Continuando na mesma linha de apresentação dos resultados obtidos (Figura 5.18), neste ponto mostram-se as preferências indicadas pelos respondentes, baseadas no tratamento dos dados efectuados às respostas obtidas à décima sexta questão do questionário elaborado (ver Anexo A).
Figura 5.18- Modelo de Resultados Obtidos: FBP/PPO
Numa primeira fase, analisou-se também a totalidade das respostas, verificando-se que, para este factor, de uma forma global, os nove elementos considerados de boas práticas e atrás identificados, são classificados nas categorias “Muito importante” ou “Importante”, com predominância da votação na categoria “Importante”.
Assim, na categoria “Importante”, cinco dos nove elementos considerados de boas práticas atingem valores maioritários (superiores a 50,00%), mas os três mais votados são: “Devem
existir programas para a conscientização, educação e formação em segurança” (62,81%),
“Devem ser utilizadas tecnologias de suporte (COBIT, ITIL, etc.)” e “Deve existir
Modelo/Programa de Governação para a Segurança da Informação” com igual votação
(61,98%).
Os Factores de Boas Práticas mais votados, na categoria “Muito importante” na implementação/adopção dum Sistema de Gestão da Segurança da Informação são: “A minha
senha de acesso não a partilho com ninguém” (66,12%) e “Quando me afasto do meu posto de trabalho bloqueio a minha sessão no PC” (50,41%).
Todos os elementos encontram-se populados na categoria “Pouco Importante”, mas o elemento considerado de boas práticas “Cada trabalhador apenas deve ter acesso à informação
necessária ao desempenho das suas funções” surge como o mais seleccionado pelos
respondentes (19,83%). Nesta categoria o segundo e terceiro elemento mais votados são, respectivamente: “Devem ser utilizadas tecnologias de suporte (COBIT, ITIL, etc.)” (19,01%) e “Quando me afasto do meu posto de trabalho bloqueio a minha sessão no PC” (15,70%). Na categoria “Não é importante” são mencionados sete, dos nove elementos, com valores percentuais pouco significativos (inferiores a 5,00%). No gráfico (Gráfico 5.92) seguinte visualiza-se o pormenor do anteriormente indicado.
Gráfico 5.92- Factores de Boas Práticas: PPO (Global)
Numa segunda fase, foram analisadas as respostas dos participantes, tendo em conta a sua função, de forma a verificar se os elementos considerados como Factores de Boas Práticas na implementação/adopção de um SGSI diferiam ou não entre as classes seleccionadas: Gestor de Topo, Gestor Intermédio, Gestor das TI, Consultor das TI, Gestor / Funcionário da Segurança e Trabalhador. Investigou-se e obtiveram-se os seguintes resultados.
Do ponto de vista do Gestor de Topo - conforme gráfico (Gráfico 5.93) a seguir, constata-se que todos os elementos são considerados como Factores de Boas Práticas e classificados com percentagens acima da metade percentual (50,00%), quando somados nas categorias “Muito importante” ou “Importante, situando-se o enfoque da votação na categoria “Muito importante”. Assim, o elemento mais votado como Factores de Boas Práticas na categoria “Muito Importante” é: “Deve existir uma Política de Segurança” (70,00%). Porém, os elementos “Deve
existir Modelo/Programa de Governação para a Segurança da Informação”, “A minha senha de acesso não a partilho com ninguém” e “Devem existir auditorias de Segurança da Informação” atingem, cada um, uma pontuação idêntica (60,00%).
Em relação à categoria “Importante”, surgem como elementos de boas práticas de votação maioritária os seguintes: “Devem existir programas para a conscientização, educação e
formação em segurança” e “Devem ser utilizadas tecnologias de suporte (COBIT, ITIL, etc.)”,
obtendo, cada um, igual percentagem (60,00%).
Note-se que a opinião deste tipo de respondente em relação ao elemento “Deve existir
conformidade com Normas Internacionais de Segurança (ISO/IEC 27001/2, COBIT, ITIL, etc.)” encontra-se igualmente dividida pelas categorias “Muito importante” e “Importante” onde
supera o um terço percentual (40,00%) cada, sendo o restante valor (20,00%) atribuído à categoria “Pouco importante”.
Relativamente à categoria “Pouco importante”, verifica-se que são mencionados seis dos nove elementos considerados de boas práticas, a saber: “A minha senha de acesso não a partilho com
ninguém”, “Quando me afasto do meu posto de trabalho bloqueio a minha sessão no PC” e
“Deve existir conformidade com Normas Internacionais de Segurança (ISO/IEC 27001/2,
COBIT, ITIL, etc.)” obtendo, cada um, classificação semelhante (20,00%).
