liliana suzete lopes de queiroz campos uma proposta de conceito
Transcrição
liliana suzete lopes de queiroz campos uma proposta de conceito
UNIVERSIDADE DE BRASÍLIA INSTITUTO DE CIENCIAS EXATAS DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO ESPECIALIZAÇÃO EM GESTÃO DA SEGURANÇA DA INFORMAÇÃO LILIANA SUZETE LOPES DE QUEIROZ CAMPOS UMA PROPOSTA DE CONCEITO PARA ‘COMUNICAÇÕES’ NO TERMO SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Orientador: Prof. Dr. Mamede Lima-Marques Brasília 2008 UNIVERSIDADE DE BRASÍLIA INSTITUTO DE CIENCIAS EXATAS DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO ESPECIALIZAÇÃO EM GESTÃO DA SEGURANÇA DA INFORMAÇÃO LILIANA SUZETE LOPES DE QUEIROZ CAMPOS UMA PROPOSTA DE CONCEITO PARA ‘COMUNICAÇÕES’ NO TERMO SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como parte dos requisitos para obtenção do título de pós-graduada em Gestão da Segurança da Informação e Comunicações. Orientador: Prof. Dr. Mamede Lima-Marques Brasília 2008 UMA PROPOSTA DE CONCEITO PARA ‘COMUNICAÇÕES’ NO TERMO SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Liliana Suzete Lopes de Queiroz Campos Monografia de Especialização submetida e aprovada pela Universidade de Brasília como parte do requisito parcial para a obtenção do certificado de Especialista em Ciência da Computação: Gestão da Segurança da Informação. Aprovada em: 15 de dezembro de 2008 _________________________________________ Prof. Dr. Mamede Lima-Marques Universidade de Brasília _________________________________________ Prof. Dr. Jorge H C Fernandes Universidade de Brasília _________________________________________ Prof. Dra. Magda Fernanda M Fernandes Universidade de Brasília Ao meu marido, José Ronaldo, e aos meus filhos, Hugo e Matheus, pela forma com que entenderam minha necessidade de “furtar” valiosas horas de nosso convívio, em prol da elaboração deste trabalho. AGRADECIMENTOS Agradeço a todos que me apoiaram e de alguma forma contribuíram para a execução deste trabalho, especialmente às seguintes pessoas: Professor Mamede Lima-Marques, Professor Jorge Fernandes, Ana Clara, Inálio e Suzana. Comunicação foi sempre uma palavra divina. Evoca pluralidade de idiomas, a universalidade da raça humana, o valor do diálogo e do entendimento. O sentido maior da democracia, dos valores éticos, e do nascimento e integração das culturas Francisco Viana. RESUMO Este trabalho apresenta proposta para conceituar ‘Comunicações’, no termo Segurança da Informação e Comunicações de modo a justificar sua adoção e aplicabilidade no âmbito da Administração Pública Federal, área de abrangência da atuação do Departamento de Segurança da Informação e Comunicações, do Gabinete de Segurança Institucional da Presidência da República. Também mostra que o verbete ‘Comunicações’ pode ser aplicado e entendido em relação aos indivíduos sob um aspecto pouco explorado nos processos de implementação de Sistemas de Segurança da Informação: a formação de uma Cultura Organizacional de Segurança da Informação, por meio de processos de conscientização com foco nas comunicações. Com essa associação, atribui-se ao tema uma abordagem na qual a pessoa tenha foco e nível de atenção que sejam semelhantes aos dispensados à tecnologia no processo que envolve Segurança da Informação. Palavras-chave: Segurança da Informação e Comunicações, Administração Pública Federal, Comunicação Organizacional, Cultura Organizacional. ABSTRACT This paper presents a proposal to conceptualize the word 'Comunicações' in the term ‘Segurança da Informação e Comunicações’ in order to justify its adoption and applicability in the Brazilian Federal Public Administration. It shows that the word ‘Comunicações’ can be applied and understood under a little explored aspect: the formation of a Culture of Security Information through an awareness process with focus in communications in order to give people focus and attention similar to those given to technology in the process that involves Information Security. Keywords: Segurança da Informação e Comunicações, APF, Comunicação Organizacional, Cultura Organizacional. LISTA DE ABREVIATURAS E SIGLAS APF Administração Pública Federal CGSIC Curso de Especialização em Gestão da Segurança da Informação e Comunicações COMPUSEC Segurança de Computadores COMSEC Segurança das Comunicações CRIPTOSEC Segurança Criptográfica DSIC Departamento de Segurança da Informação e Comunicações EMSEC Segurança na Emissão GSI Gabinete de Segurança Institucional IC Inteligência Competitiva MIGSIC Modelo de Implementação e Gestão da Segurança da Informação e Comunicações na Administração Pública Federal PR Presidência da República NI DSIC Núcleo de Implantação da Diretoria de Segurança da Informação e Comunicações SI Segurança da Informação SIC Segurança da Informação e Comunicações TRANSEC Segurança na Transmissão UnB Universidade de Brasília SUMÁRIO Introdução................................................................................................................12 1 Sobre o Problema e o Método ..........................................................................14 1.1 Objetivo Geral............................................................................................................. 14 1.2 Objetivos Específicos.................................................................................................. 14 1.3 Justificativa ................................................................................................................. 15 1.4 Metodologia ................................................................................................................ 17 1.4.1 Classificação .............................................................................................................................17 1.4.2 Percurso Metodológico .............................................................................................................17 PARTE I - Revisão de Literatura .............................................................................18 2 O Complexo Informação, Segurança, Cultura e Comunicação .....................19 2.1 Informação.................................................................................................................. 19 2.2 Capitais do Conhecimento .......................................................................................... 23 2.3 Segurança da Informação e Segurança das Comunicações....................................... 24 2.4 A Gestão da SI........................................................................................................... 30 2.5 A SI além do limite da TI ............................................................................................ 33 2.6 A Comunicação no Processo de Formação de Cultura............................................... 39 2.6.1 Comunicação Organizacional ...................................................................................................39 2.6.2 Cultura Organizacional..............................................................................................................44 2.6.3 Comunicação e Cultura.............................................................................................................49 PARTE II – Resultados da Pesquisa ......................................................................53 3 Segurança da Informação e Comunicações ...................................................54 3.1 Visão Sintática do Termo ............................................................................................ 54 3.2 Origem da utilização do Termo.................................................................................... 55 3.3 Aplicabilidade do Termo pelo DSIC ............................................................................. 57 4 Formando a Cultura de Segurança da Informação.........................................62 4.1 O Valor da Conscientização ........................................................................................ 62 4.2 Os Capitais do Conhecimento na formação da Cultura de Segurança da Informação 64 4.3 Comunicação como Processo de Geração da Cultura de SI ...................................... 67 5 Considerações Finais........................................................................................70 5.1 Uma Revisão dos Passos Propostos ......................................................................... 70 5.2 Contribuições Futuras ................................................................................................ 71 5.2.1 Formação da Cultura de SI por meio de Processos de Comunicação.....................................72 5.2.2 Paridades de Investimentos para Tecnologia e Pessoas no Processo de SI ...........................72 Referências ..............................................................................................................73 Anexo I – Pesquisa SIC...........................................................................................80 Anexo II – Pesquisa TIC..........................................................................................82 12 INTRODUÇÃO A partir dos trabalhos para implantação do Departamento de Segurança da Informação e Comunicações (DSIC), vinculado ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR), deu-se a adoção e utilização do termo ‘Segurança da Informação e Comunicações’ (SIC), no âmbito da Administração Pública Federal (APF). Segurança da Informação (SI) é um termo para o qual existem definições, conceitos e formas de utilização abordados em normas, bibliografias e fóruns. Entretanto, não foram encontradas justificativas e tampouco definições que expliquem o significado ou mesmo justifique a adoção do vocábulo ‘Comunicações’ nesse contexto. Este trabalho pretende suprir essa lacuna de definição, vinculando o termo ‘Comunicações’ ao processo de criação e fortalecimento de uma Cultura de Segurança da Informação, por meio de ações gradativas e constantes, com foco em processos de comunicação. Com essa associação, atribui-se ao tema uma abordagem mais social, na qual o indivíduo tenha nível de atenção semelhante ao dispensado à tecnologia no processo que envolve SI. Dessa forma, a pessoa terá o destaque necessário como começo e fim do processo que envolve Segurança da Informação. O conteúdo deste trabalho, dividido em capítulos, agrupa as informações conforme as características de cada assunto. O Capítulo 1 contém informações sobre o problema e o método, incluindo: objetivo geral, objetivos específicos, justificativas em relação ao tema, além da metodologia empregada para a confecção do trabalho. 13 Os conceitos envolvidos na discussão do tema, para as fundamentações da proposição efetuada em relação à representatividade do termo ‘Comunicações’, são apresentados no capítulo 2. No Capitulo 3 são descritos os resultados das observações em relação à origem e aplicabilidade do termo ‘Segurança da Informação e Comunicações’. O Capítulo 4 aborda os pontos referentes à conscientização e comunicação no processo de formação da cultura de Segurança da Informação. O Capítulo 5 apresenta as considerações finais referentes às abordagens do trabalho e sugestões para novas contribuições, relativas ao tema estudado. 14 1 SOBRE O PROBLEMA E O MÉTODO Eu sempre tive um enorme desejo de aprender a diferenciar o verdadeiro do falso, para ver claramente minhas ações e caminhar com segurança nesta vida Descartes 1.1 Objetivo Geral Propor um conceito para o verbete ‘Comunicações’, no termo ‘Segurança da Informação e Comunicações’, sob o aspecto da formação de uma Cultura Organizacional de Segurança da Informação. 1.2 Objetivos Específicos a. Indicar a origem da utilização do termo ‘Segurança da Informação e Comunicações’; b. Efetuar uma análise crítica do conceito de ‘Comunicações’ quando vinculado ao termo ‘Segurança da Informação’; c. Apresentar a relação existente entre Comunicação e Formação de Cultura. 15 1.3 Justificativa O DSIC, a partir de sua criação, adotou e passou a utilizar a expressão Segurança da Informação e Comunicações em relação às suas atividades no trato com a proteção da informação. Faltou, entretanto, assegurar-se do real significado que desejou imputar ao vocábulo ‘Comunicações’ no contexto da Segurança da Informação. Há que se observar que a adoção de um determinado termo sem uma definição de seu significado pode impossibilitar o consenso e entendimento, gerando dúvidas quanto a sua utilização e emprego. Conforme afirma Lara (2008), o intercâmbio de informações é facilitado por meio da compatibilização de significados e, deste modo, a aplicação de ‘Comunicações’ no contexto da SI, evidência a necessidade do estabelecimento e legitimação de uma definição, como fundamento para que o DSIC obtenha os resultados esperados em suas atividades de estímulo à adoção de ações de SI. Outro fator a considerar diz respeito a que a importância e visibilidade do DSIC para a Administração Pública Federal atuam como força indutora para que outros órgãos e instituições adotem, como boas práticas, processos de trabalho e conceitos utilizados por esse departamento. O Ministério da Saúde, por exemplo, com relação à política de segurança da informação do DATASUS, adotou a denominação Política de Segurança da Informação e Comunicações do DATASUS1, utilizando o termo ’Comunicações’ da mesma forma que a empregada pelo DSIC. Porém, a falta de definição ou recomendação em relação às nomenclaturas a serem adotadas pode ocasionar escolhas diferenciadas como ocorreu com o Ministério do Planejamento, que mostrou outro entendimento ao referir-se ao termo 1 Art. 1º. Portaria nº 207 de 9 de julho de 2008. Disponível <http://bvsms.saude.gov.br/bvs/saudelegis/se/2008/prt0207_09_07_2008.html>. Acesso em : 17 jul. 2008. em: 16 como ‘Segurança da Informação e de Comunicações’ conforme verificado em 2 informativo publicado no Portal SOF , que traz o seguinte texto: (...) foi realizada a 6ª Reunião Ordinária da Comissão de Gestão da Informação - CGI que abordou assuntos como: Segurança da Informação..., Estiveram presentes na reunião diretores e substitutos dos Departamentos que debateram a importância do Programa de Segurança da Informação e de Comunicações em parceria com o Gabinete de Segurança Institucional da Presidência da República na busca por um Plano de Segurança da Informação e de Comunicações para a SOF. Com base no exposto este trabalho encontra justificativas para conceituar ‘Comunicações’, no termo SIC, de modo a explicar sua utilização, evitando dubiedade e dando direcionamento e sentido à sua aplicação no âmbito da Administração Pública Federal, escopo de atuação do DSIC e da adoção do termo ‘Comunicações’ vinculado à expressão ‘Segurança da Informação’. 2 Portal da Secretaria de Orçamento Federal do Ministério do Planejamento, Orçamento e Gestão. Disponível em: <https://www.portalsof.planejamento.gov.br/portal/sof_noticias/sof_noticias_84> .Acesso em:06 jul. 2008. 17 1.4 Metodologia 1.4.1 Classificação Esta pesquisa é classificada como explicativa, tendo como base seus objetivos, com abordagem teórico-metodológica de um campo específico do conhecimento – Segurança da Informação e Comunicações. Pode ser caracterizada como pesquisa bibliográfica e documental uma vez que, a partir da revisão da literatura da área, tem como objetivo conhecer e analisar as contribuições existentes sobre determinado assunto ou problema. O método de procedimento adotado foi o monográfico, de acordo com Lakatos e Marconi (1996) que o definem como um estudo sobre um tema específico ou particular de suficiente valor representativo e que obedece a rigorosa metodologia. 1.4.2 Percurso Metodológico Inicialmente serão levantadas informações sobre a ocorrência do termo ‘Segurança da Informação e Comunicações’, em publicações diversas. Em seguida buscar-se-á por indícios de significados, por meio de análise de conteúdo de bibliografias, incluindo documentos publicados pelo Gabinete de Segurança Institucional da Presidência da República e documentos disponíveis em sítios da internet. Para o entendimento dos termos envolvidos no trabalho serão efetuadas revisões bibliográficas sobre Segurança da Informação, Comunicação Organizacional e Cultura Organizacional. Para a proposta de vinculação do termo ‘Comunicações’ à formação de Cultura de Segurança da Informação será utilizado como referencial teórico o trabalho de Marchiori (2006). 