Apesar disso, Malcolmson, Jo [86] defende que a «Cultura tem interesse num contexto de
segurança se se provar que a mesma tem impacto nos resultados da segurança».
Assim, Okere, Irene et al. [87] indicam que a «Ameaça interna está no top das questões de
segurança da informação nas organizações, sendo o factor humano considerado o elo mais fraco da cadeia de segurança». Continuam mencionando que «para endereçarem este ‘factor humano’ pesquisas têm sugerido a promoção de uma cultura de segurança da informação para encaminhar/dirigir o comportamento humano para que a segurança da informação se torne numa segunda natureza para os funcionários».
Todavia, Malcolmson, Jo [88] defende que «Cultura de segurança é indicada nos pressupostos,
valores, atitudes e crenças, detidas por membros de uma organização, e os comportamentos que eles executam, o que pode ter potencialmente impacto sobre a segurança da organização, podendo ou não ser conhecido, de forma explícita, o vínculo a esse impacto».
No Modelo de Negócio para a Segurança da Informação (BMIS) o ISACA adopta, de Kiely, L. et al. [89] o seguinte conceito: «Cultura é um padrão de comportamentos, crenças, suposições,
atitudes e maneiras de fazer as coisas». Refere, ainda, que: «A palavra ‘padrão’ é chave nesta definição. Culturas são feitas de indivíduos, mas não representam necessariamente comportamentos individuais. É a cultura que influencia comportamentos individuais e de grupo. Na utilização do BMIS existem duas camadas de cultura a serem consideradas: a organizacional – que é formada ao longo do tempo pela concepção, estratégia organizacional e comportamento das pessoas no trabalho, e a segunda camada encontrada em pessoas de
cultura individual que pode ser diferente e heterogénea. Desta forma, ambas as camadas devem ser tidas em conta quando considerada a perspectiva de visualização da interconexão dinâmica (DI)-‘Cultura’ pois, esta, influencia a segurança». A figura (Figura 3.9) representa o modelo
BMIS, tendo em conta o enfoque no elemento – “Pessoas” (Recursos Humanos).
Figura 3.9- Modelo BMIS / Elemento ‘Pessoas’: representa os recursos humanos numa organização – funcionários, empreiteiros, fornecedores e prestadores de serviços. ISACA [90].
No âmbito da revisão bibliográfica efectuada verifica-se que a comunidade científica tem vindo a apontar a importância da cultura da segurança da informação como um pilar vital na implementação da segurança da informação nas organizações. Os estudos e pesquisas efectuados têm revelado que um dos elos mais fraco na cadeia da segurança numa organização é o “Factor Humano”. Neste caso, tem sido demonstrado que a promoção de uma cultura de segurança da informação, integrada na cultura organizacional, é considerada uma ferramenta fundamental para a mitigação (minimização) do risco provocado por aquele factor.
Assim, o tema “cultura de segurança da informação” tem vindo a ser alvo de maior atenção da parte daquela comunidade e das organizações em geral, devido ao impacto que o “factor humano”, tem manifestado ter nas questões de segurança, em geral e da informação, em particular.
Deste modo, Tashi, Igli et al. [91] propõem e descrevem um modelo para «holisticamente
avaliar a postura da segurança da informação. O modelo é inspirado em alguns bem- conhecidos standards de segurança. A ideia foi mapear os standards de segurança da engenharia com os modelos de não-engenharia de avaliação da função de Segurança da Informação, em ordem a formalizar o caminho para a avaliação da Segurança da Informação. O modelo permite o programa de Segurança da Informação através de preencher os requisitos
de segurança tendo em conta duas principais características: Eficácia que significa que o sistema sob avaliação está a fazer a coisa certa e Eficiência que significa que o sistema sob avaliação está a fazer bem as coisas».
Porém, Helokunnas, Tuija et al. [92] tendo por base os estudos realizados por Siponen, sobre a conscientização da segurança da informação, defende a “cultura da segurança da informação” «como um sistema que consiste na interacção de estrutura e categorias de componentes de
conteúdos da segurança da informação».
