Neste estudo, de caracter exploratório e descritivo, foi utilizada uma abordagem qualitativa e quantitativa, onde se destacam as seguintes actividades:
• Elaboração de Questionário com base em estudos teóricos e empíricos, que faz parte do Anexo A deste documento. Para tal, procedeu-se à identificação dos tipos de factores e para cada um deles, quais os elementos que concorriam para caracterização do factor na escala respectiva. Assim, foram identificados quatro tipos de factores relacionados com a cultura organizacional na segurança da informação: motivadores, inibidores, críticos de sucesso e de boas práticas. De modo a aferir o nível de importância atribuído, pelos profissionais, foram identificados, para cada tipo de factor, elementos que possibilitassem aquela avaliação. Porém, cada elemento em cada tipo de factor foi classificado numa escala de 1 (Não é importante) a 4 (Muito importante), sendo 2 (Pouco importante) e 3 (Importante). Estes factores foram analisados tendo em conta duas perspectivas: a do próprio sobre a matéria e a do próprio face à organização de que fazia parte. Todas as questões foram consideradas de resposta obrigatória. A figura (Figura 4.2) retrata o modelo de questionário realizado.
Figura 4.2 - Modelo do Questionário Realizado
• Elaboração de folheto explicativo enviado, em anexo, na divulgação do Questionário, fazendo, também, parte do Anexo A deste documento.
• Divulgação do questionário on-line através de envio de e-mail aos Conselhos de Administração das Entidades Gestoras de Água e/ou Saneamento de Sistemas Municipais e Plurimunicipais, à Entidade Reguladora – ERSAR, a três Associações
Sector de actividade empresarial: Água / Saneamento em Portugal
Factores de Boas Práticas
a) A minha senha de acesso não a partilho com ninguém b) Quando me afasto do meu posto de trabalho bloqueio a minha sessão no PC c) Cada trabalhador apenas deve ter acesso à informação necessária ao desempenho das suas funções
d) Devem existir programas para a conscientização, educação e formação em segurança
e) Deve existir
conformidade com Normas Internacionais de Segurança (ISO/IEC 27001/2, COBIT, ITIL, etc.)
f) Devem existir auditorias de Segurança da Informação g) Devem ser utilizadas tecnologias de suporte (COBIT, ITIL, etc.) h) Deve existir uma Política de Segurança da Informação i) Deve existir Modelo/Programa de Governação para a Segurança da Informação Factores Críticos de Sucesso a) Entendimento da “Gestão de Topo” para as questões da segurança da informação b) Suporte da Gestão de Topo c) Responsabilização pela Segurança da Informação d) Motivação dos funcionários e) Programas para a conscientização, educação e formação em segurança em informação f) Conformidade com Normas Internacionais de Segurança g) Auditorias de Segurança da Informação h) Utilização de tecnologias de suporte (COBIT, ITIL, etc.) i) Política de Segurança da Informação j) Modelo/Programa de Governação para a Segurança da Informação (equipa de suporte) Factores Inibidores a) Valor do investimento b) Falta de conhecimento c) Cultura organizacional d) Dificuldade em medir o custo/benefício e) Acesso restrito à “Gestão de Topo” f) Alterações contínuas na legislação / regulação g) Emergência contínua de novos riscos Factores Motivadores a) Evitar perdas financeiras b) Ocorrência de incidente anterior c) Garantir a disponibilidade, confidencialidade e integridade da Informação d) Planear a segurança da informação antes da implementação das novas tecnologias e) Responsabilizar os executivos e/ou gestores responsáveis pela implementação, acompanhamento e divulgação de informações de segurança f) Possibilitar o alinhamento de segurança da informação com os objectivos estratégicos da organização g) Emergência contínua de novos riscos h) Alterações contínuas na legislação/regulação i) Obrigatoriedade de conformidade com standards internacionais
Cultura em Segurança da Informação
Perspectiva: Próprio face à organização
Perspectiva: Próprio
Escala: 1-Não é importante | 2- Pouco importante | 3- Importante | 4- Muito importante
(PPA, APDA e AMEGA) e a 6 empresas com actividade de prestação de serviços neste sector.
• Caracterização da amostra (ver ponto 4.3 deste capítulo) segundo os parâmetros estabelecidos para o respondente: função, área de formação, nível de formação, anos de experiência profissional, número de funcionários na organização, género e grupo etário.
