ENS DO MODELO - BYOD como política de segurança em uma empresa: uma análise à luz da PMT

5: Resumo das alterações após validações

squisa, 2015

variáveis quantitativas foram consideradas, sen eis dependentes (v20, v21, v22 e v23). Uma a eis dependentes indicou as candidatas para inte 20 (estou predisposto a seguir as políticas de nha organização no que se refere a BYOD) fo s no uso de técnicas de análise multivariada multivariada. Dessa forma, apenas 3 variáve tudo, sendo elas a v21, v22 e v23.

45 acterística usuário titulavam novatos %) de experts. as variáveis do suários quanto à na organização, à OD, nos próprios

sendo 19 variáveis análise da matriz tegrarem modelos de segurança que foi a única a não da, por violar os áveis dependentes

Avaliando as variáveis de forma descritiva, foram observadas a médias ,mediana e desvio padrão de cada variável em estudo. Cabe ressaltar que a escala utilizada tem variabilidade de 1 a 7, sendo 1 o grau de menor concordância e 7 o grau de maior concordância.

Os índices escolhidos incorporam as sugestões de Hair et al. (2009) e de Fávero et al. (2009), que indicam reportar pelo menos uma medida de tendência central e uma medida de variabilidade. A média e a mediana são medidas de tendência central, e o desvio padrão e o coeficiente de variação são medidas de variabilidade adotadas. A média posiciona a posição da maioria dos respondentes, enquanto que a mediana indica em que ponto da escala a amostra se divide. O desvio padrão mede o quanto as observações variam em torno da média, sendo desejado algum desvio, mas que não seja alto (acima de 2), em relação ao coeficiente de variação, este indica a precisão das estimativas de tendência central, sendo calculado com o desvio padrão dividido pela média. Os resultados são mostrados na Tabela 1

Tabela 1: médias e desvios das variáveis quantitativas

Item avaliado Média Mediana Desvio

padrão

Coeficiente de variação

V1: Eu acredito que informações armazenadas em computadores da minha organização são vulneráveis a incidentes de segurança envolvendo BYOD.

4,43 5 1,83 0,41

V2: Uma violação da segurança da informação, envolvendo BYOD, seria um problema para a minha organização.

5,90 6 1,44 0,24

V3: Uma violação da segurança da informação,

envolvendo BYOD, seria um problema para mim. 5,49 6 1,67 0,30

V4: Um problema de segurança da informação pode ocorrer em minha organização, se eu não cumprir com a política de segurança no que se refere a BYOD.

6,09 7 1,26 0,20

V5: Se eu não cumprir com a política de segurança, no que se refere a BYOD, da minha organização, eu poderei ser submetido a uma ameaça à segurança da informação.

5,93 6 1,34 0,22

V6: Um problema de segurança da informação pode ocorrer com os meus próprios dados, se eu não cumprir com a política de segurança no que se refere a BYOD.

5,95 6 1,36 0,23

V7: Em cumprir com a política de segurança no que se refere a BYOD, tomaria quantidade considerável de meu

tempo de trabalho.

V8: Há muitas despesas gerais associadas com o

cumprimento de políticas de segurança relacionadas com BYOD.

3,90 4 1,64 0,42

V9: Em cumprir com a política de segurança no que se refere a BYOD, exigiria algum outro investimento além de tempo.

4,21 5 1,73 0,41

V10: Cada funcionário poderia exercer um papel quando se trata de proteger os sistemas de informação da Empresa no que se refere a BYOD.

5,56 6 1,44 0,26

V11: Se o funcionário cumprir com a política de segurança, no que se refere a BYOD, problemas de segurança móvel em minha organização serão escassos.

5,44 6 1,56 0,28

V12: Se eu cumprir com a política de segurança, no que se refere a BYOD, meus problemas de segurança relacionados com dispositivos móveis serão escassos.

5,34 6 1,52 0,28

V13: Minha organização oferece treinamento para melhorar a sensibilização para as questões de segurança da informação em relação ao uso de dispositivos pessoais para tarefas relacionadas ao trabalho dos funcionários.

4,03 4 1,92 0,47

V14: Na minha organização, os funcionários são informados sobre o risco para a empresa de não proteger adequadamente seus dispositivos móveis.

4,39 5 2,00 0,45

V15: Na minha organização, os funcionários são informados sobre o risco para a empresa de instalar aplicações proibidas em seus dispositivos móveis.

