321 -1,206 228
GovSeg2 1 5 3,500 0,060 -0,724 0,161 -4,497 0,132 0,321 0,411 228
GovSeg3 1 5 3,450 0,058 -0,708 0,161 -4,398 0,214 0,321 0,667 228
GovSeg4 1 5 3,250 0,066 -0,411 0,161 -2,553 -0,581 0,321 -1,810 228
GovSeg5 1 5 3,330 0,063 -0,394 0,161 -2,447 -0,525 0,321 -1,636 228
GovSeg6 1 5 3,210 0,060 -0,392 0,161 -2,435 -0,264 0,321 -0,822 228
GovSeg7 1 5 3,290 0,063 -0,495 0,161 -6,525 -0,444 0,321 -1,383 228
Gestão do risco
GRisco1 1 5 3,970 0,057 -1,057 0,162 -6,525 1,462 0,322 4,540 227
GRisco2 1 5 3,140 0,063 -0,150 0,162 -0,926 -0,557 0,322 -1,730 227
GRisco3 1 5 3,040 0,062 -0,121 0,162 -0,747 -0,603 0,322 -1,873 227
GRisco4 1 5 2,980 0,063 -0,049 0,162 -0,302 -0,654 0,322 -2,031 227
GRisco5 1 5 3,220 0,060 -0,380 0,162 -2,346 -0,442 0,322 -1,373 227
GRisco6 1 5 3,190 0,071 -0,372 0,162 -2,296 -0,626 0,322 -1,944 227
Investimento em segurança da informação
InvSeg1 1 5 3,500 0,058 -0,834 0,160 -5,213 0,221 0,320 0,691 230
InvSeg2 1 5 2,830 0,065 -0,090 0,160 -0,563 -0,973 0,320 -3,041 230
InvSeg3 1 5 3,000 0,062 -0,234 0,160 -1,463 -0,679 0,320 -2,122 230
InvSeg4 1 5 3,800 0,053 -0,870 0,160 -5,438 1,103 0,320 3,447 230
Tecnologia
Tecno1 1 5 3,870 0,048 -1,475 0,160 -9,219 4,236 0,319 13,279 231
Tecno2 2 5 3,920 0,048 -0,505 0,160 -3,156 0,401 0,319 1,257 231
Tecno3 2 5 3,960 0,038 -0,548 0,160 -3,425 1,805 0,319 5,658 231
Tecno4 1 5 3,760 0,044 -0,674 0,160 -4,213 1,212 0,319 3,799 231
Pessoas
Pessoas1 1 5 3,670 0,056 -0,829 0,164 -5,055 0,721 0,327 2,205 220
Pessoas2 1 5 3,730 0,049 -0,948 0,164 -5,780 1,597 0,327 4,884 220
Pessoas3 1 5 3,240 0,071 -0,400 0,164 -2,439 -0,605 0,327 -1,850 220
Pessoas4 1 5 3,010 0,067 -0,158 0,164 -0,963 -0,696 0,327 -2,128 220
Pessoas5 1 5 2,800 0,070 0,028 0,164 0,171 -0,747 0,327 -2,284 220
Pessoas6 1 5 2,950 0,063 -0,142 0,164 -0,866 -0,837 0,327 -2,560 220
Pessoas7 1 5 3,510 0,064 -0,574 0,164 -3,500 0,244 0,327 0,746 220
(continua)
Assimetria Curtose
Const. Desvio
Min Max Média Nº
tica Pad tica Pad
Pessoas8 1 5 3,340 0,063 -0,583 0,164 -3,555 -0,044 0,327 -0,135 220
Pessoas9 1 5 3,270 0,067 -0,476 0,164 -2,902 -0,429 0,327 -1,312 220
Eficácia das práticas de segurança da informação
Eficpr1 1 5 3,660 0,048 -1,144 0,161 -7,106 1,909 0,321 5,947 228
Eficpr2 1 5 3,750 0,049 -0,996 0,161 -6,186 2,075 0,321 6,464 228
Eficpr3 1 5 3,830 0,047 -1,064 0,161 -6,609 2,334 0,321 7,271 228
Eficpr4 1 5 3,730 0,047 -0,953 0,161 -5,919 1,731 0,321 5,393 228
Eficpr5 1 5 3,640 0,049 -0,690 0,161 -4,286 0,551 0,321 1,717 228
Eficpr6 2 5 3,760 0,044 -0,715 0,161 -4,441 0,888 0,321 2,766 228
Eficpr7 1 5 3,680 0,044 -0,530 0,161 -3,292 0,901 0,321 2,807 228
Eficpr8 1 5 3,830 0,046 -0,557 0,161 -3,460 1,097 0,321 3,417 228
Eficpr9 1 5 3,650 0,046 -0,870 0,161 -5,404 1,408 0,321 4,386 228
12.4.3.1 Determinação da Fiabilidade
A fiabilidade de cada constructo é estimada através do Alfa (α) de Cronbach e pressupõe

que “as variáveis tenham distribuição normal ou pelo menos simétrica, e que as escalas
sejam aditivas, de modo a que cada variável se relacione linearmente com o valor da escala”
(Pestana & Gageiro, 2008, p. 494).
A determinação da normalidade das distribuições das variáveis de cada um dos constructos

é efectuada com base no teste não paramétrico de Kolmogorov-Sminorv, ajustado com a
correcção de Lilliefors (uma vez que não se conhece a média e o desvio padrão do universo)
e do teste Shapiro-Wilk.
Para a medida de assimetria ou enviesamento, utiliza-se o coeficiente de assimetria ou de

enviesamento que avalia se uma distribuição de frequências é ou não enviesada ou
assimétrica. Esta medida é dada pelo quociente entre a estatística assimetria e o respectivo
desvio padrão (Pestana & Gageiro, 2005, 2008).
Para a medida de achatamento ou curtose, utiliza-se o coeficiente de achatamento ou de

curtose, o qual dá “uma indicação da intensidade das frequências na vizinhança dos valores
centrais” (Reis, 2005, p. 130). Esta medida é dada pelo quociente entre a estatística curtose
e o respectivo desvio padrão (Pestana & Gageiro, 2005, 2008).
Os testes Kolmogorov-Sminorv e Shapiro-Wilk rejeitam a hipótese nula de que as

distribuições de todos os itens sejam normais, conforme os valores constantes da Tabela
12.2.
Tabela 12.2: Testes K-S e Shapiro-Wilk.
Kolmogorov-Smirnov Shapiro-Wilk
Item
Estat. df Sig. Estat. df Sig.
PerGest1 0,311 231 0,000 0,818 231 0,000
PerGest2 0,305 231 0,000 0,819 231 0,000
PerGest3 0,256 231 0,000 0,816 231 0,000
AmbOrg1 0,237 228 0,000 0,891 228 0,000
AmbOrg2 0,210 228 0,000 0,898 228 0,000
AmbOrg3 0,205 228 0,000 0,907 228 0,000
AmbSTI1 0,271 226 0,000 0,866 226 0,000
AmbSTI2 0,355 226 0,000 0,789 226 0,000
AmbSTI3 0,356 226 0,000 0,784 226 0,000
AmbSTI4 0,357 226 0,000 0,780 226 0,000
AmbSTI5 0,354 226 0,000 0,735 226 0,000
AmbSTI6 0,197 226 0,000 0,902 226 0,000
SocGes1 0,310 223 0,000 0,818 223 0,000
SocGes2 0,312 223 0,000 0,833 223 0,000
SocGes3 0,309 223 0,000 0,843 223 0,000
SocGes4 0,320 223 0,000 0,830 223 0,000
SocGes5 0,312 223 0,000 0,846 223 0,000
SocGes6 0,337 223 0,000 0,820 223 0,000
SocGes7 0,332 223 0,000 0,803 223 0,000
Leis1 0,240 225 0,000 0,889 225 0,000
Leis2 0,294 225 0,000 0,859 225 0,000
Leis3 0,295 225 0,000 0,855 225 0,000
Leis4 0,312 225 0,000 0,846 225 0,000
Leis5 0,237 225 0,000 0,882 225 0,000
GovSeg1 0,295 228 0,000 0,853 228 0,000
GovSeg2 0,311 228 0,000 0,842 228 0,000
GovSeg3 0,299 228 0,000 0,844 228 0,000
GovSeg4 0,257 228 0,000 0,878 228 0,000
GovSeg5 0,264 228 0,000 0,875 228 0,000
GovSeg6 0,226 228 0,000 0,878 228 0,000
GovSeg7 0,271 228 0,000 0,865 228 0,000
(continua)
Item
GRisco1 0,323 227 0,000 0,801 227 0,000
GRisco2 0,202 227 0,000 0,895 227 0,000
GRisco3 0,192 227 0,000 0,891 227 0,000
GRisco4 0,180 227 0,000 0,895 227 0,000
GRisco5 0,240 227 0,000 0,874 227 0,000
GRisco6 0,231 227 0,000 0,895 227 0,000
InvSeg1 0,335 230 0,000 0,812 230 0,000
InvSeg2 0,208 230 0,000 0,880 230 0,000
InvSeg3 0,200 230 0,000 0,883 230 0,000
InvSeg4 0,345 230 0,000 0,806 230 0,000
Tecno1 0,382 231 0,000 0,715 231 0,000
Tecno2 0,318 231 0,000 0,815 231 0,000
Tecno3 0,375 231 0,000 0,721 231 0,000
Tecno4 0,353 231 0,000 0,784 231 0,000
Pessoas1 0,336 220 0,000 0,819 220 0,000
Pessoas2 0,361 220 0,000 0,780 220 0,000
Pessoas3 0,248 220 0,000 0,888 220 0,000
Pessoas4 0,194 220 0,000 0,898 220 0,000
Pessoas5 0,186 220 0,000 0,907 220 0,000
Pessoas6 0,199 220 0,000 0,879 220 0,000
Pessoas7 0,251 220 0,000 0,878 220 0,000
Pessoas8 0,261 220 0,000 0,868 220 0,000
Pessoas9 0,255 220 0,000 0,879 220 0,000
Eficacia1 0,373 228 0,000 0,754 228 0,000
Eficacia2 0,355 228 0,000 0,780 228 0,000
Eficacia3 0,373 228 0,000 0,757 228 0,000
Eficacia4 0,364 228 0,000 0,774 228 0,000
Eficacia5 0,340 228 0,000 0,807 228 0,000
Eficacia6 0,372 228 0,000 0,764 228 0,000
Eficacia7 0,337 228 0,000 0,792 228 0,000
Eficacia8 0,332 228 0,000 0,805 228 0,000
Eficacia9 0,352 228 0,000 0,781 228 0,000
Em função destes dados, recorreu-se à análise de simetria e de curtose para determinar se

as distribuições das variáveis são relativamente normais. Considerando os coeficientes de
simetria e curtose da Tabela 12.1 aceita-se que as distribuições dos diversos itens são
normais ou tendem para a normalidade.
Em face destes valores optou-se por continuar com a determinação do Alfa de Cronbach,
cujos valores constam da Tabela 12.3. Verifica-se que os valores de Alfa demonstram uma
fiabilidade boa ou muito boa da quase totalidade dos constructos (Pestana & Gageiro,
2008).
Tabela 12.3: Alfa de Cronbach para os 11 constructos.
Alfa de Alfa de
Constructo Cronbach Cronbach
corrigido
Percepção do risco pelos gestores 0,891
Ambiente organizacional 0,530
Ambiente de sistemas e tecnologias de informação 0,808 0,834
Características individuais dos gestores 0,893 0,941
Leis, regulamentos e normas 0,914
Governo da segurança da informação 0,941
Gestão do risco 0,900
Investimento em segurança da informação 0,378 0,445
Tecnologia 0,788
Pessoas 0,812 0,860
Eficácia das práticas de segurança da informação 0,917
Todavia, é de salientar que se for retirado o item “AmbSTI6” ao constructo “Ambiente de

sistemas e tecnologias de informação”, o item “SocGes1” ao constructo “Características
individuais dos gestores”, o item “InvSeg1” ao constructo “Investimento” e os itens
“Pessoas4” e “Pessoas5” ao constructo “Pessoas”, os valores dos respectivos Alfa sofrem
um acréscimo significativo, conforme apresentado na coluna “Alfa de Cronbach corrigido”
da Tabela 12.3.
12.4.3.2 Determinação da Validade de Constructo
A validade de constructo é determinada através da Análise Factorial, a qual permite

“avaliar a validade das variáveis que constituem os factores, informando se medem ou não
os mesmos conceitos” (Pestana & Gageiro, 2008, p. 489). Esta análise tem por finalidade,
segundo Hill e Hill (2005, p. 274) “encontrar combinações de variáveis (factores) que
expliquem as correlações paramétricas (do tipo Pearson) entre todos os pares de variáveis
de um conjunto de variáveis”.
Antes de se fazer uma análise factorial, é necessário saber se as correlações entre os itens
são adequadas para esse propósito. Para determinar se as correlações suportam uma análise
factorial utiliza-se o valor da medida de adequabilidade KMO (Kaiser-Meyer-Olkin
Measure of Sampling Adequacy). Os valores do KMO para aferir a qualidade da análise
factorial são os constantes do Quadro 12.3:
Quadro 12.3: Valores de referência do KMO
KMO Análise Factorial
1 – 0,9 Muito boa

0,8 – 0,9 Boa
0,7 – 0,8 Média
0,6 – 0,7 Razoável
0,5 – 0,6 Má
< 0,5 Inaceitável
Fonte: Pestana e Gageiro (2008).
A validade factorial é avaliada através da “Análise Factorial por Máxima Verosimilhança”,

a qual “tem a vantagem de usar uma prova estatística de «goodness of fit» (que indica se os
factores obtidos de uma análise explicam bem as correlações entre as variáveis” (Hill &
Hill, 2005, p. 275).
Porque a análise factorial não é apropriada quando o número de itens é inferior a quatro,
não se efectuou a análise factorial para os constructos “Percepção do risco pelos gestores”
e “Ambiente organizacional”. Pela mesma razão, não foi efectuada a análise factorial ao
constructo “Investimento em segurança da informação” depois de corrigido com a
eliminação do item “InvSeg1”.
Analisando as matrizes de correlação entre os itens dos diversos constructos (ver Apêndice
J), constata-se que as correlações são significativas na quase totalidade dos constructos
(quatro constructos apresentam correlações superiores a 0,50 em quase todos os itens e
outros quatros com correlações superiores a 0,4 na maioria dos itens), à excepção do
constructo “Investimento em segurança da informação” que apresenta correlações
negativas entre os itens, pelo que se verifica uma relação de linearidade entre os itens de
cada constructo.
Por outro lado, a análise dos valores de KMO, constantes da Tabela 12.4, confirma que
estas correlações suportam uma análise factorial, na medida em que a qualidade da análise
factorial é média para cinco constructos, boa para dois constructos e inaceitável para o
constructo “Investimento”, em virtude dos valores das correlações entre as suas variáveis.
Por sua vez, o teste de esfericidade de Barlett tem associado um nível de significância de
0,000 em todos os constructos, o que evidencia a existência de correlação entre algumas
variáveis de cada constructo.
Tabela 12.4: Valores do KMO para os diversos constructos.
KMO Teste de Barlett

Constructos
Original Corrigido Aprox. χ2 df Sig.
Ambiente de sistemas e tecnologias de informação 0,786 0,779 508,426 10 0,000
Características individuais dos gestores 0,869 0,868 1235,458 15 0,000
Leis, regulamentos e normas 0,839 862,050 10 0,000
Governo da segurança da informação 0,901 1374,257 21 0,000
Gestão do risco 0,889 891,577 15 0,000
Investimento em segurança da informação 0,494 80,971 6 0,000
Tecnologia 0,835 290,683 6 0,000
Pessoas 0,843 0,868 651,653 21 0,000
Eficácia das práticas de segurança da informação 0,895 1279,943 36 0,000
Os valores obtidos através do cálculo da análise factorial permitem concluir que os itens de
cada constructo medem os mesmos conceitos, conforme os valores da variância total
explicada constante da Tabela 12.5.
Tabela 12.5: Variância explicada.
Variância
Constructo
explicada
Ambiente de sistemas e tecnologias de informação 52,825
Características individuais dos gestores 72,552
Investimento em segurança da informação 35,980
Tecnologia 49,950
Pessoas 47,614
Complementarmente, foi efectuada uma análise factorial confirmatória utilizando o método

dos componentes principais para validar se os 11 constructos que compõem o modelo de
investigação explicam a variância total associada aos factores. De acordo com Hair et al. in
Qingxiong e Pearson (2005), uma solução que apresente uma variância total de 70% é
considerada satisfatória. A análise factorial confirmatória efectuada para os 11 factores
apresenta, de acordo com a Tabela 12.6, uma variância total explicada de cerca de
70,690%, pelo que os 11 constructos são uma solução satisfatória para o modelo de
investigação associado.
Tabela 12.6: Análise factorial confirmatória.
Extracção da soma dos pesos

Valores próprios iniciais
quadráticos
Componente % da
% da % %
Total Total Variânci
Variância Acumulada Acumulada
a
1 21,169 35,880 35,880 21,169 35,880 35,880
2 4,332 7,343 43,223 4,332 7,343 43,223
3 3,463 5,870 49,092 3,463 5,870 49,092
4 2,355 3,992 53,084 2,355 3,992 53,084
5 2,012 3,411 56,495 2,012 3,411 56,495
6 1,713 2,903 59,398 1,713 2,903 59,398
7 1,678 2,844 62,242 1,678 2,844 62,242
8 1,390 2,356 64,598 1,390 2,356 64,598
9 1,369 2,320 66,918 1,369 2,320 66,918
10 1,174 1,990 68,908 1,174 1,990 68,908
11 1,051 1,782 70,690 1,051 1,782 70,690
Em face dos resultados estatísticos obtidos com a exclusão dos itens “AmbSTI6”,
“SocGes1”, “InvSeg1”, “Pessoas4” e “Pessoas5”, reflectindo-se num aumento significativo
da fiabilidade e validade de cada um dos constructos, decidiu-se pela eliminação definitiva
destes itens do modelo e actualizar o instrumento de medida em consonância com estas
alterações. A versão definitiva do questionário (formato papel e electrónico) consta do
Apêndice G - Questionários.
12.5 ADMINISTRAÇÃO DO QUESTIONÁRIO E RECOLHA DE

DADOS
A administração do questionário e correspondente recolha de dados teve subjacente um

trabalho prévio de construção de uma extensa base de dados de PMEs, de forma a se obter
o máximo número de respostas possíveis ao questionário.
12.5.1 CRIAÇÃO DA BASE DE DADOS DE PEQUENAS E MÉDIAS EMPRESAS
Para efeitos de resposta ao questionário electrónico foi construída uma base de dados de
PMEs com cerca de 10 000 registos, contendo a seguinte informação:
• número de identificação de pessoa colectiva (NIPC)

• nome da empresa;
• morada e código postal;
• número de telefone e fax;
• endereço de correio electrónico e da página de internet;
• código CAE;
• volume de negócios;
• capital social;
• número de empregados.
Esta base de dados foi construída com base na seguinte informação:
• a partir de dois ficheiros fornecidos pela empresa Informa D&B, (um ficheiro com
cerca de 2 000 registos utilizado na fase do teste piloto e um outro ficheiro de cerca
de 3 000 registos);
• a partir da informação recolhida através do sítio da COFACE, tendo por base listas
de PMEs publicadas nalguns meios de comunicação social.
O processo de recolha manual da informação assentou nas seguintes etapas:
a) Identificação das PMEs
A identificação das PMEs foi efectuada com base em listagens publicadas por órgãos de
comunicação social ou entidades públicas e privadas e ainda pelas listas de sócios de
algumas associações empresariais, assim discriminadas:
• listagens publicadas por órgãos de comunicação social ou entidades públicas e

privadas:
− 2º Anuário IDC do Sector das TIC
(http://www.idc.com/portugal/downloads/research/IDC_Anuario_TIC_2008.pdf);
− 1 500 PMEs (Diário de Notícias, 2006);
− 1 500 Maiores PMEs (Semanário Económico, 2002);
− Lista de PMEs Líder do IAPMEI, versão de 27 de Abril de 2009
(http://www.iapmei.pt/iapmei-mstplartigo-01.php?artigoid=91&msid=6).
• páginas das seguintes associações empresariais:

− AIMMAP - Associação dos Industriais Metalomecânicos, Metalúrgicos e Afins de
Portugal (www.aimmap.pt);
− ANEMM - Associação Nacional das Empresas Metalúrgicas e Metalomecânicas
(www.anemm.pt);
− ANIMEE - Associação Nacional dos Industriais de Material Eléctrico e
Electrónico (www.annimee.pt);
− ANTROP - Associação Nacional de Transportadores Rodoviários de Pesados de
Passageiros (www.antrop.pt);
− APAT - Associação dos Transitários de Portugal (www.apat.pt);
− APDA - Associação Portuguesa de Distribuição e Drenagem de Água
(www.apda.pt);
− APEL - Associação Portuguesa de Editores e Livreiros (www.apel.pt);
− APIAM - Associação Portuguesa dos Industriais de Águas Minerais Naturais e de
Nascente (www.apiam.pt);
− APIMA - Associação Portuguesa das Indústrias de Mobiliário e Afins
(www.apima.pt);
− APIRAC - Associação Portuguesa da Indústria de Refrigeração e Ar
Condicionado (www.apirac.pt);
− Associação das Termas de Portugal (www.termasdeportugal.pt);
− NETIE - Núcleo Empresarial para as Tecnologias da Informação e Electrónica
(www.netie.pt).
Depois de recolhida e tratada a informação das diversas listas atrás referidas – eliminando-
se os nomes em duplicado -, construiu-se, com recurso à folha de cálculo Excel da
Microsoft, uma lista geral apenas com os nomes das PMEs.
b) Pesquisa de Informação
A etapa seguinte consistiu na utilização da funcionalidade de pesquisa gratuita do sítio da

COFACE (www.cofaceservicos.pt/), para validar a informação acerca da PMEs objecto de
investigação.
Se na análise da informação prestada se constatou que a empresa não tem endereço de

correio electrónico, pertence a um código CAE que não está enquadrado no âmbito do
objecto da investigação (conforme definido no ponto 11.3 – Definição da população alvo
da investigação), ou ainda, se possui menos de 10 ou mais de 250 empregados, esta
empresa não é considerada para integração na base de dados de PMEs.
c) Tratamento da Informação
Depois de validada a informação sobre as PMEs, o passo seguinte passa pela

transformação dessa informação em formato não estruturado, para um formato estruturado,
correspondente à estrutura definida para a base de dados.
Uma vez concluída a base de dados, a informação referente ao nome da empresa, endereço
electrónico e código CAE de cada PME foi carregada no sistema “surveymonkey.com”
para posterior envio de mensagens electrónicas.
Este trabalho foi desenvolvido entre 13 de Abril e 31 de Maio de 2009 e resultou na

criação de cerca de 5 000 registos na base de dados de PMEs.
12.5.2 ADMINISTRAÇÃO DO QUESTIONÁRIO
Como forma de publicitar o questionário o mais amplamente possível junto das PMEs,
solicitou-se a colaboração de várias entidades, especialmente aquelas directamente ligadas
às PMEs. Era nossa convicção que sendo uma associação de classe a solicitar a resposta a
um questionário, a probabilidade de se obter uma resposta era consideravelmente superior
a uma solicitação emanada de uma entidade (pessoa individual ou universidade) fora do
meio empresarial associativo.
Neste sentido, foram contactadas, via correia electrónico, algumas entidades e associações
empresariais, requerendo a sua colaboração para:
• utilizar a página de Internet da associação para divulgar a investigação e solicitar o

preenchimento do questionário pelos seus associados;
• utilizar os restantes meios de comunicação da associação – e.g., newsletters (em
papel e/ou electrónicas) para transmitir a mesma mensagem.
Destes contactos, apenas obtivemos respostas por parte da IDC Portugal e da Associação
Portuguesa de Sistemas de Informação (APSI). A IDC publicou na sua página da Internet
uma mensagem a divulgar a investigação e solicitar a resposta ao inquérito (ver Apêndice
H) e a APSI enviou uma mensagem electrónica a todos os seus associados com o mesmo
conteúdo.
As associações empresariais contactadas que não responderam ao nosso pedido de

colaboração foram: Associação Nacional de PMEs (ANPMES); Associação PMEs
Portugal; Associação Industrial Portuguesa (AIP); AIMMAP; ANEMM; ANIMEE;
ANTROP; APAT; APDA; APEL; APIAM; APIMA; APIRAC.
Neste processo de divulgação da investigação e do pedido de resposta ao questionário, é de

destacar a colaboração da empresa INSTFORM - Sistemas Informáticos, Lda, através da
pessoa da Dr.ª Paula Palma. Após um contacto inicial em 27 de Maio de 2009, a Dr.ª Paula
Palma mostrou a sua disponibilidade em colaborar no processo de recolha de questionários,
dado que a quase totalidade dos clientes da INSTFORM são PMEs. Esta participação seria
consubstanciada na entrega e recolha dos questionários junto dos clientes da INSTFORM
no momento da sua participação nas acções de formação sobre o novo Sistema de
Normalização Contabilística. Esta colaboração decorreu entre os dias 4 de Junho e 31 de
Julho de 2009.
O pedido de resposta ao questionário electrónico foi realizado de três formas distintas:
a) envio de mensagens electrónicas personalizadas a cerca de 10 000 PMEs, a partir

do sistema “surveymonkey.com”;
b) envio de mensagens electrónicas para todos os nossos contactos a solicitar, por um
lado, a resposta ao questionário a todos aqueles que exercessem um cargo de gestão
em PMEs com os requisitos pretendidos e, por outro lado, a reencaminhar a
mensagem para os seus contactos que preenchessem os mesmos requisitos;
c) utilização dos seguintes sítios da Internet a solicitar a resposta ao questionário:

− página da IDC Portugal (http://www.portalidc.com/?no=101000131:062009),
página do IAPMEI (http://www.iapmei.pt/iapmei-art-03.php?id=2506) e na
nossa página pessoal (http://jacasaca.webnode.com/inquerito/);
− redes sociais profissionais (http://www.linkedin.com/)
e http://www.thestartracker.com/).
O Apêndice H apresenta as mensagens disponibilizadas nas páginas acima referidas.
O sistema “surveymonkey.com” foi configurado para recolher respostas segundo dois

métodos diferentes:
• um colector denominado “Email List” que tem como finalidade registar as respostas
obtidas através do link personalizado e associado a cada um dos endereços
electrónicos constantes da base de dados do sistema.. Este colector foi configurado
para garantir apenas uma resposta por cada endereço electrónico enviado e guardar o
endereço electrónico do respondente;
• um colector denominado “Anonymous” que regista as respostas obtidas através do
link geral criado pelo sistema, garantindo o anonimato do respondente. Este colector
foi configurado para garantir apenas uma resposta por computador e guardar o
endereço de IP (Internet Protocol) do respondente.
O questionário em papel foi utilizado nas fases de validação do instrumento de medida

(revisão e pré-teste) e de teste ao modelo, com a colaboração da empresa INSTFORM. Os
questionários recolhidos por esta empresa foram carregados manualmente, de uma só vez
no sistema “surveymonkey.com”, através da funcionalidade “Manual Data Entry” do
colector “Anonymous”.
Uma situação a evitar na administração de questionários é a duplicação de respostas por

parte dos inquiridos, merecendo especial atenção os questionários electrónicos, dado o
carácter de anonimato inerente à Internet. Para ultrapassar este problema foram utilizadas
três abordagens distintas:
• o colector “Email List” foi configurado para garantir apenas uma resposta por cada
endereço electrónico enviado;
• o colector “Anonymous” foi configurado de modo a que não fosse possível
responder a mais do que um questionário a partir do mesmo endereço IP. Embora
esta solução não impeça um inquirido de responder mais do que uma vez ao
questionário a partir de computadores diferentes, ela é, todavia, um inibidor de
duplicação de respostas;
• na recolha presencial de questionários (versão papel) foi devidamente acautelado
pela empresa INSTFORM de que apenas um colaborador de cada empresa recebia e
preenchia um questionário.
12.5.3 RECOLHA DE DADOS
Os dados foram recolhidos entre os dias 9 de Junho e 31 de Agosto de 2009. Entre 9 e 15

de Junho de 2009 foram colocadas nas páginas de Internet do IAPMEI e IDC as
mensagens a solicitar a resposta ao questionário. No mesmo período foram enviadas
mensagens electrónicas aos nossos contactos pessoais e profissionais e colocadas, nas
páginas de Internet das redes sociais profissionais “LinkedIn” e “TheStarTracker”,
mensagens do mesmo teor. As mensagens electrónicas a partir do “surveymonkey.com”
foram enviadas de acordo com o calendário apresentado na Tabela 12.7.
Foram recebidas 724 respostas, das quais 172 foram recolhidas na versão papel, 515 pelo
colector “Email List” e 37 pelo colector “Anonymous”. Tendo em atenção o universo das
PMEs alvo (42 788), a taxa de resposta global fixou-se nos 1,69%. Contudo, tendo em
atenção o valor calculado para a amostra (381), as respostas obtidas representam quase o
dobro do valor da amostra.
Tabela 12.7: Calendário do envio de mensagens.
Tipo de Mensagem N.º de mensagens Data

Mensagem original 5 482 09-06-2009
Mensagem original 4 481 16-06-2009
Mensagem de seguimento 7 954 29-06-2009
Dado que apenas é possível efectuar o controlo das mensagens enviadas e respostas
recebidas através do colector “Email List” do “surveymonkey.com”, os valores constantes
da Tabela 12.8 reflectem a situação das mensagens enviadas, sendo de destacar que 1 809
mensagens não foram entregues no destinatário ou foram rejeitadas pelo computador do
destinatário e 34 empresas optaram por não responder e remover o seu endereço do sistema
“surveymonkey.com”, pois a mensagem enviada permitia esta opção.
Tabela 12.8: Estrutura das mensagens enviadas e recebidas.
Motivo N.º
Total de mensagens enviadas 9 963
Respostas 515
Não responderam 9 448
• Mensagens rejeitadas 1 809
• Mensagens removidas 34
• Mensagens recebidas e não respondidas 7 605
Algumas empresas tiveram a amabilidade de enviar uma mensagem electrónica a justificar

o facto de não responderem ao questionário. As causas para a não resposta vão desde o
facto da empresa contactada não ser uma PME ou não se enquadrar no âmbito das
empresas elegíveis, até às questões relacionadas com as políticas de segurança e/ou
confidencialidade e com a falta de disponibilidade para responder ao questionário.
Das 724 respostas obtidas, foram eliminadas 50 casos, dado que não cumpriam o requisito
do número de trabalhadores considerados no universo em estudo. Trinta casos indicavam
que a empresa tinha mais de 250 trabalhadores e 20 casos tinham menos de 10
trabalhadores. A amostra final compreende 674 questionários válidos para análise e teste
do modelo de investigação, correspondendo a 1,6% do universo das PMEs alvo (42 788),
mas representando mais de 76% do valor calculado para a amostra (381 casos). Esta taxa
de resposta bastante baixa não é algo de muito preocupante, na medida em que elevadas
taxas de não respostas a questionários são normais (Kotulic & Clark, 2004; Tomaskovic-
Devey, Leiter, & Thompson, 1994), especialmente quando se trata de matéria sensível
como a segurança da informação, dado que se trata de um dos tipos de investigação mais
intrusivos e há uma desconfiança geral em fornecer este tipo de informação (Kotulic &
Clark, 2004).
Após terminar o preenchimento do questionário electrónico, o inquirido era confrontado

com uma mensagem a informar que poderia receber uma cópia da conclusão do trabalho de
investigação associado ao questionário, desde que o solicitasse via mensagem electrónica

para o endereço infosec@edu.ulusiada.pt. Das 552 empresas que preencheram o
questionário electrónico, 57 solicitaram o envio das conclusões.
De acordo com Ju, Chen, Sun, e Wu (2006), um dos problemas com a investigação através
de questionários é a ausência de estimativas acerca das não respostas. Conforme o exposto
atrás, apenas é possível efectuar uma análise de não respostas ao universo das mensagens
electrónicas enviadas pelo sistema “surveymonkey.com”. Contudo, não é possível definir
de forma precisa a informação relativa a número de empregados, código CAE e distrito
para aqueles que não responderam, de forma a comparar com exactidão as duas amostras e
verificar a existência ou não de diferenças entre elas. Deste modo, e seguindo o método
utilizado por vários autores (e.g., Gupta & Hammond, 2005; Ma, Johnston, & Pearson,
2008; Masrek, Karim, & Hussein, 2008, Qingxiong & Pearson, 2005), decidiu-se pela
comparação entre as respostas mais cedo e mais tarde, a partir das variáveis número de
empregados, código CAE e distrito. Para este efeito, consideraram-se apenas as respostas
obtidas através do colector “Email List” e constituíram-se duas amostras, uma com as
respostas obtidas entre 9 de Junho e 13 de Julho de 2009 (respostas mais cedo) e outra com
as respostas obtidas entre 14 de Julho e 31 de Agosto de 2009 (respostas mais tarde),
período que abrange as últimas três mensagens de seguimento, conforme Tabela 12.7.
Os valores das Tabelas 12.9 a 12.11 referentes aos testes t realizados sobre as variáveis
número de empregados, código CAE e distrito, demonstram não se rejeitar a hipótese de
que as médias dos dois grupos são iguais, i.e., não há diferença entre os dois grupos de
respostas. Conclui-se, portanto, que não existe qualquer influência das não respostas na
amostra.
Tabela 12.9: Teste t para “n.º de empregados”.

Independent Samples Test
Levene's Test for

Equality of Variances t-test for Equality of Means
95% Confidence
Interval of the
Mean Std. Error Difference
F Sig. t df Sig. (2-tailed) Difference Difference Lower Upper
Nr Empregados Equal variances
,001 ,974 -,687 474 ,492 -3,956 5,754 -15,263 7,351
assumed
Equal variances
-,690 268,009 ,491 -3,956 5,735 -15,248 7,336
not assumed
Tabela 12.10: teste t para “código CAE”.

Levene's Test for

95% Confidence
Interval of the
Código CAE Equal variances
,346 ,557 1,319 474 ,188 2,025 1,536 -,992 5,042
assumed
Equal variances
1,336 273,890 ,183 2,025 1,516 -,959 5,010
not assumed
Tabela 12.11: Teste para “distrito”.
Levene's Test for

95% Confidence
Interval of the
Distrito Equal variances
3,751 ,053 ,777 474 ,437 ,380 ,489 -,580 1,340
assumed
Equal variances
,753 248,592 ,452 ,380 ,504 -,613 1,372
not assumed
Validado o instrumento de medida e recolhidas as respostas do inquérito (nas versões em

papel e em formato electrónico), estão criadas as condições para testar o modelo de
investigação proposto e validar as hipóteses associadas ao modelo.
13 Resultados e Discussão dos Dados
CAPÍTULO 13
RESULTADOS E DISCUSSÃO DOS DADOS
13.1 INTRODUÇÃO
Apresentada a metodologia utilizada para a investigação da gestão da segurança da

informação nas PMEs portuguesas, o passo seguinte envolve a análise e discussão dos
dados produzidos pelos métodos estatísticos e inferenciais utilizados, de acordo com o
modelo e as hipóteses de investigação apresentadas anteriormente.
Este capítulo faz uma caracterização da amostra em termos de informação demográfica e

apresenta as estatísticas descritivas, determinação da fiabilidade e validade dos constructos
e aplicação da análise factorial para transformação dos itens dos constructos em variáveis
do modelo. Apresentam-se, também, os testes ao modelo conceptual da eficácia da gestão
da segurança da informação nas PMEs e a discussão dos resultados obtidos com os testes
ao modelo e a verificação das hipóteses de investigação.
13.2 CARACTERIZAÇÃO DA AMOSTRA
A análise das principais características das PMEs que responderam ao questionário revela
que:
• a maioria das respostas ao questionário provém das pequenas empresas (com mais de
10 e menos de 50 empregados) com 463 respostas (68,7%), enquanto as médias
empresas (com mais de 50 e menos de 250 empregados) são apenas 211 (31,3%),
conforme Tabela 13.1. Mais de metade das empresas pertencem ao sector da
indústria transformadora (33,8%) e do comércio por grosso e a retalho; reparação de
veículos automóveis e motociclos (17,8%). De realçar que os respondentes estão
Capítulo 13 – Resultados e Discussão dos Dados
representados em todas as secções da CAE para ambos os tipos de empresas, à

excepção das médias empresas das actividades imobiliárias em que não há nenhuma
resposta;
Tabela 13.1: N.º de empresas por secção CAE e tipo de empresa.
Tipo de Empresa
Secções da CAE - Rev.3 Pequena Média TOTAL
Empresa Empresa
B - Indústrias extractivas 6 2 8
C – Indústrias transformadoras 118 110 228
D – Electricidade, gás, vapor, água quente e fria e ar frio 4 2 6
E – Captação tratamento e distribuição de água;
7 9 16
saneamento, gestão de resíduos e despoluição
F – Construção 26 14 40
G – Comércio por grosso e a retalho; reparação de veículos
95 25 120
automóveis e motociclos
H – Transportes e armazenagem 12 14 26
I – Alojamento, restauração e similares 18 10 28
J – Actividades de informação e de comunicação 55 13 68
K – Actividades Financeiras e de seguros 14 1 15
L – Actividades imobiliárias 2 0 2
M – Actividades de consultoria, científicas, técnicas e
57 6 63
similares
N – Actividades administrativas e dos serviços de apoio 49 5 54
TOTAL 463 211 674
• os respondentes representam todos os distritos de Portugal Continental e as regiões

autónomas dos Açores e da Madeira, com especial incidência nos distritos de Lisboa
(46%), Porto (14%) e Aveiro (8%), de acordo com a Tabela 13.2;
Tabela 13.2: Nº de empresas por distrito e por tipo de empresa.
Tipo de Empresa
Distrito Pequena Média TOTAL
Empresa Empresa
Açores 1 1 2
Aveiro 25 29 54
Beja 1 2 3
Braga 26 16 42
Bragança 2 0 2
(continua)
Tipo de Empresa
Distrito Pequena Média TOTAL
Empresa Empresa
Castelo Branco 3 6 9
Coimbra 12 5 17
Évora 6 2 8
Faro 10 4 14
Guarda 0 3 3
Leiria 23 15 38
Lisboa 245 66 311
Madeira 8 1 9
Portalegre 4 0 4
Porto 58 36 94
Santarém 17 7 24
Setúbal 15 8 23
Viana do Castelo 1 2 3
Vila Real 3 2 5
Viseu 3 6 9
TOTAL 463 211 674
• no geral, mais de metade das empresas não possuem departamento de informática

(59%), representando esta situação cerca de 82% nas pequenas empresas. O número
de empresas que possuem departamento de informática é idêntico (139) para ambos
os tipos de empresas, conforme Tabela 13.3;
Tabela 13.3: N.º de empresas com e sem departamento de informática por tipo de empresa.
Tipo de Empresa
Departamento de
Pequena Média TOTAL
Informática
Empresa Empresa
Sim 139 139 278
Não 324 72 396
TOTAL 463 211 674
• as funções mais representativas exercidas pelos respondentes ao questionário são

sócio-gerente (18,5%), responsável informático (17,2%), responsável
financeiro/contabilidade (17,1%), administrador (10,7%), como consta da Tabela
13.4. As funções associadas ao poder de decisão executivo (sócio-gerente, gerente,
administrador e director-geral) representam cerca de 42% dos respondentes;
Tabela 13.4: Função exercida pelo respondente.
Utilização da Internet N.º

Sócio-gerente 125
Gerente 39
Administrador 72
Director-geral 44
Responsável financeiro/contabilidade 115
Responsável informático 116
Responsável de segurança 18
Outro 145
TOTAL 674
• a quase totalidade das empresas utiliza a Internet (98,8%) nos seus processos de
negócio e cerca de 66% tem presença na Internet através de website próprio. As redes
locais (com e sem fios) são utilizadas por cerca de metade das empresas, de acordo
com a Tabela 13.5;
Tabela 13.5: Tecnologias utilizadas pelas empresas em percentagem de respondentes.
Tipo de Tecnologia %
Internet 98,8%
Intranet 44,1%
Extranet 11,4%
Rede local com fios (LAN) 58,3%
Rede local sem fios (wireless) 46,7%
Rede de longa distância (WAN) 14,4%
Comércio Electrónico 20,0%
EDI (troca electrónica de informação) 18,4%
Website próprio 65,7%
• a Internet é utilizada por mais de 70% das empresas para procurar informação
(88,1%), realizar pagamentos e/ou recebimentos (76,6%) e obter serviços bancários e
financeiros (73,4%), como apresentado na Tabela 13.6;
Tabela 13.6: Utilização da Internet pelas empresas em percentagem de respondentes.
Utilização da Internet %
Procura de informação 88,1
Monitorização do mercado 55,9
Recepção de bens e/ou serviços digitais 37,8
Obtenção de serviços pós-venda 24,8
Obtenção de serviços bancários e financeiros 73,4
Actividades de educação e/ou formação 25,7
Venda de bens e/ou serviços 30,4
Compra de bens e/ou serviços 47,0
Realizar pagamentos e/ou recebimentos 76,6
• o software utilizado por mais de metade das empresas inclui os programas de

contabilidade e facturação (82,9%), gestão comercial (71,8%) e gestão de pessoal
(67,2%). O software relacionado com pagamentos e/ou recebimentos electrónicos,
ERP (enterprise resource planning), CAD/CAM, software estatístico e
datawarehouse são utilizados por menos de 34% das empresas, conforme Tabela
13.7;
Tabela 13.7: Software utilizado pelas empresas em percentagem de respondentes.
Tipo de Software %
Escritório Electrónico (Office) 60,7
Contabilidade e Facturação 82,9
Gestão comercial 71,8
Gestão administrativa 50,0
Gestão de pessoal (salários) 67,2
Datawarehouse 08,9
ERP (enterprise resource planning) 22,7
CAD/CAM 21,4
Software estatístico 15,6
Pagamentos e/ou recebimentos electrónicos 34,0
• as aplicações de segurança mais utilizadas pelas empresas são a verificação de vírus

ou software de protecção (93,8%), firewalls (software ou hardware) (83,2%) e filtros
anti-spam (e-mails não solicitados) (69,0%), enquanto as assinaturas electrónicas
digitais (19,6%) e a encriptação para confidencialidade (17,4%), são as aplicações

menos utilizadas, de acordo com a Tabela 13.8;
Tabela 13.8: Aplicações de segurança utilizadas pelas empresas em percentagem de respondentes.
Aplicações de Segurança %
Verificação de vírus ou software de protecção 93,8
Firewalls (software ou hardware) 83,2
Servidores seguros 53,7
Controlos de acesso, autorização e autenticação 59,6
Backup de informação numa localização externa à empresa 55,5
Subscrição de um serviço de segurança (ex: antivírus e alerta
59,1
de intrusão na rede)
Filtros anti-spam (e-mails não solicitados) 69,0
Assinatura electrónica digital 19,6
Encriptação para confidencialidade 17,4
Outros mecanismos de segurança 17,5
• cerca de 54% das empresas tiveram incidentes de segurança nos últimos 12 meses,
com maior incidência nas pequenas empresas (62,9%) do que nas médias empresas
(37,1%), conforme Tabela 13.9;
Tabela 13.9: N.º de empresas com e sem incidentes de segurança por tipo de empresa.
Tipo de Empresa
Incidente de
Pequena Média TOTAL
Segurança
Empresa Empresa
Sim 229 135 364
Não 234 76 310
TOTAL 463 211 674
• os incidentes de segurança mais frequentes estão associados a problemas com vírus

ou outro tipo de software malicioso (33,8%), a empregados que abusaram dos seus
privilégios de acesso à Internet (21,1%), a dados corrompidos ou parcialmente
perdidos (14,3%) e a problemas com a fiabilidade dos sistemas de informação
(11,3%), de acordo com a Tabela 13.10;
Tabela 13.10: Incidentes de segurança sofridos pelas empresas.
Empresas
Incidentes de Segurança
N.º %
Foi vítima de um desastre natural (inundações, sismos, tempestades, fogos, etc.)? 34 5,1
Foi vítima de fraude? 14 2,1
Teve uma violação dos privilégios de acesso aos sistemas de informação por
17 2,5
parte de colaboradores internos?
Teve um acesso aos sistemas de informação por parte de um atacante externo? 19 2,8
Sofreu um roubo de dados dos seus sistemas? 14 2,1
Teve problemas com vírus ou outro tipo de software malicioso? 228 33,8
Teve informação confidencial divulgada? 15 2,2
Teve dados corrompidos ou parcialmente perdidos? 96 14,3
Teve problemas com a fiabilidade dos sistemas de informação? 76 11,3
Teve roubo dos equipamentos informáticos? 48 7,1
Teve empregados que abusaram dos seus privilégios de acesso à Internet? 142 21,1
Perdeu dinheiro devido a algum problema de segurança da informação? 21 3,1
• os incidentes de segurança repartem-se de forma mais ou menos semelhante por tipo

de empresa, à excepção dos incidentes com vírus ou outro tipo de software malicioso
que afectam cerca de 60% das pequenas empresas, conforme Tabela 13.11.
Tabela 13.11: Incidentes de segurança mais significativas por tipo de empresa.
Tipo de Empresa
Incidente de Segurança Pequena Média TOTAL
Empresa Empresa
Problemas com vírus ou outro tipo de software malicioso 137 91 228
Empregados que abusaram dos seus privilégios de acesso à
72 70 142
Internet
Dados corrompidos ou parcialmente perdidos 57 39 96
Problemas com a fiabilidade dos sistemas de informação 44 32 76
TOTAL 310 232 542
Os dados referentes à utilização da Internet (tipo de acesso e de utilização) e às aplicações

de segurança utilizadas pelas PMEs que responderam ao questionário não diferem dos
valores apresentados no ponto 11.2 – Características das PMEs portuguesas, constantes do
documento “A Sociedade da Informação em Portugal 2008” (INE, 2009a). Relativamente
aos incidentes de segurança, realça-se o facto de cerca de 54% das PMEs terem sofrido um
qualquer tipo de incidente nos últimos 12 meses, assumindo maior destaque os incidentes
com software malicioso e abuso do acesso à Internet pelos empregados.
13.3 ESTATÍSTICAS DESCRITIVAS, FIABILIDADE E VALIDADE

