O presente estudo baseia-se nas teorias que buscam compreender os fatores que antecedem a quebra da segurança da informação (D’ARCY, HERATH, SHOSS, 2014), sendo que o modelo teórico utilizado tem foco nos aspectos relacionados ao Desengajamento Moral (BANDURA, 2002), representado por 3 dimensões (Distorção das Consequências, Eufemismo e Justificativa Moral) e a Habilidade Tecnológica (YE, 2018).
Este estudo permite ao gestor identificar as possíveis causas de violação de Políticas de Segurança da Informação, cujas consequências podem comprometer seriamente a imagem da instituição, proporcionar o conhecimento da concorrência sobre seus segredos industriais e comerciais, sofrer impactos financeiros devido ao compartilhamento de informações sigilosas, entre outras consequências. Estudos similares evidenciam que o treinamento contínuo dos funcionários em relação a importância deles se aderirem a política da segurança da informação deve ser inserido no perfil de comportamento ético esperado no exercício de suas atribuições profissionais.
As abordagens teóricas foram integradas neste estudo em um único modelo conceitual, em que se buscou analisar estatisticamente a relação entre todos os constructos. A análise proporcionou a formulação de duas hipóteses que foram testadas a partir de uma amostra de 255 respondentes e que possuíam o perfil desejado para esta pesquisa (mais de 1 ano de experiência na função exercida e uso de tecnologias da informação e comunicação nesta função).
De acordo com os resultados desta pesquisa, foram confirmadas que duas dimensões de uma das hipóteses, a Justificativa Moral e o Eufemismo, ambas integrantes do Desengajamento Moral, possuem uma relação positiva na intenção de violar a política de segurança da informação.
A observância dos dados apurados neste estudo mostra que a dimensão Justificativa Moral é a que mais influencia positivamente na intenção de se violar as políticas de segurança da informação. Trata-se de uma constatação interessante, pois, parece ser razoável que o “senso comum” explora diversos exemplos em que a reconstrução cognitiva de um ato culpável em relação as normas e procedimentos corporativos possa se tornar algo normal, aceitável e
passível de complacência por outros colaboradores criando a empatia necessária para reduzir o sentimento de culpa pelas consequências desses atos.
Para os gestores, esta constatação é importante no sentido em que a gestão deve evitar o surgimento de um ambiente propício a prática de Justificativa Moral, e demanda um desafio contínuo nas organizações no planejamento de ações capazes de mitigar os riscos relacionados a este fenômeno.
Entre as ações deve-se destacar a ênfase na importância de um ambiente ético, fortalecido por programas de treinamento e workshops voltados para uma conscientização acerca das consequências negativas que estas ações possam causar às organizações.
A dimensão Eufemismo, também considerada como fator de gatilho para adoção de práticas de violação, também foi apontada neste estudo como sendo um fator significante, porém com peso menor do que aquele observado na Justifica Moral. Neste caso específico, o estudo sugere que seria mais fácil justificar uma ação ruim em aceitável do que adequar o vocabulário, o discurso de ações ilícitas para mascarar ou, tornar mais agradável ou respeitável esta ação.
Uma forma de se evitar que esta dimensão possa causar danos a organização seria um acompanhamento contínuo no comportamento dos colaboradores, checando se praticam o eufemismo em outras situações e obter os registros sistêmicos do que os colaboradores fazem para comparar o discurso com a prática. A fim de se evitar essa prática, os gestores devem implementar controles, de forma a obter registros de operação dos sistemas e analisá-los a fim de se detectar padrões anómalos, indicando uma provável violação de política de Segurança da Informação.
Não foi constatada uma relação entre a dimensão Distorção das Consequências como um fator determinante na quebra de políticas de Segurança da Informação. Conforme visto, esta dimensão se caracteriza por itens relacionados ao uso indevido de senhas e suas consequências para a organização. Uma possível explicação é a de que os itens relacionados a esta dimensão são irrelevantes para o perfil dos pesquisados e, por tanto, não possuem a mesma significância dos itens relacionados ao Desengajamento Moral.
