liliana suzete lopes de queiroz campos uma proposta de conceito

Transcrição

UNIVERSIDADE DE BRASÍLIA
INSTITUTO DE CIENCIAS EXATAS
DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
ESPECIALIZAÇÃO EM GESTÃO DA SEGURANÇA DA INFORMAÇÃO
LILIANA SUZETE LOPES DE QUEIROZ CAMPOS
UMA PROPOSTA DE CONCEITO PARA ‘COMUNICAÇÕES’
NO TERMO SEGURANÇA DA INFORMAÇÃO E
COMUNICAÇÕES
Orientador: Prof. Dr. Mamede Lima-Marques
Brasília
2008
UNIVERSIDADE DE BRASÍLIA
INSTITUTO DE CIENCIAS EXATAS
DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
ESPECIALIZAÇÃO EM GESTÃO DA SEGURANÇA DA INFORMAÇÃO
LILIANA SUZETE LOPES DE QUEIROZ CAMPOS
COMUNICAÇÕES
Monografia apresentada ao Departamento de Ciência da Computação
da Universidade de Brasília como parte dos requisitos para obtenção do
título de pós-graduada em Gestão da Segurança da Informação e
Comunicações.
Orientador: Prof. Dr. Mamede Lima-Marques
Brasília
2008
COMUNICAÇÕES
Liliana Suzete Lopes de Queiroz Campos
Monografia de Especialização submetida e aprovada pela Universidade de Brasília
como parte do requisito parcial para a obtenção do certificado de Especialista em
Ciência da Computação: Gestão da Segurança da Informação.
Aprovada em: 15 de dezembro de 2008
_________________________________________
Prof. Dr. Mamede Lima-Marques
Universidade de Brasília
_________________________________________
Prof. Dr. Jorge H C Fernandes
_________________________________________
Prof. Dra. Magda Fernanda M Fernandes
Ao meu marido, José Ronaldo, e
aos meus filhos, Hugo e Matheus, pela
forma com que entenderam minha
necessidade de “furtar” valiosas horas de
nosso convívio, em prol da elaboração
deste trabalho.
AGRADECIMENTOS
Agradeço a todos que me
apoiaram e de alguma forma contribuíram
para a execução deste trabalho,
especialmente às seguintes pessoas:
Professor Mamede Lima-Marques,
Professor Jorge Fernandes, Ana Clara,
Inálio e Suzana.
Comunicação foi sempre uma palavra
divina. Evoca pluralidade de idiomas, a
universalidade da raça humana, o valor
do diálogo e do entendimento. O sentido
maior da democracia, dos valores éticos,
e do nascimento e integração das culturas
Francisco Viana.
RESUMO
Este trabalho apresenta proposta para conceituar ‘Comunicações’, no termo
Segurança da Informação e Comunicações de modo a justificar sua adoção e
aplicabilidade no âmbito da Administração Pública Federal, área de abrangência da
atuação do Departamento de Segurança da Informação e Comunicações, do
Gabinete de Segurança Institucional da Presidência da República. Também mostra
que o verbete ‘Comunicações’ pode ser aplicado e entendido em relação aos
indivíduos sob um aspecto pouco explorado nos processos de implementação de
Sistemas de Segurança da Informação: a formação de uma Cultura Organizacional
de Segurança da Informação, por meio de processos de conscientização com foco
nas comunicações. Com essa associação, atribui-se ao tema uma abordagem na
qual a pessoa tenha foco e nível de atenção que sejam semelhantes aos
dispensados à tecnologia no processo que envolve Segurança da Informação.
Palavras-chave: Segurança da Informação e Comunicações, Administração
Pública Federal, Comunicação Organizacional, Cultura Organizacional.
ABSTRACT
This paper presents a proposal to conceptualize the word 'Comunicações' in the
term ‘Segurança da Informação e Comunicações’ in order to justify its adoption and
applicability in the Brazilian Federal Public Administration. It shows that the word
‘Comunicações’ can be applied and understood under a little explored aspect: the
formation of a Culture of Security Information through an awareness process with
focus in communications in order to give people focus and attention similar to those
given to technology in the process that involves Information Security.
Keywords: Segurança da Informação e Comunicações, APF, Comunicação
Organizacional, Cultura Organizacional.
LISTA DE ABREVIATURAS E SIGLAS
APF
Administração Pública Federal
CGSIC
Curso de Especialização em Gestão da Segurança da
Informação e Comunicações
COMPUSEC
Segurança de Computadores
COMSEC
Segurança das Comunicações
CRIPTOSEC
Segurança Criptográfica
DSIC
Departamento de Segurança da Informação e Comunicações
EMSEC
Segurança na Emissão
GSI
Gabinete de Segurança Institucional
IC
Inteligência Competitiva
MIGSIC
Modelo de Implementação e Gestão da Segurança da
Informação
e
Comunicações
na
Administração
Pública
Federal
PR
Presidência da República
NI DSIC
Núcleo de Implantação da Diretoria de Segurança da
SI
Segurança da Informação
SIC
Segurança da Informação e Comunicações
TRANSEC
Segurança na Transmissão
UnB
SUMÁRIO
Introdução................................................................................................................12
1
Sobre o Problema e o Método ..........................................................................14
1.1
Objetivo Geral............................................................................................................. 14
1.2
Objetivos Específicos.................................................................................................. 14
1.3
Justificativa ................................................................................................................. 15
1.4
Metodologia ................................................................................................................ 17
1.4.1
Classificação .............................................................................................................................17
1.4.2
Percurso Metodológico .............................................................................................................17
PARTE I - Revisão de Literatura .............................................................................18
2
O Complexo Informação, Segurança, Cultura e Comunicação .....................19
2.1
Informação.................................................................................................................. 19
2.2
Capitais do Conhecimento .......................................................................................... 23
2.3
Segurança da Informação e Segurança das Comunicações....................................... 24
2.4
A Gestão da SI........................................................................................................... 30
2.5
A SI além do limite da TI ............................................................................................ 33
2.6
A Comunicação no Processo de Formação de Cultura............................................... 39
2.6.1
Comunicação Organizacional ...................................................................................................39
2.6.2
Cultura Organizacional..............................................................................................................44
2.6.3
Comunicação e Cultura.............................................................................................................49
PARTE II – Resultados da Pesquisa ......................................................................53
3
Segurança da Informação e Comunicações ...................................................54
3.1
Visão Sintática do Termo ............................................................................................ 54
3.2
Origem da utilização do Termo.................................................................................... 55
3.3
Aplicabilidade do Termo pelo DSIC ............................................................................. 57
4
Formando a Cultura de Segurança da Informação.........................................62
4.1
O Valor da Conscientização ........................................................................................ 62
4.2
Os Capitais do Conhecimento na formação da Cultura de Segurança da Informação 64
4.3
Comunicação como Processo de Geração da Cultura de SI ...................................... 67
5
Considerações Finais........................................................................................70
5.1
Uma Revisão dos Passos Propostos ......................................................................... 70
5.2
Contribuições Futuras ................................................................................................ 71
5.2.1
Formação da Cultura de SI por meio de Processos de Comunicação.....................................72
5.2.2
Paridades de Investimentos para Tecnologia e Pessoas no Processo de SI ...........................72
Referências ..............................................................................................................73
Anexo I – Pesquisa SIC...........................................................................................80
Anexo II – Pesquisa TIC..........................................................................................82
12
INTRODUÇÃO
A partir dos trabalhos para implantação do Departamento de Segurança da
Informação e Comunicações (DSIC), vinculado ao Gabinete de Segurança
Institucional da Presidência da República (GSI/PR), deu-se a adoção e utilização do
termo ‘Segurança da Informação e Comunicações’ (SIC), no âmbito da
Administração Pública Federal (APF).
Segurança da Informação (SI) é um termo para o qual existem definições,
conceitos e formas de utilização abordados em normas, bibliografias e fóruns.
Entretanto, não foram encontradas justificativas e tampouco definições que
expliquem o significado ou mesmo justifique a adoção do vocábulo ‘Comunicações’
nesse contexto.
Este trabalho pretende suprir essa lacuna de definição, vinculando o termo
‘Comunicações’ ao processo de criação e fortalecimento de uma Cultura de
Segurança da Informação, por meio de ações gradativas e constantes, com foco em
processos de comunicação.
Com essa associação, atribui-se ao tema uma abordagem mais social, na qual
o indivíduo tenha nível de atenção semelhante ao dispensado à tecnologia no
processo que envolve SI. Dessa forma, a pessoa terá o destaque necessário como
começo e fim do processo que envolve Segurança da Informação.
O conteúdo deste trabalho, dividido em capítulos, agrupa as informações
conforme as características de cada assunto.
O Capítulo 1 contém informações sobre o problema e o método, incluindo:
objetivo geral, objetivos específicos, justificativas em relação ao tema, além da
metodologia empregada para a confecção do trabalho.
13
Os conceitos envolvidos na discussão do tema, para as fundamentações da
proposição efetuada em relação à representatividade do termo ‘Comunicações’, são
apresentados no capítulo 2.
No Capitulo 3 são descritos os resultados das observações em relação à
origem e aplicabilidade do termo ‘Segurança da Informação e Comunicações’.
O Capítulo 4 aborda os pontos referentes à conscientização e comunicação no
processo de formação da cultura de Segurança da Informação.
O Capítulo 5 apresenta as considerações finais referentes às abordagens do
trabalho e sugestões para novas contribuições, relativas ao tema estudado.
14
1 SOBRE O PROBLEMA E O MÉTODO
Eu sempre tive um enorme desejo de aprender a
diferenciar o verdadeiro do falso, para ver
claramente minhas ações e caminhar com
segurança nesta vida
Descartes
1.1 Objetivo Geral
Propor um conceito para o verbete ‘Comunicações’, no termo ‘Segurança da
Informação e Comunicações’, sob o aspecto da formação de uma Cultura
Organizacional de Segurança da Informação.
1.2 Objetivos Específicos
a. Indicar a origem da utilização do termo ‘Segurança da Informação e
Comunicações’;
b. Efetuar uma análise crítica do conceito de ‘Comunicações’ quando vinculado
ao termo ‘Segurança da Informação’;
c. Apresentar a relação existente entre Comunicação e Formação de Cultura.
15
1.3 Justificativa
O DSIC, a partir de sua criação, adotou e passou a utilizar a expressão
Segurança da Informação e Comunicações em relação às suas atividades no trato
com a proteção da informação. Faltou, entretanto, assegurar-se do real significado
que desejou imputar ao vocábulo ‘Comunicações’ no contexto da Segurança da
Informação.
Há que se observar que a adoção de um determinado termo sem uma
definição de seu significado pode impossibilitar o consenso e entendimento,
gerando dúvidas quanto a sua utilização e emprego.
Conforme afirma Lara (2008), o intercâmbio de informações é facilitado por
meio da compatibilização de significados e, deste modo, a aplicação de
‘Comunicações’ no contexto da SI, evidência a necessidade do estabelecimento e
legitimação de uma definição, como fundamento para que o DSIC obtenha os
resultados esperados em suas atividades de estímulo à adoção de ações de SI.
Outro fator a considerar diz respeito a que a importância e visibilidade do DSIC
para a Administração Pública Federal atuam como força indutora para que outros
órgãos e instituições adotem, como boas práticas, processos de trabalho e
conceitos utilizados por esse departamento. O Ministério da Saúde, por exemplo,
com relação à política de segurança da informação do DATASUS, adotou a
denominação Política de Segurança da Informação e Comunicações do DATASUS1,
utilizando o termo ’Comunicações’ da mesma forma que a empregada pelo DSIC.
Porém, a falta de definição ou recomendação em relação às nomenclaturas a
serem adotadas pode ocasionar escolhas diferenciadas como ocorreu com o
Ministério do Planejamento, que mostrou outro entendimento ao referir-se ao termo
1
Art.
1º.
Portaria
nº
207
de
9
de
julho
de
2008.
Disponível
<http://bvsms.saude.gov.br/bvs/saudelegis/se/2008/prt0207_09_07_2008.html>. Acesso em : 17 jul. 2008.
em:
16
como ‘Segurança da Informação e de Comunicações’ conforme verificado em
2
informativo publicado no Portal SOF , que traz o seguinte texto:
(...) foi realizada a 6ª Reunião Ordinária da Comissão de Gestão da
Informação - CGI que abordou assuntos como: Segurança da Informação...,
Estiveram presentes na reunião diretores e substitutos dos Departamentos
que debateram a importância do Programa de Segurança da Informação e
de Comunicações em parceria com o Gabinete de Segurança Institucional
da Presidência da República na busca por um Plano de Segurança da
Informação e de Comunicações para a SOF.
Com base no exposto este trabalho encontra justificativas para conceituar
‘Comunicações’, no termo SIC, de modo a explicar sua utilização, evitando
dubiedade e dando direcionamento e sentido à sua aplicação no âmbito da
Administração Pública Federal, escopo de atuação do DSIC e da adoção do termo
‘Comunicações’ vinculado à expressão ‘Segurança da Informação’.
2
Portal da Secretaria de Orçamento Federal do Ministério do Planejamento, Orçamento e Gestão. Disponível
em: <https://www.portalsof.planejamento.gov.br/portal/sof_noticias/sof_noticias_84> .Acesso em:06 jul. 2008.
17
1.4 Metodologia
1.4.1
Classificação
Esta pesquisa é classificada como explicativa, tendo como base seus
objetivos, com abordagem teórico-metodológica de um campo específico do
conhecimento – Segurança da Informação e Comunicações.
Pode ser caracterizada como pesquisa bibliográfica e documental uma vez
que, a partir da revisão da literatura da área, tem como objetivo conhecer e analisar
as contribuições existentes sobre determinado assunto ou problema.
O método de procedimento adotado foi o monográfico, de acordo com Lakatos
e Marconi (1996) que o definem como um estudo sobre um tema específico ou
particular de suficiente valor representativo e que obedece a rigorosa metodologia.
1.4.2
Percurso Metodológico
Inicialmente serão levantadas informações sobre a ocorrência do termo
‘Segurança da Informação e Comunicações’, em publicações diversas.
Em seguida buscar-se-á por indícios de significados, por meio de análise de
conteúdo de bibliografias, incluindo documentos publicados pelo Gabinete de
Segurança Institucional da Presidência da República e documentos disponíveis em
sítios da internet.
Para o entendimento dos termos envolvidos no trabalho serão efetuadas
revisões
bibliográficas
sobre
Segurança
da
Informação,
Comunicação
Organizacional e Cultura Organizacional.
Para a proposta de vinculação do termo ‘Comunicações’ à formação de Cultura
de Segurança da Informação será utilizado como referencial teórico o trabalho de
Marchiori (2006).
18
PARTE I - REVISÃO DE LITERATURA
19
2 O COMPLEXO INFORMAÇÃO, SEGURANÇA, CULTURA
E COMUNICAÇÃO
2.1 Informação
A Informação ganha prioridade na gestão moderna. As organizações, cada vez
mais, dependem de sua capacidade de gerir de forma eficaz seus ativos de
informação, para bem cumprir sua missão. Segundo Porter e Millar (1985),
nenhuma empresa escapa dos efeitos advindos da revolução da informação. Devese, porém, estar atento para as dificuldades ligadas a essa gestão, principalmente
no que concerne à vastidão de conceitos assumidos pelo vocábulo Informação.
Pinheiro (2004) mostra o ponto de vista de Wersig e Nevelling, (1975) no qual
