Fator 5: Auto-eficácia
6. CONSIDERAÇÕES FINAIS
Os resultados do estudo apontam que os fatores Suscetibilidade da Ameaça, Eficácia da Resposta e o Programa de Conscientização de Segurança são determinantes na intenção de cumprir com uma política de segurança envolvendo BYOD, fornecendo suporte às hipóteses H2, H4 e H5.
Do ponto de vista teórico, os resultados demonstram que o modelo PMT fornece uma base teórica sólida para a investigação nesta área. No entanto, os resultados também indicam que este modelo é afetado por fatores contextuais, e que a escolha da amostra pode influenciar a importância dos diferentes componentes do modelo. Portanto, o cuidado deve ser tomado na generalização desses resultados para outros contextos e populações.
Do ponto de vista das publicações sobre Segurança da Informação focando BYOD, este trabalho representa uma contribuição para o campo de estudo sobre o tema, já que aborda o fator humano enquanto a ênfase de estudos anteriores concentra-se no fator tecnológico, nacionalmente não foi encontrado nenhum trabalho abordando o tema. No âmbito acadêmico, esse estudo ajudou a reduzir a lacuna na compreensão da Mobilidade envolvendo o Fator Humano no contexto de uma organização e possibilitou agregar conceitos provenientes Teoria da Motivação a Proteção alcançando um considerável sucesso e dando impulso para pesquisas futuras nesta área.
O presente estudo operacionalizou e estendeu um modelo original, no qual foram desenvolvidas e validadas questões que poderão ser utilizadas para medir esses mesmos construtos em novos modelos aplicados ao contexto da Segurança da Informação.
Com esse estudo podemos inferir que os respondentes possuem uma postura colaborativa ao seguir a Política de Segurança da Informação no que se refere a BYOD proposta pela sua empresa e percebem também a utilidade da mesma pelo fato de que, ao seguir essa política, poderia proteger melhor suas informações no uso dos recursos de TI da Empresa. Portanto, é possível afirmar que há um sentimento positivo no que concerne aos funcionários entenderem seus papéis em seguir a Políticas de Segurança envolvendo BYOD e em de fato, cumpri-las. Por outro lado podemos detectar que apesar da existência da política de Segurança ela não é efetiva no que se refere aos dispositivos móveis.
73
Segundo Bulgurcu et al. (2010) o fortalecimento da Segurança da Informação depende dos funcionários ao cumprirem as orientações – regras e regulamentos – relativas à Segurança da Informação. Para Puhakainen e Siponen (2010) os funcionários que não estão em conformidade com as orientações da política de Segurança da Informação são um risco sério para suas empresas.
Os resultados também fornecem evidências de que os funcionários são sensíveis aos custos de conformidade, mas não necessariamente quando eles são associados a intenção de cumprir. Para resolver o problema, programas de treinamento corporativo devem destacar os custos associados à não conformidade como uma maneira de informar plenamente fazendo uma análise do custo-benefício dos funcionários e ao mesmo tempo incentivar o comportamento adequado no que se refere a BYOD.
As limitações desta pesquisa estão situadas no fato de sua aplicação ter sido realizada apenas em uma empresa (mesmo que a nível nacional) com um ramo de atuação específico. Diferentes culturas, políticas ou condições de trabalho podem causar efeito diferente em cada um dos construtos, esse estudo também não abordou a intrusão da política de segurança envolvendo BYOD à privacidade dos empregados, que dependendo do nível pode criar diferentes percepções sobre a política de segurança.em seus funcionários. Também poderia explorar a eficácia de intervenções que possam aumentar a intenção de cumprir (incluindo recompensas para cumprimento, punições em caso de não conformidade). Um estudo longitudinal poderia ser conduzido para observar como as intenções evoluem para um comportamento de adesão ao longo do tempo.
74
REFERÊNCIAS
ALBRECHTSEN, Eirik. A qualitative study of users' view on information security. Computers & security, v. 26, n. 4, p. 276-289, 2007.