O presente estudo também indica que não foi comprovada a hipótese de que a Habilidade Tecnológica influenciaria negativamente a ocorrência de violações da política de segurança da informação, pois esta dimensão foi sobreposta pelos fatores vistos de Desengajamento Moral. Entretanto, o valor apontado para este fator possui um sinal negativo, o que poderia indicar a tendência de que esta hipótese poderia ser corroborada em pesquisas futuras que pudessem analisar este fenômeno em particular.
Esta informação tem uma importância relevante para organização pois, ao contratar pessoas com maior conhecimento tecnológico, potencialmente, poderiam ser evitadas a ocorrência de violações na política de segurança, já que pessoas com essa qualificação têm condições de colaborar até mesmo na adequação das políticas e na observação de colegas no uso das tecnologias da informação e comunicação.
A busca pelos motivadores na intenção de mau uso de Sistemas de Informação, ou de violação de políticas de segurança atende a uma proposta de pesquisa futura a partir de fatos como cultura de segurança, clima ético e compromisso da alta gerência com a segurança sugerida por D’Arcy (2009).
Este estudo também busca ampliar o portfólio de pesquisas futuras para uso do modelo de Bandura (2002) em que o autor foca a utilização de sua escala para compreender o desengajamento moral em aspectos relacionados a atividades criminosas, uso de força excessiva, pena de morte, abuso infantil e apoio às desigualdades que empobrecem e desmoralizar os membros menos favorecidos de sociedades afluentes.
Entre as limitações desta pesquisa está o fato de que ela diz respeito a uma região específica do país e, portanto, não possui abrangência nacional. Pesquisas futuras poderão coletar dados de outras regiões a fim de se verificar se estes resultados poderiam ser observados em uma amostra mais diversificada. para uma análise mais abrangente.
Outra limitação desta pesquisa está no fato de que ela não foi dirigida a profissionais de TI, mas sim a colaboradores de uma forma geral. Talvez a segmentação nesse perfil pudesse explorar outros resultados.
Já a escala da dimensão Habilidade Tecnológica buscou medir apenas a percepção da habilidade dos colaboradores e não a habilidade propriamente dita. Com isso, outras pesquisas podem ser realizadas no sentido de se verificar esta relação específica com uma medida objetiva que possa aferir a habilidade.
Pesquisas futuras também podem mensurar a percepção dos colaboradores em relação as contramedidas adotas por organizações no sentido se evitar as ilicitudes relacionadas ao uso de tecnologias da informação e comunicação.
REFERÊNCIAS
AIIM. The Next Wave: Moving from ECM to Intelligent Information Management. Disponível em: < https://cdn2.hubspot.net/hubfs/332414/AIIM_Blog/Intel-info-Next-Wave- 2017-updated.pdf> Acesso em: 16 de jan de 2019.
ALLEYNE, Emma; FERNANDES, Isabel; PRITCHARD, Elizabeth. Denying humanness to victims: How gang members justify violent behavior. Group Processes & Intergroup Relations, v. 17, n. 6, p. 750-762, 2014.
ANDERSON, R. Why information security is hard - an economic perspective. Seventeenth Annual Computer Security Applications Conference, [s.l.], p.358-365, 2001. IEEE Comput. Soc. http://dx.doi.org/10.1109/acsac.2001.991552.
ARMA. Generally Accepted Recordkeeping Principles® ©2017 ARMA International. Disponível em: <www.arma.org/principles> Acesso em: 20 de jan de 2019.
ASSOCIACAO BRASILEIRA DE NORMAS TECNICAS. Tecnologia da informação – Técnicas de Segurança – Código de prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013 (27002)
BANDURA, Albert et al. Mechanisms of moral disengagement in the exercise of moral agency. Journal of personality and social psychology, v. 71, n. 2, p. 364, 1996.