os autores apontam que a informação, como objeto da Ciência da Informação, não
é uma certeza, na medida em que é "um possível objeto..." e o termo, marcado por
ambigüidade, "é o mais extremo caso de polissemia na comunicação técnica da
informação e documentação". A autora mostra, ainda, que Cuadra (1966) “foi um
dos primeiros a ressaltar não haver concordância clara sobre o significado da
palavra informação, particularmente quanto a implicar ato criativo do intelecto ou
'commodity' que pode ser incorporada a um documento, transportada e
intercambiada."
Essa característica polissêmica de Informação é ressaltada por Sianes (2008)
ao abordar que o conceito tem sido discutido e apresentado sob diferentes facetas
por diferentes autores, a depender do contexto em que se realiza a explanação.
Vale ressaltar a seguinte sistematização, apresentada por Sianes (2008), proposta
por Wersig e Neveling (1975), com base em inúmeras abordagens encontradas na
literatura sobre a definição de informação:
20
–
Sob o ponto de vista estrutural: visão orientada para a matéria; a informação
independe da percepção humana, é uma característica inerente aos objetos.
–
Ponto de vista do conhecimento: considera que “a informação é o
conhecimento sendo comunicado”, e o conhecimento deve ser “adquirido
pelo menos por um sujeito”.
–
Ponto de vista da mensagem: a informação é considerada como sinônimo de
mensagem, sendo a mensagem uma unidade que consiste de um suporte
físico e um suporte semântico; relacionada à teoria matemática da
comunicação.
–
Ponto de vista do significado: considera que apenas o significado da
mensagem é informação.
–
Ponto de vista do efeito: visão orientada para o receptor; a informação seria o
efeito específico de um processo que altera o receptor; relacionada com as
teorias cognitivas.
–
Ponto de vista do processo: a informação é o próprio processo e não um de
seus componentes; processo que ocorre na mente humana com uma
finalidade específica (de comunicação).
Porém, toda essa abordagem não esgota o tema. Diversos autores se apóiam
em outros conceitos para definir informação.
Para Miranda (1999), Informação são dados organizados de modo significativo,
sendo subsídio útil à tomada de decisão. Para o autor, dado é um conjunto de
registros conhecidos, qualitativos ou quantitativos, que organizado, agrupado,
categorizado e padronizado adequadamente transforma-se em informação.
Nonaka e Takeuchi (1997) discorrem sobre o significado da informação
vinculando-o a conhecimento. Segundo esses autores, a informação é um produto
capaz de gerar conhecimento e conhecimento é identificado com a crença
produzida (ou sustentada) pela informação. Outros autores também atrelam
informação a conhecimento, conforme abordado por Sianes (2008) a partir das
visões de diversos autores, dentre os quais Capurro (1991, 1999, 2003), Bates
21
(1999, 2005), Saracevic (1999), Davenport (2001), Dreyfus (2002), Barreto (1994,
1996), Alvarenga (2003), Pinheiro (2004, 2005) e Lima-Marques (2004, 2006, 2007).
Para Sianes (2008), embora esses autores definam a informação (conhecimento
registrado) como o objeto de estudo da Ciência da Informação, consideram que ao
estudar a informação, ressaltam as inter-relações entre as teorias da informação e
do conhecimento e analisam não apenas o registro físico, mas o conteúdo, o sujeito
e o contexto.
Santos (1995), por sua vez, introduz a ‘Interação’ na relação InformaçãoConhecimento. Para ele a interação humana proporciona o intercâmbio ou troca de
informações que pode transformar-se em conhecimento humano. Já Setzer (2004)
distingue dados de informação e de conhecimento a partir da variável ‘percepção ou
capacidade de pensar’. Para o autor, dado é uma representação simbólica,
quantificada ou quantificável e informação tem a ver com o significado
compreendido de uma mensagem.
Na opinião de Setzer (2004), uma mensagem recebida torna-se informação se
o seu receptor compreende seu conteúdo. O autor acrescenta que uma percepção
sensorial só produz algo em nossa mente se conseguirmos associar conceitos a ela,
usando o pensamento, ou seja, compreensão e significado dependem da
capacidade de pensar, “de associar percepções e conceitos a outros conceitos”.
Deste modo, Setzer (2004) conclui que informação não se processa em
computadores, o que se processa são os dados que representam informações. Com
relação a conhecimento, Setzer (2004) alega que alguém tem conhecimento quando
pode efetuar associações de conceitos embasadas em uma vivência pessoal dos
objetos envolvidos. Para ele conhecimento é totalmente subjetivo já que cada
indivíduo tem uma vivência diferente.
O que se percebe é que informação e conhecimento são conceitos fortemente
atrelados entre si e para os quais não existe clareza de significado, sendo, muitas
vezes, utilizados como sinônimos.
Toda essa explanação ressalta a premência de se contextualizar ‘Informação’
dentro do escopo no qual aparece. É necessário realizar diferenciação entre esses
22
diversos conceitos de forma a não deixar pairar qualquer dúvida de entendimento,
uma vez que o mundo moderno se apropriou dessas nomenclaturas para
estabelecer fronteiras no mundo da Tecnologia da Informação.
A partir da avaliação dos conceitos pesquisados, optou-se nesse trabalho pela
adoção do conceito de Sianes (2008) no qual define ‘Informação’ como um registro
dotado de semântica, cujo significado depende de quem a detém, recebe ou
acessa. Ressalta-se nessa colocação o fato de que a informação se contextualiza
pelo seu significado e não pelos meios utilizados para sua transmissão ou
armazenamento.
A visualização do conceito ‘Informação = Registro’, elaborado por Sianes
(2008), é apresentado abaixo. Neste modelo foi incluída a língua não verbalizada,
ao lado do documento, da língua falada e da língua de sinais do modelo de LimaMarques e Lorens (2007), no qual Sianes (2008) se baseou.
Figura 1: A informação como registro (SIANES, 2008)
23
O conceito de informação como registro, neste trabalho, é abordado sob dois
aspectos:
a. da Segurança da Informação: diz respeito à informação que tem valor para a
organização e deve ser protegida no sentido de se evitar seu uso indevido.
b. da formação de cultura: diz respeito à informação como conteúdo de um
processo comunicativo, utilizado para geração de conhecimento e criação da
Cultura de SI.
Os dois aspectos são importantes em um processo de conscientização: o
primeiro, em relação ao que deve ser protegido e o segundo, como conteúdo
informacional para formação da consciência sobre a necessidade de proteção das
informações sensíveis para a organização. O aspecto ‘a’, pertencente ao escopo
das abordagens dos processos de SI, embora bastante referenciado, não é foco
direto deste trabalho. O foco central deste trabalho se refere ao aspecto ‘b’, ligado
ao processo de conscientização.
Tais conceituações, com certa liberdade de entendimento, adequam-se à
necessidade deste trabalho em relação à proposição de uma aplicação inovadora
para a informação, quando vista sob o aspecto do conteúdo a ser transmitido para a
formação da Cultura de Segurança da Informação.
2.2 Capitais do Conhecimento
O modelo ‘Capitais do Conhecimento’ é definido por meio da criação de quatro
capitais: o Capital Ambiental, o Capital Estrutural, o Capital Intelectual e o Capital de
Relacionamento. Esse modelo se aplica à proposta deste trabalho ao cobrir, a partir
dos quatro capitais, todos os ativos de informação de uma organização.
O Capital Ambiental é definido como o conjunto de fatores que descrevem o
ambiente onde a organização está inserida. Estes fatores são expressos pelas
características sócio-econômicas da região (nível de escolaridade, distribuição de
renda, taxa de natalidade, etc), pelos aspectos legais, valores éticos e culturais,
pelos aspectos governamentais (grau de participação do governo, estabilidade
política) e pelos aspectos financeiros.
24
O Capital Estrutural é definido como um conjunto de sistemas administrativos,
conceitos, modelos, rotinas, marcas, patentes e sistemas de informática, que
permitem à organização funcionar de maneira efetiva e eficaz.
O Capital Intelectual refere-se tanto à capacidade, habilidade e experiência
quanto ao conhecimento formal que os integrantes detêm e que agregam a uma
empresa. O capital intelectual não é, entretanto, propriedade das empresas, é um
ativo intangível que pertence ao próprio indivíduo, mas que pode ser utilizado pela
empresa para gerar valor.
O Capital de Relacionamento é definido como a rede de relacionamentos de
uma organização e seus colaboradores com seus clientes, fornecedores e parceiros.
Apesar de gestão do conhecimento não ser objeto específico deste trabalho, a
proposta de um processo de conscientização com base no modelo de capitais do
conhecimento se deve a que, nessa abordagem, a abrangência da informação
envolve de maneira simples e didática todo o fluxo informacional relacionado a uma
organização, enfocando a informação com base em seu significado e não,
simplesmente, nas tecnologias que dão suporte à sua gestão.
2.3 Segurança da Informação e Segurança das Comunicações
Segurança é termo abrangente que na língua portuguesa é empregado com
múltiplos sentidos.
Um dos sentidos de ‘segurança’ refere-se aos processos empregados de
forma a impedir ações diretas de acesso indevido a um local específico ou a algo de
valor. Outro sentido refere-se às ações indiretas, sem intervenção humana
intencional como, por exemplo, chuvas fortes e desabamentos em uma estrada.
Com relação à Informação, o termo segurança é normalmente empregado
como a proteção da informação em relação a sua disponibilidade, integridade,
confidencialidade e autenticidade. Tal definição, bastante genérica, não menciona
explicitamente os meios utilizados como suporte para o armazenamento,
25
processamento ou para a transmissão da informação, deixando, muitas vezes,
dúvidas quanto a se estar ou não englobando os cuidados com a Segurança das
Comunicações. Porém, alguns autores, como Sacramento (2006) e Beal (2005),
abordam o tema de forma a explicitar o alcance da abordagem da SI.
Para Sacramento (2006), a Segurança da Informação visa à aplicação de
medidas de segurança para proteção da informação processada, armazenada ou
transmitida, tanto nos sistemas de informação como nos de comunicação. Sob sua
ótica, a Segurança da Informação compreende dois aspectos: a Segurança dos
Computadores (COMPUSEC) e a Segurança das Comunicações (COMSEC). Para o
autor,
A COMPUSEC visa à aplicação de medidas de segurança do hardware,
software e firmware de um computador ou sistema de computadores, com a
finalidade de proteger ou prevenir a ocorrência não autorizada da
divulgação, manipulação, alteração, ou interrupção de acesso da informação
(SACRAMENTO, 2006).
Com relação à COMSEC, o autor destaca:
A COMSEC visa à aplicação de medidas de segurança das comunicações,
de forma a negar a pessoas não autorizadas o acesso a informações
valiosas, que poderão derivar da sua posse ou estudo, ou assegurar a
autenticidade dessas comunicações. (SACRAMENTO, 2006).
Na opinião de Beal (2005), a Segurança da Comunicação é aspecto adicional
da Segurança da Informação que tem a ver com documentos em trânsito e disputa
sobre origem de uma comunicação ou recebimento de uma informação transmitida.
Segundo a autora, a Segurança da Comunicação visa proteger a informação
que trafega de um ponto a outro com o objetivo de preservar os seguintes aspectos:
–
–
–
–
–
Integridade do conteúdo: garantia de que a mensagem enviada pelo
emissor é recebida de forma completa e exata pelo receptor.
Irretratabilidade da comunicação: garantia de que o emissor ou receptor
não tenha como alegar que uma comunicação bem-sucedida não
ocorreu.
Autenticidade do emissor e do receptor: garantia de que quem se
apresenta como remetente ou destinatário da informação é realmente
quem diz ser.
Confidencialidade do conteúdo: garantia de que o conteúdo da
mensagem somente é acessível a seu(s) destinatário(s).
Capacidade recuperação do conteúdo pelo receptor: garantia de que o
conteúdo transmitido pode ser recuperado em sua forma original pelo
destinatário.
26
3
Sacramento (2006) e Wikipedia compactuam com Beal (2005) ao apresentar
as seguintes características da COMSEC:
–
Cryptosecurity: Componente de segurança das comunicações que resultam
da utilização e aplicação de sistemas criptográficos e que possibilitam
assegurar a confidencialidade e a autenticidade da transmissão de
informações.
–
Emissão segura (EMSEC): Medidas tomadas no sentido de não permitir que
pessoas, não autorizadas, tenham acesso a informações de valor a partir da
interceptação e análise dos níveis sonoros emitidos a partir de criptografia,
equipamentos, sistemas de informação automatizados (computadores) ou
sistemas de telecomunicações.
–
Transmissão segura (TRANSEC): Aplicação de medidas destinadas a evitar
que uma transmissão seja interceptada ou explorada por outros meios que
não os ‘encriptados’, por exemplo, salto de freqüência.
–
Segurança física: medidas necessárias para salvaguardar e classificar
equipamentos, materiais e documentos contra acessos indevidos ou não
autorizados.
–
Fluxo de tráfego de segurança: medidas que ocultam a presença e as
propriedades de mensagens válidas em uma rede. Inclui a proteção
resultante de características de alguns cryptoequipment, que ocultam a
presença de mensagens válidas em um circuito de comunicações.
Sacramento (2006) simplifica o entendimento sobre COMSEC e COMPUSEC
ao relatar que, simbolicamente, o domínio da COMPUSEC termina aquém da
tomada onde se inicia a COMSEC (além da tomada, prosseguindo nas redes locais,
equipamentos e redes subseqüentes).
De
acordo
com
Sacramento
(2006),
o
domínio
da
segurança
das
comunicações envolve diversas fontes de obtenção e interceptação de mensagens,
sendo mais comuns as seguintes:
3
COMSEC. Disponível em:<http://en.wikipedia.org/wiki/COMSEC>. Acesso em: 29 set. 2008.
27
–
aquisição de informação por meio de pessoas, seja em entrevistas e
interrogatórios ou utilizando outras técnicas para obtenção de confissões ou
revelações involuntárias de informação;
–
informação resultante da interceptação de sinais com origem em emissão de
energia eletromagnética;
–
aquisição de informação (imagem) via satélite e fotografia aérea;
–
aquisição de informação que está acessível publicamente. Inclui a
informação que circula em jornais, internet, livros, listas telefônicas, revistas
científicas, emissoras rádio, televisão, etc.
Também o Governo Federal, ao tratar da Segurança da Informação, não exclui
deste conceito os aspectos da Segurança das Comunicações. O Decreto nº 3505 de
2000, que institui a Política de Segurança da Informação nos órgãos e entidades da
APF, traz uma definição que coloca em nível de igualdade, dentro da SI, os
aspectos dos Recursos Humanos, da documentação e das “Instalações das
Comunicações e Computacional” ao definir Segurança da Informação da seguinte
maneira:
Segurança da Informação é a proteção dos sistemas de informação contra a
negação de serviço a usuários autorizados, assim como contra a intrusão e
a modificação desautorizada de dados ou informações armazenados, em
processamento ou em trânsito, abrangendo, inclusive, a segurança dos
recursos humanos, da documentação e do material, das áreas e instalações
das comunicações e computacional, assim como as destinadas a prevenir,
detectar, deter e documentar eventuais ameaças a seu desenvolvimento.
Na APF, as bases para implementação da Segurança da Informação advêm
dos conceitos empregados, mais especificamente, nas normas ABNT NBR ISO/IEC
27001 e ABNT NBR ISO/IEC 27002, embasadas nas normas da série BS 27000 do
padrão inglês da British Standard, que trata da Segurança da Informação.
A NBR ISO/IEC 27001 foi elaborada de modo a prover um modelo para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um Sistema de Gestão de Segurança da Informação de uma organização.
A NBR ISO/IEC 27002 fornece recomendações em gestão da segurança da
informação para uso dos responsáveis pela implementação e manutenção da
28
segurança em suas organizações. Tem como propósito prover uma base comum
para o desenvolvimento de normas de segurança organizacional e práticas efetivas
de gestão da segurança, além de prover confiança nos relacionamentos entre as
organizações. Até 2007, a NBR ISO/IEC 27002 era denominada NBR ISO/IEC
17799:2005.
A NBR ISO/IEC 27002 conceitua SI como:
A preservação da confidencialidade, da integridade e da disponibilidade da
informação; adicionalmente, outras propriedades, tais como autenticidade,
responsabilidade, não repúdio e confiabilidade, podem também estar
envolvidas (ABNT NBR ISO/IEC 27002:2005).
A mesma norma refere-se à Segurança da Informação também como a
proteção da informação de diversos tipos de ameaças, para garantir a continuidade
