No decurso do capítulo anterior mostrou-se, através de revisão bibliográfica, a Informação como um recurso vital e «instrumento de compreensão do mundo e de acção sobre ele» Varajão, João Eduardo Quintela [112]. Daí, a relevância da utilização de tal meio, por parte das organizações. De facto, a informação ao «proporcionar orientação, instrução e conhecimento pode habilitar,
aquelas, para o desenvolvimento da sua actividade e consequente tomada de decisão» Varajão,
João Eduardo Quintela [113].
Contudo, se por um lado a evolução tecnológica incita à passagem do mundo do papel para o mundo electrónico, também é certo que a mesma, associada à globalização, faz aumentar a probabilidade de ataques capazes de pôr em causa a continuidade da actividade das organizações.
Neste contexto, torna-se necessário que as organizações desenvolvam mecanismos de protecção da informação, de forma a assegurar a continuidade do “negócio”, a minimização dos riscos e a maximização do retorno do investimento e oportunidades de “negócio”.
Assim, conforme anteriormente apresentado, vários são os autores que defendem que a governação da segurança da informação através da implementação dum Sistema ou Plano/Programa para a Gestão da Segurança da Informação, suportada na gestão do risco e partilhada/integrada na governação corporativa das organizações pode alavancar, não somente a protecção dos activos, como também possibilitar a criação de valor e a formação de vantagens competitivas.
Também se mostrou que a cultura organizacional e consequentemente a cultura da segurança da informação constituem pilares-chave na implementação da segurança da informação nas organizações. De facto, verifica-se que o “factor humano” é o elo mais fraco na cadeia de segurança, pelo que actuar preventivamente sobre este componente, facilita a criação sustentada de uma cultura de segurança da informação, proporcionando a entrega de valor e a resiliência organizacional.
Na figura seguinte (Figura 4.1) representa-se o modelo do racional teórico desenvolvido na realização do presente trabalho.
Figura 4.1- Modelo do Racional Teórico Desenvolvido
Porém, de acordo com as pesquisas efectuadas e anteriormente mencionadas, a implementação dum Sistema ou Plano/Programa de Gestão da Segurança da Informação tem sido um desafio para as organizações e muitas são as que ainda não aceitaram ou interiorizaram a importância e a mais-valia da aplicabilidade daqueles nas estruturas organizacionais.
Todavia, paralelamente também se verifica que esta não-aceitação por parte das organizações não se deve à falta de referenciais e/ou guidelines, uma vez que existe uma panóplia de modelos, frameworks, standards e normas disponíveis, embora se constate que a maioria proporciona “o que fazer” mas é “vago” na explicitação de “como fazer”.
Assim, seguindo a linha de orientação dos autores que defendem que um passo importante na promoção de uma cultura de segurança da informação é a avaliação do seu estado, podendo trazer benefícios à organização, nomeadamente na forma como a mesma encara a governação da segurança da informação e acompanhando o pensamento de Okere, Irene et al. [114] que apontam, de entre outras, como razão para realizar a avaliação da cultura em segurança da informação, o facto de «a mesma poder ainda servir como um ´wake-up´ para a forma como a
gestão olha para estas questões ligadas à segurança da informação» pretende-se, no âmbito da
temática da segurança da informação, caracterizá-la no sector empresarial das Águas e
Saneamento em Portugal, segundo um dos pilar que é considerado de enorme relevância nas organizações – “o factor humano”.
Assim, tendo por base as questões de apoio “Q1-Quais as crenças individuais dos profissionais na cultura da segurança da informação?” e “Q2 – Qual o impacto das crenças individuais na cultura de Segurança da Informação?” este estudo, de carácter exploratório e descritivo, tem como objectivos:
a) Investigar quais os Factores Motivadores (FM), Inibidores (FI), Críticos de Sucesso (FCS) e de Boas Práticas (FBP) que dão suporte à adopção/implementação de um Sistema de Gestão de Segurança da Informação (SGSI) nas organizações do sector de Águas e Saneamento em Portugal, tendo em conta a perspectiva do próprio (PP) e a perspectiva do próprio face à organização (PPO).
b) Comparar as duas perspectivas por meio do cálculo do nível médio de importância para cada elemento dos factores acima referidos.
c) Analisar os efeitos obtidos através do cruzamento do nível médio de importância dos elementos dos diferentes factores (FM, FI, FCS, FBP) com o mapeamento segundo a orientação do ISACA [115] que indica que «do ponto de vista da governação há seis
principais resultados que o programa da segurança deverá trabalhar para atingir, a saber: 1) alinhamento estratégico; 2) gestão de risco; 3) entrega de valor; 4) gestão de recursos; 5) gestão de desempenho; e 6) garantia da integração de processos».