4,34 5 2,06 0,47

V16: Minha organização explica aos funcionários sobre as responsabilidades na utilização de dispositivos pessoais para tarefas relacionadas ao trabalho.

4,20 4 2,07 0,49

V17: Eu me sentiria confortável em seguir a maioria das políticas de segurança, no que se refere a BYOD, por mim mesmo.

5,64 5 1,45 0,25

V18: Se eu quiser, poderia facilmente seguir políticas de

segurança, no que se refere a BYOD, sem auxílio. 4,23 5 1,72 0,40

V19: Eu seria capaz de seguir a maioria das políticas de segurança, no que se refere a BYOD, mesmo que não haja ninguém por perto para me ajudar.

4,59 5 1,82 0,39

V20: Estou predisposto a seguir as políticas de segurança que forem propostas pela minha organização no que se refere a BYOD

V21: É possível que eu venha a cumprir com a política de segurança, no que se refere a BYOD, para proteger as informações dos sistemas de informação da minha organização.

6,23 7 1,20 0,19

V22: É possível que eu venha a cumprir com a política de segurança, no que se refere a BYOD, para proteger meus próprios dispositivos.

6,27 7 1,19 0,19

V23: Estou certo de que vou seguir as políticas de segurança da minha organização no que se refere a BYOD.

6,21 7 1,27 0,20

. Dados da Pesquisa, 2015

Os resultados assinalam que as variáveis 22,21,23,4 e 20 – relacionadas aos itens de intenção de cumprir e suscetibilidade da ameaça — possuem as maiores médias, com valores iguais ou maiores que 6, indicando um nível de concordância alto das afirmações avaliadas. Nota-se também que essas variáveis que possuem maior média também são aquelas que possuem menor desvio. Esse resultado indica baixo coeficiente de variação, o que aponta para uma convergência de opiniões dos entrevistados em relação a esses itens.

Ao analisar essas variáveis demonstrados através das suas médias e medianas, pode-se inferir que os respondentes possuem uma postura colaborativa ao seguir a Política de Segurança da Informação no que se refere a BYOD proposta pela sua empresa e percebem também a utilidade da mesma pelo fato de que, ao seguir essa política, poderia proteger melhor suas informações no uso dos recursos de TI da Empresa. Portanto, é possível afirmar que há um sentimento positivo no que concerne aos funcionários entenderem seus papéis em seguir a Políticas de Segurança envolvendo BYOD e em de fato, cumpri-las.

As questões 13 e 16 apresentaram médias e medianas em torno de 4. Elas se referem às dimensões de “Programa de Conscientização de Segurança” proposta pelo modelo teórico. Esse tom próximo a escala que mediria uma certa neutralidade do respondente é um indício de que tais fatores não estão claros para o respondente, a questão 15 apesar de uma mediana 5 seu desvio padrão foi superior a 2 indicando uma alta dispersão. Podemos inferir que apesar da existência da política de Segurança ela não é efetiva no que se refere aos dispositivos móveis.

As variáveis referentes ao fator “Custo da Resposta” representado pelas questões 7 e 8 obtiveram as menores médias (3,40 e 3,90 respectivamente) se comparadas às demais. Esse fato ocorreu de forma esperada porque há uma relação inversa nesses itens quando o custo de execução de uma tarefa aumenta, as intenções de realizá-las diminuem.

Quanto aos dados expostos na tabela 1, pode-se afirmar que, no geral, as medianas foram altas, o que reforça ainda mais essa intenção positiva dos respondentes em relação ao que propõe o cumprimento do que uma Política de Segurança envolvendo BYOD.

5.3 ANÁLISE FATORIAL EXPLORATÓRIA

O presente estudo buscou identificar as dimensões que levam as práticas de BYOD por parte de usuários de tecnologias nas organizações. Ao todo, o instrumento de pesquisa contempla 23 variáveis, sendo 19 variáveis independentes ou variáveis explicativas. As 19 variáveis foram submetidas a uma análise fatorial exploratória (AFE), com o objetivo de identificar dimensões latentes, que não são observadas diretamente e que representam um conjunto de variáveis. Com um objetivo secundário, a fatorial também foi utilizada como técnica de redução de dados, para facilitar a compreensão dos fatores que determinam maior ou menor grau das variáveis dependentes.