ANDERSON, C. L.; AGARWAL, R. Practicing safe computing: A multimethod empirical examination of home computer user security behavioral intentions. MIS Quarterly, v.34, n.3, p. 613–643, 2010.
ANDERSON, Ross; MOORE, Tyler. The economics of information security. Science, v. 314, n.5799, p.610-613, 2006.
ASSOCIAÇÃO BRASILEIRA DE E-BUSINESS. Adoção de BYOD nas empresas. 2013. Disponível em < http://www.ebusinessbrasil.com.br/pesquisa/>. Acesso em 17 de maio de 2014.
AYTES, Kregg; CONOLLY, Terry. A research model for investigating human behavior related to computer security. In: AMCIS – Americas Conferences on Information Systems. AMCIS 2003 Proceedings, 2003.
BASKERVILLE, Richard. Individual information systems as a research arena.
European Journal of Information Systems, v. 20, n.3, p. 251-254, 2011.
BERNNAT, Rainer; ACKER, Olaf; BIEBER, Nicolai; JOHNSON, Mark. Friendly Takeover The Consumerization of Corporate IT. Booz&Co, 2010.
BLANCK, Mery Rose de Mello. Modelo de resiliência tecnológica a partir do contexto de consumerização da TI. Dissertação (Mestrado em Administração), Universidade Federal do Rio Grande do Sul, Porto Alegre, 2013.
BULGURCU, Burcu; CAVUSOGLU, Hasan; BENBASAT, Izak. Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS quarterly, v. 34, n.3, p.523-548, 2010.
CALDWELL, T. Training – the weakest link Original Research Article. Computer Fraud & Security, n.9, p.8-14, 2012.
CHAKA, Chaka. Digitization and Consumerization of Identity, Culture, and Power among Gen Mobinets in South Africa. Handbook of Research on Technoself: Identity in a Technological Society. IGI Global, 2012.
CAMERON, Bobby; CULLEN, Alex; WORTHINGTON, Brandy. The Emerging Technology Trends That CIOs Should Care About. Forrester, 2008.
75
CISCO. Connected World Technology Report: encomendado pela Cisco e realizado pela Insight Express, uma empresa independente de pesquisa de mercado com sede nos EUA. Publicada em Dezembro de 2011. Disponível em: <
http://www.cisco.com/c/dam/en/us/solutions/enterprise/connected-world-technology- report/2011-CCWTR-Chapter-3-All-Finding.pdf >. Acesso em: 30 mar. 2013.
CROSSLER, R. E. Protection motivation theory: Understanding determinants to backing up personal data. In: HICSS - Hawaii International Conference on System Sciences, 47, Hawaii. Anais… Hawaii, 2010.
CROSSLER, R. E., A. C. JOHNSTON, P. B. LOWRY, Q. HU, M. WARKENTIN, AND R. BASKERVILLE. Future directions for behavioral information security research. Computers and Security, v.32, n.1, p. 90–101, 2013.
CROSSLER, Robert E. et al. Understanding compliance with bring your own device policies utilizing protection motivation theory: Bridging the intention-behavior gap. Journal of Information Systems, v.28, n.1, p.209-226, 2014.
DAMASCENO, Larissa. M. da S. Fatores que influenciam a predisposição dos usuários em aderir a uma política de segurança da informação. Dissertação (Mestrado em Administração), Universidade Federal do Rio Grande do Norte, Natal, 2014.
DANG-PHAM, Duy; PITTAYACHAWAN, Siddhi. Comparing intention to avoid malware across contexts in a BYOD-enabled Australian university: A Protection Motivation Theory approach. Computers & Security, v.48, p.281-297, 2015. D'ARCY, John; HOVAV, Anat; GALLETTA, Dennis. User awareness of security countermeasures and its impact on information systems misuse: a deterrence approach. Information Systems Research, v. 20, n. 1, p.79-98, 2009.
DE OLIVEIRA JUNIOR, Raul Simas. Avaliação da Aceitação de Sistemas Integrados de Gestão. In: EnADI – Encontro de Administração da Informação, 1, Florianópolis.
Anais do I EnADI, Florianópolis, 2007.