BANDURA, Albert. Selective activation and disengagement of moral control. Journal of Social Issues, v. 46, n. 1, p. 27-46, 1990.
BANDURA, Albert. Selective moral disengagement in the exercise of moral agency. Journal of moral education, v. 31, n. 2, p. 101-119, 2002.
BELL, Daniel. The Coming of the Post-Industrial Society. The Educational Forum, v. 40, n. 4, p. 574–579, 1976.
BERRY, Michael JA; LINOFF, Gordon S. Data mining techniques: for marketing, sales, and customer relationship management. John Wiley & Sons, 2004.
BRIN, Sergey; PAGE, Lawrence. The anatomy of a large-scale hypertextual web search engine. Computer networks and ISDN systems, v. 30, n. 1-7, p. 107-117, 1998.
BERNSTEIN, Ira H.; NUNNALLY, Jum C. Psychometric theory. New York: McGraw-Hill. Oliva, TA, Oliver, RL, & MacMillan, IC (1992). A catastrophe model for developing service satisfaction strategies. Journal of Marketing, v. 56, p. 83-95, 1994.
BROWN, Cecelia; MURPHY, Teri J.; NANNY, Mark. Turning techno-savvy into info- savvy: Authentically integrating information literacy into the college curriculum. The Journal of Academic Librarianship, v. 29, n. 6, p. 386-398, 2003.
CAPURRO, Rafael; HJORLAND, Birger. O conceito de informação. Perspectivas em Ciência da Informação, v. 12, n. 1, p. 148–207, 2007.
CASTELLS, Manuel. A era da informação: economia, sociedade e cultura. A sociedade em rede. v. 1, São Paulo, SP: Paz e Terra, 2011.
CGOC. Information Lifecycle Governance Leader Reference Guide. A Model for Improving Information and eDiscovery Economics with Information Lifecycle Governance. Compliance, Governance & Oversight Council, 2014. Disponível em: <https://www.cgoc.com/resources/3/?reduced=1&_=1517702400049>. Acesso em: 17 de jan de 2019.
CHURCHHOUSE, Robert. Codes and ciphers. Julius Caesar, the Enigma and the internet. Cambridge, UK: Cambridge University Press, 2004
CLARK, David D.; WILSON, David R. A Comparison of Commercial and Military Computer Security Policies. 1987 IEEE Symposium On Security And Privacy, [s.l.], p.184-184, abr. 1987. IEEE. http://dx.doi.org/10.1109/sp.1987.10001.
CLARK, Delwyn N.; DOUGLAS, Heather. Information and communication technology adoption and diffusion in micro-enterprises: the case of techno-savvy home-based businesses. International Journal of Entrepreneurship and Small Business, v. 14, n. 3, p. 349-368, 2011.
COHEN, J. Statistical power analysis for the behaviors science. (2nd). New Jersey: Laurence Erlbaum Associates, Publishers, Hillsdale, 1988.
Comissão Europeia. Regulamento Geral de Proteção de Dados da União Européia (General Data Protectio Regulation ou GDPR). Disponível em:< https://eur-
lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016R0679> Acesso em: 18 de mar de 2019.
DALFOVO, Michael Samir; LANA, Rogério Adilson; SILVEIRA, Amélia. Métodos
quantitativos e qualitativos: um resgate teórico. Revista interdisciplinar científica aplicada, v. 2, n. 3, p. 1-13, 2008.
D'ARCY, John; HOVAV, Anat; GALLETTA, Dennis. User awareness of security countermeasures and its impact on information systems misuse: A deterrence approach. Information Systems Research, v. 20, n. 1, p. 79-98, 2009.
D'ARCY, John; HERATH, Tejaswini; SHOSS, Mindy K. Understanding employee responses to stressful information security requirements: A coping perspective. Journal of
Management Information Systems, v. 31, n. 2, p. 285-318, 2014.