18 PARTE I - REVISÃO DE LITERATURA 19 2 O COMPLEXO INFORMAÇÃO, SEGURANÇA, CULTURA E COMUNICAÇÃO 2.1 Informação A Informação ganha prioridade na gestão moderna. As organizações, cada vez mais, dependem de sua capacidade de gerir de forma eficaz seus ativos de informação, para bem cumprir sua missão. Segundo Porter e Millar (1985), nenhuma empresa escapa dos efeitos advindos da revolução da informação. Devese, porém, estar atento para as dificuldades ligadas a essa gestão, principalmente no que concerne à vastidão de conceitos assumidos pelo vocábulo Informação. Pinheiro (2004) mostra o ponto de vista de Wersig e Nevelling, (1975) no qual os autores apontam que a informação, como objeto da Ciência da Informação, não é uma certeza, na medida em que é "um possível objeto..." e o termo, marcado por ambigüidade, "é o mais extremo caso de polissemia na comunicação técnica da informação e documentação". A autora mostra, ainda, que Cuadra (1966) “foi um dos primeiros a ressaltar não haver concordância clara sobre o significado da palavra informação, particularmente quanto a implicar ato criativo do intelecto ou 'commodity' que pode ser incorporada a um documento, transportada e intercambiada." Essa característica polissêmica de Informação é ressaltada por Sianes (2008) ao abordar que o conceito tem sido discutido e apresentado sob diferentes facetas por diferentes autores, a depender do contexto em que se realiza a explanação. Vale ressaltar a seguinte sistematização, apresentada por Sianes (2008), proposta por Wersig e Neveling (1975), com base em inúmeras abordagens encontradas na literatura sobre a definição de informação: 20 – Sob o ponto de vista estrutural: visão orientada para a matéria; a informação independe da percepção humana, é uma característica inerente aos objetos. – Ponto de vista do conhecimento: considera que “a informação é o conhecimento sendo comunicado”, e o conhecimento deve ser “adquirido pelo menos por um sujeito”. – Ponto de vista da mensagem: a informação é considerada como sinônimo de mensagem, sendo a mensagem uma unidade que consiste de um suporte físico e um suporte semântico; relacionada à teoria matemática da comunicação. – Ponto de vista do significado: considera que apenas o significado da mensagem é informação. – Ponto de vista do efeito: visão orientada para o receptor; a informação seria o efeito específico de um processo que altera o receptor; relacionada com as teorias cognitivas. – Ponto de vista do processo: a informação é o próprio processo e não um de seus componentes; processo que ocorre na mente humana com uma finalidade específica (de comunicação). Porém, toda essa abordagem não esgota o tema. Diversos autores se apóiam em outros conceitos para definir informação. Para Miranda (1999), Informação são dados organizados de modo significativo, sendo subsídio útil à tomada de decisão. Para o autor, dado é um conjunto de registros conhecidos, qualitativos ou quantitativos, que organizado, agrupado, categorizado e padronizado adequadamente transforma-se em informação. Nonaka e Takeuchi (1997) discorrem sobre o significado da informação vinculando-o a conhecimento. Segundo esses autores, a informação é um produto capaz de gerar conhecimento e conhecimento é identificado com a crença produzida (ou sustentada) pela informação. Outros autores também atrelam informação a conhecimento, conforme abordado por Sianes (2008) a partir das visões de diversos autores, dentre os quais Capurro (1991, 1999, 2003), Bates 21 (1999, 2005), Saracevic (1999), Davenport (2001), Dreyfus (2002), Barreto (1994, 1996), Alvarenga (2003), Pinheiro (2004, 2005) e Lima-Marques (2004, 2006, 2007). Para Sianes (2008), embora esses autores definam a informação (conhecimento registrado) como o objeto de estudo da Ciência da Informação, consideram que ao estudar a informação, ressaltam as inter-relações entre as teorias da informação e do conhecimento e analisam não apenas o registro físico, mas o conteúdo, o sujeito e o contexto. Santos (1995), por sua vez, introduz a ‘Interação’ na relação InformaçãoConhecimento. Para ele a interação humana proporciona o intercâmbio ou troca de informações que pode transformar-se em conhecimento humano. Já Setzer (2004) distingue dados de informação e de conhecimento a partir da variável ‘percepção ou capacidade de pensar’. Para o autor, dado é uma representação simbólica, quantificada ou quantificável e informação tem a ver com o significado compreendido de uma mensagem. Na opinião de Setzer (2004), uma mensagem recebida torna-se informação se o seu receptor compreende seu conteúdo. O autor acrescenta que uma percepção sensorial só produz algo em nossa mente se conseguirmos associar conceitos a ela, usando o pensamento, ou seja, compreensão e significado dependem da capacidade de pensar, “de associar percepções e conceitos a outros conceitos”. Deste modo, Setzer (2004) conclui que informação não se processa em computadores, o que se processa são os dados que representam informações. Com relação a conhecimento, Setzer (2004) alega que alguém tem conhecimento quando pode efetuar associações de conceitos embasadas em uma vivência pessoal dos objetos envolvidos. Para ele conhecimento é totalmente subjetivo já que cada indivíduo tem uma vivência diferente. O que se percebe é que informação e conhecimento são conceitos fortemente atrelados entre si e para os quais não existe clareza de significado, sendo, muitas vezes, utilizados como sinônimos. Toda essa explanação ressalta a premência de se contextualizar ‘Informação’ dentro do escopo no qual aparece. É necessário realizar diferenciação entre esses 22 diversos conceitos de forma a não deixar pairar qualquer dúvida de entendimento, uma vez que o mundo moderno se apropriou dessas nomenclaturas para estabelecer fronteiras no mundo da Tecnologia da Informação. A partir da avaliação dos conceitos pesquisados, optou-se nesse trabalho pela adoção do conceito de Sianes (2008) no qual define ‘Informação’ como um registro dotado de semântica, cujo significado depende de quem a detém, recebe ou acessa. Ressalta-se nessa colocação o fato de que a informação se contextualiza pelo seu significado e não pelos meios utilizados para sua transmissão ou armazenamento. A visualização do conceito ‘Informação = Registro’, elaborado por Sianes (2008), é apresentado abaixo. Neste modelo foi incluída a língua não verbalizada, ao lado do documento, da língua falada e da língua de sinais do modelo de LimaMarques e Lorens (2007), no qual Sianes (2008) se baseou. Figura 1: A informação como registro (SIANES, 2008) 23 O conceito de informação como registro, neste trabalho, é abordado sob dois aspectos: a. da Segurança da Informação: diz respeito à informação que tem valor para a organização e deve ser protegida no sentido de se evitar seu uso indevido. b. da formação de cultura: diz respeito à informação como conteúdo de um processo comunicativo, utilizado para geração de conhecimento e criação da Cultura de SI. Os dois aspectos são importantes em um processo de conscientização: o primeiro, em relação ao que deve ser protegido e o segundo, como conteúdo informacional para formação da consciência sobre a necessidade de proteção das informações sensíveis para a organização. O aspecto ‘a’, pertencente ao escopo das abordagens dos processos de SI, embora bastante referenciado, não é foco direto deste trabalho. O foco central deste trabalho se refere ao aspecto ‘b’, ligado ao processo de conscientização. Tais conceituações, com certa liberdade de entendimento, adequam-se à necessidade deste trabalho em relação à proposição de uma aplicação inovadora para a informação, quando vista sob o aspecto do conteúdo a ser transmitido para a formação da Cultura de Segurança da Informação. 2.2 Capitais do Conhecimento O modelo ‘Capitais do Conhecimento’ é definido por meio da criação de quatro capitais: o Capital Ambiental, o Capital Estrutural, o Capital Intelectual e o Capital de Relacionamento. Esse modelo se aplica à proposta deste trabalho ao cobrir, a partir dos quatro capitais, todos os ativos de informação de uma organização. O Capital Ambiental é definido como o conjunto de fatores que descrevem o ambiente onde a organização está inserida. Estes fatores são expressos pelas características sócio-econômicas da região (nível de escolaridade, distribuição de renda, taxa de natalidade, etc), pelos aspectos legais, valores éticos e culturais, pelos aspectos governamentais (grau de participação do governo, estabilidade política) e pelos aspectos financeiros. 24 O Capital Estrutural é definido como um conjunto de sistemas administrativos, conceitos, modelos, rotinas, marcas, patentes e sistemas de informática, que permitem à organização funcionar de maneira efetiva e eficaz. O Capital Intelectual refere-se tanto à capacidade, habilidade e experiência quanto ao conhecimento formal que os integrantes detêm e que agregam a uma empresa. O capital intelectual não é, entretanto, propriedade das empresas, é um ativo intangível que pertence ao próprio indivíduo, mas que pode ser utilizado pela empresa para gerar valor. O Capital de Relacionamento é definido como a rede de relacionamentos de uma organização e seus colaboradores com seus clientes, fornecedores e parceiros. Apesar de gestão do conhecimento não ser objeto específico deste trabalho, a proposta de um processo de conscientização com base no modelo de capitais do conhecimento se deve a que, nessa abordagem, a abrangência da informação envolve de maneira simples e didática todo o fluxo informacional relacionado a uma organização, enfocando a informação com base em seu significado e não, simplesmente, nas tecnologias que dão suporte à sua gestão. 2.3 Segurança da Informação e Segurança das Comunicações Segurança é termo abrangente que na língua portuguesa é empregado com múltiplos sentidos. Um dos sentidos de ‘segurança’ refere-se aos processos empregados de forma a impedir ações diretas de acesso indevido a um local específico ou a algo de valor. Outro sentido refere-se às ações indiretas, sem intervenção humana intencional como, por exemplo, chuvas fortes e desabamentos em uma estrada. Com relação à Informação, o termo segurança é normalmente empregado como a proteção da informação em relação a sua disponibilidade, integridade, confidencialidade e autenticidade. Tal definição, bastante genérica, não menciona explicitamente os meios utilizados como suporte para o armazenamento, 25 processamento ou para a transmissão da informação, deixando, muitas vezes, dúvidas quanto a se estar ou não englobando os cuidados com a Segurança das Comunicações. Porém, alguns autores, como Sacramento (2006) e Beal (2005), abordam o tema de forma a explicitar o alcance da abordagem da SI. Para Sacramento (2006), a Segurança da Informação visa à aplicação de medidas de segurança para proteção da informação processada, armazenada ou transmitida, tanto nos sistemas de informação como nos de comunicação. Sob sua ótica, a Segurança da Informação compreende dois aspectos: a Segurança dos Computadores (COMPUSEC) e a Segurança das Comunicações (COMSEC). Para o autor, A COMPUSEC visa à aplicação de medidas de segurança do hardware, software e firmware de um computador ou sistema de computadores, com a finalidade de proteger ou prevenir a ocorrência não autorizada da divulgação, manipulação, alteração, ou interrupção de acesso da informação (SACRAMENTO, 2006). Com relação à COMSEC, o autor destaca: A COMSEC visa à aplicação de medidas de segurança das comunicações, de forma a negar a pessoas não autorizadas o acesso a informações valiosas, que poderão derivar da sua posse ou estudo, ou assegurar a autenticidade dessas comunicações. (SACRAMENTO, 2006). Na opinião de Beal (2005), a Segurança da Comunicação é aspecto adicional da Segurança da Informação que tem a ver com documentos em trânsito e disputa sobre origem de uma comunicação ou recebimento de uma informação transmitida. Segundo a autora, a Segurança da Comunicação visa proteger a informação que trafega de um ponto a outro com o objetivo de preservar os seguintes aspectos: – – – – – Integridade do conteúdo: garantia de que a mensagem enviada pelo emissor é recebida de forma completa e exata pelo receptor. Irretratabilidade da comunicação: garantia de que o emissor ou receptor não tenha como alegar que uma comunicação bem-sucedida não ocorreu. Autenticidade do emissor e do receptor: garantia de que quem se apresenta como remetente ou destinatário da informação é realmente quem diz ser. Confidencialidade do conteúdo: garantia de que o conteúdo da mensagem somente é acessível a seu(s) destinatário(s). Capacidade recuperação do conteúdo pelo receptor: garantia de que o conteúdo transmitido pode ser recuperado em sua forma original pelo destinatário. 26 3 Sacramento (2006) e Wikipedia compactuam com Beal (2005) ao apresentar as seguintes características da COMSEC: – Cryptosecurity: Componente de segurança das comunicações que resultam da utilização e aplicação de sistemas criptográficos e que possibilitam assegurar a confidencialidade e a autenticidade da transmissão de informações. – Emissão segura (EMSEC): Medidas tomadas no sentido de não permitir que pessoas, não autorizadas, tenham acesso a informações de valor a partir da interceptação e análise dos níveis sonoros emitidos a partir de criptografia, equipamentos, sistemas de informação automatizados (computadores) ou sistemas de telecomunicações. – Transmissão segura (TRANSEC): Aplicação de medidas destinadas a evitar que uma transmissão seja interceptada ou explorada por outros meios que não os ‘encriptados’, por exemplo, salto de freqüência. – Segurança física: medidas necessárias para salvaguardar e classificar equipamentos, materiais e documentos contra acessos indevidos ou não autorizados. – Fluxo de tráfego de segurança: medidas que ocultam a presença e as propriedades de mensagens válidas em uma rede. Inclui a proteção resultante de características de alguns cryptoequipment, que ocultam a presença de mensagens válidas em um circuito de comunicações. Sacramento (2006) simplifica o entendimento sobre COMSEC e COMPUSEC ao relatar que, simbolicamente, o domínio da COMPUSEC termina aquém da tomada onde se inicia a COMSEC (além da tomada, prosseguindo nas redes locais, equipamentos e redes subseqüentes). De acordo com Sacramento (2006), o domínio da segurança das comunicações envolve diversas fontes de obtenção e interceptação de mensagens, sendo mais comuns as seguintes: 3 COMSEC. Disponível em:<http://en.wikipedia.org/wiki/COMSEC>. Acesso em: 29 set. 2008. 27 – aquisição de informação por meio de pessoas, seja em entrevistas e interrogatórios ou utilizando outras técnicas para obtenção de confissões ou revelações involuntárias de informação; – informação resultante da interceptação de sinais com origem em emissão de energia eletromagnética; – aquisição de informação (imagem) via satélite e fotografia aérea; – aquisição de informação que está acessível publicamente. Inclui a informação que circula em jornais, internet, livros, listas telefônicas, revistas científicas, emissoras rádio, televisão, etc. Também o Governo Federal, ao tratar da Segurança da Informação, não exclui deste conceito os aspectos da Segurança das Comunicações. O Decreto nº 3505 de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da APF, traz uma definição que coloca em nível de igualdade, dentro da SI, os aspectos dos Recursos Humanos, da documentação e das “Instalações das Comunicações e Computacional” ao definir Segurança da Informação da seguinte maneira: Segurança da Informação é a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão e a modificação desautorizada de dados ou informações armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento. Na APF, as bases para implementação da Segurança da Informação advêm dos conceitos empregados, mais especificamente, nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, embasadas nas normas da série BS 27000 do padrão inglês da British Standard, que trata da Segurança da Informação. A NBR ISO/IEC 27001 foi elaborada de modo a prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação de uma organização. A NBR ISO/IEC 27002 fornece recomendações em gestão da segurança da informação para uso dos responsáveis pela implementação e manutenção da 28 segurança em suas organizações. Tem como propósito prover uma base comum para o desenvolvimento de normas de segurança organizacional e práticas efetivas de gestão da segurança, além de prover confiança nos relacionamentos entre as organizações. Até 2007, a NBR ISO/IEC 27002 era denominada NBR ISO/IEC 17799:2005. A NBR ISO/IEC 27002 conceitua SI como: A preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ABNT NBR ISO/IEC 27002:2005). A mesma norma refere-se à Segurança da Informação também como a proteção da informação de diversos tipos de ameaças, para garantir a continuidade e minimizar o risco do negócio, maximizar o retorno sobre os investimentos e as oportunidades dos negócios. Embora essas normas, ao conceituar Segurança da Informação, não enfoquem explicitamente a Segurança das Comunicações, também não a excluem, uma vez que na definição de SI não especificam os meios ou infraestruturas consideradas. Adicionalmente, a norma NBR ISO/IEC 27001, ao tratar sobre os controles a serem adotados nos processos de SI, cita os termos ‘comunicações’ e ‘telecomunicações’ em alguns itens, como, por exemplo, os apontados na tabela abaixo: Item Controle A.9.2.3 Segurança do O cabeamento de energia e de telecomunicações que transporta cabeamento dados ou dá suporte aos serviços de informações deve ser protegido contra interceptação ou danos. A.10.8.1 Políticas e Políticas, procedimentos e controles devem ser estabelecidos e procedimentos para formalizados para proteger a troca de informações em todos os troca de informações tipos de recursos de comunicação. A.11.7.1 Computação Uma política formal deve ser estabelecida e medidas de segurança e comunicação móvel apropriadas devem ser adotadas para a proteção contra os riscos do uso de recursos de computação e comunicação móveis. 