DERNBECHER, Sabine; BECK, Roman; WEBER, Sven. Switch to Your Own to Work with the Known: An Empirical Study on Consumerization of IT. 2013.
ESG (The Enterprise Strategy Group, 2012). Disponível em: < http://www.esg- global.com/research-reports/research-report-2012-it-spending-intentions-survey/> Acesso em: Acesso em 12 de abril de 2014.
FANG, Shifeng; XU, Lida; MEMBER, Senior; PEI, Huan; LIU, Yongqiang; LIU, Zhihui; ZHU, Yunqiang; YAN, Jianwu; ZHANG, Huifang. An integrated approach to snowmelt flood forecasting in water resource management. IEEE Transactions on
industrial informatics, v.10, n.1, p. 548-558, 2014.
FEITOR, Carlos David Cequeira; DA SILVA, Marcos Paulo. Perspectivas sobre a adoção de estratégias de byod em uma instituição de ensino superior. In: SEMEAD – Seminário em Administração, 16, São Paulo. Anais do XVI SEMEAD, São Paulo, 2013.
76
FLOYD, D. L.; PRENTICE-DUNN, S.; ROGERS, R. W. A meta-analysis of research on protection Motivation Theory. Journal of Applied Social Psychology, v.30, n.2, p.407-429, 2000.
FONTES, Edison. A difícil opção pela proteção da informação. 2005.
FREITAS, H.; OLIVEIRA, M.; SACCOL, A. Z.; MOSCAROLA, J. O método de pesquisa survey. Revista de Administração, São Paulo v.35. n.3, p.105-112, 2000.
FRÓIO, Leandro Ramalho. Um modelo faseado de gestão da segurança da
informação. Dissertação (Mestrado em Engenharia Elétrica), Universidade de Brasília,
Brasília, 2008.
GARTNER. Top Industries Predicts 2014: The Pressure for Fundamental Transformation Continues to Accelerate. 2013. Disponível em: <
https://www.gartner.com/doc/2602416/top-industries-predicts--pressure>. Acesso em: 02 jan. 2015.
GREITZER, F. L.; MOORE, A. P.; CAPPELLI, D. M.; ANDREWS, D. H.;
CARROLL, L. A.; HULL, T. D. Combating the insider cyber threat. IEEE - Security
& Privacy, v.6, n.1, p.61-64, 2008.
GUO, Jingzhi; XU, Da Li; XIAO, Guangy; GONG, Zhiguo. Improving multilingual semantic interoperation in cross-organizational enterprise systems through concept disambiguation. IEEE Transactions on industrial informatics, v. 8, n. 3, p. 647-658, 2012.
GYÖRY, A.; CLEVEN, A.; FALK, U.; BRENNER, W. Exploring the Shadows: It Governance Approaches to User-Driven Innovation. In: ECIS - European Conference on Information Systems, 20, Barcelona. ECIS 2012 Proceedings, Barcelona, 2012.
HAIR, Joseph F. et al. Análise multivariada de dados. Bookman, 2009.
HARRIS, M.; PATTEN, K.; REGAN, E.; FJERMESTAD, J. Mobile and Connected Device Security Considerations: A Dilemma for Small and Medium Enterprise Business Mobility? In: AMCIS – Americas Conference on Information Systems, Seattle.
AMCIS 2012 Proceedings, Seattle, 2012.
HARRIS, J.; IVES, B.; JUNGLAS, I. IT Consumerization: When Gadgets Turn Into Enterprise IT Tools. MIS Quarterly Executive, v.11, n.3, p.99-112, 2012.
HERATH, Tejaswini; RAO, H. Raghav. Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness. Decision
Support Systems, v.47, n.2, p.154-165, 2009.
HERATH, Tejaswini; RAO, H. Raghav. Protection motivation and deterrence: a framework for security policy compliance in organisations. European Journal of
77
HE, Debiao; WU, Shuhua. Security flaws in a smart card based authentication scheme for multi-server environment. Wireless Personal Communications, v. 70, n. 1, p. 323- 329, 2013.