DOS CONSTRUCTOS
As estatísticas descritivas mais relevantes associadas a cada um dos itens de cada

constructo, em função dos dados recolhidos das 674 respostas obtidas, são apresentadas na
Tabela 13.12, sendo de realçar:
• todos os itens, sem excepção, apresentam os valores mínimos (1) e máximo (5) de
respostas possíveis;
• o número de respostas válidas para efeito do cálculo das estatísticas é bastante
significativo em todos os itens, atingindo o seu valor mais baixo nos constructos
“Características individuais dos gestores” e “Eficácia das práticas de segurança da
informação”, com uma taxa de respostas válidas de 98,2%;
• os coeficientes de assimetria e curtose conduzem à conclusão que os itens não têm
uma distribuição normal.
Assimetria Curtose
Const. Desvio
Min Max Média Nº
Item Padrão Desv. Desv.
Estat. Coef. Estat. Coef.
Pad. Pad.
Percepção do risco pelos gestores
PerGest1 1 5 3,96 0,028 -0,740 0,094 -7,872 1,102 0,188 5,862 672
PerGest2 1 5 3,99 0,030 -0,979 0,094 -10,415 1,833 0,188 9,750 672
PerGest3 1 5 4,11 0,029 -0,930 0,094 -9,894 1,769 0,188 9,410 672
Ambiente organizacional
AmbOrg1 1 5 3,51 0,045 -0,548 0,095 -5,768 -0,535 0,190 -2,816 663
AmbOrg2 1 5 2,97 0,039 0,265 0,095 2,789 -0,639 0,190 -3,363 663
AmbOrg3 1 5 2,69 0,038 0,144 0,095 1,516 -0,521 0,190 -2,742 663
Ambiente de sistemas e tecnologias de informação
AmbSTI1 1 5 3,33 0,038 -0,697 0,095 -7,337 -0,257 0,190 -1,353 663
AmbSTI2 1 5 3,60 0,031 -1,126 0,095 -11,853 1,524 0,190 8,021 663
AmbSTI3 1 5 3,76 0,030 -0,960 0,095 -10,105 1,723 0,190 9,068 663
AmbSTI4 1 5 3,69 0,029 -0,841 0,095 -8,853 1,290 0,190 6,789 663
(continua)
Assimetria Curtose
Const. Desvio
Min Max Média Nº
Pad. Pad.
AmbSTI5 1 5 3,91 0,030 -0,983 0,095 -10,347 2,144 0,190 11,284 663
Características individuais dos gestores
SocGes1 1 5 3,68 0,036 -0,830 0,095 -8,737 0,567 0,190 2,984 662
SocGes2 1 5 3,61 0,036 -0,703 0,095 -7,400 0,324 0,190 1,705 662
SocGes3 1 5 3,71 0,033 -0,682 0,095 -7,179 0,671 0,190 3,532 662
SocGes4 1 5 3,58 0,034 -0,538 0,095 -5,663 0,221 0,190 1,163 662
SocGes5 1 5 3,62 0,033 -0,612 0,095 -6,442 0,386 0,190 2,032 662
SocGes6 1 5 3,76 0,032 -0,709 0,095 -7,463 0,905 0,190 4,763 662
Leis, regulamentos e normas
Leis1 1 5 3,35 0,035 -0,415 0,095 -4,368 -0,231 0,190 -1,216 663
Leis2 1 5 3,55 0,033 -0,666 0,095 -7,011 0,465 0,190 2,447 663
Leis3 1 5 3,55 0,032 -0,667 0,095 -7,021 0,607 0,190 3,195 663
Leis4 1 5 3,59 0,033 -0,576 0,095 -6,063 0,346 0,190 1,821 663
Leis5 1 5 3,29 0,033 -0,374 0,095 -3,937 0,097 0,190 0,511 663
Governo da segurança da informação
GovSeg1 1 5 3,47 0,033 -0,724 0,095 -7,621 0,249 0,189 1,317 665
GovSeg2 1 5 3,54 0,033 -0,742 0,095 -7,811 0,420 0,189 2,222 665
GovSeg3 1 5 3,50 0,032 -0,704 0,095 -7,411 0,419 0,189 2,217 665
GovSeg4 1 5 3,32 0,035 -0,435 0,095 -4,579 -0,178 0,189 -0,942 665
GovSeg5 1 5 3,36 0,033 -0,436 0,095 -4,589 -0,023 0,189 -0,122 665
GovSeg6 1 5 3,30 0,033 -0,385 0,095 -4,053 0,032 0,189 0,169 665
GovSeg7 1 5 3,34 0,034 -0,514 0,095 -5,411 -0,022 0,189 -0,116 665
Gestão do risco
GRisco1 1 5 3,96 0,034 -1,069 0,095 -11,253 1,318 0,190 6,937 663
GRisco2 1 5 3,21 0,034 -0,368 0,095 -3,874 -0,331 0,190 -1,742 663
GRisco3 1 5 3,17 0,034 -0,282 0,095 -2,968 -0,330 0,190 -1,737 663
GRisco4 1 5 3,08 0,035 -0,187 0,095 -1,968 -0,384 0,190 -2,021 663
GRisco5 1 5 3,21 0,033 -0,397 0,095 -4,179 -0,124 0,190 -0,653 663
GRisco6 1 5 3,09 0,039 -0,164 0,095 -1,726 -0,665 0,190 -3,500 663
Investimento em segurança da informação
InvSeg1 1 5 3,05 0,039 -0,224 0,094 -2,383 -0,884 0,189 -4,678 668
InvSeg2 1 5 3,17 0,035 -0,367 0,094 -3,904 -0,563 0,189 -2,979 668
InvSeg3 1 5 3,91 0,030 -0,934 0,094 -9,936 1,764 0,189 9,333 668
Tecnologia
Tecno1 1 5 3,85 0,026 -1,141 0,094 -12,138 3,273 0,189 17,317 669
Tecno2 1 5 3,95 0,028 -0,693 0,094 -7,372 1,404 0,189 7,429 669
Tecno3 1 5 3,90 0,025 -0,488 0,094 -5,191 1,131 0,189 5,984 669
Tecno4 1 5 3,70 0,027 -0,363 0,094 -3,862 0,625 0,189 3,307 669
(continua)
Assimetria Curtose
Const. Desvio
Min Max Média Nº
Pad. Pad.
Pessoas
Pessoas1 1 5 3,69 0,031 -0,905 0,095 -9,526 1,155 0,189 6,111 665
Pessoas2 1 5 3,72 0,028 -1,028 0,095 -10,821 1,901 0,189 10,058 665
Pessoas3 1 5 3,31 0,037 -0,501 0,095 -5,274 -0,331 0,189 -1,751 665
Pessoas4 1 5 3,04 0,036 -0,232 0,095 -2,442 -0,737 0,189 -3,899 665
Pessoas5 1 5 3,45 0,035 -0,528 0,095 -5,558 0,310 0,189 1,640 665
Pessoas6 1 5 3,35 0,034 -0,635 0,095 -6,684 0,102 0,189 0,540 665
Pessoas7 1 5 3,30 0,035 -0,562 0,095 -5,916 -0,066 0,189 -0,349 665
Eficácia das práticas de segurança da informação
Eficpr1 1 5 3,67 0,028 -1,101 0,095 -11,589 2,262 0,190 11,905 662
Eficpr2 1 5 3,78 0,028 -1,199 0,095 -12,621 2,947 0,190 15,511 662
Eficpr3 1 5 3,82 0,027 -1,029 0,095 -10,832 2,424 0,190 12,758 662
Eficpr4 1 5 3,77 0,027 -0,954 0,095 -10,042 2,123 0,190 11,174 662
Eficpr5 1 5 3,67 0,029 -0,750 0,095 -7,895 1,103 0,190 5,805 662
Eficpr6 1 5 3,75 0,027 -0,909 0,095 -9,568 1,894 0,190 9,968 662
Eficpr7 1 5 3,63 0,028 -0,504 0,095 -5,305 0,961 0,190 5,058 662
Eficpr8 1 5 3,70 0,027 -0,552 0,095 -5,811 1,318 0,190 6,937 662
Eficpr9 1 5 3,60 0,027 -0,637 0,095 -6,705 1,230 0,190 6,474 662
Conforme a Tabela 13.13, os testes Kolmogorov-Sminorv e Shapiro-Wilk rejeitam a

hipótese nula de que as distribuições de todos os itens sejam normais. Em função destes
dados, recorreu-se à análise de simetria e de curtose para determinar se as distribuições das
variáveis são relativamente normais.
Tabela 13.13: Testes K-S e Shapiro-Wilk.
Item
PerGest1 0,328 672 0,000 0,802 672 0,000
PerGest2 0,328 672 0,000 0,791 672 0,000
PerGest3 0,292 672 0,000 0,794 672 0,000
AmbOrg1 0,245 663 0,000 0,886 663 0,000
AmbOrg2 0,199 663 0,000 0,896 663 0,000
AmbOrg3 0,204 663 0,000 0,902 663 0,000
AmbSTI1 0,299 663 0,000 0,842 663 0,000
AmbSTI2 0,353 663 0,000 0,778 663 0,000
(continua)
Item
AmbSTI3 0,349 663 0,000 0,792 663 0,000
AmbSTI4 0,339 663 0,000 0,805 663 0,000
AmbSTI5 0,335 663 0,000 0,792 663 0,000
SocGes1 0,311 662 0,000 0,843 662 0,000
SocGes2 0,297 662 0,000 0,856 662 0,000
SocGes3 0,295 662 0,000 0,850 662 0,000
SocGes4 0,271 662 0,000 0,870 662 0,000
SocGes5 0,291 662 0,000 0,857 662 0,000
SocGes6 0,300 662 0,000 0,841 662 0,000
Leis1 0,251 663 0,000 0,878 663 0,000
Leis2 0,296 663 0,000 0,848 663 0,000
Leis3 0,293 663 0,000 0,845 663 0,000
Leis4 0,285 663 0,000 0,859 663 0,000
Leis5 0,220 663 0,000 0,875 663 0,000
GovSeg1 0,307 665 0,000 0,837 665 0,000
GovSeg2 0,315 665 0,000 0,832 665 0,000
GovSeg3 0,307 665 0,000 0,832 665 0,000
GovSeg4 0,247 665 0,000 0,876 665 0,000
GovSeg5 0,252 665 0,000 0,868 665 0,000
GovSeg6 0,230 665 0,000 0,871 665 0,000
GovSeg7 0,259 665 0,000 0,863 665 0,000
GRisco1 0,320 663 0,000 0,804 663 0,000
GRisco2 0,230 663 0,000 0,876 663 0,000
GRisco3 0,211 663 0,000 0,881 663 0,000
GRisco4 0,210 663 0,000 0,888 663 0,000
GRisco5 0,221 663 0,000 0,871 663 0,000
GRisco6 0,203 663 0,000 0,899 663 0,000
InvSeg1 0,231 669 0,000 0,880 669 0,000
InvSeg2 0,238 669 0,000 0,870 669 0,000
InvSeg3 0,335 669 0,000 0,797 669 0,000
Tecno1 0,379 669 0,000 0,734 669 0,000
Tecno2 0,321 669 0,000 0,804 669 0,000
Tecno3 0,336 669 0,000 0,789 669 0,000
Tecno4 0,314 669 0,000 0,812 669 0,000
Pessoas1 0,345 665 0,000 0,803 665 0,000
Pessoas2 0,368 665 0,000 0,766 665 0,000
Pessoas3 0,260 665 0,000 0,875 665 0,000
Pessoas4 0,213 665 0,000 0,879 665 0,000
Pessoas7 0,255 665 0,000 0,867 665 0,000
(continua)
Item
Eficacia1 0,357 662 0,000 0,763 662 0,000
Eficacia2 0,374 662 0,000 0,746 662 0,000
Pessoas5 0,245 665 0,000 0,873 665 0,000
Pessoas6 0,268 665 0,000 0,855 665 0,000
Eficacia3 0,371 662 0,000 0,757 662 0,000
Eficacia4 0,359 662 0,000 0,772 662 0,000
Eficacia5 0,330 662 0,000 0,811 662 0,000
Eficacia6 0,359 662 0,000 0,775 662 0,000
Eficacia7 0,306 662 0,000 0,814 662 0,000
Eficacia8 0,320 662 0,000 0,800 662 0,000
Eficacia9 0,316 662 0,000 0,797 662 0,000
A análise dos coeficientes de curtose e simetria (Tabela 13.12) demonstram que se rejeita a
possibilidade de simetria para a quase totalidade dos itens (97% dos 58 itens), mas não se
rejeita o achatamento mesocúrtico para um terço dos itens (31%).
A partir dos itens utilizados para medir cada constructo, procedeu-se à determinação da
fiabilidade e validade de constructo dos 11 constructos identificados no modelo de
investigação, tal como foi efectuado na fase do teste piloto. Os resultados obtidos para o
Alfa de Cronbach e para os pesos dos factores (para efeitos de validade dos constructos),
são os constantes da Tabela 13.14.
Tabela 13.14: Testes de fiabilidade e validade.
Peso do Alfa de
Constructo / Item
factor Cronbach
Percepção do risco pelos gestores 0,880
PerGest1 0,802
PerGest2 0,940
PerGest3 0,789
Ambiente organizacional 0,496
AmbOrg1 0,534
AmbOrg2 0,337
AmbOrg3 0,651
AmbSTI1 0,580
AmbSTI2 0,662
(continua)
Peso do Alfa de
Constructo / Item
factor Cronbach
AmbSTI3 0,848
AmbSTI4 0,858
AmbSTI5 0,656
SocGes1 0,827
SocGes2 0,863
SocGes3 0,830
SocGes4 0,906
SocGes5 0,876
SocGes6 0,788
Leis1 0,704
Leis2 0,930
Leis3 0,910
Leis4 0,785
Leis5 0,667
GovSeg1 0,813
GovSeg2 0,824
GovSeg3 0,786
GovSeg4 0,830
GovSeg5 0,863
GovSeg6 0,875
GovSeg7 0,811
GRisco1 0,562
GRisco2 0,889
GRisco3 0,912
GRisco4 0,852
GRisco5 0,803
GRisco6 0,602
Investimento em segurança da informação 0,574
InvSeg1 0,669
InvSeg2 0,641
InvSeg3 0,374
Tecnologia 0,826
Tecno1 0,623
Tecno2 0,702
Tecno3 0,882
Tecno4 0,755
(continua)
Peso do Alfa de
Constructo / Item
factor Cronbach
Pessoas 0,876
Pessoas1 0,610
Pessoas2 0,680
Pessoas3 0,814
Pessoas4 0,684
Pessoas5 0,642
Pessoas6 0,810
Pessoas7 0,725
Eficpr1 0,796
Eficpr2 0,831
Eficpr3 0,789
Eficpr4 0,845
Eficpr5 0,772
Eficpr6 0,785
Eficpr7 0,700
Eficpr8 0,705
Eficpr9 0,676
Verifica-se que os valores dos alfas demonstram uma fiabilidade boa (cinco constructos)
ou muito boa (quatro constructos), enquanto dois constructos apresentam uma fiabilidade
inadmissível, embora o constructo “Investimento em segurança” apresente um valor muito
próximo (0,574) do limiar de 0,6.
Por seu lado, os pesos dos factores são todos significativos (> 0,5), à excepção dos itens
AmbOrg2 e InvSeg3, revelando, portanto, uma identificação forte com o respectivo
constructo.
Antes de se proceder à análise factorial de componentes principais para transformar os

itens de cada constructo num único factor ou variável, calculou-se o valor da medida de
adequabilidade KMO para determinar se as correlações entre os itens suportavam essa
análise factorial. Os valores da Tabela 13.15 confirmam que as correlações entre os itens
de cada constructo suportam uma análise factorial, dado que a medida da qualidade da
análise factorial é muito boa para dois constructos, boa para quatro e média para os outros
dois constructos.
Tabela 13.15: Valores de KMO para os constructos.
Constructo KMO
Tecnologia 0,778
Pessoas 0,878
Em função dos resultados anteriores, foi efectuada uma análise factorial de componentes
principais para os itens de cada constructo, obtendo-se 11 factores ou variáveis, cujas
estatísticas descritivas mais relevantes constam da Tabela 13.16.
Assimetria Curtose
Construc Desvio
Min Max Nº
to Padrão Desv. Desv.
Pad. Pad.
PerGest -4,452 1,450 0,0386 -0,719 0,094 -7,649 1,338 0,188 7,117 672
AmbOrg -2,743 2,655 0,0388 -0,124 0,095 -1,305 -0,118 0,190 -0,621 663
AmbSTI -4,215 2,082 0,0388 -0,987 0,095 -10,389 2,210 0,190 11,632 663
SocGes -3,462 1,742 0,0389 -0,596 0,095 -6,274 0,926 0,190 4,874 662
Leis -3,391 2,093 0,0388 -0,598 0,095 -6,595 0,998 0,190 5,253 663
GovSeg -3,290 2,177 0,0388 -0,567 0,095 -5,968 0,644 0,189 3,407 665
GRisco -3,065 2,350 0,0389 -0,477 0,095 -5,021 0,467 0,190 2,458 663
InvSeg -3,598 2,458 0,0387 -0,361 0,094 -3,840 0,826 0,189 4,370 669
Tecno -5,122 2,072 0,0387 -0,512 0,094 -5,447 2,280 0,189 12,063 669
Pessoas -3,673 2,392 0,0388 -0,628 0,095 -6,611 1,161 0,189 6,143 665
Eficacia -4,812 2,282 0,0389 -0,985 0,095 -10,368 2,977 0,190 15,668 662
Os valores dos coeficientes de assimetria e curtose revelam que as variáveis não

apresentam uma distribuição normal, dado que os mesmos não pertencem ao intervalo [-
1,96, +1,96]. A quase totalidade das variáveis tem uma distribuição assimétrica negativa ou
enviesada à direita (coeficientes de assimetria menores que -1,96) e são leptocúrticas, i.e.,
menos achatada que a normal (coeficientes de curtose maiores que +1,96).
Os resultados obtidos no cálculo da fiabilidade e validade de constructo dos itens do

questionário associados ao modelo conceptual de investigação, permitiram passar à fase
seguinte da execução da análise factorial de componentes principais para transformar os
itens de cada constructo numa única variável. Este processo resultou na criação de 11
variáveis, as quais servirão de base ao teste do modelo conceptual de investigação,
conforme apresentado de seguida.
13.4 TESTE DO MODELO CONCEPTUAL DE INVESTIGAÇÃO
Tendo em consideração a forma como foi definido o modelo conceptual de investigação e

a metodologia utilizada para a realização do teste do modelo, é necessário que este teste
seja desenvolvido de uma forma parcelar. Assim, numa primeira fase testa-se o modelo
“percepção do risco da segurança da informação pelos gestores”, seguido do teste do
modelo “eficácia da segurança da informação”, nas suas três componentes: efeitos
indirectos; efeitos directos sem variáveis de controlo; efeitos directos com variáveis de
controlo.
13.4.1 ESTRUTURA DO TESTE DO MODELO CONCEPTUAL DE INVESTIGAÇÃO
Conforme foi referido anteriormente, o modelo conceptual de investigação é composto por

dois modelos independentes: o modelo “percepção do risco da segurança da informação
pelos gestores” e o modelo “eficácia da segurança da informação”, sendo de realçar o facto
da variável PerGest ser comum aos dois modelos (ver Figura 10.3).
O modelo “eficácia da segurança da informação” pretende avaliar os efeitos directos (com

e sem variáveis de controlo) e os efeitos indirectos das variáveis independentes sobre a
variável dependente PerGest.
Em função desta composição do modelo conceptual, serão efectuados quatro testes:
1. teste do modelo “percepção do risco da segurança da informação pelos gestores”

(hipóteses H1);
2. teste dos efeitos indirectos - efeito moderador da variável PerGest sobre as
restantes variáveis independentes do modelo (hipóteses H2);
3. teste dos efeitos directos de todas as variáveis independentes do modelo sobre a

variável dependente Eficacia, sem a inclusão das variáveis de controlo (hipóteses
H3);
4. teste dos efeitos directos de todas as variáveis independentes do modelo sobre a
variável dependente Eficacia, com a inclusão das variáveis de controlo (variáveis
independentes artificiais) – IndexTEC, IndexSEG e IndexINF, (hipóteses H3).
O teste das hipóteses é efectuado através da utilização de modelos de regressão linear

simples (teste aos efeitos indirectos) e múltipla (teste ao modelo da “percepção dos riscos
da segurança da informação pelos gestores” e testes aos efeitos directos, com e sem
variáveis de controlo), recorrendo-se ao SPSS, versão 15.0, para cálculo dos diversos
modelos de regressão linear.
A aplicação dos modelos de regressão linear é efectuada com base em dois métodos
utilizados pelo SPSS:
• o método Stepwise para explicar o processo de inclusão das variáveis no modelo,

identificando as variáveis que são excluídas do modelo de regressão;
• o método Enter para estimar os coeficientes dos parâmetros do modelo, incluindo
todas as variáveis do modelo, mesmo as que são excluídas pelo método Stepwise.
Nos modelos de regressão linear múltipla, como existe mais do que uma variável
independente, são utilizados ambos os métodos. Nos modelos de regressão linear simples,
como existe apenas uma variável independente, só faz sentido utilizar o método Enter. De
salientar que quando não existem variáveis excluídas do modelo de regressão, os
coeficientes produzidos por ambos os métodos (Stepwise e Enter) são idênticos, razão pela
qual não se efectuam análises diferenciadas nestas circunstâncias.
A execução de cada um dos quatro testes compreende as seguintes tarefas:
• exploração dos dados;

• estimação e inferência;
• hipóteses do modelo.
As hipóteses de cada modelo de regressão linear estimado compreendem a análise da

homocedasticidade, da autocorrelação dos resíduos, da normalidade e, quando se trata de
modelos de regressão linear múltipla, da análise da multicolinearidade.
13.4.2 TESTE DO MODELO “PERCEPÇÃO DOS RISCOS DA SEGURANÇA DA

INFORMAÇÃO PELOS GESTORES”
Um dos objectivos desta investigação incluía o teste ao modelo “percepção dos riscos da
segurança da informação pelos gestores”, adaptado de Straub e Welke (1998), o qual, por
sua vez, foi derivado do modelo sobre “as preocupações de segurança dos utilizadores dos
sistemas” de Goodhue e Straub (1991). Os testes empíricos às hipóteses deste modelo
revelaram um suporte fraco e parcial para algumas das relações propostas, pelo que Straub
e Welke (1998) recomendam a realização de estudos adicionais para confirmar ou refutar
este modelo. Nesta perspectiva, e tendo presente o conjunto de hipóteses definidas acerca
do efeito da percepção dos riscos de segurança da informação pelos gestores sobre a
eficácia das práticas de gestão da segurança de informação, torna-se relevante conhecer
com que base se formam essas percepções dos gestores.
Com base na informação obtida a partir da amostra pretende-se estimar os parâmetros do

modelo:
PerGest = α + β1 × AmbOrg + β2 × AmbSTI + β3 × SocGes (7)
A Equação 7 testa as hipóteses H1A, H1B, e H1C representadas graficamente na Figura 13.1.
Figura 13.1: Hipóteses do modelo de “Percepção dos riscos da segurança da informação pelos gestores
13.4.2.1 Exploração dos Dados
Para analisar a relação entre variável dependente e as variáveis independentes e conhecer a

forma como cada uma das variáveis independentes contribui para explicar a variação da
variável dependente, aplicou-se o modelo de regressão linear múltipla conjuntamente com
o método Stepwise (utilizado pelo SPSS).
A análise dos coeficientes de correlação linear (R) constantes da Tabela 13.17, evidencia
uma associação linear positiva fraca entre as quatro variáveis, excepto para a associação
entre as variáveis PerGest e AmbSTI que é moderada, conforme os critérios definidos no
Quadro 13.1, garantindo-se, deste modo, um dos requisitos para a utilização deste modelo.
A variável independente mais correlacionada com a variável dependente (PerGest) é
AmbSTI (R = 0,543) e as duas variáveis independentes mais correlacionadas são AmbSTI e
AmbOrg (R = 0,470).
Tabela 13.17: Estatísticas descritivas e correlações entre constructos.
Desvio
Constructo Média N PerGest AmbOrg AmbSTI SocGes
Padrão
PerGest -0,00944 1,00450 640 0,338 0,543 0,314
AmbOrg -0,00023 1,00604 640 0,470 0,265
AmbSTI -0,01239 0,99734 640 0,406
SocGes -0,00575 1,00343 640
Quadro 13.1: Classificação da associação linear.
Valores de R Tipo de associação linear
|R| < 0,2 Muito fraca

0,2 ≤ |R| < 0,4 Fraca
0,4 ≤ |R| < 0,7 Moderada
0,7 ≤ |R| < 0,9 Elevada
0,9 ≤ |R| < 1 Muito elevada
Fonte: Pestana e Gageiro (2005, p. 107).
13.4.2.2 Estimação e Inferência
Para o efeito para examinar a relação entre a variável dependente PerGest e as variáveis
independentes AmbOrg, AmbSTI e SocGes, aplicou-se o método de regressão linear
múltipla.
A aplicação do método Stepwise para análise do processo de inclusão das variáveis no

modelo de regressão, produziu os coeficientes constantes da Tabela 13.18.
Tabela 13.18: Resumo do modelo de regressão.

Model Summaryd
Change Statistics
Adjusted Std. Error of R Square Durbin-
Model R R Square R Square the Estimate Change F Change df1 df2 Sig. F Change Watson
1 ,543a ,294 ,293 ,84449154 ,294 266,080 1 638 ,000
2 ,552 b ,305 ,303 ,83889505 ,010 9,541 1 637 ,002
3 ,559c ,312 ,309 ,83512620 ,007 6,762 1 636 ,010 1,936
a. Predictors: (Constant), AmbSTI
b. Predictors: (Constant), AmbSTI, SocGes
c. Predictors: (Constant), AmbSTI, SocGes, AmbOrg
d. Dependent Variable: PerGest
A primeira variável independente a entrar no modelo é AmbSTI, pois é aquela que

apresenta o maior coeficiente de correlação com a variável dependente PerGest (R =
0,543). O R2 do modelo 1 é de 0,294 (Tabela 13-18), o que significa que 29,4% da
variação da variável PerGest é explicada pela variável AmbSTI, enquanto os restantes 70,6%
são explicados por outras variáveis não identificadas. A Tabela 13.19 referente aos testes F
da Anova, confirma este resultado, dado que a soma dos quadrados relativos à regressão do
modelo 1 é de 189,8, correspondendo a 29,47% do total da soma dos quadrados. O nível de
significância 0,000 para o teste F do modelo 1 (Tabela 13.19), mostra que a contribuição
da variável AmbSTI é significativa e leva à rejeição da nulidade do coeficiente do
parâmetro desta variável independente.
O contributo individual de AmbOrg e SocGes para explicar os restantes 70,6% é dado

pelos coeficientes de correlação parciais e semi-parciais de cada uma destas variáveis e
respectivos coeficientes de determinação parciais e semi-parciais. Segundo Pestana e
Gageiro (2005), o coeficiente de correlação parcial serve para identificar a variável
independente que mais contribui para explicar o ainda não explicado na variação da
variável dependente, enquanto o coeficiente de correlação semi-parcial mede a
percentagem de variação da variável dependente que é explicada pelo contributo individual

de cada variável independente.
Tabela 13.19: Testes F da Anova.
ANOVAd
Sum of
Model Squares df Mean Square F Sig.
1 Regression 189,759 1 189,759 266,080 ,000a
Residual 455,000 638 ,713
Total 644,759 639
2 Regression 196,474 2 98,237 139,591 ,000b
Residual 448,286 637 ,704
Total 644,759 639
3 Regression 201,190 3 67,063 96,157 ,000c
Residual 443,569 636 ,697
Total 644,759 639
a. Predictors: (Constant), AmbSTI
b. Predictors: (Constant), AmbSTI, SocGes
c. Predictors: (Constant), AmbSTI, SocGes, AmbOrg
d. Dependent Variable: PerGest
Analisando os coeficientes de correlação parciais do modelo 1 da Tabela 13.20, verifica-se

que a variável que mais contribui para a variação não explicada da variável PerGest é a
variável SocGes, com um contributo relativo de 1,5% (= 0,1212 × 100), o que em termos
absolutos (dos 70,6% que falta explicar) representa 1,0% (= 1,5% × 70,6%).
Tabela 13.20: Variáveis excluídas.
Excluded Variablesc
Collinearity Statistics
Partial Minimum
Model Beta In t Sig. Correlation Tolerance VIF Tolerance
1 AmbOrg ,107a 2,859 ,004 ,113 ,779 1,283 ,779
SocGes ,112a 3,089 ,002 ,121 ,835 1,198 ,835
2 AmbOrg ,097b 2,600 ,010 ,103 ,773 1,294 ,694
a. Predictors in the Model: (Constant), AmbSTI
b. Predictors in the Model: (Constant), AmbSTI, SocGes
c. Dependent Variable: PerGest
Assim, 1,0% da variabilidade total da variável PerGest poderá ser explicada com a
inclusão da variável SocGes no modelo de regressão. Este valor de 1,0% corresponde ao
aumento do R2change pela introdução da variável SocGes no modelo que já continha a
variável AmbSTI, conforme se pode observar na linha do modelo 2 da Tabela 13.18. O R2

do modelo aumentou 1,0%, passando o modelo a explicar agora 30,5% da variação da
variável PerGest, o que significa que os restantes 69,5% são explicados por outras
variáveis. Saliente-se que o acréscimo de 1,0% no R2 é igual ao coeficiente de
determinação semi-parcial (= 0,1022 × 100), constante no modelo 2 da Tabela 13.21.
A Tabela 13.19 referente aos testes F da Anova confirma este resultado, dado que a soma
dos quadrados relativos à regressão do modelo 2 é de 196,47, correspondendo a 30,5% do
total da soma dos quadrados. O nível de significância 0,000 para o teste F do modelo 2,
mostra que a contribuição das variáveis AmbSTI e SocGes é significativa e leva à rejeição
da nulidade dos coeficientes dos parâmetros destas variáveis.
Tabela 13.21: Coeficientes do modelo de regressão.

Coefficientsa
Unstandardized Standardized
Coefficients Coefficients Correlations Collinearity Statistics
Model B Std. Error Beta t Sig. Zero-order Partial Part Tolerance VIF
1 (Constant) -,003 ,033 -,080 ,936
AmbSTI ,546 ,033 ,543 16,312 ,000 ,543 ,543 ,543 1,000 1,000
2 (Constant) -,003 ,033 -,078 ,938
AmbSTI ,501 ,036 ,497 13,750 ,000 ,543 ,478 ,454 ,835 1,198
SocGes ,112 ,036 ,112 3,089 ,002 ,314 ,121 ,102 ,835 1,198
3 (Constant) -,003 ,033 -,095 ,924
AmbSTI ,458 ,040 ,455 11,523 ,000 ,543 ,416 ,379 ,694 1,441
SocGes ,103 ,036 ,103 2,850 ,005 ,314 ,112 ,094 ,828 1,208
AmbOrg ,097 ,037 ,097 2,600 ,010 ,338 ,103 ,086 ,773 1,294
a. Dependent Variable: PerGest
A próxima variável a entrar no modelo é AmbOrg, com um coeficiente de correlação

parcial de 0,103 (Tabela 13.20). Esta variável passa a explicar 1,0% (= 0,1032 × 100) da
variação da variável PerGest que não é explicada por AmbSTI nem por SocGes,
correspondendo a uma contribuição absoluta de 0,7% (= 1,0% × 69,5%). Este valor de 0,7%
corresponde ao aumento do R2change pela introdução da variável AmbOrg no modelo que já
continha as variáveis AmbSTI e SocGes, conforme se pode observar na linha do modelo 3
da Tabela 13.18. O R2 do modelo aumentou 0,7%, passando o modelo a explicar agora
31,2% da variação da variável PerGest, o que significa que os restantes 68,8% são
explicados por outras variáveis. De notar que o acréscimo de 0,7% no R2 é igual ao
coeficiente de determinação semi-parcial (= 0,0862 × 100), constante no modelo 3 da
Tabela 13.21.
A Tabela 13.19 referente aos testes F da Anova, confirma este resultado, dado que a soma
mostra que a contribuição das variáveis AmbSTI, SocGes e AmbOrg é significativa e leva à
rejeição da nulidade dos coeficientes dos parâmetros destas variáveis.
De acordo com os testes t da Tabela 13.20, conclui-se que cada uma das variáveis
independentes (AmbSTI, SocGes e AmbOrg) contribui significativamente (p ≤ 0,01) para
explicar a variação da variável dependente PerGest, rejeitando-se, portanto, a hipótese nula
de que não se verifica a contribuição adicional de uma variável independente para a
explicação da variação da variável dependente. No entanto, os valores baixos do Fchange
(Tabela 13.18) para a inclusão das variáveis SocGes e AmbOrg significam uma baixa
contribuição destas variáveis para a explicação da variação da variável PerGest.
O coeficiente de determinação ajustado (Ra2), ao não ser influenciado pelo número de

variáveis independentes do modelo, permite comparar dois modelos e ver aquele que tem
melhor qualidade do ajustamento. Na Tabela 13.18 é possível observar que o modelo final
(modelo 3) apresenta o maior Ra2, i.e., 30,9% da variação de PerGest é explicada
conjuntamente pelas três variáveis independentes.
A equação estimada pelo modelo de regressão linear múltipla, conforme os valores da

Tabela 13.21 é a seguinte:
PerGest = 0,097 × AmbOrg + 0,458 × AmbSTI + 0,103 × SocGes (8)
Esta equação explica a variação de PerGest, para qualquer erro tipo I do analista, conforme
teste F = 96,157 com sig = 0,000, de acordo com a Tabela 13.19. De salientar que o teste F
da Anova mede a bondade do ajustamento da equação global da regressão (Pestana &
Gageiro, 2005), i.e., testa a hipótese nula de que todos os coeficientes são iguais a zero. Se
o valor do teste F conduz à rejeição de que todos os coeficientes são nulos, verifica-se,
contudo, que o teste t para a variável constante (sig = 0,924) não leva à rejeição de que o
parâmetro α seja nulo (Tabela 13.21), pelo que a Equação 8 não considera o valor da
constante (α = 0).
A Equação 8 permite concluir que um aumento de um desvio padrão em AmbSTI faz

aumentar 0,458 desvios padrões em PerGest, mantendo-se as restantes variáveis constantes.
Em termos globais, por cada aumento de um desvio padrão em AmbOrg, AmbSTI e SocGes
verifica-se um aumento de 0,658 desvios padrões em PerGest.
Para avaliar a adequação do modelo estimado pela Equação 8 para prever o resultado em
amostras diferentes, utiliza-se o coeficiente de determinação ajustado de Stein ( ),
dado pela Fórmula 9.
2
1 2 1 2
1 1 (9)
1 2
Este coeficiente informa sobre a qualidade do modelo em termos de validação cruzada, i.e.,
dá informação sobre a qualidade com que o modelo se pode generalizar e que se pretende
que seja semelhante ao R2.
Sendo R2 = 0,312 e = 0,304, a diferença entre R2 e é de 0,008, o que

significa que se o modelo derivasse da população e não da amostra, explicaria cerca de 0,8%
menos variância do resultado, o que denota uma boa validação cruzada.
13.4.2.3 Hipóteses do Modelo
Vão analisar-se separadamente as hipóteses da homocedasticidade, da independência

(ausência de autocorrelação) e da normalidade das variáveis aleatórias residuais, assim
como a hipótese de multicolinearidade entre as variáveis independentes.
a) Homocedasticidade
Para analisar a homocedasticidade (variância constante) das variáveis aleatórias residuais

observam-se as relações entre os resíduos estudantizados (ser_1) e valor previsto da
variável dependente na forma estandardizada (zpr_1), variáveis criadas pelo SPSS no
cálculo da regressão.
O Gráfico 13.1 mostra que os resíduos mantêm uma amplitude mais ou menos constante
em relação ao eixo horizontal zero, pelo que não se rejeita a hipótese da
homocedasticidade.
Gráfico 13.1: Distribuição dos resíduos.
b) Autocorrelação
O objectivo é analisar se há independência entre as variáveis aleatórias residuais, ou seja,

se a sua co-variância é nula.
Segundo Pestana e Gageiro (2005), a região de aceitação (RA) da hipótese nula (não existe
autocorrelação entre as variáveis aleatórias residuais) e as regiões críticas (RC) são as
constantes do Quadro 13.2.
Quadro 13.2: Classificação da autocorrelação dos resíduos.
Valores de RA e RC Tipo de autocorrelação
RA = [dU; 4 – dU] Autocorrelação nula

RC = [0; dL] Autocorrelação positiva
RC = [4 – dL; 4] Autocorrelação negativa
Fonte: Pestana e Gageiro (2005, p. 162).
Consultando as tabelas de Durbin-Watson para um nível de significância de 0,05, para três

variáveis independentes (k = 4, incluindo a variável constante) e para T = 650
(em http://www.stanford.edu/~clint/bench/dw05d.htm), obtêm-se os valores de 1,862 para
dL e de 1,880 para dU, pelo que a região de aceitação é dada por [1,880; 2,120]. Dado que o
valor de 1,936 do teste de Durbin-Watson (Tabela 13.18) pertence à região de aceitação,
não se rejeita a hipótese nula, concluindo-se, portanto, não existir autocorrelação entre os
resíduos.
c) Normalidade
A normalidade dos resíduos é testada usando o teste K-S em relação à variável zre_1
(criada pelo SPSS no cálculo da regressão). O valor do teste K-S constante da Tabela 13.22
aponta para a rejeição da hipótese nula, i.e., a variável zre_1 não apresenta uma
distribuição normal.
Tabela 13.22. Teste de normalidade da variável zre_1.
Tests of Normality
a
Statistic df Sig. Statistic df Sig.
Standardized Residual ,081 640 ,000 ,978 640 ,000
a. Lilliefors Significance Correction
Todavia, analisando o Gráfico 13.2 constata-se que a grande maioria das observações não
se afasta da recta da normal, indiciando, portanto, um desfasamento pouco acentuado da
normalidade.
Gráfico 13.2: Distribuição da variável zre_1.
d) Multicolinearidade
O modelo de regressão linear múltipla pressupõe que as variáveis independentes são

linearmente independentes, i.e., que não se verifica a multicolinearidade (Pestana &
Gageiro, 2008).
O método de estimação Stepwise utilizado no cálculo da regressão permite detectar a

multicolinearidade pela observação de modificações significativas nos coeficientes
estimados, conforme se pode constatar da análise da Tabela 13.21. Exemplificando, no
modelo 1 o coeficiente da variável AmbSTI é de 0,546, no segundo modelo com a inclusão
da variável SocGes o coeficiente de AmbSTI passa para 0,501 e no modelo 3 (com todas as
variáveis independentes incluídas) assume o valor de 0,458.
Como as variáveis independentes apresentam sempre alguma correlação entre si, interessa
analisar a intensidade da multicolinearidade entre essas variáveis, processo que pode ser
efectuado através da análise da correlação entre as variáveis independentes, dos
indicadores de tolerância e VIF e, ainda, dos valores próprios, condition index e proporção
de variância.
Segundo Pestana e Gageiro (2005), um valor superior a 0,8 (em termos absolutos) de um
coeficiente de correlação entre duas variáveis independentes indicia a possibilidade de
existência de multicolinearidade. Analisando a Tabela 13.14 constata-se que todos os
coeficientes de correlação entre as variáveis AmbSTI, AmbOrg e SocGes são inferiores a
0,8 em valor absoluto, pelo que se conclui não existir um indicador de multicolinearidade.
A tolerância mede o grau em que uma variável independente é explicada por todas as
outras variáveis independentes, variando entre zero e um (Pestana & Gageiro, 2005).
Quanto mais próximo de zero maior será a multicolinearidade, sendo que valores de
tolerância inferiores a 0,20 geram elevada multicolinearidade. A análise da Tabela 13.21
mostra que os valores de tolerância são todos superiores a 0,7, indicando uma baixa
multicolinearidade.
O inverso da tolerância designa-se por VIF e, deste modo, quanto menor o indicador,
menor será a multicolinearidade. O valor habitualmente considerado como o limite acima
do qual existe multicolinearidade é VIF > 10 (Pestana & Gageiro, 2005). A Tabela 13.21
apresenta valores para os VIF próximos de um para cada uma das variáveis independentes,
indiciando, portanto, uma baixa multicolinearidade.
A multicolinearidade é dada também pelos seguintes coeficientes (Pestana & Gageiro,

2005):
• valores próprios - medem a quantidade de variância contida na matriz de correlações

e se uma ou mais variáveis independentes for colinear com as restantes, haverá pelo
menos um valor próprio muito perto do zero;
• condition index - fornece o tamanho relativo da matriz dos valores próprios: se for
superior a 15 indica um possível problema de multicolinearidade e se for superior a
30 revela sérios problemas de multicolinearidade;
• proporção da variância - é a proporção da variância de cada coeficiente da regressão
explicada por cada dimensão e varia entre zero e um.
A análise da multicolinearidade deve ser efectuada tendo em atenção as dimensões que

apresentam cumulativamente valores próprios próximos de zero, o condition index maior
que 30 e a proporção da variância superior a 0,90 em pelo menos duas variáveis
independentes (Pestana & Gageiro, 2005).
Analisando a Tabela 13.23 constata-se que não se verifica nenhuma das condições atrás
descritas para se concluir pela existência de elevada multicolinearidade, tal como se
concluiu para os indicadores apresentados anteriormente.
Tabela 13.23: Diagnóstico de colinearidade.
Collinearity Diagnosticsa
Condition Variance Proportions

Model Dimension Eigenvalue Index (Constant) AmbSTI SocGes AmbOrg
1 1 1,012 1,000 ,49 ,49
2 ,988 1,013 ,51 ,51
2 1 1,407 1,000 ,00 ,30 ,30
2 1,000 1,186 1,00 ,00 ,00
3 ,594 1,539 ,00 ,70 ,70
3 1 1,767 1,000 ,00 ,16 ,13 ,14
2 1,000 1,329 1,00 ,00 ,00 ,00
3 ,739 1,546 ,00 ,01 ,68 ,40
4 ,494 1,891 ,00 ,84 ,19 ,46
a. Dependent Variable: PerGest
13.4.3 TESTE DO MODELO “EFICÁCIA DA SEGURANÇA DA INFORMAÇÃO”
O modelo “eficácia da segurança da informação” pretende avaliar os efeitos directos (com

e sem variáveis de controlo) e os efeitos indirectos das variáveis independentes sobre a
variável dependente Eficacia.
O teste do modelo é efectuado em três fases:
• teste dos efeitos indirectos: efeito moderador da variável PerGest sobre as restantes
variáveis independentes do modelo;
• teste dos efeitos directos de todas as variáveis independentes do modelo sobre a
variável dependente Eficacia, sem a inclusão das variáveis de controlo;
• teste dos efeitos directos de todas as variáveis independentes do modelo sobre a
variável dependente Eficacia, com a inclusão das variáveis de controlo (variáveis
independentes artificiais) – IndexTEC, IndexSEG e IndexINF.
13.4.3.1 Teste dos Efeitos Indirectos
Para estudar o efeito moderador da variável PerGest sobre as restantes variáveis

independentes do modelo (GovSeg, GRisco, InvSeg, Tecno, Pessoas e Leis) definiram-se
os seguintes seis modelos de regressão linear simples:
GovSeg = α + β1 × PerGest (10)
GRisco = α + β1 × PerGest (11)
InvSeg = α + β1 × PerGest (12)
Tecno = α + β1 × PerGest (13)
Pessoas = α + β1 × PerGest (14)
Leis = α + β1 × PerGest (15)
As Equações 10 a 15 testam as hipóteses H2A, H2B, H2C, H2D, H2E e H2F representadas
graficamente na Figura 13.2.
Figura 13.2: Hipóteses para testar o efeito moderador da variável PerGest.
13.4.3.1.1 Exploração dos Dados
Os diagramas de dispersão relativos às relações entre as variáveis dependentes e a variável

independente permitem concluir que existe alguma relação entre cada par de variáveis (ver
Apêndice K – Gráficos K.1 a K.6). Todas as rectas estimadas têm inclinação positiva, o
que significa que, em média, uma variação positiva da variável independente tem um efeito
positivo na variável dependente.
Os coeficientes de correlação linear (R) constantes da Tabela 13.24, evidenciam uma

associação linear positiva moderada entre a variável independente e as variáveis
dependentes GovSeg, GRisco, Pessoas e Leis, uma associação linear positiva fraca entre a
variável independente e a variável dependente Tecno e uma associação linear positiva
muito fraca entre a variável independente e a variável dependentes InvSeg.
Tabela 13.24: Resumo dos modelos de regressão.
Desv. Padrão da Durbin-

Modelo R R2 Ra2 Ra2 Stein
estimativa Watson
GovSeg × PerGest 0,471 0,222 0,221 0,218 0,88154460 1,876
GRisco × PerGest 0,415 0,172 0,171 0,168 0,90990867 1,968
InvSeg × PerGest 0,122 0,015 0,013 0,011 0,99451323 1,649
Tecno × PerGest 0,365 0,133 0,132 0,129 0,93139722 1,846
Pessoas × PerGest 0,417 0,174 0,173 0,170 0,90844002 1,878
Leis × PerGest 0,459 0,211 0,210 0,207 0,88978756 1,865
13.4.3.1.2 Estimação e Inferência
Os coeficientes obtidos para cada uma das regressões lineares simples são os constantes da
Tabela 13.25.
Tabela 13.25: Coeficientes dos modelos de regressão.
Coef. não Coef.

Estandardizados Estand.
Modelo Variáveis t Sig.
Desv
B Beta
Pad.
(Constante) 0,003 0,034 0,098 0,922
GovSeg × PerGest
PerGest 0,469 0,034 0,471 13,736 0,000
(Constante) 0,000 0,035 0,013 0,990
GRisco × PerGest
PerGest 0,415 0,035 0,415 11,706 0,000
(Constante) 0,001 0,039 0,027 0,978
InvSeg × PerGest
PerGest 0,123 0,039 0,122 3,172 0,002
(Constante) 0,002 0,036 0,042 0,966
Tecno × PerGest
PerGest 0,364 0,036 0,365 10,112 0,000
(Constante) 0,001 0,035 0,036 0,972
Pessoas × PerGest
PerGest 0,420 0,036 0,417 11,807 0,000
(Constante) -0,001 0,035 -0,020 0,984
Leis × PerGest
PerGest 0,461 0,035 0,459 13,267 0,000
As estatísticas t e respectivos “sig.” para as variáveis dependentes e independente de cada

modelo, conduz, por um lado, à não rejeição de que os termos das contantes (α) sejam
iguais a zero e, por outro, à rejeição de cada um dos coeficientes da variável independente
(β) seja igual a zero. Por seu lado, os valores do teste F da Anova constantes da Tabela
13.26, levam à rejeição de que todos os coeficientes são nulos.
Tabela 13.26: Anova dos modelos de regressão.
Modelo F Sig.
GovSeg × PerGest 188,668 0,000
GRisco × PerGest 137,033 0,000
InvSeg × PerGest 10,062 0,002
Tecno × PerGest 102,259 0,000
Pessoas × PerGest 139,402 0,000
Leis × PerGest 176,007 0,000
Em função destes resultados, a recta estimada, obtida pelo método dos mínimos quadrados,
para cada um dos modelos é dada por:
GovSeg = 0,469 × PerGest (16)
GRisco = 0,415 × PerGest (17)
InvSeg = 0,123 × PerGest (18)
Tecno = 0,364 × PerGest (19)
Pessoas = 0,420 × PerGest (20)
Leis = 0,461 × PerGest (21)
Interpretando cada uma destas equações, pode-se concluir que um aumento de um desvio
padrão em PerGest tem um efeito superior ou igual em 0,415 desvios padrões em GovSeg,
GRisco, Pessoas e Leis, um aumento de 0,364 desvios padrões em Tecno e um aumento de
0,123 desvios padrões em InvSeg.
Analisando a Tabela 13.24 constata-se que a variável independente (PerGest) explica

apenas entre 13% e 22% a variação das variáveis dependentes Tecno, GRisco, Pessoas,
Leis e GovSeg e apenas em 1,5% a variação da variável dependente InvSeg, de acordo com
os valores assumidos pelos R2 de cada um dos modelos.
Em termos de qualidade do ajustamento, dado pelos coeficientes R, R2 e Ra2 pode afirmar-

se que a qualidade do ajustamento não é boa. Contudo, analisando o nível de significância
do teste F para cada um dos modelos (sig = 0,000, qualquer que seja o erro tipo I do
analista), conclui-se que a relação linear entre a variável dependente e independente (em
cada modelo) é estatisticamente significativa, i.e., cada um dos modelos estimados mostra-
se adequado para descrever as relações definidas para as variáveis. A análise dos testes t e
F permitem extrapolar os resultados da amostra para o universo.
Tendo em atenção os valores de R2 e , constantes da Tabela 13.24, conclui-se que

as diferenças entre estes dois indicadores são de 0,004 em todos os modelos, o que
significa que se o modelo derivasse da população e não da amostra, explicaria cerca de 0,4%
menos de variância do resultado, o que demonstra uma boa validação cruzada.
13.4.3.1.3 Hipóteses dos Modelos
a) Normalidade
O teste K-S para a variável zre_1 de cada um dos modelos aponta para a rejeição da
hipótese nula, conforme os valores da Tabela 13.27.
Isto significa que a variável zre_1 em cada modelo não tem distribuição normal. Todavia,
as distribuições da variável zre_1 mostram que quase todas as observações não se afastam
da recta da normal, evidenciando, deste modo, um desfasamento pouco acentuado da
normalidade (ver Apêndice K – Gráficos K.7 a K.12).
Tabela 13.27: Testes de normalidade dos modelos de regressão.
Modelo Variável
Estatística df Sig. Estatística df Sig.
GovSeg × PerGest zre_1 0,075 663 0,000 0,973 663 0,000
GRisco × PerGest zre_1 0,078 661 0,000 0,980 661 0,000
InvSeg × PerGest zre_1 0,053 667 0,000 0,981 667 0,000
Tecno × PerGest zre_1 0,132 667 0,000 0,957 667 0,000
Pessoas × PerGest zre_1 0,075 663 0,000 0,974 663 0,000
Leis × PerGest zre_1 0,072 661 0,000 0,974 661 0,000
b) Homocedasticidade
Da análise das relações entre os resíduos estudantizados (ser_1) e o valor previsto da

variável dependente na forma estandardizada (zpr_1) verifica-se que as observações se
distribuem de forma aleatória à volta da linha horizontal zero, pelo que se supõe a
existência de homocedasticidade (ver Apêndice K – Gráficos K.13 a K.18).
c) Autocorrelação
Consultando as tabelas de Durbin-Watson para um nível de significância de 0,05, para

duas variáveis independentes (k = 2, incluindo a variável constante) e para T = 650
(em http://www.stanford.edu/~clint/bench/dw05d.htm), obtêm-se os valores de dL e dU
constantes da Tabela 13.28.
Tabela 13.28: Teste de Durbin-Watson.
Região de Durbin-
Modelo dl du Resultado
aceitação Watson
GovSeg × PerGest 1,868 1,874 [1,874;2,126] 1,876 Não se Rejeita-se H0
GRisco × PerGest 1,868 1,874 [1,874;2,126] 1,968 Não se Rejeita-se H0
InvSeg × PerGest 1,868 1,874 [1,874;2,126] 1,649 Rejeita-se H0
Tecno × PerGest 1,868 1,874 [1,874;2,126] 1,846 Rejeita-se H0
Pessoas × PerGest 1,868 1,874 [1,874;2,126] 1,878 Não se Rejeita-se H0
Leis × PerGest 1,868 1,874 [1,874;2,126] 1,865 Rejeita-se H0
Para os modelos “GovSeg × PerGest”, “GRisco × PerGest” e “Pessoas × PerGest”,

verifica-se que os valores dos testes Durbin-Watson pertencem à região de aceitação, o que
conduz à não rejeição da hipótese nula, ou seja, não existe autocorrelação entre os resíduos
de cada um destes modelos.
Para os modelos “InvSeg × PerGest”, “Tecno × PerGest” e “Leis × PerGest”, os valores

dos testes pertencem à região crítica de autocorrelação positiva - [0;1,868] -, pelo que se
rejeita a hipótese nula da não existência de autocorrelação entre os resíduos destes modelos.
13.4.3.2 Teste dos Efeitos Directos sem Variáveis de Controlo
O presente modelo tem como objectivo analisar apenas os efeitos directos (sem inclusão
dos efeitos moderadores da variável PerGest e dos efeitos directos das variáveis de
controlo) das variáveis independentes sobre a variável dependente, consubstanciada na

seguinte equação de regressão linear múltipla:
Eficacia = α + β1 × GovSeg + β2 × GRisco + β3 × InvSeg + β4 × Tecno +

(22)
+ β5 × Pessoas + β6 × Leis + β7 × PerGest
A Equação 22 testa as hipóteses H3A, H3B, H3C, H3D, H3E, H3F e H3G representadas
Figura 13.3: Hipóteses do teste dos efeitos directos das variáveis independentes, sem variáveis de
controlo.
A análise dos coeficientes de correlação linear constantes da Tabela 13.29, evidencia uma
associação linear positiva moderada entre as variáveis, exceptuando a associação linear
entre InvSeg e as restantes variáveis que é fraca (R < 0,2) e entre GovSeg com Leis e
GRisco que é elevada.
Tabela 13.29: Estatísticas descritivas e correlações entre variáveis.
Desvio Efica Gov GRis Inv Pesso Per

Variável Média N Tecno Leis
Padrão cia Seg co Seg as Gest
Eficacia -0,01154 1,0065 623 0,570 0478 0,135 0,613 0,646 0,553 0,436
GovSeg 0,00209 0,9944 623 0,734 0,193 0,468 0,659 0,717 0,458
GRisco 0,00505 1,0151 623 0,262 0,456 0,664 0,613 0,407
InvSeg 0,00753 1,0073 623 0,204 0,211 0,134 0,134
Tecno 0,00442 0,9957 623 0,538 0,490 0,357
Pessoas 0,00451 1,0053 623 0,640 0,415
Leis 0,00453 0,9990 623 0,452
PerGest 0,00531 0,9895 623
A variável independente mais correlacionada com a variável dependente (Eficacia) é

Pessoas (R = 0,646) e as duas variáveis independentes mais correlacionadas são GovSeg e
GRisco (R = 0,734).
A aplicação do método Stepwise ao modelo de regressão linear múltipla definido pela

Equação 22, produziu os coeficientes constantes da Tabela 13.30.
Model Summaryf
Change Statistics
1 ,646a ,417 ,416 ,76926601 ,417 443,864 1 621 ,000
2 ,718b ,516 ,514 ,70160582 ,099 126,549 1 620 ,000
3 ,731c ,535 ,533 ,68810262 ,019 25,572 1 619 ,000
4 ,738d ,545 ,542 ,68109455 ,010 13,804 1 618 ,000
5 ,741e ,550 ,546 ,67816623 ,005 6,349 1 617 ,012 1,948
a. Predictors: (Constant), Pessoas
b. Predictors: (Constant), Pessoas, Tecno
c. Predictors: (Constant), Pessoas, Tecno, GovSeg
d. Predictors: (Constant), Pessoas, Tecno, GovSeg, PerGest
e. Predictors: (Constant), Pessoas, Tecno, GovSeg, PerGest, GRisco
f. Dependent Variable: Eficacia
A primeira variável independente a entrar no modelo é Pessoas, pois é aquela que

apresenta o maior coeficiente de correlação com a variável dependente Eficacia (R =
0,646). O R2 do modelo 1 é de 0,417, o que significa que 41,7% da variação da variável
Eficacia é explicada pela variável Pessoas, enquanto os restantes 58,3% são explicados por
outras variáveis não identificadas.
mostra que a contribuição da variável Pessoas é significativa e leva à rejeição da nulidade
do coeficiente do parâmetro desta variável.
Tabela 13.31: Testes F da Anova.