e minimizar o risco do negócio, maximizar o retorno sobre os investimentos e as
oportunidades dos negócios.
Embora essas normas, ao conceituar Segurança da Informação, não
enfoquem explicitamente a Segurança das Comunicações, também não a excluem,
uma vez que na definição de SI não especificam os meios ou infraestruturas
consideradas. Adicionalmente, a norma NBR ISO/IEC 27001, ao tratar sobre os
controles a serem adotados nos processos de SI, cita os termos ‘comunicações’ e
‘telecomunicações’ em alguns itens, como, por exemplo, os apontados na tabela
abaixo:
Item
Controle
A.9.2.3 Segurança do O cabeamento de energia e de telecomunicações que transporta
cabeamento
dados ou dá suporte aos serviços de informações deve ser
protegido contra interceptação ou danos.
A.10.8.1 Políticas e
Políticas, procedimentos e controles devem ser estabelecidos e
procedimentos para
formalizados para proteger a troca de informações em todos os
troca de informações
tipos de recursos de comunicação.
A.11.7.1 Computação Uma política formal deve ser estabelecida e medidas de segurança
e comunicação móvel apropriadas devem ser adotadas para a proteção contra os riscos
do uso de recursos de computação e comunicação móveis.
29
A NBR ISO/IEC 27001 ressalta, ainda, que os controles não se exaurem com a
lista publicada. Sendo assim, o entendimento deste trabalho de que a Segurança
das Comunicações’ pode ser tratada como um dos aspectos da SI, não encontra
obstáculos nas recomendações dessa norma, pois não existem impedimentos para
a definição de controles adicionais, voltados para as comunicações, em caso de
necessidade.
De acordo com o decreto 3505, as ações voltadas para a SI, no âmbito do
Governo Federal, competem à Secretaria-Executiva do Conselho de Defesa
Nacional (CDN), cujo papel de Secretário-Executivo cabe ao Ministro Chefe do
Gabinete de Segurança Institucional da Presidência da Republica (GSI). Em junho
de 2008, o GSI publicou a Instrução Normativa GSI Nº 1 (IN GSI nº 1) que disciplina
a Gestão de Segurança da Informação e Comunicações na Administração Pública
Federal. A IN GSI nº 1 acrescenta ‘Comunicações’ ao termo ‘Segurança da
Informação’, rotulando-o como SIC, e o apresenta como: “Ações que objetivam
viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a
autenticidade das informações (IN GSI nº 1).
A definição de SIC adotado pelo DSIC, é bem similar às definições de SI
empregadas pelas normas da ABNT, não se observando nenhum conceito ligado
especificamente à Segurança das Comunicações. A norma ABNT NBR ISO/IEC
27002 traz em seu contexto, inclusive, o que define como propriedades básicas da
Segurança da Informação, sendo que quatro delas, conforme lista abaixo, fazem
parte da definição de SIC, empregadas pelo DSIC.
Confidencialidade – propriedade que garante que a informação esteja
acessível somente a pessoas autorizadas;
Integridade – propriedade relativa à garantia de que a informação tem as
características originais estabelecidas pelo proprietário ou autor da informação
ou que, em caso de alterações, estas tenham sido autorizadas;
Disponibilidade - propriedade que garante que a informação esteja sempre
disponível para usuários autorizados;
As propriedades abaixo, também podem ser aplicadas:
30
Autenticidade – propriedade que possibilita garantir a veracidade do emissor;
Irretratabilidade ou Não Repúdio – propriedade que garante a autoria de
determinadas ações impedindo seu repúdio ou negação;
Legalidade ou Conformidade – propriedade que garante a aplicação de
medidas legais quando necessário;
Como pode ser observado, o conceito de SI nas revisões efetuadas não se
vincula aos meios nos quais a informação trafega ou é armazenada. Também não
foram observados indícios de polêmica sobre se os conceitos vigentes de SI estão
ou não englobando a Segurança das Comunicações ou das Telecomunicações. A
discussão da abrangência está mais afeta à excessiva vinculação de SI com a TI,
que deixam de fora aspectos relativos a conhecimento, pessoas e informações em
meios não tecnológicos. Desse modo, evidencia-se que não haverá prejuízo de
conceito, ao se adotar a proposta desse trabalho de que a Segurança da
Informação engloba a Segurança das Comunicações.
2.4 A Gestão da SI
Sob o prisma da ABNT NBR ISO/IEC 27002 a Segurança da Informação é
obtida a partir da implementação de um conjunto de controles, incluindo políticas,
processos, procedimentos, estruturas organizacionais e funções de software e
hardware, envolvendo os seguintes tópicos:
a. Política de Segurança da Informação
b. Organizando a Segurança da Informação
c. Gestão de ativos
d. Segurança em Recursos Humanos
e. Segurança física e do ambiente
f. Gerenciamento das operações e comunicações
g. Controle de acesso
h. Aquisição, desenvolvimento e manutenção de sistemas de informação.
31
i.
Gestão de incidentes de segurança da informação
j.
Gestão da continuidade do negócio
k. Conformidade
Para cada um desses tópicos são efetuadas recomendações com o propósito
de prover uma base comum para o desenvolvimento de normas de segurança e
práticas efetivas de gestão.
Para a gestão da SI, a ABNT NBR ISO/IEC 27001 propõe a adoção de um
modelo de processos, o PDCA, composto pelas seguintes fases:
- Plan (Planejar): referente ao estabelecimento de um Sistema de Gestão de
Segurança da Informação (SGSI), ou seja, estabelecimento da política, dos
objetivos, processos e procedimentos do SGSI, que sejam relevantes para a
gestão de riscos e para a melhoria da segurança da informação, com o
objetivo de gerar resultados de acordo com as políticas e objetivos globais da
organização.
- Do (Executar): referente à implementação e operação do SGSI, isto é,
implementação da política, dos controles, processos e procedimentos que
fazem parte do SGSI.
- Check (Verificar): referente à monitoração e análise critica do SGSI. Deve ser
feita a avaliação e, quando aplicável, medido o desempenho do processo,
frente à política, objetivos e experiência prática do SGSI, além de ser
apresentado o resultado para análise critica da direção.
- Act (Agir): referente à manutenção e melhoria do SGSI. Nesta fase, com
base nos resultados da auditoria interna do SGSI, da analise crítica pela
direção e de outras informações pertinentes, é realizada a execução de
ações corretivas e preventivas para alcançar a melhoria contínua do SGSI.
Autores como Fisher (1984) e Sêmola (2006) também enfatizam a
necessidade de um programa contínuo de Segurança da Informação. Sêmola
(2006) explicita a necessidade de segurança da informação em todas as fases do
ciclo de vida da informação, ou seja: no manuseio, armazenamento, transporte e
32
descarte. Segundo ele, há que se entender que a informação é o alvo e que a
complexidade de proteção é grande, pois a informação extrapolou os limites de
ambientes físicos específicos ou de processos isolados. “A informação circula agora
por toda a empresa, alimenta todos os processos de negócio, ficando, pois, sujeita a
várias ameaças, furos de segurança ou vulnerabilidades, e é sensível a impactos
específicos e dificuldade de proteção”.
Sêmola (2006) sugere que as empresas devem refletir sobre como está a visão
corporativa em relação à Segurança da Informação, a partir das questões a seguir:
- A atenção da empresa ou organização não está voltada somente para os
aspectos tecnológicos da segurança, esquecendo-se os aspectos físicos e
humanos?
- Os investimentos em segurança estão alinhados com os objetivos do negócio?
- As ações são baseadas em algum plano de segurança?
- Existe uma real visão da segurança ou, devido a alguns controles, existe apenas
uma falsa sensação de segurança?
Para uma completa abrangência da organização, o autor sugere a adoção de
um modelo de gestão corporativa de Segurança da Informação, cíclico e
encadeado, formado pelas seguintes etapas:
a- Comitê corporativo de Segurança da Informação
b- Mapeamento de segurança
c- Estratégia de segurança
d- Planejamento de segurança
e- Administração de segurança
f- Segurança da cadeia produtiva
Para esse autor a gestão integrada é benefício relevante, pois pode evitar
investimentos redundantes, ações desencontradas, atividades contrárias ou
conflitantes além de proporcionar canalização de esforços ao encontro do objetivo
de negócio da organização.
33
A gestão da SI deve englobar todos os aspectos envolvidos no trato com a
informação: pessoas, processos e tecnologia. Com relação às pessoas, a condução
de processos de conscientização e formação deve fazer parte de todo o ciclo de
gestão, juntamente com os cuidados dispensados aos processos e à tecnologia. Os
esforços despendidos na criação da cultura de SI contribuirão para evitar riscos de
paralisação de processos por problemas advindos de mau uso ou fraudes nos
sistemas de informação.
2.5 A SI além do limite da TI
Normalmente, as explanações sobre SI destacam a importância da
preservação da informação em todos os meios, aspectos e fases de seu ciclo de
vida. Entretanto o que se percebe são procedimentos mais voltados para a
segurança em relação à proteção da informação em meios tecnológicos. Um dos
pontos mais discutidos dessa visão, diz respeito à pouca atenção dada ao individuo
em seu relacionamento com a Segurança da Informação.
Apesar de comumente aceito que o lado mais frágil do processo de SI sejam
as pessoas, na opinião de vários autores, os recursos humanos são, normalmente,
considerados sob a perspectiva de usuários, ficando em segundo plano o cuidado
com a informação em seu poder e formas de prepará-lo para efetuar procedimentos
necessários em prol do alcance dos objetivos de SI.
Marciano (2006), após uma revisão dos conceitos vigentes de Segurança da
Informação, considerando, dentre outros, Pemble (2004) e Venter e Ellof (2003),
ressalta que a SI é vista “como um domínio tecnológico onde ferramentas e recursos
tecnológicos são aplicados em busca de soluções de problemas gerados, muitas
vezes, com o concurso daquela mesma tecnologia”.
Segundo Marciano e Lima-Marques (2006), normalmente, para se cumprir os
objetivos de Segurança da Informação adotam-se estratégias de implementação de
normas e políticas de segurança, a partir de modelos de boas práticas “voltados a
aspectos técnicos, por vezes deslocados do contexto humano e profissional em que
se inserem”.
34
Marciano (2006) aborda, em outro ponto de seu trabalho, o viés tecnológico da
SI, da seguinte maneira:
“Os mecanismos de análise e de formalização de políticas de segurança
atualmente em voga, tais como a norma International Organization for
Standardization/ International Electrotechnical Commission - ISO/IEC 17799,
cuja adoção no Brasil se deu por meio da norma da Associação Brasileira de
Normas Técnicas - ABNT Norma Brasileira de Referência – NBR 17799
(ABNT, 2002), ou a descrição de recomendações de institutos de tecnologia
e de padrões (BASS, 1998), partem de pressupostos representados por
“melhores práticas” (WOOD, 2002b), ou seja, adota-se um conjunto de
procedimentos “ad hoc”, definidos de forma empírica e exclusivamente
voltados a aspectos técnicos, deslocados do contexto humano e profissional
em que se inserem” (MARCIANO, 2006. p.64).
Nesse
contexto,
ainda
segundo
Marciano
(2006),
“Hitchings
(1995)
apresentava, já há mais de uma década, a necessidade de um conceito de
Segurança da Informação, no qual o aspecto do agente humano tivesse a devida
relevância, tanto como agente como paciente de eventos de segurança”.
Sêmola (2006), ao relatar que com relação a SI o que se vê são orientações do
que fazer e não de como fazer, mostra outro viés em relação à pessoa, qual seja:
existe o que é esperado, mas não os caminhos que as pessoas devem percorrer
para seu alcance. Segundo ele, as pessoas, responsáveis pela implementação do
que está definido, tem de buscar seus próprios meios para saber se escolheram ou
não a melhor maneira de fazer. De acordo com o autor, para o ‘como’ não existem
as melhores práticas.
Outro aspecto em relação às pessoas é mostrado em estudo recente,
conduzido por Sianes (2008). Nesse estudo, a autora aponta que a proteção dos
ativos informacionais, quando presente nas organizações, está relacionada, de
forma predominante, a políticas de informação que contemplam apenas informações
estruturadas
e
armazenadas
em
documentos
ou
em
bancos
de
dados
informatizados. Segundo a autora, os procedimentos descritos atualmente estão
voltados essencialmente para a segurança física e lógica das informações
associadas às tecnologias da informação e da comunicação, sendo que:
os recursos humanos são considerados apenas como usuários dos recursos
computacionais disponíveis e o foco fica restrito à segurança das
informações gravadas em suportes físicos ou virtuais, ignorando que o
conhecimento é criado na relação do sujeito com o mundo e circula de
diversas formas por meio do raciocínio e ações humanos (SIANES, 2008).
35
As próprias normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002
reforçam esse aspecto ao trazer em seu título, explicitamente, o termo Tecnologia
da Informação.
Com relação à ABNT NBR ISO/IEC 27002, Sianes (2008) ressalta que a visão
dessa norma “é essencialmente tecnológica e definida como uma meta a ser
atingida em relação à resguardar os sistemas de informação contra as ameaças à
integridade, disponibilidade e confidencialidade”. Segundo a autora,
(...) a expressão ‘sistema de informação’ passou a ser considerada como
sinônimo de sistema informatizado, ou sistema de computadores,
esquecendo que um diálogo, uma reunião social, um encontro de amigos,
um processo de tomada de decisão, ou um jogo são exemplos que
envolvem sistemas de informação, independentemente da existência de um
computador (SIANES 2008, p.138).
Também para Beal (2005), a expressão Segurança da Informação é utilizada
mais comumente em relação às informações mantidas em componentes de TI e
destaca a necessidade de proteção da informação também fora desse contexto:
Embora os sistemas informatizados se tornem cada vez mais indispensáveis
para a operação de qualquer negócio, e uma parte cada vez maior do
conjunto de informações importantes para as organizações esteja
armazenada em computadores, é necessário considerar também a proteção
dos ativos informacionais que se encontram armazenados apenas na mente
humana, num pedaço de papel ou em microfichas e microfilmes (BEAL,
2005, p xi.).
Sob o ponto de vista de Beal (2005) a SI deve ser vista sob dois aspectos: a
Segurança da Informação no âmbito da TI e a Segurança da Informação não
armazenada em TI. A segurança com relação à TI diz respeito ao cuidado com as
informações residentes em base de dados, arquivos informatizados, mídias
magnéticas ou outras que exijam soluções de informática para seu acesso. Já a
Segurança da Informação não armazenada em TI diz respeito às informações
corporativas não armazenadas em meios eletrônicos ou não documentadas.
O NIST e o FOIS (apud Netto, Allemand e Freire, 2007) também apontam para
a importância do cuidado com as pessoas na proteção da informação, já que dentre
os motivos principais das falhas em um processo de SI estão:
a. Pessoas não capacitadas e conscientizadas: A segurança na organização é
responsabilidade de todos, cada qual no seu segmento de atuação. Dessa
36
forma, as pessoas devem ser conscientizadas e capacitadas para saber
contra o quê e como se proteger;
b. Exposição desnecessária de empregados a informações sensíveis: o
desconhecimento do real valor da informação, bem como a ausência de uma
sistemática de classificação da informação, pode resultar em exposição
desnecessária, causando impactos para organização.
Sobre esse aspecto, Cunha (2008) cita dois pontos de vista: o de Fernando
Nicolau Freitas Ferreira4, segundo o qual a garantia de que uma organização
possuirá um grau de segurança razoável está diretamente ligada ao nível de
conscientização de seus colaboradores; e o de Álvaro Teófilo5, quando diz que o
passo mais importante no processo de assegurar o macro controle de Segurança
em Recursos Humanos é obter conscientização dos colaboradores.
Ainda, segundo Cunha (2008), Álvaro Teófilo aconselha “que a maioria das
empresas faça iniciativas de segurança com foco nas pessoas” e Fernando Nicolau
complementa dizendo que a segurança somente será eficaz se todos tiverem pleno
conhecimento do que lhes é esperado e de suas responsabilidades.
A avaliação da necessidade de conscientização faz parte, também, da
percepção de empresas nacionais de diversos setores. A décima edição da
Pesquisa Nacional de Segurança da Informação, realizada pela empresa Módulo6
com a participação de cerca de 600 profissionais, das áreas de Tecnologia e
Segurança da Informação, representando a metade das mil maiores empresas
brasileiras, apontou que a maioria delas (55%) considera a falta de conscientização
dos executivos e usuários, o principal obstáculo para a implementação da