HOLTSNIDER, Bill; JAFFE, Brian D. IT Manager's Handbook: Getting your new
job done. Elsevier, 2012.
IFINEDO, P. Understanding information systems security policy compliance: An integration of the theory of planned behavior and the protection motivation theory. Computers and Security, v.31, n.1, p.83–95, 2012.
INGALSBE, Jeffrey A.; SHOEMAKER, Daniel; MEAD, Nancy R. Threat Modeling the Cloud Computing, Mobile Device Toting, Consumerized Enterprise-an overview of considerations. In: AMCIS – Americas Conference on Information Systems, Detroit.
AMCIS 2011 Proceedings, Detroit, 2011.
JOHNSON, Kevin; FILKINS, Barbara L. SANS Mobility/BYOD Security
Survey. SANS Institute Whitepaper. http://www. sans. org/reading_roomlanalysts
rogramJmobilit y-sec-survey. pdf, 2012.
JOHNSTON, A. C., AND M. WARKENTIN. Fear appeals and information security behaviors: An empirical study. MIS Quarterly, v.34, n. 3, p.548–566, 2010.
LEBEK, Benedikt; DEGIRMENCI, Kenan; BREITNER, Michael H. Investigating the Influence of Security, Privacy, and Legal Concerns on Employees' Intention to Use BYOD Mobile Devices. In: AMCIS – Americas Conference on Information Systems, Chicago. AMCIS 2013 Proceedings, 2013.
LEE, Jintae; LEE, Younghwa. A holistic model of computer abuse within
organizations. Information management & computer security, v. 10, n. 2, p. 57-63, 2002.
LIANG, H., AND Y. XUE. Understanding security behaviors in personal computer usage: A threat avoidance perspective. Journal of the Association for Information Systems, v.11, n.7, p. 394–413, 2010.
LOOKOUT, I. Mobile Threat Report August. 2011. Disponível em: <
http://www.juniper.net/us/en/local/pdf/additional-resources/jnpr-2011-mobile-threats- report.pdf>. Acesso em: 02 jan. 2015.
LOOSE, Michael; WEEGER, Andy; GEWALD, Heiko. BYOD–The Next Big Thing in Recruiting? Examining the Determinants of BYOD Service Adoption Behavior from the Perspective of Future Employees. In: AMCIS – Americas Conference on
Information Systems, 19, Chicago. AMCIS Proceedings, 2013.
LOVE, Jim. The Consumerization of IT: Predictions, Wishes, and Dart-Throwing. Business Technology & Digital Transformation Strategies, 2012.
78
MARCONI, Marina de Andrade; LAKATOS, Eva Maria. Metodologia do Trabalho Científico. 6.ed. São Paulo: Atlas, 2011.
MARKELJ, Blaž; BERNIK, Igor. Mobile devices and corporate data security.
International Journal of Education and Information Technologies, v. 6, n. 1, p. 97-
104, 2012.
MAROCO, João. Análise estatística: com utilização do SPSS. 2007.
MATTORD, Herbert J.; WHITMAN, Michael E. Planning, building and operating the information security and assurance laboratory. In: ACM, 1, New York. Proceedings of
the 1st annual conference on Information security curriculum development, New
York, 2004.
MENEGHETTI, A. Challenges and benefits in a mobile medical world: Institutions should create a set of BYOD guidelines that foster mobile device usage. Health
management technology, v. 34, n. 2, p. 6-7, 2013.
MORROW, Bill. BYOD security challenges: control and protect your most sensitive data. Network Security, v. 2012, n. 12, p. 5-8, 2012.
MOSCHELLA, D.; NEAL, D.; OPPERMAN, P.; TAYLOR, J. The ‘consumerization’of information technology. In:Leading Edge Forum. 2004.
NIEHAVES, B.; KÖFFER, S.; ORTBACH, K. Towards an IT consumerization theory– a theory and practice review. Working chapters. European Research Center for
Information Systems, n. 13, 2012.
NIEHAVES, Björn; KÖFFER, Sebastian; ORTBACH, Kevin. The Effect of Private IT Use on Work Performance-Towards an IT Consumerization Theory.