O modelo do estudo conta com seis fatores, que caracterizariam prováveis sintomas da predisposição em seguir políticas de segurança envolvendo BYOD. A AFE permite indicar se as variáveis preconizadas realmente fazem parte do construto designado pela teoria discutida em sessões anteriores e se as variáveis contribuem para caracterizar o construto a partir da inspeção da matriz de correlações.

De acordo com a definição de Hair et al. (2009) e de Fávero et al. (2009) um fator consiste em uma combinação linear de variáveis estatísticas, representando dimensões latentes (construtos) que resumem e explicam um conjunto de variáveis observadas.

Ao verificar os pressupostos da técnica, em um primeiro momento foi gerada uma matriz de correlações entre as 19 variáveis. A matriz de correlações foi inspecionada para verificar se as variáveis atendem aos pressupostos da técnica, sendo

eles: a comunalidade, carga fatorial e cross load. O índice de comunalidade, de acordo com Hair et al. (2009) é a porção de variância que uma variável compartilha com com todas as outras variáveis do modelo. Nesse caso. Uma variância de uma variável pelo método do caso, teria 50% de variância. Portanto, uma variável contribui para o modelo apenas se obtiver índice de variância acima de 50%. Já as cargas fatoriais são correlações entre as variáveis originais e os fatores. Índices próximos de 0,4 indicam correlação mínima para afirmar que determinada variável representa um fator. Os croos- loads ou cargas cruzadas indicam se uma variável apresenta cargas acima de 0,4 em 2 ou mais fatores, dificultando a interpretação do fator. Dessa forma, são desejados índices de comunalidade acima de 0,6 e índices de carga fatorial acima de 0,4 em apenas 1 fator.

Além de avaliar índices de validade fatorial, também são avaliados índices globais de ajustamento do modelo fatorial, sendo eles a medida de adequação da amostra (MSA), que consiste em um índice que varia de 0 a 1, alcançando 1 quando cada variável é prevista sem erro, e o Teste de Esfericidade de Bartlett, que consiste em um teste que mede a significância geral de todas as correlações em uma matriz de correlação. Na prática, a significância é obtida se pelo menos duas variáveis do modelo apresentarem correlações acima de 0 entre si.

Na configuração da AFE, duas decisões são tomadas. A primeira refere-se ao método de rotação dos fatores. O mais comum e popular é o método de rotação ortogonal Varimax. É geralmente considerado superior a outros métodos, por simplificar a estrutura fatorial. Outra decisão refere-se ao método de extração dos fatores. O mais comum e popular é a análise de componentes principais. Esse método implica computacionalmente que toda a variância é comum ou compartilhada e que representa em um conjunto mínimo de fatores, o máximo de variância possível. Dessa forma, foi escolhido o método de rotação ortogonal varimax e o método de extração por análise de componentes principais para esse estudo, por terem maior adequabilidade a maioria dos estudos e por ser a configuração mais indicada no uso de planos de análise contendo a análise de regressão múltipla em etapa posterior (MAROCO, 2007).

Em um primeiro momento, a fatorial foi conduzida a partir da inspeção da matriz de correlações, conduzida nos softwares R-base e Rstudio. A matriz de

correlações é apresentada na Figura 6, contendo as 23 variáveis quantitativas do modelo e as 3 variáveis de perfil.

Figura 6: Matriz de correlações das variáveis da pesquisa

Dados da pesquisa, 2015

Os resultados mostram na primeira diagonal a presença de correlações, sendo marcadas pela cor azul, quanto mais o azul é acentuado, maior é a correlação entre os pares de variáveis. A diagonal da direita apresenta de forma mais detalhada o grau de correlação, variando de -1 a 1. Os pontos com cor rosa apresentam correlações negativas. Percebe-se que dentre as variáveis quantitativas, a v7 (em cumprir com a política de segurança no que se refere a BYOD, tomaria quantidade considerável do meu tempo de trabalho), v8 (Há muitas despesas gerais associadas com o cumprimento de políticas de segurança relacionadas com BYOD) e v9 (Em cumprir com a política de segurança no que se refere a BYOD, exigiria algum outro investimento alem de tempo) tem poucas correlações moderadas (entre 0,4 e 0,7) e fortes (acima de 0,7) com as demais variáveis. As variáveis demográficas apresentam correlações fracas com as demais variáveis, ressaltando que a diferença nas escalas de mensuração prejudicam a comparação de correlações para essas variáveis, sendo necessário um método que corrija a diferença nas escalas.