segurança nas empresas.
4
Auditor de Sistemas (CISM - Certified Information Security Manager pelo ISACA e BS 7799 Lead
Auditor pela BSI)
5
6
Gerente-geral de Segurança da Informação do banco Santander Banespa
Dados de pesquisas. Disponível em: <http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf>.. Os 600
profissionais respondentes atuam em TI e SI nos seguintes setores: Governo (21%), Financeiro (15%),
Informática (14%), Indústria (9%), Prestação de Serviços (8%), Telecomunicações (5%), Comércio (4%),
Educação (3%), Energia Elétrica (3%), Saúde (2%), Mineração (0,5%).
37
A NBR ISO/IEC 27002 contempla a necessidade de conscientização e
treinamento da pessoa como usuária dos Sistemas de Informação. Segundo essa
norma, “todos os funcionários da organização e, onde pertinente, fornecedores e
terceiros devem receber treinamento apropriado sobre Segurança da Informação e
atualizações regulares nas políticas e procedimentos organizacionais, relevantes
para suas funções”.
Prever, decidir, implementar, organizar e todos os demais verbos que
representam ações em uma organização e, por conseqüência, ações de SI estão
diretamente vinculados às pessoas e delas dependem. Para que pessoas possam
agir é primordial a conscientização da necessidade de agir. Serão em vão
investimentos, pesquisas, trabalhos e soluções de especialistas se trabalhadores e
usuários da informação não estiverem sendo informados e comunicados sobre as
infinidades de ataques e formas de proteção.
O que deve ser percebido é que a tecnologia oferece os recursos para uma
boa proteção, mas, quem define prioridades, justifica necessidades e forma de ação
são as pessoas.
São as pessoas que comandam as organizações, que
desenvolvem sistemas, que apertam os botões e que cumprem ou descumprem
regulamentos (FONTES, 2008).
Entretanto, reconhecer a importância da pessoa no contexto da SI não diminui
o reconhecimento da importância que os recursos tecnológicos têm no processo de
gestão da informação e conseqüentemente da Segurança da Informação.
Não se pode desconsiderar que a informação em todas as suas formas, tem
sido reduzida a bits armazenados em computadores e correm à velocidade da luz,
por meio de redes (GOMEZ, MARCHETTI e PRADO, 2005) e que, desse modo, as
empresas dependem cada vez mais das tecnologias para gerir a grande quantidade
de informação inerente ao seu negócio.
A forte dependência de TI para o trato com a informação pode ter sido,
inclusive, o motivo para a visão de que Segurança da Informação pode ser obtida
com tecnologia correta e processos bem implementados. Porém, segundo
38
Cunha (2006), a crença de que tecnologia e processos são suficientes para tornar
determinados ambientes e recursos seguros é facilmente derrubada quando se
percebe que pessoas deixam de implementar ou desligar controles, ignoram regras
e normas ou efetuam procedimentos indevidos ou proibidos.
Marciano (2006) relata que a tecnologia da informação é capaz de trazer
soluções que amenizem os problemas de segurança. Acrescenta o autor, que não é
possível resolver todos os problemas somente com tecnologia, evidenciando que a
aplicação e utilização de TI, no processo de gestão da SI, é fator inquestionável,
mas a formação das pessoas é fator preponderante.
Dada a importância tanto da pessoa como dos recursos tecnológicos no
processo de SI, cabe ressaltar a tese de Marciano (2006) na qual defende que SI é
um fenômeno social e como tal, necessita ser embasada em conceitos sociais, além
dos tecnológicos, para sua correta cobertura.
Marciano e Lima-Marques (2006) afirmam que uma definição de SI deve
abranger todos os componentes que fazem parte do complexo de SI:
a. Os atores do processo (os usuários);
b. O ambiente original de sua atuação (os sistemas computacionais de
informação, potencializados pelos recursos tecnológicos);
c. O alcance final dessa mesma atuação (a própria sociedade, mediante o
impacto causado pelas modificações introduzidas pela utilização dos
sistemas de informação).
Deste modo, considerando os aspectos abordados, adota-se, para efeito deste
trabalho, a seguinte definição de SI.
Segurança da informação é um fenômeno social no qual os usuários (aí
incluídos os gestores) dos sistemas de informação têm razoável
conhecimento acerca do uso destes sistemas, incluindo os ônus
decorrentes, expressos por meio de regras, bem como sobre os papéis que
devem desempenhar no exercício deste uso (MARCIANO, 2006, p. 115).
39
A opção pela adoção dessa definição está ligada ao fato que ela não limita a
SI a aspectos tecnológicos. Ressalta a pessoa foco principal na questão da
percepção da necessidade da adoção de medidas para proteção da informação.
2.6 A Comunicação no Processo de Formação de Cultura
2.6.1
Comunicação Organizacional
Desde os primórdios, o ser humano busca formas de repassar suas
impressões e utiliza a comunicação como instrumento para realizar essa troca de
percepção (CLEMEN, 2007).
Os modelos de comunicação, conforme caracterizado por Shannon (1948)
incluem, uma fonte, um emissor, uma mensagem, um canal, um receptor e uma
interpretação de mensagem.
Na visão de Bowditch (2004) a comunicação é freqüentemente definida como a
troca de informação entre um transmissor e um receptor e a percepção de
significado entre os indivíduos envolvidos.
Chiavenato (2000) simplifica essa definição ao dizer que comunicação é a
troca de informações entre indivíduos.
Scanlan (1979) traz uma definição semelhante à de Chiavenato (2000) quando
diz que a comunicação pode ser definida simplesmente como o processo de se
passar informações e entendimentos de uma pessoa para outra.
Todas essas abordagens são consolidadas por Rego (1986) quando cita que
“a situação fundamental da comunicação redunda na transferência, partindo de um
emissor para um receptor, por meio de um canal físico, de certo número de sinais,
extraídos previamente de um registro e reunidos num conjunto”.
Bitelli (2004, p.22), citando Barros Carvalho (1995) relata que “a comunicação
é efetivada sempre através da combinação das diversas funções da linguagem, com
40
a manipulação que o ser humano faz dos signos”.
Ou seja, “a informação, a
mensagem, sai do emissor em direção ao receptor, encartada com a combinação
das linguagens descritivas; expressivas; de situações subjetivas; prescritivas de
condutas; interrogativas; operativas; fáticas; persuasivas; afásicas; fabulares e
metalingüísticas”.
Porém, segundo Clemen (2007), a comunicação não é somente a troca de
informação entre emissores e receptores. Para o autor, a comunicação é muito mais
que informação: assegura a possibilidade de conhecer o sentimento e a percepção
do outro.
Marchiori (2005, p.114) reforça esse ponto de vista ao declarar, sob o ponto de
vista organizacional, que “é por meio da comunicação que uma organização recebe,
oferece, canaliza informação e constrói conhecimento, tomando decisões mais
acertadas”.
A comunicação organizacional reproduz na organização o processo de
comunicação existente na sociedade uma vez que “(...) cada empresa é um
microssistema que reproduz todos os sistemas e relacionamentos sociais vigentes
no mundo ‘extra-muros’ das organizações” (CLEMEN, 2007, p.37).
A comunicação é processo imprescindível nas organizações. Segundo Freitas
(1991), as organizações são vistas como fenômeno de comunicação, sem o qual
não existiriam. Champion (1985) compactua com a preponderância da comunicação
nas organizações ao ressaltar que comunicação está diretamente relacionada à
seqüência do fluxo de trabalho, permitindo às organizações a realização de seus
objetivos.
O processo de comunicação, na visão de Rego (1986), se divide em duas
categorias: a interna e a externa. A comunicação externa diz respeito às
informações trocadas com o mercado, fornecedores, clientes. A comunicação
interna é a que se processa no interior das organizações, são elaboradas para
edificar as decisões do ambiente interno e se destinam aos que trabalham na
organização.
41
Sob o ponto de vista de Clemen (2007), a Comunicação Interna pode ser
efetuada pelas formas seguintes:
–
Comunicação administrativa – conjunto de meios e procedimentos para
transmissão
e
formalização
de
informações,
ordens,
solicitações,
orientações, normas, etc.;
–
Comunicação interna da liderança, aquela destinada a suprir o gap entre os
gestores e suas equipes;
–
Comunicação interna interpessoal, aquela que faz uso de canais internos da
comunicação, tais como: boletim, jornal, revista interna, mural, newsletter
eletrônico, campanhas de comunicações, etc.
As três formas são importantes e interdependentes. A união das três é o
caminho que poderá levar eficiência ao processo de comunicação interna.
Dentre os canais de comunicação, Almeida (2005) destaca o papel do líder.
Segundo ele, não deve ser esquecido que o principal veículo de comunicação
interna em uma organização é o líder, que deve estar preparado para passar
mensagens à sua equipe no sentido de alcance de resultados.
O líder é o tomador das decisões e serve como referência de comportamento,
tendo grande poder de persuadir os membros do grupo. Em relação à Segurança da
Informação, o papel de liderança, segundo os modelos ABNT NBR ISO/IEC 27001 e
27002, cabe ao gestor responsável pela Segurança da Informação que, assim como
os líderes da organização, deve estar preparado em relação ao quê e a como
comunicar.
Com relação à comunicação entre colaboradores e liderança, um ponto de
sustentação desse relacionamento, segundo Marchiori (2005), é o fato de que o
discurso deve ser igual à ação. O líder deve servir de exemplo com relação às
recomendações e determinações por ele efetuadas.
O processo de comunicação deve se preocupar também com conteúdo e
forma do que será transmitido. Receber uma informação, por si só, não implica
42
entendimento de seu significado. Segundo Buwditch (2004), o significado de uma
mensagem é influenciado tanto pela informação em si como pelo contexto da
mensagem.
Outro fator a ser considerado na busca da eficiência é o tipo de informação a
ser comunicada. Devido às características da sociedade moderna, na qual as
pessoas são submetidas a torrentes de informações vinte e quatro horas por dia, o
processo de comunicação deve se preocupar com o que vai ser transmitido. O
conteúdo de uma comunicação deve ser trabalhado de acordo com os resultados
que se almeja alcançar. É nesse sentido que Marchiori (2005) alega que a
informação é a base da comunicação e precisa ser gerenciada para que possa ser
efetiva.
Para Shannon e Weaver (1975), com relação à efetividade da comunicação,
deve-se considerar três tipos de problemas em três níveis:
–
Problema técnico (Nível A): Com que exatidão pode-se transmitir símbolos
de comunicação?
–
Problema semântico (Nível B): Com que precisão os símbolos transmitem o
significado desejado?
–
Problema de eficiência (Nível C): Com que eficiência o significado recebido
afeta o comportamento do receptor?
Os problemas técnicos referem-se mais especificamente aos canais de
comunicação. O problema de semântica refere-se à interpretação do significado
pelo receptor e a eficiência está ligada ao resultado obtido com a mensagem.
Segundo Rego (1986), existem quatro níveis nos quais são contextualizadas as
comunicações
na
organização:
intrapessoal,
interpessoal,
organizacional
e
tecnológico. O autor aborda esses níveis da seguinte maneira:
- Intrapessoal: estuda basicamente o comportamento do indivíduo, suas
habilidades e atitudes;
- Interpessoal: estuda, alem das variáveis internas de cada comunicador, as
relações existentes entre as pessoas envolvidas, suas intenções e
43
expectativas em relação aos demais. Isto é, a preocupação seria com a
maneira como determinados indivíduos se afetam mutuamente por meio da
intercomunicação, regulando-se e controlando-se uns aos outros;
- Organizacional ou grupal: relaciona-se à dimensão do grupo, freqüência de
contato, tempo de conhecimento e de trabalho, participação em decisões,
centralismo grupal, coesão, clareza da norma grupal, homogeneidade, etc.
- Tecnológico: refere-se ao aparelhamento e aos programas formais que
geram, armazenam, processam, traduzem, distribuem e exibem dados. Inclui
as questões referentes às linguagens dos canais e sua especificidade
técnica.
Com relação à movimentação da comunicação, Rego (1986) relata três fluxos:
- Fluxo descendente: responde pelo encaminhamento das mensagens que
saem do nível decisório e descem até a base;
- Fluxo de duas etapas: por esse fluxo, a mensagem segue, num primeiro
momento para o líder de grupo, que a recebe e a interpreta, e desta vai,
numa segunda etapa, para os demais membros do grupo.
- Fluxo
ascendente:
fluxo
responsável
pelo
encaminhamento
de
informações funcionais e operativas que saem da base para os níveis
superiores da organização.
Rego (1986) oferece uma visão que sintetiza os pontos abordados
anteriormente quando diz que comunicação é “um processo dinâmico que
compreende a existência, o crescimento, a mudança e o comportamento de toda a
organização e é determinada pela necessidade, utilidade e conveniência, tanto da
parte da empresa como da parte dos que nela estão integrados, direta ou
indiretamente”. Envolve características técnicas, semânticas de eficiência do
conteúdo, fluxos de movimentação, níveis de contextualização, forma e conteúdo de
transmissão.
Comunicação é, portanto, um processo complexo e dinâmico por meio do qual
se dá a interação entre as pessoas, na sociedade e nas organizações. A
44
comunicação para ser eficiente deve considerar seus diversos aspectos e ser
aplicada de maneira a que sejam alcançados os objetivos para os quais o processo
se formou. O foco da comunicação neste trabalho, diz respeito à necessidade de
estabelecimento de um processo por meio do qual as pessoas deverão ser
informadas e conscientizadas em prol da formação da cultura de SI.
2.6.2
Cultura Organizacional
A cultura é aspecto importante da vida das pessoas, tanto na sociedade
quanto nas organizações. É a cultura que faz com que as pessoas compreendam
eventos ações, objetos, expressões e várias situações particulares, de modo
diferente uma das outras (MORGAN, 1996).
Segundo Alves (1997, p. 3), a cultura pode ser entendida como “um complexo
de padrões de comportamentos, hábitos sociais, significados, crenças, normas e
valores selecionados historicamente, transmitidos coletivamente, e que constituem o
modo de vida e as realizações características de um grupo humano”. Ainda de
acordo com Alves (1997, p. 3), “a cultura atua como um fator de diferenciação
social” já que engloba informações sobre o que o grupo é, pensa e faz.
No meio organizacional, a cultura assume papel de destaque, à medida que
influi no modo de vida, nos padrões e nos valores das pessoas já que dedicam, a
essas organizações, grande parte de seu tempo e para onde transportam, não
apenas seus conhecimentos técnicos, mas também características de suas
personalidades (SANTOS 1990. apud SARAIVA 2008).
Para Hofstede (1991), a cultura organizacional pode ser encarada como
universo cultural formado pelos pressupostos, crenças e valores compartilhados
pelos membros de uma organização, sendo derivada de um ambiente social
específico.
Nessa mesma linha, a cultura foi definida por Fleury e Fischer (1996), na
introdução do livro Cultura e Poder nas Organizações, como “substrato de crenças e
45
valores que fundamentam as práticas formais e informais que constituem a dinâmica
de cada organização”.
Para Marchiori (2006) cultura organizacional é o reflexo da essência de uma
organização e, sendo experimentada por todos os seus membros, afeta a realidade
da organização e a forma com que o grupo se comporta.
Schein (2001) conceitua cultura organizacional como:
Um padrão de premissas básicas compartilhadas que o grupo aprendeu à
medida que resolvia seus problemas de adaptação externa e integração
interna, que funcionou suficientemente bem para ser considerada válida e,
portanto, para ser ensinada aos novos membros como o meio correto de
perceber, pensar e sentir em relação àqueles problemas.
A cultura organizacional é, portanto, um conceito que engloba fatos materiais e
abstratos, resultantes do convívio humano institucional, expressando significados
subjetivos, constituídos, mantidos e modificados por atores sociais à medida que
objetiva atividades e práticas sociais (SANTOS 1994 apud SARAIVA 2008).
Um aspecto da cultura organizacional abordado por Fleury (1996) refere-se à
importância da busca de instrumentos e métodos que expliquem a realidade
organizacional em prol de decisões e atitudes que possam atingir os objetivos
almejados. Nesse sentido, sugere o conhecimento da cultura organizacional com o
objetivo de “desvendar este tecido simbólico e apreender as relações de poder entre
pessoas, grupos e classes internas e externas da organização”. Marchiori (2006)