29 A NBR ISO/IEC 27001 ressalta, ainda, que os controles não se exaurem com a lista publicada. Sendo assim, o entendimento deste trabalho de que a Segurança das Comunicações’ pode ser tratada como um dos aspectos da SI, não encontra obstáculos nas recomendações dessa norma, pois não existem impedimentos para a definição de controles adicionais, voltados para as comunicações, em caso de necessidade. De acordo com o decreto 3505, as ações voltadas para a SI, no âmbito do Governo Federal, competem à Secretaria-Executiva do Conselho de Defesa Nacional (CDN), cujo papel de Secretário-Executivo cabe ao Ministro Chefe do Gabinete de Segurança Institucional da Presidência da Republica (GSI). Em junho de 2008, o GSI publicou a Instrução Normativa GSI Nº 1 (IN GSI nº 1) que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal. A IN GSI nº 1 acrescenta ‘Comunicações’ ao termo ‘Segurança da Informação’, rotulando-o como SIC, e o apresenta como: “Ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações (IN GSI nº 1). A definição de SIC adotado pelo DSIC, é bem similar às definições de SI empregadas pelas normas da ABNT, não se observando nenhum conceito ligado especificamente à Segurança das Comunicações. A norma ABNT NBR ISO/IEC 27002 traz em seu contexto, inclusive, o que define como propriedades básicas da Segurança da Informação, sendo que quatro delas, conforme lista abaixo, fazem parte da definição de SIC, empregadas pelo DSIC. Confidencialidade – propriedade que garante que a informação esteja acessível somente a pessoas autorizadas; Integridade – propriedade relativa à garantia de que a informação tem as características originais estabelecidas pelo proprietário ou autor da informação ou que, em caso de alterações, estas tenham sido autorizadas; Disponibilidade - propriedade que garante que a informação esteja sempre disponível para usuários autorizados; As propriedades abaixo, também podem ser aplicadas: 30 Autenticidade – propriedade que possibilita garantir a veracidade do emissor; Irretratabilidade ou Não Repúdio – propriedade que garante a autoria de determinadas ações impedindo seu repúdio ou negação; Legalidade ou Conformidade – propriedade que garante a aplicação de medidas legais quando necessário; Como pode ser observado, o conceito de SI nas revisões efetuadas não se vincula aos meios nos quais a informação trafega ou é armazenada. Também não foram observados indícios de polêmica sobre se os conceitos vigentes de SI estão ou não englobando a Segurança das Comunicações ou das Telecomunicações. A discussão da abrangência está mais afeta à excessiva vinculação de SI com a TI, que deixam de fora aspectos relativos a conhecimento, pessoas e informações em meios não tecnológicos. Desse modo, evidencia-se que não haverá prejuízo de conceito, ao se adotar a proposta desse trabalho de que a Segurança da Informação engloba a Segurança das Comunicações. 2.4 A Gestão da SI Sob o prisma da ABNT NBR ISO/IEC 27002 a Segurança da Informação é obtida a partir da implementação de um conjunto de controles, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware, envolvendo os seguintes tópicos: a. Política de Segurança da Informação b. Organizando a Segurança da Informação c. Gestão de ativos d. Segurança em Recursos Humanos e. Segurança física e do ambiente f. Gerenciamento das operações e comunicações g. Controle de acesso h. Aquisição, desenvolvimento e manutenção de sistemas de informação. 31 i. Gestão de incidentes de segurança da informação j. Gestão da continuidade do negócio k. Conformidade Para cada um desses tópicos são efetuadas recomendações com o propósito de prover uma base comum para o desenvolvimento de normas de segurança e práticas efetivas de gestão. Para a gestão da SI, a ABNT NBR ISO/IEC 27001 propõe a adoção de um modelo de processos, o PDCA, composto pelas seguintes fases: - Plan (Planejar): referente ao estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI), ou seja, estabelecimento da política, dos objetivos, processos e procedimentos do SGSI, que sejam relevantes para a gestão de riscos e para a melhoria da segurança da informação, com o objetivo de gerar resultados de acordo com as políticas e objetivos globais da organização. - Do (Executar): referente à implementação e operação do SGSI, isto é, implementação da política, dos controles, processos e procedimentos que fazem parte do SGSI. - Check (Verificar): referente à monitoração e análise critica do SGSI. Deve ser feita a avaliação e, quando aplicável, medido o desempenho do processo, frente à política, objetivos e experiência prática do SGSI, além de ser apresentado o resultado para análise critica da direção. - Act (Agir): referente à manutenção e melhoria do SGSI. Nesta fase, com base nos resultados da auditoria interna do SGSI, da analise crítica pela direção e de outras informações pertinentes, é realizada a execução de ações corretivas e preventivas para alcançar a melhoria contínua do SGSI. Autores como Fisher (1984) e Sêmola (2006) também enfatizam a necessidade de um programa contínuo de Segurança da Informação. Sêmola (2006) explicita a necessidade de segurança da informação em todas as fases do ciclo de vida da informação, ou seja: no manuseio, armazenamento, transporte e 32 descarte. Segundo ele, há que se entender que a informação é o alvo e que a complexidade de proteção é grande, pois a informação extrapolou os limites de ambientes físicos específicos ou de processos isolados. “A informação circula agora por toda a empresa, alimenta todos os processos de negócio, ficando, pois, sujeita a várias ameaças, furos de segurança ou vulnerabilidades, e é sensível a impactos específicos e dificuldade de proteção”. Sêmola (2006) sugere que as empresas devem refletir sobre como está a visão corporativa em relação à Segurança da Informação, a partir das questões a seguir: - A atenção da empresa ou organização não está voltada somente para os aspectos tecnológicos da segurança, esquecendo-se os aspectos físicos e humanos? - Os investimentos em segurança estão alinhados com os objetivos do negócio? - As ações são baseadas em algum plano de segurança? - Existe uma real visão da segurança ou, devido a alguns controles, existe apenas uma falsa sensação de segurança? Para uma completa abrangência da organização, o autor sugere a adoção de um modelo de gestão corporativa de Segurança da Informação, cíclico e encadeado, formado pelas seguintes etapas: a- Comitê corporativo de Segurança da Informação b- Mapeamento de segurança c- Estratégia de segurança d- Planejamento de segurança e- Administração de segurança f- Segurança da cadeia produtiva Para esse autor a gestão integrada é benefício relevante, pois pode evitar investimentos redundantes, ações desencontradas, atividades contrárias ou conflitantes além de proporcionar canalização de esforços ao encontro do objetivo de negócio da organização. 33 A gestão da SI deve englobar todos os aspectos envolvidos no trato com a informação: pessoas, processos e tecnologia. Com relação às pessoas, a condução de processos de conscientização e formação deve fazer parte de todo o ciclo de gestão, juntamente com os cuidados dispensados aos processos e à tecnologia. Os esforços despendidos na criação da cultura de SI contribuirão para evitar riscos de paralisação de processos por problemas advindos de mau uso ou fraudes nos sistemas de informação. 2.5 A SI além do limite da TI Normalmente, as explanações sobre SI destacam a importância da preservação da informação em todos os meios, aspectos e fases de seu ciclo de vida. Entretanto o que se percebe são procedimentos mais voltados para a segurança em relação à proteção da informação em meios tecnológicos. Um dos pontos mais discutidos dessa visão, diz respeito à pouca atenção dada ao individuo em seu relacionamento com a Segurança da Informação. Apesar de comumente aceito que o lado mais frágil do processo de SI sejam as pessoas, na opinião de vários autores, os recursos humanos são, normalmente, considerados sob a perspectiva de usuários, ficando em segundo plano o cuidado com a informação em seu poder e formas de prepará-lo para efetuar procedimentos necessários em prol do alcance dos objetivos de SI. Marciano (2006), após uma revisão dos conceitos vigentes de Segurança da Informação, considerando, dentre outros, Pemble (2004) e Venter e Ellof (2003), ressalta que a SI é vista “como um domínio tecnológico onde ferramentas e recursos tecnológicos são aplicados em busca de soluções de problemas gerados, muitas vezes, com o concurso daquela mesma tecnologia”. Segundo Marciano e Lima-Marques (2006), normalmente, para se cumprir os objetivos de Segurança da Informação adotam-se estratégias de implementação de normas e políticas de segurança, a partir de modelos de boas práticas “voltados a aspectos técnicos, por vezes deslocados do contexto humano e profissional em que se inserem”. 34 Marciano (2006) aborda, em outro ponto de seu trabalho, o viés tecnológico da SI, da seguinte maneira: “Os mecanismos de análise e de formalização de políticas de segurança atualmente em voga, tais como a norma International Organization for Standardization/ International Electrotechnical Commission - ISO/IEC 17799, cuja adoção no Brasil se deu por meio da norma da Associação Brasileira de Normas Técnicas - ABNT Norma Brasileira de Referência – NBR 17799 (ABNT, 2002), ou a descrição de recomendações de institutos de tecnologia e de padrões (BASS, 1998), partem de pressupostos representados por “melhores práticas” (WOOD, 2002b), ou seja, adota-se um conjunto de procedimentos “ad hoc”, definidos de forma empírica e exclusivamente voltados a aspectos técnicos, deslocados do contexto humano e profissional em que se inserem” (MARCIANO, 2006. p.64). Nesse contexto, ainda segundo Marciano (2006), “Hitchings (1995) apresentava, já há mais de uma década, a necessidade de um conceito de Segurança da Informação, no qual o aspecto do agente humano tivesse a devida relevância, tanto como agente como paciente de eventos de segurança”. Sêmola (2006), ao relatar que com relação a SI o que se vê são orientações do que fazer e não de como fazer, mostra outro viés em relação à pessoa, qual seja: existe o que é esperado, mas não os caminhos que as pessoas devem percorrer para seu alcance. Segundo ele, as pessoas, responsáveis pela implementação do que está definido, tem de buscar seus próprios meios para saber se escolheram ou não a melhor maneira de fazer. De acordo com o autor, para o ‘como’ não existem as melhores práticas. Outro aspecto em relação às pessoas é mostrado em estudo recente, conduzido por Sianes (2008). Nesse estudo, a autora aponta que a proteção dos ativos informacionais, quando presente nas organizações, está relacionada, de forma predominante, a políticas de informação que contemplam apenas informações estruturadas e armazenadas em documentos ou em bancos de dados informatizados. Segundo a autora, os procedimentos descritos atualmente estão voltados essencialmente para a segurança física e lógica das informações associadas às tecnologias da informação e da comunicação, sendo que: os recursos humanos são considerados apenas como usuários dos recursos computacionais disponíveis e o foco fica restrito à segurança das informações gravadas em suportes físicos ou virtuais, ignorando que o conhecimento é criado na relação do sujeito com o mundo e circula de diversas formas por meio do raciocínio e ações humanos (SIANES, 2008). 35 As próprias normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 reforçam esse aspecto ao trazer em seu título, explicitamente, o termo Tecnologia da Informação. Com relação à ABNT NBR ISO/IEC 27002, Sianes (2008) ressalta que a visão dessa norma “é essencialmente tecnológica e definida como uma meta a ser atingida em relação à resguardar os sistemas de informação contra as ameaças à integridade, disponibilidade e confidencialidade”. Segundo a autora, (...) a expressão ‘sistema de informação’ passou a ser considerada como sinônimo de sistema informatizado, ou sistema de computadores, esquecendo que um diálogo, uma reunião social, um encontro de amigos, um processo de tomada de decisão, ou um jogo são exemplos que envolvem sistemas de informação, independentemente da existência de um computador (SIANES 2008, p.138). Também para Beal (2005), a expressão Segurança da Informação é utilizada mais comumente em relação às informações mantidas em componentes de TI e destaca a necessidade de proteção da informação também fora desse contexto: Embora os sistemas informatizados se tornem cada vez mais indispensáveis para a operação de qualquer negócio, e uma parte cada vez maior do conjunto de informações importantes para as organizações esteja armazenada em computadores, é necessário considerar também a proteção dos ativos informacionais que se encontram armazenados apenas na mente humana, num pedaço de papel ou em microfichas e microfilmes (BEAL, 2005, p xi.). Sob o ponto de vista de Beal (2005) a SI deve ser vista sob dois aspectos: a Segurança da Informação no âmbito da TI e a Segurança da Informação não armazenada em TI. A segurança com relação à TI diz respeito ao cuidado com as informações residentes em base de dados, arquivos informatizados, mídias magnéticas ou outras que exijam soluções de informática para seu acesso. Já a Segurança da Informação não armazenada em TI diz respeito às informações corporativas não armazenadas em meios eletrônicos ou não documentadas. O NIST e o FOIS (apud Netto, Allemand e Freire, 2007) também apontam para a importância do cuidado com as pessoas na proteção da informação, já que dentre os motivos principais das falhas em um processo de SI estão: a. Pessoas não capacitadas e conscientizadas: A segurança na organização é responsabilidade de todos, cada qual no seu segmento de atuação. Dessa 36 forma, as pessoas devem ser conscientizadas e capacitadas para saber contra o quê e como se proteger; b. Exposição desnecessária de empregados a informações sensíveis: o desconhecimento do real valor da informação, bem como a ausência de uma sistemática de classificação da informação, pode resultar em exposição desnecessária, causando impactos para organização. Sobre esse aspecto, Cunha (2008) cita dois pontos de vista: o de Fernando Nicolau Freitas Ferreira4, segundo o qual a garantia de que uma organização possuirá um grau de segurança razoável está diretamente ligada ao nível de conscientização de seus colaboradores; e o de Álvaro Teófilo5, quando diz que o passo mais importante no processo de assegurar o macro controle de Segurança em Recursos Humanos é obter conscientização dos colaboradores. Ainda, segundo Cunha (2008), Álvaro Teófilo aconselha “que a maioria das empresas faça iniciativas de segurança com foco nas pessoas” e Fernando Nicolau complementa dizendo que a segurança somente será eficaz se todos tiverem pleno conhecimento do que lhes é esperado e de suas responsabilidades. A avaliação da necessidade de conscientização faz parte, também, da percepção de empresas nacionais de diversos setores. A décima edição da Pesquisa Nacional de Segurança da Informação, realizada pela empresa Módulo6 com a participação de cerca de 600 profissionais, das áreas de Tecnologia e Segurança da Informação, representando a metade das mil maiores empresas brasileiras, apontou que a maioria delas (55%) considera a falta de conscientização dos executivos e usuários, o principal obstáculo para a implementação da segurança nas empresas. 