ANOVAf
Sum of
1 Regression 262,665 1 262,665 443,864 ,000a
Residual 367,489 621 ,592
Total 630,155 622
2 Regression 324,959 2 162,480 330,075 ,000b
Residual 305,195 620 ,492
Total 630,155 622
3 Regression 337,067 3 112,356 237,295 ,000c
Residual 293,087 619 ,473
Total 630,155 622
4 Regression 343,471 4 85,868 185,104 ,000d
Residual 286,684 618 ,464
Total 630,155 622
5 Regression 346,390 5 69,278 150,634 ,000e
Residual 283,764 617 ,460
Total 630,155 622
a. Predictors: (Constant), Pessoas
b. Predictors: (Constant), Pessoas, Tecno
c. Predictors: (Constant), Pessoas, Tecno, GovSeg
d. Predictors: (Constant), Pessoas, Tecno, GovSeg, PerGest
e. Predictors: (Constant), Pessoas, Tecno, GovSeg, PerGest, GRisco
Analisando os coeficientes parciais do modelo 1 da Tabela 13.32, verifica-se que a variável

que mais contribui para a variação não explicada da variável Eficacia é a variável Tecno,
com um contributo relativo de 17% (= 0,4122 × 100), representando, em termos absolutos
(dos 58,3% que falta explicar), 9,9% (= 17% × 58,3%). Assim, 9,9% da variabilidade total
da variável Eficacia poderá ser explicada com a inclusão da variável Tecno no modelo de
regressão.

Excluded Variablesf
Partial Minimum
1 PerGest ,203a 6,196 ,000 ,241 ,828 1,208 ,828
Leis ,236a 6,087 ,000 ,237 ,590 1,696 ,590
GovSeg ,256a 6,495 ,000 ,252 ,566 1,767 ,566
GRisco ,089a 2,185 ,029 ,087 ,560 1,787 ,560
Tecno ,373a 11,249 ,000 ,412 ,710 1,408 ,710
InvSeg -,001a -,047 ,963 -,002 ,955 1,047 ,955
2 PerGest ,147b 4,799 ,000 ,189 ,803 1,246 ,653
Leis ,152b 4,125 ,000 ,164 ,560 1,785 ,523
GovSeg ,187b 5,057 ,000 ,199 ,548 1,826 ,498
GRisco ,024b ,625 ,532 ,025 ,546 1,833 ,490
InvSeg -,037b -1,289 ,198 -,052 ,944 1,059 ,699
3 PerGest ,116c 3,715 ,000 ,148 ,754 1,326 ,492
Leis ,081c 1,925 ,055 ,077 ,426 2,349 ,416
GRisco -,099c -2,293 ,022 -,092 ,402 2,490 ,402
InvSeg -,045c -1,591 ,112 -,064 ,941 1,062 ,495
4 Leis ,061d 1,443 ,149 ,058 ,418 2,395 ,406
GRisco -,108d -2,520 ,012 -,101 ,401 2,497 ,389
InvSeg -,047d -1,686 ,092 -,068 ,941 1,063 ,489
5 Leis ,067e 1,613 ,107 ,065 ,416 2,404 ,331
InvSeg -,038e -1,343 ,180 -,054 ,921 1,085 ,389
a. Predictors in the Model: (Constant), Pessoas
b. Predictors in the Model: (Constant), Pessoas, Tecno
c. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg
d. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg, PerGest
e. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg, PerGest, GRisco
Este valor de 9,9% corresponde ao aumento do R2change pela introdução da variável Tecno
no modelo que já continha a variável Pessoas, conforme se pode observar na linha do
modelo 2 da Tabela 13.30. O R2 do modelo aumentou 9,9%, passando o modelo a explicar
agora 51,6% da variação da variável Eficacia, o que significa que os restantes 48,4% são
explicados por outras variáveis. Saliente-se que o acréscimo de 9,9% no R2 é igual ao
coeficiente de determinação semi-parcial (= 0,3142 × 100), constante no modelo 2 da
Tabela 13.33.

Coefficientsa
1 (Constant) -,014 ,031 -,469 ,639
Pessoas ,646 ,031 ,646 21,068 ,000 ,646 ,646 ,646 1,000 1,000
2 (Constant) -,015 ,028 -,541 ,589
Pessoas ,445 ,033 ,445 13,412 ,000 ,646 ,474 ,375 ,710 1,408
Tecno ,377 ,034 ,373 11,249 ,000 ,613 ,412 ,314 ,710 1,408
3 (Constant) -,015 ,028 -,544 ,587
Pessoas ,338 ,039 ,338 8,691 ,000 ,646 ,330 ,238 ,498 2,007
Tecno ,347 ,033 ,343 10,377 ,000 ,613 ,385 ,284 ,687 1,455
GovSeg ,190 ,037 ,187 5,057 ,000 ,570 ,199 ,139 ,548 1,826
4 (Constant) -,015 ,027 -,564 ,573
Pessoas ,321 ,039 ,321 8,290 ,000 ,646 ,316 ,225 ,492 2,034
Tecno ,330 ,033 ,327 9,900 ,000 ,613 ,370 ,269 ,675 1,481
GovSeg ,155 ,038 ,153 4,038 ,000 ,570 ,160 ,110 ,515 1,944
PerGest ,118 ,032 ,116 3,715 ,000 ,436 ,148 ,101 ,754 1,326
5 (Constant) -,015 ,027 -,558 ,577
Pessoas ,352 ,041 ,352 8,698 ,000 ,646 ,330 ,235 ,446 2,243
Tecno ,336 ,033 ,332 10,091 ,000 ,613 ,376 ,273 ,672 1,488
GovSeg ,209 ,044 ,207 4,771 ,000 ,570 ,189 ,129 ,389 2,571
PerGest ,122 ,032 ,120 3,859 ,000 ,436 ,154 ,104 ,752 1,330
GRisco -,107 ,042 -,108 -2,520 ,012 ,478 -,101 -,068 ,401 2,497
a. Dependent Variable: Eficacia
mostra que a contribuição das variáveis Pessoas e Tecno é significativa e leva à rejeição da
nulidade dos coeficientes dos parâmetros destas variáveis.
A próxima variável a entrar no modelo é GovSeg, dado que é aquela que apresenta maior
coeficiente de correlação parcial (0,199), conforme modelo 2 da Tabela 13.32. Esta
variável passa a explicar 4% (= 0,1992 × 100) da variação da variável Eficacia que não é
explicada por Pessoas nem por Tecno, correspondendo a uma contribuição absoluta de 1,9%
(= 4% × 48,4%). Este valor de 1,9% corresponde ao aumento do R2change pela introdução da
variável GovSeg no modelo que já continha as variáveis Pessoas e Tecno, conforme se
pode observar na linha do modelo 3 da Tabela 13.30. O R2 do modelo aumentou 1,9%,
passando o modelo a explicar agora 53,5% da variação da variável Eficacia, o que significa
que os restantes 46,5% são explicados por outras variáveis. De notar que o acréscimo de
1,9% no R2 é igual ao coeficiente de determinação semi-parcial (= 0,1392 × 100), constante
no modelo 3 da Tabela 13.33.
mostra que a contribuição das variáveis Pessoas, Tecno e GovSeg é significativa e leva à
rejeição da nulidade dos coeficientes dos parâmetros destas variáveis.
O processo de inclusão das variáveis PerGest e GRisco é idêntico ao descrito

anteriormente, razão pela qual se opta pela não descrição dos mesmos.
De acordo com os testes t da Tabela 13.32, conclui-se que cada uma das variáveis
independentes (Pessoas, Tecno, GovSeg, PerGest e GRisco) contribui significativamente
(p < 0,05) para explicar a variação da variável dependente Eficacia, rejeitando-se, portanto,
a hipótese nula de que não se verifica a contribuição adicional de uma variável
independente para a explicação da variação da variável dependente. No entanto, os valores
baixos do Fchange para a inclusão das variáveis GovSeg, PerGest e GRisco significam uma
baixa contribuição destas variáveis para a explicação da variação da variável Eficacia.
Contrariamente, as variáveis Leis e InvSeg foram excluídas do modelo de regressão, na

medida em que os respectivos testes t têm associados níveis de significância superiores a
0,10, pelo que se conclui que nenhuma destas variáveis independentes tem poder
explicativo na variável dependente Eficacia.
O método Stepwise utilizado no modelo de regressão serviu, essencialmente, para explicar

o processo de inclusão das variáveis no modelo. Para efeitos de estimação dos coeficientes
dos parâmetros do modelo, recorreu-se ao método Enter para cálculo da regressão linear.
De salientar que quando não existem variáveis excluídas do modelo de regressão, os
coeficientes produzidos por ambos os métodos (Stepwise e Enter) são idênticos, razão pela
qual não se efectuam análises diferenciadas.
O modelo de regressão linear múltipla com aplicação do método Enter produziu os

indicadores das Tabelas 13.34 e 13.35.
Model Summaryb
Change Statistics
1 ,743a ,553 ,548 ,67700822 ,553 108,552 7 615 ,000 1,931
a. Predictors: (Constant), InvSeg, PerGest, Tecno, GRisco, Leis, Pessoas, GovSeg
b. Dependent Variable: Eficacia

Coefficientsa
1 (Constant) -,015 ,027 -,554 ,579
PerGest ,116 ,032 ,114 3,641 ,000 ,436 ,145 ,098 ,738 1,355
Leis ,064 ,042 ,064 1,518 ,129 ,553 ,061 ,041 ,414 2,418
GovSeg ,180 ,047 ,178 3,788 ,000 ,570 ,151 ,102 ,331 3,021
GRisco -,103 ,043 -,104 -2,409 ,016 ,478 -,097 -,065 ,390 2,564
Tecno ,333 ,034 ,329 9,871 ,000 ,613 ,370 ,266 ,654 1,529
Pessoas ,340 ,041 ,340 8,203 ,000 ,646 ,314 ,221 ,424 2,356
InvSeg -,035 ,028 -,035 -1,228 ,220 ,135 -,049 -,033 ,916 1,091
A equação estimada pelo modelo de regressão linear múltipla (Tabela 13.34) é a seguinte:
Eficacia = 0,180 × GovSeg - 0,103 × GRisco + 0,333 × Tecno +

(23)
+ 0,340 × Pessoas + 0,116 × PerGest
Esta equação explica a variação da variável Eficacia, para qualquer erro tipo I do analista,
conforme teste F = 150,634 com sig = 0,000, de acordo com a Tabela 13.36.
Tabela 13.36: Teste F da Anova.
ANOVAb
Sum of
1 Regression 348,275 7 49,754 108,552 ,000a
Residual 281,879 615 ,458
Total 630,155 622
a. Predictors: (Constant), InvSeg, PerGest, Tecno, GRisco, Leis, Pessoas, GovSeg
Se o valor do teste F conduz à rejeição de que todos os coeficientes das variáveis

independentes são nulos, verifica-se, contudo, que o teste t para a variável constante (sig =
0,577) e para as variáveis independentes Leis (sig = 0,129) e InvSeg (sig = 0,220), não leva
à rejeição de que os parâmetros α, β2 e β6 sejam nulos, dado que estes coeficientes não são
estatisticamente significativos.
Um aumento de um desvio padrão em cada uma das variáveis independentes, excepto para
a variável GRisco, tem um efeito positivo no desvio padrão da variável Eficacia. Já um
aumento de um desvio padrão em GRisco faz diminuir 0,107 desvios padrões na variável
dependente. Em termos globais, por cada aumento de um desvio padrão em Pessoas, Tecno,
GovSeg, PerGest e GRisco, verifica-se um aumento de 0,912 desvios padrões em Eficacia.
A diferença entre R2 e é de 0,008 (= 0,553 - 0,545), o que o que significa que se o

modelo derivasse da população e não da amostra, explicaria cerca de 0,8% menos
variância do resultado, o que denota uma boa validação cruzada.
13.4.3.2.3 Hipóteses do Modelo
Vão analisar-se separadamente as hipóteses da homocedasticidade, da independência

(ausência de autocorrelação) e da normalidade das variáveis aleatórias residuais, assim
como a hipótese de multicolinearidade entre as variáveis independentes.
a) Homocedasticidade
O Gráfico 13.3 (relaciona os resíduos estudantizados, variável ser_1, e o valor previsto da

variável dependente na forma estandardizada, variável zpr_1) mostra que os resíduos
mantêm uma amplitude mais ou menos constante em relação ao eixo horizontal zero, pelo
que não se rejeita a hipótese da homocedasticidade.
Gráfico 13.3: Distribuição dos resíduos.
b) Autocorrelação
Consultando as tabelas de Durbin-Watson para um nível de significância de 0,05, para

cinco variáveis independentes (k = 6, incluindo a variável constante) e para T = 600
(em http://www.stanford.edu/~clint/bench/dw05d.htm), obtêm-se os valores de 1,849 para
dL e de 1,883 para dU. A região de aceitação da hipótese nula (não existe autocorrelação
entre as variáveis aleatórias residuais) é dada pelo intervalo [1,883; 2,117]. O valor de
1,931 do teste de Durbin-Watson (Tabela 13.34) pertence à região de aceitação, pelo que
não se rejeita a hipótese nula, i.e., não existe autocorrelação entre os resíduos.
c) Normalidade
O valor do teste K-S constante da Tabela 13.37 aponta para a rejeição da hipótese nula, ou
seja, a variável zre_1 não apresenta uma distribuição normal.
Tabela 13.37. Teste de normalidade da variável zre_1.
Tests of Normality
a
Statistic df Sig. Statistic df Sig.
Standardized Residual ,069 634 ,000 ,944 634 ,000
a. Lilliefors Significance Correction
Todavia, analisando o Gráfico 13.4 constata-se que a grande maioria das observações não
se afasta da recta da normal, indiciando, portanto, um desfasamento pouco acentuado da
normalidade.
Gráfico 13.4: Distribuição da variável zre_1.
d) Multicolinearidade
Da análise da Tabela 13.29 constata-se que todos os coeficientes de correlação entre as

variáveis independentes são inferiores, em valor absoluto, a 0,8, pelo que se conclui não
existir um indicador de multicolinearidade.
Os valores para os coeficientes Tolerância e VIF são todos superiores a 0,2 e inferiores a
10, respectivamente (Tabela 13.35), indiciando, portanto, uma baixa multicolinearidade.
A análise da multicolinearidade deve ser efectuada tendo em atenção as dimensões que

apresentam cumulativamente valores próprios próximos de zero, o condition index maior
que 30 e a proporção da variância superior a 0,90 em pelo menos duas variáveis
independentes (Pestana & Gageiro, 2005).
Analisando a Tabela 13.38 constata-se que não se verifica nenhuma situação em que as
dimensões apresentem, cumulativamente, valores próprios próximos de zero, o condition
index maior que 30 e a proporção da variância superior a 0,90 em pelo menos duas
variáveis independentes, pelo que se conclui pela inexistência de elevada
multicolinearidade, tal como se verificou para os outros indicadores.
Tabela 13.38: Diagnóstico de colinearidade.

Collinearity Diagnosticsa
Condition Variance Proportions

Model Dimension Eigenvalue Index (Constant) PerGest Leis GovSeg GRisco Tecno Pessoas InvSeg
1 1 3,809 1,000 ,00 ,02 ,02 ,02 ,02 ,02 ,02 ,01
2 1,001 1,951 ,99 ,00 ,00 ,00 ,00 ,00 ,00 ,01
3 ,943 2,010 ,01 ,01 ,02 ,00 ,00 ,00 ,00 ,89
4 ,681 2,365 ,00 ,93 ,01 ,01 ,03 ,00 ,03 ,01
5 ,621 2,476 ,00 ,01 ,01 ,04 ,05 ,85 ,00 ,01
6 ,373 3,196 ,00 ,02 ,64 ,01 ,23 ,00 ,17 ,05
7 ,341 3,343 ,00 ,00 ,04 ,10 ,22 ,13 ,75 ,01
8 ,232 4,055 ,00 ,00 ,28 ,81 ,45 ,00 ,03 ,00
13.4.3.3 Teste dos Efeitos Directos com Variáveis de Controlo
Este modelo é semelhante ao modelo anterior, com a particularidade de incluir três

variáveis de controlo: IndexTEC; IndexSEG; IndexINF. A equação de regressão linear
múltipla associada ao modelo é dada pela Equação 24.
Eficacia = α + β1 × GovSeg + β2 × GRisco + β3 × InvSeg + β4 × Tecno +
+ β5 × Pessoas + β6 × Leis + β7 × PerGest + β8 × IndexTEC + (24)
+ β9 × IndexSEG + β10 × IndexINF
A Equação 24 testa as hipóteses H3A, H3B, H3C, H3D, H3E, H3F e H3G representadas
Informação
H3A
(+)
Variáveis de Controlo
Gestão do Risco
H3B
(+)
H3C
(+) Eficácia das Práticas de Índice de Utilização da
Gestão da Segurança Informação
Tecnologia
H3D
(+) Índice Tecnológico
Pessoas
H3E
(+)
Normas H3F
(+)
H3G
Figura 13.4: Hipóteses do teste dos efeitos directos das variáveis independentes, com variáveis de
controlo
13.4.3.3.1 Variáveis Independentes Artificiais
Tendo como objectivo analisar o efeito de determinadas características sobre o modelo de

regressão linear múltipla dos efeitos directos desenvolvido no ponto anterior, criaram-se
três variáveis independentes artificiais: IndexTEC; IndexSEG; IndexINF. A variável
IndexTEC representa as PMEs com uma utilização significativa dos SI/TIC, a variável
IndexSEG representa as PMEs que sofreram incidentes de segurança nos últimos 12 meses
e a variável IndexINF representa as PMEs com uma utilização intensiva da informação.
A construção de cada uma destas variáveis foi efectuada com base nas respostas às
questões 1 (sector de actividade), 8 (tipo de tecnologias utilizadas), 9 (tipo de software
utilizado, 10 (utilização da Internet), 11 (aplicações de segurança utilizadas) e 24
(incidentes de segurança sofridos nos últimos 12 meses) do questionário em formato
electrónico (com a correspondente numeração do questionário em formato papel) e
obedeceu aos seguintes critérios de elaboração:
a) variável IndexTEC
Esta variável resulta da integração de quatro variáveis criadas a partir das respostas
às questões 8 (variável IndTec), 9 (variável IndSW), 10 (variável IndInt) e 11
(variável IndSeg), de acordo com os seguintes critérios:
• se a empresa respondeu a mais de 50% das respostas possíveis, a variável IndTec

assume o valor um (elevado), caso contrário, assume o valor dois (baixo);
• se a empresa respondeu a mais de 50% das respostas possíveis, a variável IndSW
• se a empresa respondeu a mais de 50% das respostas possíveis, a variável IndInt
• se a empresa respondeu a mais de 50% das respostas possíveis, a variável IndSeg
Se para uma determinada observação (registo) existem três ou mais valores

elevados para as variáveis IndTec, IndSW, IndInt e IndSeg, a variável IndexTEC
assume o valor um, caso contrário, assume o valor zero.
b) variável IndexSEG
Se a empresa respondeu que teve pelo menos um incidente de segurança nos

últimos 12 meses, a variável IndexSEG assume o valor um, caso contrário, assume
o valor zero.
c) variável IndexINF
Se a empresa pertence às secções J (actividades de informação e de comunicação),

K (actividades financeiras e de seguros) e M (actividades de consultoria, científicas,
técnicas e similares) da CAE Rev.3, a variável IndexINF assume o valor um, caso
contrário, assume o valor zero.
Os coeficientes de correlação linear entre as variáveis independentes analisadas no ponto

anterior (Eficacia, PerGest, Leis, GovSeg, GRisco, Tecno, Pessoas e InvSeg) são as
mesmas da Tabela 13.29, como é óbvio. Relativamente aos coeficientes de correlação das
variáveis independentes artificiais constantes da Tabela 13.39, verifica-se que os mesmos
representam uma associação linear muito fraca com as restantes variáveis. Enquanto as
variáveis IndexCAE e IndexTEC evidenciam uma associação linear positiva com quase
todas as outras variáveis, a variável IndexSEG tem uma associação linear negativa com
praticamente todas as outras variáveis.
Tabela 13.39: Coeficientes de correlação.
A aplicação do método Stepwise ao modelo de regressão linear múltipla definido pela

Equação 24, não acrescentou nada de novo ao que foi produzido pelo modelo anterior
(ponto 13.4.3.2). Constata-se que o processo de inclusão das variáveis independentes no
modelo de regressão é idêntico ao descrito no modelo anterior, mantendo-se todos os
coeficientes iguais para as variáveis em análise (PerGest, Leis, GovSeg, GRisco, Tecno,
Pessoas e InvSeg). Isto significa que as Tabelas 13.30, 13.31 e 13.32 são idênticas às
produzidas pelo modelo de regressão representado pela Equação 22, pelo que não é
relevante estar a descrever os procedimentos inerentes ao processo de inclusão das
variáveis no modelo.
Esta situação do novo modelo de regressão não acrescentar nada de substancial ao modelo
de regressão anterior, é justificado pelo facto das variáveis independentes artificiais não
contribuírem para explicar a variação da variável dependente Eficacia, como se pode
deduzir da análise da Tabela 13.40.

Excluded Variablesf
Partial Minimum
1 PerGest ,203a 6,196 ,000 ,241 ,828 1,208 ,828
Leis ,236a 6,087 ,000 ,237 ,590 1,696 ,590
GovSeg ,256a 6,495 ,000 ,252 ,566 1,767 ,566
GRisco ,089a 2,185 ,029 ,087 ,560 1,787 ,560
Tecno ,373a 11,249 ,000 ,412 ,710 1,408 ,710
InvSeg -,001a -,047 ,963 -,002 ,955 1,047 ,955
IndexCAE ,036a 1,157 ,248 ,046 ,981 1,019 ,981
IndexSEG -,005a -,178 ,859 -,007 ,986 1,014 ,986
IndexTEC ,089a 2,907 ,004 ,116 ,996 1,004 ,996
2 PerGest ,147b 4,799 ,000 ,189 ,803 1,246 ,653
Leis ,152b 4,125 ,000 ,164 ,560 1,785 ,523
GovSeg ,187b 5,057 ,000 ,199 ,548 1,826 ,498
GRisco ,024b ,625 ,532 ,025 ,546 1,833 ,490
InvSeg -,037b -1,289 ,198 -,052 ,944 1,059 ,699
IndexCAE ,038b 1,365 ,173 ,055 ,981 1,019 ,700
IndexSEG -,015b -,527 ,598 -,021 ,985 1,015 ,701
IndexTEC ,059b 2,108 ,035 ,084 ,987 1,013 ,704
3 PerGest ,116c 3,715 ,000 ,148 ,754 1,326 ,492
Leis ,081c 1,925 ,055 ,077 ,426 2,349 ,416
GRisco -,099c -2,293 ,022 -,092 ,402 2,490 ,402
InvSeg -,045c -1,591 ,112 -,064 ,941 1,062 ,495
IndexCAE ,027c ,967 ,334 ,039 ,974 1,027 ,497
IndexSEG -,011c -,391 ,696 -,016 ,984 1,016 ,495
IndexTEC ,041c 1,484 ,138 ,060 ,969 1,032 ,496
4 Leis ,061d 1,443 ,149 ,058 ,418 2,395 ,406
GRisco -,108d -2,520 ,012 -,101 ,401 2,497 ,389
InvSeg -,047d -1,686 ,092 -,068 ,941 1,063 ,489
IndexCAE ,016d ,564 ,573 ,023 ,962 1,040 ,491
IndexSEG -,003d -,125 ,901 -,005 ,979 1,021 ,489
IndexTEC ,033d 1,179 ,239 ,047 ,962 1,040 ,488
5 Leis ,067e 1,613 ,107 ,065 ,416 2,404 ,331
InvSeg -,038e -1,343 ,180 -,054 ,921 1,085 ,389
IndexCAE ,019e ,681 ,496 ,027 ,960 1,042 ,389
IndexSEG -,002e -,077 ,939 -,003 ,979 1,022 ,389
IndexTEC ,033e 1,215 ,225 ,049 ,962 1,040 ,386
a. Predictors in the Model: (Constant), Pessoas
b. Predictors in the Model: (Constant), Pessoas, Tecno
c. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg
d. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg, PerGest
e. Predictors in the Model: (Constant), Pessoas, Tecno, GovSeg, PerGest, GRisco
De facto, os testes t para as variáveis independentes artificiais não são estatisticamente

significativos (com sig. = 0,939 para IndexSEG, sig. = 0,496 para IndexCAE e sig. = 0,225
para IndexTEC), i.e., não se rejeita a hipótese nula de que não se verifica a contribuição
adicional de uma variável independente para a explicação da variação da variável
dependente.
Em consonância com a constatação de que as variáveis independentes artificiais não

contribuem para explicar a variação da variável dependente Eficacia, estão os coeficientes
dos parâmetros destas variáveis constantes da Tabela 13.41, calculados pelo método Enter
da regressão linear múltipla. Na realidade, os testes t destas variáveis demonstram que não
se rejeita a hipótese nula de que os mesmos são iguais a zero, dado que eles não são
estatisticamente relevantes para qualquer tipo de erro I do analista.

Coefficientsa
1 (Constant) -,042 ,045 -,934 ,351
PerGest ,110 ,032 ,108 3,380 ,001 ,436 ,135 ,091 ,718 1,393
Leis ,065 ,042 ,065 1,536 ,125 ,553 ,062 ,041 ,413 2,423
GovSeg ,174 ,048 ,172 3,650 ,000 ,570 ,146 ,099 ,328 3,047
GRisco -,106 ,043 -,107 -2,468 ,014 ,478 -,099 -,067 ,389 2,572
Tecno ,332 ,034 ,328 9,785 ,000 ,613 ,368 ,264 ,647 1,545
Pessoas ,342 ,042 ,341 8,199 ,000 ,646 ,315 ,221 ,421 2,376
InvSeg -,032 ,029 -,032 -1,108 ,268 ,135 -,045 -,030 ,851 1,176
IndexCAE ,064 ,067 ,026 ,946 ,345 ,124 ,038 ,026 ,934 1,071
IndexSEG -,009 ,056 -,005 -,170 ,865 -,082 -,007 -,005 ,960 1,042
IndexTEC ,065 ,064 ,029 1,013 ,311 ,130 ,041 ,027 ,897 1,115
Em termos de qualidade do ajustamento, dado pelos coeficientes R, R2 e Ra2 apresentados

na Tabela 13.42, pode afirmar-se que a qualidade do ajustamento é boa.
Model Summaryb
Change Statistics
1 ,744a ,554 ,547 ,67762997 ,554 76,034 10 612 ,000 1,924
a. Predictors: (Constant), IndexTEC, IndexCAE, IndexSEG, Tecno, InvSeg, PerGest, GRisco, Leis, Pessoas, GovSeg
A equação estimada pelo modelo de regressão linear múltipla (Tabela 13.41) é a seguinte:
Eficacia = 0,174 × GovSeg - 0,106 × GRisco + 0,332 × Tecno +

(25)
+ 0,342 × Pessoas + 0,110 × PerGest
Um aumento de um desvio padrão em cada uma das variáveis independentes, excepto para
a variável GRisco, tem um efeito positivo no desvio padrão da variável Eficacia. Em
termos globais, por cada aumento de um desvio padrão em GovSeg, GRisco, Tecno,
Pessoas e PerGest, verifica-se um aumento de 0,752 desvios padrões em Eficacia.
13.4.3.3.4 Hipóteses do Modelo
Em função do que foi afirmado atrás para a estimação do modelo, também no que diz
respeito à verificação das hipóteses do modelo (homocedasticidade, ausência de
autocorrelação, normalidade das variáveis aleatórias residuais e multicolinearidade entre as
variáveis independentes) nada de significativamente diferente se pode deduzir para o
modelo em análise, relativamente ao modelo anterior.
13.5 DISCUSSÃO DOS RESULTADOS
Os resultados finais dos testes das hipóteses, calculados através da utilização de modelos
de regressão linear simples e múltipla, constam da Figura 13.5 e da Tabela 13.43.
Figura 13.5: Representação gráfica dos resultados dos modelos de regressão linear.
Tabela 13.43: Resultados dos modelos de regressão.
Modelo 1 Modelo 2 Modelo 3 Modelo 4

Variável Resultado
(Percep. (Efeitos (Efeitos
(Total)
Gestores) indirectos) directos)
AmbOrg 0,097 H1A suportada

AmbSTI 0,458 H1B não suportada
SocGes 0,103 H1C suportada
GovSeg × PerGest 0,469 H2A suportada
GRisco × PerGest 0,415 H2B suportada
InvSeg × PerGest 0,123 H2C suportada
Tecno × PerGest 0,364 H2D suportada
Pessoas × PerGest 0,420 H2E suportada
Leis × PerGest 0,461 H2F suportada
GovSeg 0,180 0,174 H3A suportada
GRisco -0,103 -0,106 H3B não suportada
InvSeg -0,035 -0,032 H3C não suportada
Tecno 0,333 0,332 H3D suportada
Pessoas 0,340 0,342 H3E suportada
Leis 0,064 0,065 H3F não suportada
PerGest 0,116 0,110 H3G suportada
IndexTEC 0,065
IndexSEG -0,009
IndexINF 0,064
2
R 0,312 0,553 0,554
2
Diferença entre R 0,001
2
Ra 0,309 0,548 0,547
À semelhança do que foi realizado para o teste do modelo conceptual de investigação,

também para a discussão dos resultados se optou por efectuar uma análise separada para
cada um dos modelos que compõem o modelo conceptual de investigação.
a) Modelo “percepção dos riscos da segurança da informação pelos gestores”
Os resultados indicam que o ambiente organizacional (AmbOrg), as características

individuais dos gestores (SocGes) e o ambiente de SI/TIC (AmbSTI) são significativos na
determinação da percepção dos riscos de segurança da informação pelos gestores
(PerGest). Isto significa que as hipóteses H1A e H1C são suportadas, mas a hipótese H1B não
é suportada, na medida em que esta hipótese preconizava um efeito negativo do ambiente
de SI/TIC na percepção dos riscos de segurança da informação pelos gestores. Contudo,
saliente-se o poder explicativo muito reduzido das variáveis AmbOrg e SocGes na variação
de PerGest. Em termos globais, o modelo apresenta um poder explicativo reduzido da

variação de PerGest (R2 = 0,312 e Ra2 = 0,309).
O modelo “percepção dos riscos da segurança da informação pelos gestores” não foi
totalmente confirmado empiricamente, na medida em que os testes empíricos das hipóteses
subjacentes ao modelo revelam um fraco suporte da teoria que serviu de base ao
desenvolvimento do modelo. De facto, cerca de 70% da variação da percepção dos riscos
da segurança da informação pelos gestores é explicada por outros factores que não aqueles
que estão incluídos no modelo.
Os resultados dos testes apontam para que a percepção dos riscos da segurança da
informação pelos gestores das PMEs esteja dependente quase exclusivamente dos
controlos implementados ao nível dos SI/TIC. Esta situação está em sintonia com os
argumentos defendidos por diversos autores (Clear & Lee-Kelley, 2005; Ng & Feng, 2006;
Ruighaver & Wong, 2002; Upfold & Sewry, 2006; Weippl & Klemen, 2006) de que os
gestores das PMEs vêem a segurança da informação essencialmente como uma intervenção
técnica com o objectivo de combater o software malicioso e proteger a informação.
A hipótese H1A de que um negócio de risco elevado influencia positivamente a percepção

dos riscos da segurança da informação pelos gestores das PMEs não encontrou um suporte
empírico no teste do modelo, o que evidencia uma atitude de despreocupação por parte dos
gestores das PMEs relativamente ao ambiente interno e externo em que a empresa está
envolvida. Este facto está em consonância com o defendido por Ng e Feng, (2006) que
afirmam que as PMEs possuem um falso sentimento de segurança pelo facto de serem
pequenas ou, como referido por Woody e Clinton (2004), os gestores das PMEs acreditam
que a dimensão ou o tipo de negócio são sinónimos de protecção contra ataques aos seus
SI/TIC. O teste empírico desta hipótese vai de encontro ao sugerido por Weippl e Klemen
(2006), de que os gestores das PMEs consideram que a sua empresa não é um alvo de
piratas informáticos (atacantes externos) ou de ameaças internas.
A hipótese H1B de que a existência de alguns controlos de segurança técnicos e

operacionais influencia negativamente a percepção dos riscos da segurança da informação
pelos gestores das PMEs não foi suportada empiricamente. Os resultados dos testes
empíricos mostram, pelo contrário, que existe uma influência positiva entre o ambiente dos
SI/TIC e a percepção dos riscos da segurança da informação pelos gestores. Esta
circunstância pode advir da noção de que quantos mais recursos forem aplicados para
garantir a segurança da informação, maior é a percepção do grau de satisfação com as

medidas tomadas e, consequentemente, menor é a percepção do risco. É nesta perspectiva
que Ruighaver e Wong (2002) afirmam que a implementação de algumas soluções técnicas
de segurança ao nível dos SI/TIC, conduzem a uma falsa percepção de ausência de risco ou
a um nível baixo de risco.
A hipótese H1C de que as elevadas competências dos gestores em SI/TIC influenciam

positivamente a percepção dos riscos da segurança da informação pelos gestores das PMEs
é suportada empiricamente pelo teste ao modelo, embora o poder explicativo da percepção
dos riscos da segurança da informação pelos gestores das PMEs pelas características
individuais dos gestores seja bastante reduzido. Contudo, este resultado contraria, em certa
medida, a conclusão de que os gestores das PMEs têm fracas competências em SI/TIC e
que esse facto limita a sua capacidade em delinear as estratégias em SI/TIC, tal como
defendido por Beheshti (2004), Caldeira e Ward (2002) e Mehrtens et al. apud Cragg et al.
(2002). O resultado empírico desta hipótese põe em causa o defendido por Ruighaver e
Wong (2002) de que o fraco nível de conhecimentos dos gestores em matéria de segurança,
conduz a uma falsa percepção de ausência de risco ou a um nível baixo de risco.
Em função do reduzido suporte empírico obtido para algumas das hipóteses propostas,
apresentam-se duas alternativas possíveis para validar a teoria:
• a teoria subjacente ao modelo “percepção dos riscos da segurança da informação

pelos gestores” é insuficiente para explicar a formação da percepção dos riscos da
segurança da informação pelos gestores das PMEs, sendo, portanto, necessário
procurar outros alicerces teóricos que fundamentem o modelo;
• a teoria inerente ao modelo é suficiente para explicar a formação da percepção dos
riscos da segurança da informação pelos gestores das PMEs, desde que se proceda a
uma reformulação ou desenvolvimento mais cuidadoso do instrumento para medir os
principais constructos da teoria.
Conjugando o facto das PMEs enfrentarem diversas vulnerabilidades e ameaças à

integridade, confidencialidade e disponibilidade da sua informação, com o facto dos
gestores serem os responsáveis pelas decisões críticas da empresa e, nesse sentido,
desenharem ou avaliarem propostas para as políticas de segurança e tomar a
responsabilidade dessas políticas, é extremamente importante conhecer a forma como os
gestores das PMEs percepcionam os riscos da segurança da informação. Esta percepção
dos riscos da segurança da informação pelos gestores tem que estar alicerçada numa teoria
devidamente validada e testada que permita aos gestores das PMEs conhecerem os riscos a
que os seus SI/TIC estão sujeitos e lhes permitam implementar as políticas de segurança
consideradas mais adequadas ao nível de risco que estão dispostos a aceitar e gerir
adequadamente.
b) Modelo “eficácia da segurança da informação”
Os resultados indicam que o governo da segurança da informação (GovSeg), a tecnologia

de segurança da informação (Tecno), as pessoas (Pessoas), e a percepção dos riscos de
segurança da informação pelos gestores (PerGest) são significativos na determinação da
eficácia das práticas de gestão da segurança da informação nas PMEs (Eficacia), i.e., as
hipóteses H3A, H3D, H3E e H3G são suportadas. Todavia, a gestão do risco (GRisco), o
investimento em segurança da informação (InvSeg) e as leis, regulamentos e normas (Leis)
não são determinantes da eficácia das práticas de gestão da segurança da informação nas
PMEs, i.e., as hipóteses H3B, H3C e H3F não são suportadas.
A percepção dos riscos de segurança da informação pelos gestores (PerGest) modera os

efeitos do governo da segurança da informação (GovSeg), da gestão do risco (GRisco), do
investimento em segurança da informação (InvSeg), da tecnologia de segurança da
informação (Tecno), das pessoas (Pessoas) e das leis, regulamentos e normas (Leis), ou
seja, as hipóteses H2A, H2B, H2C, H2D, H2E e H2F são suportadas. O poder explicativo (R2)
dos seis modelos não é muito significativo, variando entre os 13% e 22% para quase todos
eles, um pouco acima do valor de referência de 10%. Apenas o modelo para explicar o
efeito moderador de PerGest sobre InvSeg, apresenta um poder explicativo de 1,5%,
bastante abaixo do valor de referência de 10%.
Qualquer que seja o modelo adoptado – modelo de efeitos directos com ou sem variáveis
independentes artificiais - os resultados são idênticos no que diz respeito à aceitação ou
rejeição das hipóteses H3A, H3B, H3C , H3D, H3E, H3F e H3G.
As variáveis de controlo índice de segurança (IndexSEG), índice de utilização da

informação (IndexCAE) e índice tecnológico (IndexTEC) não são significativas. Embora o
R2 do modelo que inclui as variáveis de controlo (R2 = 0,554), seja pouco ligeiramente
superior ao modelo sem variáveis de controlo (R2 = 0,553), já no que respeita ao Ra2
verifica-se precisamente o inverso (Ra2 = 0,547 e Ra2 = 0,548), o que significa que o
modelo sem as variáveis de controlo tem uma qualidade de ajustamento ligeiramente

superior.
Apesar das variáveis de controlo não serem significativas, importa realçar que as PMEs
que utilizam a informação de forma intensiva nos seus processos de negócio e que
suportam esses processos de negócio com uma intensa utilização das tecnologias de
informação e comunicação, têm um efeito positivo na explicação da variação da eficácia
das práticas de gestão da segurança da informação nessas empresas. Contrariamente, as
PMEs que sofreram incidentes de segurança nos últimos 12 meses têm um efeito negativo
na explicação da variação da eficácia das práticas de gestão da segurança da informação.
Os resultados dos testes do modelo “eficácia da segurança da informação nas PMEs”

evidenciam que o governo da segurança da informação, a tecnologia, as pessoas e a
percepção dos riscos da segurança da informação pelos gestores das PMEs são
determinantes na eficácia das práticas de gestão da segurança da informação nas PMEs.
Se alguns destes resultados estão de acordo com algumas conclusões apresentadas na

revisão da bibliografia, outros, por sua vez, contrariam alguns dos argumentos propostos.
Contrariamente ao defendido por Weippl e Klemen (2006) de que as PMEs raramente
estabelecem políticas de segurança dos SI/TIC, os resultados mostram que, no âmbito do
governo da segurança da informação, as PMEs dispõem de um conjunto de políticas,
normas e procedimentos de segurança, as quais influenciam positivamente a eficácia das
suas práticas de segurança da informação.
Relativamente ao papel das pessoas no quadro da segurança da informação, os resultados

evidenciam que as PMEs procuram ter um papel activo na consciencialização e na
formação dos seus empregados para os riscos da segurança da informação. Estes resultados
não confirmam a existência de um baixo nível de consciência do risco por parte dos
gestores e restante pessoal das PMEs (Clear & Lee-Kelley, 2005), ou que a sensibilização
para as questões de segurança dos SI/TIC é fraca (Forrester Research, 2004).
As tecnologias de segurança adquiridas pelas PMEs são determinantes na eficácia das

práticas de gestão da segurança da informação, confirmando a teoria de que as soluções
tecnológicas são parte integrante dos controlos mais utilizados pelas PMEs (Busta et al.,
2006) e que, nalguns casos, são uma das únicas perspectivas adoptadas pelos gestores das
PMEs na implementação de práticas de segurança da informação (Upfold & Sewry, 2006).
Contrariamente à noção de que existe um baixo nível de consciência do risco por parte dos
gestores das PMEs (Clear & Lee-Kelley, 2005), ou que a sensibilização para as questões de
segurança dos SI/TIC é fraca (Forrester Research, 2004), os resultados mostram que existe
uma percepção dos riscos da segurança da informação por parte dos gestores das PMEs e
essa percepção é determinante na eficácia das práticas de gestão da segurança da
informação nas suas empresas.
Os resultados também mostram que a gestão do risco, o investimento em segurança da

informação, as leis, regulamentos e normas não são significativos na eficácia das práticas
de segurança da informação nas PMEs.
Os resultados demonstram que as PMEs não adoptam processos de análise e gestão dos
riscos a que os seus activos de informação estão potencialmente sujeitos, situação que pode
ser explicada por dois grupos de factores. Por um lado, a insuficiência de recursos
humanos qualificados (Xie & Mead, 2004) ou o facto de existirem poucos recursos
dedicados aos SI/TIC (Cragg et al., 2002). Por outro lado, pela circunstância dos gestores
das PMEs terem pouco conhecimento das ameaças e riscos a que os seus activos de
informação estão sujeitos (Keller et al., 2005) ou considerarem que as suas empresas não
são um alvo de ameaças externas ou internas (Weippl & Klemen, 2006).
O facto do investimento em segurança da informação não ser determinante na eficácia da

práticas de gestão da segurança da informação está em sintonia com o proposto por Weippl
e Klemen (2006) de que as PMEs têm falta de meios para proteger apropriadamente a sua
infra-estrutura tecnológica e com o constatado empiricamente por Johnson e Koch (2006),
que afirmam que apesar dos gestores das PMEs estarem cientes das ameaças dos seus
activos de informação, são poucos os que estão a tomar medidas para proteger os seus
SI/TIC.
Contrariamente ao defendido pela Ernst & Young (2007) de que a conformidade com as
leis e regulamentos contribui para uma melhoria da segurança da informação, os resultados
mostram que as leis, regulamentos e normas não são determinantes na eficácia das práticas
de gestão da segurança da informação nas PMEs. Esta situação pode ser justificada pelo
facto dos gestores das PMEs desconhecerem parte da legislação aplicável à segurança da
informação.
Os nossos resultados demonstram que a percepção dos riscos da segurança da informação

pelos gestores das PMEs tem um elevado efeito moderador em todas as variáveis (governo
da segurança da informação, gestão do risco, pessoas, tecnologia e leis, regulamentos e

normas), à excepção do investimento em segurança da informação, em que o efeito, apesar
de significativo, é relativamente reduzido. Isto significa que uma elevada percepção dos
gestores acerca dos riscos potenciais de segurança, associado ao facto de concentrarem em
si todo o poder das decisões críticas (Lee & Runge, 2001; Street & Meister, 2004),
influencia o que eles desejam da sua gestão da segurança da informação (Kotulic & Clark,
2004). Neste caso, verifica-se que a percepção dos gestores tem um efeito moderador em
todas as variáveis, mesmo naquelas que não têm um efeito directo determinante na eficácia
da segurança da informação (investimento em segurança e leis, regulamentos e normas).
Os gestores reconhecem a importância de enquadrar todas as dimensões da segurança da
informação nas suas estratégias de gestão da segurança da informação e que essas
dimensões são determinantes da eficácia das práticas de gestão da segurança da informação
nas suas empresas.
14 Conclusões e Recomendações
CAPÍTULO 14
CONCLUSÕES E RECOMENDAÇÕES
14.1 INTRODUÇÃO
Procurámos, nesta investigação, testar a eficácia das práticas de gestão da segurança da

informação com base na influência de seis dimensões da segurança da informação
(governo da segurança da informação, gestão do risco, investimento em segurança,
tecnologia, pessoas e leis, regulamentos e normas), moderada pela percepção dos riscos da
segurança da informação pelos gestores.
Neste capítulo apresenta-se uma síntese da verificação das hipóteses de investigação, as

reflexões finais, as contribuições teóricas e práticas da presente investigação, os limites da
investigação e recomendações, as investigações futuras na área da segurança da
informação e as considerações de fecho.
14.2 VERIFICAÇÃO DAS HIPÓTESES
O modelo conceptual de investigação tem associado um conjunto de 16 hipóteses de

investigação, distribuídas pelos modelos “percepção dos riscos da segurança da informação
pelos gestores” e “eficácia da segurança da informação”. Os resultados dos testes
empíricos das hipóteses e respectiva justificação são apresentados a seguir:
Hipótese 1A
Um negócio de risco elevado influencia positivamente a percepção dos riscos de

segurança da informação pelos gestores das PMEs.
Capítulo 14 – Conclusões e Recomendações
Suportada. O valor do coeficiente β é igual a 0,97 para um p ≤ 0,01, segundo o modelo de

regressão linear múltipla utilizado.
Hipótese 1B
A existência de alguns controlos de segurança técnicos e operacionais influencia

negativamente a percepção dos riscos de segurança da informação pelos gestores das
PMEs.
Não suportada. O valor do coeficiente β é igual a 0,455 para um p ≤ 0,001, segundo o

modelo de regressão linear múltipla utilizado.
Hipótese 1C
As elevadas competências dos gestores em SI/TIC influenciam positivamente a

percepção dos riscos de segurança da informação pelos gestores das PMEs.
Suportada. O valor do coeficiente β é igual a 0,103 para um p ≤ 0,005, segundo o modelo

de regressão linear múltipla utilizado.
Hipótese 2A
Um nível elevado de percepção dos riscos de segurança da informação pelos gestores

das PMEs tem um efeito positivo na implementação de um governo da segurança da
informação.

de regressão linear simples utilizado.
Hipótese 2B

das PMEs tem um efeito positivo na implementação de processos de gestão de risco da

Hipótese 2C

das PMEs tem um efeito positivo no investimento em segurança da informação.

Hipótese 2D

das PMEs tem um efeito positivo na utilização das tecnologias de segurança da
informação.

Hipótese 2E

das PMEs tem um efeito positivo na implementação de acções de formação e
sensibilização em segurança da informação.

Hipótese 2F

das PMEs tem um efeito positivo na aplicação e utilização de leis, normas e
regulamentos.

Hipótese 3A
A implementação de uma estrutura de governo da segurança da informação está

relacionada positivamente com a eficácia da gestão da segurança da informação nas
PMEs.

Hipótese 3B
A implementação de processos de gestão de risco da segurança da informação está

relacionada positivamente com a eficácia da gestão da segurança da informação nas
PMEs.
Não suportada. O valor do coeficiente β é igual a -0,106 para um p ≤ 0,01, segundo o

modelo de regressão linear múltipla utilizado.
Hipótese 3C
A implementação de processos de análise de investimento em segurança da

informação está relacionada positivamente com a eficácia da gestão da segurança da
informação nas PMEs.
Não suportada. O valor do coeficiente β é igual a -0,032 (não rejeição da hipótese nula –
sig. = 0,268), segundo o modelo de regressão linear múltipla utilizado.
Hipótese 3D
A utilização das tecnologias da segurança da informação está relacionada


Hipótese 3E
A implementação de acções de formação e sensibilização em segurança da informação

está relacionada positivamente com a eficácia da gestão da segurança da informação
nas PMEs.

