Categoria Pessoas

Na questão 1, sobre o conhecimento em SI, embora 7 (87,5%) dos respondentes demonstrem ter conhecimento sobre SI e 1 (12,5%) seja indiferente, observa-se uma distância entre esse conhecimento e a disposição a boas práticas em SI. Neste mesmo rol de importância se enquadra a questão 2, que diz respeito a conhecer a PSI da UFPB em que 5 (62,5%) concordam fortemente e 3 (37%) concordam e igualmente a questão 8, sobre treinamento e conscientização em SI. Em relação à segurança da informação, a pesar de 7 dos respondentes terem conhecimento e 5 saberem da importância da PSI/UFPB, mas 1 (12,5%) se mostrou indiferente ao assunto em SI, merecendo uma atenção maior, pois pode ser um ponto, suscetível, a questões relacionadas a engenharia social3 _{e/ou outros problemas.} Conseguinte a isso, a questão 9 trata da importância do estabelecimento de PSI. Nesse bojo, evidencia-se uma tendência bastante favorável do conhecimento, bem como da aceitação de PSI. Embora possa haver uma tendência a atitudes politicamente corretas, no que diz respeito à boas práticas em SI, percebe-se pelas observações empíricas do pesquisador, que ainda não são cumpridos com rigor os requisitos de segurança.

De acordo com o Guia de Referência de Segurança da Informação da Presidência da República, que é o documento normativo em matéria de SI, “os empregados devem entender porque a segurança é importante para a sua organização e para o seu dia-a-dia. Devem saber de que forma as falhas de segurança podem afetar a organização, bem como contra o que se proteger

e como se proteger” (BRASIL, 2010, p. 88). Como se trata de profissionais que lidam com a

3_{Técnica por meio da qual uma pessoa procura persuadir outra a executar determinadas ações (CERT.Br., 2012. p.115).} 21 O antivírus deve ser de

licença paga Concordo Indiferente Discordo 5 2 1 62,5% 25% 12,5% 22 É necessário o controle para

proteção no uso de mídias removíveis (pen drive,

memory cards) Concordo fortemente Concordo 3 5 37,5% 62,5%

23 Deve-se estabelecer restrições

gestão da informação, este cuidado a propósito da SI, corresponde às atribuições e prerrogativas inerentes aos que cumprem estas funções. Ainda assim, é positivo perceber-se um grau de conhecimento e consciência significativos, no sentido de proteção da informação.

Na construção de um “programa de conscientização, é importante não focar apenas no ‘o que’ e ‘como’, mas também no ‘por quê’”. (ABNT NBR ISO/IEC 27002, 2013, p. 21) De acordo com a Norma, importa que haja da parte do funcionário, o entendimento dos objetivos da SI, e seu próprio comportamento no seu impacto potencial, positivo e negativo na organização. Desse modo, “a política de segurança explicita, para todos os usuários que acessam e usam a informação, qual é a filosofia da organização sobre esse recurso, visando assegurar que toda informação da empresa e de seus clientes esteja protegida contra possíveis perdas, danos, destruição e/ou mau uso” (FONTES, 2006, p. 3).

No que se refere a permitir a terceiros saber da senha, questão 3, embora 5 (62,5%) respondentes discordem fortemente e 2 (25%) discordem, 1 (12,5%) permite que conheçam sua senha, o que se torna preocupante, haja vista que, esta abertura, por si só, pode se constituir um ponto de vulnerabilidade, e exposição às ameaças. Também tem relação com a questão acima a 5, referente a construção de senhas fortes, em que 3 (37,5%) concordam fortemente e 4 (57,1%) concordam com a prática do uso de senhas fortes, enquanto que 1 (12,5%) mostrou-se indiferente. Mas, basta um estar indiferente, para que se evidencie a necessidade de que todos estejam cumprindo com rigor, as regras, de modo a se garantir a confidencialidade da senha individual e proteção da informação. No entanto, para que “os controles de senha funcionem, os usuários devem ter pleno conhecimento das políticas de senha da instituição e devem ser orientados e estimulados a segui-las fielmente” (TCU, 2012, p. 20). Isto converge para o estabelecimento de políticas de segurança que possam garantir a confidencialidade, integridade e disponibilidade das informações, bem como, barrar o acesso indevido a sistemas, por pessoas não autorizadas. Pelas observações, não existe norma formalizada e explicitada acerca de construção de senhas fortes.

É importante que se assegure a privacidade e proteção das informações de identificação pessoal, em conformidade com legislação e regulamentação pertinente, quando da sua aplicação (ABNT NBR ISO/IEC 27002, 2013).

Na questão 4, “política de mesa limpa”, 1 (12,5%) respondente concorda que os documentos fiquem à mostra na mesa de trabalho, 4 (57,1%) são indiferentes, e 3 (37,5%) discordam. O fato de um participante ser favorável que os documentos fiquem à mostra e quatro estarem indiferentes, expressa um desconhecimento dos riscos a que a segurança das informações está exposta, pois “uma política de mesa limpa e tela protegida reduz o risco de

acesso não autorizado, perda e dano da informação durante e fora do horário de trabalho” (ABNT NBR ISO/IEC 27002, 2013, p. 56).

A questão 7, referente à utilização e instalação de programas não pertinentes às atividades da instituição, 1 (12,5%) concorda na instalação e uso, 1 (12,5%) mostrou-se indiferente, enquanto que 5 (62,5%) discordam e 1 (12,5%) discorda fortemente. É expressivo o número dos que não são favoráveis à instalação e uso de programas que não têm pertinência aos objetivos da organização. No entanto, o fato de um mostrar-se indiferente, demonstra a necessidade de uma maior conscientização.

Figura 6 – Gráfico das respostas do questionário – Categoria Pessoas

Fonte: Dados da pesquisa (2017).

Para tanto, a ABNT NBR ISO/IEC (27002:2013, p. 69) corrobora com recomendação de que: “A instalação de software não controlado em dispositivos computadorizados pode introduzir vulnerabilidades [...] gerar o vazamento de informações, perda de integridade ou outros incidentes de Segurança da Informação [...]”.

Mesmo que a PSI tenha suas variações adaptadas às peculiaridades de cada organização e seu escopo, deverá abranger vários aspectos, cruciais para uma adequada proteção dos ativos de informação. Isto se aplica, sobretudo, aos aspectos humanos da segurança que, de acordo com Beal (2008), a PSI deve trazer em seu conteúdo “definições sobre a política de segurança de pessoal (processos de admissão e demissão, requisitos de segurança aplicáveis a funcionários e prestadores de serviço, treinamento em segurança)”.

Nesta categoria pôde-se observar que os respondentes expressam um conhecimento e a noção da importância da SI, ainda que pouco. No entanto, percebe-se que é necessário um

0 1 2 3 4 5 6 7 PERGUNTA 1 PERGUNTA 2 PERGUNTA 3 PERGUNTA 4 PERGUNTA 5 PERGUNTA 6 PERGUNTA 7 PERGUNTA 8 PERGUNTA 9 discordo fortemente discordo indiferente concordo concordo fortemente

entendimento e maior conscientização assunto, de forma que os princípios relacionados à segurança da informação, possam capacitá-los e incorporar estes princípios à sua vida, quer profissional, quer pessoal.