Citando Siponen, os mesmos autores indicam que «Estrutura contém a informação formal e
actividades como a normalização, certificação e medição da informação de segurança, ao passo que os conteúdos incluem as atitudes das pessoas, motivação e conhecimento, incluindo os modelos mentais acerca da segurança da informação». Referindo ainda Siponen, aqueles
autores reforçam a defesa do enfoque na «importância das categorias de componentes de
conteúdos (que incluem os aspectos humanos na era da institucionalização)» mencionando que,
«se quase todas as medidas destinadas a aumentar a conscientização da segurança se
concentrassem na categoria “estrutura”, as deficiências sobre o conteúdo de segurança da informação são o que normalmente as invalida».
Paralelamente, Okere, Irene et al. [93] defendem que «A cultura em segurança da informação
precisa de ser/estar embebida na cultura organizacional».
Também Schlienger, Thomas et al. [94] são apologistas que a «cultura de segurança deve
suportar todas as actividades de tal modo que a segurança da informação se torne num aspecto natural nas actividades do dia-a-dia de cada funcionário. Cultura de segurança ajuda a construir a confiança necessária entre os diferentes actores». Assim, afirmam, ainda, que «a cultura de segurança da informação é uma parte da cultura organizacional».
Como analisar, então, a “cultura de segurança” nas organizações? Recorrendo-se à pesquisa por revisão bibliográfica encontram-se várias abordagens. Ngo, Leanne et al. [95] citando Gerber e von-Solms indicam que «Ocorreram três fases na evolução dos computadores. A primeira, a
era centrada no Computador, focada nos controlos físicos que forneciam os mecanismos de protecção às localizações físicas dos ´mainframes`. A segunda, a era centrada nas TI, focada nos controlos técnicos tais como, proporcionar segurança ao nível do perímetro e da infra- estrutura tecnológica. A terceira, a era centrada na Informação, focada nos controlos operacionais, tais como, segurança e protecção da informação e recursos de TI». Os autores
referem, ainda, que «alinhado com as três eras de evolução está a teoria de von Solms sobre as
três vagas da segurança da informação. A primeira, a vaga Técnica, envolvendo o uso de ferramentas tecnológicas e métodos para endereçar a segurança da informação. A segunda, a
vaga da Gestão, percebe-se que o suporte da gestão de topo é imperativo na segurança da informação. A terceira, a vaga da Institucionalização, preocupa-se com normalização, certificação, medição e aspectos humanos». Continuam, mencionando que «von Solms propõe para discussão ainda uma quarta vaga – A do Produto».
Contudo, Helokunnas, Tuija et al. [96] (Figura 3.10) - analisaram a teoria de Von-Solms sobre as vagas da segurança da informação e adicionaram uma perspectiva de convergência no tempo, defendendo que «irá demorar mais tempo a verificar-se os efeitos da terceira vaga do que foi
para as outras duas. A razão é porque esta vaga têm a ver com a atitude, conhecimento e percepção das pessoas face à segurança da informação. E isto leva mais tempo a mudar e a implementar do que os controlos técnicos e de gestão».
Figura 3.10- Componentes da Cultura da Segurança da Informação
Também, Schlienger, Thomas et al. [97] realçam que «de modo a que a cultura da segurança
possa contribuir, substancialmente, no campo da segurança da informação é necessário ter um conjunto de métodos para estudar a cultura da segurança. Infelizmente, não existe uma única ferramenta e método para estudar a organização mas a cultura existe».
Assim, um passo importante na promoção de uma cultura de segurança da informação é a avaliação do seu estado, podendo trazer benefícios à organização, nomeadamente na forma como a mesma encara a governação da segurança da informação.