Hipótese 3F
A conformidade com as leis e normas de segurança da informação está relacionada

Não suportada. O valor do coeficiente β é igual a 0,065 (não rejeição da hipótese nula – sig.
= 0,125), segundo o modelo de regressão linear múltipla utilizado.
Hipótese 3G
A percepção dos riscos de segurança da informação pelos gestores está relacionada


Das 16 hipóteses de investigação testadas empiricamente através de modelos de regressão

linear simples e múltipla, apenas quatro não foram suportadas pelos testes estatísticos.
14.3 REFLEXÕES FINAIS
Nenhum SIC, quer de organizações públicas ou privadas, é completamente seguro. Na

realidade tecnológica actual, basta a organização utilizar a Internet para a sua informação e
o seu SIC ficarem vulneráveis. A dimensão ou o tipo de negócio não são sinónimos de
protecção contra ataques aos SI/TIC (Woody & Clinton, 2004).
Os factores que estão na origem das falhas e incidentes de segurança da informação são
diversos, abrangendo factores tecnológicos (inexistência ou debilidade dos controlos
técnicos e operacionais e utilização de tecnologias de segurança certificadas), processuais
(inexistência ou debilidade dos processos de gestão dos riscos, ameaças e vulnerabilidades,
das políticas de segurança, do investimento em segurança e da conformidade com as leis,
regulamentos e normas) e humanos (inexistência ou debilidade das acções de
consciencialização e formação em segurança da informação e de uma cultura de segurança).
Apesar dos riscos e ameaças que recaem sobre a segurança da informação, existem,
contudo, determinadas práticas de gestão que os gestores podem implementar para
maximizar a protecção dos seus activos de informação críticos para o negócio das suas
organizações. A presente tese conclui que as actividades inerentes ao governo da segurança
da informação (políticas e normas de segurança da informação, metodologia de gestão do
risco e estrutura organizacional), à tecnologia (controlos técnicos e operacionais e
adequação das tecnologias de segurança adquiridas), às pessoas (acções de
consciencialização e formação em segurança da informação) e à percepção dos riscos da
segurança da informação pelos gestores, são os factores que têm mais impacto sobre a
eficácia da segurança da informação nas PMEs portuguesas.
Este resultado evidencia que a segurança da informação nas PMEs já ultrapassou uma
vertente meramente tecnológica, passando a integrar as dimensões organizacional e
humana, reconhecendo a importância das políticas e normas de segurança e do papel dos
colaboradores, tanto na execução das políticas, como na correcta utilização dos SI/TIC.
As PMEs já começam a adoptar uma abordagem à segurança da informação que não inclui
apenas os controlos técnicos e operacionais, passando, assim, a focalizar-se nos aspectos
organizacionais e humanos, cientes de que a tecnologia, só por si, é insuficiente para
garantir uma adequada eficácia da segurança da informação, i.e., as PMEs estão
conscientes de que a segurança da informação é, cada vez mais, um problema das pessoas
e não da tecnologia, tal como defendido por Schultz (2005). As PMEs reconhecem,
portanto, que é necessário estabelecer um adequado equilíbrio entre as pessoas, os
processos e a tecnologia, para que seja possível alcançar uma segurança da informação
eficaz, em consonância com o nível de segurança pretendido e de acordo com a percepção
dos gestores sobre os riscos da segurança da informação a que as suas organizações estão
sujeitas.
Os processos associados com a gestão do risco, fundamentais para avaliar as ameaças e

vulnerabilidades dos activos de informação e determinar o nível de investimento
necessário para eliminar ou reduzir as ameaças e vulnerabilidades detectadas, assim como
os processos para manter a segurança da informação em conformidade com as leis,
regulamentos e normas, não foram identificados no nosso modelo como fazendo parte da
estratégia de segurança da informação, ou seja, não são determinantes na eficácia das
práticas de gestão da segurança da informação nas PMEs portuguesas. A implementação
destes processos requer que as PMEs disponham de recursos humanos com competências
específicas nestas áreas. A insuficiência de recursos humanos nas PMEs (Xie & Mead,
2004), nomeadamente de recursos técnicos especializados, pode ser um dos factores
responsáveis pela inexistência ou debilidade destes processos, contribuindo para que os
mesmos não sejam determinantes na eficácia das práticas de gestão da segurança da
informação.
A percepção dos riscos da segurança da informação pelos gestores das PMEs desempenha
um papel fundamental na estratégia de segurança adoptada pelas PMEs, na medida em que
o poder das decisões críticas está centralizado nos gestores. Se o seu nível de percepção
dos riscos é baixo e como os recursos humanos, técnicos, materiais e financeiros são
escassos e orientados para outros objectivos estratégicos, os gestores não vão ter uma
acção determinante na estratégia da segurança da informação, pois não irão desviar os
recursos necessários das actividades consideradas mais importantes para algo que
considerem ter pouca utilidade para o negócio das suas organizações. Em sentido oposto,
uma elevada percepção dos riscos da segurança da informação pelos gestores fará com que
a problemática da segurança da informação seja compreendida como um factor essencial
para o negócio e, nesta perspectiva, serão afectados os recursos considerados suficientes
para proteger a informação de ameaças contra a sua integridade, disponibilidade e
confidencialidade.
Os resultados empíricos obtidos comprovam que a percepção dos gestores tem um efeito
directo determinante (mas reduzido) na eficácia da segurança da informação, mas, em
contrapartida, tem um efeito significativo em todas as dimensões da segurança da
informação testadas e, por essa via, um efeito moderador na eficácia das práticas de gestão
da segurança da informação nas PMEs. Este facto revela a importância que a percepção
dos riscos da segurança da informação pelos gestores assume na definição de um modelo
que tenha como objectivo conhecer as práticas de gestão da segurança da informação.
É um facto assumido por diversos autores (e.g., Clear & Lee-Kelley, 2005; Ng & Feng,
2006; Ruighaver & Wong, 2002; Weippl & Klemen, 2006) que as políticas de segurança,
controlos de acesso e formação são assuntos que apenas merecem atenção depois de um
incidente de segurança. Nesta perspectiva, seria expectável que as empresas que sofreram
incidentes de segurança nos últimos 12 meses, tivessem uma maior eficácia das suas
práticas de gestão da segurança da informação. Todavia, os resultados demonstram
precisamente o contrário. Os incidentes de segurança ocorridos não tiveram como
consequência um aumento dos controlos de segurança para aumentar a eficácia da
segurança da informação. Esta situação deve-se, provavelmente, ao facto de, num primeiro
nível, os principais incidentes reportados estarem relacionados com problemas com vírus
ou outro tipo de software malicioso e com o abuso dos privilégios de acesso à Internet por
parte dos empregados. Apenas num segundo nível são reportados incidentes referentes a
dados corrompidos ou parcialmente destruídos e a problemas com a fiabilidade dos
sistemas de informação. A natureza dos incidentes sofridos, associado ao facto de não ter
existido prejuízos financeiros ou esses prejuízos se terem revelado de pouca importância,
não obrigou a um aumento ou reforço do investimento em segurança da informação. Estes
resultados não validam as conclusões de Gordon et al. (2003a) de que o nível do

investimento em segurança é função da ocorrência das falhas de segurança actuais e de que
as empresas respondem de forma reactiva e não proactiva relativamente aos investimentos
em segurança.
Sendo um dado adquirido que o conhecimento é um dos activos mais importantes das
PMEs (Weippl & Klemen, 2006) e que existem maiores riscos de segurança da informação
nas empresas que utilizam intensivamente a informação, pois mais informação é necessária
para alimentar o processo de tomada de decisão (Fourie, 2003), os resultados mostram que
estas empresas não reconhecem o perigo da espionagem industrial e das ameaças a que os
seus activos de informação estão submetidos, na medida em que as suas práticas de gestão
da segurança da informação não são diferentes das PMEs que não utilizam a informação
como um recurso estratégico do seu negócio.
14.4 CONTRIBUIÇÕES TEÓRICAS E PRÁTICAS
Baseado na revisão da literatura, o modelo de investigação proposto é o único modelo,

tanto quanto temos conhecimento, que envolve constructos sobre tecnologia, processos e
pessoas para analisar a eficácia da segurança da informação nas PMEs. O modelo
conceptual proposto entende a segurança da informação como um fenómeno
organizacional, técnico e social, apresentando uma visão integrada da segurança da
informação numa perspectiva multidimensional e multidisciplinar.
A informação produzida por este trabalho de investigação constitui, não só um passo

fundamental para compreender como as PMEs desenvolvem as suas práticas de gestão da
segurança da informação e quais os factores que mais influenciam essas práticas, como
também, contribui para a compreensão teórica da forma como a segurança da informação
deve ser implementada nas organizações. Compreender como as PMEs praticam a
segurança da informação, envolvendo a tecnologia, os processos e as pessoas, fornece um
manancial de informações para definir quais as actividades de investigação que ainda são
necessárias desenvolver e como medir o progresso dos resultados alcançados.
Para os investigadores, este estudo preenche uma lacuna no conhecimento das práticas de
gestão da segurança da informação nas PMEs e introduz novas perspectivas na
investigação da segurança da informação. Na verdade, a utilização da percepção dos riscos
da segurança da informação pelos gestores como influenciador da eficácia das práticas de

gestão da segurança da informação e o seu efeito moderador sobre as dimensões da
segurança da informação utilizadas nesta investigação, são um contributo inovador para a
investigação nesta área. De facto, tanto quanto é do nosso conhecimento, existem alguns
estudos que abordam a problemática da percepção dos riscos pelos gestores numa óptica da
formação dessa percepção, i.e., quais os factores que influenciam a percepção dos gestores
sobre os riscos (e.g., Ng & Feng, 2006; Ruighaver & Wong, 2002), mas não existem
estudos que estabeleçam relações de causa e efeito directo entre a percepção dos riscos da
segurança da informação pelos gestores das PMEs e a eficácia das práticas de gestão da
segurança da informação, assim como relações de causa e efeito indirecto com as
dimensões da segurança da informação analisadas nesta investigação.
A nossa investigação evidenciou que os processos associados com a gestão do risco e com
a conformidade com os requisitos legais, não são determinantes na eficácia das práticas de
gestão da segurança da informação nas PMEs portuguesas. Uma das razões apontadas para
esta situação poderá estar relacionada com a inexistência de recursos humanos
especializados nesta área. De forma a ultrapassar este constrangimento, propomos a
implementação de uma pós-graduação em segurança da informação, integrando não só os
aspectos tecnológicos e físicos da segurança, mas, sobretudo, os aspectos referentes à
gestão de risco e respectivas metodologias, normas e regulamentos e aos processos de
gestão do factor humano da segurança.
Para além das contribuições teóricas atrás apresentadas, este estudo também acarreta
algumas contribuições para os profissionais no domínio da segurança da informação.
A importância da percepção dos riscos da segurança da informação pelos gestores (tanto

como efeito directo, como efeito moderador), do governo da segurança da informação, da
tecnologia e das pessoas, serve de referência para a criação e implementação de um
programa de segurança da informação nas PMEs. Os nossos resultados mostram que a par
da utilização de controlos operacionais e técnicos, as actividades associadas às acções de
sensibilização e formação dos empregados, como a utilização de políticas de segurança
documentadas são os factores mais importantes a considerar na criação e implementação
de um programa de segurança da informação nas PMEs.
Os gestores das PMEs podem melhorar a eficácia das suas práticas de gestão da segurança
da informação aplicando o modelo proposto nesta investigação nas suas organizações, na
medida em que o modelo integra as áreas mais críticas que os gestores podem gerir, de
forma a aumentar a eficácia das sua políticas de segurança da informação.
O modelo conceptual proposto é uma ferramenta útil, tanto para as PMEs que têm
departamentos de SI/TIC, como para aquelas que fazem a externalização dos seus serviços
de SI/TIC. Suportando-se neste modelo, as primeiras podem avaliar e monitorar o estado
da segurança da informação, melhorar o design do seu programa de segurança da
informação, assim como delinear um plano de acções de sensibilização e formação em
segurança da informação para todos aqueles que tratam com a informação crítica do
negócio. No caso das segundas, o modelo pode servir de referência para celebrar contratos
de prestação de serviços na área da segurança da informação com os seus fornecedores de
serviços de SI/TIC.
Para a nossa actividade de consultor, este modelo servirá, essencialmente, como uma
ferramenta de diagnóstico para avaliar o estado actual da segurança da informação numa
determinada organização e definir os planos de acções que será necessário implementar
para se atingir o nível de segurança desejado.
14.5 LIMITES À INVESTIGAÇÃO E RECOMENDAÇÕES
Em princípio, todos os trabalhos de investigação apresentam maiores ou menores

limitações, quer no que diz respeito aos modelos teóricos adoptados, quer no que respeita
ao método de investigação utilizado e à recolha de dados para análise.
Uma limitação importante na realização desta investigação foi, tanto quanto é do nosso
conhecimento, a escassez de trabalhos de investigação em segurança da informação nas
PMEs, comparativamente aos estudos sobre a temática geral da segurança da informação.
Esta situação provocou alguns constrangimentos na formulação e desenvolvimento do
modelo de investigação e das correspondentes hipóteses teóricas.
Outra limitação encontrada diz respeito à dimensão da amostra. Tendo em atenção o

âmbito de investigação definido em termos do número de PMEs e sectores de actividade,
talvez uma amostra por estratificação fosse mais indicada do que a amostra aleatória
simples para uma população finita que foi utilizada neste estudo. Apesar do número de
respostas ao questionário (674 respostas válidas) ter ultrapassado o valor calculado para a
dimensão da amostra (381 casos), a amostra obtida não é suficientemente grande, tendo em
atenção que o universo das PMEs objecto de investigação foi de 42 788 empresas. Por
outro lado, o âmbito das PMEs envolvidas neste estudo foi muito amplo em termos do
sector de actividade, englobando 13 secções da CAE Rev.3. Os estudos que abordam um
sector específico ou indústria têm mais probabilidade de identificar objectivos específicos
e práticas que são mais relevantes dentro desse sector específico ou indústria.
Apesar da nossa preocupação em evidenciar um rigor metodológico na construção e

validação dos constructos que, de acordo com o modelo conceptual proposto, têm um
impacto significativo na eficácia da segurança da informação, é possível que a utilização
de outras medidas de avaliação possam produzir resultados diferentes. De facto, o
instrumento de medida foi desenvolvido com base em medidas de percepção, o que conduz,
de uma forma geral, à propensão do inquirido em transmitir uma imagem culturalmente
aceitável, ou seja, dar respostas socialmente desejáveis. Como a desejabilidade social pode
enviesar os resultados, uma forma de ultrapassar este constrangimento passa por utilizar
indicadores reais, obtidos através de questionários (tendo sempre presente a baixa taxa de
resposta a questionários deste tipo) ou, preferencialmente, através de estudos de caso,
observação participante e entrevistas.
Os resultados dos testes ao modelo revelaram que algumas das hipóteses teóricas de
investigação formuladas não tinham suporte empírico, pelo que importa melhorar o
instrumento de medida associado a essas hipóteses, para confirmar se a teoria estava
correcta ou o instrumento de medida não estava adequadamente definido para suportar a
teoria subjacente. O aperfeiçoamento do instrumento de medida pode passar por garantir
que cada constructo tenha mais do que três itens, dado que o facto de alguns dos
constructos do nosso instrumento de medida conterem apenas três itens inviabilizou a
realização da análise factorial para determinar a validade de constructo.
O modelo conceptual utilizado na presente investigação foi testado com base nos modelos
de regressão linear simples e múltipla, tendo produzido os resultados apresentados no
capítulo anterior. Existem, contudo, outros métodos para testar o modelo de investigação
proposto, pelo que será interessante confrontar os resultados do nosso estudo com os
resultados obtidos com a utilização de outros métodos, como, por exemplo, o método das
equações estruturais.
14.6 INVESTIGAÇÕES FUTURAS
Com base no modelo conceptual proposto é possível desenvolver futuras investigações

para identificar relações causais entre as componentes da gestão da segurança nas
organizações, assim como identificar factores influenciadores da eficácia da gestão da
segurança da informação nas PMEs. Complementarmente, futuros estudos nesta área
podem testar o modelo utilizando diferentes amostras ou focalizando-se apenas em
determinados sectores de actividade.
A nossa investigação demonstrou que a percepção dos riscos da segurança da informação

pelos gestores das PMEs tem um efeito significativo em todas as dimensões da segurança
utilizadas no modelo e um efeito directo determinante (mas reduzido) na eficácia da
segurança da informação. Dada a importância assumida pela percepção dos riscos da
segurança da informação pelos gestores e como algumas das hipóteses propostas para
analisar a forma como essa percepção é formada tiveram um reduzido suporte empírico, é
nossa intenção realizar uma investigação mais aprofundada para estudar os factores que
influenciam a percepção dos riscos pelos gestores.
Propostas de investigação futuras passam pelo estudo de algumas áreas da segurança da

informação que não foram abordadas nesta investigação (e.g., privacidade da informação)
ou foram-no muito superficialmente (e.g., cultura de segurança da informação).
A sequência natural desta tese é o desenvolvimento do projecto para a elaboração de um

manual de segurança da informação para as PMEs, no âmbito do protocolo de colaboração
com o IAPMEI.
14.7 CONSIDERAÇÕES FINAIS
A informação e o conhecimento são dois dos activos mais importantes das PMEs. A
preservação deste conhecimento, em termos de integridade, disponibilidade e
confidencialidade é um dos objectivos estratégicos primordiais que devem orientar as
acções das PMEs, sob pena de perderem a sua competitividade ou, em último caso, de não
conseguirem sobreviver num mercado globalizado e cada vez mais agressivo
concorrencialmente.
A segurança da informação deve merecer uma atenção especial por parte dos gestores das
PMEs, na medida em que as ameaças aos seus activos basilares do negócio (informação e
conhecimento) tendem a aumentar cada vez mais. Tal como demonstram os resultados da
nossa investigação, a acção dos gestores não deve focalizar-se apenas na tecnologia, mas,
fundamentalmente, nos aspectos relacionados com os colaboradores, tanto em termos de
ameaças internas, como em termos das ameaças externas que fazem recursos às técnicas da
engenharia social. De facto, as estimativas avançadas pela comunicação social da
especialidade apontam para que as ameaças aos SI/TIC tendem a aumentar e que a
engenharia social vai estar no topo das ameaças à segurança da informação para o ano de
2010 (Casa dos Bits, 2009).
A realização desta tese proporcionou-nos um aprofundamento dos nossos conhecimentos

sobre a segurança da informação e novas perspectivas na forma de abordar a temática da
segurança da informação, tanto em termos académicos, como em termos profissionais.
Ao concluir esta investigação sentimos que, face aos factos apresentados anteriormente,
devem ser desenvolvidos mais esforços na realização de estudos adicionais sobre a
segurança da informação nas PMEs portuguesas e contribuir, dessa forma, para manter a
sua competitividade e inovação no mercado global actual.
Bibliografia
BIBLIOGRAFIA
Association for Computing Machinery. (1992). ACM Code of Ethics and Professional Conduct.
Recuperado em 20 de Maio, 2008, em www.acm.org/about/code-of-ethics.
Agência Europeia para a Segurança das Redes e da Informação. (2006). Guia do Utilizador: Como
Sensibilizar para a Segurança da Informação. Recuperado em 12 de Janeiro, 2009, em
http://www.enisa.europa.eu/doc/pdf/deliverables/WGAR/guide_pt.pdf.
AlAboodi, S. S. (2006). A New Approach for Assessing the Maturity of Information Security.
Information Systems Control Journal, 3. Recuperado em 20 de Julho, 2008, em
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/Conte
ntDisplay.cfm&ContentID=33735.
Alberts, C. J. (2006). Common Elements of Risk (Technical Note: CMU/SEI-2006-TN-014).
Pittsburgh, PA: Carnegie Mellon University, Software Engineering Institute, Acquisition
Support Program. Recuperado em 11 de Maio, 2007, em
www.sei.cmu.edu/pub/documents/06.reports/pdf/06tn014.pdf.
Alberts, C. J., & Dorofee, A. J. (2001). OCTAVE Criteria, Version 2.0 (Technical Report
CMU/SEI-2001-TR-016; ESC-TR-2001-016). Pittsburgh, PA: Carnegie Mellon University,
Software Engineering Institute, Networked Systems Survivability Program. Recuperado em
19 de Junho, 2006, em www.cert.org/archive/pdf/01tr016.pdf.
Alberts, C. J., & Dorofee, A. (2002). Managing Information Security Risks: The OCTAVE
Approach: Addison Wesley.
Alberts, C. J., Dorofee, A. J., & Allen, J. H. (2001). OCTAVE Catalog of Practices, Version 2.0
(Technical Report CMU/SEI-2001-TR-020; ESC-TR-2001-020). Pittsburgh, PA: Carnegie
Mellon University, Software Engineering Institute, Networked Systems Survivability
Program. Recuperado em 3 de Fevereiro, 2005, em www.cert.org/archive/pdf/01tr020.pdf.
Alberts, C. J., Dorofee, A., Stevens, J., & Woody, C. (2003). Introduction to the OCTAVE
Approach. Pittsburgh, PA: Carnegie Mellon University, Software Engineering Institute,
Networked Systems Survivability Program. Recuperado em 19 de Junho, 2006, em
www.cert.org/octave/approach_intro.pdf.
Albrechtsen, E. (2007). A Qualitative Study of Users’ View on Information Security. Computers &
Security, 26(4), 276-289. Recuperado em 26 de Junho, 2008, da b-on database.
Albrechtsen, E., & Hovden, J. (2009). The Information Security Digital Divide Between
Information SecurityManagers and Users. Computers & Security, 1-15. Recuperado em 13
de Março, 2009, da Business Source Premier database.
Allen, J. H. (2005). An Introduction to Governing for Enterprise Security. Recuperado em 27 de
Novembro, 2006, em http://www.sei.cmu.edu/publications/news-at-
sei/columns/security_matters/2005/1/security-matters-2005-1.pdf.
Bibliografia
Allen, J. H. (2006). How Much Security Is Enough?. Recuperado em 14 de Maio, 2008, em

http://www.sei.cmu.edu/news-at-sei/columns/security_matters/security-matters-detail.htm.
Alter, S., & Sherer, S. A. (2004). A General, But Readily Adaptable Model of Information System
Risk. Communications of AIS, 2004(14), 1-28. Recuperado em 12 de Junho, 2007, da
Business Source Premier database.
Anderson, J. M. (2003). Why We Need a New Definition of Information Security. Computers &
Anderson, K. (2008). A Business Model for Information Security. Information Systems Control
Journal, 3, 51-52.
Anderson, R. (2001). Why Information Security is Hard - An Economic Perspective. Paper
presented at the Seventeenth Computer Security Applications Conference. Recuperado em
27 de Maio, 2008, em http://www.cl.cam.ac.uk/~rja14/Papers/econ.pdf.
Anderson, E. E., & Choobineh, J. (2008). Enterprise Information Security Strategies. Computers &
Security, 27(1-2), 22-29. Recuperado em 26 de Junho, 2008, da b-on database.
Anderson, A., Longley, D., & Kwok, L. F. (1994). Security Modelling for Organisations. Paper
presented at the 2nd ACM Conference on Computer and Communications Security, Fairfax,
Virginia, USA. Recuperado em 25 de Fevereiro, 2008, da The ACM Digital Library database.
Anderson, G. F., Selby, D. A., & Ramsey, M. (2007). Insider Attack and Real-Time Data Mining
of User Behavior. IBM Journal of Research & Development, 51( 3/4), 465-475. Recuperado
em 30 de Julho, 2007, da Academic Source Premier database.
Appleyard, J. (2007). Information Classification: A Corporate Implementation Guide. In H. F.
Tipton & M. Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 221-32). 0-
8493-7495-2: Boca Raton.
ASIS International. (2003). The General Security Risk Assessment Guideline. Recuperado em 20 de
Outubro, 2008, em http://www.asisonline.org/guidelines/guidelinesgsra.pdf
Assembleia da República. (1991). Lei n.º 109/91 de 17 de Agosto. Diário da República, 1.ª Série-A,
n.º 188, 4202-4205.
Assembleia da República. (1998). Lei n.º 67/98 de 26 de Outubro. Diário da República, 1.ª Série-A,
n.º 5, 70-78.
Assembleia da República. (2004). Lei n.º 41/2004 de 18 de Agosto. Diário da República, 1.ª Série-
A, n.º 194, 5241-5245.
Avusoglu, H., Mishra, B., & Raghunathan, S. (2004). A Model for Evaluating IT Security
Investments. Communications of the ACM, 47(7), 87-92. Recuperado em 4 de Julho, 2008,
da Business Source Premier database.
Azumah, G., Koh, S. C. L., & Maguire, S. (2005). E-organisation and its Future Implication for
SMEs. Production Planning & Control, 16(6), 555-562. Recuperado em 30 de Abril, 2007,
da Business Source Premier database.
Backhouse, J., Hsu, C. W., & Silva, L. (2006). Circuits of Power in Creating De Jure Standards:
Shaping an International Information Systems Security Standard. MIS Quarterly, 30, 413-
438. Recuperado em 2 de Maio, 2008, da Business Source Premier database.
Band, S. R., Cappelli, D. M., Fischer, L. F., Moore, A. P., Shaw, E. D., & Trzeciak, R. F. (2006).
Comparing Insider IT Sabotage and Espionage: A Model-Based Analysis (Technical Report:
CMU/SEI-2006-TR-026 & ESC-TR-2006-091) (1). Pittsburgh: Carnegie Mellon University,
Software Engineering Institute, CERT Program. Recuperado em 11 de Maio, 2007, em
www.cert.org/archive/pdf/06tr026.pdf.
Bibliografia
Bandyopadhyay, K., & Mykytyn, P. P. (1999). A Framework for Integrated Risk Management in
Information Technology. Management Decision, 37( 5/6), 437-444. Recuperado em 19 de
Maio, 2007, da b-on database.
Bank for International Settlements. (2006). International Convergence of Capital Measurement
and Capital Standards: A Revised Framework - Comprehensive Version (Basel II).
Recuperado em 27 de Outubro, 2008, em http://www.bis.org/publ/bcbs128.pdf?noframes=1.
Barba-Sánchez, V., Martínez-Ruiz, M. P., & Jiménez-Zarco, A. I. (2007). Drivers, Benefits and
Challenges of ICT Adoption by Small and Medium Sized Enterprises (SMEs): A Literature
Review. Problems and Perspectives in Management, 5(1), 103-114. Recuperado em 30 de
Abril, 2007, da Business Source Premier database.
Baskerville, R. (1993). Information Systems Security Design Methods: Implications for
Information Systems Development. ACM Computing Surveys (CSUR), 25(4), 375-414.
Recuperado em 7 de Maio, 2007, da ACM Digital Library database.
Bassellier, G., Reich, B. H., & Benbasat, I. (2001). Information Technology Competence of
Business Managers: A Definition and Research Model. Journal of Management Information
Systems, 17(4), 159-182. Recuperado em 13 de Março, 2009, da Business Source Premier
database.
Beaver, K., & Harold, R. (2004). The Practical Guide to HIPAA Privacy and Security Compliance.
Boca Raton: Auerbach Publications.
Beheshti, H. M. (2004). The Impact of IT on SMEs in the United States. Information Management
& Computer Security, 12(4), 318-327. Recuperado em 2 de Junho, 2007, da b-on database.
Benaroch, M. (2002). Managing Information Technology Investment Risk: A Real Options
Perspective. Journal of Management Information Systems, 19(2), 43-84. Recuperado em 23
de Junho, 2008, da Business Search Premier database.
Benaroch, M., Jeffery, M., Kauffman, R. J., & Shan, S. (2007). Option-Based Risk Management: A
Field Study of Sequential Information Technology Investment Decisions. Journal of
Management Information Systems, 24(2), 103-140. Recuperado em 23 de Junho, 2008, da
Business Search Premier database.
Benaroch, M., & Kauffman, R. J. (1999). A Case for Using Real Options Pricing Analysis to
Evaluate Information Technology Project Investments. Information Systems Research, 10(1),
70-86. Recuperado em 23 de Junho, 2008, da Business Search Premier database.
Benaroch, M., & Kauffman, R. J. (2000). Justifying Electronic Banking Network Expansion Using
Real Options Analysis. MIS Quarterly, 24(2), 197-225. Recuperado em 23 de Junho, 2008,
da Business Search Premier database.
Benaroch, M., Lichtenstein, Y., & Robinson, K. (2006). Real Options in Information Technology
Risk Management: An Empirical Validation of Risk-Option Relationships. MIS Quarterly,
30(4), 827-864. Recuperado em 3 de Maio, 2008, da Business Search Premier database.
Bentler, P. M., & Chou, C.-P. (1987). Practical Issues in Structural Modeling. Sociological
Methods & Research, 16(1), 78-117. Recuperado em 25 de Maio, 2007, da b-on database.
Berbecaru, D., Derenale, C., & Lioy, A. (2004). Digital Certificates and Public-Key Infrastructures.
In M. Fugini & C. Bellettini (Eds.), Information Security Policies and Actions in Modern
Integrated Systems (Vol. 1, pp. 64-97). Hershey, London, Melbourne, Singapore: Idea Group
Publishing.
Berinato, S. (2007). The Global State of Information Security 2007. Recuperado em 21 de Maio,
2008, em
www.pwc.com/extweb/pwcpublications.nsf/docid/114E0DE67DE6965385257341005AED7
B/$FILE/PwC_GISS2007.pdf.
Bibliografia
Bernard, R. (2007). Information Lifecycle Security Risk Assessment: A tool for closing security
gaps. Computers & Security, 26(1), 26-30. Recuperado em 26 de Junho, 2008, da b-on
database.
Bertoni, G., Guajardo, J., & Paar, C. (2004). Architectures for Advanced Cryptographic Systems.
In M. Fugini & C. Bellettini (Eds.), Information Security Policies and Actions in Modern
Integrated Systems (Vol. 1, pp. 1-63). Hershey, London, Melbourne, Singapore: Idea Group
Publishing.
Birch, D. G., & McEvoy, N. A. (1992). Risk Analysis for Information Systems. Journal of
Information Technology (Routledge, Ltd.), 7(1), 44-53. Recuperado em 3 de Maio, 2008, da
Academic Search Premier database.
Bodin, L. D., Gordon, L. A., & Loeb, M. P. (2005). Evaluating Information Security Investments
Using the Analytic Hierarchy Process. Communications of the ACM, 48(2), 79-83.
Recuperado em 12 de Junho, 2007, da Business Search Premier database.
Blakley, B., McDermott, E., & Geer, D. (2001). Information Security is Information Risk
Management. Paper presented at the Proceedings of the 2001 Workshop on New Security
Paradigms, Cloudcroft, New Mexico. Recuperado em 2 de Junho, 2007, da ACM Digital
Library database.
Blanding, S. F. (2007). Secured Connections to External Networks. In H. F. Tipton & M. Krause
(Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 1811-25). Boca Raton: Auerbach
Publications.
Bouthillier, F. (2002). Access to Information for Small Business Managers: Examination of some
Strategies and Values. The Canadian Journal of Information and Library Science, 27(3), 5-
23. Recuperado em 2 de Junho, 2007, da b-on database.
Bowen, P., Hash, J., & Wilson, M. (2006). Information Security Handbook: A Guide for Managers
(NIST Special Publication 800-100). U.S. Department of Commerce: National Institute of
Standards and Technology. Recuperado em 13 de Junho, 2007, em
http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf.
Braithwaite, T. (2002). Securing E-Business Systems - A Guide for Managers and Executives. New
York: John Wiley & Sons, Inc.
Brealey, R. A., & Myers, S. C. (1991). Principles of Corporate Finance (4ª ed.). New York:
McGraw-Hill.
Bresz, F. P. (2004). People-Often the Weakest Link in Security, But One of the Best Places to Start.
Journal of Health Care Compliance, 6(4), 57-60. Recuperado em 23 de Junho, 2008, da
Broucek, V., & Turner, P. (2003). A Forensic Computing Perspective on the Need for Information
Systems Security Management. In R. Azari (Ed.), Current Security Management & Ethical
Issues of Information Technology (Vol. 1, pp. 42-9). Hershey, London, Melbourne,
Singapore, Beijing: IRM Press.
Burgess, S. (2002). Information Technology in Small Business: Issues and Challenges. Recuperado
em 10 de Abril, 2006, em https://igi-pub.com/downloads/excerpts/1930708351BookEx.pdf.
Busta, B., Portz, K., Strong, J., & Lewis, R. (2006). Expert Consensus on the Top IT Controls for a
Small Business. Information Systems Control Journal. Recuperado em 30 de Julho, 2007,
em
Bibliografia
Caldeira, M. M., & Ward, J. M. (2002). Understanding the Successful Adoption and Use of IS/IT
in SMEs: an Explanation from Portuguese Manufacturing Industries. Information Systems
Journal, 12(2), 121-152. Recuperado em 16 de Maio, 2007, da Business Search Premier
database.
Cappelli, D. M., Desai, A. G., Moore, A. P., Shimeall, T. J., Weaver, E. A., & Willke, B. J. (2007).
Management and Education of the Risk of Insider Threat (MERIT): Mitigating the Risk of
Sabotage to Employers’ Information, Systems, or Networks (Technical Note: CMU/SEI-
2006-TN-041). Pittsburgh: Carnegie Mellon University, Software Engineering Institute,
CERT Program. Recuperado em 11 de Maio, 2007, em
http://www.sei.cmu.edu/pub/documents/06.reports/pdf/06tn041.pdf.
Cappelli, D. M., Moore, A. P., Shimeall, T. J., & Trzeciak, R. F. (2006). Common Sense Guide to
Prevention and Detection of Insider Threats (Version 2.1 - 2nd Edition). Carnegie Mellon
University, CyLab. Recuperado em 17 de Maio, 2008, em
www.cert.org/archive/pdf/CommonSenseInsiderThreatsV2.1-1-070118.pdf.
Caralli, R. A. (2004a). Managing for Enterprise Security (Technical Note: CMU/SEI-2004-TN-
046). Pittsburgh, PA: Carnegie Mellon University, Software Engineering Institute,
Networked Systems Survivability Program. Recuperado em 8 de Maio, 2007, em
Caralli, R. A. (2004b). The Critical Success Factor Method: Establishing a Foundation for
Enterprise Security Management (Technical Report: CMU/SEI-2004-TR-010; ESC-TR-
2004-010) (1). Pittsburgh, PA: Carnegie Mellon University, Software Engineering Institute,
Networked Systems Survivability Program. Recuperado em 11 de Maio, 2007, em
http://www.sei.cmu.edu/pub/documents/04.reports/pdf/04tr010.pdf.
Caralli, R. A. & Wilson, W. R. (2004). The Challenges of Security Management. Pittsburgh, PA:
Carnegie Mellon University, Software Engineering Institute, Networked Systems
Survivability Program. Recuperado em 31 de Agosto, 2006, em
http://www.cert.org/archive/pdf/ESMchallenges.pdf.
Carneiro, A. (2002). Introdução à Segurança dos Sistemas de Informação. Lisboa: FCA - Editora
de Informática.
Casa dos Bits. (2009). Engenharia social no topo das ameaças para 2010. Recuperado em 16 de
Dezembro, 2009, em
http://tek.sapo.pt/noticias/internet/engenharia_social_no_topo_das_ameacas_para_20_10355
57.html.
Cavusoglu, H., Mishra, B., & Raghunathan, S. (2005). The Value of Intrusion Detection Systems in
Information Technology Security Architecture. Information Systems Research, 16(1), 28-46.
Recuperado em 3 de Maio, 2008, da Business Search Premier database.
Chang, S. E., & Ho, C. B. (2006). Organizational Factors to the Effectiveness of Implementing
Information Security Management. Industrial Management & Data System, 106(3), 345-361.
Recuperado em 13 de Março, 2009, da Business Search Premier database.
Chapin, D. A., & Akridge. (2005). How Can Security Be Measured? Information Systems Control
Journal, 2. Recuperado em 30 de Julho, 2007, em
http://www.isaca.org/Template.cfm?Section=Archives&Template=/ContentManagement/Co
ntentDisplay.cfm&ContentID=24173.
Chew, E., Clay, A., Hash, J., Bartol, N., & Brown, A. (2006). Guide for Developing Performance
Metrics for Information Security (Special Publication 800-80, Initial Public Draft). U.S.
Department of Commerce: National Institute of Standards and Technology. Recuperado em
13 de Junho, 2007, em http://csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf.
Bibliografia
Chew, E., Swanson, M., Stine, K., Bartol, N., Brown, A., & Robinson, W. (2008). Performance
Measurement Guide for Information Security (NIST Special Publication 800-55 Revision 1).
U.S. Department of Commerce: National Institute of Standards and Technology. Recuperado
em 25 de Novembro, 2008, em http://csrc.nist.gov/publications/nistpubs/800-55-
Rev1/SP800-55-rev1.pdf.
Choi, N., Kim, D., Goo, J., & Whitmore, A. (2008). Knowing is Doing - An Empirical Validation
of the Relationship Between Managerial Information Security Awareness and Action.
Information Management & Computer Security, 16(5), 484-501. Recuperado em 13 de
Março, 2009, da Business Search Premier database.
Chun, S. W. (2007). Change That Attitude: The ABCs of a Persuasive Security Awareness. In H. F.
Tipton & M. Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 521-30).
Churchill Jr., G. A. (1979). A Paradigm for Developing Better Measures of Marketing Constructs.
Journal of Marketing Research (JMR), 16(1), 64-73. Recuperado em 13 de Março, 2009, da
Círculo de Leitores. (1985). Moderno Dicionário da Língua Portuguesa (Vol. 2): Author.
Clark, I. (2007). An Introduction to Role-Based Access Control. In H. F. Tipton & M. Krause
Publications.
Clear, F., & Lee-Kelley. (2005). Risks to Data Security for Small Firms Raised by Telework. Paper
presented at the IACIS Pacific 2005. Recuperado em 11 de Abril, 2006, em
http://www.umcs.lublin.pl/d/iacis/3c/1-t5460.pdf.
Comissão das Comunidades Europeias. (1987). Recomendação n.º 87/598/CEE de 8 de Dezembro.
Comissão das Comunidades Europeias. (1992). Recomendação n.º 92/295/CEE de 7 de Abril.
Comissão das Comunidades Europeias. (1997). Recomendação n.º 97/489/CE de 30 de Julho.
Comissão das Comunidades Europeias. (2001). Comunicação COM(2000) 890 final de 26 de
Janeiro.
Comissão das Comunidades Europeias. (2003). Recomendação n.º 2003/361/CE de 6 de Maio.
Jornal Oficial da União Europeia, n.º L 124, 36-41.
Comissão das Comunidades Europeias. (2004). Comunicação COM(2004) 28 final de 22 de
Janeiro.
Comissão das Comunidades Europeias. (2007). Comunicação COM(2007) 361 final, 2007/0143
(COD), de 10 de Julho.
Commission of the European Communities. (1991). Information Technology Security Evaluation
Criteria (ITSEC), Version 1.2 (Document COM(90) 314). Recuperado em 25 de Novembro,
2008, em http://www.ssi.gouv.fr/site_documents/ITSEC/ITSEC-uk.pdf.
Committee of Sponsoring Organizations of the Treadway Commission. (2007). Enterprise Risk
Management Framework. Recuperado em 27 de Maio, 2008, em
www.erm.coso.org/Coso/coserm.nsf/vwWebResources/PDF_Manuscript/$file/COSO_Manu
script.pdf.
Comunidades Europeias. (2006). A nova definição de PME: Guia do utilizador e modelo de
declaração. Recuperado em 12 de Janeiro, 2009, em
http://ec.europa.eu/enterprise/enterprise_policy/sme_definition/sme_user_guide_pt.pdf.
Conger, S., & Loch, K. D. (2001). Invitation to a Public Debate on Ethical Computer Use. ACM
SIGMIS Database, 32(1), 58-69. Recuperado em 16 de Maio, 2008, da The ACM Digital
Library database.
Bibliografia
Conselho da Europa. (1950). Convenção Europeia dos Direitos do Homem. Recuperado em 25 de

Dezembro, 2008, em http://www.echr.coe.int/NR/rdonlyres/7510566B-AE54-44B9-A163-
912EF12B8BA4/0/PortuguesePortugais.pdf.
Corby, M. J. (2002). Security Is All About Business, Not Technology. Information Systems
Security, 10(6), 10-13. Recuperado em 30 de Abril, 2007, da Academic Search Premier
database.
Corby, M. J. (2007). Operational Forensics. In H. F. Tipton & M. Krause (Eds.), Information
Security Handbook (6ª ed., Vol. 1, pp. 2773-9). Boca Raton: Auerbach Publications.
Cote, M. (2007). Committe of Sponsoring Organizations (COSO). In H. F. Tipton & M. Krause
Publications.
Cragg, P., King, M., & Hussin, H. (2002). IT Alignment and Firm Performance in Small
Manufacturing Firms. Journal of Strategic Information Systems(11), 109-132. Recuperado
em 2 de Junho, 2007, da b-on database.
CSO. (2007). 2007 E -Crime Watch Survey. Recuperado em 1 de Janeiro, 2009, em
www.cert.org/archive/pdf/ecrimesummary07.pdf.
Damie, P. (2002). Social Engineering: A Tip of the Iceberg. Information Systems Control Journal,
2. Recuperado em 20 de Julho, 2008, em
http://www.isaca.org/Template.cfm?Section=Archives&CONTENTID=17032&TEMPLAT
E=/ContentManagement/ContentDisplay.cfm.
Dampier, D. A., & Siraj, A. (2006). Intrusion Detection and Response. In M. Warkentin & R. B.
Vaughn (Eds.), Enterprise Information Systems Assurance and System Security: Managerial
and Technical Issues (Vol. 1, pp. 253-65). Hershey; London; Melbourne; Singapore: Idea
Group Publishing.
Daneva, M. (2006). Applying Real Options Thinking to Information Security in Networked
Organizations. University of Twente, Centre for Telematics and Information Technology.
Recuperado em 18 de Novembro, 2008, em
http://eprints.eemcs.utwente.nl/5703/01/0000018c.pdf.
Davis, J. (2007). Overview of an IT Corporate Security Organization. In H. F. Tipton & M. Krause
Publications.
Decker, M. J. (2007). Security and the Physical Network Layer. In H. F. Tipton & M. Krause
Publications.
Department of Defense. (1985). Trusted Computer System Evaluation Criteria (DoD 5200.28-STD).
Recuperado em 25 de Novembro, 2008, em
http://csrc.nist.gov/publications/history/dod85.pdf.
Department of Health and Human Services. (2003). 45 CFR Parts 160, 162, and 164 Health
Insurance Reform: Security Standards; Final Rule, February 20. Federal Register, vol. 68,
n.º 34, 8334-8381.
de Zafra, D. E., Pitcher, S. I., Tressler, J. D., & Ippolito, J. B. (1998). Information Technology
Security Training Requirements: A Role- and Performance-Based Model (NIST Special
Publication 800-16). U.S. Department of Commerce: National Institute of Standards and
Technology. Recuperado em 30 de Dezembro, 2008, em
http://csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf.
Bibliografia
Dhillon, G., & Backhouse, J. (2000). Information System Security Management in the New
Millennium. Communications of the ACM, 43(7), 125-128. Recuperado em 3 de Julho, 2008,
Dhillon, G., & Backhouse, J. (2001). Current Directions in IS Security Research: Towards Socio-
Organizational Perspectives. Information Systems Journal, 11(2), 127-143. Recuperado em
10 de Abril, 2008, da Business Search Premier database.
Dhillon, G., & Moores, S. (2001). Computer Crimes: Theorizing About the Enemy Within.
Computers & Security, 20(8), 715-723. Recuperado em 26 de Junho, 2008, da b-on database.
Dhillon, G., Tejay, G., & Hong, W. (2007). Identifying Governance Dimensions to Evaluate
Information Systems Security in Organizations. Paper presented at the 40th Annual Hawaii
International Conference on System Sciences (HICSS'07). Recuperado em 5 de Agosto,
2008, em http://www2.computer.org/portal/web/csdl/doi/10.1109/HICSS.2007.257.
Dhillon, G., & Torkzadeh, G. (2006). Value-focused Assessment of Information System Security in
Organizations. Information Systems Journal, 16(3), 293-314. Recuperado em 18 de
Fevereiro, 2008, da Business Search Premier database.
Diário de Notícias (2006, Março). 1500 PMEs 2006.
Doherty, N. F., & Fulford, H. (2006). Aligning the Information Security Policy with the Strategic
Information Systems Plan. Computers & Security, 25(1), 55-63. Recuperado em 26 de Junho,
2008, da b-on database.
Dodds, R., & Hague, I. (2004). Information Security - More Than an IT Issue? Chartered
Accountants Journal, 83(11), 56-57. Recuperado em 30 de Abril, 2007, da Business Search
Premier database.
Doughty, K. (2003). Implementing Enterprise Security. Computers & Security, 22(2), 99-114.
Recuperado em 26 de Junho, 2008, da b-on database.
Drew, S. (2005). Reducing Enterprise Risk with Effective Threat Management. Information
Systems Security, 13(6), 37-42. Recuperado em 30 de Abril, 2007, da Academic Search
Premier database.
Drugescu, C., & Etges, R. (2006). Maximizing the Return on Investment on Information Security
Programs: Program Governance and Metrics. Information Systems Security, 15(6), 30-40.
Recuperado em 30 de Abril, 2008, da Academic Search Premier database.
Dutta, S., & Evrard, P. (1999). Information Technology and Organisation within European Small
Enterprises. European Management Journal, 17(3), 239-251. Recuperado em 2 de Junho,
Dutta, A., & McCrohan, K. (2002). Management's Role in Information Security in a Cyber
Economy. California Management Review, 45(1), 67-87. Recuperado em 11 de Junho, 2007,
Egan, M. (2005). Information Security and the Human Factor. Information Systems Control
Egelman, S., King, J., Miller, R. C., Ragouzis, N., & Shehan, E. (2007). Security User Studies:
Methodologies and Best Practices. Paper presented at the Conference on Human Factors in
Computing Systems: CHI '07 extended abstracts on Human factors in computing systems,
San Jose, California, USA. Recuperado em 25 de Fevereiro, 2008, da The ACM Digital
Library database.
Bibliografia
Eloff, M., & von Solms, S. (2000). Information Security Management: A Hierarchical Framework
for Various Approaches. Computers & Security, 19(3), 243-256. Recuperado em 26 de
Junho, 2008, da b-on database.
Endorf, C. F. (2007). Measuring ROI on Security. In H. F. Tipton & M. Krause (Eds.), Information
Enterprise Research and Development Unit. (2004). Data Protection and Small and Medium
Enterprises. Lincoln: University of Lincoln, Recuperado em 10 de Abril, 2006, em
http://www.ico.gov.uk/upload/documents/library/corporate/research_and_reports/dataprotect
ioninsmes.pdf.
Erkonen, S. (2008). ISO Standards Draft Content. In H. F. Tipton & M. Krause (Eds.), Information
Ernst & Young (2007). 10th Annual Global Information Security Survey. Recuperado em 21 de
Maio, 2008, em
www.ey.com/Global/assets.nsf/International/EY_TSRS_GISS2007/$file/EY_TSRS_GISS20
07.pdf.
Eyre, P., & Smallman, C. (1998). Euromanagement Competences in Small and Medium-Sized
Enterprises: A Development Path for the New Millennium. Management Decision, 36(1),
34-42. Recuperado em 15 de Maio, 2007, da b-on database.
Fariborz, F., & Shamkabt, B. N. (2005). A Management Perspective on Risk of Security Threats to
Information Systems. Information Technology and Management(6), 203-225. Recuperado
em 2 de Junho, 2007, da Academic Search Premier database.
Federal Information Security Management Act, 44 USC § 101 (2002).
Federal Trade Commission. (2002). 16 CFR Part 314 Standards for Safeguarding Customer
Information; Final Rule, May 23. Federal Register, vol. 67, n.º 100, 36484-36494.
Fenton, J. H., & Wolfe, J. M. (2007). Organizing for Success: Some Human Resources Issues in
Information Security. In H. F. Tipton & M. Krause (Eds.), Information Security Handbook
(6ª ed., Vol. 1, pp. 451-64). Boca Raton: Auerbach Publications.
Fink, D., Huegle, T., & Dortschy, M. (2006). A Model of Information Security Governance for E-
Business. In M. Warkentin & R. B. Vaughn (Eds.), Enterprise information Systems
Assurance and System Security: Managerial and Techical Issues (pp. 1-15). Hershey,
London, Melbourne, Singapore: Idea Group Publishing.
Finne, T. (2000). Information Systems Risk Management: Key Concepts and Business Processes.
Fitzgerald, T. (2007). Information Security Governance. In H. F. Tipton & M. Krause (Eds.),
Information Security Handbook (6ª ed., Vol. 1, pp. 15-34). Boca Raton: Auerbach
Publications.
Fitzgerald, T. (2008). Compliance Assurance: Taming the Beast. In H. F. Tipton & M. Krause
Publications.
Fleming, S. T. (2003). Biometrics: Past, Present and Future. In R. Azari (Ed.), Current Security
Management & Ethical Issues of Information Technology (Vol. 1, pp. 111-32). Hershey,
London, Melbourne, Singapore, Beijing: IRM Press.
Flowerday, S., & von Solms, R. (2005). Real-time Information Integrity = System Integrity + Data
Integrity + Continuous Assurances. Computers & Security, 24(8), 604-613. Recuperado em
26 de Junho, 2008, da b-on database.
Bibliografia
Forrester Research. (2004). IT Security In European Small And Midsize Enterprises. Recuperado
em 10 de Abril, 2006, em http://www.ese-security.com/PDF/eSe_Security_-
_Final_Report.pdf.
Fourie, L. C. H. (2003). The Management of Information Security - A South African Case Study.
South African Journal of Business Management, 34(2), 19-29. Recuperado em 11 de Junho,
2007, da Business Search Premier database.
Freeman, E. H. (2007a). Holistic Information Security: ISO 27001 and Due Care. Information
Premier database.
Freeman, E. H. (2007b). Regulatory Compliance and the Chief Compliance Officer. Information
Premier database.
Freire, M. M. (2007). Interoperability Among Intrusion Detection Systems. In D. Khadraoui & F.
Herrmann (Eds.), Advances in Enterprise Information Technology Security (Vol. 1, pp. 92-
102). Hershey, New York: Information Science Reference.
Fried, S. D. (2007). Enhancing Security through Biometric Technology. In H. F. Tipton & M.
Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1, pp. 869-86). Boca Raton:
Auerbach Publications.
Fulford, H., & Doherty, N. F. (2003). The Application of Information Security Policies in Large
UK-based Organizations: an Exploratory Investigation. Information Management &
Computer Security, 11(3), 106-114. Recuperado em 2 de Junho, 2007, da b-on database.
Furnell, S., Bryant, P., & Phippen, A. (2007). Assessing the Security Perceptions of Personal
Internet Users. Computers & Security, 26(5), 410-417. Recuperado em 26 de Junho, 2008, da
b-on database.
Gattiker, U. E., & Kelley, H. (1999). Morality and Computers: Attitudes and Differences in Moral
Judgments. Information Systems Research, 10(3), 233-244. Recuperado em 3 de Maio, 2008,
General Accounting Office. (2004). Information Technology Investment Management - A
Framework for Assessing and Improving Process Maturity (GAO-04-394G). Recuperado em
26 de Novembro, 2008, em http://www.gao.gov/new.items/d04394g.pdf.
Gerber, M., & von Solms, R. (2001). From Risk Analysis to Security Requirements. Computers &
Gerber, M., & von Solms, R. (2005). Management of Risk in the Information Age. Computers &
Gercek, G., & Saleem, N. (2005). Securing Small Business Computer Networks: An Examination
of Primary Security Threats and Their Solutions. Information Systems Security, 14(3), 18-28.
Recuperado em 30 de Abril, 2007, da Academic Search Premier database.
Giunta, A., & Trivieri, F. (2007). Understanding the Determinants of Information Technology
Adoption: Evidence from Italian Manufacturing Firms. Applied Economics, 39(10), 1325-
1334. Recuperado em 30 de Julho, 2007, da Business Search Premier database.
Golod, A. (2007). PKI Registration. In H. F. Tipton & M. Krause (Eds.), Information Security
Handbook (6ª ed., Vol. 1, pp. 1183-95). Boca Raton: Auerbach Publications.
Gordon, L. A., & Loeb, M. P. (2001). Using Information Security as a Response to Competitor
Analysis Systems. Communications of the ACM, 44(9), 70-75. Recuperado em 16 de Maio,
Bibliografia
Gordon, L. A., & Loeb, M. P. (2002a). Return On Information Security Investments: Myths vs
Realities. Strategic Finance, 84(5), 26-31. Recuperado em 16 de Abril, 2008, da Business
Search Premier database.
Gordon, L. A., & Loeb, M. P. (2002b). The Economics of Information Security Investment. ACM
Transactions on Information and System Security (TISSEC), 5(4), 438-457. Recuperado em
25 de Fevereiro, 2008, da The ACM Digital Library.
Gordon, L. A., & Loeb, M. P. (2006). Budgeting Process for Information Security Expenditures.
Communications of the ACM, 49(1), 121-125. Recuperado em 12 de Junho, 2008, da
Gordon, L. A., Loeb, M. P., & Lucyshyn, W. (2003). Information Security Expenditures and Real
Options: A Wait and See Approach. Computer Security Journal, 19(2), 1-7. Recuperado em
18 de Novembro, 2008, em
http://www.cpppe.umd.edu/Bookstore/Documents/ISExpenditures_11.2.03.pdf.
Grabow, G. C. (2007). Preserving Public Key Hierarchy. In H. F. Tipton & M. Krause (Eds.),
Publications.
Gramm-Leach-Bliley Act, 12 USC § 1811 (1999).
Grance, T., Stevens, M., & Myers, M. (2003). Guide to Selecting Information Technology Security
Products (NIST Special Publication 800-36). U.S. Department of Commerce: National
Institute of Standards and Technology. Recuperado em 25 de Novembro, 2008, em
http://csrc.nist.gov/publications/nistpubs/800-36/NIST-SP800-36.pdf.
Greitzer, F. L., Moore, A. P., Cappelli, D. M., Andrews, D. H., Carroll, L. A., & Hull, T. D. (2008).
Combating the Insider Cyber Threat. IEEE Security & Privacy, 61-64. Recuperado em 1 de
Janeiro, 2009, em www.cert.org/archive/pdf/combatthreat0408.pdf.
Gremba, J., & Myers, C. (1997). The IDEAL(SM) Model: A Practical Guide for Improvement.
Pittsburgh, PA: Carnegie Mellon University, Software Engineering Institute. Recuperado em
28 de Julho, 2008, em http://www.sei.cmu.edu/ideal/ideal.bridge.html.
Grembergen, W. V., Haes, S. D., & Guldentops, E. (2004). Structures, Processes and Relational
Mechanisms for IT Governance. In W. V. Grembergen (Ed.), Strategies for Information
Technology Governance. Hershey, London, Melbourne, Singapore: Idea Group Publishing.
Gupta, A., & Hammond, R. (2005). Information Systems Security Issues and Decisions for Small
Businesses - An Empirical Examination. Information Management & Computer Security,
13(4), 297-310. Recuperado em 13 de Março, 2009, da Business Search Premier database.
Halvorson, N. (2008). Information Risk Management: A Process Approach to Risk Diagnosis and
Treatment. In H. F. Tipton & M. Krause (Eds.), Information Security Handbook (6ª ed., Vol.
2, pp. 71-81). Boca Raton: Auerbach Publications.
Hansche, S. D. (2007). Making Security Awareness Happen. In H. F. Tipton & M. Krause (Eds.),
Publications.
Hare, C. (2007). It Is All About Control. In H. F. Tipton & M. Krause (Eds.), Information Security
Harrington, S. J. (1996). The Effect of Codes of Ethics and Personal Denial of Responsibility on
Computer Abuse Judgments and Intentions. MIS Quarterly, 20(3), 257-278. Recuperado em
2 de Maio, 2008, da Business Search Premier database.
Bibliografia
Hash, J., Bartol, N., Rollins, H., Robinson, W., Abeles, J., & Batdorff, S. (2005). Integrating IT
Security into the Capital Planning and Investment Control Process (NIST Special
Publication 800-65). U.S. Department of Commerce: National Institute of Standards and
Technology. Recuperado em 25 de Novembro, 2008, em
http://csrc.nist.gov/publications/nistpubs/800-65/SP-800-65-Final.pdf.
Health Insurance Portability and Accountability Act, 42 U.S.C. § 1301 (1996).
Heemstra, F. J., & Kusters, R. J. (1996). Dealing With Risk: a Practical Approach. Journal of
Information Technology (Routledge, Ltd.), 11(4), 333-346. Recuperado em 3 de Maio, 2008,
da Academic Search Premier database.
Henning, R. R. (2006). Security Engineering: It Is All About Control and Assurance Objectives. In
M. Warkentin & R. B. Vaughn (Eds.), Enterprise Information Systems Assurance and
System Security: Managerial and Technical Issues (pp. 168-81). Hershey; London;
Melbourne; Singapore: Idea Group Publishing.
Henry, K. (2007a). Risk Management and Analysis. In H. F. Tipton & M. Krause (Eds.),
Publications.
Henry, K. (2007b). The Human Side of Information Security. In H. F. Tipton & M. Krause (Eds.),
Publications.
Henry, P. A. (2007). An Examination of Firewall Architectures. In H. F. Tipton & M. Krause
Publications.
Herold, R. (2007). Training Your Employees to Identify Potencial Fraud and How to Encourage
Them to Come Forward. In H. F. Tipton & M. Krause (Eds.), Information Security
Herndon, M. A., Moore, R., Phillips, M., Walker, J., & West, L. (2003). Interpreting Capability
Maturity Model Integration (CMMI) for Service Organizations – a Systems Engineering and
Integration Services Example (CMU/SEI-2003-TN-005). Pittsburgh, PA: Carnegie Mellon
University, Software Engineering Institute, Software Engineering Process Management.
Recuperado em 30 de Outubro, 2008, em
Herrmann, D. S. (2007). The Common Criteria for IT Security Evaluation. In H. F. Tipton & M.
Herrmann, F., & Khadraoui, D. (2007). Security Risk Management Methodologies. In F. Herrmann
& D. Khadraoui (Eds.), Advances in Enterprise Information Technology Security (pp. 261-
73). Hershey, New York: Information Science Reference.
Hill, M. M., & Hill, A. (2005). Investigação por Questionário (2ª ed.). Lisboa: Edições Sílabo.
Hinde, S. (2003). Careless About Privacy. Computers & Security, 22(4), 284-288. Recuperado em
26 de Junho, 2008, da b-on database.
Hootman, J. T. (2007). A Guide to Evaluating Tokens. In H. F. Tipton & M. Krause (Eds.),
Publications.
Hollis, K. M., & Hollis, D. M. (2006). Identity Management: A Comprehensive Approach to
Ensuring a Secure NetworkInfrastructure. In M. Warkentin & R. B. Vaughn (Eds.),
Enterprise Information Systems Assurance and System Security: Managerial and Technical
Issues (Vol. 1, pp. 372-83). Hershey; London; Melbourne; Singapore: Idea Group Publishing.
Bibliografia
Höne, K., & Eloff, J. (2002). Information Security Policy – What do International Information
Security Standards Say? Computers & Security, 21(5), 402-409. Recuperado em 26 de Junho,
Hong, K.-S., Chi, Y.-P., Chao, L. R., & Tang, J.-H. (2003). An Integrated System Theory of
Information Security Management. Information Management & Computer Security, 11(5),
243-248. Recuperado em 2 de Junho, 2007, da b-on database.
Howard, P. D. (2007). The Security Policy Life Cycle: Functions and Responsibilities. In H. F.
Ikbal, J. (2007). An Introduction to Cryptography. In H. F. Tipton & M. Krause (Eds.), Information
Information Security Forum. (2007). The Standard of Good Practice for Information Security.
Recuperado em 27 de Maio, 2008, em
https://www.isfsecuritystandard.com/SOGP07/index.htm.
Information Systems Audit and Control Association (2007). CISM Review Manual 2008. Rolling
Meadows: Author.
Information Systems Security Association. (2003). Generally Accepted Information Security
Principles (GAISP). Recuperado em 3 de Julho, 2008, em
http://all.net/books/standards/GAISP-v30.pdf.
Instituto Nacional de Estatística. (2003). Classificação Portuguesa das Actividades Económicas
(CAE-Rev.2.1). Recuperado em 6 de Janeiro, 2009, em
http://metaweb.ine.pt/sine/anexos/pdf/CAE-REV.2.1NOTAINTRODUTORIA-V00001.pdf.
Instituto Nacional de Estatística. (2007). Classificação Portuguesa das Actividades Económicas
(CAE-Rev.3). Recuperado em 6 de Janeiro, 2009, em
http://metaweb.ine.pt/sine/anexos/pdf/ApresentacaoCAERev3.pdf.
Instituto Nacional de Estatística. (2009a). A Sociedade da Informação em Portugal 2008.
Recuperado em 5 de Junho, 2009, em
http://www.ine.pt/xportal/xmain?xpid=INE&xpgid=ine_publicacoes&PUBLICACOESpub_
boui=70345549&PUBLICACOESmodo=2.
Instituto Nacional de Estatística. (2009b). Empresas em Portugal 2007. Lisboa: Instituto Nacional
de Estatística.
Instituto Nacional de Estatística. (2009c). IUTICE - Inquérito à Utilização de Tecnologias da
Informação e da Comunicação nas Empresas 2009 - Documento Metodológico. Recuperado
em 2 de Junho, 2009, em
http://metaweb.ine.pt/SIM/OPERACOES/DOCMET_PDF/DOCMET_PDF_270_2_0.pdf.
International Chamber of Commerce. (2004). Information Security Issues and Resources for Small
and Entrepreneurial Companies. Recuperado em 28 de Fevereiro, 2007, em
http://www.intgovforum.org/Substantive_1st_IGF/securing_your_business.pdf.
International Organization for Standardization/ International Electrotechnical Commission. (2005a).