In: Wirtschaftsinformatik. Wirtschaftsinformatik Proceedings, 2013. ORTBACH, Kevin; BODE, Martin; NIEHAVES, Björn. What Influences
Technological Individualization?–An Analysis of Antecedents to IT Consumerization Behavior. In: AMCIS – Americas Conference on Information Systems, 19 Chicago.
Proceedings of the Nineteenh Americas Conference on Information Systems,
Chicago, 2013.
POSEY, C.; ROBERTS, T.; LOWRY, P. B.; COURTNEY, J.; BENNET, B. Motivating the insider to protect organizational information assets: evidence from protection
motivation theory and rival explanations. In: The Dewald Roode Workshop in Information Systems Security. Proceedings of The Dewald Roode Workshop in
Information Systems Security, 2011.
POTTS, Mike. The state of information security. Network Security, v. 2012, n. 7, p. 9- 11, 2012.
PUTRI, F. F.; HOVAV, A. Employees´ compliance with byod security policy: insights from reactance, organizational justice, and protection motivation theory. In: European Conference on Information Systems. ECIS Proceedings, 2014.
79
RIGON, Evandro Alencar; WESTPHALL, Carla Merkle. Modelo de avaliação da maturidade da segurança da informação. Revista Eletrônica de Sistemas de
Informação, v. 12, n. 1, 2013.
RIPPETOE, Patricia A.; ROGERS, Ronald W. Effects of components of protection- motivation theory on adaptive and maladaptive coping with a health threat. Journal of
personality and social psychology, v. 52, n. 3, p. 596, 1987.
ROGERS, Ronald W. A protection motivation theory of fear appeals and attitude change1. The journal of psychology, v. 91, n. 1, p. 93-114, 1975.
SAMARAS, Vasileios. A BYOD Enterprise Security Architecture for accessing
SaaS cloud services. Master Thesis (Management of Technology). TU Delft, Delft
University of Technology, 2013.
SCHALOW, P. R.; WINKLER, T. J.; REPSCHLAEGER, J.; ZARNEKOW, R. The Blurring Boundaries Of Work-Related And Personal Media Use: A Grounded Theory Study On The Employee's Perspective. In: ECIS – European Conference on Information Systems. ECIS Proceedings, 2013.
SEMER, Lance. Auditing the BYOD program. Internal Auditor, v. 70, n. 1, p. 23-27, 2013.
SEN, Palash Kanti. Consumerization of Information Technology: Drivers, Benefits
and Challenges for New Zealand Corporates. Master Thesis (Information
Management), University of Wellington, Wellington, 2012.
SILVA, Sidney Roberto Feliciano da; MAÇADA, Antônio Carlos Gastaud.
Consumerização de TI e seus Efeitos no Desempenho e na Governança de TI. Revista
de Administração e Negócios da Amazônia, v. 4, n. 3, p. 254-269, 2013.
SIPONEN, Mikko T. A conceptual foundation for organizational information security awareness. Information Management & Computer Security, v. 8, n. 1, p. 31-41, 2000.
SIPONEN, Mikko; VANCE, Anthony. Neutralization: new insights into the problem of employee information systems security policy violations. MIS quarterly, v. 34, n. 3, p. 487, 2010.
STANTON, Jeffrey M. et al. Analysis of end user security behaviors. Computers &
Security, v. 24, n. 2, p. 124-133, 2005.
STRAUB JR, Detmar W. Effective IS security: An empirical study.Information
Systems Research, v. 1, n. 3, p. 255-276, 1990.
STRAUB, Detmar W.; WELKE, Richard J. Coping with systems risk: security planning models for management decision making. Mis Quarterly, p. 441-469, 1998.
80
THOMSON, Mark E.; VON SOLMS, Rossouw. Information security awareness: educating your users effectively. Information management & computer security, v. 6, n. 4, p. 167-173, 1998.
VANCE, Anthony; SIPONEN, Mikko; PAHNILA, Seppo. Motivating IS security compliance: insights from habit and protection motivation theory. Information &
Management, v. 49, n. 3, p. 190-198, 2012.