4 Auditor de Sistemas (CISM - Certified Information Security Manager pelo ISACA e BS 7799 Lead Auditor pela BSI) 5 6 Gerente-geral de Segurança da Informação do banco Santander Banespa Dados de pesquisas. Disponível em: <http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf>.. Os 600 profissionais respondentes atuam em TI e SI nos seguintes setores: Governo (21%), Financeiro (15%), Informática (14%), Indústria (9%), Prestação de Serviços (8%), Telecomunicações (5%), Comércio (4%), Educação (3%), Energia Elétrica (3%), Saúde (2%), Mineração (0,5%). 37 A NBR ISO/IEC 27002 contempla a necessidade de conscientização e treinamento da pessoa como usuária dos Sistemas de Informação. Segundo essa norma, “todos os funcionários da organização e, onde pertinente, fornecedores e terceiros devem receber treinamento apropriado sobre Segurança da Informação e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para suas funções”. Prever, decidir, implementar, organizar e todos os demais verbos que representam ações em uma organização e, por conseqüência, ações de SI estão diretamente vinculados às pessoas e delas dependem. Para que pessoas possam agir é primordial a conscientização da necessidade de agir. Serão em vão investimentos, pesquisas, trabalhos e soluções de especialistas se trabalhadores e usuários da informação não estiverem sendo informados e comunicados sobre as infinidades de ataques e formas de proteção. O que deve ser percebido é que a tecnologia oferece os recursos para uma boa proteção, mas, quem define prioridades, justifica necessidades e forma de ação são as pessoas. São as pessoas que comandam as organizações, que desenvolvem sistemas, que apertam os botões e que cumprem ou descumprem regulamentos (FONTES, 2008). Entretanto, reconhecer a importância da pessoa no contexto da SI não diminui o reconhecimento da importância que os recursos tecnológicos têm no processo de gestão da informação e conseqüentemente da Segurança da Informação. Não se pode desconsiderar que a informação em todas as suas formas, tem sido reduzida a bits armazenados em computadores e correm à velocidade da luz, por meio de redes (GOMEZ, MARCHETTI e PRADO, 2005) e que, desse modo, as empresas dependem cada vez mais das tecnologias para gerir a grande quantidade de informação inerente ao seu negócio. A forte dependência de TI para o trato com a informação pode ter sido, inclusive, o motivo para a visão de que Segurança da Informação pode ser obtida com tecnologia correta e processos bem implementados. Porém, segundo 38 Cunha (2006), a crença de que tecnologia e processos são suficientes para tornar determinados ambientes e recursos seguros é facilmente derrubada quando se percebe que pessoas deixam de implementar ou desligar controles, ignoram regras e normas ou efetuam procedimentos indevidos ou proibidos. Marciano (2006) relata que a tecnologia da informação é capaz de trazer soluções que amenizem os problemas de segurança. Acrescenta o autor, que não é possível resolver todos os problemas somente com tecnologia, evidenciando que a aplicação e utilização de TI, no processo de gestão da SI, é fator inquestionável, mas a formação das pessoas é fator preponderante. Dada a importância tanto da pessoa como dos recursos tecnológicos no processo de SI, cabe ressaltar a tese de Marciano (2006) na qual defende que SI é um fenômeno social e como tal, necessita ser embasada em conceitos sociais, além dos tecnológicos, para sua correta cobertura. Marciano e Lima-Marques (2006) afirmam que uma definição de SI deve abranger todos os componentes que fazem parte do complexo de SI: a. Os atores do processo (os usuários); b. O ambiente original de sua atuação (os sistemas computacionais de informação, potencializados pelos recursos tecnológicos); c. O alcance final dessa mesma atuação (a própria sociedade, mediante o impacto causado pelas modificações introduzidas pela utilização dos sistemas de informação). Deste modo, considerando os aspectos abordados, adota-se, para efeito deste trabalho, a seguinte definição de SI. Segurança da informação é um fenômeno social no qual os usuários (aí incluídos os gestores) dos sistemas de informação têm razoável conhecimento acerca do uso destes sistemas, incluindo os ônus decorrentes, expressos por meio de regras, bem como sobre os papéis que devem desempenhar no exercício deste uso (MARCIANO, 2006, p. 115). 39 A opção pela adoção dessa definição está ligada ao fato que ela não limita a SI a aspectos tecnológicos. Ressalta a pessoa foco principal na questão da percepção da necessidade da adoção de medidas para proteção da informação. 2.6 A Comunicação no Processo de Formação de Cultura 2.6.1 Comunicação Organizacional Desde os primórdios, o ser humano busca formas de repassar suas impressões e utiliza a comunicação como instrumento para realizar essa troca de percepção (CLEMEN, 2007). Os modelos de comunicação, conforme caracterizado por Shannon (1948) incluem, uma fonte, um emissor, uma mensagem, um canal, um receptor e uma interpretação de mensagem. Na visão de Bowditch (2004) a comunicação é freqüentemente definida como a troca de informação entre um transmissor e um receptor e a percepção de significado entre os indivíduos envolvidos. Chiavenato (2000) simplifica essa definição ao dizer que comunicação é a troca de informações entre indivíduos. Scanlan (1979) traz uma definição semelhante à de Chiavenato (2000) quando diz que a comunicação pode ser definida simplesmente como o processo de se passar informações e entendimentos de uma pessoa para outra. Todas essas abordagens são consolidadas por Rego (1986) quando cita que “a situação fundamental da comunicação redunda na transferência, partindo de um emissor para um receptor, por meio de um canal físico, de certo número de sinais, extraídos previamente de um registro e reunidos num conjunto”. Bitelli (2004, p.22), citando Barros Carvalho (1995) relata que “a comunicação é efetivada sempre através da combinação das diversas funções da linguagem, com 40 a manipulação que o ser humano faz dos signos”. Ou seja, “a informação, a mensagem, sai do emissor em direção ao receptor, encartada com a combinação das linguagens descritivas; expressivas; de situações subjetivas; prescritivas de condutas; interrogativas; operativas; fáticas; persuasivas; afásicas; fabulares e metalingüísticas”. Porém, segundo Clemen (2007), a comunicação não é somente a troca de informação entre emissores e receptores. Para o autor, a comunicação é muito mais que informação: assegura a possibilidade de conhecer o sentimento e a percepção do outro. Marchiori (2005, p.114) reforça esse ponto de vista ao declarar, sob o ponto de vista organizacional, que “é por meio da comunicação que uma organização recebe, oferece, canaliza informação e constrói conhecimento, tomando decisões mais acertadas”. A comunicação organizacional reproduz na organização o processo de comunicação existente na sociedade uma vez que “(...) cada empresa é um microssistema que reproduz todos os sistemas e relacionamentos sociais vigentes no mundo ‘extra-muros’ das organizações” (CLEMEN, 2007, p.37). A comunicação é processo imprescindível nas organizações. Segundo Freitas (1991), as organizações são vistas como fenômeno de comunicação, sem o qual não existiriam. Champion (1985) compactua com a preponderância da comunicação nas organizações ao ressaltar que comunicação está diretamente relacionada à seqüência do fluxo de trabalho, permitindo às organizações a realização de seus objetivos. O processo de comunicação, na visão de Rego (1986), se divide em duas categorias: a interna e a externa. A comunicação externa diz respeito às informações trocadas com o mercado, fornecedores, clientes. A comunicação interna é a que se processa no interior das organizações, são elaboradas para edificar as decisões do ambiente interno e se destinam aos que trabalham na organização. 41 Sob o ponto de vista de Clemen (2007), a Comunicação Interna pode ser efetuada pelas formas seguintes: – Comunicação administrativa – conjunto de meios e procedimentos para transmissão e formalização de informações, ordens, solicitações, orientações, normas, etc.; – Comunicação interna da liderança, aquela destinada a suprir o gap entre os gestores e suas equipes; – Comunicação interna interpessoal, aquela que faz uso de canais internos da comunicação, tais como: boletim, jornal, revista interna, mural, newsletter eletrônico, campanhas de comunicações, etc. As três formas são importantes e interdependentes. A união das três é o caminho que poderá levar eficiência ao processo de comunicação interna. Dentre os canais de comunicação, Almeida (2005) destaca o papel do líder. Segundo ele, não deve ser esquecido que o principal veículo de comunicação interna em uma organização é o líder, que deve estar preparado para passar mensagens à sua equipe no sentido de alcance de resultados. O líder é o tomador das decisões e serve como referência de comportamento, tendo grande poder de persuadir os membros do grupo. Em relação à Segurança da Informação, o papel de liderança, segundo os modelos ABNT NBR ISO/IEC 27001 e 27002, cabe ao gestor responsável pela Segurança da Informação que, assim como os líderes da organização, deve estar preparado em relação ao quê e a como comunicar. Com relação à comunicação entre colaboradores e liderança, um ponto de sustentação desse relacionamento, segundo Marchiori (2005), é o fato de que o discurso deve ser igual à ação. O líder deve servir de exemplo com relação às recomendações e determinações por ele efetuadas. O processo de comunicação deve se preocupar também com conteúdo e forma do que será transmitido. Receber uma informação, por si só, não implica 42 entendimento de seu significado. Segundo Buwditch (2004), o significado de uma mensagem é influenciado tanto pela informação em si como pelo contexto da mensagem. Outro fator a ser considerado na busca da eficiência é o tipo de informação a ser comunicada. Devido às características da sociedade moderna, na qual as pessoas são submetidas a torrentes de informações vinte e quatro horas por dia, o processo de comunicação deve se preocupar com o que vai ser transmitido. O conteúdo de uma comunicação deve ser trabalhado de acordo com os resultados que se almeja alcançar. É nesse sentido que Marchiori (2005) alega que a informação é a base da comunicação e precisa ser gerenciada para que possa ser efetiva. Para Shannon e Weaver (1975), com relação à efetividade da comunicação, deve-se considerar três tipos de problemas em três níveis: – Problema técnico (Nível A): Com que exatidão pode-se transmitir símbolos de comunicação? – Problema semântico (Nível B): Com que precisão os símbolos transmitem o significado desejado? – Problema de eficiência (Nível C): Com que eficiência o significado recebido afeta o comportamento do receptor? Os problemas técnicos referem-se mais especificamente aos canais de comunicação. O problema de semântica refere-se à interpretação do significado pelo receptor e a eficiência está ligada ao resultado obtido com a mensagem. Segundo Rego (1986), existem quatro níveis nos quais são contextualizadas as comunicações na organização: intrapessoal, interpessoal, organizacional e tecnológico. O autor aborda esses níveis da seguinte maneira: - Intrapessoal: estuda basicamente o comportamento do indivíduo, suas habilidades e atitudes; - Interpessoal: estuda, alem das variáveis internas de cada comunicador, as relações existentes entre as pessoas envolvidas, suas intenções e 43 expectativas em relação aos demais. Isto é, a preocupação seria com a maneira como determinados indivíduos se afetam mutuamente por meio da intercomunicação, regulando-se e controlando-se uns aos outros; - Organizacional ou grupal: relaciona-se à dimensão do grupo, freqüência de contato, tempo de conhecimento e de trabalho, participação em decisões, centralismo grupal, coesão, clareza da norma grupal, homogeneidade, etc. - Tecnológico: refere-se ao aparelhamento e aos programas formais que geram, armazenam, processam, traduzem, distribuem e exibem dados. Inclui as questões referentes às linguagens dos canais e sua especificidade técnica. Com relação à movimentação da comunicação, Rego (1986) relata três fluxos: - Fluxo descendente: responde pelo encaminhamento das mensagens que saem do nível decisório e descem até a base; - Fluxo de duas etapas: por esse fluxo, a mensagem segue, num primeiro momento para o líder de grupo, que a recebe e a interpreta, e desta vai, numa segunda etapa, para os demais membros do grupo. - Fluxo ascendente: fluxo responsável pelo encaminhamento de informações funcionais e operativas que saem da base para os níveis superiores da organização. Rego (1986) oferece uma visão que sintetiza os pontos abordados anteriormente quando diz que comunicação é “um processo dinâmico que compreende a existência, o crescimento, a mudança e o comportamento de toda a organização e é determinada pela necessidade, utilidade e conveniência, tanto da parte da empresa como da parte dos que nela estão integrados, direta ou indiretamente”. Envolve características técnicas, semânticas de eficiência do conteúdo, fluxos de movimentação, níveis de contextualização, forma e conteúdo de transmissão. Comunicação é, portanto, um processo complexo e dinâmico por meio do qual se dá a interação entre as pessoas, na sociedade e nas organizações. A 44 comunicação para ser eficiente deve considerar seus diversos aspectos e ser aplicada de maneira a que sejam alcançados os objetivos para os quais o processo se formou. O foco da comunicação neste trabalho, diz respeito à necessidade de estabelecimento de um processo por meio do qual as pessoas deverão ser informadas e conscientizadas em prol da formação da cultura de SI. 2.6.2 Cultura Organizacional A cultura é aspecto importante da vida das pessoas, tanto na sociedade quanto nas organizações. É a cultura que faz com que as pessoas compreendam eventos ações, objetos, expressões e várias situações particulares, de modo diferente uma das outras (MORGAN, 1996). Segundo Alves (1997, p. 3), a cultura pode ser entendida como “um complexo de padrões de comportamentos, hábitos sociais, significados, crenças, normas e valores selecionados historicamente, transmitidos coletivamente, e que constituem o modo de vida e as realizações características de um grupo humano”. Ainda de acordo com Alves (1997, p. 3), “a cultura atua como um fator de diferenciação social” já que engloba informações sobre o que o grupo é, pensa e faz. No meio organizacional, a cultura assume papel de destaque, à medida que influi no modo de vida, nos padrões e nos valores das pessoas já que dedicam, a essas organizações, grande parte de seu tempo e para onde transportam, não apenas seus conhecimentos técnicos, mas também características de suas personalidades (SANTOS 1990. apud SARAIVA 2008). Para Hofstede (1991), a cultura organizacional pode ser encarada como universo cultural formado pelos pressupostos, crenças e valores compartilhados pelos membros de uma organização, sendo derivada de um ambiente social específico. Nessa mesma linha, a cultura foi definida por Fleury e Fischer (1996), na introdução do livro Cultura e Poder nas Organizações, como “substrato de crenças e 45 valores que fundamentam as práticas formais e informais que constituem a dinâmica de cada organização”. Para Marchiori (2006) cultura organizacional é o reflexo da essência de uma organização e, sendo experimentada por todos os seus membros, afeta a realidade da organização e a forma com que o grupo se comporta. Schein (2001) conceitua cultura organizacional como: Um padrão de premissas básicas compartilhadas que o grupo aprendeu à medida que resolvia seus problemas de adaptação externa e integração interna, que funcionou suficientemente bem para ser considerada válida e, portanto, para ser ensinada aos novos membros como o meio correto de perceber, pensar e sentir em relação àqueles problemas. A cultura organizacional é, portanto, um conceito que engloba fatos materiais e abstratos, resultantes do convívio humano institucional, expressando significados subjetivos, constituídos, mantidos e modificados por atores sociais à medida que objetiva atividades e práticas sociais (SANTOS 1994 apud SARAIVA 2008). Um aspecto da cultura organizacional abordado por Fleury (1996) refere-se à importância da busca de instrumentos e métodos que expliquem a realidade organizacional em prol de decisões e atitudes que possam atingir os objetivos almejados. Nesse sentido, sugere o conhecimento da cultura organizacional com o objetivo de “desvendar este tecido simbólico e apreender as relações de poder entre pessoas, grupos e classes internas e externas da organização”. Marchiori (2006) reafirma esse ponto de vista quando diz que é necessário que os administradores entendam as atitudes e valores de cada um de seus públicos para que possa atingir os objetivos institucionais. Proposta metodológica sobre como desvendar a cultura de uma organização, desenvolvida por Fleury (1996) inclui os seguintes temas: - O histórico das organizações. Sob esse aspecto aborda a importância do papel do fundador da empresa, devido ao poder que tem para estruturála, desenvolvê-la e tecer elementos simbólicos. Segundo a autora, nas entidades estatais, esse papel é desempenhado por certos diretores. 