reafirma esse ponto de vista quando diz que é necessário que os administradores
entendam as atitudes e valores de cada um de seus públicos para que possa atingir
os objetivos institucionais.
Proposta metodológica sobre como desvendar a cultura de uma organização,
desenvolvida por Fleury (1996) inclui os seguintes temas:
- O histórico das organizações. Sob esse aspecto aborda a importância do
papel do fundador da empresa, devido ao poder que tem para estruturála, desenvolvê-la e tecer elementos simbólicos. Segundo a autora, nas
entidades estatais, esse papel é desempenhado por certos diretores.
46
- O processo de socialização de novos membros. Para a autora é através
das estratégias de integração que os valores vão sendo transmitidos e
incorporados pelos novos membros.
- As Políticas de Recursos Humanos. A importância desse aspecto está
no fato de que as políticas e práticas de gestão de pessoal medem a
relação entre a organização e o indivíduo.
- O processo de comunicação. Sob esse aspecto é ressaltada a
importância do mapeamento do sistema de comunicação, por ser “um
dos elementos essenciais de criação, transmissão e cristalização do
universo simbólico de uma organização”.
- A organização do trabalho. A organização do processo de trabalho se
configura como categoria metodológica, uma vez que possibilita a
identificação das categorias presentes na relação de trabalho e subsidia
o mapeamento das relações de poder entre as categorias de empregado
e as áreas da organização.
- As técnicas de investigação. Levantamentos documentais, entrevistas,
observações e questionário como instrumento para pesquisar os
fenômenos culturais da organização.
Para Schein (1997), uma das formas de pensar a cultura é por meio de níveis.
O autor define três deles:
- o nível dos artefatos visíveis, que compreende os padrões de
comportamento visíveis, ou seja, a forma como as pessoas se vestem,
se comunicam, se comportam.
- o nível dos valores casados, que governam o comportamento das
pessoas. São os mais difíceis de serem identificados, pois compreendem
valores que levam as pessoas a agirem de determinada forma;
- o nível dos pressupostos inconscientes, aqueles que determinam como
os membros de um grupo percebem, pensam e sentem.
Outro aspecto da cultura é a criação de sub-culturas que se dá a partir de
diversos aspectos da formação do corpo organizacional.
47
Schein (1984) (apud Cardoso, 2008) considera que uma cultura pode ter
diversas portas de intercâmbio, com nichos culturais com as características do local
onde está inserida, tais como meio geográfico e setor onde operam as categorias
profissionais, importando pressupostos que, coexistindo na mesma organização,
formam sub-culturas. Também para Morgan (1996) existem, freqüentemente nas
organizações, sistemas de valores diferentes, criando um mosaico de realidades
organizacionais em lugar de uma cultura corporativa uniforme.
Nesse sentido, por ser um dos aspectos dos processos de uma organização, a
cultura de SI pode ser caracterizada como uma espécie ou parte da cultura da
organização.
Marciano (2006) relata um estudo de Schlienger e Teufel (2003) sobre a
cultura da SI, introduzida como participante da cultura organizacional, a qual é
expressa pelos valores, normas e conhecimento da organização. Segundo esse
estudo, a cultura da segurança agrega a análise das políticas de segurança e a
obtenção, junto aos usuários e aos gestores da informação e da segurança, dos
valores reais adotados no ambiente organizacional para serem utilizados como
subsídios às práticas da segurança, buscando, complementarmente, a inserção de
tais práticas no conjunto dos valores organizacionais.
Marciano (2006) também relata que Von Solms e Von Solms (2004) alertam
para a necessidade de educação dos usuários voltada às políticas, como forma de
apoiar sua implementação e utilização e para a formação da cultura organizacional
voltada à segurança.
Outra característica importante da cultura organizacional é com relação ao
comprometimento dos funcionários na busca por objetivos.
Segundo Matos (2007, p.81), “o grande desafio das organizações é
transformar funcionários em aliados comprometidos com resultados e com um bom
desempenho que garanta a sobrevivência e o progresso da empresa e das pessoas
que para elas trabalham”. Para Oliveira (1997) é a cultura organizacional que exerce
48
o papel de produzir membros organizacionais mais comprometidos à medida que
cria padrões que são internalizados pelos indivíduos.
Wiener e Vardi (1990 apud Naves, 2003) defendem que a cultura
organizacional é capaz de atuar junto aos empregados com o intuito de envolvê-los
nos ideais da organização, permanecendo esta influência estável no corpo dos
funcionários. Também Freitas (1991), acredita que resultados favoráveis em
determinada cultura são assumidos como verdades inquestionáveis. Para o autor,
valores, crenças, ritos, cerimônias, mitos e estórias, tabus, normas e processos de
comunicação são elementos dessa verdade que forma a cultura organizacional.
Cada um desses elementos tem uma função específica na construção da cultura,
mas todos servem para estimular a adoção do conteúdo difundido.
Para Schein (2001), outra característica da cultura que influencia os membros
da organização são as normas. Segundo o autor, a cultura organizacional se
expressa na forma de valores e conhecimentos coletivos, os quais, por meio das
normas e regras expressas ou mesmo implícitas, afetam o comportamento dos
indivíduos e resultam em ações, criações e artefatos.
Cultura, portanto, não é um conceito único: é resultado do convívio e de
valores compartilhados, que permitem às pessoas compreender eventos, ações,
objetos e expressões; são valores transmitidos coletivamente; constitui modo de
vida e realizações características de um grupo; influi no modo de vida das pessoas e
no alcance de resultados e pode, em determinado contexto, coexistir com várias
outras culturas que surgem devido às características formadoras dos grupos da
organização, gerando sub-culturas.
É por meio da cultura, respaldada pela convivência e interação, que os
membros das organizações encontram motivações em busca de repostas para as
questões cotidianas da empresa e para o alcance de objetivos. Dessa maneira, há
que se trabalhar para que a questão da segurança faça parte do dia-a-dia das
pessoas. Mudar a mentalidade dos trabalhadores e colaboradores de uma
organização será a melhor solução para garantir bons resultados em relação à
Segurança da Informação.
49
2.6.3
Existe
Comunicação e Cultura
uma
relação
intrínseca
entre
cultura
e
comunicação
e,
conseqüentemente, entre pessoas: não existe sistema cultural sem pessoas e sem
comunicação. Para Bitelli (2004, p.3), “a cultura tem relação umbilical com os meios
de comunicação e seus conteúdos, a partir da concepção de que ela é processo de
transmissão de hábitos, crenças, tradições, imagens e auto-conhecimento do provo
e da nação”.
Marchiori (2005), por sua vez, afirma que é a comunicação que possibilita a
troca da informação que se traduz em experiência e conhecimento entre indivíduos.
É por meio da comunicação que se evidencia a prática de atitudes que são
valorizadas e respeitadas pelos grupos, definindo a cultura organizacional. Ainda
segundo Marchiori (2000), a comunicação é a fase fundamental no processo de
formação de uma cultura, já que "você só forma uma cultura a partir do momento
em que as pessoas se relacionam e, se elas se relacionam, estão se
comunicando...”.
O relacionamento de um grupo e, conseqüentemente, a criação da cultura se
dá por meio da interação entre os indivíduos. Segundo Marchiori (2000), "a cultura
se forma através dos grupos e da personalidade da organização. Os grupos se
relacionam, desenvolvendo formas de agir e ser, que vão sendo incorporadas por
este grupo".
Para Marchiori (2006), a função da comunicação deve ser a de gerar
proximidade e dar sentido às experiências para construir conhecimento. As pessoas
da organização devem aprender a compartilhar idéias, experiências e habilidades
para o estabelecimento da cultura. É a comunicação que proporciona a reunião das
partes distintas da empresa, produzindo as condições de um trabalho coordenado
para atingir metas programadas (REGO, 1986).
Matos (2007, p. 81) compactua com a idéia da comunicação como meio de
criação da cultura organizacional ao afirmar que “a comunicação corporativa é um
processo diretamente ligado à cultura da empresa, ou seja, aos valores e ao
50
comportamento
e
atitudes
das
suas
lideranças
e
às
crenças
de
seus
colaboradores”.
Também Fleury (1996, p. 9) atrela comunicação à cultura. Para ela, “a
comunicação constitui um dos elementos essenciais no processo de criação,
transmissão e cristalização do universo simbólico de uma organização”.
Schein (1997) ressalta a ligação entre comunicação e cultura ao descrever que
o nível de artefatos visíveis compreende os padrões de comportamento visíveis,
incluindo, dentre outros, a forma como as pessoas se vestem e se comunicam.
Polistchuk e Trinta (2003) relaciona cultura e comunicação ao dizer que “a
comunicação sintetiza características definidoras da sociedade e traços distintos
dessa cultura”.
É importante que a pessoa seja informada para ter conhecimento e segurança
para adoção das ações necessárias. Para Silveira (1999, p.89),
sem as informações sobre o que realmente está acontecendo, os
funcionários sentem-se perdidos e resistem às mudanças. Eles não
boicotam, mas tendem a não fazer o menor esforço para que elas dêem
certo. O silêncio faz com que as pessoas soltem a imaginação. Cada um
cria seu próprio fantasma.
Para Rego (1986 p.16), ”a aplicação de um modelo de comunicação calcado
na cultura organizacional influi decisivamente sobre a eficácia geral da empresa”.
Na visão de Marchiori (2006), a cultura organizacional é capaz de criar um
clima favorável à implementação da prática de valores essenciais da organização,
estimulando o comprometimento de funcionários em busca de resultados. A difusão
de informações e a motivação no desempenho acarretam um comprometimento
com os resultados da organização.
Marchiori (2006), se referindo às reflexões de Sackman (1997), enfatiza que a
construção de significados envolve necessariamente comunicação. E se cultura
pode ser entendida como construção de significados, então fecha-se o círculo entre
comunicação e cultura.
51
A relação Cultura-Comunicação é sustentada por Marchiori (2006) a partir de
7
sua própria construção e também da análise de diversos autores , que reforçam a
visão de ‘Comunicação’ como conceito altamente representativo da cultura
organizacional, conforme descrito a seguir:
-
A construção de significados é essencial para a prática da comunicação.
Nesse contexto, a idéia de comunicação é vista como transmissão; a
comunicação é concebida como uma prática social de produção circulação e
troca de significados;
-
A orientação da cultura organizacional não é administrativa; sua base é a
comunicação;
-
O aspecto mais intrigante é a maneira como ela cria e forma a realidade na
qual se quer acreditar;
-
A organização deve ser estudada como cultura, descobrindo e sintetizando
suas regras de interação social e interpretação, reveladas no comportamento
dos indivíduos. Ambas são atividades comunicativas, sugerindo que cultura
pode ser descrita como a articulação de regras comunicativas;
-
As culturas são criadas, sustentadas transmitidas e mudadas através da
interação social. As organizações, pois, são vistas como fenômenos da
comunicação, sem a qual não existiriam;
-
A comunicação transforma-se num processo pelo qual a realidade é
constituída, mantida e transformada no seu local de produção de realidade.
Essa realidade social é a ordem ritual produzida pelo compartilhamento de
experiências estéticas, idéias, valores pessoais, sentimentos e noções
intelectuais por meio dos quais uma cultura é formada;
-
A comunicação é cultura. Sem comunicação não há cultura, não há realidade
social significativa.
A comunicação influi nos processos de produção, difusão e consolidação das
práticas culturais. Processos comunicativos são essenciais também para que as
culturas sejam conhecidas e praticadas. A comunicação é fator primordial para o
7
Entre eles: Schall (1993), Pacanowsky; O’Donnell-Trujillo(1990), Cuschman (1994).
52
estabelecimento de uma política de criação de cultura; é por meio da comunicação
que se estabelece a interação e a troca de informações que cria e fomenta a cultura.
Dessa forma, suportada pelas diversas referências abordadas anteriormente,
conclui-se como pertinente a afirmação de que Comunicação é Cultura, aludindo à
denominação de um dos eixos temáticos do tema geral ‘Estado e sociedade
construindo as políticas públicas de cultura’ da 1ª Conferência Nacional de Cultura8,
realizada em Brasília em 2005.
Sendo assim, com respaldo na visão dos autores citados, pode-se vincular o
vocábulo ‘Comunicações’ em SIC ao papel de ‘representar’ os processos de
transmissão de conhecimento em busca da conscientização e formação das
pessoas, no que diz respeito às necessidades da Segurança da Informação.
8
Página da 1ª Conferência Nacional de Cultura. Disponível em:
http://www.cultura.gov.br/foruns_de_cultura/conferencia_nacional_de_cultura/index.php?p=12913&more=1&c=1
&pb=1 e http://www.cultura.gov.br/upload/Cartilha_das_Conferencias_1132853795.pdf. Acesso em 10 out. 2008.
53
PARTE II – RESULTADOS DA PESQUISA
54
3 SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES
Se a cultura são as teias de significação que os
humanos tecem ao redor de si mesmos, então
COMUNICAÇÔES são ferramentas que os
humanos usam para interpretar, reproduzir, manter
e transformar estas teias de significados.
Clifford Geertz
3.1 Visão Sintática do Termo
Numa perspectiva sintática, o termo ‘Segurança da Informação’ está ligado à
‘Comunicações’ por meio de uma conjunção aditiva “e”. Em linhas gerais, a missão
gramatical das conjunções é unir elementos de mesmo valor funcional. Nesse
sentido, Cunha & Cintra definem conjunções da seguinte maneira:
Conjunções são os vocábulos gramaticais que servem para relacionar duas
orações ou dois termos semelhantes da mesma oração. (CUNHA &
CINTRA, 2001: 579)
Bechara, em concordância, explica que:
Como sua missão é reunir unidades independentes, pode além “conectar”
duas unidades menores que a oração, desde que do mesmo valor funcional
dentro do mesmo enunciado. (BECHARA, 2004: 319)
Desse modo, o ‘e’ em Segurança da Informação e Comunicações liga dois
elementos de mesma natureza, sendo o primeiro ‘informação’ e o segundo,
‘comunicações’. Com relação à concordância nominal, Bechara (2004) ensina que
“o rigor gramatical exige que não se dê complemento comum a termos de regência
diferentes”. Assim, em Segurança da Informação e Comunicações, para que o
termo ‘Segurança’ pudesse se referir, também, à ‘Comunicações’, haveriam duas
opções:
- ‘comunicações’ teria de vir no singular, para que a preposição ‘de’ mais ‘a’
pudesse ser comum aos dois termos (Informação e Comunicação)
55
- para se manter ‘Comunicações’, teria de ser acrescida ao termo a
preposição ‘de’ acompanhada do artigo ‘as’ (Segurança da Informação e das
Comunicações) de forma a atender o citado rigor gramatical.
O fato de ‘Comunicações’ vir, então, sem a preposição ‘das’ mostra duas
possibilidades em relação à sintaxe gramatical: ou a frase está incorreta ou o termo
‘Comunicações’ está desvinculado do termo ‘Segurança’.
Para efeito deste trabalho, será explorada a segunda hipótese: o termo
‘Segurança’ diz respeito somente à ‘Informação’. Desse modo, ‘Comunicações’ é um
termo sintaticamente independente do termo ‘Segurança', embora não o seja
semanticamente, senão não se justificaria sua existência na frase.
Considerando tais aspectos sintáticos e semânticos, este trabalho foi
direcionado no sentido de conceituar o termo ‘Comunicações’ como um processo de
troca de informações no escopo da Segurança da Informação e não como um
processo de Segurança das Comunicações, mesmo porque, conforme pontos
abordados anteriormente, a Segurança da Informação já engloba a Segurança das
Comunicações.
3.2 Origem da utilização do Termo
Levantamento (vide Anexo I) em legislações, sítios da Internet e literaturas
especializadas apontou que o termo ‘Segurança da Informação’ acrescido de
‘Comunicações’ surgiu e foi adotado no âmbito do governo federal, a partir dos
estudos que deram origem ao MIGSIG - Modelo de Implementação e Gestão da
Segurança da Informação e Comunicações na Administração Pública Federal. O
MIGSIC foi apresentado pelo Ministro de Estado Chefe do GSI/PR, Jorge Armando
Felix, na abertura de um painel sobre Segurança da Informação e Comunicações,
realizado em novembro de 2005, na Presidência da República9.
9
Programa do Painel ,disponível em http://www.serpro.gov.br/noticias-antigas/noticias-2005-1/20051125_01.