Information technology - Security techniques - Evaluation criteria for IT security - Part 1:
Introduction and general model. Recuperado em 2 de Fevereiro, 2009, em
http://standards.iso.org/ittf/PubliclyAvailableStandards/c040612_ISO_IEC_15408-
1_2005(E).zip.
Bibliografia
International Organization for Standardization/ International Electrotechnical Commission. (2005b).

Security functional requirements. Recuperado em 2 de Fevereiro, 2009, em
2_2005(E).zip.
International Organization for Standardization/ International Electrotechnical Commission. (2005c).

Security assurance requirements. Recuperado em 2 de Fevereiro, 2009, em
3_2005(E).zip.
International Organization for Standardization/ International Electrotechnical Commission. (2005d).
ISO/IEC 17799:2005 Information Technology - Security Techniques - Code of Practice for
Information Security Management (2ª ed.): British Standards.
International Organization for Standardization/ International Electrotechnical Commission. (2005e).
ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security
Management Systems - Requirements: British Standards (BSi).
IT Governance Institute (2002). IT Governance Executive Summary. Rolling Meadows: Author.
IT Governance Institute (2005). Governance of the Extended Enterprise: Bridging Business and IT
Strategies. New Jersey: John Wiley & Sons; Inc.
IT Governance Institute (2006). Information Security Governance: Guidance for Boards of
Directors and Executive Management (2ª ed.). Rolling Meadows: Author.
IT Governance Institute (2007a). COBIT 4.1. Rolling Meadows: Author.
IT Governance Institute (2007b). COBIT Security Baseline: An Information Security Survival Kit
(2ª ed.). Rolling Meadows: Author.
IT Governance Institute (2008). Information Security Governance: Guidance for Information
Security Managers. Rolling Meadows: Author.
Jackson, C. B., & Carey, M. (2007). The Role of Information Security in the Enterprise Risk
Management Structure. In H. F. Tipton & M. Krause (Eds.), Information Security Handbook
Johnson, D. W., & Koch, H. (2006). Computer Security Risks in the Internet Era: Are Small
Business Owners Aware and Proactive?. Paper presented at the Proceedings of the 39th
Annual Hawaii International Conference on System Sciences (HICSS'06). Recuperado em
28 de Maio, 2007, em http://www.deakin.edu.au/buslaw/infosys/jissb/conferences.php.
Ju, T. L., Chen, Y.-Y., Sun, S.-Y., & Wu, C.-Y. (2006). Rigor in MIS Survey Research: In Search
of Ideal Survey Methodological Attributes. Journal of Computer Information Systems, 47(2),
112-123. Recuperado em 13 de Março, 2009, da Business Source Premier database.
Kadam, A. W. (2007). Information Security Policy Development and Implementation. Information
Premier database.
Karabacak, B., & Sogukpinar, I. (2005). ISRAM: Information Security Risk Analysis Method.
Bibliografia
Karabacak, B., & Sogukpinar, I. (2006). A Quantitative Method for ISO 17799 Gap Analysis.
Karyda, M., Kiountouzis, E., & Kokolakis, S. (2005). Information Systems Security Policies: a
Contextual Perspective. Computers & Security, 24(3), 246-260. Recuperado em 26 de Junho,
Kasunic, M., McCurley, J., & Zubrow, D. (2008). Can You Trust Your Data? Establishing the
Need for a Measurement and Analysis Infrastructure Diagnostic (Technical Note CMU/SEI-
2008-TN-028) (1): Carnegie Mellon University, Software Engineering Institute, Software
Engineering Process Management Program. Recuperado em 10 de Dezembro, 2008, em
http://www.sei.cmu.edu/pub/documents/08.reports/08tn028.pdf.
Keller, S., Powell, A., Horstmann, B., Predmore, C., & Crawford, M. (2005). Information Security
Threats and Practices in Small Businesses. Information Systems Management, 22(2), 7-19.
Recuperado em 12 de Junho, 2007, da Business Search Premier database.
Kesh, S., & Ratnasingam, P. (2007). A Knowledge Architecture for IT Security. Communications
of the ACM, 50(7), 103-108. Recuperado em 30 de Julho, 2007, da Business Search Premier
database.
Khazanchi, D. (1995). Unethical Behavior in Information Systems: The Gender Factor. Journal of
Business Ethics, 14(9), 741-749. Recuperado em 7 de Maio, 2007, da Business Search
Premier database.
Khelafa, H. (2007). Prevention and Handlind of Malicious Code. In D. Khadraoui & F. Herrmann
(Eds.), Advances in Enterprise Information Technology Security (Vol. 1, pp. 239-59).
Hershey, New York: Information Science Reference.
Kleinfeld, A. (2006). Measuring Security. Information Systems Security, 15(5), 7-12. Recuperado
em 30 de Abril, 2008, da Academic Search Premier database.
Knapp, K. J., & Marshall, T. E. (2007). Top Management Support Essential for Effective
Information Security. In H. F. Tipton & M. Krause (Eds.), Information Security Handbook
Knapp, K. J., Marshall, T. E., Rainer, R. K., & Ford, F. N. (2005). Managerial Dimensions in
Information Security: A Theoretical Model of Organizational Effectiveness. Recuperado em
1 de Janeiro, 2009, em https://www.isc2.org/download/auburn_study2005.pdf.
Knapp, K. J., Marshall, T. E., Rainer, R. K., & Ford, F. N. (2007). Information Security
Effectiveness: Conceptualization and Validation of a Theory. International Journal of
Information Security and Privacy, 1(2), 37-60. Recuperado em 20 de Janeiro, 2009, da b-on
database.
Knol, W. H. C., & Stroeken, J. H. M. (2001). The Diffusion and Adoption of Information
Technology in Small- and Medium-sized Enterprises through IT Scenarios. Technology
Analysis & Strategic Management, 13(2), 227-246. Recuperado em 26 de Maio, 2007, da
Kordel, L. (2004). IT Governance Hands-on: Using COBIT to Implement IT Governance.
Information Systems Control Journal, 2. Recuperado em 13 de Março, 2007, em
Koshutanski, H., & Massacci, F. (2007). Interactive Access Control and Trust Negotiation for
Autonomic Communication. In D. Khadraoui & F. Herrmann (Eds.), Advances in Enterprise
Information Technology Security (Vol. 1, pp. 120-48). Hershey, New York: Information
Science Reference.
Bibliografia
Kotulic, A. G., & Clark, J. G. (2004). Why There Aren’t More Information Security Research
Studies. Information & Management, 41(5), 597-607. Recuperado em 2 de Junho, 2007, da
Krehnke, D. C. (2007). Corporate Governance. In H. F. Tipton & M. Krause (Eds.), Information
Krehnke, M. E., & Krehnke, D. C. (2007). Sensitive or Critical Data Access Controls. In H. F.
Laliberte, S. (2004). Risk Assessment for IT Security. Bank Accounting & Finance (08943958),
Landoll, D. J. (2006). The Security Risks Assessment Handbook: A Complete Guide for Performing
Risk Assessments. Boca Raton: Auerbach Publications.
Landwehr, C. E. (2001). Computer Security. International Journal of Information Security, 1(1), 3-
13. Recuperado em 12 de Junho, 2007, da Academic Search Premier database.
Laudon, K. C. (1995). Ethical Concepts and Information Technology. Communications of the ACM,
Laudon, K. C., & Laudon, J. P. (2006). Management Information Systems: Managing the Digital
Firm (9ª ed.). New Jersey: Pearson Education, Inc.
Leach, J. (2003). Improving User Security Behaviour. Computers & Security, 22(8), 685-692.
Lee, J., & Runge, J. (2001). Adoption of Information Technology in Small Business: Testing
Drivers of Adoption for Entrepreneurs. Journal of Computer Information Systems, 42(1), 44-
57. Recuperado em 17 de Maio, 2007, da Business Search Premier database.
Lemieux, V. L. (2004). Two Approaches to Managing Information Risks. Information
Management Journal, 38(5), 56-62. Recuperado em 12 de Junho, 2007, da Academic Search
Premier database.
Leo, R. A. (2007). Single Sign-On for the Enterprise. In H. F. Tipton & M. Krause (Eds.),
Publications.
Levy, M., Powell, P., & Yetton, P. (2002). The Dynamics of SME Information Systems. Small
Business Economics, 19(4), 341-354. Recuperado em 2 de Junho, 2007, da b-on database.
Lipson, H. F., & Fisher, D. A. (2000). Survivability - A New Technical and Business Perspective on
Security, Recuperado em 31 de Agosto, 2006, em
http://www.cert.org/archive/pdf/busperspec.pdf- 401.
Litwak, P. (2004). Practical Issues Your Organization May Face When Developing a Security
Management Program. Journal of Health Care Compliance, 6(4), 19-27. Recuperado em 12
de Junho, 2007, da Business Search Premier database.
Lobree, B. A. (2002). Impact of Legislation on Information Security Management. Information
Systems Security, 11(5), 41-48. Recuperado em 27 de Julho, 2007, da Academic Search
Premier database.
Loch, K. D., Carr, H. H., & Warkentin, M. E. (1992). Threats to Information Systems: Today's
Reality, Yesterday's Understanding. MIS Quarterly, 16(2), 173-186. Recuperado em 7 de
Maio, 2007, da Business Search Premier database.
Lu, H.-P., Hsu, C.-L., & Hsu, H.-Y. (2005). An Empirical Study of the Effect of Perceived Risk
upon Intention to Use Online Applications. Information Management & Computer Security,
Bibliografia
Lucchetti, R., & Sterlacchini, A. (2004). The Adoption of ICT among SMEs: Evidence from an
Italian Survey. Small Business Economics, 23(2), 151-168. Recuperado em 30 de Abril, 2007,
Lyytinen, K., & Mathiassen, L. (1998). Attention Shaping and Software Risk-A Categorical
Analysis of Four Classical Risk Management Approaches. Information Systems Research,
Ma, Q., Johnston, A. C., & Pearson, J. M. (2008). Information Security Management Objectives
and Practices: A Parsimonious Framework. Information Management & Computer Security,
Maradan, G., Cotte, P., & Fornas, T. (2004). Smart Card Applications and Systems: Market Trend
and Impact on Other Technological Developments. In M. Fugini & C. Bellettini (Eds.),
Information Security Policies and Actions in Modern Integrated Systems (Vol. 1, pp. 98-147).
Hershey, London, Melbourne, Singapore: Idea Group Publishing.
Masood, A., Sedigh-Ali, S., & Ghafoor, A. (2006). Security Management for an E-Enterprise. In M.
Warkentin & R. B. Vaughn (Eds.), Enterprise Information Systems Assurance and System
Security: Managerial and Technical Issues (pp. 95-111). Hershey; London; Melbourne;
Singapore: Idea Group Publishing.
Matsuura, K. (2003). Information Security and Economics in Computer Networks: An
Interdisciplinary Survey and a Proposal of Integrated Optimization of Investment. University
of Tokyo, Institute of Industrial Science. Recuperado em 17 de Novembro, 2008, em
http://kmlab.iis.u-tokyo.ac.jp/old/publications/2003d/Matsuura_CEF2003.pdf.
McAdams, A. C. (2004). Security and Risk Management: A Fundamental Business Issue.
Information Management Journal, 38(4), 36-44. Recuperado em 18 de Maio, 2007, da
McBride, G. G. (2007). ISO/OSI and TCP/IP Network Model Characteristics. In H. F. Tipton & M.
McCumber, J. (2005). Assessing and Managing Security Risk in IT Systems: A Structured
Methodology. Boca Raton; London; New York; Washington, D.C.: Auerbach.
McGhie, L. L. (2007). Identity Management: Benefits and Challenges. In H. F. Tipton & M.
Mercuri, R. T. (2003). Analyzing Security Costs. Communications of the ACM, 46(6), 15-18.
Milberg, S. J., Burke, S. J., Smith, H. J., & Kallman, E. A. (1995). Values, Personal Information
Privacy, and Regulatory Approaches. Communications of the ACM, 38(12), 65-74.
Ministério da Ciência e da Tecnologia. (1999). Decreto-Lei n.º 290-D/99 de 2 de Agosto. Diário da
República, 1.ª Série, n.º 178, 4990-(2)-(10).
Ministério da Ciência e da Tecnologia. (2000). Decreto Regulamentar n.º 16/2000 de 2 de Outubro.
Diário da República, 1.ª Série, n.º 228, 5408-5410.
Ministério da Cultura. (2000). Decreto-Lei n.º 122/2000 de 4 de Julho. Diário da República, 1.ª
Série, n.º 152, 2911-2914.
Ministério da Indústria e do Comércio. (1987). Despacho Normativo n.º 52/87 de 24 de Junho.
Diário da República, 1.ª Série, n.º 142, 2403-2406.
Bibliografia
Ministérios da Indústria e Energia e do Comércio e Turismo. (1988). Despacho Normativo n.º

38/88 de 31 de Maio. Diário da República, 1.ª Série, n.º 126, 2344-2345.
Ministérios da Indústria e Energia e do Comércio e Turismo. (1993). Instituto de Apoio às
Pequenas e Médias Empresas e ao Investimento - Aviso de 3 de Maio. Diário da República,
3.ª Série, n.º 102, 7851.
Ministério da Justiça. (2003). Decreto-Lei n.º 62/2003 de 3 de Abril. Diário da República, 1.ª Série,
n.º 79, 2170-2185.
Ministério da Justiça. (2004). Decreto-Lei n.º 7/2004 de 7 de Janeiro. Diário da República, 1.ª
Série, n.º 126, 2344-2345.
Mirchandani, D. A., & Motwani, J. (2001). Understanding Small Business Electronic Commerce
Adoption: An Empirical Analysis. Journal of Computer Information Systems, 41(3), 70-73.
Mitchell, R. B., & Jones, T. (2002). Policies Controlling Use of Computer-Based Resources in
Small Businesses. Journal of Computer Information Systems, 42(4), 77-83. Recuperado em
17 de Maio, 2007, da Business Search Premier database.
Mitrakas, A. (2006). Information Security and Law in Europe: Risks Checked? Information &
Communications Technology Law, 15(1), 33-53. Recuperado em 24 de Julho, 2007, da b-on
database.
Moulton, R., & Coles, R. S. (2003). Applying Information Security Governance. Computers &
Mukkamala, S., Sulaiman, A., Chavez, P., & Sung, A. H. (2007). Limitations of Current Antivirus
Scanning Technologies. In D. Khadraoui & F. Herrmann (Eds.), Advances in Enterprise
Information Technology Security (pp. 1-190). Hershey, New York: Information Science
Reference.
Müller, S., & Supatgiat, C. (2007). A Quantitative Optimization Model for Dynamic Risk-Based
Compliance Management. IBM Journal of Research & Development, 51( 3/4), 295-307.
Recuperado em 30 de Julho, 2007, da Academic Search Premier database.
Murphy, J. J. (2006). The Demilitarized Zone as an Information Protection Network. In M.
Warkentin & R. B. Vaughn (Eds.), Enterprise Information Systems Assurance and System
Security: Managerial and Technical Issues (Vol. 1, pp. 197-214). Hershey; London;
Melbourne; Singapore: Idea Group Publishing.
Murray, W. H. (2007). Security of Communication Protocols and Services. In H. F. Tipton & M.
Musaji, Y. (2006). A Holistic Definition of IT Security - Part 1. Information Systems Control
Myler, E., & Broadbent, G. (2006). ISO 17799: Standard for Security. Information Management
Journal, 40(6), 43-52. Recuperado em 2 de Junho, 2007, da Academic Search Premier
database.
National Cyber Security Summit Task Force. (2004). Information Security Governance: A Call to
Action. Recuperado em 2 de Julho, 2008, em
http://www.cyberpartnership.org/InfoSecGov4_04.pdf.
National Institute of Standards and Technology. (1996). An Introduction to Computer Security: The
NIST Handbook (NIST Special Publication 800-12). Author. Recuperado em 13 de Junho,
2007, em http://csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf.
Bibliografia
National Institute of Standards and Technology. (2004). Standards for Security Categorization of
Federal Information and Information Systems (FIPS PUB 1999). Author. Recuperado em 24
de Outubro, 2008, em http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf.
National Institute of Standards and Technology. (2005). Recommended Security Controls to
Protect Information Systems. I-WAYS, Digest of Electronic Commerce Policy and
Regulation, 28(2), 109-116. Recuperado em 11 de Junho, 2007, da Business Search Premier
database.
National Institute of Standards and Technology. (2006). Minimum Security Requirements for
Federal Information and Information Systems (FIPS PUB 200). Recuperado em 18 de Julho,
2008, em http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf.
Neal, R. (2006). Social Psychological Variables That Contribute to Resistance to Security
Assessment Findings. Information Systems Security, 15(1), 43-52. Recuperado em 30 de
Abril, 2007, da Academic Search Premier database.
Nelson, M. (2007). Software Engineering Institute Capability Maturity Model. In H. F. Tipton & M.
Ng, B. Y., & Feng, A. E. (2006). An Exploratory Study on Managerial Security Concerns in
Technology Start-ups. Paper presented at the 10th Pacific Asia Conference on Information
Systems, Kuala Lumpur, Malaysia. Recuperado em 7 de Janeiro, 2009, em http://www.pacis-
net.org/file/2006/1095.pdf.
Ng, B. Y., Kankanhalli, A., & Xu, Y. (2008). Studying Users' Computer Security Behavior: A
Health Belief Perspective. Decision Support Systems, 1-11. Recuperado em 13 de Março,
2009, da Business Source Premier database.
Nicastro, F. M. (2007). People, Processes, and Technology: A Winning Combination. In H. F.
Nichols, E. A., & Sudbury, A. (2006). Implementing Security Metrics Initiatives. Information
Premier database.
Nieto, M., & Fernández, Z. (2006). The Role of Information Technology in Corporate Strategy of
Small and Medium Enterprises. Journal of International Entrepreneurship, 3(4), 251-262.
Recuperado em 30 de Abril, 2007, da Business Search Premier database.
Nosworthy, J. D. (2000). Implementing Information Security in the 21st Century - Do You Have
the Balancing Factors? Computers & Security, 19(4), 337-347. Recuperado em 26 de Junho,
Noor, I., Dillon, R. B., & Williams, R. (2001). Enterprise IT Risk Management: A Case Study.
AACE International Transactions, 6.1-6.8. Recuperado em 19 de Maio, 2007, da Business
Nyanchama, M. (2005). Enterprise Vulnerability Management and Its Role in Information Security
Management. Information Systems Security, 14(3), 29-56. Recuperado em 30 de Abril, 2007,
Organisation for Economic Co-Operation and Development. (2002). OECD Guidelines for the
Security of Information Systems and Networks: Towards a Culture of Security. Recuperado
em 4 de Julho, 2008, em
http://www.ftc.gov/bcp/conline/edcams/infosecurity/popups/OECD_guidelines.pdf.
Bibliografia
Organização para a Cooperação e o Desenvolvimento Económico. (2004). Os Princípios da OCDE

sobre o Governo das Sociedades. Recuperado em 9 de Julho, 2008, em
http://www.ecgi.org/codes/documents/principles_pt_final.pdf.
Oz, E. (1992). Ethical Standards for Information Systems Professionals: A Case for a Unified Code.
MIS Quarterly, 16(4), 423-433. Recuperado em 7 de Maio, 2007, da Business Search
Premier database.
Pabrai, U. O. A. (2003). Getting Started with HIPAA. Boston: Premier Press.
Parlamento Europeu e Conselho da União Europeia. (1993). Directiva n.º 1999/93/CE de 13 de
Dezembro. Jornal Oficial das Comunidades Europeias, n.º. L 13, 12-20.
Outubro. Jornal Oficial das Comunidades Europeias, n.º. L 281, 31-50.
Parlamento Europeu e Conselho da União Europeia. (2000a). Directiva n.º 2000/31/CE de 8 de
Junho. Jornal Oficial das Comunidades Europeias, n.º. L 178, 1-16.
Parlamento Europeu e Conselho da União Europeia. (2000b). Directiva n.º 2000/46/CE de 18 de
Setembro. Jornal Oficial das Comunidades Europeias, n.º. L 275, 39-43.
Parlamento Europeu e Conselho da União Europeia. (2000c). Regulamento (CE) n.º 45/2001 de 18
de Dezembro. Jornal Oficial das Comunidades Europeias, n.º. L 8, 1-22.
Dezembro. Jornal Oficial das Comunidades Europeias, n.º. L 15, 24-28.
Parlamento Europeu e Conselho da União Europeia. (2002a). Directiva n.º 2002/58/CE de 12 de
Julho. Jornal Oficial das Comunidades Europeias, n.º. L 201, 37-47.
Parlamento Europeu e Conselho da União Europeia. (2002b). Directiva n.º 2002/65/CE de 23 de
Setembro. Jornal Oficial das Comunidades Europeias, n.º. L 271, 16-24.
Parlamento Europeu e Conselho da União Europeia. (2004). Regulamento (CE) n.º 460/2004 de 10
de Março. Jornal Oficial da União Europeia, n.º. L 77, 1-11.
Março. Jornal Oficial da União Europeia, n.º. L 105, 54-63.
Pasley, K. (2007). VPN Deployment and Evaluation Strategy. In H. F. Tipton & M. Krause (Eds.),
Publications.
Payne, S. C. (2006). A Guide to Security Metrics. Recuperado em 24 de Novembro, 2008, em
http://www.sans.org/reading_room/whitepapers/auditing/55.php.
Peltier, T. R. (1998). Information Classification. Information Systems Security, 7(3), 31-43.
Recuperado em 23 de Julho, 2007, da Business Search Premier database.
Peltier, T. R. (1999). Information Security Policies and Procedures: A Practioner's Reference.
Boca Raton; London; New York; Washington, D.C.: Auerbach.
Peltier, T. R. (2001). Information Security Risk Analysis. Boca Raton; London; New York;
Washington, D.C.: Auerbach.
Peltier, T. R. (2004a). Developing an Enterprisewide Policy Structure. Information Systems
Security, 13(1), 44-50. Recuperado em 23 de Julho, 2007, da Academic Search Premier
database.
Peltier, T. R. (2004b). Risk Analysis and Risk Management. Information Systems Security, 13(4),
44-56. Recuperado em 30 de Abril, 2007, da Academic Search Premier database.
Bibliografia
Peltier, T. R. (2005). Implementing an Information Security Awareness Program. Information

Systems Security, 14(2), 37-48. Recuperado em 23 de Julho, 2007, da Academic Search
Premier database.
Peltier, T. R. (2006). Social Engineering: Concepts and Solutions. Information Systems Security,
15(5), 13-21. Recuperado em 30 de Abril, 2007, da Academic Search Premier database.
Pestana, M. H., & Gageiro, J. N. (2005). Descobrindo a Regressão - Com a Complementaridade do
SPSS. Lisboa: Edições Sílabo.
Pestana, M. H., & Gageiro, J. N. (2008). Análise de Dados para Ciências Sociais - A
Complementaridade do SPSS (5ª ed.). Lisboa: Edições Sílabo.
Peterson, R. R. (2004). Integration Strategies and Tactics for Information Technology Governance.
In W. V. Grembergen (Ed.), Strategies for Information Technology Governance. Hershey,
Pinto, C. A., Arora, A., Hall, D., & Schmitz, E. (2006). Challenges to Sustainable Risk
Management: Case Example in Information Network Security. Engineering Management
Journal, 18(1), 17-23. Recuperado em 12 de Junho, 2007, da Academic Search Premier
database.
Pironti, J. P. (2006). Information Security Governance: Motivations, Benefits and Outcomes.
Information Systems Control Journal, 4. Recuperado em 20 de Julho, 2008, em
Poore, R. S. (2000). Valuing Information Assets for Security Risk Management. Information
Premier database.
Poore, R. S. (2007). Information Security Governance. In H. F. Tipton & M. Krause (Eds.),
Publications.
Porto Editora. (2008). Dicionário da Língua Portuguesa. Em http://www.infopedia.pt/.
Posthumus, S., & von Solms, R. (2004). A Framework for the Governance of Information Security.
Poole, V. (2006). Why Information Security Governance Is Critical to Wider Corporate
Governance Demands - A European Perspective. Information Systems Control Journal, 1.
Recuperado em 20 de Julho, 2008, em
Powell, P. L., & Klein, J. H. (1996). Risk Management for Information Systems Development.
Journal of Information Technology (Routledge, Ltd.), 11(4), 309-409. Recuperado em 3 de
Maio, 2008, da Academic Search Premier database.
Presidência do Conselho de Ministros. (1990). Resolução do Conselho de Ministros n.º 5/90 de 28
de Fevereiro. Diário da República, 1.ª Série, n.º 49, 806-(2)-806-(17).
Presidência do Conselho de Ministros. (1994). Decreto-Lei n.º 252/94 de 20 de Outubro. Diário da
República, 1.ª Série, n.º 243, 6374-6376.
Pulkkis, G., Grahn, K. J., & Karlsson, J. (2006). Taxonomies of User-Authentication Methods in
Computer Networks. In M. Warkentin & R. B. Vaughn (Eds.), Enterprise Information
Systems Assurance and System Security: Managerial and Technical Issues (Vol. 1, pp. 343-
71). Hershey; London; Melbourne; Singapore: Idea Group Publishing.
Bibliografia
Purser, S. (2004a). A Practical Guide to Managing Information Security. Boston; London: Artech
House.
Purser, S. A. (2004b). Improving ROI of Security Management Process. Computers & Security,
23(7), 542-546. Recuperado em 26 de Junho, 2008, da b-on database.
Qingxiong, M., & Pearson, J. M. (2005). ISO 17799: "Best Practices" In Information Security
Management? Communications of AIS, 2005(15), 577-591. Recuperado em 27 de Junho,
Quinnild, J., Fusile, J., & Smith, C. (2006). Why Information Security Belongs on the CFO's
Agenda. hfm (Healthcare Financial Management), 60(2), 56-59. Recuperado em 12 de
Junho, 2007, da Business Search Premier database.
Rainer, R. K., Marshall, T. E., Knapp, K. J., & Montgomery, G. H. (2007). Do Information
Security Professionals and Business Managers View Information Security Issues Differently?
Information Systems Security, 16(2), 100-108. Recuperado em 30 de Abril, 2008, da
Reed, B. (2007). Implementing Information Lifecycle Security (ILS). Information Systems Security,
Rees, J., Bandyopadhyay, S., & Spafford, E. H. (2003). PFIRES: A Policy Framework for
Information Security. Communications of the ACM, 46(7), 101-106. Recuperado em 12 de
Junho, 2007, da Business Search Premier database.
Reis, E. (2005). Estatística Descritiva (6ª ed.). Lisboa: Edições Sílabo.
Richardson, R. (2008). 2007 CSI Computer Crime and Security Survey. Recuperado em 20 de Maio,
2008, em http://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf.
Ritchie, B., & Brindley, C. (2005). ICT Adoption by SMEs: Implications for Relationships and
Management. New Technology, Work and Employment, 20(3), 205-217. Recuperado em 30
de Abril, 2007, da Business Search Premier database.
Rodewald, G. (2005). Aligning Information Security Investments with a Firm's Risk Tolerance.
Paper presented at the 2nd annual conference on Information security curriculum
development, Kennesaw, Georgia. Recuperado em 25 de Fevereiro, 2008, da The ACM
Digital Library database.
Rogers, M. K. (2007). Social Engineering: The Human Factor in Information Assurance. In H. F.
Ross, R., Johnson, A., Katzke, S., Toth, P., & Rogers, G. (2005). Guide for Assessing the Security
Controls in Federal Information Systems (NIST Special Publication 800-53A). U.S.
4 de Novembro, 2008, em http://all.net/books/standards/NIST-
CSRC/csrc.nist.gov/publications/drafts/sp800-53A-ipd.pdf.
Ross, R., Katzke, S., Johnson, A., Swanson, M., & Stoneburner, G. (2008). Managing Risk from
Information Systems: An Organizational Perspective (NIST Special Publication 800-39). U.S.
18 de Maio, 2008, em http://csrc.nist.gov/publications/drafts/800-39/SP800-39-spd-sz.pdf.
Ross, R., Katzke, S., Johnson, A., Swanson, M., Stoneburner, G., & Rogers, G. (2007).
Recommended Security Controls for Federal Information Systems (Special Publication 800-
53 Revision 2). U.S. Department of Commerce: National Institute of Standards and
Technology. Recuperado em 18 de Maio, 2008, em
http://csrc.nist.gov/publications/nistpubs/800-53-Rev2/sp800-53-rev2-final.pdf.
Bibliografia
Ruighaver, A., & Wong, C. (2002). On the Perceptions of E-commerce Security Risks in SME’s.
Paper presented at the The Sixth Pacific Asia Conference on Information Systems 2002,
Tokyo, Japan. Recuperado em 15 de Janeiro, 2009, em http://www.pacis-
net.org/file/2002/077.PDF.
Ryan, J. J. C. H. (2001). Information Security Practices and Experiences in Small Businesses.
Cambridge: Harvard University, Center for Information Policy Research. Recuperado em 24
de Maio, 2007, em http://pirp.harvard.edu/pdf-blurb.asp?id=493.
Ryan, J. J. C. H., & Ryan, D. J. (2005). Proportional Hazards in Information Security. Risk
Analysis: An International Journal, 25(1), 141-149. Recuperado em 12 de Junho, 2007, da
Ryan, J. J. C. H., & Ryan, D. J. (2006). Expected Benefits of Information Security Investments.
Saint-Germain, R. (2005). Information Security Management Best Practice Based on ISO/IEC
17799. Information Management Journal, 39(4), 60-66. Recuperado em 11 de Junho, 2007,
Sarathy, R., & Muralidhar, K. (2002). The Security of Confidential Numerical Data in Databases.
Information Systems Research, 13(4), 389-403. Recuperado em 3 de Maio, 2008, da
Sarbanes-Oxley Act, 15 USC § 7201 (2002).
Schaeffer, N. C., & Presser, S. (2003). The Science of Asking Questions. Annual Review of
Sociology, 29(1), 65-88. Recuperado em 13 de Março, 2009, da Business Source Premier
database.
Schlarman, S. (2001). The People, Policy, Technology (PPT) Model: Core Elements of the Security
Process. Information Systems Security, 10(5), 36-41. Recuperado em 30 de Abril, 2007, da
Schlarman, S. (2002). The Case for a Security Information System. Information Systems Security,
Schlarman, S. (2007a). Selecting an IT Control Framework. Information Systems Security, 16(3),
Schlarman, S. (2007b). The IT Compliance Equation: Understanding the Elements. Information
Premier database.
Scholl, M., Stine, K., Hash, J., Bowen, P., Johnson, A., Smith, C. D., et al. (2008). An Introductory
Resource Guide for Implementing the Health Insurance Portability and Accountability Act
(HIPAA) Security Rule (NIST Draft SP 800-66 Rev1). U.S. Department of Commerce:
National Institute of Standards and Technology. Recuperado em 21 de Outubro, 2008, em
http://csrc.nist.gov/publications/drafts/800-66-Rev1/Draft_SP800-66-Rev1.pdf.
Schultz, E. E. (2002). A Framework for Understanding and Predicting Insider Attacks. Computers
& Security, 21(6), 526-531. Recuperado em 26 de Junho, 2008, da b-on database.
Schultz, E. E. (2005). The Human Factor in Security. Computers & Security, 24(6), 425-426.
Semanário Económico (2002, 31 de Outubro). 1500 Maiores PMEs.
Shaurette, K. M. (2007). Make Security Part of Your Company’s DNA. In H. F. Tipton & M.
Bibliografia
Sherer, S. A., & Alter, S. (2004). Information System Risks and Risk Factors: Are They Mostly
About Information Systems? Communications of the Association for Information Systems,
2004(14), 29-64. Recuperado em 12 de Junho, 2007, da Business Search Premier database.
Sharman, R., Krishna, K. P., Rao, H. R., & Upadhyaya, S. (2006). Malware and Antivirus
Deployment for Enterprise Security. In M. Warkentin & R. B. Vaughn (Eds.), Enterprise
Information Systems Assurance and System Security: Managerial and Technical Issues (Vol.
1, pp. 42-60). Hershey; London; Melbourne; Singapore: Idea Group Publishing.
Shih, S. C., & Wen, H. J. (2003). Building E-Enterprise Security: A Business View. Information
Systems Security, 12(4), 41-49. Recuperado em 22 de Maio, 2008, da Academic Search
Premier database.
Silva, P., Carvalho, H., & Torres, C. (2003). Segurança dos Sistemas de Informação - Gestão
Estratégica da Segurança Empresarial (1ª ed.). Lisboa: Centro Atlântico.
Silverman, D. L. (2007). Data Security Breaches: The State of Notification Laws. Intellectual
Property & Technology Law Journal, 19(7), 5-12. Recuperado em 30 de Julho, 2007, da
Siponen, M. (2006). Information Security Standards Focus on the Existence of Process, Not Its
Content. Communications of the ACM, 49(8), 97-100. Recuperado em 26 de Maio, 2007, da
Siponen, M. T. & Oinas-Kukkonen, H. (2007). A Review of Information Security Issues and
Respective Research Contributions. ACM SIGMIS Database, 38(1), 60-80. Recuperado em 2
de Junho, 2007, da ACM Digital Library database.
Slade, R. M. (2008). Security Frameworks. In H. F. Tipton & M. Krause (Eds.), Information
Smedinghoff, T. J. (2005a). The New Law of Information Security: What Companies Need to Do
Now. Computer & Internet Lawyer, 22(11), 9-25. Recuperado em 27 de Julho, 2007, da
Smedinghoff, T. J. (2005b). Trends in the Law of Information Security. Intellectual Property &
Technology Law Journal, 17(1), 1-5. Recuperado em 11 de Junho, 2007, da Business Search
Premier database.
Smith, H. J. (2002). Ethics and Information Systems: Resolving the Quandaries. ACM SIGMIS
Database, 33(3), 8-22. Recuperado em 7 de Maio, 2007, da The ACM Digital Library
database.
Smith, R. E. (2007). Trends in Security Product Evaluations. Information Systems Security, 16(4),
Smith, H. J., & Hasnas, J. (1999). Ethics and Information Systems: The Corporate Domain. MIS
Quarterly, 23(1), 109-127. Recuperado em 7 de Maio, 2007, da Business Search Premier
database.
Snow, A. P., Straub, D., Stucke, C., & Baskerville, R. (2006). The Survivability Principle: IT-
Enabled Dispersal of Organizational Capital. In M. Warkentin & R. B. Vaughn (Eds.),
Enterprise Information Systems Assurance and System Security: Managerial and Technical
Issues (pp. 150-66). Hershey; London; Melbourne; Singapore: Idea Group Publishing.
Southern, A., & Tilley, F. (2000). Small Firms and Information and Communication Technologies
(ICTs): Toward a Typology of ICTs Usage. New Technology, Work and Employment, 15(2),
138-154. Recuperado em 25 de Maio, 2007, da b-on database.
Stackpole, B. (2007). An Introduction to IPSec. In H. F. Tipton & M. Krause (Eds.), Information
Security Handbook (Volume 1) (6ª ed., Vol. 1, pp. 2093-101). Boca Raton: Auerbach
Publications.
Bibliografia
Stahl, S. (2007). Beyond Information Security Awareness Training: It Is Time To Change the
Culture. In H. F. Tipton & M. Krause (Eds.), Information Security Handbook (6ª ed., Vol. 1,
pp. 555-65). Boca Raton: Auerbach Publications.
Standards Australia/Standards New Zealand. (2004). Risk Management - AS/NZS 4360:2004.
Recuperado em 16 de Junho, 2008, em
http://www.cqurire.com/htm/paper/risk/Aust_Standards_4360-2004.pdf.
Stanton, J. M., Stam, K. R., Mastrangelo, P., & Jolton, J. (2005). Analysis of End User Security
Behaviors. Computers & Security, 24(2), 124-133. Recuperado em 26 de Junho, 2008, da b-
on database.
Stephenson, P. (2004). Forensic Analysis of Risks in Enterprise Systems. Information Systems
Security, 13(4), 11-21. Recuperado em 30 de Abril, 2008, da Academic Search Premier
database.
Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk Management Guide for Information
Technology Systems (Special Publication 800-30). Department of Commerce: National
Institute of Standards and Technology. Recuperado em 13 de Junho, 2007, em
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.
Storch, E. A., Lack, C., Merlo, L. J., Marien, W. E., Geffken, G. R., Grabill, K., et al. (2007).
Associations between miscellaneous symptoms and symptoms dimensions: An examination
of pediatric obsessive-compulsive disorder. Behaviour Reserach and Therapy, 45, 2593-
2603. Recuperado em 16 de Stembro, 2009, da b-on database.
Straub, D. W. (1989). Validating Instruments in MIS Research. MIS Quarterly, 13(2), 147-169.
Recuperado em 13 de Março, 2009, da Business Source Premier database.
Straub, D. W. (1990). Effective IS Security: An Empirical Study. Information Systems Research,
1(3), 255-276. Recuperado em 12 de Junho, 2007, da Business Search Premier database.
Straub, D. W., & Welke, R. J. (1998). Coping With Systems Risk: Security Planning Models for
Management Decision Making. MIS Quarterly, 22(4), 441-469. Recuperado em 20 de Março,
Street, C. T., & Meister, D. B. (2004). Small Business Growth and Internal Transparency: The Role
of Information Systems. MIS Quarterly, 28(3), 473-506. Recuperado em 13 de Maio, 2007,
Swanson, M., Bartol, N., Sabato, J., Hash, J., & Graffo, L. (2003). Security Metrics Guide for
Information Technology Systems (Special Publication 800-55). U.S. Department of
Commerce: National Institute of Standards and Technology. Recuperado em 15 de Maio,
2007, em http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf.
Swanson, M., & Guttman, B. (1996). Generally Accepted Principles and Practices for Securing
Information Technology Systems. U.S. Department of Commerce: National Institute of
Standards and Technology. Recuperado em 17 de Maio, 2008, em
http://csrc.nist.gov/publications/nistpubs/800-14/800-14.pdf.
Tarantino, A. (2006). Manager's Guide to Compliance: Sarbanes-Oxley, COSO, ERM, COBIT,
IFRS, BASEL II, OMB A-123, ASX 10, OECD Principles, Turnbull Guidance, Best Practices
and Case Studies. New Jersey: John Wiley & Sons, Inc.
Taudes, A., Feurstein, M., & Mild, A. (2000). Options Analysis Of Software Platform Decisions: A
Case Study. MIS Quarterly, 24(2), 227-243. Recuperado em 23 de Junho, 2008, da Business
Temtime, Z., Chinyoka, S., & Shunda, J. (2003). Toward Strategic Use of IT in SMEs: a
Developing Country Perspective. Information Management & Computer Security, 11(5),
230-237. Recuperado em 2 de Junho, 2007, da b-on database.
Bibliografia
Thorsheim, P. (2007). Comparing Firewall Technologies. In H. F. Tipton & M. Krause (Eds.),