VERAS, Manoel. Virtualização: componente central do datacenter. Rio de Janeiro: Abreu’s System Ltda, 2011.
VERAS, Manoel; TOZER, ROBERT. Cloud Computing: nova arquitetura da TI. Brasport, 2012.
VICTORIA, STANCIU; FLORIN, B. R. A. N. Emerging It Technologies-Advantages And Risks. Revista Econômica, n. 5, p. 181-188, 2012.
VON SOLMS, Rossouw; VON SOLMS, Basie. From policies to culture. Computers &
security, v. 23, n. 4, p. 275-279, 2004.
VROOM, Cheryl; VON SOLMS, Rossouw. Towards information security behavioural compliance. Computers & Security, v. 23, n. 3, p. 191-198, 2004.
WALTERS, Richard. Bringing IT out of the shadows. Network Security, v. 2013, n. 4, p. 5-11, 2013.
WARKENTIN, Merrill; WILLISON, Robert. Behavioral and policy issues in information systems security: the insider threat. European Journal of Information
Systems, v. 18, n.2, p. 101-105, 2009.
WEIß, Dipl Wirtsch-Inf Frank; LEIMEISTER, Jan Marco. Consumerization. Business
& Information Systems Engineering, v. 4, n. 6, p. 363-366, 2012.
WOON, Irene; TAN, Gek-Woo; LOW, R. A protection motivation theory approach to home wireless security. In: ICIS – International Conference on Information Systems. ICIS 2005 Proceedings, 2005.
WEEGER, Andy; GEWALD, Heiko. Factors influencing future employees´ decision- making to participate in a byod program: does risk matter? In: ECIS – European Conference on Information Systems. ECIS Proceedings, 2014.
81
APÊNDICE A
Caro(a) Participante,
Convidamos você a responder esse questionário, que será utilizado como instrumento de pesquisa para uma Dissertação de Mestrado do Programa de Pós-Graduação em Administração da Universidade Federal do Rio Grande do Norte.
A pesquisa em questão tem como objetivo analisar a intenção dos funcionários em cumprir com a política de segurança do sistema de informação da Organização (ISSP), quando os funcionários utilizam seus dispositivos pessoais para acessar recursos organizacionais para realizarem seu trabalho.
Para preencher o questionário, você precisará de aproximadamente 5 minutos. Reforçamos que suas respostas obedecerão ao requisito da confidencialidade e anonimato. A pesquisadora assegura respeito aos princípios éticos, sem riscos ou prejuízo para os participantes.
Sua participação é voluntária. Colocamo-nos à disposição para eventuais dúvidas e agradecemos a sua atenção e contribuição!
Geórgia Cristiane Rodrigues
Mestranda em Administração georgia@reitoria.ufrn.br
Prof. Dr. Manoel Veras de Sousa Neto
Orientador
ESCLARECIMENTOS
Bring Your Own Device (BYOD) em tradução livre: Traga seu
próprio dispositivo, é um fenômeno novo em que os funcionários utilizam seus dispositivos móveis pessoais (smartphones, tablets) no escritório, para fins de trabalho. A Segurança da Informação O procedimento de segurança da informação existe para permitir que a organização utilize de maneira confiável os recursos que suportam as informações necessárias para as suas atividades estratégicas, táticas e operacionais. Política de Segurança da
Informação, consiste em uma série de normas internas
padronizadas pela empresa, que devem ser seguidas com o máximo de rigor, para que todas as possíveis ameaças sejam combatidas ou minimizadas pela equipe de segurança. Essa política serve para proteger os sistemas e recursos de TI das organizações.
82 PRIMEIRA PARTE: Predisposição em seguir uma Política de Segurança envolvendo BYOD
Gostaríamos que você se posicionasse quanto ao grau de concordância com a predisposição de seguir uma
Política de Segurança da Informação envolvendo BYOD.
Ao responder cada item, use os números das escalas para indicar até que ponto você concorda ou discorda de cada afirmativa.