No mesmo artigo, os autores indicam, resumidamente, os vários métodos aplicados na avaliação da cultura da segurança da informação efectuados pelos diversos investigadores. Assim, citam três métodos:
• «os primeiros métodos propostos pelos fundadores desta área de pesquisa Peters T.J. e Waterman, R.H., bem como Deal, T.E. e Kennedy, A.A., cuja abordagem consistiu na derivação dos valores através da execução de várias entrevistas conduzidas em algumas empresas ou dos estudos realizados, tendo em conta os indicadores culturais em empresas bem-sucedidas. Os resultados foram os quatro tipos culturais gerais de
Deal/Kennedy e os oito princípios básicos de gestão de excelência de Peters/Waterman».
• «o segundo método está muito ligado ao modelo de Schein (Figura 3.11). Este método tem em conta que a cultura não pode ser medida como um facto objectivo. A Cultura deve ser baseada no entendimento de pessoas envolvidas. Este método leva-nos para os estudos de casos e não lida com critérios catalogados que permitam uma comparação sistematizada das diferentes culturas conforme preconizado nos primeiros métodos».
Figura 3.11 – Modelo de Schein – os três níveis da cultura de segurança
• «o terceiro método, a metodologia Etno, propõe o assim chamado paradigma interpretativo. Os dados relacionados com a cultura organizacional podem ser agregados de maneira diferente conforme propostos pelos métodos anteriores. Um observador externo interpreta os artefactos observados tendo em conta a perspectiva da organização, como o proposto pelo segundo método. É também necessário definir os tipos culturais como propostos por Deal/Kennedy para possibilitar a sistematização. A diferença de pensamento recai na análise dos dados: enquanto os dois primeiros métodos propõem uma análise não empírica com diferenças conceptuais, o terceiro método usa o método empírico com recurso a análise estatística multivariável».
Em relação à forma como os dados referentes à avaliação da cultura de segurança da informação podem ser recolhidos, os mesmos autores referem o seguinte:
• «Para medir indicadores observáveis, os métodos geralmente propostos são: análise documental, observação física dos indicadores e entrevistas com membros da organização;
• Para a medição de normas, valores e crenças, são propostos os seguintes métodos: entrevistas narrativas, observação participativa e sessões de grupo».
Contudo, Okere, Irene et al. [98] patrocinam que as metodologias para a avaliação da cultura em segurança da informação nas organizações, devem seguir as seguintes linhas de orientação:
• «avaliar os diferentes níveis da cultura de segurança da informação
• Incluir métodos para avaliar cada nível da cultura da segurança da informação
• Usar uma abordagem integradora para avaliar cada nível da cultura …»
Todavia, no mesmo artigo, as autoras referem os quatro níveis da cultura de segurança da informação, propostos no modelo de Niekerk, Van et al. [99] que «adaptado do modelo de
Schein contempla um quarto nível ‘Conhecimento da segurança da informação`, o qual suporta os outros três níveis: Artefactos, Valores Expostos, Suposições tácitas partilhadas». Assim,
continuando a citar os mesmos autores, Okere, Irene et al. [100] apontam oito etapas que compõem o processo de mudança de cultura organizacional, a saber: «1- Compromisso e
suporte da gestão de topo; 2- Definição específica do problema do ´negócio´; 3-Desenvolver um Plano de Acção Estratégica; 4- Criar um ajuste cultural; 5- Desenvolver e escolher uma equipe líder da mudança; 6- Criar pequenas vitórias; 7- Identificar métricas, medidas e metas; 8- Retorno e Revisão», mencionando, ainda, as seguintes razões para realizar a avaliação da
cultura em segurança da informação:
• «Permite identificar o estado actual, comparando-o com os objectivos que se pretende atingir, possibilitando a identificação e a priorização do que é necessário realizar.
• Ajuda a organização a compreender o comportamento dos seus funcionários nas questões de segurança da informação e identifica as questões chave para a implementação e integração da cultura de segurança da informação na organização.
• Permite implementar soluções e endereçar outras que surgem na sequência de outras avaliações, possibilitando uma evolução na cultura da segurança da informação.
• Ajuda a reforçar as recomendações que foram implementadas na sequência de avaliações prévias.
• Por último, pode ainda servir como um ´wake-up´ para a forma como a gestão olha para estas questões ligadas à segurança da informação.»