Publications.
Theoharidou, M., Kokolakis, S., Karyda, M., & Kiountouzis, E. (2005). The Insider Threat to
Information Systems and the Effectiveness of ISO17799. Computers & Security, 24(6), 472-
484. Recuperado em 26 de Junho, 2008, da b-on database.
Thomson, K.-L., & von Solms, R. (2005). Information Security Obedience: a Definition.
Tiller, J. S. (2007). IPSec Virtual Private Networks. In H. F. Tipton & M. Krause (Eds.),
Publications.
Tippett, P. S. (2007). Computer Ethics. In H. F. Tipton & M. Krause (Eds.), Information Security
Tomaskovic-Devey, D., Leiter, J., & Thompson, S. (1994). Organizational Survey Nonresponse.
Administrative Science Quarterly, 39(3), 439-457. Recuperado em 13 de Março, 2009, da
Tompkins, W. (2007). Maintaining Management's Commitment. In H. F. Tipton & M. Krause
Publications.
Tracy, R. P. (2007). IT Security Management and Business Process Automation: Challenges,
Approaches, and Rewards. Information Systems Security, 16(2), 114-122. Recuperado em 30
de Abril, 2008, da Academic Search Premier database.
Trcek, D. (2003). An Integral Framework for Information Systems Security Management.
Tsiakis, T., & Stephanides, G. (2005). The Economic Approach of Information Security.
Upfold, C. T., & Sewry, D. A.An Investigation of Information Security in Small and Medium
Enterprises (SME's) in The Eastern Cape. Recuperado em 23 de Maio, 2007, em
http://icsa.cs.up.ac.za/issa/2005/Proceedings/Research/082_Article.pdf.
Vaughn, R. B. (2006). High Assurance Products in IT Security. In M. Warkentin & R. B. Vaughn
(Eds.), Enterprise Information Systems Assurance and System Security: Managerial and
Technical Issues (Vol. 1, pp. 182-96). Hershey; London; Melbourne; Singapore: Idea Group
Publishing.
Venter, H., & Eloff, J. (2003). A Taxonomy for Information Security Technologies. Computers &
Vidalis, S., & Kazmi, Z. (2007). Security Through Deception. Information Systems Security, 16(1),
34-41. Recuperado em 30 de Abril, 2008, da Academic Source Premier database.
von Solms, B. (2001a). Corporate Governance and Information Security. Computers & Security,
20(3), 215-218. Recuperado em 26 de Junho, 2008, da b-on database.
von Solms, B. (2001b). Information Security – A Multidimensional Discipline. Computers &
von Solms, B. (2005). Information Security Governance: COBIT or ISO 17799 or both? Computers
& Security, 24(2), 99-104. Recuperado em 26 de Junho, 2008, da b-on database.
von Solms, S. H. (2005). Information Security Governance - Compliance management vs
operational management. Computers & Security, 24(6), 443-447. Recuperado em 26 de
Bibliografia
von Solms, B., & von Solms, R. (2004). The 10 Deadly Sins of Information Security Management.
von Solms, R., & von Solms, S. H. (2006). Information Security Governance: A model based on
the Direct–Control Cycle. Computers & Security, 25(6), 108-412. Recuperado em 26 de
Vraalsen, F., Mahler, T., Lund, M. S., Hogganvik, I., den Braber, F., & Stolen, K. (2007).
Assessing Enterprise Risk Level: The CORAS Approach. In D. Khadraoui & F. Herrmann
(Eds.), Advances in Enterprise Information Technology Security (pp. 311-33). Hershey, New
York: Information Science Reference.
Vroom, C., & von Solms, R. (2004). Towards Information Security Behavioural Compliance.
Wang, A. J. A. (2005). Information Security Models and Metrics. Paper presented at the ACM
Southeast Regional Conference, Kennesaw, Georgia. Recuperado em 16 de Maio, 2008, da
ACM Digital Library database.
Wang, G. (2005). Strategies and Influence for Information Security. Information Systems Control
Warkentin, M., & Johnston, A. C. (2006). IT Security Governance and Centralized Security
Controls. In M. Warkentin & R. B. Vaughn (Eds.), Enterprise information Systems
Assurance and System Security: Managerial and Techical Issues (pp. 16-24). Hershey,
Weill, P., & Ross, J. W. (2004). IT Governance on One Page (CISR WP n.º 349 and Sloan WP n.º
4516-04). Massachusetts Institute of Technology, Sloan School of Management, Center for
Information Systems Research. Recuperado em 13 de Março, 2007, em
web.mit.edu/cisr/working%20papers/cisrwp349.pdf.
Weill, P., & Woodham, R. (2002). Don't just Lead, Govern: Implementing Effective IT Governance
(CISR WP n.º 326 and 4237-02). Massachusetts Institute of Technology, Sloan School of
Management, Center for Information Systems Research. Recuperado em 28 de Março, 2007,
em http://web.mit.edu/cisr/working%20papers/cisrwp326.pdf.
Weippl, E. R., & Klemen, M. (2006). Implementing IT Security for Small and Medium Enterprises.
In M. Warkentin & R. B. Vaughn (Eds.), Enterprise information Systems Assurance and
System Security: Managerial and Techical Issues (pp. 112-30). Hershey, London, Melbourne,
Singapore: Idea Group Publishing.
Westby, J. R., & Allen, J. H. (2007). Governing for Enterprise Security (GES) Implementation
Guide (Technical Note: CMU/SEI-2007-TN-020). Pittsburgh, PA: Carnegie Mellon
University, Software Engineering Institute, CERT Program. Recuperado em 11 de Maio,
2007, em http://www.sei.cmu.edu/pub/documents/07.reports/07tn020.pdf.
Whitman, M. E. (2003). Enemy at the Gate: Threats to Information Security. Communications of
the ACM, 46(8), 91-95. Recuperado em 1 de Maio, 2008, da Business Source Premier
database.
Wiant, T. L. (2005). Information Security Policy’s Impact on Reporting Security Incidents.
Williams, N. I. (2003). E-business Security Issues for SMEs in a Virtual Hosting Environment.
ACM International Conference Proceeding Series, 49, 357-364. Recuperado em 28 de Maio,
2007, da The ACM Digital Library database.
Bibliografia
Williams, R. C., Ambrose, K., Bentrem, L., & Merendino, T. (2004). Risk Based Diagnostics
(Technical Note: CMU/SEI-2004-TN-013). Pittsburgh, PA: Carnegie Mellon University,
Software Engineering Institute, Acquisition Support Program. Recuperado em 13 de Maio,
2006, em http://www.sei.cmu.edu/pub/documents/04.reports/pdf/04tn013.pdf.
Woody, C., & Clinton, L. (2004). Common Sense Guide to Cyber Security for Small Businesses:
Recommended Actions for Information Security. Recuperado em 10 de Abril, 2006, em
http://www.us-cert.gov/reading_room/CSG-small-business.pdf.
Workman, M. (2007). Gaining Access with Social Engineering: An Empirical Study of the Threat.
Information Systems Security, 16(6), 315-331. Recuperado em 30 de Abril, 2008, da
Academic Source Premier database.
Wylder, J. O. (2007). Toward Enforcing Security Policy: Encouraging Personal Accountability for
Corportate Information Security Policy. In H. F. Tipton & M. Krause (Eds.), Information
Xie, N., & Mead, N. R. (2004). SQUARE Project: Cost/Benefit Analysis Framework for
Information Security Improvement Projects in Small Companies (Technical Note: CMU/SEI-
2004-TN-045) (2). Pittsburgh: Carnegie Mellon University, Software Engineering Institute,
Networked Systems Survivability Program. Recuperado em 31 de Agosto, 2006, em
www.sei.cmu.edu/publications/documents/04.reports/04tn045.html.
Yazar, Z. (2002). A Qualitative Risk Analysis and Management Tool – CRAMM. Recuperado em
20 de Outubro, 2008, em http://www.sans.org/reading_room/whitepapers/auditing/83.php.
Glossário
GLOSSÁRIO
Ameaça ................................. Indicação de um dano iminente.
Análise de Ameaças ............. Análise das fontes de ameaça contra as vulnerabilidades dos
SI/TIC para determinar as ameaças de um determinado
SI/TIC num determinado ambiente operacional.
Assinatura electrónica........... Resultado de um processamento electrónico de dados que

pode ser utilizado para garantir a autoria de um determinado
documento electrónico.
Ataque................................... Tentar obter acesso não autorizado a serviços, recursos ou

informação de um SI/TIC ou a tentativa de comprometer a
integridade, disponibilidade ou confidencialidade de um
SI/TIC.
Avaliação de Risco ............... Processo de identificação dos riscos para a segurança dos
SI/TIC e determinar a probabilidade de ocorrência, o impacto
resultante e as garantias adicionais que possam mitigar esse
impacto.
Certificação........................... Conjunto de actividades desenvolvidas por um organismo

independente com o intuito de confirmar se determinado
produto, processo ou serviço está em conformidade com os
requisitos especificados, desta avaliação resulta um
certificado, um registo conforme uma norma.
COBIT.................................... Compêndio de directrizes que ajuda a compreender e a gerir

os riscos e os benefícios associados aos SI/TIC.
Glossário
Comércio Electrónico ........... Transacção comercial realizada através de um equipamento

electrónico (e.g., computador).
Confidencialidade ................. Característica da manutenção do segredo de determinada

informação.
Conformidade ....................... Cumprimento de um requisito.
Controlo ................................ Mecanismo operacionalizado visando garantir o

cumprimento de um requisito para proteger os activos de
informação de uma ameaça.
Correio electrónico ............... Sistema que permite enviar e receber mensagens (de texto,
voz, imagem, etc.) por computadores integrados em redes de
comunicação.
Disponibilidade..................... Acessibilidade a um determinado elemento (informação,

sistemas, instalações, etc.).
Encriptação ........................... Conversão de dados num formato específico que não permite
a sua leitura por pessoas não autorizadas.
Engenharia Social ................. Uso de truques psicológicos nos utilizadores legítimos dos
SI/TIC para obter informações (nomes de utilizador e
palavras-chave), necessárias para ter acesso a um SI/TIC.
Ética ...................................... Reflexão filosófica sobre a moral. Os objectos da ética são as

questões fundamentais relativamente à conduta do ser
humano.
Evento de Segurança ............ Evento que compromete a confidencialidade, integridade e

disponibilidade de um SI/TIC.
Firewall ................................. Equipamento que protege uma rede interna contra o acesso
externo de utilizadores não autorizados.
Fraude ................................... Esquema criado com o objectivo deliberado de enganar

outros com o propósito de prejudicá-los, com o intuito de
obter de forma injusta a propriedade ou serviços de terceiros.
Glossário
Gestão de Risco .................... Processo total de identificar, controlar e mitigar os riscos

associados aos SI/TIC.
Hardware .............................. Elementos físicos de um computador, incluindo a unidade

central de processamento e os periféricos (monitor, teclado e
impressora).
Impacto ................................. Resultado da concretização de uma ameaça que explora com

sucesso uma vulnerabilidade existente.
Integridade ............................ Característica da informação que não sofreu modificação.
Internet .................................. Conglomerado de redes informáticas mundiais interligadas

pelo protocolo TCP/IP (Transmission Control
Protocol/Internet Protocol) onde se localizam servidores de
informação e serviços (FTP, WWW, E-mail, etc.).
ISO/IEC 17799 ..................... Tecnologias de Informação: Código de Prática para a gestão

da Segurança da Informação. Apresenta as melhores práticas
a serem utilizadas na gestão de segurança de informação.
ISO/IEC 27001 ..................... Consiste na especificação e implementação de um Sistema

de Gestão de Segurança de Informação. Possibilita a
obtenção de Certificação.
Métrica .................................. Forma de valorização da concretização de um conceito que

se assemelha a medida se a esta for atribuída um sentido
metodológico e de processo.
Palavra-chave ....................... Encadeamento de caracteres para identificar um utilizador no

acesso a um computador ou a uma rede de comunicação.
Probabilidade ........................ Número médio expectável de vezes que uma determinada

ameaça se possa concretizar num determinado período.
Risco ..................................... Exposição a uma determinada ameaça.
Software ................................ Conjunto de meios não materiais que servem para o

tratamento automático da informação e permite a interacção
entre o utilizador e o computador.
Glossário
Sarbanes-Oxley Act (SOX) .. Lei que introduz regras de governo das sociedades para
assegurar maior transparência nos resultados obtidos nas
organizações, institui punições contra fraudes empresariais e
garante maior independência aos órgãos de auditoria.
Segurança da Informação ..... Proteger a informação e os SI/TIC contra acesso não

autorizado, utilização, divulgação, interrupção, modificação
ou destruição.
Utilizador Final ..................... Agente externo ao sistema de informação que usufrui da

tecnologia para realizar determinado trabalho.
Vírus ..................................... Programa mal intencionado que, uma vez instalado num
computador, destrói, altera ou provoca erros no
processamento da informação.
Vulnerabilidade .................... Característica que potencia o impacto da concretização de

determinada ameaça.
World Wide Web (WWW) .... Consiste em software cliente/servidor que suporta
documentos formatados de uma forma específica utilizando
uma linguagem denominada HTML (HyperText Markup
Language). Esta linguagem suporta ligações a outros
documentos, assim como a gráficos, áudio, vídeo e outro tipo
de ficheiros.
Apêndice A – Componentes, Modelos e Métricas da Segurança da Informação
APÊNDICE A
COMPONENTES, MODELOS E MÉTRICAS DA

A.1 INTRODUÇÃO
A estratégia da segurança da informação é suportada por um conjunto de normas e

procedimentos, cujo grau de implementação e de desempenho é avaliado através de
métricas definidas para o efeito.
Este apêndice apresenta as principais componentes da estratégia da segurança da

informação e descreve os modelos e métricas mais utilizados na segurança da informação.
A.2 COMPONENTES DA ESTRÉGIA DA SEGURANÇA DA

INFORMAÇÃO
A estratégia da segurança da informação inclui um conjunto de políticas, normas,

procedimentos e directrizes necessários para implementar e controlar a estratégia de
segurança. Segundo o ITGI (2008), as políticas e as normas são instrumentos do governo
da segurança, enquanto os procedimentos e as directrizes estão relacionados com as
operações. O seu grau de autoridade e valor prático variam de forma inversa, conforme
apresentado na Figura A.1.
Figura A.1: Nível de autoridade e de valor das políticas, normas e procedimentos de segurança.
Fonte: Purser (2004a, p. 134).
No âmbito da segurança da informação, estes elementos devem ser interpretados do

seguinte modo:
• políticas: são declarações de requisitos de alto nível e suficientemente gerais para

serem aplicáveis em circunstâncias diversas (Purser, 2004a), representando os
propósitos, expectativas e orientações da administração (ITGI, 2008; Peltier, 1999).
Definem a filosofia e a postura da organização e são a base para todas as decisões e
implementações de segurança subsequentes (Whitman, 2003). Devem ser em
reduzido número e aprovadas pela administração, são mandatárias por natureza e são
interpretadas e suportadas pelas normas, procedimentos e directrizes (Howard, 2007);
• normas: servem como especificações para a implementação das políticas (Howard,
2007; Peltier, 1999) e devem fornecer informação suficiente para que o
procedimento possa ser determinado inequivocamente e respeitar os requisitos da
política (ITGI, 2008). Além disso, “reduzem a complexidade, facilitam a
interoperabilidade e documentam uma preferência por uma maneira particular de
executar as tarefas” (Purser, 2004a, p. 151). As normas devem alterar-se à medida
que os requisitos e as tecnologias se vão alterando e, regra geral, devem existir várias
normas para cada política, em função do domínio da segurança onde se enquadram
(ITGI, 2008);
• procedimentos: definem especificamente como as políticas, normas e directrizes
serão implementadas e dizem respeito a processos ou tecnologias (Howard, 2007).
Devem ser inequívocas e incluir todos os passos necessários para realizar tarefas
específicas (ITGI, 2008);
• directrizes: “Uma descrição de uma maneira particular de realizar algo que é menos
prescritivo do que um procedimento” (ITGI, 2008, p. 45). São indicações gerais para
recomendar ou sugerir uma abordagem para implementar políticas ou normas e
devem conter informação que auxilie na execução dos procedimentos (Peltier, 1999).
A.3 MODELOS E MÉTRICAS DA SEGURANÇA DA INFORMAÇÃO
O estabelecimento de metas de desempenho é um componente importante da definição das

medidas da segurança da informação, pois constitui um ponto de referência para medir o
sucesso, o qual é baseado na diferença entre o resultado da medição e o objectivo de
desempenho declarado (Chew et al., 2008). Um programa de avaliação permite às
organizações conhecer, gerir e melhorar o seu desempenho, na medida em que a medição
efectuada permite “caracterizar, avaliar, estimar e melhorar o que está a ser produzido e a
forma como é produzido” (Kasunic, McCurley, & Zubrow, 2008, p. 4).
Contudo, a existência de um programa de medição e análise não está isento de erros e

omissões que podem colocar em causa a própria essência e objectivos do programa.
Segundo Kasunic et al. (2008) existem diversas fontes de erros, salientando-se as seguintes:
• ausência ou objectivos de medição confusos;

• ausência de recursos e formação;
• divergência com definições operacionais;
• falta de rigor do processo de medição;
• falta de prioridade ou interesse nas medidas e sua análise;
• erros na digitação dos dados.
Para evitar a ocorrência destes erros, Kasunic et al. propõem um processo de medição
conforme apresentado na Figura A.2.
Figura A.2: Processo de medição da segurança da informação.

Fonte: Kasunic et al. (2008, p. 10).
Qualquer processo de avaliação dos controlos de segurança implementados envolve um

conjunto de entidades, conceitos e relações, cujo objectivo é garantir aos proprietários dos
activos de informação que a avaliação realizada assegura que os controlos implementados
são correctos e suficientes para minimizar os riscos dos activos, tal como expresso na
Figura A.3 referente aos conceitos e relações do processo de avaliação.
As métricas da segurança da informação têm como objectivo medir a eficácia dos esforços
de segurança da organização ao longo do tempo (Chapin & Akridge, 2005) e podem
fornecer orientação na hierarquização de acções correctivas e aumentar o nível de
conhecimento da segurança na organização (Payne, 2006; A. Wang, 2005).
As métricas pretendem dar resposta a um conjunto de interrogações colocadas pelos

gestores, designadamente (Chapin & Akridge, 2005):
• quais os activos que necessitam ser protegidos?

• como é que se pode justificar o custo de novos controlos de segurança?
• quando é que a organização sabe que o seu programa de segurança lhe garante um
nível de segurança desejado?
• como é que a organização compara as suas práticas de segurança com as outras
organizações da indústria e com as normas e melhores práticas?
Figura A.3: Conceitos e relações do processo de avaliação.

Fonte: Adaptado de ISO/IEC (2005a, p. 12).
A utilização de métricas de segurança permite às organizações melhorar o seu processo de

responsabilização da segurança, pois possibilitam medir cada aspecto da organização da
segurança, além de ajudarem a determinar a eficácia dos processos, procedimentos e
controlos de segurança implementados (Swanson, Bartol, Sabato, Hash, & Graffo, 2003).
Os benefícios da utilização de métricas de segurança podem assumir variadas formas,

nomeadamente (Chew et al., 2008; Nichols & Sudbury, 2006):
• medir a eficácia dos controlos de segurança implementados;

• aumentar a responsabilidade pela segurança da informação;
• identificar áreas de segurança a melhorar;
• melhorar a eficácia da segurança de informação;
• demonstrar conformidade com leis, regulamentos;
• determinar a eficácia dos programas de gestão do risco;
• fornecer evidência de que o programa de segurança está em conformidade com as
normas e melhores práticas.
As métricas de segurança devem ter as seguintes características (Chapin & Akridge, 2005;
Drugescu & Etges, 2006):
• medir aspectos significativos da organização;
• serem reproduzíveis e consistentes;

• serem objectivas e imparciais;
• serem capazes de medir algum tipo de progressão relativamente a um objectivo.
Além de ter em atenção estas características das métricas, qualquer programa de avaliação
da segurança da informação deve considerar os seguintes factores (Chew et al., 2008):
• as métricas devem produzir informação quantificável (números, médias,

percentagens, etc.);
• os dados que suportam as métricas devem estar disponíveis no momento;
• apenas os processos de segurança da informação repetitivos devem ser considerados
para avaliação;
• as métricas devem servir para acompanhar o desempenho e direccionar recursos.
A. Wang (2005) sustenta que existem alguns equívocos acerca das métricas de segurança,
na medida em que estas: (i) são mais qualitativas do que quantitativas; (ii) são mais
subjectivas do que objectivas; (iii) são muitas vezes definidas sem um modelo formal; (iv)
não incorporam o factor tempo.
Para Payne, 2006) a definição de um programa de métricas de segurança,

independentemente do modelo subjacente, deve ter em consideração sete passos chave:
1. definir metas e objectivos do programa de métricas;

2. decidir as métricas a criar;
3. desenvolver modelos para a criação das métricas;
4. definir critérios de comparação;
5. estabelecer métodos para reportar as métricas;
6. criar um plano de acção para implementar as métricas;
7. estabelecer um programa contínuo de revisão e actualização das métricas.
Para Swanson et al. (2003) o processo de desenvolvimento das métricas de segurança dos
SI/TIC compreende, como ilustrado na Figura A.4, seis fases distintas, integradas em duas
actividades principais: identificação e definição do actual programa de segurança dos
SI/TIC; desenvolvimento e selecção de métricas específicas para medir a implementação,
eficácia e eficiência; o impacto dos controlos de segurança.
Figura A.4: Processo de desenvolvimento das métricas de segurança dos SI/TIC.

Fonte: Swanson et al. (2003, p. 15).
Swanson et al. (2003) definem três tipos de métricas: (1) métricas de implementação para
medir a implementação da política de segurança, i.e., para demonstrar a evolução da
implementação das políticas e procedimentos e nos controlos de segurança; (2) métricas de
eficácia/eficiência para medir os resultados da entrega de serviços de segurança, sendo
utilizadas para monitorar os resultados da implementação dos controlos de segurança e
(3) métricas de impacto para medir o impacto no negócio ou na missão dos eventos e
actividades de segurança, através da quantificação da poupança de custos originada pela
aplicação do programa de segurança. Estas métricas podem ser utilizadas simultaneamente
em qualquer programa de segurança da informação, contudo, “a utilidade das métricas
varia consoante a maturidade de cada programa de segurança da informação” (Chew, Clay,
Hash, Bartol, & Brown, 2006, p. 15).
Tendo como base as classes e famílias de controlos de segurança definidos no NIST SP

800-53 (Ross et al., 2007), Chew et al. (2006) apresentam um conjunto de métricas
associadas a cada uma das famílias de controlos de segurança, sinteticamente resumidas no
Quadro A.1.
Quadro A.1: Métricas de segurança por classe e família de controlos.
Classe Família de Controlos Exemplos de Métricas
• % de sistemas operacionais que concluíram alterações

Avaliações de certificação, importantes em termos de certificação e acreditação.
acreditação e segurança • % de novos sistemas que concluíram a certificação e
acreditação antes da implementação.
• % de empregados que assinaram documento em como
leram e compreenderam as regras de comportamento,
Planeamento
antes de terem autorização para aceder aos sistemas de
informação.
Controlos de
Gestão • % de vulnerabilidade de risco elevado mitigadas em
tempo útil.
Avaliação de risco
• % de incidentes causados por vulnerabilidades
conhecidas.
• % de contratos de aquisição de sistemas e serviços que
incluem requisitos de segurança.
Aquisição de sistemas e
• % de contratos de aquisição de sistemas e serviços que
serviços
requerem reporte regular de conformidade com os
requisitos de segurança.
• % de utilizadores com formação básica em
consciencialização.
Consciencialização e formação
• % do pessoal da área de segurança dos SI/TIC que
receberam formação em segurança.
• % de sistemas que estão em conformidade com a
configuração básica.
Gestão de configurações
• % de alterações de configuração documentadas na
última configuração básica.
• % de sistemas tratados com sucesso nos testes ao
Planeamento de contingência
plano de contingência.
• % de incidentes reportados superiormente.
Resposta a incidentes • % de sistemas que utilizam mecanismos automáticos
Controlos para reportar incidentes de segurança.
Operacionais
• % de componentes de sistema sujeitos a manutenção.
Manutenção • % de sistemas que utilizam ferramentas automáticas
para validar o desempenho da manutenção periódica.
Protecção de media • % de media que passa os testes de conformidade
• % de incidentes de segurança física que permitem a
entrada não autorizada nas instalações dos SI/TIC.
Protecção física e ambiental
• % de incidentes de segurança causados por falhas
físicas dos controlos de acesso.
Segurança dos recursos • % de pessoas examinadas antes de lhes ser concedido
humanos acesso aos sistemas de informação.
Integridade da informação e • % de alertas e avisos disseminados através da
dos sistemas organização.
(continua)
Classe Família de Controlos Exemplos de Métricas
• % de incidentes de segurança causados por

Controlo de acessos
configuração inadequada dos controlos de acesso.
• Frequência média de registos de auditoria analisados
por actividade inadequada.
Auditoria e responsabilização
Controlos • % de sistemas que utilizam mecanismos automáticos
Técnicos para realizar análises de actividades inadequadas.
• % de contas não associadas com utilizadores
Identificação e autenticação
específicos.
Protecção dos sistemas e das • % de sistemas de comunicação externa que utilizam
comunicações interfaces controladas.
Fonte: Adaptado de Ross et al. (2007) e Chew et al. (2006).
Apêndice B – Metodologias de Gestão do Risco da Segurança da Informação
APÊNDICE B
METODOLOGIAS DE GESTÃO DE RISCO DA

B.1 INTRODUÇÃO
Este apêndice lista as metodologias de gestão do risco da segurança da informação mais

referidas na literatura da especialidade.
Embora algumas das metodologias adiante apresentadas não tratem especificamente a área
de segurança da informação (e.g., COSO), elas contribuem com uma perspectiva adequada
para o tratamento deste tipo específico de riscos, razão pela qual se optou pela sua
integração nesta secção.
B.2 METODOLOGIAS DE GESTÃO DO RISCO DA SEGURANÇA

DA INFORMAÇÃO
As metodologias de gestão do risco da segurança da informação mais conhecidas são as

seguintes:
a) Enterprise Risk Management Framework (COSO – ERM)
Apesar de não se focar nos riscos da segurança da informação, as fases deste sistema de
referência são, na sua essência, relativamente semelhantes às de outros modelos de gestão
do risco, podendo, portanto, ser adaptado para a implementação de um modelo de gestão
do risco da segurança da informação.
A gestão do risco corporativo preconizada pelo COSO (2007) é constituída por oito
componentes interligados e integrados com o processo de gestão:
Apêndice B – Metodologias de Gestão de Risco da Segurança da Informação
• ambiente interno – a administração estabelece uma filosofia quanto ao tratamento

dos riscos e estabelece um limite para a apetência ao risco. O ambiente interno
determina os conceitos básicos sobre a forma como os riscos e os controlos serão
vistos e abordados pelos empregados da organização;
• definição de objectivos – a identificação dos potenciais eventos que poderão afectar a
realização dos objectivos só poderá ser realizada após a definição dos objectivos a
atingir pela organização. A gestão dos riscos corporativos assegura que a
administração adopte um processo para estabelecer objectivos e estes devem suportar
e estar alinhados com a missão da organização e, além disso, serem compatíveis com
a apetência ao risco;
• identificação de eventos – o objectivo desta fase é identificar os potenciais eventos
(internos ou externos) que podem ter impacto na organização e afectar os objectivos.
Os eventos a identificar poderão ser classificados riscos, oportunidades ou ambos;
• avaliação dos riscos - Os riscos identificados são analisados com a finalidade de
determinar a forma como serão geridos. Os riscos são avaliados tendo em
consideração os seus efeitos inerentes e residuais, assim como a sua probabilidade de
ocorrência e seu impacto no negócio;
• resposta aos riscos – a equipa de gestão do risco identifica e avalia as possíveis
respostas aos riscos: evitar; aceitar; reduzir; partilhar. A administração selecciona o
conjunto de acções destinadas a alinhar os riscos às respectivas tolerâncias e à
apetência ao risco;
• actividades de controlo – são definidas e implementadas políticas e procedimentos
para assegurar que as respostas aos riscos sejam executadas com eficácia;
• informação e comunicação – para identificar, avaliar e responder ao risco, a
organização necessita das informações em todos os níveis hierárquicos. A forma e o
prazo em que as informações relevantes são identificadas, recolhidas e comunicadas
permitam que as pessoas cumpram de acordo com as suas funções e
responsabilidades;
• monitorização - A integridade do processo de gestão dos riscos corporativos é
monitorizada de forma a que possam ser realizadas as modificações necessárias,
permitindo à organização reagir activamente e mudar segundo as circunstâncias. A
monitorização é realizada através de actividades de gestão contínuas, avaliações
independentes ou uma combinação de ambos os procedimentos.
b) SEI Risk Management Paradigm
Uma outra metodologia para a gestão do risco é a preconizada pelo SEI/CMU. Embora o
objectivo desta metodologia esteja direccionada para a gestão de projectos, também pode
ser usada na gestão dos riscos de segurança da informação.
As várias fases desta metodologia, representadas na Figura B.1, são (Noor, Dillon &
Williams, 2001):
• identificar - Identificar riscos e suas possíveis causas (ameaças e vulnerabilidades);

• analisar - Avaliar impacto e probabilidade dos riscos, classificá-los e hierarquizá-los;
• planear - Definir planos de acção com base na informação da análise dos riscos;
• acompanhar - Analisar indicadores e monitorizar os planos de mitigação
implementados;
• controlar - Gerir os planos de mitigação de riscos e corrigir os desvios quando
existam;
• comunicar - Fornecer informação sobre as actividades de controlo dos riscos.
Figura B.1: Paradigma da gestão do risco do SEI/CMU.

Fonte: Noor et al. (2001, p. 2).
c) General Security Risk Assessment
A ASIS International Guidelines Commission, criada em 2001 pela ASIS International

como resposta a uma necessidade concertada de orientações relativamente a questões de
segurança nos EUA, publicou, em 2003, The General Security Risk Assessment Guideline,
com o objectivo de “fornecer uma metodologia através da qual os riscos de segurança

numa localização específica possam ser identificados e comunicados, juntamente com as
soluções adequadas” (ASIS International, 2003, p. 3). Esta orientação é aplicável a
qualquer ambiente em que os activos de informação possam estar sujeitos a incidentes de
segurança que possam resultar em prejuízos para as organizações e é composta por um
processo de sete fases, tal como representado na Figura B.2.
Figura B.2: Fases do processo de gestão do risco do General Security Risk Assessment.
Fonte: ASIS International (2003, p. 7).
• identificação de activos – os activos a identificar incluem as pessoas, todos os tipos

de propriedade, negócio, redes e informação;
• especificar eventos de perdas – identificar os riscos ou ameaças com probabilidade
de ocorrer através de uma análise de vulnerabilidades, a qual deverá ter em atenção
tudo o que possa ser aproveitado para efectuar uma ameaça. Este processo deve
evidenciar os pontos fracos e fornecer informação para o planeamento e

implementação dos correspondentes controlos de segurança;
• frequência dos eventos – determinar a regularidade dos eventos associados a perdas,
tendo em consideração incidentes anteriores, tendências ou ameaças;
• impacto dos eventos – determinar o impacto dos eventos, associando os respectivos
custos financeiros, psicológicos e outros custos referentes às perdas dos activos
tangíveis e intangíveis;
• opções de mitigação – identificar as opções disponíveis para prevenir ou mitigar as
perdas através da implementação de controlos físicos, lógicos ou procedimentos;
• opções de praticabilidade – avaliar a praticabilidade dos controlos seleccionados para
as opções de prevenção ou mitigação, sem colocar em causa a operação e
rentabilidade da organização;
• análise custo-benefício – identificar a rentabilidade dos controlos a implementar
comparando os benefícios esperados com os custos associados à implementação.
d) CCTA Risk Analysis and Management Method (CRAMM)
CRAMM (CCTA Risk Analysis and Management Method) é uma análise de risco
qualitativa associada a uma ferramenta de gestão e foi desenvolvida pela Central Computer
and Telecommunications Agency [CCTA] do Reino Unido em 1985 para fornecer os
departamentos governamentais com um método para as revisões de segurança dos sistemas
de informação (Herrmann & Khadraoui, 2007; Yazar, 2002). Este método é utilizado nos
países da comunidade britânica (Commonwealth) e nos países da North Atlantic Treaty
Organization [NATO] (Herrmann & Khadraoui, 2007).
Este método, conforme a Figura B.3, é composto por três estádios (Herrmann & Khadraoui,
2007):
• identificação e valorização dos activos;

• identificação das ameaças e vulnerabilidades e cálculo dos riscos;
• identificação e hierarquização dos controlos.
Figura B.3: Passos do método CRAMM.

Fonte: Herrmann & Khadraoui (2007, p. 265).
e) Operationally Critical Threat, Asset, and Vulnerability Evaluation
A metodologia Operationally Critical Threat, Asset, and Vulnerability Evaluation

[OCTAVE] foi desenvolvida pelo SEI/CMU e é “uma abordagem centrada nas pessoas que
incide sobre os aspectos organizacionais e técnicos para determinar os riscos de segurança
e as necessidades de segurança subsequentes de uma organização” (Herrmann &
Khadraoui, 2007, p. 268), i.e., está orientada para dois aspectos: risco operacional e
práticas de segurança (Alberts, Dorofee, Stevens & Woody, 2003). Esta abordagem
consiste numa avaliação estratégica baseada no risco que permite às organizações “tomar
as suas decisões de protecção da informação com base nos riscos à confidencialidade,
integridade e disponibilidade dos activos críticos de informação” (Alberts et al., 2003, p. 3),
existindo dois métodos distintos: um para as grandes organizações (OCTAVE Method) e
outro para as pequenas organizações (OCTAVE-S). Ambos os métodos são compostos por
três fases, mas com alguma diferença nos processos de cada fase (Alberts et al., 2003). As
fases desta metodologia, conforme a Figura B.4, são: (1) criar perfis de ameaças baseados
nos activos; (2) identificar vulnerabilidades nas infra-estruturas; (3) desenvolver planos e
estratégias de segurança, assim discriminadas (Alberts et al., 2003; Alberts & Dorofee,
2001; Alberts & Dorofee, 2002; Alberts, Dorofee, & Allen 2001; Herrmann & Khadraoui,
2007):
• fase 1: corresponde a uma avaliação dos aspectos organizacionais, onde a equipa de

análise identifica os activos críticos para a organização e as práticas actuais para a
sua protecção e procede à identificação das ameaças a esses activos;
• fase 2: avalia-se a infra-estrutura técnica para identificar vulnerabilidades que

possam ser exploradas pelas ameaças;
• fase 3: identificação dos riscos para os activos críticos da organização, avaliação
desses riscos e definição da estratégia de protecção dos activos.
Figura B.4: Fases da metodologia OCTAVE.

Fonte: Alberts et al. (2001, p. 3).
O OCTAVE assume a gestão do risco como um ciclo contínuo, na forma Identificar →

Analisar → Planear → Implementar → Monitorizar → Controlar, mas apenas cobre as
primeiras três fases deste ciclo (Herrmann & Khadraoui, 2007).
f) Risk Management Guide for Information Technology Systems (NIST SP 800-30)
Este guia para a gestão do risco dos SI/TIC define duas áreas principais: as actividades de
avaliação do risco (compostas por nove passos) e as actividades de mitigação dos riscos
(compostas por sete passos), conforme apresentado na Figura B.5.
Actividades de Avaliação do Risco Actividades de Mitigação do Risco
Figura B.5: Metodologias de Avaliação e Mitigação dos Riscos.

Fonte: Stoneburner et al. (2002, p. 9 e p. 31).
A metodologia da avaliação do risco abrange os seguintes nove passos (Stoneburner et al.,

2002):
• passo 1- caracterização do sistema: definição do âmbito em análise, incluindo os

SI/TIC, recursos e informação;
• passo 2 – identificação das ameaças: identificar as ameaças potenciais, tendo em
consideração as fontes das ameaças, as vulnerabilidades potenciais e os controlos
existentes;
• passo 3 – identificação das vulnerabilidades: desenvolver uma lista das
vulnerabilidades que possam ser exploradas por ameaças potenciais;
• passo 4 – análise dos controlos: analisar os controlos já implementados ou planeados

para implementação para minimizar ou eliminar a probabilidade de que uma ameaça
possa explorar as vulnerabilidades existentes;
• passo 5 – determinação da probabilidade: determinar a probabilidade que uma
potencial vulnerabilidade possa ser explorada por uma ameaça;
• passo 6 – análise do impacto: determinar o impacto resultante de uma ameaça que
explore com sucesso uma vulnerabilidade;
• passo 7 – determinação do risco: avaliar o risco dos SI/TIC para um par específico de
ameaça/vulnerabilidade;
• passo 8 – recomendação dos controlos: indicar os controlos adequados para mitigar
os eliminar os riscos identificados;
• passo 9 – documentação dos resultados: documentar toda a informação produzida
durante a avaliação do risco (ameaças e vulnerabilidades identificadas, riscos
avaliados e controlos recomendados).
Os diversos passos da abordagem para a implementação dos controlos (mitigação do risco)

compreendem (Stoneburner et al., 2002):
• passo 1- hierarquização de acções: hierarquizar as acções de implementação dos

controlos com base na informação resultante da análise de risco;
• passo 2 – avaliação das opções dos controlos recomendados: avaliar os controlos em
termos da sua aplicabilidade e eficácia, de forma a seleccionar os controlos mais
apropriados para a minimização do risco;
• passo 3 – efectuar análise custo-benefício: esta análise deve incluir o estudo do
impacto da implementação e da não implementação dos controlos, assim como os
custos associados à implementação;
• passo 4 – selecção dos controlos: com base na análise custo-benefício são
seleccionados os controlos mais económicos para a redução do risco, incluindo
controlos técnicos, operacionais e de gestão ou administrativos;
• passo 5 – atribuição de responsabilidades: atribuir responsabilidades às pessoas que
irão implementar os controlos;
• passo 6 – desenvolver plano de implementação dos controlos: elaborar plano
detalhado para a implementação dos controlos seleccionados, incluindo datas,
pessoas, requisitos de manutenção, etc;
• passo 7 – implementar os controlos seleccionados: implementar os controlos de

acordo com o plano de implementação.
g) Risk Management, AS/NZS 4360:2004
Esta norma, publicada juntamente pelo Joint Standards Australia/Standards New Zealand
Committee OB-007, proporciona uma orientação geral para a gestão dos riscos,
providenciando uma estrutura genérica para o estabelecimento do contexto, identificação,
análise, avaliação, monitorização e comunicação dos riscos (Standards Australia/Standards
New Zealand 2004).
Os processos da gestão do risco estabelecidos nesta norma são os representados na Figura

B.6 (Standards Australia/Standards New Zealand, 2004).
Figura B.6: Processos da gestão do risco.

Fonte: Standards Australia/Standards New Zealand (2004, p.13).
• comunicar e consultar – Comunicar e consultar com partes as interessadas (internas e

externas) em cada uma das fases do processo de gestão do risco;
• estabelecer o contexto – definir o contexto em que a gestão do risco se vai processar,
assim como os critérios para a avaliação dos riscos e a correspondente estrutura da
análise;
• identificação dos riscos – identificar os eventos que podem influenciar
negativamente a realização dos objectivos;
• análise do risco – avaliar os controlos existentes, determinar a probabilidade, impacto

e consequências dos riscos;
• avaliar os riscos – avaliar e hierarquizar os riscos, considerando o balanceamento
entre os benefícios potenciais e os resultados negativos;
• tratar os riscos – desenvolver e implementar estratégias para reduzir as perdas
potenciais;
• monitorizar e rever – controlar a eficácia dos processos da gestão do risco, de forma
a garantir uma melhoria contínua e não alterar as prioridades definidas.
Apêndice C – Normas e Regulamentos sobre Controlos de Segurança da Informação
APÊNDICE C
NORMAS E REGULAMENTOS SOBRE CONTROLOS DE

C.1 INTRODUÇÃO
Este apêndice apresenta algumas normas e regulamentos relativos a controlos de segurança,

alguns de carácter generalista e outros de incidência sectorial.
C.2 NORMAS E REGULAMENTOS
As normas e regulamentos mais importantes no âmbito dos controlos da segurança da

informação são os seguintes:
a) The Standard of Good Practice for Information Security
Esta norma, publicada pela primeira vez em 1996 pelo Information Security Forum [ISF] é
actualizada e melhorada em cada dois anos de forma a refinar as áreas de melhores práticas
da segurança da informação, reflectir o pensamento recente sobre segurança da informação
e estar alinhada com outras normas relacionadas com a segurança da informação, tais como
a ISO 27001 e COBIT (ISF, 2007).
O The Standard of Good Practice trata a segurança da informação a partir de uma

perspectiva do negócio, fornecendo uma base prática para avaliar o programa de segurança
da informação da organização. Cobre seis aspectos distintos da segurança da informação,
cada um deles relacionado com um tipo específico de ambiente, pelo que pode ser utilizado
pelas organizações para (ISF, 2007):
• melhorar as políticas de segurança da informação, normas e procedimentos;
• avaliar a eficácia da segurança da informação em toda a organização;

• aumentar o conhecimento sobre a segurança da informação em toda a organização;
• desenvolver ou melhorar os controlos da segurança da informação;
• estar em conformidade com requisitos internos e externos da segurança de
informação;
• realizar a análise de risco dos sistemas e aplicações mais importantes.
Esta norma está direccionada para a forma como a segurança da informação suporta os
processos chave de negócio das organizações. Como a maioria dos processos está
dependente de aplicações suportadas em TIC, a norma centra-se, essencialmente, no
aspecto de segurança relativo às “Aplicações de negócio críticas” (ISF, 2007).
Esta norma assenta em seis diferentes aspectos, cada um dos quais decomposto em áreas e
estas, por sua vez, decompostas em secções, cujo número está detalhado no Quadro C.1.
Os aspectos “Instalações informáticas” e “Redes” fornecem a infra-estrutura subjacente

sobre a qual correm as “Aplicações de negócio críticas”. Por sua vez, o aspecto “Ambiente
do utilizador final” engloba os processos relativos à protecção das aplicações e
equipamentos corporativos, enquanto o “Desenvolvimento de sistemas” trata da forma
como as novas aplicações são criadas e a “Gestão da segurança” aborda as questões de
controlo e orientações de alto nível.
Quadro C.1: Aspectos do The Standard of Good Practice.
Aspectos Nº de Áreas Nº de Secções
Gestão da Segurança 7 36
Aplicações de Negócio Críticas 6 25
Instalações Informáticas 6 31
Redes 5 25
Desenvolvimento de Sistemas 6 23
Ambiente do Utilizador Final 6 26
TOTAL 36 166
b) Generally Accepted Information Security Principles
Esta norma é publicada pela ISSA e é o sucessor dos Generally Accepted System Security
Principles, “projecto criado em 1992 como resposta à recomendação n.º 1 do relatório
Computers at Risk, publicado pelo USA National Research Council em Dezembro de 1990”
(ISSA, 2003, p. i)
Apesar de não estar tão estruturada e detalhada como outras normas, os GAISP apresentam
14 princípios funcionais gerais e os objectivos de cada um desses princípios, assim
discriminados (ISSA, 2003):
• política de segurança da informação;

• educação e consciencialização;
• responsabilidade;
• gestão dos activos de informação;
• gestão ambiental;
• qualificações pessoais;
• gestão de incidentes;
• ciclo de vida dos sistemas de informação;
• gestão de acessos;
• planos de contingência e continuidade operacional;
• gestão do risco da informação;
• segurança da Internet e das redes;
• requisitos, legais, regulamentares e contratuais da segurança da informação;
• práticas éticas.
c) Control Objectives for Information and related Technology
O COBIT está direccionado, acima de tudo, para governação das TIC das organizações,
cujos objectivos de controlo abarcam outros âmbitos que não apenas os relativos à
segurança da informação. Todavia, com base no COBIT 4.1, o ITGI publicou o COBIT
Security Baseline: An Information Security Survival Kit (ITGI, 2007b), que contém os
objectivos de controlo relativos à segurança da informação, discriminados no Quadro C.2.
Quadro C.2: Domínios e objectivos de controlo do COBIT.
Domínio Objectivo do Controlo
• Identificar a informação e serviços críticos e os seus requisitos de segurança.

• Definir e comunicar as responsabilidades da segurança da informação.
• Comunicar os objectivos e orientações da gestão relativos à segurança da
Planeamento e
informação.
Organização
• Assegurar que as funções de seguranças estão atribuídas a pessoas com as
competências necessárias.
• Descobrir, hierarquizar os riscos de segurança de informação relevantes.
• Considerar a segurança na identificação de soluções automáticas.
• Considerar a segurança na aquisição e manutenção da infra-estrutura
tecnológica.
Aquisição e
• Considerar a segurança na execução das actividades operacionais.
Implementação
• Assegurar que todas as alterações aos sistemas são efectuadas de forma segura.
• Assegurar que os novos sistemas e as alterações apenas são aceites após a
realização dos testes adequados.
• Definir e manter os aspectos de segurança dos níveis de serviço.
• Gerir os aspectos de segurança dos serviços prestados por terceiros.
• Assegurar que a organização tem capacidade para executar as suas actividades
de negócio diárias com interrupções mínimas devido a incidentes de segurança.
Entrega e Suporte • Assegurar que a configuração dos sistemas é segura.
• Assegurar que toda a informação se mantém completa, exacta e válida durante o
seu processo de manuseamento (criação, processamento, armazenamento e
distribuição).
• Proteger todos os equipamentos de TIC de danos.
• Monitorizar regularmente o desempenho da segurança da informação.
Monitorização e • Obter avaliação da segurança da informação de fontes fiáveis e independentes.
Avaliação • Assegurar que as funções da segurança da informação estão em conformidade
com as leis, regulamentos e outros requisitos externos.
Fonte: ITGI (2007b).
d) Information Technology – Security Techniques – Code of Practice for

Information Security Management (ISO/IEC 17799:2005)
Os controlos de segurança da informação objecto desta norma são para ser implementados
como forma de responder aos requisitos de segurança identificados na avaliação de risco.
Esta norma contém 11 cláusulas de controlos de segurança que agregam um total de 39

categorias principais de segurança e uma cláusula introdutória relativa à avaliação e
tratamento do risco. Cada categoria principal de segurança contém um objectivo de
controlo descrevendo o que deve ser alcançado e um ou mais controlos que podem ser
aplicados para atingir o objectivo de controlo. O Quadro C.3 resume as cláusulas de
controlo de segurança e os respectivos objectivos de controlo (ISO/IEC, 2005d).
Quadro C.3: Controlos e objectivos de controlo da ISO/IEC 17799:2005.
Cláusula Objectivo do Controlo
Definir a política de segurança de acordo com os objectivos de

Política de Segurança
negócio e as leis e regulamentos relevantes.
Organização da Segurança Permitir a gestão da segurança da informação na organização,
da Informação definindo papéis e responsabilidades.
Alcançar e manter uma protecção adequada dos activos da
Gestão de Activos
organização.
Assegurar que todo o pessoal compreende e assume as suas
Segurança dos Recursos
responsabilidades de forma a reduzir o risco de roubo, fraude e má
Humanos
utilização das instalações.
Segurança Física e
Prevenir acessos não autorizados e danos nas instalações.
Ambiental
Gestão de Comunicações e Assegurar uma correcta operação das instalações de processamento da
Operações informação.
Controlo de Acessos Controlar o acesso à informação.
Aquisição,
Desenvolvimento e Assegurar que a segurança faz parte do ciclo de vida dos sistemas de
Manutenção de Sistemas de informação.
Informação
Gestão de Incidentes de Assegurar que os incidentes de segurança são reportados e tratados de
Segurança da Informação forma adequada e em tempo oportuno.
Gestão da Continuidade do Proteger os processos críticos do negócio em caso de falha dos
Negócio sistemas de informação ou em caso de desastre.
Evitar falhas nos requisitos de segurança relativos a leis, regulamentos
Conformidade
ou obrigações contratuais.
Fonte: ISO/IEC (2005d).
e) An Introduction to Computer Security: The NIST Handbook (Special Publication

800-12)
Esta norma, de utilização obrigatória para os organismos federais e facultativa para as

organizações do sector privado dos EUA, “fornece procedimentos detalhados para a
implementação de controlos de segurança ou orientação para a auditoria da segurança de
sistemas específicos” (NIST, 1996, p. 3) e tem como objectivo discutir os benefícios dos
vários controlos de segurança dos sistemas e as situações em que a sua aplicação adequada
e não especificar os requisitos. Nesta norma são identificados três grandes grupos de
controlos de segurança: controlos de gestão (englobam a gestão do programa de segurança
e a gestão do risco); controlos operacionais (implementados e executados por pessoas com
o objectivo de melhorar a segurança de um determinado sistema); controlos técnicos
(executados pelos sistemas). O Quadro C.4 apresenta as áreas envolvidas por estes três
grupos de controlos.
Quadro C.4: Grupos de controlos e áreas envolvidas do NIST SP 800-12.
Grupo Áreas envolvidas
• Política de segurança.
• Gestão do programa de segurança.
Controlos de Gestão • Gestão do risco de segurança.
• Segurança no ciclo de vida dos sistemas.
• Garantia.
• Questões relativas ao pessoal/utilizadores.
• Preparação para contingências e desastres.
• Tratamento de incidentes de segurança dos sistemas.
Controlos Operacionais
• Consciencialização, formação e educação.
• Considerações de segurança nas operações e suporte dos sistemas.
• Segurança física e ambiental.
• Identificação e autenticação.
• Controlo de acessos lógicos.
Controlos Técnicos
• Pistas de auditoria.
• Criptografia.
Fonte: NIST (1996).
f) Recommended Security Controls for Federal Information Systems (NIST Special

Publication 800-53)
Esta norma tem como finalidade proporcionar orientação para a selecção e especificação
de controlos de segurança para os sistemas de informação das agências governamentais dos
EUA. O seu objectivo é “fornecer um conjunto de controlos de segurança suficientemente
rico para satisfazer a amplitude e a profundidade do requisitos de segurança exigidos aos
sistemas de informação e que seja consistente e complementar com outras normas de
segurança já existentes” (Ross et al., 2007, p. 4).
A norma NIST SP 800-53 identifica um conjunto de 17 famílias de controlos, as quais

estão estreitamente alinhadas com as 17 áreas de segurança referenciadas no FIP 200,
agrupadas em três classes gerais de controlos: gestão, operacional e técnico, conforme o
Quadro C.5.
Quadro C.5: Classes e famílias de controlos de segurança (NIST SP 800-53).
Classe Família
• Avaliações de certificação, acreditação e segurança.

• Planeamento.
Controlos de Gestão
• Avaliação de risco.
• Aquisição de sistemas e serviços.
• Consciencialização e formação.
• Gestão de configurações.
• Planeamento de contingência.
• Resposta a incidentes.
Controlos Operacionais • Manutenção.
• Protecção de media.
• Protecção física e ambiental.
• Segurança dos recursos humanos.
• Integridade da informação e dos sistemas.
• Controlo de acessos.
• Auditoria e responsabilização.
Controlos Técnicos
• Identificação e autenticação.
• Protecção dos sistemas e das comunicações.
Fonte: Ross et al. (2007, p. 6).
g) Health Insurance Portability and Accountability Act of 1996 (HIPAA) Security

Rule
Decorrente das atribuições cometidas ao NIST pelo FISMA 2002, esta entidade publicou a
versão NIST Draft Special Publication 800-66 Revision 1, An Introductory Resource
Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA)
Security Rule (Scholl et al., 2008), a qual diz respeito especificamente à salvaguarda da
protecção da informação de saúde em formato electrónico (Scholl et al., 2008). Mais
concretamente no que respeita aos controlos de segurança da informação, o que o NIST SP
800-66 faz é um mapeamento entre as secções de segurança do HIPPA Security Role
discriminadas no 45 CFR Parts 160, 162, and 164 Health Insurance Reform: Security
Standards; Final Rule (Department of Health and Human Services, 2003) com os
controlos constantes do NIST SP 800-53. Os requisitos de segurança estabelecidos pelo
HIPPA Security Role são agrupados em três categorias principais: controlos
administrativos, físicos e técnicos (Pabrai, 2003).
h) Gramm-Leach-Bliley Act of 1999
Os controlos relativos à segurança da informação do GLB Act (1999) constam do Título V

– Privacidade, decomposto nos sub-títulos A – Divulgação de informação pessoal não
pública (secções 501 a 510) e sub-título B – Acesso fraudulento a informação financeira
(secções 521 a 527).
Na secção 501 do GLB Act (1999) é referido que as instituições financeiras devem
implementar um conjunto de controlos administrativos, técnicos e físicos com o objectivo
de: (1) assegurar a segurança e confidencialidade da informação sobre os clientes; (2)
proteger contra ameaças e perigos à segurança e integridade dessa informação; (3) proteger
contra acessos não autorizados à utilização dessa informação que pode trazer prejuízos aos
clientes.
Apêndice D – Tecnologias de Segurança da Informação
APÊNDICE D
TECNOLOGIAS DE SEGURANÇA DA INFORMAÇÃO
D.1 INTRODUÇÃO
Este apêndice apresenta as tecnologias mais utilizadas pelas organizações no âmbito da

D.2 TIPOLOGIA DAS TECNOLOGIAS DE SEGURANÇA DA

INFORMAÇÃO

objectivos específicos, sendo de salientar as seguintes (Carneiro, 2002; ISACA, 2007;
Trcek, 2003; Venter & Eloff, 2003):
• controlo de acessos – corresponde a ficheiros de configuração do sistema que

permitem ao administrador atribuir determinados perfis de utilização, autorizando ou
bloqueando a utilização do sistema conforme o perfil atribuído;
• routers indutores – dispositivos de rede que estabelecem uma ponte entre duas redes
e que apenas deixam passar o tráfego que respeita determinadas regras pré-definidas
e são, regra geral, utilizados entre domínios de segurança diferentes;
• filtragem de conteúdos - processo de impedir a movimentação de ficheiros através do
exame minucioso do seu conteúdo, deixando-os passar ou bloqueando-os com base
numa lista de regras pré-definidas;
• sistemas de gestão de bases de dados - são tecnologias utilizadas para guardar e
recuperar dados de forma eficiente, a partir da utilização de índices pré-definidos que
classificam os registos de dados;
• encriptação - termo para designar um algoritmo utilizado para esconder a informação.