46 - O processo de socialização de novos membros. Para a autora é através das estratégias de integração que os valores vão sendo transmitidos e incorporados pelos novos membros. - As Políticas de Recursos Humanos. A importância desse aspecto está no fato de que as políticas e práticas de gestão de pessoal medem a relação entre a organização e o indivíduo. - O processo de comunicação. Sob esse aspecto é ressaltada a importância do mapeamento do sistema de comunicação, por ser “um dos elementos essenciais de criação, transmissão e cristalização do universo simbólico de uma organização”. - A organização do trabalho. A organização do processo de trabalho se configura como categoria metodológica, uma vez que possibilita a identificação das categorias presentes na relação de trabalho e subsidia o mapeamento das relações de poder entre as categorias de empregado e as áreas da organização. - As técnicas de investigação. Levantamentos documentais, entrevistas, observações e questionário como instrumento para pesquisar os fenômenos culturais da organização. Para Schein (1997), uma das formas de pensar a cultura é por meio de níveis. O autor define três deles: - o nível dos artefatos visíveis, que compreende os padrões de comportamento visíveis, ou seja, a forma como as pessoas se vestem, se comunicam, se comportam. - o nível dos valores casados, que governam o comportamento das pessoas. São os mais difíceis de serem identificados, pois compreendem valores que levam as pessoas a agirem de determinada forma; - o nível dos pressupostos inconscientes, aqueles que determinam como os membros de um grupo percebem, pensam e sentem. Outro aspecto da cultura é a criação de sub-culturas que se dá a partir de diversos aspectos da formação do corpo organizacional. 47 Schein (1984) (apud Cardoso, 2008) considera que uma cultura pode ter diversas portas de intercâmbio, com nichos culturais com as características do local onde está inserida, tais como meio geográfico e setor onde operam as categorias profissionais, importando pressupostos que, coexistindo na mesma organização, formam sub-culturas. Também para Morgan (1996) existem, freqüentemente nas organizações, sistemas de valores diferentes, criando um mosaico de realidades organizacionais em lugar de uma cultura corporativa uniforme. Nesse sentido, por ser um dos aspectos dos processos de uma organização, a cultura de SI pode ser caracterizada como uma espécie ou parte da cultura da organização. Marciano (2006) relata um estudo de Schlienger e Teufel (2003) sobre a cultura da SI, introduzida como participante da cultura organizacional, a qual é expressa pelos valores, normas e conhecimento da organização. Segundo esse estudo, a cultura da segurança agrega a análise das políticas de segurança e a obtenção, junto aos usuários e aos gestores da informação e da segurança, dos valores reais adotados no ambiente organizacional para serem utilizados como subsídios às práticas da segurança, buscando, complementarmente, a inserção de tais práticas no conjunto dos valores organizacionais. Marciano (2006) também relata que Von Solms e Von Solms (2004) alertam para a necessidade de educação dos usuários voltada às políticas, como forma de apoiar sua implementação e utilização e para a formação da cultura organizacional voltada à segurança. Outra característica importante da cultura organizacional é com relação ao comprometimento dos funcionários na busca por objetivos. Segundo Matos (2007, p.81), “o grande desafio das organizações é transformar funcionários em aliados comprometidos com resultados e com um bom desempenho que garanta a sobrevivência e o progresso da empresa e das pessoas que para elas trabalham”. Para Oliveira (1997) é a cultura organizacional que exerce 48 o papel de produzir membros organizacionais mais comprometidos à medida que cria padrões que são internalizados pelos indivíduos. Wiener e Vardi (1990 apud Naves, 2003) defendem que a cultura organizacional é capaz de atuar junto aos empregados com o intuito de envolvê-los nos ideais da organização, permanecendo esta influência estável no corpo dos funcionários. Também Freitas (1991), acredita que resultados favoráveis em determinada cultura são assumidos como verdades inquestionáveis. Para o autor, valores, crenças, ritos, cerimônias, mitos e estórias, tabus, normas e processos de comunicação são elementos dessa verdade que forma a cultura organizacional. Cada um desses elementos tem uma função específica na construção da cultura, mas todos servem para estimular a adoção do conteúdo difundido. Para Schein (2001), outra característica da cultura que influencia os membros da organização são as normas. Segundo o autor, a cultura organizacional se expressa na forma de valores e conhecimentos coletivos, os quais, por meio das normas e regras expressas ou mesmo implícitas, afetam o comportamento dos indivíduos e resultam em ações, criações e artefatos. Cultura, portanto, não é um conceito único: é resultado do convívio e de valores compartilhados, que permitem às pessoas compreender eventos, ações, objetos e expressões; são valores transmitidos coletivamente; constitui modo de vida e realizações características de um grupo; influi no modo de vida das pessoas e no alcance de resultados e pode, em determinado contexto, coexistir com várias outras culturas que surgem devido às características formadoras dos grupos da organização, gerando sub-culturas. É por meio da cultura, respaldada pela convivência e interação, que os membros das organizações encontram motivações em busca de repostas para as questões cotidianas da empresa e para o alcance de objetivos. Dessa maneira, há que se trabalhar para que a questão da segurança faça parte do dia-a-dia das pessoas. Mudar a mentalidade dos trabalhadores e colaboradores de uma organização será a melhor solução para garantir bons resultados em relação à Segurança da Informação. 49 2.6.3 Existe Comunicação e Cultura uma relação intrínseca entre cultura e comunicação e, conseqüentemente, entre pessoas: não existe sistema cultural sem pessoas e sem comunicação. Para Bitelli (2004, p.3), “a cultura tem relação umbilical com os meios de comunicação e seus conteúdos, a partir da concepção de que ela é processo de transmissão de hábitos, crenças, tradições, imagens e auto-conhecimento do provo e da nação”. Marchiori (2005), por sua vez, afirma que é a comunicação que possibilita a troca da informação que se traduz em experiência e conhecimento entre indivíduos. É por meio da comunicação que se evidencia a prática de atitudes que são valorizadas e respeitadas pelos grupos, definindo a cultura organizacional. Ainda segundo Marchiori (2000), a comunicação é a fase fundamental no processo de formação de uma cultura, já que "você só forma uma cultura a partir do momento em que as pessoas se relacionam e, se elas se relacionam, estão se comunicando...”. O relacionamento de um grupo e, conseqüentemente, a criação da cultura se dá por meio da interação entre os indivíduos. Segundo Marchiori (2000), "a cultura se forma através dos grupos e da personalidade da organização. Os grupos se relacionam, desenvolvendo formas de agir e ser, que vão sendo incorporadas por este grupo". Para Marchiori (2006), a função da comunicação deve ser a de gerar proximidade e dar sentido às experiências para construir conhecimento. As pessoas da organização devem aprender a compartilhar idéias, experiências e habilidades para o estabelecimento da cultura. É a comunicação que proporciona a reunião das partes distintas da empresa, produzindo as condições de um trabalho coordenado para atingir metas programadas (REGO, 1986). Matos (2007, p. 81) compactua com a idéia da comunicação como meio de criação da cultura organizacional ao afirmar que “a comunicação corporativa é um processo diretamente ligado à cultura da empresa, ou seja, aos valores e ao 50 comportamento e atitudes das suas lideranças e às crenças de seus colaboradores”. Também Fleury (1996, p. 9) atrela comunicação à cultura. Para ela, “a comunicação constitui um dos elementos essenciais no processo de criação, transmissão e cristalização do universo simbólico de uma organização”. Schein (1997) ressalta a ligação entre comunicação e cultura ao descrever que o nível de artefatos visíveis compreende os padrões de comportamento visíveis, incluindo, dentre outros, a forma como as pessoas se vestem e se comunicam. Polistchuk e Trinta (2003) relaciona cultura e comunicação ao dizer que “a comunicação sintetiza características definidoras da sociedade e traços distintos dessa cultura”. É importante que a pessoa seja informada para ter conhecimento e segurança para adoção das ações necessárias. Para Silveira (1999, p.89), sem as informações sobre o que realmente está acontecendo, os funcionários sentem-se perdidos e resistem às mudanças. Eles não boicotam, mas tendem a não fazer o menor esforço para que elas dêem certo. O silêncio faz com que as pessoas soltem a imaginação. Cada um cria seu próprio fantasma. Para Rego (1986 p.16), ”a aplicação de um modelo de comunicação calcado na cultura organizacional influi decisivamente sobre a eficácia geral da empresa”. Na visão de Marchiori (2006), a cultura organizacional é capaz de criar um clima favorável à implementação da prática de valores essenciais da organização, estimulando o comprometimento de funcionários em busca de resultados. A difusão de informações e a motivação no desempenho acarretam um comprometimento com os resultados da organização. Marchiori (2006), se referindo às reflexões de Sackman (1997), enfatiza que a construção de significados envolve necessariamente comunicação. E se cultura pode ser entendida como construção de significados, então fecha-se o círculo entre comunicação e cultura. 51 A relação Cultura-Comunicação é sustentada por Marchiori (2006) a partir de 7 sua própria construção e também da análise de diversos autores , que reforçam a visão de ‘Comunicação’ como conceito altamente representativo da cultura organizacional, conforme descrito a seguir: - A construção de significados é essencial para a prática da comunicação. Nesse contexto, a idéia de comunicação é vista como transmissão; a comunicação é concebida como uma prática social de produção circulação e troca de significados; - A orientação da cultura organizacional não é administrativa; sua base é a comunicação; - O aspecto mais intrigante é a maneira como ela cria e forma a realidade na qual se quer acreditar; - A organização deve ser estudada como cultura, descobrindo e sintetizando suas regras de interação social e interpretação, reveladas no comportamento dos indivíduos. Ambas são atividades comunicativas, sugerindo que cultura pode ser descrita como a articulação de regras comunicativas; - As culturas são criadas, sustentadas transmitidas e mudadas através da interação social. As organizações, pois, são vistas como fenômenos da comunicação, sem a qual não existiriam; - A comunicação transforma-se num processo pelo qual a realidade é constituída, mantida e transformada no seu local de produção de realidade. Essa realidade social é a ordem ritual produzida pelo compartilhamento de experiências estéticas, idéias, valores pessoais, sentimentos e noções intelectuais por meio dos quais uma cultura é formada; - A comunicação é cultura. Sem comunicação não há cultura, não há realidade social significativa. A comunicação influi nos processos de produção, difusão e consolidação das práticas culturais. Processos comunicativos são essenciais também para que as culturas sejam conhecidas e praticadas. A comunicação é fator primordial para o 7 Entre eles: Schall (1993), Pacanowsky; O’Donnell-Trujillo(1990), Cuschman (1994). 52 estabelecimento de uma política de criação de cultura; é por meio da comunicação que se estabelece a interação e a troca de informações que cria e fomenta a cultura. Dessa forma, suportada pelas diversas referências abordadas anteriormente, conclui-se como pertinente a afirmação de que Comunicação é Cultura, aludindo à denominação de um dos eixos temáticos do tema geral ‘Estado e sociedade construindo as políticas públicas de cultura’ da 1ª Conferência Nacional de Cultura8, realizada em Brasília em 2005. Sendo assim, com respaldo na visão dos autores citados, pode-se vincular o vocábulo ‘Comunicações’ em SIC ao papel de ‘representar’ os processos de transmissão de conhecimento em busca da conscientização e formação das pessoas, no que diz respeito às necessidades da Segurança da Informação. 8 Página da 1ª Conferência Nacional de Cultura. Disponível em: http://www.cultura.gov.br/foruns_de_cultura/conferencia_nacional_de_cultura/index.php?p=12913&more=1&c=1 &pb=1 e http://www.cultura.gov.br/upload/Cartilha_das_Conferencias_1132853795.pdf. Acesso em 10 out. 2008. 53 PARTE II – RESULTADOS DA PESQUISA 54 3 SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Se a cultura são as teias de significação que os humanos tecem ao redor de si mesmos, então COMUNICAÇÔES são ferramentas que os humanos usam para interpretar, reproduzir, manter e transformar estas teias de significados. Clifford Geertz 3.1 Visão Sintática do Termo Numa perspectiva sintática, o termo ‘Segurança da Informação’ está ligado à ‘Comunicações’ por meio de uma conjunção aditiva “e”. Em linhas gerais, a missão gramatical das conjunções é unir elementos de mesmo valor funcional. Nesse sentido, Cunha & Cintra definem conjunções da seguinte maneira: Conjunções são os vocábulos gramaticais que servem para relacionar duas orações ou dois termos semelhantes da mesma oração. (CUNHA & CINTRA, 2001: 579) Bechara, em concordância, explica que: Como sua missão é reunir unidades independentes, pode além “conectar” duas unidades menores que a oração, desde que do mesmo valor funcional dentro do mesmo enunciado. (BECHARA, 2004: 319) Desse modo, o ‘e’ em Segurança da Informação e Comunicações liga dois elementos de mesma natureza, sendo o primeiro ‘informação’ e o segundo, ‘comunicações’. Com relação à concordância nominal, Bechara (2004) ensina que “o rigor gramatical exige que não se dê complemento comum a termos de regência diferentes”. Assim, em Segurança da Informação e Comunicações, para que o termo ‘Segurança’ pudesse se referir, também, à ‘Comunicações’, haveriam duas opções: - ‘comunicações’ teria de vir no singular, para que a preposição ‘de’ mais ‘a’ pudesse ser comum aos dois termos (Informação e Comunicação) 55 - para se manter ‘Comunicações’, teria de ser acrescida ao termo a preposição ‘de’ acompanhada do artigo ‘as’ (Segurança da Informação e das Comunicações) de forma a atender o citado rigor gramatical. O fato de ‘Comunicações’ vir, então, sem a preposição ‘das’ mostra duas possibilidades em relação à sintaxe gramatical: ou a frase está incorreta ou o termo ‘Comunicações’ está desvinculado do termo ‘Segurança’. Para efeito deste trabalho, será explorada a segunda hipótese: o termo ‘Segurança’ diz respeito somente à ‘Informação’. Desse modo, ‘Comunicações’ é um termo sintaticamente independente do termo ‘Segurança', embora não o seja semanticamente, senão não se justificaria sua existência na frase. Considerando tais aspectos sintáticos e semânticos, este trabalho foi direcionado no sentido de conceituar o termo ‘Comunicações’ como um processo de troca de informações no escopo da Segurança da Informação e não como um processo de Segurança das Comunicações, mesmo porque, conforme pontos abordados anteriormente, a Segurança da Informação já engloba a Segurança das Comunicações. 