Acesso em : 10 jun. 2008.
56
Na minuta de trabalho referente ao MIGSIG
10
existe uma referência à adoção
da palavra ‘Comunicações’ com uma justificativa que não acrescenta qualquer
contribuição para o entendimento sobre o que tal termo representa no escopo da
Segurança da Informação:
O Decreto 3.505, apesar de seu conteúdo expressar diversas ações
relacionadas com as “Comunicações” – no sentido de “tecnologias
relacionadas com o trânsito da informação ao longo do espaço” –, manteve
o nome da política apenas com o vocábulo “Informação”. Entretanto, para
que nos tornemos aderente ao conceito denominado de “TIC” – “Tecnologia
de Informação e Comunicações” –, termo usualmente empregado tanto no
Brasil quanto no exterior, passaremos a usar “SIC”, com o significado de
“Segurança da Informação e Comunicações”. Esta licenciosidade semântica
não traz contratempos legais, a nosso ver, considerando-se que a legislação
maior considera o conceito “Comunicações”, como inserido no de
“Informação”.
Uma análise restrita ao trecho acima, principalmente considerando a afirmação
de que ‘Comunicações’ estaria inserida em ‘Informação’, poderia ter direcionado a
pesquisa no sentido de demonstrar que a utilização desse termo não traria nenhuma
nova contribuição à Segurança da Informação e que, portanto, deveria optar-se pela
adoção do termo originalmente conhecido, sem o acréscimo da palavra
‘Comunicações’.
Entretanto, o fato de ‘Comunicações’ vir no plural e ‘ Segurança da
Informação’, no singular, chamou a atenção para a peculiaridade sintática que indica
que a palavra ‘Comunicações’ não está diretamente relacionada ao termo
‘Segurança’. Ou seja, nessa frase existem dois termos distintos conectados pela
conjunção ’e’: ‘Segurança da Informação’ é um e ‘Comunicações’ é outro. Dessa
constatação foi possível perceber que a palavra ‘Comunicações’ deveria ser tratada,
em termos sintáticos, de forma independente do restante da frase, direcionando
assim o trabalho para a busca de informações e conceitos, relativos à Comunicação
e aplicáveis ao processo, hoje estabelecido, de SI no âmbito do DSIC.
Vale ressaltar que caso fosse considerada a afirmação “para que nos tornemos
aderentes ao conceito denominado TIC”, da citação acima, o termo SIC teria de vir
10
Minuta de trabalho do MIGCIC. Disponível em http://gsisic.serpro.gov.br/migsic/MIGSIC%20%20Apresentacao.doc e em: https://gestaogsisic.serpro.gov.br/migsic/MIGSIC%20-%20Apresentacao.doc.
Acesso em: 10 jun. 2008.
57
grafado como ‘Segurança da Informação e Comunicação’, forma sintática na qual o
termo TIC é mais comumente empregado, conforme demonstrado no Anexo II, em
relação à quantidade de ocorrência desse termo em páginas web. Esta forma, ao
contrário da forma grafada para SIC, atende ao anteriormente citado ‘rigor
gramatical’ e faz com que o termo ‘Tecnologia’ se refira tanto à informação como à
comunicação.
Embora não seja foco deste trabalho explorar o uso e aplicabilidade de TIC,
cabe salientar que o termo tem sido utilizado como uma evolução do termo TI,
principalmente nos meios acadêmicos e na esfera governamental, para explicitar a
inclusão das tecnologias de broadcasting e tecnologias móveis sem fio11. No cenário
da tecnologia da informação, a adoção do emprego do termo TIC se deu com o
intuito de ampliar o escopo de abrangência do termo TI, este mais voltado para as
tecnologias de tratamento de dados (disco magnético, cd, DVD, chipes de memória,
etc.).
3.3 Aplicabilidade do Termo pelo DSIC
Conforme referido anteriormente, o termo ‘Segurança da Informação e
Comunicações’ surgiu quando da elaboração do MIGSIC. Nesse documento,
encontra-se configurada a necessidade de “criação de uma estrutura permanente
para conduzir, no cotidiano, o processo integrado de gerência das atividades de
Segurança da Informação na APF, de forma dedicada, constante e perene”. Tal
estrutura, conforme o MIGSIC, “foi instituída temporariamente no GSI, com a
denominação de NI DSIC – Núcleo de Implantação da Diretoria de Segurança da
Informação e Comunicações, subordinado à Subchefia Executiva, até que o novo
organograma seja aprovado pelo Congresso Nacional”.
A estrutura permanente, referida no MIGSIG foi implantada com a criação do
Departamento de Segurança da Informação e Comunicações do Gabinete de
Segurança Institucional da Presidência da República.
11
Texto
em
Inglês
(tradução
livre
da
autora
do
trabalho).
Disponível
http://en.wikipedia.org/wiki/Information_communication_technology Acesso em: 20 set. 2008
em:
58
O GSI, criado pela lei 10.683/2003, coordena as atividades de Inteligência
Federal por meio da Agência Brasileira de Inteligência (ABIN) e as atividades de
Segurança da Informação, por meio do DSIC.
O DSIC foi criado pelo Decreto nº 5772 de 08 de maio de 2006 com as
seguintes competências:
I - adotar as medidas necessárias e coordenar a implantação e o
funcionamento do Sistema de Segurança e Credenciamento - SISC, de
pessoas e empresas, no trato de assuntos, documentos e tecnologia
sigilosos;
II - planejar e coordenar a execução das atividades de segurança da
informação e comunicações na administração pública federal;
III - definir requisitos metodológicos para implementação da segurança da
informação e comunicações pelos órgãos e entidades da administração
pública federal;
IV - operacionalizar e manter centro de tratamento e resposta a incidentes
ocorridos nas redes de computadores da administração pública federal;
V - estudar legislações correlatas e implementar as propostas sobre
matérias relacionadas à segurança da informação e comunicações; e
VI - avaliar tratados, acordos ou atos internacionais relacionados à
segurança da informação e comunicações.
O DSIC está vinculado à Secretaria Executiva do GSI, conforme mostra o
organograma abaixo:
Figura 2: Organograma GSI. Fonte: DSIC
59
O seguinte organograma mostra a estrutura do DSIC:
Figura 3: Organograma DSIC. Fonte: DSIC
Como atividade de uma de suas competências, o DSIC estabeleceu em 2007,
em parceria com a Universidade de Brasília (UnB), o currículo do Curso de
Especialização em Gestão da Segurança da Informação e Comunicações (CGSIC),
direcionado à formação de profissionais vinculados à Administração Pública Federal.
Na primeira turma deste curso, no mesmo ano de 2007, participaram 40 (quarenta)
servidores públicos federais, dentre os quais o Diretor do DSIC, dois técnicos, além
do Coordenador-Geral da Gestão de SIC e do Coordenador do Centro de
Tratamentos de Incidentes de Redes.
Outro produto do trabalho do DSIC, foi a publicação, em 13 de Junho de 2008,
da Instrução Normativa GSI nº 1 (IN GSI nº 1) que “Disciplina a Gestão de
Segurança da Informação e Comunicações na Administração Pública Federal”. Esta
IN traz as seguintes definições aplicadas ao contexto da SIC:
I - Política de Segurança da Informação e Comunicações: documento
aprovado pela autoridade responsável pelo órgão ou entidade da
Administração Pública Federal, direta e indireta, com o objetivo de fornecer
diretrizes, critérios e suporte administrativo suficientes à implementação da
segurança da informação e comunicações;
II - Segurança da Informação e Comunicações: ações que objetivam
viabilizar e assegurar a disponibilidade, a integridade, a confidencial idade e
a autenticidade das informações;
III - Disponibilidade: propriedade de que a informação esteja acessível e
utilizável sob demanda por uma pessoa física ou determinado sistema,
órgão ou entidade;
60
IV - Integridade: propriedade de que a informação não foi modificada ou
destruída de maneira não autorizada ou acidental;
V - Confidencialidade: propriedade de que a informação não esteja
disponível ou revelada a pessoa física, sistema, órgão ou entidade não
autorizado e credenciado;
VI - Autenticidade: propriedade de que a informação foi produzida, expedida,
modificada ou destruída por uma determinada pessoa física, ou por um
determinado sistema, órgão ou entidade;
VII - Gestão de Segurança da Informação e Comunicações: ações e
métodos que visam à integração das atividades de gestão de riscos, gestão
de continuidade do negócio, tratamento de incidentes, tratamento da
informação, conformidade, credenciamento, segurança cibernética,
segurança física, segurança lógica, segurança orgânica e segurança
organizacional aos processos institucionais estratégicos, operacionais e
táticos, não se limitando, portanto, à tecnologia da informação e
comunicações;
VIII - Quebra de segurança: ação ou omissão, intencional ou acidental, que
resulta no comprometimento da segurança da informação e das
comunicações;
IX - Tratamento da informação: recepção, produção, reprodução, utilização,
acesso, transporte, transmissão, distribuição, armazenamento, eliminação e
controle da informação, inclusive as sigilosas.
Nenhum desses trabalhos, entretanto, apresentou formalmente uma definição
ou esclarecimento sobre a adoção do termo ‘Comunicações’ em complementação
ao termo ‘Segurança da Informação’.
A lei nº 10.643, de criação do GSI, refere-se à Segurança da Informação sem o
uso do termo ‘Comunicações’. Já o Decreto nº 5772, de criação do DSIC, cita
explicitamente o termo ‘Segurança da Informação e Comunicações’ em quatro dos
seis itens de suas competências.
Porém, discussões sobre esse termo com a
participação dos principais dirigentes do DSIC, durante o curso CGSIC,
evidenciaram a inexistência de uma definição ou conceituação formal que explique
‘Comunicações’. Antes mesmo da ocorrência dessas discussões, o diretor do DSIC,
em sua primeira fala aos demais alunos do curso, afirmou desconhecer o real
significado do termo ‘Comunicações’ na denominação ‘Segurança da Informação e
Comunicações’.
Em recente seminário, ocorrido em outubro de 2008, para servidores da
Diretoria de Tecnologia da Informação da Presidência da República, o diretor do
DSIC fez nova referência à inexistência de um significado para ‘Comunicações’ no
termo ‘Segurança da Informação e Comunicações’, ao explicitar que desconhecia o
propósito da adoção e utilização do termo nessa forma.
61
Nesse mesmo seminário, entretanto, o Coordenador-geral da Gestão de SIC
falou sobre uma possível vinculação do termo ‘Comunicações’ à processos, quando
apresentou as seguintes definições para o que entende como Informação e
Comunicações:
- Informação: ativo tangível ou intangível que tenha valor para uma pessoa
física, para um órgão ou empresa tanto pública como privada;
- Comunicações: processos pelos quais as informações são repassadas
ou transmitidas.
A visão de ‘Comunicações’, nessa forma, vai ao encontro da proposta deste
trabalho, que defende que o termo ‘Comunicações’ passe a ser adotado e entendido
como um processo por meio do qual as pessoas serão informadas e
conscientizadas em relação à SI.
Também no curso, nenhuma das matérias oferecidas trouxe algum enfoque
específico e esclarecedor para o termo ‘Comunicações’. Tampouco as definições
apresentadas na IN GSI nº 1 diferenciam ‘Segurança da Informação’ de ‘Segurança
da Informação e Comunicações’.
A comparação entre a definição de Segurança da Informação e Comunicações
na IN GSI nº 1 e da Segurança da Informação na norma ABNT NBR ISO/IEC 27002,
evidencia a semelhança de conceito entre as duas, configurando-se, mais uma vez,
a inexistência de uma conceituação específica para o termo ‘Comunicações’, em
relação à SI, no âmbito do GSI/DSIC.
Porém, cabe observar que as matérias Sociedade da Informação, Inteligência
Competitiva e Sistemas Complexos enfocaram, de alguma forma, assuntos
correlatos às Comunicações. Uma mudança de enfoque nessas três matérias e a
inclusão de outras como, por exemplo, Teoria da Informação, Comunicação
Organizacional ou mesmo Cultura da Segurança da Informação poderiam trazer ao
curso entendimento e legitimidade para o termo ‘Comunicações’ conforme a
proposta deste trabalho.
62
4 FORMANDO A CULTURA DE SEGURANÇA DA
INFORMAÇÃO
4.1 O Valor da Conscientização
Aspectos abordados anteriormente mostram que a formação da cultura se dá
pela interação, através da qual, pessoas, por meio de processos de comunicação,
trocam informação, geram conhecimento e formam cultura. Nesse sentido,
evidencia-se a importância de um processo de conscientização como fonte de
aprendizado para a formação da Cultura de SI.
As organizações modernas dependem cada vez mais da informação e do
conhecimento para a realização competente de suas atividades e, portanto, não
podem correr riscos quanto à indisponibilidade ou mau uso da informação.
No universo da informação, o ‘capítulo’ destinado à Segurança da Informação
tem sido destaque na moderna administração pública. Porém, apesar do
reconhecimento da importância da conscientização de funcionários e usuários, no
sentido de criação da cultura de SI, o que se percebe são enfoques, nos quais as
pessoas não estão adequadamente incluídas.
Segundo Sianes (2008), a abordagem convencional da SI falha, muitas vezes,
por não considerar que são as pessoas que transformam informação em
conhecimento
e
que
possibilitam,
pelo
compartilhamento,
a
criação
do
conhecimento organizacional; da mesma forma, são elas que dão acesso a
informações privilegiadas ou sigilosas, sem autorização, seja por ingenuidade,
63
desconhecimento ou descumprimento dos procedimentos de segurança, por
insatisfação ou para obter vantagens pessoais.
O que se percebe é que resultados concebidos somente com tecnologia são
improdutivos: quem comanda e faz as organizações funcionarem são as pessoas.
Salas-cofre, senhas fortes, cartões magnéticos, de nada adiantam se quem acessa
uma informação resolve repassá-la indevidamente. Equipamentos e tecnologias
apenas respaldam o trabalho intelectual, este totalmente dependente das pessoas.
Cuidados e investimentos em tecnologia serão em vão se as pessoas, seus
relacionamentos,
comportamentos
e
aprendizados
não
forem
efetivamente
contemplados e estimulados. Sem essa visão não se consegue estabelecer de
forma sistemática uma orientação para a formação da cultura.
A eficácia de processos de SI deve passar necessariamente por pessoas para
que, por meio da comunicação, troquem experiências no sentido de gerar
conhecimento e cultura: A cultura fomenta conhecimento e comportamentos ao criar
padrões que são internalizados pelos indivíduos.
Investimentos em projetos de conscientização são essenciais para a formação
dos indivíduos que lidam com a SI. Todas as pessoas precisam estar
adequadamente cientes da importância da informação que utilizam. A sensação de
que proteção física é proteção de informação não pode servir de base para a
sustentação de um processo de SI. Há que se envidar esforços no sentido de
buscar o comprometimento das pessoas em prol de comportamentos que permitam
alcançar os objetivos da Segurança da Informação.
Nesse sentido, diversos eventos promovidos pelo DSIC12 vão ao encontro
dessa visão em relação à necessidade de se envidar esforços para a formação e
conscientização de pessoas na APF. Desde sua criação o DSIC vem desenvolvendo
projetos com foco na formação da cultura de SI, dentre os quais se destacam:
- CDSIC
-
Curso
a
Distância
de
Segurança
da
Informação
Comunicações
12
Eventos DSIC. Disponível em: https://www4.planalto.gov.br/siceventos. Acesso em: 20 Jan 2009.
e
64
- CEGSIC - Curso de Especialização em Gestão de Segurança da
- SICGov - Congressos de Segurança da Informação e Comunicações
- SEMSIC – Seminários sobre Segurança da Informação e Comunicações
Com esses esforços fica caracterizado o ponto de vista do DSIC,
compartilhado por este trabalho, de que um dos aspectos do processo de
conscientização é o compartilhamento de informações e conhecimentos. É por meio
de processos de comunicação que se consegue romper as barreiras da resistência
e fortalecer a cultura do compartilhamento. É também por meio de processos de
comunicação que se consegue promover a conscientização sobre a importância da
adoção de procedimentos corretos que efetivamente protejam a informação e o
conhecimento da organização.
4.2 Os Capitais do Conhecimento na formação da Cultura de
Segurança da Informação
O modelo ‘Capitais do Conhecimento’ permeia todas as áreas da organização,
abordando a informação em relação aos processos, pessoas e infra-estrutura, por
meio de quatro tipos de capitais: Ambiental, Estrutural, Intelectual e de
Relacionamento.
Esse modelo pode ser utilizado como referencial de abordagem para um
processo de conscientização de SI que cubra todos aos ativos de informação das
organizações.
Sob essa perspectiva, para o Capital Ambiental o foco deve se voltar para a
necessidade de proteção das informações da empresa quanto ao monitoramento de
suas atividades por parte dos concorrentes. Saber quais informações coletar sobre o
concorrente e ao mesmo tempo conseguir manter segredo sobre seus grandes
projetos é ponto crucial, já que é cada vez maior a possibilidade de que uma
empresa se torne alvo das pesquisas, análises e observações da concorrência.