Apenas quem possui as chaves adequadas pode reconstituir a informação para o seu
estado original;
• camuflagem - refere-se a um algoritmo que a partir de um qualquer input produz um
resultado de comprimento normalizado que esconde a mensagem original e não pode
ser usado para recriá-la novamente. É utilizado, por exemplo, para esconder os
caracteres de palavra-chave (passwords) antes de serem guardadas, já que não existe
forma de recuperar os caracteres originais a partir do que foi guardado;
• modelo de interconexão de sistemas abertos (OSI – Open Systems Interconnection) -
é uma norma para comunicações de redes que define uma estrutura para implementar
protocolos de comunicação em sete níveis, em que cada nível é compartimentalizado
para evitar que as funções de um nível interfiram com as operações noutro nível;
• sistemas operativos - são programas que interagem directamente com o hardware
para permitir que os utilizadores possam correr o software;
• encriptação de chave pública/privada - é um tipo de algoritmo de encriptação que
utiliza duas chaves (também conhecida como encriptação assimétrica): uma
arbitrariamente designada de chave privada e a outra de chave pública. Qualquer uma
delas pode ser utilizada para encriptar e a outra é utilizada para desencriptar.
Geralmente, a chave privada é guardada e a chave pública é distribuída, pelo que
qualquer pessoa pode ter acesso à chave pública e utilizá-la para encriptar dados
destinados apenas á pessoa que tem a chave privada. A chave privada também pode
ser utilizada para encriptar uma mensagem e, neste caso, serve também como
assinatura digital e fornece prova de identidade;
• filtragem de itinerários - forma de programar dispositivos de rede de modo a que
apenas permitam o tráfego de rede de ou para os conjuntos de endereços de rede
definidos;
• encriptação de chave simétrica - trata-se de um algoritmo de encriptação no qual a
chave que é utilizada para encriptar os dados é a mesma que é utilizada para
desencriptar esses dados;
• filtragem de tráfico/pacotes - forma de controlar acessos a uma rede, analisando os
cabeçalhos dos pacotes de entrada e saída, deixando-os passar ou bloqueando-os com
base numa lista de regras pré-definidas;
• protocolo de controlo de transmissão/protocolo de Internet (Transmission Control

Protocol/Internet Protocol [TCP/IP]) - são protocolos de comunicações de rede que
seguem o modelo OSI, no qual os dados enviados são divididos em cabeçalhos e
dados. O cabeçalho permite aos dispositivos de rede encaminhar os pacotes entre a
origem e o destino e os dados são lidos como fluxos pelos níveis aplicacionais;
• biometria - utiliza uma característica física ou fisiológica para identificação e/ou
autenticação. A característica é guardada através de um processo de registo que cria
um registo digital chamado modelo;
• autoridade de certificação - é um servidor que é utilizado para registar entidades e
emitir certificados digitais em formato electrónico. Uma entidade pode ser qualquer
utilizador ou um componente tecnológico que requer um certificado para se
identificar como uma entidade registada no servidor;
• assinatura digital - é uma técnica baseada na encriptação de chave pública/privada,
cujo objectivo é fornecer uma assinatura em formato electrónico equivalente à
assinatura manual, para validar que determinada mensagem provém de um utilizador
específico. É utilizado um algoritmo para camuflar a totalidade da mensagem, dando
origem a uma pequena mensagem de tamanho fixo, a qual é encriptada através da
chave privada do remetente da mensagem e o resultado é visto pelo receptor como
uma adenda à mensagem original. O receptor utiliza a chave pública para
desencriptar a adenda, aplica o algoritmo de camuflagem à mensagem original e
compara as duas mensagens para validar que a mensagem recebida foi encriptada
pela chave privada do remetente. Este processo de autenticação do remetente é
conhecido como não repudiação, i.e., o remetente não pode reclamar mais tarde que a
mensagem foi criada por alguém que não ele sem admitir a perda da sua chave
privada;
• DMZ - acrónimo baseado no termo militar “zona desmilitarizada” (demilitarized
zone) que se refere a uma rede onde todos os pacotes de tráfego de entrada e saída
são sujeitos a filtros de tráfego. Geralmente uma DMZ é colocada entre a rede
privada da organização e a Internet para assegurar que toda a conectividade da
Internet está sujeita a pontos de controlo dentro da DMZ;
• firewall - tratam-se de dispositivos de rede de filtragem de tráfego que são colocados
nos pontos da rede onde o tráfego deve ser encaminhado para um sítio externo ou
uma DMZ. As firewalls são fornecidas com um conjunto de regras que especificam
que apenas os pacotes com origem, destino, protocolos e combinação de portas

específicos devem ser permitidos;
• tokens manuais - são dispositivos físicos utilizados para autenticação dos utilizadores.
Os identificadores são registados num servidor e os utilizadores usam um token para
criar uma palavra-chave única, a qual é introduzida no sistema para validação. Os
algoritmos de encriptação e as chaves utilizadas em ambos os componentes (token e
servidor) permitem ao servidor efectuar a validação da palavra-chave fornecida pelo
token;
• sistemas de gestão de identidades - são bases de dados com informação dos
utilizadores que permitem identificar exclusivamente cada utilizador da organização;
• detecção de intrusão - é um processo para identificar actividade maliciosa nos
recursos de rede e de computação que recorre à análise de tráfego da rede, registo de
actividade (logs) do sistema operativo, integridade de ficheiros ou qualquer outro
tipo de monitorização dos dispositivos. As intrusões são identificadas através de
fugas aos padrões de regras estabelecidos ou de actividade anormal;
• prevenção de intrusão - sistema de detecção de intrusão baseado na rede que pode ser
configurado para bloquear automaticamente o tráfego de rede proveniente de uma
fonte que pode ser um potencial atacante;
• mascarar - alterar os dados de forma que o conteúdo original se torne irreconhecível.
Processo utilizado para criar dados de teste a partir dos dados de produção;
• secure socket layer [SSL] - protocolo largamente utilizado para a comunicação
segura de dados na Internet. Utiliza uma encriptação de chave privada/pública para
criar um cumprimento entre o cliente e o servidor, cria uma sessão de chave única e
encripta todas as comunicações subsequentes;
• single sign-on [SSO] - é um sistema para autenticar os utilizadores em diversas
plataformas, através de um registo único de autenticação por parte do utilizador;
• rede privada virtual (virtual private network [VPN]) - é uma rede segura privada que
utiliza a infra-estrutura pública de telecomunicações para transmitir dados.
Utilizando a encriptação e autenticação para criar um “túnel” privado, uma VPN
encripta todos os dados que passam entre dois pontos da Internet, mantendo a
privacidade e segurança.
Apêndice E – Leis e Regulamentações sobre Segurança da Informação
APÊNDICE E
LEIS E REGULAMENTAÇÕES SOBRE SEGURANÇA DA

INFORMAÇÃO
E.1 INTRODUÇÃO
Este apêndice apresenta uma taxionomia dos regulamentos, normas e modelos, descreve as
principais leis e regulamentações sobre a segurança da informação e apresenta as normas e
modelos de referência da segurança da informação.
E.2 TAXINOMIA DOS REGULAMENTOS, NORMAS E MODELOS
Existem diversas normas e regulamentos que tratam com as questões referentes à

segurança da informação e aos sistemas que tratam e processam a informação. Toda esta
regulamentação surge com diversas designações, tais como normas (standards), directivas
ou linhas de orientação, códigos de boas práticas, legislação e avaliação, para referir
apenas os mais vulgares. Dada esta panóplia de designações importa proceder a uma breve
clarificação e explicação das mesmas:
• normas: de acordo com o dicionário da Língua Portuguesa da Porto Editora uma

norma pode ser entendida como “um critério generalizado a que um processo ou
produto deve obedecer ou ponto de referência a que deve corresponder, com
definição de tipos, eliminação de variedades supérfluas e fixação de dimensões, no
intuito geral de simplificar e acelerar toda a actividade” (Porto Editora, 2008). Uma
norma é, portanto, uma regra ou modelo tomado como referência em que se
especificam critérios técnicos, métodos, processos e práticas relativamente a um
objectivo, permitindo que todas as partes se entendam e falem a mesma linguagem
eliminando confusões (Eloff & von Solms, 2000). Existem normas internacionais,
nacionais e organizacionais. A diferença entre as duas primeiras incide,
essencialmente, no seu nível de aprovação;
• directivas ou linhas de orientação: referem-se a um conjunto de acções recomendadas
ou declarações de políticas que devem ser executadas para atingir um objectivo
específico (Eloff & von Solms, 2000);
• códigos de boas práticas: na sua essência são semelhantes às directivas ou linhas de
orientação, com a diferença que se baseiam na experiência de muitos anos. Regra
geral, a conformidade com uma norma exige que se respeitem um conjunto de
códigos de boas práticas (Eloff & von Solms, 2000);
• certificação: descreve o processo através do qual uma organização, produto ou
serviço é testado e avaliado para se determinar se está em conformidade ou não com
uma norma específica (Eloff & von Solms, 2000). As organizações que aplicam um
conjunto de regras sobre a segurança da informação tendo como base de referência a
norma ISO 27001, podem solicitar a certificação nesta norma, quer ao nível de toda a
informação crítica do negócio, quer ao nível dos processos específicos em que essas
regras são aplicadas;
• legislação: diz respeito a um requisito legal contido numa lei relacionada com os
sistemas de informação, a qual estabelece que esse requisito deve ser satisfeito (Eloff
& von Solms, 2000);
• avaliação: constitui o processo através do qual determinado produto é testado e
avaliado para aquilatar a satisfação de requisitos pré-definidos e para que seja
possível a sua classificação num determinado nível (por exemplo, EAL3 da norma
ISO/IEC 15408).
O Quadro E.1 lista toda a regulamentação referida nesta tese, classificada de acordo com a
nomenclatura atrás apresentada, indicando ainda o objectivo, incidência e âmbito de
aplicação de cada um dos regulamentos.
Quadro E1: Regulamentações por âmbito, tipo e incidência.
Designação Objectivo Âmbito Tipo Incidência
An Introduction to Computer
Providenciar auxílio na segurança EUA Segurança dos
Security: The NIST Handbook D
dos recursos dos SI/TIC. (b) SI/TIC.
(NIST, 1996)
An Introductory Resource Guide for
Segurança dos
Implementing the Health Insurance Identificar as actividades típicas na EUA sistemas de
Portability and Accountability Act implementação de um programa de D
(b) informação de
(HIPAA) Security Rule (Draft) segurança da informação.
saúde.
(Scholl et al., 2008)
COBIT Security Baseline: An Providenciar orientação sobre os
Tecnologias de
Information Security Survival Kit riscos da segurança nas tecnologias I P
informação.
(ITGI, 2007b) de informação.
ISO/IEC 15408-1 Information
Providenciar as bases para a Avaliação das
technology - Security techniques -
avaliação das propriedades de tecnologias de
Evaluation criteria for IT security - I A
segurança dos produtos das segurança da
Part 1: Introduction and general
tecnologias de informação. informação.
model (ISO/IEC, 2005a)
Definir a estrutura necessária e o Avaliação das
conteúdo dos componentes tecnologias de
funcionais de segurança para efeitos segurança da
Part 2: Security functional
de avaliação de segurança. informação.
requirements (ISO/IEC, 2005b)
Avaliação das
Definir os requisitos de garantia da tecnologias de
norma. segurança da
Part 3: Security assurance
informação.
requirements (ISO/IEC, 2005c)
Control Objectives for Information
Fornecer um modelo de controlo do Governo das
and related Technology (COBIT) I P
governo das TIC. TIC.
(ITGI, 2007a)
Proteger as pessoas singulares no
Directiva 95/46/CE do Parlamento
que diz respeito ao tratamento de Protecção de
Europeu e do Conselho, de 24 de UE L
dados pessoais e à livre circulação dados pessoais.
Outubro de 1995
desses dados.
Directiva 2000/31/CE do
Promover o comércio electrónico Protecção de
Parlamento Europeu e do Conselho UE L
no mercado interno. dados pessoais.
de 8 de Junho de 2000
Promover a conservação de dados
gerados ou tratados no contexto da
Directiva 2006/24/CE do
oferta de serviços de comunicações Protecção de
Parlamento Europeu e do Conselho UE L
electrónicas publicamente dados pessoais.
de 15 de Março
disponíveis ou de redes públicas de
comunicações.
Enterprise Risk Management Fornecer orientações na gestão do
I D Gestão do risco.
Framework (COSO, 2007) risco empresarial.
Melhorar a gestão e promoção dos
Governo
FISMA Act ( 2002) serviços e processos do governo EUA L
electrónico.
electrónico.
(continua)
Promover um conhecimento
Generally Accepted Information Segurança da
alargado da segurança da I D
Security Principles (ISSA, 2003) informação.
informação.
Generally Accepted Principles and Fornecer uma base para as
Practices for Securing Information organizações estabelecerem e EUA Segurança dos
P
Technology Systems (Swanson & reverem os seus programas de (b) SI/TIC
Guttman, 1996) segurança dos SI/TIC.
Para melhorar a concorrência na
indústria dos serviços financeiros,
fornecendo um quadro prudencial
Serviços
Gramm-Leach-Bliley Act (1999) para a afiliação de bancos, empresas EUA L
financeiros.
de valores mobiliários, companhias
de seguros e outros prestadores de
serviços financeiros.
Fornecer orientações para a Avaliação da
Guide for Assessing the Security
avaliação dos controlos de EUA segurança dos
Controls in Federal Information D
segurança utilizados nos sistemas (b) sistemas de
Systems (Ross et al., 2005)
de informação. informação.
Desenvolver e implementar
Guide for Developing Performance métricas da segurança da Avaliação da
EUA
Metrics for Information Security informação para um qualquer D segurança da
(b)
(Chew et al., 2006) programa de segurança da informação.
informação.
Fornecer orientações na selecção
Guide to Selecting Information Selecção de
das tecnologias de segurança para EUA
Technology Security Products D tecnologias de
serem utilizadas como controlos de (b)
(Grance et al., 2003) segurança.
segurança operacionais ou técnicos.
Melhorar a eficácia e eficiência do
sistema de saúde, encorajando o
desenvolvimento de um sistema de
Sistemas de
informação de saúde através do
HIPAA Act (1996) EUA L informação de
estabelecimento de normas e
saúde.
requisitos para a transmissão
electrónica de certa informação de
saúde.
Fornecer linhas de orientação para
ajudar as organizações a avaliar o Governo da
Information Security Governance: A
seu desempenho e a pôr em prática I D segurança da
Call to Action (NCSSTF, 2004)
um programa de governo da informação.
Information Security Governance: Providenciar uma abordagem para
Governo da
Guidance for Boards of Directors proteger os activos da informação
I D segurança da
and Executive Management (ITGI, que suportam os processos críticos
informação.
2006) do negócio.
Fornecer orientações sobre a
Information Security Governance: Governo da
implementação de uma estratégia de
Guidance for Information Security I D segurança da
segurança da informação dentro do
Managers (ITGI, 2008) informação.
modelo geral de governação.
(continua)
Fornecer orientações sobre os

vários aspectos a implementar
Information Security Handbook: A
relativos à segurança da informação EUA Segurança da
Guide for Managers (Bowen et al., D
à utilização de uma abordagem (b) informação.
2006)
consistente aos programas de
Fornecer orientações para a análise
Information Technology Investment
dos processos de gestão dos
Management - A Framework for EUA Investimento em
investimentos em SI/TIC das D
Assessing and Improving Process (b) SI/TIC.
organizações e determinar o seu
Maturity (GAO, 2004)
nível de maturidade.
Definir critérios para a avaliação Avaliação das
Information Technology Security A
das características de segurança das tecnologias de
Evaluation Criteria (ITSEC), UE
tecnologias de segurança da C segurança da
Version 1.2 (CEC, 1991)
informação. informação.
Information Technology Security Facilitar o desenvolvimento de um
Formação em
Training Requirements: A Role- and programa de formação e EUA
D segurança da
Performance-Based Model (de Zafra sensibilização em segurança da (b)
informação.
et al., 1998) informação.
ISO/IEC 27001:2005 Information Providenciar um modelo para
Technology - Security Techniques - estabelecer, implementar, operar, N Gestão da
Information Security Management monitorizar, rever, manter e I segurança da
Systems - Requirements (ISO/IEC, melhorar um sistema de gestão da C informação.
2005e) segurança da informação.
ISO/IEC 17799:2005 Information Definir orientações e princípios
Technology - Security Techniques - para a iniciação, implementação, N Segurança da
Code of Practice for Information manutenção e melhoria da gestão da I
C informação.
Security Management (ISO/IEC, segurança da informação numa
2005d) organização.
Assegurar a integração da
Integrating IT Security into the Investimento e
segurança dos SI/TIC nos processos EUA
Capital Planning and Investment D segurança nos
de planeamento e controlo do (b)
Control Process (Hash et al., 2005) SI/TIC.
investimento em SI/TIC.
International Convergence of
Capital Measurement and Capital
Promover a adopção de fortes Gestão de risco
Standards: A Revised Framework -
práticas de gestão do risco pela I D da actividade
Comprehensive Version (Basel II)
indústria bancária. bancária.
(Bank for International Settlements,
2006)
Managing Risk from Information Fornecer orientações para a gestão
EUA Gestão de risco
Systems: An Organizational de risco resultante da operação e D
(b) dos SI/TIC.
Perspective (Ross et al., 2008) utilização dos SI/TIC.
Promover o desenvolvimento,
Minimum Security Requirements EUA
implementação e operação de Governo
for Federal Information and N
sistemas de informação mais (d) electrónico.
Information Systems (NIST, 2006)
seguros.
Normas para a Segurança Nacional
Salvaguarda e Defesa das Matérias Garantir a segurança dos sistemas Segurança dos
PT L
Classificadas, Segurança, informáticos. SI/TIC.
Informática (Segnac 4)
(continua)
OECD Guidelines for the Security Segurança dos

of Information Systems and Promover uma cultura de sistemas de
I D
Networks: Towards a Culture of segurança. informação e
Security (OECD, 2002) redes.
Os Princípios da OCDE sobre o
Providenciar orientações relativas Governo das
Governo das Sociedades (OCDE, I D
ao governo das sociedades. sociedades.
2004)
Fornecer orientações para auxiliar
Medidas de
Performance Measurement Guide no desenvolvimento, selecção e
EUA avaliação dos
for Information Security (Chew et implementação de medidas para D
(b) sistemas de
al., 2008) utilização ao nível dos programas e
informação.
sistemas de informação.
Estabelecer normas que regem o
Proposta de Directiva do Parlamento
acesso ás actividades não
Europeu e do Conselho aos seguros
assalariadas de seguro directo e
de vida ao acesso à actividade de Indústria
resseguro, à supervisão dos grupos UE L
seguros e resseguros e ao seu seguradora.
de seguros e resseguros e ao
exercício (SOLVÊNCIA II)
saneamento e liquidação das
(COM(2007) 361 final)
empresas de seguro directo.
Fornecer orientações para a
Recommended Security Controls for
selecção e especificação dos EUA Segurança dos
Federal Information Systems (Ross D
controlos de segurança para os (b) SI/TIC.
et al., 2007)
sistemas de informação.
Risk Management - AS/NZS AS
4360:2004 (Standards Fornecer uma orientação genérica
NZS N Gestão do risco.
Australia/Standards New Zealand para a gestão dos riscos.
2004 #502) (c)
Risk Management Guide for Fornecer fundamentos para o
EUA
Information Technology Systems desenvolvimento de um efectivo D Gestão do risco.
(b)
(Stoneburner et al., 2002) programa de gestão do risco.
Fornecer orientações para o
desenvolvimento, selecção e Avaliação do
Security Metrics Guide for
implementação de um sistema de EUA desempenho da
Information Technology Systems D
métricas dos SI/TIC para avaliar o (b) segurança dos
(Swanson et al., 2003)
desempenho dos controlos e SI/TIC.
técnicas de segurança.
Proteger os investidores,
melhorando a precisão e fiabilidade I
SOX Act (2002) das divulgações corporativas, nos L Controlo interno.
termos das leis de valores (a)
mobiliários.
Standards for Security
Definir categorias de segurança EUA
Categorization of Federal Governo
para a informação e sistemas de N
Information and Information (d) electrónico.
informação.
Systems (NIST, 2004)
The General Security Risk Fornecer uma metodologia para
Assessment Guideline (ASIS identificação e comunicação dos I D Gestão do risco.
International ,2003) riscos.
Fornecer uma base prática para
The Standard of Good Practice for Segurança da
avaliar os programas de segurança I P
Information Security (ISF, 2007) informação.
da informação das organizações.
(continua)
Avaliação das
Trusted Computer System Avaliar os produtos de segurança a
tecnologias de
Evaluation Criteria (DoD 5200.28- serem comprados pelas entidades EUA A
segurança da
STD) (DoD, 1985) governamentais dos EUA.
informação.
16 CFR Part 314 Standards for Estabelecer normas para os Segurança e
Safeguarding Customer controlos administrativos, técnicos confidencialidade
EUA L
Information; Final Rule (Federal e físicos a implementar pelas da informação
Trade Comission, 2002) instituições financeiras. dos clientes.
45 CFR Parts 160, 162, and 164
Health Insurance Reform: Security Definição de normas para a Segurança da
Standards; Final Rule (Department segurança da informação de saúde EUA L informação de
of Health and Human Services, protegida electronicamente. saúde.
2003)
Legenda:
I Internacional
EUA Estados Unidos da América
Âmbito UE União Europeia
PT Portugal
AS/NZS Austrália e Nova Zelândia
N Norma
D Directivas ou linhas de orientação
P Código de boas práticas
Tipo
C Certificação
L Legislação
A Avaliação
Notas:
(a) para utilização por todas as empresas (dos EUA e fora dos EUA) que estejam
cotadas nas bolsas de valores dos EUA;
(b) para utilização pelas agências federais dos EUA, mas pode ser utilizado por
organizações não governamentais numa base voluntária;
(c) para utilização pelas organizações públicas ou privadas da Austrália e da Nova
Zelândia;
(d) para utilização pelas agências federais dos EUA, mas pode ser utilizado pelas
empresas do sector privado que estejam incluídas na infra-estrutura crítica dos EUA.
E.3 LEIS E REGULAMENTAÇÕES
As leis e regulamentações mais significativas sobre a segurança da informação são as

seguintes:
a) Gramm–Leach–Bliley Act (1999)
O GLB Act (1999), também conhecido como o Financial Services Moderation Act de 1999
teve como destino as instituições financeiras que mantêm, processam e recolhem
informações financeiras (Fitzgerald, 2008).
Uma das principais características desta lei dos EUA relativamente aos controlos da
segurança da informação, prende-se, essencialmente com o facto de impor exigências de
privacidade financeira às instituições financeiras, incluindo seguradoras. Exige que estas
organizações informem os seus clientes das suas práticas de privacidade e partilha da
informação e os clientes, por sua vez, têm direito a limitar a partilha da sua informação em
poder daquela organizações (Tarantino, 2006).
Em associação com esta lei existem diversas leis estaduais que impõem a notificação ao
interessado de quebra de segurança com os seus dados pessoais. O California’s Security
Breach Information Act (SBIA) foi a primeira destas leis estaduais a impor às organizações
a obrigação de notificar os residentes no Estado da Califórnia das falhas de segurança
envolvendo os seus dados pessoais (Silverman, 2007).
b) Sarbanes–Oxley Act (2002X)
O SOX Act (2002) foi promulgado após o escândalo protagonizado pelas empresas
Enron/Arthur Andersen e WorldCom devido às suas práticas contabilísticas incorrectas e
para satisfazer a necessidade de implementar adequados controlos de auditoria interna para
efeitos de reporte financeiro (Fitzgerald, 2008).
A secção 404 do SOX (2002) – avaliação da gestão dos controlos internos, impõe que os
relatórios anuais exigidos pela Security Exchange Commission [SEC] devem conter um
relatório sobre o controlo interno em que (n.º 1 e n.º 2 da subsecção (a) da secção 404):
• declare a responsabilidade da gestão pelo estabelecimento e manutenção de uma

estrutura adequada de controlo interno e procedimentos para a elaboração de
relatórios financeiros (n.º 1 da subsecção (a));
• contenha uma avaliação, a partir do fim do ano fiscal mais recente, da eficácia da
estrutura de controlo interno e dos procedimentos para a realização dos relatórios
financeiros (n.º 2 da subsecção (a)).
A subsecção (b) impõe que os controlos implementados sejam auditados e testados por
entidades independentes.
O sistema de controlo interno adoptado pela SEC para o cumprimento do estabelecido na

secção 404 é o sistema de controlo interno definido pelo COSO, nomeadamente no que
respeita à gestão do risco corporativo (Tarantino, 2006).
Em termos de sistema de controlo interno para os SI/TIC, o COBIT é aceite globalmente

como um sistema de referência para a gestão do risco e controlo dos SI/TIC. É possível
mapear os controlos do COBIT com os diversos componentes do COSO, dado que muitos
dos processos das TIC do COBIT têm relações com mais do que um componente do COSO
(Tarantino, 2006).
c) Health Insurance Portability and Accountability Act (1996)
O HIPAA Act (1996) foi decretado em 1996, mas a regulamentação específica sobre
privacidade e segurança (HIPAA Final Security Role) apenas foi promulgada em 2003
(Fitzgerald, 2008).
O HIPAA Act (1996) tem como objectivo melhorar a eficiência e eficácia do sistema de
cuidados de saúde dos EUA, encorajando o desenvolvimento de um sistema de informação
de saúde através do estabelecimento de normas e requisitos para a transmissão electrónica
de determinada informação de saúde (Beaver & Harold, 2004; Litwak, 2004; Pabrai, 2003).
Por sua vez, o objectivo do HIPAA Final Security Role é “assegurar que as medidas de
segurança adequadas são criadas para proteger a segurança e privacidade das informações
dos cuidados de saúde, mantidas por prestadores de cuidados de saúde, planos de seguros
de saúde, empregadores e de todos aqueles que manipulam transacções electrónicas de
cuidados de saúde” (Fitzgerald, 2008, p. 380).
d) Federal Information Security Management Act (2002)
O FISMA Act (2002) foi formulado para assegurar que as práticas adequadas de segurança
da informação fossem implementadas em todas as grandes infra-estruturas de SI/TIC dos
EUA (Fitzgerald, 2008), sendo extensivo aos fornecedores e outras fontes que suportam os
SI/TIC dos departamentos governamentais (Slade, 2008).
O FISMA Act (2002) tem como objectivo primordial o fornecimento de uma estrutura que
garanta a eficácia dos controlos de segurança dos recursos de informação e proporcionar o
desenvolvimento e manutenção dos controlos mínimos necessários para proteger os
sistemas de informação governamentais.
e) Directivas do Parlamento Europeu e do Conselho
A UE adoptou diversas medidas para lutar contra as mensagens com conteúdo ilegal e
lesivo na Internet (Directiva 2006/24/CE), para proteger os direitos de propriedade
intelectual e os dados pessoais (Directiva 95/46/CE), para promover o comércio
electrónico assim como a utilização das assinaturas electrónicas e para reforçar a segurança
das transacções (Directiva 2000/31/CE) (Mitrakas, 2006).
As Directivas 95/46/CE e 2006/24/CE já foram apresentadas na secção da privacidade.

Relativamente às assinaturas electrónicas é de salientar a Directiva 99/93/CE (relativa a um
quadro legal comunitário para as assinaturas electrónicas) que introduz três classes de
assinaturas electrónicas: assinatura electrónica; assinatura electrónica avançada; assinatura
digital (baseada em sistemas criptográficos assimétricos).
f) International Convergence of Capital Measurement and Capital Standards: A

Revised Framework (Basel II)
Em 2004, o grupo dos dez (constituído por onze países industriais: Bélgica, Canadá,
França, Alemanha, Itália, Japão, Países Baixos, Suécia, Suíça, o Reino Unido e os Estados
Unidos da América, que cooperam nos domínios económico, monetário e financeiro),
reunido na cidade suíça de Basileia, publicou um novo modelo para a
adequação/suficiência de capital denominado International Convergence of Capital
Measurement and Capital Standards: A Revised Framework, também conhecido por Basel
II. Este modelo assenta no acordo de 1988 e estabelece os detalhes para a adopção de
requisitos mínimos de capital mais sensíveis ao risco exigido às organizações bancárias
(Tarantino, 2006). O Basel II assenta em três pilares: requisitos mínimos de capital (pilar
1); processo de revisão da supervisão (pilar 2); disciplina de mercado (pilar 3).
O modelo Basel II não identifica controlos relativos à segurança da informação das

organizações bancárias, concentrando as suas preocupações ao nível do processo de
revisão do controlo interno (parágrafos 744 e 745) e à avaliação do ambiente de controlo
(parágrafos 751 e 752) (BIS, 2006).
g) Proposta de Directiva do Parlamento Europeu e do Conselho aos seguros de vida

ao acesso à actividade de seguros e resseguros e ao seu exercício (Solvência II)
A Proposta de Directiva do Parlamento Europeu e do Conselho aos seguros de vida ao

acesso à actividade de seguros e resseguros e ao seu exercício (Solvência II) é dirigida à
actividade de seguros e resseguros e ao seu exercício. Na sua essência é similar ao Basel II
e assenta também em três pilares.
O sistema de governação identifica os requisitos a observar pela gestão das organizações

abrangidas, designadamente o cumprimento dos requisitos de competência e idoneidade,
gestão de riscos (art.º 43), avaliação interna do risco e da solvência (art.º 44), controlo
interno (art.º 45), auditoria interna (art.º 46), função actuarial (art.º 47), e externalização
(art.º 48) (Comissão Europeia 2007 #517).
Em termos de risco e ambiente de controlo o Solvência II exige (Tarantino, 2006):
• obrigação de introduzir um sistema de alerta precoce do risco;

• auditorias internas periódicas;
• criação de um sistema de controlo interno;
• criação de um sistema eficaz de informação e comunicação.
E.4 NORMAS E MODELOS DE REFERÊNCIA DA SEGURANÇA

DA INFORMAÇÃO
As normas e modelos de referência da segurança da informação mais significativas são as

seguintes:
a) Control Objectives for Information and Related Technology
Este sistema de referência, publicado pelo ITGI, organismo fundado pelo ISACA, tem
como objectivo “fornecer a informação que as organizações necessitam para alcançar os
seus objectivos, investir, gerir e controlar os seus recursos de TIC, utilizando um conjunto
estruturado de processos” (ITGI, 2007a, p. 10). O COBIT trata o risco numa perspectiva de
negócio e tecnológica e está estruturado em quatro domínios (Planeamento e Organização;
Aquisição e Implementação; Entrega e Suporte e Monitorização e Avaliação) e 34
processos e correspondentes objectivos de controlo de alto nível, conforme apresentado no
Quadro E.2.
Quadro E.2: Domínios e processos do COBIT.
Domínio Processo
PO1 – Definir um plano estratégico das TIC.

PO2 – Definir uma arquitectura da informação.
PO3 – Determinar a direcção tecnológica.
PO4 – Definir os processos das TIC, organização e relações.
Planeamento e PO5 – Gerir os investimentos em TIC.
Organização (PO) PO6 – Comunicar os objectivos e orientações da gestão.
PO7 – Gerir os recursos humanos das TIC.
PO8 – Gerir a qualidade.
PO9 – Avaliar e gerir os riscos das TIC.
PO10 – Gerir projectos.
AI1 – Identificar soluções automatizadas.
AI2 – Adquirir e manter aplicações de software.
AI3 – Adquirir e manter a infra-estrutura tecnológica.
Aquisição e
AI4 – Possibilitar a operação e utilização das TIC.
Implementação (AI)
AI5 – Obter recursos das TIC.
AI6 – Gerir alterações.
AI7 – Instalar e acreditar soluções e alterações.
ES1 – Definir e gerir níveis de serviços.
ES2 – Gerir serviços de terceiros.
ES3 – Gerir o nível de desempenho e capacidade.
ES4 – Assegurar serviço contínuo.
ES5 – Assegurar a segurança dos sistemas.
ES6 – Identificar e alocar custos.
Entrega e Suporte (ES) ES7 – Educar e formar os utilizadores.
ES8 - Gerir o serviço de ajuda e incidentes.
ES9 – Gerir a configuração.
ES10 – Gerir problemas.
ES11 – Gerir os dados.
ES12 – Gerir o ambiente físico.
ES13 – Gerir as operações.
MA1 – Monitorizar e avaliar o desempenho das TIC.
Monitorização e MA2 - Monitorizar e avaliar o controlo interno.
Avaliação (MA) MA3 – Assegurar conformidade com os requisitos externos.
MA4 – Providenciar governação das TIC.
Fonte: ITGI (2007a, p. 10).
O COBIT tornou-se, por excelência, o sistema de referência das grandes empresas de

auditoria, englobando uma abordagem ampla das TIC, centrada fundamentalmente na
governação das TIC (Schlarman, 2007a). Devido à sua aceitação generalizada pela
indústria da auditoria como um forte sistema de referência da governação das TIC, o
COBIT é geralmente utilizado como base para a conformidade com o SOX Act (2002), em
termos de controlos de segurança das TIC. O COBIT é, deste modo, uma ferramenta através
da qual a gestão pode assegurar que os investimentos efectuados em controlos e medidas
de segurança são proporcionais às perdas monetárias incorridas, caso os riscos potenciais
se realizem (Eloff & von Solms, 2000).
O COBIT baseia-se no princípio de que “para fornecer a informação que a organização

necessita para atingir os seus objectivos, a organização necessita investir, gerir e controlar
os seus recursos de TIC utilizando um conjunto de processos para fornecer os serviços que
entregam a informação organizacional pretendida” (ITGI, 2007a, p. 10), como
esquematizado na Figura E.1.
Figura E.1: CobiT: recursos, processos e requisitos de negócio.

Fonte: ITGI (2007a).
b) Committee of Sponsoring Organizations of the Treadway Commission
O COSO é uma organização privada, formada por representantes da American Accounting

Association, American Institute of Certified Public Accountants, Financial Executives
Internationl, Institute of Managements Accountants e pelo Institute of Internal Auditors e é
reconhecida internacionalmente por fornecer orientações sobre aspectos críticos da
governação organizacional, ética empresarial, controlo interno, gestão do risco de empresa,
fraude e relatórios financeiros. Outro dos seus objectivos é estudar os factores que
conduzem às informações financeiras fraudulentas e produzir recomendações para as
empresas privadas, empresas de auditoria e diversos reguladores, tal como a SEC dos EUA
(Fitzgerald, 2008).
Neste âmbito, publicou um modelo sobre gestão do risco corporativo, designado

Enterprise Risk Management Framework, o qual tem como objectivo ajudar os gestores a
lidar com o risco inerente ao cumprimento dos seus objectivos (COSO, 2007). A gestão do
risco corporativo é entendido como “um processo, efectuado pelo Conselho de
Administração, pela gestão executiva e outro pessoal, aplicado na configuração de
estratégia e em toda a empresa, visa identificar potenciais eventos que podem afectar a
entidade e gerir os riscos para mantê-los compatíveis com a sua apetência ao risco e
possibilitar garantias razoáveis de cumprimento dos objectivos da entidade” (COSO, 2007,
p. 6).
O objectivo do COSO é fornecer uma compreensão do controlo interno e identificar os

objectivos do controlo interno, os seus componentes e os critérios com que os controlos
são avaliados (Cote, 2007).
O controlo interno definido pelo COSO encerra os seguintes conceitos (Cote, 2007):
• o controlo interno é um processo, i.e., um meio para atingir um fim e não o fim em si
mesmo;
• o controlo interno é executado e influenciado por pessoas, não se resumindo a
manuais e políticas;
• o controlo interno deve fornecer uma garantia razoável (e não absoluta) à gestão.
O COSO baseia-se num quadro tridimensional para avaliar os controlos (Slade, 2008):
• num eixo identifica quatro categorias de objectivos: estratégicos; operacionais;

informação; conformidade;
• num segundo eixo apresenta quatro níveis organizacionais: entidade, divisão,
unidade de negócio e subsidiária;
• no terceiro eixo lista os oito componentes da gestão do risco: ambiente interno;
definição de objectivos; identificação de eventos; avaliação do risco; actividades de
controlo; informação e comunicação; monitorização.
Os controlos internos preconizados pelo COSO têm como propósito providenciar uma
garantia razoável de que são alcançados os objectivos relativos à eficácia e eficiência das
operações, fiabilidades das demonstrações financeiras e a conformidade com as leis e
regulamentações (Flowerday & von Solms, 2005).
Tal como o COBIT, também o COSO pode ser utilizado para assegurar a conformidade
com o SOX Act (2002), dado que esta conformidade se baseia, fundamentalmente, nas
actividades de controlo (Cote, 2007). Além disso, o COSO também pode ser usado para os
controlos relacionados com as TIC, mas os critérios de avaliação devem ser satisfeitos em
função do ambiente das TIC.
c) IT Infrastructure Library
O IT Infrastructure Library (ITIL) é um conjunto boas práticas publicado pelo British

Government’s Stationary Office para melhorar a gestão de serviços das TIC (Fitzgerald,
2008), focando-se, essencialmente, nas TIC como um serviço, aproximando os processos
das TIC com a infra-estrutura tecnológica (Schlarman, 2007a). Este sistema de referência
contém um conjunto de boas práticas para os processos operacionais fundamentais das TIC,
tal como a gestão de alterações, gestão de configurações, gestão de problemas e incidentes,
gestão de capacidades e disponibilidades. A realização destas práticas é um processo
contínuo, cuja implementação necessita ser planeada, suportada pela gestão, hierarquizada
e implementada fase a fase (Fitzgerald, 2008). O ITIL proporciona uma abordagem por
processos das TIC, não sendo orientado em termos de controlos, mas sim em termos de
serviços. Contudo, existe uma ligação implícita entre controlos e processos das TIC, com
uma cobertura bastante limitada em termos de segurança (Schlarman, 2007a). Apesar de
não tratar directamente com a segurança da informação, uma gestão correcta destas boas
práticas conduz, necessariamente, a uma melhor segurança dos SI/TIC (Slade, 2008).
d) ISO/IEC 27001:2005
A ISO/IEC 27001:2005 é um sistema de gestão da segurança da informação neutro em

termos de tecnologia e fornecedor, cujo propósito é garantir à gestão e aos clientes um
nível de confiança de que as medidas de segurança da informação implementadas são
efectivas e eficazes (Freeman, 2007a).
Esta norma específica os requisitos para o estabelecimento, implementação, operação,

monitorização, revisão, manutenção e melhoria de um sistema de gestão da segurança da
informação [SGSI] devidamente documentado, tendo em consideração os riscos de
negócio da organização (Erkonen, 2008; Fitzgerald, 2008). Um SGSI é, segundo Erkonen
(2008), uma estrutura organizacional para gerir as pessoas, processos e tecnologias
associados à segurança da informação.
A abordagem por processos para a gestão da segurança da informação preconizada nesta

norma realça a importância de (ISO/IEC, 2005e):
• compreender os requisitos de segurança da informação e a necessidade de definir

uma política e objectivos para a segurança da informação;
• implementar e explorar controlos para gerir os riscos da segurança da informação
num quadro mais vasto da globalidade dos riscos do negócio da organização;
• monitorizar e avaliar o desempenho e eficácia do SGSI;
• melhoria contínua baseada na avaliação dos objectivos.
A norma ISO/IEC 27001:2005 adopta o modelo “Planear-Executar-Controlar-Actuar”

(PECA) ou “Plan-Do-Check-Act”, o qual tem como objectivo estruturar todos os processos
do SGSI, conforme esquematizado na Figura E.2. O Quadro E.3 descreve cada um dos
processos do SGSI constantes do modelo PECA.
Figura E.2: Modelo PECA aplicado aos processos do SGSI.

Fonte: ISO/IEC (2005e, p. vi).
Quadro E.3: Processos do SGSI.
Processo Descrição
Estabelecer a política, objectivos, processos e procedimentos do

PLANEAR (estabelecer o
SGSI para gerir os riscos, de acordo com os objectivos da
SGSI)
organização.
EXECUTAR (implementar e Implementar e explorar a política, controlos, processos e
operar o SGSI) procedimentos do SGSI.
CONTROLAR (monitorizar Avaliar e medir o desempenho da política, controlos, processos e
e rever o SGSI) procedimentos do SGSI.
Tomar acções correctivas e preventivas, baseadas nos resultados de
ACTUAR (manter e
auditorias internas do SGSI e nas revisões da gestão, para continuar
melhorar o SGSI)
a melhorar o SGSI.
Fonte: ISO/IEC (2005e, p. vi).
Os requisitos da norma ISO/IEC 27001:2005 constam das secções 4 a 8, com as

designações de SGSI, responsabilidades da gestão, auditorias internas do SGSI, revisão do
SGSI pela gestão e melhoria do SGSI, com o enquadramento apresentado pela Quadro E.4.
Quadro E.4: Requisitos da norma ISO/IEC 27001:2005.
Requisito Componentes
• Requisitos gerais
• Estabelecer e gerir o SGIS
− Estabelecer o SGSI
Secção 4 − Implementar e explorar o SGSI
Sistema de Gestão da − Monitorizar e rever o SGSI
Segurança da Informação − Manter e melhorar o SGSI
(SGSI) • Requisitos dos documentos
− Gerais
− Controlo dos documentos
− Controlo dos registos
• Compromisso da gestão
Secção 5
• Gestão de recursos
Responsabilidades da
− Provimento de recursos
Gestão)
− Formação, consciencialização e competência
Secção 6
Auditorias internas ao SGSI
• Geral
Secção 7
• Inputs da revisão
Revisão do SGSI pela Gestão
• Resultados da revisão
• Melhoria contínua
Secção 8
• Acções correctivas
Melhoria do(SGSI
• Acções preventivas
Fonte: Adaptado de ISO/IEC (2005d).
e) ISO/IEC 17799:2005
Esta norma é uma das mais utilizadas para a segurança da informação e é utilizada pelas
organizações como base para o desenvolvimento de normas e práticas de gestão da
segurança. Engloba um vasto conjunto de requisitos de segurança e fornece uma sólida
cobertura para os processos de segurança da informação (Schlarman, 2007a), além de
providenciar os objectivos de controlo, em consonância com os requisitos legais,
regulamentares ou de negócio (Erkonen, 2008).
Esta norma é um dos primeiros sistemas de referência no tratamento específico das

questões da segurança da informação, sendo, provavelmente, o mais importante e o mais
utilizado a nível internacional, apesar de não fornecer detalhes técnicos ou de
implementação, nem proporcionar uma metodologia ou uma lista completa de controlos
(Slade, 2008). Não se trata de uma norma técnica, pois está directamente relacionada com
os riscos do negócio e com a própria informação (Karabacak & Sogukpinar, 2006).
Esta norma tem como objectivo “estabelecer linhas orientadoras e princípios para a
iniciação, implementação, manutenção e melhoria da gestão da segurança da informação
numa organização” (ISO/IEC, 2005d, p. 1) e é reconhecida e aceite como das melhores
“boas práticas” pelos profissionais de segurança (Qingxiong & Pearson, 2005).
Esta norma contém 134 controlos de segurança da informação detalhados, enquadrados em

11 áreas de segurança.
Existe também um processo de certificação nesta norma, através do qual uma organização
se torna certificada ISO. Este tipo de certificação funciona não só como uma declaração
pública da capacidade da organização em gerir a segurança da informação, mas também
como uma demonstração aos parceiros e clientes que a organização implementou os
controlos adequados de segurança da informação e da continuidade do negócio (Saint-
Germain, 2005).
f) NIST SP 800-53 - Recommended Security Controls for Federal Information

Systems
O NIST é a entidade dos EUA responsável pela produção de normas e linhas de orientação
para a segurança dos SI/TIC dos organismos federais, responsabilidade atribuída pelo
Computer Security Act de 1987 (NIST, 1996).
A norma NIST SP 800-53, Recommended Security Controls for Federal Information

Systems (Ross et al., 2007), surge na sequência do FISMA Act (2002) e deve ser utilizada
em conjunto com as normas FIPS (Federal Information Processing Standards): FIPS 199 -
Standards for Security Categorization of Federal Information and Information Systems
(NIST, 2004)) e FIPS 200 - Minimum Security Requirements for Federal Information and
Information Systems (NIST, 2006).
A norma FIPS 199 tem como objectivo ajudar os organismos governamentais a categorizar
os seus sistemas de informação em baixo, médio e elevado impacto para os objectivos de
segurança confidencialidade, integridade e disponibilidade (NIST, 2004). Por sua vez, a
norma FIPS 200 especifica não só os requisitos mínimos de segurança para a informação e
sistemas de informação, mas também um processo baseado no risco para seleccionar os
controlos de segurança necessários para satisfazer os requisitos mínimos de segurança, os
quais abrangem dezassete domínios de segurança, com o objectivo de proteger a
confidencialidade, integridade e disponibilidade dos sistemas de informação, assim como a
informação processada, armazenada e transmitida por esses sistemas (NIST, 2006). Estes
requisitos mínimos de segurança devem estar em consonância com a classificação dos
sistemas efectuada a partir do FIPS 199 e os controlos para satisfazer estes requisitos
devem ser seleccionados a partir da norma NIST SP 800-53.
O documento NIST SP 800-53, Recommended Security Controls for Federal Information

Systems, descreve um conjunto de 17 famílias de controlos, as quais são, posteriormente,
decompostas em controlos mais específicos, juntamente com orientações suplementares
que, na maior parte das vezes, se referem a outros documentos do NIST mais detalhados.
Apêndice F – Legislação da União Europeia sobre Segurança da Informação
APÊNDICE F
LEGISLAÇÃO NACIONAL E DA UNIÃO EUROPEIA

SOBRE SEGURANÇA DA INFORMAÇÃO
F.1 INTRODUÇÃO
Este apêndice apresenta uma breve descrição das principais leis nacionais sobre protecção
de dados, comunicações comerciais não solicitadas, cibercriminalidade e assinaturas
electrónicas, parte das quais dizem respeito à transposição para a ordem jurídica
portuguesa das Directivas emanadas da UE.
F.2 LEGISLAÇÃO NACIONAL SOBRE PROTECÇÃO DE DADOS
A legislação mais importante sobre protecção de dados é composta pelas seguintes normas
regulatórias:
a) Resolução do Conselho de Ministros n.º 5/90: Normas para a Segurança Nacional,

Salvaguarda e Defesa das Matérias Classificadas, Segurança Informática
(SEGNAC 4)
Esta resolução da Presidência do Conselho de Ministros (1990) tem como objectivo

garantir a segurança dos sistemas informáticos, através da definição de um conjunto de
regras suficientemente flexível. É atribuída à Agência Nacional de Segurança (entidade
responsável pela segurança dos sistemas informáticos) a análise das medidas a aplicar
decorrentes da presente resolução. Apesar desta resolução ter carácter obrigatório para os
sistemas de informação da Administração Pública, ela pode ser seguida por todas as
organizações privadas, na medida em que se pode considerar como um “código de boas
práticas” para a segurança da informação.
Apêndice F – Legislação Nacional e da União Europeia sobre Segurança da Informação
Os aspectos fundamentais desta resolução associados à segurança da informação e dos

sistemas são os seguintes:
• segurança física das instalações (capítulo 3), englobando, entre outros, os seguintes
aspectos: áreas de segurança; localização e estrutura das instalações; energia eléctrica;
climatização; protecção contra incêndios e radiações magnéticas; controlo de
entradas e saídas; responsável e pessoal de segurança; dispositivos de detecção de
intrusos; protecção contra a observação e contra a escuta;
• segurança dos suportes físicos (capítulo 4), onde se enquadram: controlo de
circulação dos suportes informáticos; suportes magnéticos e ópticos; medidas de
segurança nas comunicações e nas redes de comunicação;
• segurança lógica (capítulo 5), onde se destacam: procedimentos de prevenção para
controlo lógico de acessos; segurança no desenvolvimento e aquisição de suportes
lógicos; planos de recuperação e reposição;
• classificação, preparação e segurança de dados e programas classificados (capítulo 6),
salientando-se: classificação de programas e marcação de programas classificados;
identificação dos suportes magnéticos ou ópticos;
• reprodução, transferência, controlo de segurança e destruição de dados e programas
classificados (capítulo 7).
b) Lei n.º 67/98: Tratamento de Dados Pessoais
Esta lei (Assembleia da República, 1998) transpõe para a ordem jurídica portuguesa a
Directiva 95/46/CE (Parlamento Europeu e Conselho da União Europeia, 1995), relativa à
protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à
livre circulação desses dados. O tratamento de dados pessoais deve processar-se de forma
transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos,
liberdades e garantias fundamentais (art.º 2.º). A lei aplica-se ao tratamento de dados
pessoais total ou parcialmente automatizado, assim como ao tratamento por meios não
automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados (n.º 1
do art.º 4.º).
O Capítulo II referente ao tratamento de dados pessoais regulamenta a qualidade dos dados

e legitimidade do seu tratamento (art.º 5.º até ao art.º 9.º), direitos do titular dos dados (art.º
10.º até ao art.º 13.º) e segurança e confidencialidade do tratamento (art.º 14.º até ao art.º
17.º). O Capítulo III diz respeito à transferência de dados pessoais e o Capítulo IV define a
natureza, atribuições e competências da Comissão Nacional de Protecção de Dados
[CNPD], autoridade nacional com competência para controlar e fiscalizar o cumprimento
das disposições legais e regulamentares em matéria de protecção de dados pessoais.
Dos conceitos definidos nesta lei, destacam-se os seguintes (art.º 3.º):
• dados pessoais - qualquer informação, de qualquer natureza e independentemente do

respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular
identificada ou identificável;
• tratamento de dados pessoais - qualquer operação ou conjunto de operações sobre
dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o
registo, a conservação, a adaptação ou alteração, a recuperação, a consulta, a
utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma
de colocação à disposição, bem como o bloqueio, apagamento ou destruição;
• responsável pelo tratamento - a pessoa singular ou colectiva, a autoridade pública, o
serviço ou qualquer outro organismo que, individualmente ou em conjunto com
outrem, determine as finalidades e os meios de tratamento dos dados pessoais.
c) Lei n.º 41/2004: Tratamento de Dados Pessoais e Protecção da Privacidade no