3.2 Origem da utilização do Termo Levantamento (vide Anexo I) em legislações, sítios da Internet e literaturas especializadas apontou que o termo ‘Segurança da Informação’ acrescido de ‘Comunicações’ surgiu e foi adotado no âmbito do governo federal, a partir dos estudos que deram origem ao MIGSIG - Modelo de Implementação e Gestão da Segurança da Informação e Comunicações na Administração Pública Federal. O MIGSIC foi apresentado pelo Ministro de Estado Chefe do GSI/PR, Jorge Armando Felix, na abertura de um painel sobre Segurança da Informação e Comunicações, realizado em novembro de 2005, na Presidência da República9. 9 Programa do Painel ,disponível em http://www.serpro.gov.br/noticias-antigas/noticias-2005-1/20051125_01. Acesso em : 10 jun. 2008. 56 Na minuta de trabalho referente ao MIGSIG 10 existe uma referência à adoção da palavra ‘Comunicações’ com uma justificativa que não acrescenta qualquer contribuição para o entendimento sobre o que tal termo representa no escopo da Segurança da Informação: O Decreto 3.505, apesar de seu conteúdo expressar diversas ações relacionadas com as “Comunicações” – no sentido de “tecnologias relacionadas com o trânsito da informação ao longo do espaço” –, manteve o nome da política apenas com o vocábulo “Informação”. Entretanto, para que nos tornemos aderente ao conceito denominado de “TIC” – “Tecnologia de Informação e Comunicações” –, termo usualmente empregado tanto no Brasil quanto no exterior, passaremos a usar “SIC”, com o significado de “Segurança da Informação e Comunicações”. Esta licenciosidade semântica não traz contratempos legais, a nosso ver, considerando-se que a legislação maior considera o conceito “Comunicações”, como inserido no de “Informação”. Uma análise restrita ao trecho acima, principalmente considerando a afirmação de que ‘Comunicações’ estaria inserida em ‘Informação’, poderia ter direcionado a pesquisa no sentido de demonstrar que a utilização desse termo não traria nenhuma nova contribuição à Segurança da Informação e que, portanto, deveria optar-se pela adoção do termo originalmente conhecido, sem o acréscimo da palavra ‘Comunicações’. Entretanto, o fato de ‘Comunicações’ vir no plural e ‘ Segurança da Informação’, no singular, chamou a atenção para a peculiaridade sintática que indica que a palavra ‘Comunicações’ não está diretamente relacionada ao termo ‘Segurança’. Ou seja, nessa frase existem dois termos distintos conectados pela conjunção ’e’: ‘Segurança da Informação’ é um e ‘Comunicações’ é outro. Dessa constatação foi possível perceber que a palavra ‘Comunicações’ deveria ser tratada, em termos sintáticos, de forma independente do restante da frase, direcionando assim o trabalho para a busca de informações e conceitos, relativos à Comunicação e aplicáveis ao processo, hoje estabelecido, de SI no âmbito do DSIC. Vale ressaltar que caso fosse considerada a afirmação “para que nos tornemos aderentes ao conceito denominado TIC”, da citação acima, o termo SIC teria de vir 10 Minuta de trabalho do MIGCIC. Disponível em http://gsisic.serpro.gov.br/migsic/MIGSIC%20%20Apresentacao.doc e em: https://gestaogsisic.serpro.gov.br/migsic/MIGSIC%20-%20Apresentacao.doc. Acesso em: 10 jun. 2008. 57 grafado como ‘Segurança da Informação e Comunicação’, forma sintática na qual o termo TIC é mais comumente empregado, conforme demonstrado no Anexo II, em relação à quantidade de ocorrência desse termo em páginas web. Esta forma, ao contrário da forma grafada para SIC, atende ao anteriormente citado ‘rigor gramatical’ e faz com que o termo ‘Tecnologia’ se refira tanto à informação como à comunicação. Embora não seja foco deste trabalho explorar o uso e aplicabilidade de TIC, cabe salientar que o termo tem sido utilizado como uma evolução do termo TI, principalmente nos meios acadêmicos e na esfera governamental, para explicitar a inclusão das tecnologias de broadcasting e tecnologias móveis sem fio11. No cenário da tecnologia da informação, a adoção do emprego do termo TIC se deu com o intuito de ampliar o escopo de abrangência do termo TI, este mais voltado para as tecnologias de tratamento de dados (disco magnético, cd, DVD, chipes de memória, etc.). 3.3 Aplicabilidade do Termo pelo DSIC Conforme referido anteriormente, o termo ‘Segurança da Informação e Comunicações’ surgiu quando da elaboração do MIGSIC. Nesse documento, encontra-se configurada a necessidade de “criação de uma estrutura permanente para conduzir, no cotidiano, o processo integrado de gerência das atividades de Segurança da Informação na APF, de forma dedicada, constante e perene”. Tal estrutura, conforme o MIGSIC, “foi instituída temporariamente no GSI, com a denominação de NI DSIC – Núcleo de Implantação da Diretoria de Segurança da Informação e Comunicações, subordinado à Subchefia Executiva, até que o novo organograma seja aprovado pelo Congresso Nacional”. A estrutura permanente, referida no MIGSIG foi implantada com a criação do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República. 11 Texto em Inglês (tradução livre da autora do trabalho). Disponível http://en.wikipedia.org/wiki/Information_communication_technology Acesso em: 20 set. 2008 em: 58 O GSI, criado pela lei 10.683/2003, coordena as atividades de Inteligência Federal por meio da Agência Brasileira de Inteligência (ABIN) e as atividades de Segurança da Informação, por meio do DSIC. O DSIC foi criado pelo Decreto nº 5772 de 08 de maio de 2006 com as seguintes competências: I - adotar as medidas necessárias e coordenar a implantação e o funcionamento do Sistema de Segurança e Credenciamento - SISC, de pessoas e empresas, no trato de assuntos, documentos e tecnologia sigilosos; II - planejar e coordenar a execução das atividades de segurança da informação e comunicações na administração pública federal; III - definir requisitos metodológicos para implementação da segurança da informação e comunicações pelos órgãos e entidades da administração pública federal; IV - operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da administração pública federal; V - estudar legislações correlatas e implementar as propostas sobre matérias relacionadas à segurança da informação e comunicações; e VI - avaliar tratados, acordos ou atos internacionais relacionados à segurança da informação e comunicações. O DSIC está vinculado à Secretaria Executiva do GSI, conforme mostra o organograma abaixo: Figura 2: Organograma GSI. Fonte: DSIC 59 O seguinte organograma mostra a estrutura do DSIC: Figura 3: Organograma DSIC. Fonte: DSIC Como atividade de uma de suas competências, o DSIC estabeleceu em 2007, em parceria com a Universidade de Brasília (UnB), o currículo do Curso de Especialização em Gestão da Segurança da Informação e Comunicações (CGSIC), direcionado à formação de profissionais vinculados à Administração Pública Federal. Na primeira turma deste curso, no mesmo ano de 2007, participaram 40 (quarenta) servidores públicos federais, dentre os quais o Diretor do DSIC, dois técnicos, além do Coordenador-Geral da Gestão de SIC e do Coordenador do Centro de Tratamentos de Incidentes de Redes. Outro produto do trabalho do DSIC, foi a publicação, em 13 de Junho de 2008, da Instrução Normativa GSI nº 1 (IN GSI nº 1) que “Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal”. Esta IN traz as seguintes definições aplicadas ao contexto da SIC: I - Política de Segurança da Informação e Comunicações: documento aprovado pela autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações; II - Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencial idade e a autenticidade das informações; III - Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade; 60 IV - Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental; V - Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado; VI - Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade; VII - Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações; VIII - Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e das comunicações; IX - Tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas. Nenhum desses trabalhos, entretanto, apresentou formalmente uma definição ou esclarecimento sobre a adoção do termo ‘Comunicações’ em complementação ao termo ‘Segurança da Informação’. A lei nº 10.643, de criação do GSI, refere-se à Segurança da Informação sem o uso do termo ‘Comunicações’. Já o Decreto nº 5772, de criação do DSIC, cita explicitamente o termo ‘Segurança da Informação e Comunicações’ em quatro dos seis itens de suas competências. Porém, discussões sobre esse termo com a participação dos principais dirigentes do DSIC, durante o curso CGSIC, evidenciaram a inexistência de uma definição ou conceituação formal que explique ‘Comunicações’. Antes mesmo da ocorrência dessas discussões, o diretor do DSIC, em sua primeira fala aos demais alunos do curso, afirmou desconhecer o real significado do termo ‘Comunicações’ na denominação ‘Segurança da Informação e Comunicações’. Em recente seminário, ocorrido em outubro de 2008, para servidores da Diretoria de Tecnologia da Informação da Presidência da República, o diretor do DSIC fez nova referência à inexistência de um significado para ‘Comunicações’ no termo ‘Segurança da Informação e Comunicações’, ao explicitar que desconhecia o propósito da adoção e utilização do termo nessa forma. 61 Nesse mesmo seminário, entretanto, o Coordenador-geral da Gestão de SIC falou sobre uma possível vinculação do termo ‘Comunicações’ à processos, quando apresentou as seguintes definições para o que entende como Informação e Comunicações: - Informação: ativo tangível ou intangível que tenha valor para uma pessoa física, para um órgão ou empresa tanto pública como privada; - Comunicações: processos pelos quais as informações são repassadas ou transmitidas. A visão de ‘Comunicações’, nessa forma, vai ao encontro da proposta deste trabalho, que defende que o termo ‘Comunicações’ passe a ser adotado e entendido como um processo por meio do qual as pessoas serão informadas e conscientizadas em relação à SI. Também no curso, nenhuma das matérias oferecidas trouxe algum enfoque específico e esclarecedor para o termo ‘Comunicações’. Tampouco as definições apresentadas na IN GSI nº 1 diferenciam ‘Segurança da Informação’ de ‘Segurança da Informação e Comunicações’. A comparação entre a definição de Segurança da Informação e Comunicações na IN GSI nº 1 e da Segurança da Informação na norma ABNT NBR ISO/IEC 27002, evidencia a semelhança de conceito entre as duas, configurando-se, mais uma vez, a inexistência de uma conceituação específica para o termo ‘Comunicações’, em relação à SI, no âmbito do GSI/DSIC. Porém, cabe observar que as matérias Sociedade da Informação, Inteligência Competitiva e Sistemas Complexos enfocaram, de alguma forma, assuntos correlatos às Comunicações. Uma mudança de enfoque nessas três matérias e a inclusão de outras como, por exemplo, Teoria da Informação, Comunicação Organizacional ou mesmo Cultura da Segurança da Informação poderiam trazer ao curso entendimento e legitimidade para o termo ‘Comunicações’ conforme a proposta deste trabalho. 62 4 FORMANDO A CULTURA DE SEGURANÇA DA INFORMAÇÃO 4.1 O Valor da Conscientização Aspectos abordados anteriormente mostram que a formação da cultura se dá pela interação, através da qual, pessoas, por meio de processos de comunicação, trocam informação, geram conhecimento e formam cultura. Nesse sentido, evidencia-se a importância de um processo de conscientização como fonte de aprendizado para a formação da Cultura de SI. As organizações modernas dependem cada vez mais da informação e do conhecimento para a realização competente de suas atividades e, portanto, não podem correr riscos quanto à indisponibilidade ou mau uso da informação. No universo da informação, o ‘capítulo’ destinado à Segurança da Informação tem sido destaque na moderna administração pública. Porém, apesar do reconhecimento da importância da conscientização de funcionários e usuários, no sentido de criação da cultura de SI, o que se percebe são enfoques, nos quais as pessoas não estão adequadamente incluídas. Segundo Sianes (2008), a abordagem convencional da SI falha, muitas vezes, por não considerar que são as pessoas que transformam informação em conhecimento e que possibilitam, pelo compartilhamento, a criação do conhecimento organizacional; da mesma forma, são elas que dão acesso a informações privilegiadas ou sigilosas, sem autorização, seja por ingenuidade, 63 desconhecimento ou descumprimento dos procedimentos de segurança, por insatisfação ou para obter vantagens pessoais. O que se percebe é que resultados concebidos somente com tecnologia são improdutivos: quem comanda e faz as organizações funcionarem são as pessoas. Salas-cofre, senhas fortes, cartões magnéticos, de nada adiantam se quem acessa uma informação resolve repassá-la indevidamente. Equipamentos e tecnologias apenas respaldam o trabalho intelectual, este totalmente dependente das pessoas. Cuidados e investimentos em tecnologia serão em vão se as pessoas, seus relacionamentos, comportamentos e aprendizados não forem efetivamente contemplados e estimulados. Sem essa visão não se consegue estabelecer de forma sistemática uma orientação para a formação da cultura. A eficácia de processos de SI deve passar necessariamente por pessoas para que, por meio da comunicação, troquem experiências no sentido de gerar conhecimento e cultura: A cultura fomenta conhecimento e comportamentos ao criar padrões que são internalizados pelos indivíduos. Investimentos em projetos de conscientização são essenciais para a formação dos indivíduos que lidam com a SI. Todas as pessoas precisam estar adequadamente cientes da importância da informação que utilizam. A sensação de que proteção física é proteção de informação não pode servir de base para a sustentação de um processo de SI. Há que se envidar esforços no sentido de buscar o comprometimento das pessoas em prol de comportamentos que permitam alcançar os objetivos da Segurança da Informação. Nesse sentido, diversos eventos promovidos pelo DSIC12 vão ao encontro dessa visão em relação à necessidade de se envidar esforços para a formação e conscientização de pessoas na APF. Desde sua criação o DSIC vem desenvolvendo projetos com foco na formação da cultura de SI, dentre os quais se destacam: - CDSIC - Curso a Distância de Segurança da Informação Comunicações 12 Eventos DSIC. Disponível em: https://www4.planalto.gov.br/siceventos. Acesso em: 20 Jan 2009. e 64 - CEGSIC - Curso de Especialização em Gestão de Segurança da Informação e Comunicações - SICGov - Congressos de Segurança da Informação e Comunicações - SEMSIC – Seminários sobre Segurança da Informação e Comunicações Com esses esforços fica caracterizado o ponto de vista do DSIC, compartilhado por este trabalho, de que um dos aspectos do processo de conscientização é o compartilhamento de informações e conhecimentos. É por meio de processos de comunicação que se consegue romper as barreiras da resistência e fortalecer a cultura do compartilhamento. É também por meio de processos de comunicação que se consegue promover a conscientização sobre a importância da adoção de procedimentos corretos que efetivamente protejam a informação e o conhecimento da organização. 