Ainda para este grupo profissional, quatro dos nove elementos considerados são classificados na categoria “Não é importante”: “Devem existir auditorias de segurança”, “Devem ser utilizadas
tecnologias de suporte (COBIT, ITIL, etc.)”, “Deve existir uma Política de Segurança” e “Deve existir Modelo/Programa de Governação para a Segurança da Informação” apresentando, cada
um, valores percentuais idênticos (10,00%).
Gráfico 5.93- Factores de Boas Práticas: PPO (Gestor de Topo)
Do ponto de vista do Gestor Intermédio – já para este gestor, todos os elementos continuam a ser considerados como Factores de Boas Práticas e classificados com percentagens acima da metade percentual (50,00%), quando somados nas categorias “Muito importante” ou “Importante”, verificando-se um enfoque maior na categoria “Importante”.
Assim, na categoria “Muito importante” o elemento “A minha senha de acesso não a partilho
com ninguém” é o único com uma votação maioritária (65,38%). Este elemento atinge a
totalidade do valor percentual (100,00%), quando somados os valores desta categoria com a categoria “Importante”.
Na categoria “Importante” cinco dos nove elementos atingem níveis maioritários de preferência (superiores a 50,00%), surgindo em primeiro lugar o elemento de boas práticas “Deve existir
Modelo/Programa de Governação para a Segurança da Informação” (73,08%) seguido dos
elementos “Deve existir conformidade com Normas Internacionais de Segurança (ISO/IEC
27001/2, COBIT, ITIL, etc.)” e “Devem ser utilizadas tecnologias de suporte (COBIT, ITIL, etc.)” que obtêm, cada um, uma votação idêntica (65,38%). Em terceiro e quarto lugar mostram-
se, respectivamente, os seguintes elementos: “Devem existir programas para a conscientização,
educação e formação em segurança” (57,69%) e “Cada trabalhador apenas deve ter acesso à informação necessária ao desempenho das suas funções” (53,85%).
No entanto, comprova-se que oito dos nove elementos considerados de boas práticas mostram- se populados na categoria “Pouco importante”, sendo os elementos “Quando me afasto do meu
posto de trabalho bloqueio a minha sessão no PC”, “Devem existir auditorias de Segurança da Informação” e “Devem ser utilizadas tecnologias de suporte (COBIT, ITIL, etc.)” aqueles que
atingem igual e maior votação (19,23%).
Na categoria “Não é importante” são apontados dois dos nove elementos considerados de boas práticas, revelando-se o elemento “Cada trabalhador apenas deve ter acesso à informação
necessária ao desempenho das suas funções” como o mais votado (7,69%). O gráfico (Gráfico
5.94) seguinte retrata o anteriormente mencionado.
Gráfico 5.94- Factores de Boas Práticas: PPO (Gestor Intermédio)
Do ponto de vista do Gestor das TI – para este gestor, e conforme gráfico (Gráfico 5.95) abaixo, verifica-se que os elementos considerados de boas práticas “A minha senha de acesso não a
partilho com ninguém” (76,47%) e “Quando me afasto do meu posto de trabalho bloqueio a minha sessão no PC” (64,71%) são os mais votados na categoria “Muito importante”.
Porém, no primeiro elemento, o somatório das percentagens obtidas nas categorias “Muito importante” e “Importante” obtém a unanimidade (100,00%) das preferências dos respondentes. Os outros elementos que atingem esta mesma percentagem são: “Devem existir programas para
a conscientização, educação e formação em segurança” e “Devem existir auditorias de Segurança da Informação”. Mas aqui, as preferências vão para a categoria “Importante” com,
respectivamente um valor maioritário (76,47%) para o primeiro e de um valor bastante significativo (70,59%) para o segundo elemento mencionados.
Também neste grupo profissional, os elementos considerados como Factores de Boas Práticas revelam-se sempre maioritariamente populados nas categorias “Muito importante” e “Importante”, notando-se um enfoque na categoria “Importante”, pois, seis dos nove elementos apresentam preferências na votação, atingindo valores superiores à metade percentual (50,00%). Assim, o elemento de boas práticas “Devem existir programas para a conscientização,
educação e formação em segurança” mostra-se como o mais seleccionado nesta categoria
(76,47%).
Na categoria “Pouco Importante”, cinco dos nove elementos considerados de boas práticas surgem populados, destacando-se dois elementos: “Deve existir conformidade com Normas
Internacionais de Segurança (ISO/IEC 27001/2, COBIT, ITIL, etc.)” e “Devem ser utilizadas tecnologias de suporte (COBIT, ITIL, etc.)”, cada um, com uma votação igual (11,76%). Os
restantes elementos mostram todos valores percentuais semelhantes (5,88%).