Sector das Comunicações Electrónicas
Esta lei (Assembleia da República, 2004) transpõe para a ordem jurídica nacional a
Directiva n.º 2002/58/CE (Parlamento Europeu e Conselho da União Europeia, 2002a),
relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das
comunicações electrónicas. Esta lei aplica-se ao tratamento dos dados pessoais no contexto
das redes e serviços de comunicações electrónicas acessíveis ao público, especificando e
complementando as disposições da Lei nº 67/98 (Lei da Protecção de Dados Pessoais) (n.º
2 do art.º 1.º).
A presente lei releva os seguintes princípios:
• segurança dos serviços e da própria rede, mediante a adopção de medidas técnicas e

organizacionais eficazes;
• inviolabilidade das comunicações e respectivos dados de tráfego (confidencialidade),
realizadas através de redes públicas de comunicações e de serviços de comunicações
electrónicas acessíveis ao público, sendo proibida a escuta, instalação de dispositivos

de escuta, o armazenamento ou outros meios de intercepção ou vigilância de
comunicações e dos respectivos dados de tráfego por terceiros sem o consentimento
prévio e expresso dos utilizadores, salvo nos casos previstos na lei.
Para efeitos desta lei, entende-se por:
• dados de tráfego - quaisquer dados tratados para efeitos do envio de uma

comunicação através de uma rede de comunicações electrónicas ou para efeitos de
facturação da mesma.
d) Decreto-lei n.º 7/2004: Comércio Electrónico
Tal como referido no art.º 1.º, este diploma (Ministério da Justiça, 2004) transpõe para a
ordem jurídica interna a Directiva n.º 2000/31/CE (Parlamento Europeu e Conselho da
União Europeia, 2000a), relativa a certos aspectos legais dos serviços da sociedade de
informação, em especial do comércio electrónico, no mercado interno (Directiva sobre
Comércio Electrónico) bem como o artigo 13.º da Directiva n.º 2002/58/CE, relativa ao
tratamento de dados pessoais e a protecção da privacidade no sector das comunicações
electrónicas (Directiva relativa à Privacidade e às Comunicações Electrónicas).
Em termos gerais, este diploma aborda as seguintes temáticas:
• prestadores de serviço da sociedade da informação (art.º 3.º até ao art.º 10.º);

• responsabilidade dos prestadores de serviços em rede (art.º 11.º até ao art.º 19.º);
• comunicações publicitárias em rede e marketing directo (art.º 20.º até ao art.º 23.º);
• contratação Electrónica (art.º 24.º até ao art.º 34.º);
• entidades de supervisão e regime sancionário (art.º 35.º até ao art.º 41.º)
Para efeitos do disposto neste diploma, entende-se por (n.º 1 do art.º 3.º):
• serviço da sociedade da informação - qualquer serviço prestado à distância por via

electrónica, mediante remuneração ou pelo menos no âmbito de uma actividade
económica na sequência de pedido individual do destinatário. A actividade de
prestador de serviços da sociedade da informação não depende de autorização prévia.
F.3 LEGISLAÇÃO NACIONAL SOBRE CIBERCRIMINALIDADE
A principal lei sobre a criminalidade informática é a Lei n.º 109/91, a seguir discriminada:
a) Lei n.º 109/91: Criminalidade Informática
Esta lei (Assembleia da República, 1991) tipifica os seguintes crimes informáticos, cuja
prática faz incorrer o agente prevaricador nas penas previstas:
• falsidade informática (art.º 4.º);

• danos relativos a dados ou programas informáticos (art.º 5.º);
• sabotagem informática (art.º 6.º);
• acesso ilegítimo (art.º 7.º);
• intercepção ilegítima (art.º 8.º);
• reprodução ilegítima de programa protegido (art.º 9.º).
As penas acessórias previstas neste diploma para os agentes prevaricadores vão desde a
perda de bens (art.º 12.º), interdição temporária do exercício de certas actividades ou
profissões (art.º 14.º), até ao encerramento temporário do estabelecimento (art.º 15.º) e
encerramento definitivo do estabelecimento (art.º 16.º).
Dos conceitos presentes na lei, destacam-se os seguintes (art.º 2.º):
• rede informática - um conjunto de dois ou mais computadores inter-conectados;

• sistema informático - um conjunto constituído por um ou mais computadores,
equipamento periférico e suporte lógico que assegura o processamento de dados;
• programa informático - um conjunto de instruções capazes, quando inseridas num
suporte explorável em máquina, de permitir à máquina que tem por funções o
tratamento de informações indicar, executar ou produzir determinada função, tarefa
ou resultado.
F.4 LEGISLAÇÃO NACIONAL SOBRE ASSINATURAS

ELECTRÓNICAS
A norma jurídica sobre as assinaturas digitais está consubstanciada no seguinte Decreto-lei:
a) Decreto-lei n.º 62/2003: Regime Jurídico das Assinaturas Digitais
Este diploma (Ministério da Justiça, 2003) visa compatibilizar o regime jurídico da

assinatura digital estabelecido no Decreto-Lei n.º 290-D/99 (Ministério da Ciência e da
Tecnologia, 1999), com a Directiva n.º 1999/93/CE (Parlamento Europeu e Conselho da
União Europeia, 1993), relativa a um quadro legal comunitário para as assinaturas
electrónicas.
O presente diploma regula a validade, eficácia e valor probatório dos documentos

electrónicos, a assinatura electrónica e a actividade de certificação de entidades
certificadoras estabelecidas em Portugal (art.º 1.º).
Dos conceitos definidos nesta lei, destacam-se os seguintes (art.º 2.º):
• assinatura electrónica: resultado de um processamento electrónico de dados

susceptível de constituir objecto de direito individual e exclusivo e de ser utilizado
para dar a conhecer a autoria de um documento electrónico;
• assinatura digital: modalidade de assinatura electrónica avançada baseada em sistema
criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante
o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma
das quais privada e outra pública, e que permite ao titular usar a chave privada para
declarar a autoria do documento electrónico ao qual a assinatura é aposta e
concordância com o seu conteúdo e ao destinatário usar a chave pública para
verificar se a assinatura foi criada mediante o uso da correspondente chave privada e
se o documento electrónico foi alterado depois de aposta a assinatura
F.5 OUTRA LEGISLAÇÃO NACIONAL
A legislação sobre bases de dados, programas informáticos e facturação electrónica está

presente nos seguintes decretos:
a) Decreto-lei n.º 122/2000: Protecção Jurídica das Bases de Dados
Conforme disposto no preâmbulo, este diploma (Ministério da Cultura, 2000) transpõe

para a ordem jurídica portuguesa a Directiva do Parlamento Europeu e do Conselho n.º
96/9/CE, de 11 de Março, relativa à protecção jurídica das bases de dados e visa a
harmonização da protecção jurídica das bases de dados no seio da Comunidade Europeia,
traduzindo-se num mecanismo de desenvolvimento de um mercado de informação, ao

mesmo tempo que contribui para a eliminação de obstáculos à livre circulação de bens e de
serviços.
Tendo em consideração as especificidades desta matéria, a protecção das bases de dados

não está incluída no Código do Direito de Autor e dos Direitos Conexos, seguindo-se a
mesma opção tomada relativamente à protecção de programas de computador, prevista no
Decreto-Lei n.º 252/94 (Presidência do Conselho de Ministros, 1994). O diploma prevê
uma dupla protecção: as bases de dados que constituam criações intelectuais são protegidas
pelo direito de autor (art.º 4.º até ao art.º 11.º) e assegura-se ao fabricante de certas bases de
dados uma protecção que está dependente do investimento qualitativo ou quantitativo
envolvido no seu fabrico (art.º 12.º até ao art.º 17.º).
No âmbito deste diploma, entende-se por base de dados ”a colectânea de obras, dados ou
outros elementos independentes, dispostos de modo sistemático ou metódico e susceptíveis
de acesso individual por meios electrónicos ou outros” (Ministério da Cultura, 2000, p.
2911).
b) Decreto-lei n.º 252/94: Protecção Jurídica de Programas de Computador
Este diploma (Presidência do Conselho de Ministros, 1994) transpõe para a ordem jurídica
portuguesa a Directiva n.º 91/250/CEE, do Conselho, de 14 de Maio, relativa à protecção
jurídica dos programas de computador e tem por objectivo condensar todas as normas
específicas de protecção dos programas de computador, evitando-se, deste modo,
alterações ao Código do Direito de Autor e dos Direitos Conexos.
A protecção atribuída ao programa de computador incide sobre a sua expressão, sob

qualquer forma (n.º 1 do art.º 2.º). Para efeitos de protecção, equipara-se ao programa de
computador o material de concepção preliminar daquele programa (n.º 3 do art.º 1.º), não
se prejudicando, portanto, a liberdade das ideias e dos princípios que estão na base de
qualquer elemento do programa ou da sua interoperabilidade, como a lógica, os algoritmos
ou a linguagem de programação (n.º 2 do art.º 2.º).
O diploma define os termos da autoria dos programas informáticos (art.º 3.º), a sua duração
(art.º 4.º) e a reprodução e transformação dos programas informáticos (art.º 5.º), assim
como os vários direitos associados, designadamente os direitos do utente (art.º 6.º), direito
de pôr em circulação (art.º 8.º) e direitos do titular originário (art.º 9.º). Estão ainda
contemplados a apreensão dos programas informáticos (art.º 13.º) e a tutela penal (art.º
14.º).
c) Decreto Regulamentar nº 16/2000: Facturação Electrónica
O Decreto-Lei n.º 375/99, de 18 de Setembro, regulamenta a utilização de um sistema de

facturação electrónica por parte dos sujeitos passivos da relação jurídica de imposto, desde
que autorizados pela Direcção-Geral dos Impostos. Este Decreto Regulamentar (Ministério
da Ciência e da Tecnologia, 2000) vem estabelecer as condições e os requisitos de
utilização da factura ou documento equivalente transmitidos por via electrónica pelos
sujeitos passivos de relação jurídica de imposto (art.º 1.º).
O n.º 2 do art.º 2.º prevê a manutenção da integridade do conteúdo da factura ou

documento equivalente transmitidos por via electrónica, desde a sua emissão até ao termo
do prazo previsto na lei para a sua conservação.
A adopção de qualquer sistema de facturação electrónica deve garantir as seguintes

funcionalidades (art.º 3.º):
a) a verificação, durante a emissão e recepção, da conformidade da estrutura da

mensagem com os requisitos estabelecidos para a factura electrónica;
b) a validação cronológica das mensagens emitidas como facturas ou documentos
equivalentes;
c) o armazenamento, em suporte informático, das facturas ou documentos
equivalentes emitidos e recebidos;
d) a constituição e armazenamento diário, em suporte informático, de um mapa
recapitulativo sequencial das mensagens emitidas e recebidas e das anomalias
eventualmente detectadas;
e) o fornecimento, a pedido da administração fiscal, das facturas ou documentos
equivalentes, emitidos ou recebidos, e dos mapas recapitulativos, representados em
formato legível e facultados através do ecrã, em suporte informático e em papel;
f) a manutenção da integridade, disponibilidade e autenticidade do conteúdo original
das facturas e documentos equivalentes transmitidos por via electrónica, bem como
o dos mapas recapitulativos;
g) o não repúdio das mensagens;
h) a não duplicação das facturas ou documentos equivalentes.
F.6 LEGISLAÇÃO DA UNIÃO EUROPEIA
Para além das Directivas da UE transpostas para a ordem jurídica portuguesa, existem
ainda diversas regulamentações relativas ao comércio electrónico e segurança dos sistemas
e redes de informação, sendo de salientar as seguintes:
a) Comércio Electrónico
• recomendação da Comissão 92/295/CEE (Comissão das Comunidades Europeias,
1992), relativa a códigos de conduta para a protecção dos consumidores em matéria
de contratos negociados à distância;
• directiva 2002/65/CE (Parlamento Europeu e Conselho da União Europeia, 2002b),
relativa à comercialização à distância de serviços financeiros prestados a
consumidores e que altera as Directivas 90/619/CEE do Conselho, 97/7/CE e
98/27/CE;
• directiva 1999/93/CE (Parlamento Europeu e Conselho da União Europeia, 1993),
relativa a um quadro legal comunitário para as assinaturas electrónicas;
• directiva 2001/115/CE (Parlamento Europeu e Conselho da União Europeia, 2001),
que altera a Directiva 77/388/CEE, tendo em vista simplificar, modernizar e
harmonizar as condições aplicáveis à facturação em matéria de imposto sobre o valor
acrescentado;
• directiva 2000/46/CE (Parlamento Europeu e Conselho da União Europeia, 2000b),
relativa ao acesso à actividade das instituições de moeda electrónica e ao seu
exercício, bem como à sua supervisão prudencial;
• recomendação da Comissão 87/598/CEE (Comissão das Comunidades Europeias,
1987), relativa a um código europeu de boa conduta em matéria de pagamento
electrónico (relações entre instituições financeiras, comerciantes-prestadores de
serviços e consumidores);
• recomendação da Comissão 97/489/CE (Comissão das Comunidades Europeias,
1997), relativa às transacções realizadas através de um instrumento de pagamento
electrónico e, nomeadamente, às relações entre o emitente e o detentor.
b) Segurança dos Sistemas e Redes de Comunicação

• regulamento (CE) n.º 460/2004 (Parlamento Europeu e Conselho da União Europeia,
2004), que cria a Agência Europeia para a Segurança das Redes e da Informação;
• COM/2000/890 (Comissão das Comunidades Europeias, 2001) - Comunicação da
Comissão ao Conselho, ao Parlamento Europeu, ao Comité Económico e Social e ao
Comité das Regiões - Criar uma Sociedade da Informação mais segura reforçando a
segurança das infra-estruturas de informação e lutando contra a cibercriminalidade;
• COM/2004/0028 (Comissão das Comunidades Europeias, 2004) - Comunicação da
Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social
Europeu e ao Comité das Regiões - sobre as comunicações comerciais não
solicitadas, ou ''spam'';
• regulamento (CE) n.º 45/2001 (Parlamento Europeu e Conselho da União Europeia,
2000c), relativo à protecção das pessoas singulares no que diz respeito ao tratamento
de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação
desses dados.
Apêndice G – Questionários
APÊNDICE G
QUESTIONÁRIOS
G.1 INTRODUÇÃO
Este apêndice apresenta o desenho do questionário, nas suas versões em papel e electrónica.
G.2 QUESTIONÁRIO EM PAPEL
O questionário em papel tem o seguinte desenho:
QUESTIONÁRIO SOBRE A GESTÃO DA SEGURANÇA DA

INFORMAÇÃO NAS PMEs PORTUGUESAS
Este questionário faz parte dum projecto de investigação sobre segurança da informação
nas PMEs portuguesas. As suas respostas vão ajudar-nos a conhecer as práticas de gestão
da segurança da informação realizadas pelas PMEs portuguesas e qual a eficácia dessas
práticas.
Solicitamos a sua colaboração, respondendo a este questionário, o qual está estruturado
para ser respondido em cerca de 15 minutos. Pedimos que siga as instruções de cada
pergunta e responda a todas as questões.
A informação recolhida será utilizada somente para o propósito desta investigação e será
divulgada apenas de forma agregada, após devido tratamento estatístico, garantindo-se a
sua confidencialidade.
Obrigado por participar!
1.1 Informação de Negócio

Sector de Actividade (CAE):· Distrito: ______________________________________
(consultar tabela em anexo) N.º de Empregados:
N.º de computadores na Empresa: N.º de computadores com ligação à Internet:
N.º de pessoas que utilizam computadores, pelo menos uma vez por semana:
1.2 Qual a sua função na empresa?

Sócio/Gerente Responsável Financeiro e/ou Contabilidade
Administrador Responsável Informático
Gerente Responsável de Segurança
Director-Geral Outro
1.3 Indique o tipo de tecnologias utilizadas pela sua empresa

(seleccione todas as opções aplicáveis à sua empresa)
Internet Comércio Electrónico

Intranet EDI (troca electrónica de informação)
Extranet Website próprio
Rede local com fios (LAN) Rede local sem fios (Wireless)
Rede de longa distância (WAN)
1.4 Qual o tipo de software utilizado pela sua empresa

Escritório electrónico (Office) Datawarehouse

Contabilidade e Facturação ERP (enterprise resource planning)
Gestão comercial CAD/CAM
Gestão administrativa Software estatístico
Gestão de pessoal (salários) Pagamentos e/ou recebimentos electrónicos
1.5 A sua empresa utiliza a Internet para:

Procura de informação Obtenção de serviços bancários e financeiros

Monitorização do mercado Actividades de educação e/ou formação
Recepção de bens e/ou serviços digitais Venda de bens e/ou serviços
Obtenção de serviços pós-venda Compra de bens e/ou serviços
Realizar pagamentos e/ou recebimentos
1.6 Indique as aplicações de segurança utilizadas pela sua empresa

Verificação de vírus ou software de protecção Backup de informação numa localização

externa à empresa
Firewalls (software ou hardware)
Subscrição de um serviço de segurança (ex:
Servidores seguros antivírus e alerta de intrusão na rede)
Controlos de acesso, autorização e autenticação Filtros anti-spam (e-mails não solicitados)
Assinatura electrónica digital Encriptação para confidencialidade

Outros mecanismos de segurança
1.7 A sua empresa tem um departamento de Informática?

SIM
NÃO
2.1 Percepção do risco dos sistemas pelos gestores:

Nem
Discordo discordo Concordo
Discordo Concordo
totalmente nem Totalmente
concordo
1 2 3 4 5
A informação está protegida contra a utilização
abusiva intencional.

A informação está salvaguardada de alterações ou
de utilização não autorizada.

A informação crítica está protegida contra aqueles
que não devem ter acesso a ela.

2.2 Ambiente Organizacional:

Nem
Discordo Concordo
concordo
1 2 3 4 5
A sua empresa tem patentes, contratos ou
informação crítica do negócio que tem de proteger
de ataques externos ou internos.
A sua empresa está inserida numa indústria de
baixo risco.

A dimensão da sua empresa justifica ataques de
piratas informáticos.

2.3 Ambiente de Sistemas e Tecnologias de Informação:

Nem
Discordo Concordo
concordo
Na sua empresa: 1 2 3 4 5
Existem processos de gestão de riscos e ameaças.

Existem processos que garantem a implementação
oportuna de correcções às aplicações e sistemas.

Existe uma cultura de segurança.

Existe uma disciplina na aplicação dos controlos
de segurança.

Existem controlos de acessos a sistemas e
aplicações.

2.4 Características individuais dos gestores:

Nem
Discordo Concordo
concordo
Os gestores: 1 2 3 4 5
Participam/lideram as actividades relacionadas com
a criação de novos projectos de tecnologias de
informação.

a gestão de projectos de tecnologias de informação.


a definição dos custos e benefícios dos projectos de
Participam/lideram o desenvolvimento da
estratégia das tecnologias de informação.

Participam/lideram a criação de políticas de

tecnologias de informação na empresa.

Participam/lideram a definição do orçamento das

3.1 Leis, normas e regulamentos:

Nem
Discordo Concordo
concordo
A sua empresa tem: 1 2 3 4 5
Identificada toda a legislação aplicável à

Processos implementados para garantir a
privacidade dos dados pessoais em conformidade
com a lei vigente.
Processos implementados para garantir a
protecção dos dados pessoais em conformidade
com a lei vigente.
Processos implementados para garantir que toda a
documentação relevante está protegida contra
perdas, destruição e falsificação, de acordo com a

lei vigente.
Conhecimento da existência de normas
internacionais para a segurança da informação.

3.2 Governo da Segurança da Informação:

Nem
Discordo Concordo
concordo
A sua empresa tem: 1 2 3 4 5
Uma metodologia para a gestão do risco da

Uma estratégia de segurança alinhada com os
objectivos do negócio e dos sistemas e tecnologias
de informação.
Uma estrutura organizacional adequada à gestão

Políticas de segurança da informação
documentadas.

Um conjunto de normas de segurança para
assegurar que os procedimentos e orientações
estão em conformidade com as políticas de

segurança.
Processos de monitorização para providenciar
informação sobre o tratamento dos riscos de
Processos para actualizar as políticas de
segurança.

3.3 Gestão do Risco:

Nem
Discordo Concordo
concordo
A sua empresa: 1 2 3 4 5
Tem um inventário de todos os activos de
informação (software, hardware, informação e
pessoas).
Tem um processo de avaliação das ameaças aos
activos de informação.

Tem um processo de avaliação das
vulnerabilidades dos activos de informação.

Tem um programa de análise dos riscos de

Tem um plano de acção para a implementação dos
controlos de segurança.

Realiza auditorias de segurança periódicas.
3.4 Investimento em segurança da informação:

Nem
Discordo Concordo
concordo
Na sua empresa: 1 2 3 4 5
O nível de investimento em segurança resulta da
ocorrência de falhas de segurança.

As soluções de segurança são adquiridas em
função do preço.

Todos os investimentos em segurança são objecto
de uma análise custo-benefício.

3.5 Tecnologia:
Nem
Discordo Concordo
concordo
1 2 3 4 5
As tecnologias de segurança são adquiridas em
função das características da informação a
proteger.
A sua empresa adquire tecnologias de segurança
certificadas.

As tecnologias de segurança adquiridas pela sua
empresa estão em conformidade com a infra-
estrutura tecnológica existente.
A estratégia de segurança da sua empresa baseia-
se em controlos técnicos e operacionais.

3.6 Pessoas:
Nem
Discordo Concordo
concordo
1 2 3 4 5
Os empregados compreendem perfeitamente as
consequências da violação das políticas de
segurança.
A consciencialização da segurança da informação
é transmitida correctamente.

Os utilizadores recebem formação em segurança
antes de receberem autorização para aceder à rede
informática da empresa.
Nem
Discordo Concordo
concordo
1 2 3 4 5
Existe um programa contínuo de
consciencialização em segurança.

Os empregados do departamento de tecnologias de
informação estão bem treinados relativamente às
políticas de segurança da informação.
Os utilizadores recebem formação em segurança
adequada às suas funções.

Os empregados recebem formação sobre os
perigos da Internet.

3.7 Eficácia das práticas de segurança da informação:

Nem
Discordo Concordo
concordo
1 2 3 4 5
O programa de segurança da informação atinge a
maior parte dos seus objectivos.

O programa de segurança da informação cumpre
os objectivos mais importantes.

De um modo geral, a informação está
suficientemente protegida.

Globalmente, o programa de segurança da
informação é eficaz.

O programa de segurança da informação mantém
os riscos no mínimo.

As medidas de segurança reduzem o risco para um
nível aceitável.

As medidas de segurança proporcionam um
retorno do investimento positivo.

As medidas de segurança permitem à empresa
estar em conformidade com os requisitos legais.

As medidas de segurança influenciam a

consciencialização e o comportamento individual
e organizacional de forma positiva.
Nos últimos 12 meses, a sua empresa:

SIM NÃO NÃO SEI
Foi vítima de um desastre natural (inundações, sismos, tempestades,
fogos, etc.)

Foi vítima de fraude?

Teve uma violação dos privilégios de acesso aos sistemas de informação
por parte de colaboradores internos?

Teve um acesso aos sistemas de informação por parte de um atacante
externo?

Sofreu um roubo de dados dos seus sistemas?
Teve problemas com vírus ou outro tipo de software malicioso?
Teve informação confidencial divulgada?
Teve dados corrompidos ou parcialmente perdidos?
Teve problemas com a fiabilidade dos sistemas de informação?
Teve roubo dos equipamentos informáticos?
Teve empregados que abusaram dos seus privilégios de acesso à Internet?
Perdeu dinheiro devido a algum problema de segurança da informação?
ANEXO – Tabela dos códigos CAE (Rev.3) a 2 dígitos
05-Extracção de hulha e lenhite. 45-Comércio, manutenção e reparação, de veículos automóveis e

motociclos.
06-Extracção de petróleo bruto e gás natural.
46-Comércio por grosso (inclui agentes), excepto de veículos
07-Extracção e preparação de minérios metálicos.
automóveis e motociclos.
08-Outras indústrias extractivas.
47-Comércio a retalho, excepto de veículos automóveis e
09-Actividades dos serviços relacionados com as indústrias motociclos.
extractivas.
49-Transportes terrestres e transportes por oleodutos ou
10-Indústrias alimentares. gasodutos.
11-Indústria das bebidas. 50-Transportes por água.
12-Indústria do tabaco. 51-Transportes aéreos.
13-Fabricação de têxteis. 52-Armazenagem e actividades auxiliares dos transportes (inclui
14-Indústria do vestuário. manuseamento).
15-Indústria do couro e dos produtos do couro. 53-Actividades postais e de courier.
16-Indústrias da madeira e da cortiça e suas obras, excepto 55-Alojamento.

mobiliário; Fabricação de obras de cestaria e de espartaria. 56-Restauração e similares.
17-Fabricação de pasta, de papel, de cartão e seus artigos. 58-Actividades de edição.
18-Impressão e reprodução de suportes gravados. 59-Actividades cinematográficas, de vídeo, de produção de
19-Fabricação de coque, produtos petrolíferos refinados e de programas de televisão, de gravação de som e de edição de
aglomerados de combustíveis. música.
20-Fabricação de produtos químicos e de fibras sintéticas ou 60-Actividades de rádio e de televisão.

artificiais, excepto produtos farmacêuticos. 61-Telecomunicações.
21-Fabricação de produtos farmacêuticos de base e de 62-Consultoria e programação informática e actividades
preparações farmacêuticas. relacionadas.
22-Fabricação de artigos de borracha e de matérias plásticas. 63-Actividades dos serviços de informação.
23-Fabrico de outros produtos minerais não metálicos. 64-Actividades de serviços financeiros, excepto seguros e fundos
24-Indústrias metalúrgicas de base. de pensões.
25-Fabricação de produtos metálicos, excepto máquinas e 65-Seguros, resseguros e fundos de pensões, excepto segurança
equipamentos. social obrigatória.
26-Fabricação de equipamentos informáticos, equipamento para 66-Actividades auxiliares de serviços financeiros e dos seguros.
comunicações e produtos electrónicos e ópticos. 68-Actividades imobiliárias.
27-Fabricação de equipamento eléctrico. 69-Actividades jurídicas e de contabilidade.
28-Fabricação de máquinas e de equipamentos, n.e.. 70-Actividades das sedes sociais e de consultoria para a gestão.
29-Fabricação de veículos automóveis, reboques, semi-reboques 71-Actividades de arquitectura, de engenharia e técnicas afins;
e componentes para veículos automóveis. actividades de ensaios e de análises técnicas.
30-Fabricação de outro equipamento de transporte. 72-Actividades de investigação científica e de desenvolvimento.
31-Fabrico de mobiliário e de colchões. 73-Publicidade, estudos de mercado e sondagens de opinião.
32-Outras indústrias transformadoras. 74-Outras actividades de consultoria, científicas, técnicas e
33-Reparação, manutenção e instalação de máquinas e similares.
equipamentos. 75-Actividades veterinárias.
35-Electricidade, gás, vapor, água quente e fria e ar frio. 77-Actividades de aluguer.
36-Captação, tratamento e distribuição de água. 78-Actividades de emprego.
37-Recolha, drenagem e tratamento de águas residuais. 79-Agências de viagem, operadores turísticos, outros serviços de
38-Recolha, tratamento e eliminação de resíduos; valorização de reservas e actividades relacionadas.
materiais. 80-Actividades de investigação e segurança.
39-Descontaminação e actividades similares. 81-Actividades relacionadas com edifícios, plantação e
41-Promoção imobiliária (desenvolvimento de projectos de manutenção de jardins.
edifícios); construção de edifícios. 82-Actividades de serviços administrativos e de apoio prestados
42-Engenharia civil. às empresas.
43-Actividades especializadas de construção.
G.3 QUESTIONÁRIO EM VERSÃO ELECTRÓNICA
O questionário electrónico tem o seguinte desenho:
Apêndice H – Mensagens a Convidar à Resposta ao Questionário
APÊNDICE H
MENSAGENS A CONVIDAR À RESPOSTA AO

QUESTIONÁRIO
H.1 INTRODUÇÃO
Este apêndice apresenta as mensagens disponibilizadas nas páginas de Internet da IDC,

IAPMEI e na nossa página pessoal, a convidar os gestores das PMEs a responder ao
questionário.
H.2 MENSAGENS
a) Mensagem Disponibilizada no Site da IDC
b) Mensagem Disponibilizada no Site do IAPMEI
c) Mensagem Disponibilizada no nosso Site Pessoal
Apêndice I – As Pequenas e Médias Empresas na Economia Nacional
APÊNDICE I
AS PEQUENAS E MÉDIAS EMPRESAS NA ECONOMIA

NACIONAL
I.1 INTRODUÇÃO
Este apêndice apresenta os principais indicadores económicos relativos às PMEs

portuguesas, de acordo com os dados publicados pelo INE (INE, 2009b), agrupados ainda
segundo o código CAE Rev.2.1.
I.2 INDICADORES ECONÓMICOS
Os quadros seguintes apresentam os principais indicadores económicos das PMEs

portuguesas, em termos de número de empresas, número de empregados e volume de
negócios.
a) Indicadores do Número de Empresas
Tabela I.1: Empresas (Nº e %) por actividade económica e escalão de pessoal ao serviço.
Pessoal ao Serviço
Secções da CAE - Rev.2.1 Menos de 250 250 ou mais

pessoas ao serviço pessoas ao serviço TOTAL
N.º % N.º %
B - Pesca 5 158 100,0% 1 0,0% 5 159
C - Indústrias extractivas 1 499 99,9% 2 0,1% 1 501
D - Indústrias transformadoras 94 346 99,7% 293 0,3% 94 639
E - Electricidade, Gás e Água 738 97,6% 18 2,4% 756
F - Construção 122 399 99,9% 88 0,1% 122 487
G - Comércio 298 994 100,0% 121 0,0% 299 115
H - Alojamento e Restauração 89 756 100,0% 43 0,0% 89 799
I - Transportes e Comunicações 28 966 99,7% 75 0,3% 29 041
J – Actividades Financeiras 24 542 99,8% 49 0,2% 24 591
K - Actividades imobiliárias e
229 497 99,9% 199 0,1% 229 696
serviços prestados às empresas
M - Educação 61 726 100,0% 8 0,0% 61 734
N - Saúde 79 452 99,9% 50 0,1% 79 502
O - Outros serviços 88 231 100,0% 21 0,0% 88 252
TOTAL 1 125 304 99,9% 968 0,1% 1 126 372
Fonte: INE (2009b).
Tabela I.2: Empresas (N.º e %) por tipo de PME e por actividade económica.
Escalão de pessoal ao serviço

Total PME
Secções da CAE - Rev.2.1 0-9 10-49 50-249
Nº % Nº % Nº % Nº %
B - Pesca 4 835 93,7% 317 6,1% 6 0,1% 5 158 0,5%
C - Indústrias extractivas 1 174 78,3% 287 19,1% 38 2,5% 1 499 0,1%
D - Indústrias transformadoras 79 481 84,2% 12 389 13,1% 2 476 2,6% 94 346 8,4%
E - Electricidade, Gás e Água 618 83,7% 64 8,7% 56 7,6% 738 0,1%
F - Construção 112 847 92,2% 8 669 7,1% 883 0,7% 122 399 10,9%
G - Comércio 287 915 96,3% 10 075 3,4% 1 004 0,3% 298 994 26,6%
H - Alojamento e Restauração 85 848 95,6% 3 572 4,0% 336 0,4% 89 756 8,0%
I - Transportes e Comunicações 26 869 92,8% 1 794 6,2% 303 1,0% 28 966 2,6%
J – Actividades Financeiras 24 173 98,5% 271 1,1% 98 0,4% 24 542 2,2%
224 961 98,0% 3 844 1,7% 692 0,3% 229 497 20,4%
M - Educação 60 918 98,7% 688 1,1% 120 0,2% 61 726 5,5%

N - Saúde 78 306 98,6% 1 053 1,3% 93 0,1% 79 452 7,1%
O – Outros serviços 87 423 99,1% 691 0,8% 117 0,1% 88 231 7,8%
TOTAL 1 075 368 95,6% 43 714 3,9% 6 222 0,6% 1 125 304 100,0%
Fonte: INE (2009b).
b) Indicadores do Número de Empregados
Tabela I.3: Pessoal ao serviço (N.º e %) por actividade económica e escalão de pessoal ao serviço.
Pessoal ao Serviço

N.º % N.º %
B - Pesca 13 191 100% 13 191
C - Indústrias extractivas 9 224 100% 9 224
D - Indústrias transformadoras 667 628 81,6% 150 790 18,4%
E - Electricidade, Gás e Água 8 181 100% 8 181
F - Construção 461 682 89,7% 52 832 10,3% 514 514
G - Comércio 753 770 86,5% 117 519 13,5% 871 289
H - Alojamento e Restauração 253 944 88,3% 33 538 11,7% 287 482
I - Transportes e Comunicações 115 419 59,1% 79 968 40,9% 195 387
J – Actividades Financeiras 43 361 40,4% 63 968 59,6% 107 329
445 099 69,8% 192 538 30,2% 637 637
M - Educação 82 310 100% 83 310
N - Saúde 129 530 61,6% 80 787 38,4% 210 317
O - Outros serviços 134 323 91,6% 12 363 8,4% 146 686
TOTAL 2 982 740 75,7% 955 623 24,3% 3 938 364
Fonte: INE (2009b).
Tabela I.4: Pessoal ao serviço (N.º e %) por tipo de PME e por actividade económica.

Total PME
Nº % Nº % Nº % Nº %
B - Pesca 7 851 59,5% 5 340 40,5% 13 191 0,4%
C - Indústrias extractivas 5 712 61,9% 3 512 38,1% 9 224 0,3%
E - Electricidade, Gás e Água 1 338 16,4% 6 843 83,6 8 181 0,3%
F - Construção 222 746 48,2% 158 058 34,2% 80 878 17,5% 461 682 15,5%
G - Comércio 477 825 63,4% 182 529 24,2% 93 416 12,4% 753 770 25,3%
H - Alojamento e Restauração 160 349 63,1% 63 827 25,1% 29 768 11,7% 253 944 8,5%
I - Transportes e Comunicações 50 830 44,0% 35 123 30,4% 29 466 25,5% 115 419 3,9%
J – Actividades Financeiras 28 013 64,6% 5 903 13,6% 9 445 21,8% 43 361 1,5%
304 413 68,4% 70 038 15,7% 70 648 15,9% 445 099 14,9%
M - Educação 69 003 83,8% 13 307 16,2% 82 310 2,8%

N - Saúde 102 107 78,8% 18 290 14,1% 9 133 7,1% 129 530 4,3%
O – Outros serviços 109 477 81,5% 12 935 9,6% 11 911 8,9% 134 323 4,5
TOTAL 1 681 675 54,4% 820 299 26,5% 588 095 19,0% 2 982 740 100,0%
Fonte: INE (2009b).
c) Indicadores do Volume de Negócios
Tabela I.5: Volume de negócios das empresas (valor e %) por actividade económica e escalão de
pessoal ao serviço (em milhões de euros).
Pessoal ao Serviço

€ % € %
B - Pesca 315 100,0% 315
C - Indústrias extractivas 734 100,0% 734
D - Indústrias transformadoras 48 015 57,8% 35 013 42,2% 83 027
E - Electricidade, Gás e Água 7 382 100,0% 7 382
F - Construção 26 215 79,0% 6 989 21,0% 33 204
G - Comércio 107 501 78,9% 28 670 21,1% 136 171
H - Alojamento e Restauração 8 284 86,2% 1 331 13,8% 9 615
I - Transportes e Comunicações 15 763 54,5% 13 151 45,5% 28 914
J – Actividades Financeiras
27 112 87,4% 3 901 12,6% 31 013
M - Educação 957 100,0% 957
N - Saúde 4 343 51,6% 4 073 48,4% 8 417
O - Outros serviços 3 677 75,5% 1 192 24,5% 4 869
TOTAL 253 519 71,6% 100 786 28,4% 354 305
Fonte: INE (2009b).
Tabela I.6: Volume de negócios por tipo de PME e por actividade económica (em milhões de euros).

Total PME
€ % € % € % € %
B - Pesca 145 46,0% 170 54,0% 315 0,1%
C - Indústrias extractivas 424 57,7% 311 42,3% 735 0,3%
E - Electricidade, Gás e Água 6 625 89,7% 757 10,3% 7 382 2,9%
F - Construção 10 349 39,5% 8 792 33,5% 7 074 27,0% 26 215 10,3%
G - Comércio 42 566 39,6% 37 024 34,4% 27 911 26,0% 107 501 42,4%
H - Alojamento e Restauração 4 691 56,6% 2 248 27,1% 1 345 16,2% 8 284 3,3%
I - Transportes e Comunicações 3 594 22,8% 5 901 37,4% 6 267 39,8% 15 763 6,2%
J – Actividades Financeiras
15 438 56,9% 6 360 23,5% 5 314 19,6% 27 112 10,7%
M - Educação 613 64,1% 344 35,9% 957 0,4%

N - Saúde 2 769 63,8% 991 22,8% 583 13,4% 4 343 1,7%
O – Outros serviços 1 850 50,3% 840 22,9% 986 26,8% 3 677 1,5%
TOTAL 89 037 36,3% 85 284 33,6% 75 977 30,1% 253 519 100,0%
Fonte: INE (2009b).
Apêndice J – Matrizes de Correlação entre os Itens dos Constructos
APÊNDICE J
MATRIZES DE CORRELAÇÃO DOS ITENS DOS

CONSTRUCTOS
J.1 INTRODUÇÃO
Este apêndice apresenta as diversas matrizes de correlação entre os itens dos 11

constructos referentes ao modelo de investigação.
J.2 MATRIZES DE CORRELAÇÃO
Tabela J.1: Correlação dos itens do constructo “percepção do risco pelos gestores”.
Inter-Item Correlation Matrix
PerGest1 PerGest2 PerGest3

PerGest1 1,000 ,728 ,691
PerGest2 ,728 1,000 ,776
PerGest3 ,691 ,776 1,000
Tabela J.2: Correlação dos itens do constructo “ambiente organizacional”.
AmbOrg1 AmbOrg2 AmbOrg3

AmbOrg1 1,000 ,179 ,387
AmbOrg2 ,179 1,000 ,259
AmbOrg3 ,387 ,259 1,000
Tabela J.3: Correlação dos itens do constructo “ambiente de SI/TI”.
AmbSTI1 AmbSTI2 AmbSTI3 AmbSTI4 AmbSTI5 AmbSTI6

AmbSTI1 1,000 ,571 ,431 ,409 ,329 ,435
AmbSTI2 ,571 1,000 ,444 ,501 ,528 ,290
AmbSTI3 ,431 ,444 1,000 ,737 ,586 ,232
AmbSTI4 ,409 ,501 ,737 1,000 ,669 ,275
AmbSTI5 ,329 ,528 ,586 ,669 1,000 ,150
AmbSTI6 ,435 ,290 ,232 ,275 ,150 1,000
Tabela J.4: Correlação dos itens do constructo “características individuais dos gestores”.
SocGes1 SocGes2 SocGes3 SocGes4 SocGes5 SocGes6 SocGes7

SocGes1 1,000 ,226 ,269 ,216 ,174 ,103 ,158
SocGes2 ,226 1,000 ,814 ,656 ,707 ,706 ,583
SocGes3 ,269 ,814 1,000 ,720 ,762 ,694 ,645
SocGes4 ,216 ,656 ,720 1,000 ,791 ,738 ,739
SocGes5 ,174 ,707 ,762 ,791 1,000 ,875 ,719
SocGes6 ,103 ,706 ,694 ,738 ,875 1,000 ,737
SocGes7 ,158 ,583 ,645 ,739 ,719 ,737 1,000
Tabela J.5: Correlação dos itens do constructo “leis, regulamentos e normas”.
Leis1 Leis2 Leis3 Leis4 Leis5

Leis1 1,000 ,680 ,644 ,641 ,735
Leis2 ,680 1,000 ,868 ,775 ,609
Leis3 ,644 ,868 1,000 ,744 ,558
Leis4 ,641 ,775 ,744 1,000 ,555
Leis5 ,735 ,609 ,558 ,555 1,000
Tabela J.6: Correlação dos itens do constructo “governo da segurança da informação”.
GovSeg1 GovSeg2 GovSeg3 GovSeg4 GovSeg5 GovSeg6 GovSeg7

GovSeg1 1,000 ,775 ,716 ,643 ,710 ,677 ,600
GovSeg2 ,775 1,000 ,739 ,659 ,622 ,698 ,649
GovSeg3 ,716 ,739 1,000 ,604 ,629 ,623 ,640
GovSeg4 ,643 ,659 ,604 1,000 ,800 ,758 ,755
GovSeg5 ,710 ,622 ,629 ,800 1,000 ,766 ,729
GovSeg6 ,677 ,698 ,623 ,758 ,766 1,000 ,787
GovSeg7 ,600 ,649 ,640 ,755 ,729 ,787 1,000
Tabela J.7: Correlação dos itens do constructo “gestão do risco”.
GRisco1 GRisco2 GRisco3 GRisco4 GRisco5 GRisco6

GRisco1 1,000 ,539 ,462 ,450 ,462 ,337
GRisco2 ,539 1,000 ,812 ,720 ,699 ,521
GRisco3 ,462 ,812 1,000 ,785 ,731 ,571
GRisco4 ,450 ,720 ,785 1,000 ,741 ,622
GRisco5 ,462 ,699 ,731 ,741 1,000 ,598
GRisco6 ,337 ,521 ,571 ,622 ,598 1,000
Tabela J.8: Correlação dos itens do constructo “investimento em segurança da informação”.
InvSeg1 InvSeg2 InvSeg3 InvSeg4

InvSeg1 1,000 -,049 -,114 ,371
InvSeg2 -,049 1,000 ,387 ,100
InvSeg3 -,114 ,387 1,000 ,112
InvSeg4 ,371 ,100 ,112 1,000
Tabela J.9: Correlação dos itens do constructo “tecnologia”.
Tecno1 Tecno2 Tecno3 Tecno4

Tecno1 1,000 ,334 ,513 ,569
Tecno2 ,334 1,000 ,596 ,422
Tecno3 ,513 ,596 1,000 ,523
Tecno4 ,569 ,422 ,523 1,000
Tabela J.10: Correlação dos itens do constructo “pessoas”.
Pessoas1 Pessoas2 Pessoas3 Pessoas4 Pessoas5 Pessoas6 Pessoas7 Pessoas8 Pessoas9

Pessoas1 1,000 ,556 ,494 -,073 ,268 ,341 ,257 ,419 ,437
Pessoas2 ,556 1,000 ,532 -,015 ,245 ,374 ,397 ,440 ,394
Pessoas3 ,494 ,532 1,000 -,133 ,351 ,498 ,431 ,710 ,634
Pessoas4 -,073 -,015 -,133 1,000 ,055 -,039 ,024 -,047 ,025
Pessoas5 ,268 ,245 ,351 ,055 1,000 ,578 ,282 ,268 ,330
Pessoas6 ,341 ,374 ,498 -,039 ,578 1,000 ,467 ,491 ,467
Pessoas7 ,257 ,397 ,431 ,024 ,282 ,467 1,000 ,433 ,429
Pessoas8 ,419 ,440 ,710 -,047 ,268 ,491 ,433 1,000 ,644
Pessoas9 ,437 ,394 ,634 ,025 ,330 ,467 ,429 ,644 1,000
Tabela J.11: Correlação dos itens do constructo “eficácia das práticas de segurança da informação”.
Eficpr1 Eficpr2 Eficpr3 Eficpr4 Eficpr5 Eficpr6 Eficpr7 Eficpr8 Eficpr9

Eficpr1 1,000 ,822 ,564 ,599 ,545 ,476 ,504 ,474 ,506
Eficpr2 ,822 1,000 ,636 ,656 ,534 ,506 ,595 ,584 ,544
Eficpr3 ,564 ,636 1,000 ,751 ,536 ,513 ,397 ,521 ,491
Eficpr4 ,599 ,656 ,751 1,000 ,582 ,564 ,530 ,620 ,640
Eficpr5 ,545 ,534 ,536 ,582 1,000 ,617 ,389 ,516 ,480
Eficpr6 ,476 ,506 ,513 ,564 ,617 1,000 ,447 ,499 ,468
Eficpr7 ,504 ,595 ,397 ,530 ,389 ,447 1,000 ,560 ,552
Eficpr8 ,474 ,584 ,521 ,620 ,516 ,499 ,560 1,000 ,613
Eficpr9 ,506 ,544 ,491 ,640 ,480 ,468 ,552 ,613 1,000
Apêndice K – Diagramas do Teste do Efeito Moderador da Variável PerGest
APÊNDICE K
DIAGRAMAS DO TESTE DO EFEITO MODERADOR DA

VARIÁVEL PERGEST
K.1 INTRODUÇÃO
Este apêndice apresenta os diagramas produzidos no teste do efeito moderador da variável

PerGest sobre as outras variáveis independentes.
K.2 DIAGRAMAS DE DISPERSÃO
Os diagramas seguintes apresentam as relações entre as variáveis dependentes GovSeg,

GRisco, InvSeg, Tecno, Pessoas e Leis e a variável independente PerGest.
Gráfico K.1: Relação entre GovSeg e PerGest. Gráfico K.2: Relação entre GRisco e PerGest.
Gráfico K.4: Relação entre Tecno e PerGest.

Gráfico K.3: Relação entre InvSeg e PerGest.
Gráfico K.5: Relação entre Pessoas e PerGest. Gráfico K.6: Relação entre Leis e PerGest.
K.3 DISTRIBUIÇÃO DA VARIÁVEL ZRE_1
Os diagramas seguintes apresentam a distribuição da variável ZRE_1 para cada um dos

modelos para testar os efeitos indirectos da variável PerGest.
Gráfico K.7: Distribuição de ZRE_1 do modelo Gráfico K.8: Distribuição de ZRE_1 do modelo
GovSeg / PerGest. GRisco / PerGest.
InvSeg e PerGest. Tecno / PerGest.
Pessoas / PerGest. Leis / PerGest.
K.4 HOMOCEDASTICIDADE
Os diagramas seguintes apresentam a relação entre os resíduos estudantizados (ser_1) e o

valor previsto da variável dependente na forma estandardizada (zpr_1).
Gráfico K.14: Homocedasticidade do modelo

GRisco/PerGest.
GovSeg/PerGest.

Tecno/PerGest.
InvSeg/PerGest.
Gráfico K.17: Homocedasticidade do modelo Gráfico K.18: Homocedasticidade do modelo

Pessoas/PerGest. Leis/PerGest.

DG Joaquim Casaca Tese

Загружено:

Сведения о документе

Исходное описание:

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

DG Joaquim Casaca Tese

Загружено:

Авторское право:

Доступные форматы

Universidades Lusíada

Casaca, Joaquim António Aurélio, 1958-

Esta página foi gerada automaticamente em 2019-10-28T18:52:17Z com

Um modelo integrado para a gestão da segurança

Presidente: Prof. Doutor Eng. Diamantino Freitas Gomes Durão

Tese aprovada em: 14 de Junho de 2010

FACULDADE DE CIÊNCIAS DA ECONOMIA E DA

UM MODELO INTEGRADO PARA A GESTÃO DA

Autor: Mestre Joaquim António Casaca

Orientadora: Professora Doutora Manuela Faia Correia

Co-Orientador: Professor Doutor Ilídio Rodrigues Antunes

Tese submetida como requisito parcial para a obtenção do grau

Lisboa, Janeiro de 2010

Aos meus pais,

Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias ii

Ao atingir o final deste trabalho dedicado à segurança da informação nas pequenas e

Em primeiro lugar, o meu obrigado muito especial à minha orientadora, Professora

À Dr.ª Helena Duarte do IAPMEI, pela colaboração prestada na fase inicial da

À Dr.ª Isabel Viana da Informa D&B pela disponibilização de registos de pequenas e

À Dr.ª Cláudia Guerreiro do INE pela disponibilização de informação sobre o número de

Joaquim António A. Casaca

Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias iv

As pequenas e médias empresas assumem um papel relevante na economia nacional e

A presente investigação foi baseada num questionário como principal instrumento de

Os resultados indicam que o governo da segurança da informação, as tecnologias de

Palavras-chave: informação, segurança da informação, sistemas de informação,

Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias v

Keywords: information, information security, information systems, information and

Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias vi

DEDICATÓRIA ................................................................................................................... II

PARTE TEÓRICA ............................................................................................................ 13

CAPÍTULO 2 - A SEGURANÇA DA INFORMAÇÃO ................................................ 18

CAPÍTULO 3 - O GOVERNO DA SEGURANÇA DA INFORMAÇÃO.................... 38

CAPÍTULO 4 - A GESTÃO DO RISCO DA SEGURANÇA DA INFORMAÇÃO ... 55

CAPÍTULO 5 - INVESTIMENTO EM SEGURANÇA DA INFORMAÇÃO ............ 86

CAPÍTULO 6 - TECNOLOGIAS DE SEGURANÇA DA INFORMAÇÃO ............... 99

CAPÍTULO 7 - O FACTOR HUMANO NA SEGURANÇA DA INFORMAÇÃO .. 109

CAPÍTULO 8 - A SEGURANÇA DA INFORMAÇÃO COMO REQUISITO LEGAL

Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias ix

CAPÍTULO 10 - MODELO DE INVESTIGAÇÃO E DEFINIÇÃO DE HIPÓTESES .

PARTE EMPÍRICA ........................................................................................................ 165

CAPÍTULO 11 - CARACTERIZAÇÃO DA POPULAÇÃO ALVO ......................... 166

CAPÍTULO 12 - METODOLOGIA DE INVESTIGAÇÃO ....................................... 175

CAPÍTULO 13 - RESULTADOS E DISCUSSÃO DOS DADOS ............................... 204

13.4.2.1 Exploração dos Dados ....................................................................... 222

Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xi

CAPÍTULO 14 - CONCLUSÕES E RECOMENDAÇÕES ........................................ 261

BIBLIOGRAFIA ............................................................................................................. 274

GLOSSÁRIO ................................................................................................................... 302

APÊNDICE A – COMPONENTES, MODELOS E MÉTRICAS DA SEGURANÇA

APÊNDICE B – METODOLOGIAS DE GESTÃO DO RISCO DA SEGURANÇA

APÊNDICE C – NORMAS E REGULAMENTOS SOBRE CONTROLOS DE

APÊNDICE D – TECNOLOGIAS DE SEGURANÇA DA INFORMAÇÃO ........... 334

APÊNDICE E – LEIS E REGULAMENTAÇÕES SOBRE SEGURANÇA DA

APÊNDICE F – LEGISLAÇÃO DA UNIÃO EUROPEIA SOBRE SEGURANÇA DA

APÊNDICE G – QUESTIONÁRIOS ............................................................................ 367

APÊNDICE H – MENSAGENS A CONVIDAR À RESPOSTA AO

APÊNDICE I – AS PEQUENAS E MÉDIAS EMPRESAS NA ECONOMIA

APÊNDICE K – DIAGRAMAS DO TESTE DO EFEITO MODERADOR DA

Figura 0.1: Modelo de investigação da eficácia das práticas de gestão da segurança da

Um Modelo Integrado para a Gestão da Segurança da Informação nas Pequenas e Médias xv

Gráfico 13.1: Distribuição dos resíduos. ........................................................................... 228