4.2 Os Capitais do Conhecimento na formação da Cultura de Segurança da Informação O modelo ‘Capitais do Conhecimento’ permeia todas as áreas da organização, abordando a informação em relação aos processos, pessoas e infra-estrutura, por meio de quatro tipos de capitais: Ambiental, Estrutural, Intelectual e de Relacionamento. Esse modelo pode ser utilizado como referencial de abordagem para um processo de conscientização de SI que cubra todos aos ativos de informação das organizações. Sob essa perspectiva, para o Capital Ambiental o foco deve se voltar para a necessidade de proteção das informações da empresa quanto ao monitoramento de suas atividades por parte dos concorrentes. Saber quais informações coletar sobre o concorrente e ao mesmo tempo conseguir manter segredo sobre seus grandes projetos é ponto crucial, já que é cada vez maior a possibilidade de que uma empresa se torne alvo das pesquisas, análises e observações da concorrência. Diretriz de ação deve abordar técnicas de Inteligência e Contra-inteligência. A 65 inteligência deve ser direcionada para a obtenção lícita de informações do concorrente para subsidiar decisões estratégicas. A contra-inteligência deverá ser empregada para colocar a empresa a salvo de danos ou prejuízos, por meio da proteção de suas informações mais sensíveis. A Inteligência Competitiva (IC) é um dos métodos utilizados para a monitoração do ambiente externo da organização. Costa, Curvelo e Marcial (2002), conceituam Inteligência Competitiva da seguinte maneira: A IC é um processo sistemático e ético de coleta, análise e disseminação de informações que visa descobrir as forças que regem os negócios, reduzir o risco e conduzir o tomador de decisão a agir proativamente, bem como para proteger o conhecimento sensível produzido (COSTA, CURVELO e MARCIAL, 2002). Para o Capital Estrutural, aspectos importantes devem incluir a necessidade de implementação de controles para garantir os objetivos da Segurança da Informação no que diz respeito à sua estrutura, ou seja, seus processos, procedimentos, hardwares, softwares, redes. Ponto primordial é o entendimento sobre o gargalo desse processo que diz respeito a conseguir fazer frente aos ataques cada vez mais sofisticados dos violadores de segurança que utilizam-se de recursos de TI para efetuar fraudes eletrônicas, sabotagens e vandalismos. Aspectos a serem considerados referem-se às diretrizes abordadas em modelos de Boas Práticas de SI que englobam aspectos específicos desse capital, tais como: inventário e proteção dos ativos, classificação das informações, segurança lógica, segurança física do ambiente, segurança dos equipamentos e da rede, tratamento de mídias, segurança de documentos, além de normas sobre direitos e patentes. O Capital Humano trata do conhecimento das pessoas que se encontram uma organização. Sob esse prisma, as orientações devem abordar aspectos relativos às políticas de manutenção de talentos, conscientização sobre as informações que devem ou podem ser divulgadas, termos de responsabilidades, acordos de confidencialidade, educação e treinamento em segurança da informação e processos disciplinares. Nesse contexto, deve-se estar atento para o fato de que ainda prevalece nas empresas a cultura de que SI é coisa de informática’; que através da segurança de TI estarão a salvo de intrusão e da fuga de informação, 66 deixando, dessa forma, o cuidado com as pessoas e seus conhecimentos em segundo plano. Os pontos a serem abordados devem incluir medidas ativas de combate ao vazamento de informações, cuidados na seleção e política de pessoal, estabelecimento de acordos de confidencialidade no ato da contratação e desligamento, termos e condições de trabalho bem explicitado e, por fim, a necessidade de educação e treinamento em SI. O Capital de Relacionamento trata da rede de relacionamentos de uma empresa. Sob esse capital, os procedimentos de conscientização devem envolver os recursos processados e acessados por terceiros; os ativos sob responsabilidade de terceiros; controle de perímetro de segurança com relação a visitantes, clientes e fornecedores; gerenciamento de serviços terceirizados; acordos políticos e procedimentos para troca de informações e softwares e a proteção, quanto à integridade das informações disponibilizadas ao público. Também deve ser foco de atenção os cuidados com as informações de clientes, fornecedores e colaboradores e formas de controle dessas informações, procedimentos de rompimento e término de contrato, entre outros. Ponto de destaque refere-se à capacidade de proteção das informações, apesar da necessidade cada vez maior de se ampliar trocas de informação com pessoas e entidades que fazem parte dos relacionamentos externos da empresa. As diretrizes de SI devem englobar normas e procedimentos relativos à segurança de acesso lógico e físico por parte dos clientes, colaboradores e fornecedores. Independentemente das abordagens adotadas, o ponto central do processo de conscientização são as pessoas. Todos devem estar cientes quanto à necessidade de criação e adoção de procedimentos de segurança e de disseminação de informações no sentido de gerar conhecimentos que contribuam para ações que tragam resultados efetivos de proteção da Informação. Como relata Fontes (2006), a pessoa é o elemento por onde a SI acontece na organização. Portanto, investir em ações gradativas e constantes de conscientização é um caminho para a mudança de visão e de atitudes na busca da criação e fortalecimento da cultura de SI na organização. 67 4.3 Comunicação como Processo de Geração da Cultura de SI Aspectos abordados neste trabalho mostram que as organizações são sistemas sociais e, como tal, têm na comunicação as condições essenciais para seu funcionamento. É por meio dos processos de comunicação que as organizações gerenciam o fluxo de suas informações, repassam seus processos de trabalhos, conscientizam seus funcionários. É também por meio da comunicação, existente nas relações sociais, que se dá a interação entre as pessoas da organização, fator de formação da identidade organizacional e da própria justificativa de sua existência. “É a interação social e efetividade do processo de comunicação que constrói significado nas relações internas, o qual cria valor e conhecimento, gerando a cultura organizacional” (MARCHIORI, 2006). Também foi abordada, sob a perspectiva organizacional, a importância do estabelecimento de uma cultura como forma de motivar indivíduos em busca de resultados. A pessoa é o centro do processo informacional das organizações e trabalhar a cultura organizacional e, especialmente, o comportamento informacional das organizações é um fator decisivo para o alcance de objetivos. Conforme mostrado, a cultura organizacional envolve o aprendizado e a transmissão dos valores adotados por um grupo para solucionar problemas; representa as percepções da organização por parte de seus componentes ao mesmo tempo em que reflete a mentalidade que predomina na organização; envolvem padrões de pensamento, sentimentos e comportamentos, adquiridos por meio do convívio, que vão constituir o modo de vida e as realizações de um grupo. Porém, a cultura organizacional não é coisa única. Coexistem nas organizações diferentes “nichos” culturais formando sub-culturas. Modificações desejadas nos comportamentos podem, então, ser obtidas por meio da criação de uma cultura voltada para um objetivo específico, no caso deste trabalho, uma 68 cultura que englobe critérios, normas, comportamento, conhecimentos e atitudes voltadas para a formação do indivíduo em prol da proteção da informação, formando uma sub-cultura de SI dentro da organização. Sendo a cultura de SI entendida como um tipo ou parte da cultura organizacional, apóia-se também em pressupostos e crenças que influenciam os membros dos grupos, seus pensamentos e sentimentos. Desse modo a criação de uma cultura de SI estimularia positivamente o comportamento e atitude dos indivíduos no sentido de busca e execução do efetivo trabalho de proteção da informação. Em relação à criação de cultura, mostrou-se o ponto de vista de diversos autores, segundo os quais a comunicação é fator chave na criação e transmissão da cultura entre os elementos de um grupo: é o instrumento por meio do qual as pessoas acessam e apreendem conteúdos e informações. De acordo com Marchiori (2006) "a cultura se forma através dos grupos e da personalidade da organização. Os grupos se relacionam, desenvolvendo formas de agir que vão sendo incorporadas por este grupo. A partir do momento em que o grupo passa a agir automaticamente a cultura está enraizada e incorporada". Relacionamentos surgem e são mantidos por meio da comunicação. A comunicação se destaca como origem do processo de formação da cultura: possibilita a criação de conhecimento que, por sua vez, influi na criação da cultura. Segundo Marchiori (2006), é a comunicação que possibilita a troca, que sustenta o processo de interação possibilitando a geração de conhecimento que pode estabelecer uma cultura. O trabalho aborda ainda a importância de se observar os requisitos das teorias da comunicação no processo de criação e fortalecimento da cultura de SI por meio de ações gradativas e constantes com foco na conscientização das pessoas. O processo de comunicação deve considerar a cultura existente, o papel da liderança, o que e como comunicar, a conscientização, os processos de difusão e trocas de informações e conhecimento. Para Marchiori (2006), a difusão de 69 informações e a motivação no desempenho das atividades acarretam um comprometimento com os resultados da organização. Também segundo a autora, a comunicação contribui para a promoção da participação das pessoas, do trabalho em grupo, propiciando o surgimento de uma cultura. Desse modo, evidencia-se a relação entre o termo ‘Comunicações’ e formação de cultura organizacional. Caracterizada a formação de uma cultura como alicerce para fortalecer o processo de SI e sendo a comunicação o instrumento para fomentar cultura, é possível, então, vincular ‘Comunicações’ com o processo de criação e fortalecimento da Cultura de Segurança da Informação. Suportado pelo exposto anteriormente, este trabalho propõe que o termo ‘Comunicações’ seja aplicado no âmbito da APF para representar o processo por meio do qual as pessoas serão informadas, treinadas e formadas, de modo a estarem preparadas para a condução de ações efetivas de SI. Ou seja, que ‘Comunicações, no termo ‘Segurança da Informação e Comunicações’, seja empregado como o processo de interação capaz de formar e manter a Cultura de Segurança da Informação nas organizações de modo a se ter eficiência, eficácia e efetividade no processo de proteção da informação. 70 5 CONSIDERAÇÕES FINAIS 5.1 Uma Revisão dos Passos Propostos A importância da Segurança da Informação e Comunicações para a APF e a inexistência de uma conceituação para tal termo, nesta forma, foram os motivadores para a elaboração deste trabalho. O termo SIC, conforme mostrado, teve sua origem e aplicabilidade a partir dos estudos para a criação do Departamento de Segurança da Informação e Comunicações, vinculado ao Gabinete Segurança Institucional da Presidência da República, a quem compete tratar de assuntos pertinentes à SIC, no âmbito da Administração Pública Federal. O trabalho traz ainda evidências, justificadas por regras de sintática e semântica, que mostram que o verbete ‘Comunicações’ pode ser conceituado separadamente de SI no termo SIC. Enfatiza a questão das abordagens que consideram a Segurança das Comunicações como um aspecto da SI e daquelas que defendem a ‘Comunicação’ como processo de criação de cultura. Tais abordagens apóiam o argumento central deste trabalho de vincular ‘Comunicações’ à Cultura, sem prejuízo para o aspecto da Segurança das Comunicações. A adoção do conceito de ‘Comunicações’ conforme proposto, traria aos exaustivos esforços do DSIC, voltados à fomentação da cultura de SI na APF, a devida representatividade no termo SIC, alargando a visão sobre as atividades desse departamento ao dar ao termo ‘Comunicações’ um valor mais amplo que o de abordar, apenas, um dos aspectos da Segurança da Informação. 71 Outra abordagem do trabalho, diz respeito à contribuição que o modelo de capitais do conhecimento pode trazer no estabelecimento do processo de conscientização das pessoas com relação à Segurança da Informação. A visão de uma organização sob cada um dos aspectos dos capitais de conhecimento, permeia todo o fluxo informacional de uma organização sob a ótica dos quatro capitais, numa abordagem inovadora, apontando oportunidades, gargalos e potenciais diretrizes de atuação no processo de conscientização. Desse modo, considera-se que este trabalho alcançou os objetivos propostos, uma vez que foram apresentadas referências que fundamentam a viabilidade de aplicação do verbete ‘Comunicações’, no termo ‘Segurança da Informação e Comunicações’, sob o aspecto da formação de uma cultura organizacional de Segurança da Informação. Também foi possível efetuar, conforme proposto, a análise crítica do conceito de ‘Comunicações’ no termo SIC e a abordagem da relação existente entre comunicação e formação de cultura. Vale ressaltar que uma limitação do estudo é seu próprio ineditismo, uma vez que não foi encontrados trabalhos ou documentos que trouxesse informações sobre o significado, aplicabilidade ou conceito do termo SIC, como empregado pelo DSIC, de forma a permitir uma proposta com base em outros pontos de vista. Para concluir, registra-se na seguinte frase os principais conceitos explorados neste trabalho: a conscientização é o ponto, a comunicação é a ponte e a cultura é o norte a ser perseguido pelas organizações em busca do comprometimento e atitude das pessoas que a compõem. 5.2 Contribuições Futuras De forma a caracterizar a importância e outras possibilidades de exploração do tema, são listadas a seguir algumas sugestões para outras contribuições . 72 5.2.1 Formação da Cultura de SI por meio de Processos de Comunicação Normas e literaturas especializadas abordam comumente a necessidade de conscientização e treinamentos para proteção efetiva da informação, mas com relação à formação e cultura para a eficiência do processo de SI, as referências bibliográficas são bastante tímidas. As pessoas devem ser envolvidas e valorizadas como entes principais dos processos de Segurança da Informação. “É fundamental planejar, dinamizar os canais, aproximar pessoas, tornar a informação validada pelos membros, gerar atitudes” (MARCHIORI, 2006 a). Nesse sentido, trabalhos futuros devem envolver criação e manutenção de processos de Gestão de Comunicação Interna com foco na criação de uma Cultura de SI. 5.2.2 Paridades de Investimentos para Tecnologia e Pessoas no Processo de SI A consciência da necessidade de proteção da informação deve ser continuamente estimulada e trabalhos para garantia da segurança devem ser incentivados. Pessoas, e tecnologias devem ser olhadas como um todo, sob o aspecto da SI. Investir em um aspecto e não investir no outro gera pontos de vulnerabilidades que pode potencializar as ameaças sobre o objetivo maior da Segurança da Informação que é o de proteger adequadamente as informações de maior valor para a organização. Trabalhos, nesse sentido, devem envolver avaliação da situação atual em relação aos investimentos em tecnologia e em pessoas e propostas de melhor distribuição desses investimentos. 73 REFERÊNCIAS ALMEIDA, P. E. De Habermas a Porter. In: NASSAR, Paulo (org). Comunicação Interna: A Força das Empresas. Volume 2. São Paulo: Aberje. 2005.p.117-127. ALVARENGA, L. Representação do conhecimento na perspectiva da ciência da informação em tempo e espaço digitais. Enc. Bibli: R. Eletr. Bibliotecon. Ci. Inf., Florianópolis, n. 15, 1º sem. 2003. Disponível em: <http://redalyc.uaemex.mx/redalyc/pdf/147/14701503.pdf>. Acesso em: 16 out. 2008. ALVES, S. Revigorando a cultura da empresa: uma abordagem cultural da mudança nas organizações na era da globalização. São Paulo: Makroon Books, 1997. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISSO/IEC 27002: Tecnologia da Informação: Código de prática para a gestão da segurança da Informação. Rio de Janeiro, 2005. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da Informação: Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005. BARRETO, A. A. A Questão Da Informação. São Paulo em Perspectiva. São Paulo, v. 8, n. 4, p. 3-8, 1994. ______ A transferência de informação e as tecnologias intensivas: reposicionamentos. Informare: Rio de Janeiro, RJ, v. 2, n. 2, p. 50-52, 1996. BATES, M. J. Information and knowledge: an evolutionary framework for information science. Information Research Vol. 10 No. 4, July 2005. Disponível em:<http://informationr.net/ir/10-4/paper239.html> Acesso em: 01 set 2007. ______The invisible Substrate of information Science. Journal of the American Society for Information Science, v.50, n.12, p. 1043-1050, 1999. BEAL, A. Segurança da Informação: princípios e melhores práticas para a proteção dos Ativos de Informação nas Organizações. São Paulo: Atlas, 2005. BECHARA, E. Moderna gramática portuguesa. 37ª ed. rev. e ampl. Rio de janeiro: Lucerna, 2004. BITELLI, M. A. S. O Direito da Comunicação e da Comunicação Social. São Paulo: Editora Revista dos Tribunais, 2004 74 BOWDITCH, J.L.; BUONO, A. F. Elementos de Comportamento Organizacional. São Paulo: PioneiraThonson Learning. 