Diretriz de ação deve abordar técnicas de Inteligência e Contra-inteligência. A
65
inteligência deve ser direcionada para a obtenção lícita de informações do
concorrente para subsidiar decisões estratégicas. A contra-inteligência deverá ser
empregada para colocar a empresa a salvo de danos ou prejuízos, por meio da
proteção de suas informações mais sensíveis.
A Inteligência Competitiva (IC) é um dos métodos utilizados para a
monitoração do ambiente externo da organização. Costa, Curvelo e Marcial (2002),
conceituam Inteligência Competitiva da seguinte maneira:
A IC é um processo sistemático e ético de coleta, análise e disseminação de
informações que visa descobrir as forças que regem os negócios, reduzir o
risco e conduzir o tomador de decisão a agir proativamente, bem como para
proteger o conhecimento sensível produzido (COSTA, CURVELO e
MARCIAL, 2002).
Para o Capital Estrutural, aspectos importantes devem incluir a necessidade de
implementação de controles para garantir os objetivos da Segurança da Informação
no que diz respeito à sua estrutura, ou seja, seus processos, procedimentos,
hardwares, softwares, redes. Ponto primordial é o entendimento sobre o gargalo
desse processo que diz respeito a conseguir fazer frente aos ataques cada vez mais
sofisticados dos violadores de segurança que utilizam-se de recursos de TI para
efetuar fraudes eletrônicas, sabotagens e vandalismos. Aspectos a serem
considerados referem-se às diretrizes abordadas em modelos de Boas Práticas de
SI que englobam aspectos específicos desse capital, tais como: inventário e
proteção dos ativos, classificação das informações, segurança lógica, segurança
física do ambiente, segurança dos equipamentos e da rede, tratamento de mídias,
segurança de documentos, além de normas sobre direitos e patentes.
O Capital Humano trata do conhecimento das pessoas que se encontram uma
organização. Sob esse prisma, as orientações devem abordar aspectos relativos às
políticas de manutenção de talentos, conscientização sobre as informações que
devem ou podem ser divulgadas, termos de responsabilidades, acordos de
confidencialidade, educação e treinamento em segurança da informação e
processos disciplinares. Nesse contexto, deve-se estar atento para o fato de que
ainda prevalece nas empresas a cultura de que SI é coisa de informática’; que
através da segurança de TI estarão a salvo de intrusão e da fuga de informação,
66
deixando, dessa forma, o cuidado com as pessoas e seus conhecimentos em
segundo plano.
Os pontos a serem abordados devem incluir medidas ativas de combate ao
vazamento de informações, cuidados na seleção e política de pessoal,
estabelecimento de acordos de confidencialidade no ato da contratação e
desligamento, termos e condições de trabalho bem explicitado e, por fim, a
necessidade de educação e treinamento em SI.
O Capital de Relacionamento trata da rede de relacionamentos de uma
empresa. Sob esse capital, os procedimentos de conscientização devem envolver
os recursos processados e acessados por terceiros; os ativos sob responsabilidade
de terceiros; controle de perímetro de segurança com relação a visitantes, clientes e
fornecedores; gerenciamento de serviços terceirizados; acordos políticos e
procedimentos para troca de informações e softwares e a proteção, quanto à
integridade das informações disponibilizadas ao público. Também deve ser foco de
atenção os cuidados com as informações de clientes, fornecedores e colaboradores
e formas de controle dessas informações, procedimentos de rompimento e término
de contrato, entre outros. Ponto de destaque refere-se à capacidade de proteção
das informações, apesar da necessidade cada vez maior de se ampliar trocas de
informação com pessoas e entidades que fazem parte dos relacionamentos
externos da empresa. As diretrizes de SI devem englobar normas e procedimentos
relativos à segurança de acesso lógico e físico por parte dos clientes, colaboradores
e fornecedores.
Independentemente das abordagens adotadas, o ponto central do processo de
conscientização são as pessoas. Todos devem estar cientes quanto à necessidade
de criação e adoção de procedimentos de segurança e de disseminação de
informações no sentido de gerar conhecimentos que contribuam para ações que
tragam resultados efetivos de proteção da Informação. Como relata Fontes (2006), a
pessoa é o elemento por onde a SI acontece na organização. Portanto, investir em
ações gradativas e constantes de conscientização é um caminho para a mudança
de visão e de atitudes na busca da criação e fortalecimento da cultura de SI na
organização.
67
4.3 Comunicação como Processo de Geração da Cultura de SI
Aspectos abordados neste trabalho mostram que as organizações são
sistemas sociais e, como tal, têm na comunicação as condições essenciais para seu
funcionamento.
É por meio dos processos de comunicação que as organizações gerenciam o
fluxo de suas informações, repassam seus processos de trabalhos, conscientizam
seus funcionários.
É também por meio da comunicação, existente nas relações sociais, que se dá
a interação entre as pessoas da organização, fator de formação da identidade
organizacional e da própria justificativa de sua existência. “É a interação social e
efetividade do processo de comunicação que constrói significado nas relações
internas, o qual cria valor e conhecimento, gerando a cultura organizacional”
(MARCHIORI, 2006).
Também foi abordada, sob a perspectiva organizacional, a importância do
estabelecimento de uma cultura como forma de motivar indivíduos em busca de
resultados. A pessoa é o centro do processo informacional das organizações e
trabalhar a cultura organizacional e, especialmente, o comportamento informacional
das organizações é um fator decisivo para o alcance de objetivos.
Conforme mostrado, a cultura organizacional envolve o aprendizado e a
transmissão dos valores adotados por um grupo para solucionar problemas;
representa as percepções da organização por parte de seus componentes ao
mesmo tempo em que reflete a mentalidade que predomina na organização;
envolvem padrões de pensamento, sentimentos e comportamentos, adquiridos por
meio do convívio, que vão constituir o modo de vida e as realizações de um grupo.
Porém, a cultura organizacional não é coisa única. Coexistem nas
organizações diferentes “nichos” culturais formando sub-culturas. Modificações
desejadas nos comportamentos podem, então, ser obtidas por meio da criação de
uma cultura voltada para um objetivo específico, no caso deste trabalho, uma
68
cultura que englobe critérios, normas, comportamento, conhecimentos e atitudes
voltadas para a formação do indivíduo em prol da proteção da informação, formando
uma sub-cultura de SI dentro da organização.
Sendo a cultura de SI entendida como um tipo ou parte da cultura
organizacional, apóia-se também em pressupostos e crenças que influenciam os
membros dos grupos, seus pensamentos e sentimentos. Desse modo a criação de
uma cultura de SI estimularia positivamente o comportamento e atitude dos
indivíduos no sentido de busca e execução do efetivo trabalho de proteção da
informação.
Em relação à criação de cultura, mostrou-se o ponto de vista de diversos
autores, segundo os quais a comunicação é fator chave na criação e transmissão da
cultura entre os elementos de um grupo: é o instrumento por meio do qual as
pessoas acessam e apreendem conteúdos e informações. De acordo com Marchiori
(2006) "a cultura se forma através dos grupos e da personalidade da organização.
Os grupos se relacionam, desenvolvendo formas de agir que vão sendo
incorporadas por este grupo. A partir do momento em que o grupo passa a agir
automaticamente a cultura está enraizada e incorporada".
Relacionamentos surgem e são mantidos por meio da comunicação. A
comunicação se destaca como origem do processo de formação da cultura:
possibilita a criação de conhecimento que, por sua vez, influi na criação da cultura.
Segundo Marchiori (2006), é a comunicação que possibilita a troca, que sustenta o
processo de interação possibilitando a geração de conhecimento que pode
estabelecer uma cultura.
O trabalho aborda ainda a importância de se observar os requisitos das teorias
da comunicação no processo de criação e fortalecimento da cultura de SI por meio
de ações gradativas e constantes com foco na conscientização das pessoas.
O processo de comunicação deve considerar a cultura existente, o papel da
liderança, o que e como comunicar, a conscientização, os processos de difusão e
trocas de informações e conhecimento. Para Marchiori (2006), a difusão de
69
informações e a motivação no desempenho das atividades acarretam um
comprometimento com os resultados da organização. Também segundo a autora, a
comunicação contribui para a promoção da participação das pessoas, do trabalho
em grupo, propiciando o surgimento de uma cultura. Desse modo, evidencia-se a
relação entre o termo ‘Comunicações’ e formação de cultura organizacional.
Caracterizada a formação de uma cultura como alicerce para fortalecer o
processo de SI e sendo a comunicação o instrumento para fomentar cultura, é
possível,
então,
vincular
‘Comunicações’
com
o
processo
de
criação
e
fortalecimento da Cultura de Segurança da Informação.
Suportado pelo exposto anteriormente, este trabalho propõe que o termo
‘Comunicações’ seja aplicado no âmbito da APF para representar o processo por
meio do qual as pessoas serão informadas, treinadas e formadas, de modo a
estarem preparadas para a condução de ações efetivas de SI. Ou seja, que
‘Comunicações, no termo ‘Segurança da Informação e Comunicações’, seja
empregado como o processo de interação capaz de formar e manter a Cultura de
Segurança da Informação nas organizações de modo a se ter eficiência, eficácia e
efetividade no processo de proteção da informação.
70
5 CONSIDERAÇÕES FINAIS
5.1 Uma Revisão dos Passos Propostos
A importância da Segurança da Informação e Comunicações para a APF e a
inexistência de uma conceituação para tal termo, nesta forma, foram os motivadores
para a elaboração deste trabalho.
O termo SIC, conforme mostrado, teve sua origem e aplicabilidade a partir dos
estudos para a criação do Departamento de Segurança da Informação e
Comunicações, vinculado ao Gabinete Segurança Institucional da Presidência da
República, a quem compete tratar de assuntos pertinentes à SIC, no âmbito da
Administração Pública Federal.
O trabalho traz ainda evidências, justificadas por regras de sintática e
semântica, que mostram que o verbete ‘Comunicações’ pode ser conceituado
separadamente de SI no termo SIC. Enfatiza a questão das abordagens que
consideram a Segurança das Comunicações como um aspecto da SI e daquelas
que defendem a ‘Comunicação’ como processo de criação de cultura. Tais
abordagens apóiam o argumento central deste trabalho de vincular ‘Comunicações’
à Cultura, sem prejuízo para o aspecto da Segurança das Comunicações.
A adoção do conceito de ‘Comunicações’ conforme proposto, traria aos
exaustivos esforços do DSIC, voltados à fomentação da cultura de SI na APF, a
devida representatividade no termo SIC,
alargando a visão sobre as atividades
desse departamento ao dar ao termo ‘Comunicações’ um valor mais amplo que o de
abordar, apenas, um dos aspectos da Segurança da Informação.
71
Outra abordagem do trabalho, diz respeito à contribuição que o modelo de
capitais do conhecimento pode trazer no estabelecimento do processo de
conscientização das pessoas com relação à Segurança da Informação. A visão de
uma organização sob cada um dos aspectos dos capitais de conhecimento, permeia
todo o fluxo informacional de uma organização sob a ótica dos quatro capitais, numa
abordagem inovadora, apontando oportunidades, gargalos e potenciais diretrizes de
atuação no processo de conscientização.
Desse modo, considera-se que este trabalho alcançou os objetivos propostos,
uma vez que foram apresentadas referências que fundamentam a viabilidade de
aplicação do verbete ‘Comunicações’, no termo ‘Segurança da Informação e
Comunicações’, sob o aspecto da formação de uma cultura organizacional de
Segurança da Informação. Também foi possível efetuar, conforme proposto, a
análise crítica do conceito de ‘Comunicações’ no termo SIC e a abordagem da
relação existente entre comunicação e formação de cultura.
Vale ressaltar que uma limitação do estudo é seu próprio ineditismo, uma vez
que não foi encontrados trabalhos ou documentos que trouxesse informações sobre
o significado, aplicabilidade ou conceito do termo SIC, como empregado pelo DSIC,
de forma a permitir uma proposta com base em outros pontos de vista.
Para concluir, registra-se na seguinte frase os principais conceitos explorados
neste trabalho: a conscientização é o ponto, a comunicação é a ponte e a cultura é
o norte a ser perseguido pelas organizações em busca do comprometimento e
atitude das pessoas que a compõem.
5.2 Contribuições Futuras
De forma a caracterizar a importância e outras possibilidades de exploração do
tema, são listadas a seguir algumas sugestões para outras contribuições .
72
5.2.1 Formação da Cultura de SI por meio de Processos de
Comunicação
Normas e literaturas especializadas abordam comumente a necessidade de
conscientização e treinamentos para proteção efetiva da informação, mas com
relação à formação e cultura para a eficiência do processo de SI, as referências
bibliográficas são bastante tímidas. As pessoas devem ser envolvidas e valorizadas
como entes principais dos processos de Segurança da Informação. “É fundamental
planejar, dinamizar os canais, aproximar pessoas, tornar a informação validada
pelos membros, gerar atitudes” (MARCHIORI, 2006 a). Nesse sentido, trabalhos
futuros devem envolver criação e manutenção de processos de Gestão de
Comunicação Interna com foco na criação de uma Cultura de SI.
5.2.2 Paridades de Investimentos para Tecnologia e Pessoas no
Processo de SI
A consciência da necessidade de proteção da informação deve ser
continuamente estimulada e trabalhos para garantia da segurança devem ser
incentivados.
Pessoas, e tecnologias devem ser olhadas como um todo, sob o
aspecto da SI. Investir em um aspecto e não investir no outro gera pontos de
vulnerabilidades que pode potencializar as ameaças sobre o objetivo maior da
Segurança da Informação que é o de proteger adequadamente as informações de
maior valor para a organização. Trabalhos, nesse sentido, devem envolver avaliação
da situação atual em relação aos investimentos em tecnologia e em pessoas e
propostas de melhor distribuição desses investimentos.
73
REFERÊNCIAS
ALMEIDA, P. E. De Habermas a Porter. In: NASSAR, Paulo (org). Comunicação
Interna: A Força das Empresas. Volume 2. São Paulo: Aberje. 2005.p.117-127.
ALVARENGA, L. Representação do conhecimento na perspectiva da ciência da
informação em tempo e espaço digitais. Enc. Bibli: R. Eletr. Bibliotecon. Ci. Inf.,
Florianópolis,
n.
15,
1º
sem.
2003.
Disponível
em:
<http://redalyc.uaemex.mx/redalyc/pdf/147/14701503.pdf>. Acesso em: 16 out.
2008.
ALVES, S. Revigorando a cultura da empresa: uma abordagem cultural da mudança
nas organizações na era da globalização. São Paulo: Makroon Books, 1997.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISSO/IEC 27002:
Tecnologia da Informação: Código de prática para a gestão da segurança da
Informação. Rio de Janeiro, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:
Tecnologia da Informação: Código de prática para a gestão da segurança da
informação. Rio de Janeiro, 2005.
BARRETO, A. A. A Questão Da Informação. São Paulo em Perspectiva. São Paulo,
v. 8, n. 4, p. 3-8, 1994.
______ A transferência de informação e as tecnologias intensivas:
reposicionamentos. Informare: Rio de Janeiro, RJ, v. 2, n. 2, p. 50-52, 1996.
BATES, M. J. Information and knowledge: an evolutionary framework for information
science. Information Research Vol. 10 No. 4, July 2005. Disponível
em:<http://informationr.net/ir/10-4/paper239.html> Acesso em: 01 set 2007.
______The invisible Substrate of information Science. Journal of the American
Society for Information Science, v.50, n.12, p. 1043-1050, 1999.
BEAL, A. Segurança da Informação: princípios e melhores práticas para a proteção
dos Ativos de Informação nas Organizações. São Paulo: Atlas, 2005.
BECHARA, E. Moderna gramática portuguesa. 37ª ed. rev. e ampl. Rio de janeiro:
Lucerna, 2004.
BITELLI, M. A. S. O Direito da Comunicação e da Comunicação Social. São Paulo:
Editora Revista dos Tribunais, 2004
74
BOWDITCH, J.L.; BUONO, A. F. Elementos de Comportamento Organizacional. São
Paulo: PioneiraThonson Learning. 2004.
BRASIL. Decreto nº 3.505, de 13 de junho de 2000. Brasília, 2000. Disponível em:
<https://www.planalto.gov.br/ccivil_03/decreto/D3505.htm>. Acesso em: 10 Jul. 2008
BRASIL. Decreto nº 5772 de 08 de maio de 2006. Brasília, 2006. Disponível em:
<www.planalto.gov.br/ccivil_03/_ato2004-2006/2006/Decreto/D5772.htm>.
Acesso
em: 10 Jul. 2008
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Instrução
Normativa GSI Nº 1 de 13 de junho de 2008. Brasília, 2008. Disponível em:
<http://www.notadez.com.br/content/noticias.asp?id=64866>. Acesso em: 12 Jul.
2008
BRASIL. Lei nº 10 64372 de 29 de agosto de 2003. Brasília, 2003. Disponível em: <
http://www.planalto.gov.br/ccivil_03/LEIS/2003/L10.683compilado.htm>. Acesso em:
10 ago. 2008
CAPURRO, R. Foundations of information science: review and perspectives. 1999.
Disponível em: <http://www.capurro.de/tampere91.htm>. Acesso em: 20 abr. 2004.
______ What is Information Science for? a philosofical reflection. In: Vakkari, Perti,
Cronin, Blaise. Conceptions of library and information science. Tempere: Taylor
Graham, 1991. p. 82-93
CAPURRO, R.; HJØRLAND, B. The concept of information. In: Cronin,
B.(Ed.).Annual Review of Information Science and Technology. Silver Spring: ASIS,
2003. v. 37, p. 343–411.
CARDOSO, M. L. A. P. Uma reflexão sobre a cultura organizacional à luz da
Psicanálise. Revista Brasileira de Enfermagem. v.61 n.1. Brasília, 2008. Disponível
em:
<http://www.scielo.br/scielo.php?script=sci_arttext&pid=S003471672008000100016&lng=es&nrm=iso&tlng=es>. Acesso em: 04 ago. 2008.
CARVALHO, P. B. Língua e linguagem: Signos lingüísticos; Funções, formas e tipos
de linguagem; Hierarquia da linguagem. Apostila. Curso Lógica jurídica I . Pós
graduação, Mestrado, Doutorado. PUC SP, capitulo II. 1995.
CHAMPION, D.J. Sociologia das Organizações. São Paulo: Saraiva,1985.
CHIAVENATO, I. Introdução à Teoria Geral da Administração. 6 ed. Rio de Janeito:
Campos, 2000.
CLEMEN, P. Comunicação é o princípio e o fim. In: TRINTA, Aloizio Ramos [et al].
LOPES, Boanerges (org). Gestão em Comunicação Empresarial: Teoria e Técnica.
Juiz de Fora: Produtora Multimeios, 2007. p. 37-41.
COSTA, A.J L.; CURVELLO, J. J. A.; MARCIAL, E. C. Lícito versus Ético: Como as
ferramentas de Inteligência Competitiva podem contribuir para a boa Imagem
corporativa. Artigo. Revista Inteligência Empresarial, número 12 de julho de 2002.
75
Disponível em:
<http://www2.desenvolvimento.gov.br/arquivo/sti/publicacoes/
futAmaDilOportunidades/rev20020816_02.pdf>. Acesso em: 12 jul. 2008.
CORDENONSI, J. L. Alinhamento das Estratégias de TI e Negócio: as Melhores
Práticas utilizadas pelos Bancos Privados Brasileiros.. In: ALBERTIN, Alberto Luiz e
ALBERTIN Rosa Maria de Moura (org.). Tecnologia de Informação: Desafios da
Tecnologia de Informação aplicada aos negócios. São Paulo: Atlas. 2005
CUADRA, C. A. Introduction to ADI Annual Review. In: Annual Review of Information
Science and Technology - ARIST, v.1, p.1-14, 1966.
CUNHA, C.; CINTRA, L. Nova gramática do português contemporâneo. 3ª ed.– Rio
de Janeiro: Nova Fronteira, 2001.
CUNHA, R. Treinando Macacos, Educando Pessoas. TCC, Disponível em:
http://www.modulo.com.br/media/TA_RobertoCunha_Treinando_Macacos.pdf.
Acesso em: 25 jul. 2008.
DAHLBERG, I. Terminological definitions: characteristics and demands. In:
Problemes de la définition et de la synonymie en Terminologie. Québec: GIRSTERM,
1983.
DAVENPORT, T.H. Ecologia da Informação: Porque só a Tecnologia não basta para
o sucesso na Era da informação. 4. ed. Trad. Bernadette Siqueira Abrão. São
Paulo: Futura, 2001.
DREYFUS, H. Intelligence without representation – Merleau-Ponty’s Critique of
Mental Representation – The relevance of phenomenology to science explanation.
Phenomenolgy and the Cognitive Sciences 1:367-383, 2002.
FARRADANE, J. Knowledge, information and Information Science. Journal of
Information Science, v.2, 1980, p.75-80
FERREIRA, F. N. F. Segurança da Informação. Rio de Janeiro: Editora Ciência
Moderna LTDA., 2003.
FLEURY, M. T. L. O desvendar a cultura de uma organização – uma discussão
metodológica. In: FLEURY, M. T. L.; FISCHER, R. M. (org.). Cultura e Poder nas
Organizações. S.Paulo: Atlas, 1996. p.15-27.
FISCHER, R. M. O círculo do poder: as práticas invisíveis de sujeição nas
organizações complexas. In: FLEURY, M. T. L.; FISCHER, R. M. (org.). Cultura e
Poder nas Organizações. S.Paulo: Atlas, 1996. p.99-99.
FONTES, E. Segurança da Informação: o usuário faz a diferença. Disponível em:
http://www.viaseg.com.br/artigos/artigo_edison_051125.htm. Acesso em 16/07/2008
______ Conscientizar é preciso! Viver, mais ainda! 2006. Disponível em:
http://www.itweb.com.br/blogs/blog.asp?cod=58&arquivo=09/2006.
Acesso
em
16/07/2008.
76
FREITAS, M. E.. Cultura Organizacional: formação, tipologias e impacto. São Paulo:
Makron, McGraw-Hill, 1991.
GOMEZ N. L.; MARCHETTI, R.; PRADO, P. H. M. Antecedentes e conseqüências da
satisfação do Usuário de Informação da Internet. In: ALBERTIN, A.L.; ALBERTIN R.
M. M. (org.). Tecnologia de Informação: Desafios da Tecnologia de Informação
aplicada aos negócios. São Paulo:Atlas. 2005.
HAYES, R. M. Measurement of information. In: VAKKARI, P.; CRONIN, B.
Conceptions of Library and Information Science; historical, empirical and theoretical
perspectives. London, Proceedings… Tampere, Finland, 26-28, August 1991. Los
Angeles, Taylor Graham, 1992. p. 268-285.
HITCHINGS, J. Deficiencies of the traditional approach to information security and
the requirements for a new methodology. Computers & Security, v. 14, n. 5, p. 377–
383, May 1995.
HOFSTEDE, G. Cultures and organizations: software of the mind. New York:
McGraw-Hill, 1991.
HOSHOVSKY, A. G; MASSEY, R. J. Information Science: its ends, means &
opportunities. In: PLATAU, G. O., ed. Information transfer. Proceedings of the
Annual Meeting of the ASIS, 1968, October, 20-24. Columbus: Ohio, DC: ASIS,
1968. v.5 p.47-55.
LAKATOS, E. M.; MARCONI, M. A. Fundamentos de metodologia cientifica. 3. ed.
São Paulo: Atlas, 1996.
Incluir Lara--------------------------------------------------------LEMOS, R. Direito, Tecnologia e Cultura. Rio de Janeiro: Editora FGV, 2005.
MARCHIORI, M. Cultura e Comunicação Interna. In: NASSAR, P. (org.).
Comunicação Interna: A Força das Empresas. V2. São Paulo: Aberje. 2005. p.109115.
______, Cultura e Comunicação Organizacional: um olhar estratégico sobre a
organização. São Caetano, SP: Difusão Editora, 2006.
______ Comunicação é Cultura. Cultura é Comunicação. Disponível em:
<http://www.portal-rp.com.br/bibliotecavirtual/culturaorganizacional/buscas.htm>.
Acesso em: 12 jun. 2008.
______, Comunicação e Cultura Organizacional. In: Comunicação e Estratégia.
Revista
Digital,
v.3,
n.4,
jul.
2006.
Disponível
em:
<
http://www.comunicacaoempresarial.com.br/rev_entrevista4.htm>. Acesso em 15
mai. 2008.
LIMA-MARQUES, M. e MACEDO, F. L. Arquitetura da informação: base para a
gestão do conhecimento. In TARAPANOFF, K. (org.) Inteligência Informação e
Conhecimento. Brasília: IBICT, UNESCO, 2006. p. 241-255.
77
______, Arquitetura da informação. Brasília: Universidade de Brasília, 2004, (Notas
de aulas. Disciplina de pós-graduação. Departamento de Ciência da Informação.
Universidade de Brasília).
______, Seminários em Arquitetura da informação. Brasília: Universidade de
Brasília, 2007. (Notas de aulas. Disciplina de pós-graduação. Departamento de
Ciência da Informação. Universidade de Brasília).
MARCIANO, J. L. P. Segurança da informação: uma abordagem social. Tese
(Doutorado em Ciência da Informação) apresentada ao Departamento de Ciência
da Informação e Documentação, Universidade de Brasília, Brasília. 2006.
Orientador: Mamede Lima-Marques
MARCIANO, J. L.; LIMA-MARQUES, M. O enfoque social da segurança da
informação. ci. InF., Brasília, v35, n3, p, 89-98, set/dez.2006
MATOS, G. G. Cultura do Diálogo: base da comunicação interna. In LOPES, B.
(org.). Gestão em Comunicação Empresarial. Teoria e Técnica,. Juiz de Fora, MG:
Multimeios, 2007.
______
Porque
é
preciso
comunicar?,
2005.
Disponível
em
http://www.lovizzarocg.com/web/publicacoes/comunicacao/artigo-001.html. Acesso
em 18 jul.2008.
McGARRY, K. J. Da documentação à informação: um conceito em evolução. Lisboa:
Editorial Presença, 1984.
MIRANDA, R. C.R. O uso da informação na formulação de ações estratégicas pelas
empresas. Ciência da Informação, Brasília, v.28, n.3, p.284-290, set./dez. 1999.
Disponível em <http://revista.ibict.br/index.php/ciinf/article/view/290/256>. Acesso em
15 mai. 2008.
MORGAN, G. As Imagens da organização. Atlas, São Paulo: 1996.
NASSAR, P. Comunicação Interna: In: NASSAR, P. (org.). Comunicação Interna: A
Força das Empresas. V2. São Paulo: Aberje. 2005.
NAVES, E M. R. N.;
DELA COLETA, M. F. Cultura e Comprometimento
Organizacional em Empresas Hoteleiras, Artigo. Revista de Administração
Contemporênea-RAC,
Edição
Especial
2003,
Disponível
em:
<http://www.anpad.org.br/rac/vol_07/dwn/rac-v7-edesp-emn.pdf>. Acesso em: 04
ago. 2008.
NETTO, G.; ALLEMAND, M.; FREIRE, P. Gestão Operacional da Segurança da
Informação. Apostila do curso de Especialização de Gestão da Segurança da
Informação e Comunicações do Departamento de Ciência da Computação da
Universidade de Brasília. Brasília, 2007.
NONAKA, I. TAKEUCHI, H. Criação de Conhecimento na Empresa 14ª ed. Rio de
Janeiro: Elsevier, 1997.
78
OLIVEIRA, A. F. Valores e ritos organizacionais como antecedentes do vínculo
afetivo com a organização. Dissertação (Mestrado em Psicologia) apresentada ao
Instituto de Psicologia, Universidade de Brasília, Brasília.1997.
PEMBLE, M. What do we mean by “information security”. Computer fraud & security,
v. 2004, n. 5, p. 17–19, May 2004.
______ Processo evolutivo e tendências contemporâneas da Ciência da Informação.
Inf. & Soc.: Est., João Pessoa, v. 15, n. 1, jan./jun. 2005, p. 13-48. Disponível em: <
http://www.ies.ufpb.br/ojs2/index.php/ies/article/viewFile/51/1521.>. Acesso em 20
set. 2008.
POLISTCHUK, I.; TRINTA, A. R. A. Teorias da Comunicação: O pensamento e a
prática da comunicação social. 2. ed. Rio de Janeiro: Elsevier, 2003.
PORTER, M. E.; MILLAR, V. Como a informação proporciona vantagem competitiva.
1985. In: McGOWAN, W. (org.). Revolução em tempo real. Rio de Janeiro: Campus,
1997.
REGO, F. G. T. Comunicação Empresarial, Comunicação Institucional: conceitos,
estratégias, sistemas, estrutura, planejamento e técnicas. São Paulo:
Summus,1986.
SACRAMENTO, A. J. C. A. Uma Reflexão Sobre a Segurança nas Comunicações.
Revista
Militar.
Disponível
em
<http://www.revistamilitar.pt/modules/articles/article.php?id=60> Acesso em: 10 out.
2006
SANTOS, A. M. Cultura organizacional e motivação para o poder: um estudo
comparativo entre o setor bancário oficial e privado de Belo Horizonte. Belo
Horizonte, 1990. Dissertação (Mestrado em Administração) – Centro de PósGraduação e Pesquisa em Administração, Universidade Federal de Minas Gerais.
SANTOS, N. M. B. F. Diagnosticando a cultura organizacional através da abordagem
tipológica de Quinn: uma pesquisa nas empresas brasileiras do setor têxtil. In:
Encontro Anual da ANPAD, XVIII, 1994, Curitiba. Anais. Curitiba: ANPAD, 1994.
SANTOS, H. Alteridade, decepção e estigma: desdobramentos da interação social
mediada. Revista da FAMECOS, Porto Alegre, v. 26, p. 41-46, 2005.
SARACEVIC, T. Information science. Journal of the American Society for Information
Science, v.50, 1999, p. 1051-1063.
SARAIVA, L. A. S. Cultura Organizacional em Ambiente Burocrático. Revista de
Administração Contemporânea-RAC. Volume 06, Nº 01. 2002. Disponível em:
<http://www.anpad.org.br/periodicos/arq_pdf/a_413.pdf>. Acesso em: 03 ago. 2008.
SETZER, V. W. Dado, informação, conhecimento e competência. Folha Educação
No.
27,
out./nov.
2004,
pp.
6
e
7.
Disponível
em:
<http://www.ime.usp.br/~vwsetzer/dado-info-Folha.html>.Acesso em: 10 out. 2008.
79
SCANLAN, B. K. Princípio de Administração e Comportamento Organizacional. São
Paulo: Atlas. 1979.
SCHEIN, E. H. Guia de Sobrevivência da Cultura Corporativa. Rio de Janeiro: José
Olympio, 2001.
______. Organizatonal culture and leadership. San Francisco: Jossey-Bass
Publishers, 1997.
______ Coming to a new awareness of organizational culture. Sloan Manag. Rev.
1984.
SCHLIENGER, T.; TEUFEL, S. Analyzing information security culture: increased trust
by an appropriate information security culture. In: Proceedings of the 14th
International Workshop on Database and Expert Systems Applications. Oakland,
California: IEEE Society, 2003. v. 6, p. 405–409.
SHANNON, C. E. A matemathical theory of communication. The Bell System
Technical.Journal, v. 27, n. 1, p. 379–423;623–656, July/Oct. 1948. Disponível em:
<http://cm.bell-labs.com/cm/ms/what/shannonday/shannon1948.pdf>. Acesso em:
20 ago. 2008.
SHANNON, C. E.; WEAVER, W. Teoria Matemática da Comunicação. São Paulo:
Difel, 1975.
SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de
Janeiro: Campus, 2006.
SIANES, M. Proteção ao Conhecimento: uma proposta de fundamentos teórica.
Dissertação (Mestrado em Ciência da Informação) apresentada ao Departamento
de Ciência da Informação e Documentação, Universidade de Brasília, Brasília.
2008. Orientador : Lima-Marques,M.
VENTER, H. S.; ELOFF, J. H. P. A taxonomy for information security technologies.
Computers & Security, v. 22, n. 4, p. 299–307, May 2003.
VON SOLMS, B.; VON SOLMS, R. The 10 deadly sins of information security
management. Computers & Security, v. 23, n. 5, p. 371–376, July 2004.
WERSIG, G.; NEVELLING, U. The phenomena of interest to Information Science.
The Information Scientist, v. 9, n. 4, p.127-140, December, 1975.
WEINER, Y.; VARDI, Y. Relationships between
careercommitment and work outcomes:an integrate
behavior. Human Performance, v. 26, p. 81-96,1990.
job,organization, and
approachorganizational
80
ANEXO I – PESQUISA SIC
Pesquisas do termo “Segurança da Informação e Comunicações” na Internet
1 – Google.
Data
acesso
de Opção
pesquisa
16/07/2008
Estou
sorte
de Resultado
https://www1.planalto.gov.br/semsicbr/
com Página
relativa ao programa do I SEMINÁRIO DE
SEGURANÇA
DA
INFORMAÇÃO
E
COMUNICAÇÕES, promovido pelo Gabinete de
Segurança
Institucional
da
presidência
da
República.
16/07/2008
WEB
Nos resultados das 10 primeiras, apenas uma
ocorrência não estava vinculada ao GSI. Referiase à página de uma empresa que trazia o seguinte
texto ” empresa foi fundada em 1996 por um grupo
de especialistas em matemática, segurança da
informação e comunicações, que somam 30 anos
de experiência na análise, desenvolvimento e
implementação de soluções para os problemas de
Segurança
da
Informação”
.Página:
“http://www.coresecurity.com/content/coresecurity-technologies-lana-a-primeira-ferramentapara”. A página, entretanto, não traz data de
referência, impossibilitando identificar quando o
item foi incluso.
16/07/2008
Pesquisar
livros
Não trouxe nenhuma ocorrência do termo
81
2 - Outros sites
Endereço
dgp.cnpq.br/buscaoperacio
Data
Ocorrên
acesso
cia
12/07/2008
1 (uma)
Observação
GESIC-Grupo
de
Estudos em Gestão da
nal
(Diretório
de
busca
de
pesquisas no Brasil)
Segurança
da
Informação
e
Comunicações, formado
em 2007
3 - Outras buscas
Endereço
Data acesso
www.governoeletronico.
22/08/2008
gov.br
Termo
/
Número
de Observação
ocorrências
Comunicações Em Nenhuma das
(39)
ocorrências o termo
estava vinculado à
Segurança da
Informação
18/08/2008
gov.br/biblioteca
gov.br/biblioteca
Comunicações
0 (zero)
18/08/2008
Segurança
Referente ao Guia
1 (Uma)
de Segurança da
Informação. Nesse
documento não
aparece nenhuma
vez a palavra
‘Comunicações’
82
ANEXO II – PESQUISA TIC
Pesquisas no Google em relação à TIC. Acesso em: 06 nov. 2008
Resultado: aproximadamente 220.000 ocorrências com a palavra ‘Tecnologia’
vinculada sintaticamente ao termo ‘Comunicação’ ou ‘Comunicações’ contra,
aproximadamente, 28.000 ocorrências com o emprego desconsiderando essa
vinculação sintática (Tecnologia da Informação e Comunicações), conforme gráfico
e especificações apresentados abaixo:
Ocorrências de TIC
T' vinculado à 'C'
T' desvinculado de 'C'
1 - Argumento de pesquisa: "tecnologia da informação e comunicação" .
Web Resultados 1 - 10 de aproximadamente 186.000 para "tecnologia da informação e
comunicação"
2 - Argumento de pesquisa: "tecnologia da informação e da comunicação"
Web Resultados 1 - 10 de aproximadamente 24.500 para "tecnologia da informação e da
comunicação"
3 - Argumento de pesquisa: "tecnologia da informação e das comunicação"
Web Resultados 1 - 10 de aproximadamente 5.910 para "tecnologia da informação e das
comunicações"
4 - Argumento de pesquisa: "tecnologia da informação e comunicações"
Web Resultados 1 - 10 de aproximadamente 28.000 para "tecnologia da informação e
comunicações"

liliana suzete lopes de queiroz campos uma proposta de conceito

Transcrição

Documentos relacionados

ANIVERSÁRIO DE 07 ANOS DO DSIC Mensagem do Diretor Por

Texto em Português

Brasília - DF, 2 de Maio de 2014 ( Sexta

Elise Eberwein

Adt n 008 ao BI n 195 - CCOMGEX

As Comunicações e os Sistemas de Informação

Made IT Portugal | IPBrick

Transportes

CALL-XXXVI-Encontro-da-Associação-Portuguesa-de

Sistema Autónomo de Rastreio de Operações Logísticas