• Elaboração do mapeamento de cada elemento de cada Factor (Motivador / Inibidor / Crítico de Sucesso / Boas Práticas) segundo a orientação do ISACA [119] que refere: «do ponto de vista da governação há seis principais resultados que o programa da
segurança deverá trabalhar para atingir, a saber: 1) alinhamento estratégico; 2) gestão de risco; 3) entrega de valor; 4) gestão de recursos; 5) gestão de desempenho; e 6) garantia da integração de processos». Deste modo que factores, então, poderão
ser considerados como motivadores, possibilitando a alavancagem na aplicação da governação da segurança da informação nas organizações? Tendo em conta o já referido pode considerar-se o indicado na tabela seguinte (Tabela 4.1).
Tabela 4.1- Factores Motivadores: Mapeamento dos elementos segundo orientação ISACA
Porém, verifica-se que os profissionais de segurança também se debatem com Factores Inibidores na implementação destas orientações nas suas organizações. Ainda mencionando o ISACA [120] este refere que «Para ser justo, os profissionais
da segurança da informação têm realizado um trabalho louvável dado os poucos recursos disponíveis. Orçamentos baixos, recursos humanos limitados e acesso restrito à gestão de topo são obstáculos comuns que os profissionais da segurança da
informação enfrentam enquanto tentam proteger os activos informacionais, minimizar o risco e proporcionar valor acrescentado ao negócio».
Assim, como elementos a mapear os Factores Inibidores podem destacar-se os mencionados na tabela (Tabela 4.2) seguinte.
Tabela 4.2- Factores Inibidores - Mapeamento dos elementos segundo orientação ISACA
Neste contexto, pode considerar-se como elementos a mapear os Factores Críticos de Sucesso na implementação ou adopção do Sistema de Gestão de Segurança da Informação os mostrados na tabela (Tabela 4.3) que se segue.
Tabela 4.3- Factores Críticos de Sucesso - Mapeamento dos elementos segundo orientação ISACA
Para aferir que boas práticas são consideradas como mais ou menos importantes num Sistema de Gestão de Segurança da Informação, dentro do sector, efectuou-se o
mapeamento para as boas práticas, conforme se visualiza na tabela (Tabela 4.4) seguinte.
Tabela 4.4- Factores de Boas Práticas - Mapeamento dos elementos segundo orientação ISACA
• Análise e tratamento dos dados, cuja apresentação dos resultados pode ser encontrada no Capítulo 5 deste documento, dos quais destacam-se:
o Indicação dos elementos de cada factor que foram os mais e menos votados, pelos participantes, tendo em conta o tipo de função do respondente, bem como cada uma das perspectivas: a do próprio e a do próprio face à organização.
o Realização para cada elemento de cada factor, do cálculo médio ponderado das respostas, de forma a atribuir, a cada um dos elementos de cada factor, um nível médio de importância (NMI).
o Elaboração da análise comparativa entre as duas perspectiva evidenciadas pelo respondente: a do próprio e a do próprio face à organização/sector para o qual trabalhava, tendo em conta o nível médio de importância calculado para cada elemento de cada factor e por tipo de função.
o Elaboração da análise resultante entre o cálculo do nível médio de importância obtido para cada elemento dos factores (tendo em conta as duas perspectivas evidenciadas pelo respondente) e o mapeamento dos elementos dos factores segundo orientação do ISACA [121] acima apresentado e por tipo de função.
4.3 – A Amostra
Para a realização deste estudo a recolha de dados foi efectuada através de um questionário on-
line (ver Anexo A), que esteve disponível entre 20 de Janeiro e 24 de Fevereiro de 2013.
O convite para a participação foi enviado por e-mail aos Conselhos de Administração das Entidades Gestoras de Água e/ou Saneamento de Sistemas Municipais e Plurimunicipais, à Entidade Reguladora – ERSAR, a três Associações (PPA, APDA e AMEGA) e a 6 empresas com actividade na prestação de serviços a este sector. Nesse convite, solicitava-se a participação dos gestores de topo da organização, bem como a divulgação do questionário pela organização no sentido de outros gestores e/ou funcionários também participarem.
No Anexo A encontram-se discriminados os endereços de e-mail utilizados para o envio do convite à participação, bem como o corpo do texto remetido. Na tabela seguinte (Tabela 4.5) apresenta-se a indicação da distribuição realizada.
Tabela 4.5-Lista de Organizações a quem foram enviados os Questionários
Porém, a percentagem acima apresentada (41,16%) não significa que foram recebidas respostas referentes a 41,16% das entidades, pois pode ter-se várias respostas relativas à mesma entidade, o que não foi possível verificar dado o anonimato existente para o respondente.