2004. BRASIL. Decreto nº 3.505, de 13 de junho de 2000. Brasília, 2000. Disponível em: <https://www.planalto.gov.br/ccivil_03/decreto/D3505.htm>. Acesso em: 10 Jul. 2008 BRASIL. Decreto nº 5772 de 08 de maio de 2006. Brasília, 2006. Disponível em: <www.planalto.gov.br/ccivil_03/_ato2004-2006/2006/Decreto/D5772.htm>. Acesso em: 10 Jul. 2008 BRASIL. Presidência da República. Gabinete de Segurança Institucional. Instrução Normativa GSI Nº 1 de 13 de junho de 2008. Brasília, 2008. Disponível em: <http://www.notadez.com.br/content/noticias.asp?id=64866>. Acesso em: 12 Jul. 2008 BRASIL. Lei nº 10 64372 de 29 de agosto de 2003. Brasília, 2003. Disponível em: < http://www.planalto.gov.br/ccivil_03/LEIS/2003/L10.683compilado.htm>. Acesso em: 10 ago. 2008 CAPURRO, R. Foundations of information science: review and perspectives. 1999. Disponível em: <http://www.capurro.de/tampere91.htm>. Acesso em: 20 abr. 2004. ______ What is Information Science for? a philosofical reflection. In: Vakkari, Perti, Cronin, Blaise. Conceptions of library and information science. Tempere: Taylor Graham, 1991. p. 82-93 CAPURRO, R.; HJØRLAND, B. The concept of information. In: Cronin, B.(Ed.).Annual Review of Information Science and Technology. Silver Spring: ASIS, 2003. v. 37, p. 343–411. CARDOSO, M. L. A. P. Uma reflexão sobre a cultura organizacional à luz da Psicanálise. Revista Brasileira de Enfermagem. v.61 n.1. Brasília, 2008. Disponível em: <http://www.scielo.br/scielo.php?script=sci_arttext&pid=S003471672008000100016&lng=es&nrm=iso&tlng=es>. Acesso em: 04 ago. 2008. CARVALHO, P. B. Língua e linguagem: Signos lingüísticos; Funções, formas e tipos de linguagem; Hierarquia da linguagem. Apostila. Curso Lógica jurídica I . Pós graduação, Mestrado, Doutorado. PUC SP, capitulo II. 1995. CHAMPION, D.J. Sociologia das Organizações. São Paulo: Saraiva,1985. CHIAVENATO, I. Introdução à Teoria Geral da Administração. 6 ed. Rio de Janeito: Campos, 2000. CLEMEN, P. Comunicação é o princípio e o fim. In: TRINTA, Aloizio Ramos [et al]. LOPES, Boanerges (org). Gestão em Comunicação Empresarial: Teoria e Técnica. Juiz de Fora: Produtora Multimeios, 2007. p. 37-41. COSTA, A.J L.; CURVELLO, J. J. A.; MARCIAL, E. C. Lícito versus Ético: Como as ferramentas de Inteligência Competitiva podem contribuir para a boa Imagem corporativa. Artigo. Revista Inteligência Empresarial, número 12 de julho de 2002. 75 Disponível em: <http://www2.desenvolvimento.gov.br/arquivo/sti/publicacoes/ futAmaDilOportunidades/rev20020816_02.pdf>. Acesso em: 12 jul. 2008. CORDENONSI, J. L. Alinhamento das Estratégias de TI e Negócio: as Melhores Práticas utilizadas pelos Bancos Privados Brasileiros.. In: ALBERTIN, Alberto Luiz e ALBERTIN Rosa Maria de Moura (org.). Tecnologia de Informação: Desafios da Tecnologia de Informação aplicada aos negócios. São Paulo: Atlas. 2005 CUADRA, C. A. Introduction to ADI Annual Review. In: Annual Review of Information Science and Technology - ARIST, v.1, p.1-14, 1966. CUNHA, C.; CINTRA, L. Nova gramática do português contemporâneo. 3ª ed.– Rio de Janeiro: Nova Fronteira, 2001. CUNHA, R. Treinando Macacos, Educando Pessoas. TCC, Disponível em: http://www.modulo.com.br/media/TA_RobertoCunha_Treinando_Macacos.pdf. Acesso em: 25 jul. 2008. DAHLBERG, I. Terminological definitions: characteristics and demands. In: Problemes de la définition et de la synonymie en Terminologie. Québec: GIRSTERM, 1983. DAVENPORT, T.H. Ecologia da Informação: Porque só a Tecnologia não basta para o sucesso na Era da informação. 4. ed. Trad. Bernadette Siqueira Abrão. São Paulo: Futura, 2001. DREYFUS, H. Intelligence without representation – Merleau-Ponty’s Critique of Mental Representation – The relevance of phenomenology to science explanation. Phenomenolgy and the Cognitive Sciences 1:367-383, 2002. FARRADANE, J. Knowledge, information and Information Science. Journal of Information Science, v.2, 1980, p.75-80 FERREIRA, F. N. F. Segurança da Informação. Rio de Janeiro: Editora Ciência Moderna LTDA., 2003. FLEURY, M. T. L. O desvendar a cultura de uma organização – uma discussão metodológica. In: FLEURY, M. T. L.; FISCHER, R. M. (org.). Cultura e Poder nas Organizações. S.Paulo: Atlas, 1996. p.15-27. FISCHER, R. M. O círculo do poder: as práticas invisíveis de sujeição nas organizações complexas. In: FLEURY, M. T. L.; FISCHER, R. M. (org.). Cultura e Poder nas Organizações. S.Paulo: Atlas, 1996. p.99-99. FONTES, E. Segurança da Informação: o usuário faz a diferença. Disponível em: http://www.viaseg.com.br/artigos/artigo_edison_051125.htm. Acesso em 16/07/2008 ______ Conscientizar é preciso! Viver, mais ainda! 2006. Disponível em: http://www.itweb.com.br/blogs/blog.asp?cod=58&arquivo=09/2006. Acesso em 16/07/2008. 76 FREITAS, M. E.. Cultura Organizacional: formação, tipologias e impacto. São Paulo: Makron, McGraw-Hill, 1991. GOMEZ N. L.; MARCHETTI, R.; PRADO, P. H. M. Antecedentes e conseqüências da satisfação do Usuário de Informação da Internet. In: ALBERTIN, A.L.; ALBERTIN R. M. M. (org.). Tecnologia de Informação: Desafios da Tecnologia de Informação aplicada aos negócios. São Paulo:Atlas. 2005. HAYES, R. M. Measurement of information. In: VAKKARI, P.; CRONIN, B. Conceptions of Library and Information Science; historical, empirical and theoretical perspectives. London, Proceedings… Tampere, Finland, 26-28, August 1991. Los Angeles, Taylor Graham, 1992. p. 268-285. HITCHINGS, J. Deficiencies of the traditional approach to information security and the requirements for a new methodology. Computers & Security, v. 14, n. 5, p. 377– 383, May 1995. HOFSTEDE, G. Cultures and organizations: software of the mind. New York: McGraw-Hill, 1991. HOSHOVSKY, A. G; MASSEY, R. J. Information Science: its ends, means & opportunities. In: PLATAU, G. O., ed. Information transfer. Proceedings of the Annual Meeting of the ASIS, 1968, October, 20-24. Columbus: Ohio, DC: ASIS, 1968. v.5 p.47-55. LAKATOS, E. M.; MARCONI, M. A. Fundamentos de metodologia cientifica. 3. ed. São Paulo: Atlas, 1996. Incluir Lara--------------------------------------------------------LEMOS, R. Direito, Tecnologia e Cultura. Rio de Janeiro: Editora FGV, 2005. MARCHIORI, M. Cultura e Comunicação Interna. In: NASSAR, P. (org.). Comunicação Interna: A Força das Empresas. V2. São Paulo: Aberje. 2005. p.109115. ______, Cultura e Comunicação Organizacional: um olhar estratégico sobre a organização. São Caetano, SP: Difusão Editora, 2006. ______ Comunicação é Cultura. Cultura é Comunicação. Disponível em: <http://www.portal-rp.com.br/bibliotecavirtual/culturaorganizacional/buscas.htm>. Acesso em: 12 jun. 2008. ______, Comunicação e Cultura Organizacional. In: Comunicação e Estratégia. Revista Digital, v.3, n.4, jul. 2006. Disponível em: < http://www.comunicacaoempresarial.com.br/rev_entrevista4.htm>. Acesso em 15 mai. 2008. LIMA-MARQUES, M. e MACEDO, F. L. Arquitetura da informação: base para a gestão do conhecimento. In TARAPANOFF, K. (org.) Inteligência Informação e Conhecimento. Brasília: IBICT, UNESCO, 2006. p. 241-255. 77 ______, Arquitetura da informação. Brasília: Universidade de Brasília, 2004, (Notas de aulas. Disciplina de pós-graduação. Departamento de Ciência da Informação. Universidade de Brasília). ______, Seminários em Arquitetura da informação. Brasília: Universidade de Brasília, 2007. (Notas de aulas. Disciplina de pós-graduação. Departamento de Ciência da Informação. Universidade de Brasília). MARCIANO, J. L. P. Segurança da informação: uma abordagem social. Tese (Doutorado em Ciência da Informação) apresentada ao Departamento de Ciência da Informação e Documentação, Universidade de Brasília, Brasília. 2006. Orientador: Mamede Lima-Marques MARCIANO, J. L.; LIMA-MARQUES, M. O enfoque social da segurança da informação. ci. InF., Brasília, v35, n3, p, 89-98, set/dez.2006 MATOS, G. G. Cultura do Diálogo: base da comunicação interna. In LOPES, B. (org.). Gestão em Comunicação Empresarial. Teoria e Técnica,. Juiz de Fora, MG: Multimeios, 2007. ______ Porque é preciso comunicar?, 2005. Disponível em http://www.lovizzarocg.com/web/publicacoes/comunicacao/artigo-001.html. Acesso em 18 jul.2008. McGARRY, K. J. Da documentação à informação: um conceito em evolução. Lisboa: Editorial Presença, 1984. MIRANDA, R. C.R. O uso da informação na formulação de ações estratégicas pelas empresas. Ciência da Informação, Brasília, v.28, n.3, p.284-290, set./dez. 1999. Disponível em <http://revista.ibict.br/index.php/ciinf/article/view/290/256>. Acesso em 15 mai. 2008. MORGAN, G. As Imagens da organização. Atlas, São Paulo: 1996. NASSAR, P. Comunicação Interna: In: NASSAR, P. (org.). Comunicação Interna: A Força das Empresas. V2. São Paulo: Aberje. 2005. NAVES, E M. R. N.; DELA COLETA, M. F. Cultura e Comprometimento Organizacional em Empresas Hoteleiras, Artigo. Revista de Administração Contemporênea-RAC, Edição Especial 2003, Disponível em: <http://www.anpad.org.br/rac/vol_07/dwn/rac-v7-edesp-emn.pdf>. Acesso em: 04 ago. 2008. NETTO, G.; ALLEMAND, M.; FREIRE, P. Gestão Operacional da Segurança da Informação. Apostila do curso de Especialização de Gestão da Segurança da Informação e Comunicações do Departamento de Ciência da Computação da Universidade de Brasília. Brasília, 2007. NONAKA, I. TAKEUCHI, H. Criação de Conhecimento na Empresa 14ª ed. Rio de Janeiro: Elsevier, 1997. 78 OLIVEIRA, A. F. Valores e ritos organizacionais como antecedentes do vínculo afetivo com a organização. Dissertação (Mestrado em Psicologia) apresentada ao Instituto de Psicologia, Universidade de Brasília, Brasília.1997. PEMBLE, M. What do we mean by “information security”. Computer fraud & security, v. 2004, n. 5, p. 17–19, May 2004. ______ Processo evolutivo e tendências contemporâneas da Ciência da Informação. Inf. & Soc.: Est., João Pessoa, v. 15, n. 1, jan./jun. 2005, p. 13-48. Disponível em: < http://www.ies.ufpb.br/ojs2/index.php/ies/article/viewFile/51/1521.>. Acesso em 20 set. 2008. POLISTCHUK, I.; TRINTA, A. R. A. Teorias da Comunicação: O pensamento e a prática da comunicação social. 2. ed. Rio de Janeiro: Elsevier, 2003. PORTER, M. E.; MILLAR, V. Como a informação proporciona vantagem competitiva. 1985. In: McGOWAN, W. (org.). Revolução em tempo real. Rio de Janeiro: Campus, 1997. REGO, F. G. T. Comunicação Empresarial, Comunicação Institucional: conceitos, estratégias, sistemas, estrutura, planejamento e técnicas. São Paulo: Summus,1986. SACRAMENTO, A. J. C. A. Uma Reflexão Sobre a Segurança nas Comunicações. Revista Militar. Disponível em <http://www.revistamilitar.pt/modules/articles/article.php?id=60> Acesso em: 10 out. 2006 SANTOS, A. M. Cultura organizacional e motivação para o poder: um estudo comparativo entre o setor bancário oficial e privado de Belo Horizonte. Belo Horizonte, 1990. Dissertação (Mestrado em Administração) – Centro de PósGraduação e Pesquisa em Administração, Universidade Federal de Minas Gerais. SANTOS, N. M. B. F. Diagnosticando a cultura organizacional através da abordagem tipológica de Quinn: uma pesquisa nas empresas brasileiras do setor têxtil. In: Encontro Anual da ANPAD, XVIII, 1994, Curitiba. Anais. Curitiba: ANPAD, 1994. SANTOS, H. Alteridade, decepção e estigma: desdobramentos da interação social mediada. Revista da FAMECOS, Porto Alegre, v. 26, p. 41-46, 2005. SARACEVIC, T. Information science. Journal of the American Society for Information Science, v.50, 1999, p. 1051-1063. SARAIVA, L. A. S. Cultura Organizacional em Ambiente Burocrático. Revista de Administração Contemporânea-RAC. Volume 06, Nº 01. 2002. Disponível em: <http://www.anpad.org.br/periodicos/arq_pdf/a_413.pdf>. Acesso em: 03 ago. 2008. SETZER, V. W. Dado, informação, conhecimento e competência. Folha Educação No. 27, out./nov. 2004, pp. 6 e 7. Disponível em: <http://www.ime.usp.br/~vwsetzer/dado-info-Folha.html>.Acesso em: 10 out. 2008. 79 SCANLAN, B. K. Princípio de Administração e Comportamento Organizacional. São Paulo: Atlas. 1979. SCHEIN, E. H. Guia de Sobrevivência da Cultura Corporativa. Rio de Janeiro: José Olympio, 2001. ______. Organizatonal culture and leadership. San Francisco: Jossey-Bass Publishers, 1997. ______ Coming to a new awareness of organizational culture. Sloan Manag. Rev. 1984. SCHLIENGER, T.; TEUFEL, S. Analyzing information security culture: increased trust by an appropriate information security culture. In: Proceedings of the 14th International Workshop on Database and Expert Systems Applications. Oakland, California: IEEE Society, 2003. v. 6, p. 405–409. SHANNON, C. E. A matemathical theory of communication. The Bell System Technical.Journal, v. 27, n. 1, p. 379–423;623–656, July/Oct. 1948. Disponível em: <http://cm.bell-labs.com/cm/ms/what/shannonday/shannon1948.pdf>. Acesso em: 20 ago. 2008. SHANNON, C. E.; WEAVER, W. Teoria Matemática da Comunicação. São Paulo: Difel, 1975. SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2006. SIANES, M. Proteção ao Conhecimento: uma proposta de fundamentos teórica. Dissertação (Mestrado em Ciência da Informação) apresentada ao Departamento de Ciência da Informação e Documentação, Universidade de Brasília, Brasília. 2008. Orientador : Lima-Marques,M. VENTER, H. S.; ELOFF, J. H. P. A taxonomy for information security technologies. Computers & Security, v. 22, n. 4, p. 299–307, May 2003. VON SOLMS, B.; VON SOLMS, R. The 10 deadly sins of information security management. Computers & Security, v. 23, n. 5, p. 371–376, July 2004. WERSIG, G.; NEVELLING, U. The phenomena of interest to Information Science. The Information Scientist, v. 9, n. 4, p.127-140, December, 1975. WEINER, Y.; VARDI, Y. Relationships between careercommitment and work outcomes:an integrate behavior. Human Performance, v. 26, p. 81-96,1990. job,organization, and approachorganizational 80 ANEXO I – PESQUISA SIC Pesquisas do termo “Segurança da Informação e Comunicações” na Internet 1 – Google. Data acesso de Opção pesquisa 16/07/2008 Estou sorte de Resultado https://www1.planalto.gov.br/semsicbr/ com Página relativa ao programa do I SEMINÁRIO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES, promovido pelo Gabinete de Segurança Institucional da presidência da República. 16/07/2008 WEB Nos resultados das 10 primeiras, apenas uma ocorrência não estava vinculada ao GSI. Referiase à página de uma empresa que trazia o seguinte texto ” empresa foi fundada em 1996 por um grupo de especialistas em matemática, segurança da informação e comunicações, que somam 30 anos de experiência na análise, desenvolvimento e implementação de soluções para os problemas de Segurança da Informação” .Página: “http://www.coresecurity.com/content/coresecurity-technologies-lana-a-primeira-ferramentapara”. A página, entretanto, não traz data de referência, impossibilitando identificar quando o item foi incluso. 16/07/2008 Pesquisar livros Não trouxe nenhuma ocorrência do termo 81 2 - Outros sites Endereço dgp.cnpq.br/buscaoperacio Data Ocorrên acesso cia 12/07/2008 1 (uma) Observação GESIC-Grupo de Estudos em Gestão da nal (Diretório de busca de pesquisas no Brasil) Segurança da Informação e Comunicações, formado em 2007 3 - Outras buscas Endereço Data acesso www.governoeletronico. 22/08/2008 gov.br Termo / Número de Observação ocorrências Comunicações Em Nenhuma das (39) ocorrências o termo estava vinculado à Segurança da Informação www.governoeletronico. 18/08/2008 gov.br/biblioteca www.governoeletronico. gov.br/biblioteca Comunicações 0 (zero) 18/08/2008 Segurança Referente ao Guia 1 (Uma) de Segurança da Informação. Nesse documento não aparece nenhuma vez a palavra ‘Comunicações’ 82 ANEXO II – PESQUISA TIC Pesquisas no Google em relação à TIC. Acesso em: 06 nov. 2008 Resultado: aproximadamente 220.000 ocorrências com a palavra ‘Tecnologia’ vinculada sintaticamente ao termo ‘Comunicação’ ou ‘Comunicações’ contra, aproximadamente, 28.000 ocorrências com o emprego desconsiderando essa vinculação sintática (Tecnologia da Informação e Comunicações), conforme gráfico e especificações apresentados abaixo: Ocorrências de TIC T' vinculado à 'C' T' desvinculado de 'C' 1 - Argumento de pesquisa: "tecnologia da informação e comunicação" . Web Resultados 1 - 10 de aproximadamente 186.000 para "tecnologia da informação e comunicação" 2 - Argumento de pesquisa: "tecnologia da informação e da comunicação" Web Resultados 1 - 10 de aproximadamente 24.500 para "tecnologia da informação e da comunicação" 3 - Argumento de pesquisa: "tecnologia da informação e das comunicação" Web Resultados 1 - 10 de aproximadamente 5.910 para "tecnologia da informação e das comunicações" 4 - Argumento de pesquisa: "tecnologia da informação e comunicações" Web Resultados 1 - 10 de aproximadamente 28.000 para "tecnologia da informação e comunicações"