Assim, exclui-se do objecto do presente trabalho a realização da análise sobre a avaliação da cultura de segurança da informação, num quadro específico de utilização da mesma no âmbito dum processo de mudança cultural no sector seleccionado, dado o mesmo carecer de condução de dimensão estratégica adequada. Do mesmo modo que não se incluiu a observação directa de documentos e/ou de indicadores culturais, por ser temporalmente e funcionalmente inexequível. Porém, apesar de âmbito redutor por apenas se diagnosticar, através de resposta a questionário, que Factores Motivadores, Inibidores, Críticos de Sucesso e/ou de Boas Práticas é que contribuem para a adopção/implementação de Sistema de Gestão da Segurança da Informação no sector das Água e Saneamento em Portugal, este estudo contempla:
• A envolvência de funcionários de diferentes tipos de categorias profissionais permitindo a análise comparativa por tipo de função e por cada factor.
• A perspectiva do próprio relativamente ao nível de importância que atribuem aos elementos seleccionados para cada factor, mas também a apreciação do seu ponto de
vista quando este se refere à organização, possibilitando a comparação das duas perspectivas, descobrindo-se a existência ou não de desvios.
Desta forma, apesar de reduzido o campo de acção da pesquisa, realça-se como principais pontos fortes os seguintes:
• Inovação do tema no sector seleccionado.
• Caracterização dos principais Factores Motivadores, Inibidores, Críticos de Sucesso e de Boas Práticas para a adopção/implementação de Sistema de Gestão da Segurança da Informação – na perspectiva do próprio e na perspectiva do próprio face à organização, bem como por tipo de função, ajudando o sector a compreender o estado actual do comportamento dos seus actores, abrindo para novos horizontes e possibilitando o endereçamento e encontro de outras soluções.
• Enquadramento dos itens que caracterizam cada um dos factores (motivadores, inibidores, críticos de sucesso e de boas práticas) mapeando-os, conforme o ISACA [116] refere que «do ponto de vista da governação há seis principais resultados que o
programa da segurança deverá trabalhar para atingir, a saber: 1) alinhamento estratégico; 2) gestão de risco; 3) entrega de valor; 4) gestão de recursos; 5) gestão de desempenho; e 6) garantia da integração de processos», possibilitando a aferição
da preocupação do sector para esta temática.
• Contribuição para a evolução da cultura da segurança da informação no sector, através do envolvimento dos respondentes ao questionário e da divulgação dos resultados do estudo, «… servindo como um acordar para a forma como a gestão olha para estas
questões ligadas à segurança da informação», Okere, Irene et al. [117].
Por último, de referir que foi seleccionado o sector da Água e Saneamento em Portugal, por representar uma área de interesse a nível nacional, onde actualmente a signatária exerce funções. De facto, cada vez mais este é um sector que utiliza os sistemas e tecnologias de informação.
Para além dos sistemas de informação de apoio às áreas de suporte organizacional, realçam-se os de suporte às áreas de “negócio” destas organizações, nomeadamente: sistemas de informação geográfica (SIG), dos sistemas de supervisão/controlo e aquisição de dados (SCADA), de controlo de processos, de teleleitura de contadores e outros como os que permitem a modelação de sistemas, o controlo de perdas de água, a gestão de activos/infraestrutura, a videovigilância, de indicadores de suporte à decisão …
Num estudo realizado, em Portugal, por Santos, Luís [118] sobre “Factores de Sucesso na Gestão de Segurança da Informação nas Empresas Portuguesas” concluiu-se que «o factor
´Responsabilidades em Segurança da Informação´ foi o factor mais importante no sucesso da Gestão da Segurança da Informação e o factor ´Aconselhamento Externo de Serviços em Segurança da Informação´ foi o de menor importância comparados com os outros cinco factores: ´Suporte da Gestão de Topo´, ´Politica de Segurança da Informação´, ´Motivação dos Funcionários´, ´Programas de Sensibilização e Formação´ e ´Conformidade com Normas Internacionais de Segurança´».
A mesma pesquisa indica, ainda, que as «empresas portuguesas demonstram possuírem menor
maturidade na classificação dos factores essenciais ao sucesso da Gestão da Segurança da Informação do que as empresas da Finlândia e da Jordânia».
Além disto, o referido estudo, infere que «na generalidade as empresas portuguesas
encontram-se numa maturidade inicial ou em desenvolvimento de uma cultura de Segurança da Informação e fortemente associada a processos tecnológicos, verificando, no entanto, alguma maturidade nas empresas dos sectores financeiros e de telecomunicações».
Acentua, também, que «é sentida a necessidade de desenvolver uma consciencialização em
Segurança da Informação, através de políticas governamentais, de carácter obrigatório para os organismos públicos e recomendada para o sector privado de forma a sensibilizar a gestão das empresas portuguesas nesta matéria».
Assim, partindo deste conhecimento, pretendeu-se encontrar respostas no sector das Águas e Saneamento em Portugal, desbravando resistências, abrindo horizontes para a formação de uma cultura de segurança da informação que possibilitem a melhoria do planeamento estratégico dos investimentos e contribuam para uma gestão eficaz e eficiente dos recursos, capaz criar valor, resiliência e excelência nas organizações.
Seguidamente apresentam-se as actividades realizadas na execução deste trabalho.