DAVENPORT, Thomas H. Ecologia da Informação. São Paulo:Futura, 1998.
DAY, Ronald E. The modern invention of information: discourse, history, and power. Carbondale-EUA: Southern Illinois University Press, 2001.
DETERT, James R.; TREVIÑO, Linda Klebe; SWEITZER, Vicki L. Moral disengagement in ethical decision making: a study of antecedents and outcomes. Journal of Applied
DICTIONARY.COM. [S.l.: s.n.], Information. Disponível em:
<https://www.dictionary.com/browse/information>. Acesso em: 21 de dez de 2018. DIEESE. Movimentação no Mercado de Trabalho: Rotatividade, Intermediação e Proteção ao Emprego. Disponível em:
<https://www.dieese.org.br/livro/2017/rotatividade.pdf>. Acesso em: 22 de mai de 2019. DOS SANTOS, Flávio Marcelo Risuenho; DE SOUSA, Richard Perassi Luiz. O
conhecimento no campo de Engenharia e Gestão do Conhecimento. Perspectivas em Ciência da Informação, v. 15, n. 1, p. 259-281, 2010.
EDRM. EDRM Model. Disponível em: <https://www.edrm.net/frameworks-and- standards/edrm-model/> Acesso em: 09 de jan de 2019.
EFRON, Bradley; TIBSHIRANI, Robert J. An Introduction to the Bootstrap (Chapman& Hall, CRC). 1998.
FAUL, Franz et al. Statistical power analyses using G* Power 3.1: Tests for correlation and regression analyses. Behavior research methods, v. 41, n. 4, p. 1149-1160, 2009.
FAUL, Franz et al. G* Power 3: A flexible statistical power analysis program for the social, behavioral, and biomedical sciences. Behavior research methods, v. 39, n. 2, p. 175-191, 2007.
FICO, Carlos. Versões e controvérsias sobre 1964 e a ditadura militar. Revista Brasileira de História, v. 24, n. 47, p. 29–60, 2004.
FORNELL, Claes; LARCKER, David F. Evaluating structural equation models with
unobservable variables and measurement error. Journal of marketing research, v. 18, n. 1, p. 39-50, 1981.
HAIR JR, Joseph F. et al. A primer on partial least squares structural equation modeling (PLS-SEM). Sage publications, 2017.
HAIR, Joe F.; RINGLE, Christian M.; SARSTEDT, Marko. PLS-SEM: Indeed a silver bullet. Journal of Marketing theory and Practice, v. 19, n. 2, p. 139-152, 2011. GARFINKEL, Simson; SPAFFORD, Gene; SCHWARTZ, Alan. Practical UNIX and Internet security. "O'Reilly Media, Inc.", 2003.
GIANDOMENICO, Nena; GROOT, Juliana. Insider vs. Outsider Data Security Threats: What’s the Greater Risck? 2018. Disponível em: https://digitalguardian.com/blog/insider- outsider-data-security-threats. Acesso em: 12 de nov de 2018.
GUO, Ken H.; YUAN, Yufei. The effects of multilevel sanctions on information security violations: A mediating model. Information & Management, v. 49, n. 6, p. 320-326, 2012.
HENDERSON, James R.; RUIKAR, Kirti. Technology implementation strategies for
construction organisations. Engineering, Construction and Architectural Management, v. 17, n. 3, p. 309-327, 2010.
HERATH, Tejaswini; RAO, H Raghav. Protection motivation and deterrence: a framework for security policy compliance in organisations. European Journal Of Information Systems, [s.l.], v. 18, n. 2, p.106-125, abr. 2009. Informa UK Limited.
http://dx.doi.org/10.1057/ejis.2009.6.
HORNE, Nigel W. Information as an Asset - The Board Agenda. Computer Audit Update, v. 1995, n. 9, p. 5-11, 1995.