O elemento considerado de boas práticas “Quando me afasto do meu posto de trabalho bloqueio
a minha sessão no PC” é o único elemento assinalado na categoria “Não é importante” com um
valor pouco significativo (5,88%) das preferências.
Gráfico 5.95- Factores de Boas Práticas: PPO (Gestor das TI)
Do ponto de vista do Consultor das TI – nesta perspectiva, continua a verificar-se a predominância da votação nas categorias “Muito importante” e “Importante”, embora o enfoque esteja, mais uma vez, na categoria “Importante”.
Na categoria “Muito importante” os dois elementos considerados de boas práticas mais votados são: “A minha senha de acesso não a partilho com ninguém” (78,57%) e “Quando me afasto do
meu posto de trabalho bloqueio a minha sessão no PC” (57,14%).
Na categoria “Importante” revela-se, em primeiro lugar, o elemento “Devem existir auditorias
de Segurança da Informação” (64,29%) e visualizam-se três elementos igualmente classificados
em segundo lugar (57,14%), a saber: “Devem existir programas para a conscientização,
educação e formação em segurança”, “Deve existir conformidade com Normas Internacionais de Segurança (ISO/IEC 27001/2, COBIT, ITIL, etc.)” e “Deve existir Modelo/Programa de Governação para a Segurança da Informação”.
Na categoria “Pouco importante” todos os elementos considerados de boas práticas aparecem populados, encontrando-se em primeiro lugar três dos nove elementos agrupando, cada um, valor análogo das preferências (35,71%): “Devem existir programas para a conscientização,
educação e formação em segurança”, “Deve existir conformidade com Normas Internacionais de Segurança (ISO/IEC 27001/2, COBIT, ITIL, etc.)” e “Devem ser utilizadas tecnologias de suporte (COBIT, ITIL, etc.)”.
Na categoria “Não é importante” apenas é votado o elemento: “Cada trabalhador apenas deve
ter acesso à informação necessária ao desempenho das suas funções” (7,14%). O gráfico
(Gráfico 5.96) seguinte ilustra o acima mencionado.
Gráfico 5.96- Factores de Boas Práticas: PPO (Consultor das TI)
Do ponto de vista do Gestor / Funcionário da Segurança – esta classe apresenta uma percentagem de resposta muito pouco significativa (2,48% - 3 respondentes). Os elementos apresentam todos valores acima da metade percentual (50,00%), quando somados nas categorias “Muito importante” e “Importante”, com prevalência nesta última.
Porém, o elemento “A minha senha de acesso não a partilho com ninguém” atinge a totalidade percentual (100,00%) na categoria “Muito importante” e os elementos “Cada trabalhador
apenas deve ter acesso à informação necessária ao desempenho das suas funções” e “Deve existir conformidade com Normas Internacionais de Segurança (ISO/IEC 27001/2, COBIT, ITIL, etc.)” obtêm aquela pontuação (100,00%) na categoria “Importante”.
Este grupo profissional aponta, ainda, como “Pouco importante” o elemento: “Quando me
afasto do meu posto de trabalho bloqueio a minha sessão no PC” (33,33%). 172
Na categoria “Não é importante” não se encontra nenhuma votação. No gráfico (Gráfico 5.97) seguinte retrata o atrás exposto.
Gráfico 5.97- Factores de Boas Práticas: PPO (Gestor/Funcionário da Segurança)
Do ponto de vista do Trabalhador – também nesta vista, todos os elementos considerados, apresentam valores percentuais maioritários (superiores a 50,00%), quando somados nas categorias “Muito importante” e “Importante”, havendo uma primazia da votação nesta última categoria.
Assim, o elemento considerado de boas práticas mais votado na categoria “Importante” é “Devem ser utilizadas tecnologias de suporte (COBIT, ITIL, etc.)” (64,71%), seguido do elemento “Devem existir programas para a conscientização, educação e formação em
segurança” (62,75%).
Por outro lado, na categoria “Muito importante” vence o elemento considerado de boas práticas “A minha senha de acesso não a partilho com ninguém” (58,82%), seguido do elemento “Quando me afasto do meu posto de trabalho bloqueio a minha sessão no PC” (47,06%). Relativamente à categoria “Pouco importante” todos os elementos são considerados, surgindo no topo o elemento “Cada trabalhador apenas deve ter acesso à informação necessária ao
desempenho das suas funções” (33,33%).
Na categoria “Não é importante” revelam-se quatro dos nove elementos agrupando, cada um, valores percentuais semelhantes (1,96%). No gráfico (Gráfico 5.98) seguinte visualiza-se o atrás mencionado.
Gráfico 5.98- Factores de Boas Práticas: PPO (Trabalhador)