Os resultados da primeira rodada foram conduzidos para se obter o número de fatores latentes a serem extraídos. Dessa forma, foi utilizado o critério do autovalor ou Eigenvalue para tal. A Figura 7 mostra o screeplot indicando o número de fatores que apresentam índices de variância que incrementam o modelo, sendo eles aqueles com Eigenvalue acima de 1.

Figura 7: screeplot do modelo fatorial

screeplot indica que 6 fatores latentes podem ser integrados no modelo fatorial, por apresentarem Eigenvalues acima de 1, conforme demonstrado na figura. As variáveis não apresentaram problemas de comunalidade, no entanto, algumas variáveis excederam correlações em 2 fatores, ultrapassando o limte de 0,4. A variável 3 (uma violação da segurança da informação, envolvendo BYOD, seria um problema para mim) apresentou uma carga fatorial de 0,56 no 1° fator e de 0,46 no 2° fator. Além disso, foi a variável que apresentou menor índice de comunalidade (0,57), mesmo sendo superior ao mínimo exigido. Dessa forma, essa variável foi retirada e o modelo foi testado novamente.

No segundo teste, o índice de variância explicada do modelo, antes de 72% passou para 74%. Os índices de comunalidade se mostraram adequados mais uma vez. As cargas fatoriais se mostraram acima de 0,4. A variável 17 (eu me sentiria confortável em seguir a maioria das políticas de segurança, no que se refere ao BYOD, por mim

mesmo), que antes apresentava problema de cross-load, obteve melhores índices com a saída da variável 3. No entanto, a variável 10 (cada funcionário poderia exercer um papel quando se trata de proteger os sistemas de informação da empresa no que se refere a BYOD) continou a apresentar problemas, obtendo 0,55 de carga fatorial no fator 1 e de 0,46 no fator 5. Dessa forma, a variável foi retirada do modelo.

No terceiro teste, os resultados se mostraram inferiores ao da etapa anterior, obtendo variância explicada de 70%, 4% inferior ao do 2° teste.. O modelo obtido no 3° teste foi formado por 5 fatores, reduzindo um fator dos modelos anteriores. Dessa forma, o modelo apesar de perder poder de explicação, ainda continua sendo um modelo bem ajustado. Além disso, a variável 1 no 3° teste apresentou índice de comunalidade sofrível (0,33). Isso se deve a variável integrar o fator 6 dos testes anteriores. Dessa forma, foi decidido excluir a variável 1 e partir para o quarto teste.

No quarto teste, o índice de variância atingido foi de 73%, bem próximo ao do terceiro teste. Esse resultado indica que o refinamento do modelo foi acertado, já que com um taxa de variância similar foi obtida com um modelo mais simples (formado por menos variáveis). Os resultados da comunalidade indicaram que a variável 2 obteve índice menor do que 0,6 (0,57). Dessa forma, a variável 2 foi excluída e o modelo foi testado novamente.

No quinto teste, o índice de variância aumentou em 2%, porém a variável 17 começou a apresentar problemas de cross-load, obtendo cargas fatoriais de 0,56 no fator 1 e de 0,41 no fator 4. Dessa forma, o modelo foi novamente refinado em busca de se chegar no modelo fatorial adequado.

No sexto teste, o índice de variância explicada obtido foi de 79%. Em relação aos pressupostos, nenhuma variável presente no modelo violou os índices de comunalidade, de carga fatorial e de cross-load. Dessa forma, chegou-se no modelo fatorial desejado. As variáveis são apresentadas nos fatores correspondentes na Tabela 2

Tabela 2: Fatores latentes do modelo fatorial

Fatores

Comunalidade Carga fatorial Fator 1: Suscetibilidade da Ameaça

V4: Um problema de segurança da informação pode ocorrer em minha organização, se eu não cumprir com a política de segurança no que se refere a BYOD.

54 V5: Se eu não cumprir com a política de segurança, no que se refere a

BYOD, da minha organização, eu poderei ser submetido a uma ameaça à segurança da informação.

0,81 0,86

V6: Um problema de segurança da informação pode ocorrer com os meus próprios dados, se eu não cumprir com a política de segurança no que se refere a BYOD.

0,80 0,87

No documento BYOD como política de segurança em uma empresa: uma análise à luz da PMT (páginas 45-54)