HOUAISS [S.l.: s.n.], Informação. Disponível em:
<https://houaiss.uol.com.br/pub/apps/www/v3-3/html/index.php#2>. Acesso em: 21 de dez de 2018.
IBGE. Pesquisa Mensal de Emprego. Disponível em:
<https://ww2.ibge.gov.br/home/estatistica/indicadores/trabalhoerendimento/pme_nova/default tab_hist.shtm>. Acesso em: 22 de mai de 2019.
IBM. The IBM Data Governance Council Maturity Model: Building a roadmap for effective data governance. Disponível em: <https://www-
935.ibm.com/services/uk/cio/pdf/leverage_wp_data_gov_council_maturity_model.pdf>. Acesso em: 16 de jan de 2019
IBM. Cost of a Data Breach 2018. Disponível em: <https://www.ibm.com/security/data- breach>. Acesso em: 18 de mar de 2019
INC. Disponível em: <https://www.inc.com/business-insider/amazon-google-most-valuable- brands-brand-finance-2018.html> Acesso em: 20 de jan de 2019
JONES, Thomas M. Ethical decision making by individuals in organizations An issue- contingent model. Academy of management review, v. 16, n. 2, p. 366-395, 1991.
KOHLBERG, Lawrence; HERSH, Richard H. Moral development: A review of the theory. Theory into practice, v. 16, n. 2, p. 53-59, 1977.
KOOIMAN, Jan. Governing as governance. Sage, 2003.
KOOPER, Michiel; MAES, Rik; LINDGREEN, Edo Roos. Information governance: in search of the forgotten grail. University of Amsterdam, 2009.
KORINEK, Anton; STIGLITZ, Joseph E. Artificial intelligence and its implications for income distribution and unemployment. National Bureau of Economic Research, 2017. KRISTOF, Amy L. Person‐ organization fit: An integrative review of its conceptualizations, measurement, and implications. Personnel psychology, v. 49, n. 1, p. 1-49, 1996.
LAUREANO, Marcos A.; MORAES, Paulo E. S. Segurança como estratégia de gestão da informação. Revista Economia & Tecnologia, v. 8, n. 3, p. 38-44, 2005.
LEÓN, Daniela Andrea Droguett. Análise fatorial confirmatória através dos softwares R e Mplus. 2011.
LIPNACK, Jessica; STAMPS, Jeffrey. Virtual teams: The new way to work. Strategy & Leadership, v. 27, n. 1, p. 14-19, 1999.
LOGAN, Debra. What is information governance? And why is it so hard? Disponível em: <http://blogs.gartner.com/debra_logan/2010/01/11/what-is-information-governance-and-why- is-it-so-hard/>. Acesso em: 20 de jan de 2019
MACROTENDS. Disponível em: <https://www.macrotrends.net/2528/dow-jones-vs- NASDAQ-chart>. Acesso em: 20 de jan de 2019
MANÃS, Antonio V, GIORDANO, Carlos V. Aplicativos Comerciais - Suporte a Sistemas e Usuários. Ed. Érica/Saraiva.SP. 2014
MARNBURG, Einar. The questionable use of moral development theory in studies of
business ethics: Discussion and empirical findings. Journal of Business Ethics, v. 32, n. 4, p. 275-283, 2001.
MONSEN, Elaine R. Techno-savvy dietetics professionals are setting the pace. Journal of the Academy of Nutrition and Dietetics, v. 99, n. 11, p. 1346, 1999.
MORESI, Eduardo. A. D. Delineando o valor do sistema de informação de uma organização. Ciência da Informação, Brasília, v. 29, n. 1, p. 14–24, 2000.
NIMMER, Raymond T.; KRAUTHAUS, Patricia. A. Information as a commodity: new imperatives of commercial law. Law and Contemporary Problems, v. 55, n. 3, p.103-130, 1992.
O’FALLON, Michael J.; BUTTERFIELD, Kenneth D. A review of the empirical ethical decision-making literature: 1996–2003. Journal of business ethics, v. 59, n. 4, p. 375-413, 2005.
OPPENHEIM, Charles; STENSON, Joan; WILSON, Richard MS. Studies on information as an asset I: definitions. Journal of Information Science, v. 29, n. 3, p. 159-166, 2003. PAHNILA, S.; SIPONEN, M.; MAHMOOD, A. Employees’ Behavior towards IS Secur ity Policy Compliance University of Oulu, Department of Information Processing Department of Information and Decision Sciences, University of Texas at El Paso. Proceedings of the 40th Hawaii International Conference on System Sciences, p. 1–10, 2007.
PAULK, Mark. Capability maturity model for software. Encyclopedia of Software Engineering, 2002.
PETERS, John D. Information: Notes Toward a Critical History. Journal of Communication Inquiry, v. 12, n. 2, p. 9–23, 21 jul. 1988.
RINGLE, Christian M.; WENDE, Sven; BECKER, Jan-Michael. SmartPLS 3. Boenningstedt: SmartPLS GmbH. 2015.
SACRAMENTO, António. J. C. A. Uma reflexão sobre a segurança nas comunicações. Revista Militar, 2006. Disponível em: <https://www.revistamilitar.pt/artigo/60>. Acesso em: 24 de out de 2018.
SÊMOLA, Marcos. Gestão da segurança da informação. Elsevier Brasil, 2014.
SHANNON, Claude E. A Mathematical Theory of Communication. Bell System Technical Journal, v. 27, n. 4, p. 623–656, 1948.
SILVEIRA, Nalin Ferreira. Evolução das bibliotecas universitárias: information commons. Revista ACB: Biblioteconomia em Santa Catarina, Florianópolis, v. 19, n. 1, p. 69-76, 2014.
SIPONEN; VANCE. Neutralization: New Insights into the Problem of Employee Information Systems Security Policy Violations. MIS Quarterly, v. 34, n. 3, p. 487, 2017.
SOLMS, B. VON. Information Security – The Fourth Wave. Computers & Security, v. 25, n. 3, p. 165–168, maio 2006.
SOLOVE, Daniel J. The future of reputation: Gossip, rumor, and privacy on the Internet. Yale University Press, 2007.
STALLINGS, William et al. Computer security: principles and practice. Upper Saddle River NJ: Pearson Education, 2012.
TAKEUCHI, Hirotaka.; NONAKA, Ikujiro. Gestão do conhecimento. Porto Alegre - RS: Bookman, 2008.
TREVINO, Linda Klebe. Ethical decision making in organizations A person situation interactionist model. Academy of management Review, v. 11, n. 3, p. 601-617, 1986. TREVINO, Linda Klebe; NELSON, Katherine A. Managing business ethics: Straight talk about how to do it right. John Wiley & Sons, 2011.
TZAFESTAS, Spyros G. Energy, Information, Feedback, Adaptation, and Self- organization - The Fundamental Elements of Life and Society. Cham-Suiça: Springer, 2018.
UNIT. The future of enterprise information governance. The economist intelligence unit, 2008.
VANDAGRIFF, David P. Survival of the Techno-Savvy-Electronic Communication for Lawyers Will Be Vital in a Computerized Future. ABAJ, v. 81, p. 84, 1995.
WHITMAN, Michael E.; MATTORD, Herbert J. Principles of information security. Cengage Learning, 2014.
WIENER, Norbert. Cybernetics: or Control and Communication in the Animal and the Machine. 4. ed. Cambridge, MA: MIT Press, 1985.
YE, Qian. Extending research on technostress: exploring the moderating effects of techno- savvy and the proactive personality on the relationship between technostress and job satisfaction and stress. 2018.
YOUNG, William; LEVESON, Nancy G. An integrated approach to safety and security based on systems theory. Commun. ACM, v. 57, n. 2, p. 31-35, 2014.