Download/Open

Texto

(1)UNIVERSIDADE METODISTA DE SÃO PAULO ESCOLA DE GESTÃO E DIREITO PROGRAMA DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO. JULIANA GRACIELA DOS SANTOS. ANTECEDENTES DOS BENEFÍCIOS PERCEBIDOS DE COMPLIANCE ÀS POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS NAS ORGANIZAÇÕES. SÃO BERNARDO DO CAMPO 2016.

(2) JULIANA GRACIELA DOS SANTOS. ANTECEDENTES DOS BENEFÍCIOS PERCEBIDOS DE COMPLIANCE ÀS POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS NAS ORGANIZAÇÕES. Dissertação apresentada ao Programa de Pós - Graduação em Administração da Universidade Metodista de São Paulo, para conclusão do curso e obtenção do título de Mestre em Administração.. Área de Concentração: Gestão Econômico Financeira de Organizações Orientador: Prof. Dr. Alexandre Cappellozza. SÃO BERNARDO DO CAMPO 2016.

(3) FICHA CATALOGRÁFICA. Sa59a. Santos, Juliana Graciela dos Antecedentes dos benefícios percebidos de compliance às políticas de proteção de dados pessoais nas organizações / Juliana Graciela dos Santos. 2016. 88p. Dissertação (Mestrado em Administração) --Escola de Gestão e Direito da Universidade Metodista de São Paulo, São Bernardo do Campo, 2016. Orientação: Alexandre Cappellozza 1. Sistemas de informação – Medidas de segurança 2. Governança 3. Controles internos I. Título. CDD 658.

(4) A dissertação de mestrado sob o título “Antecedentes dos benefícios percebidos de compliance às políticas de proteção de dados pessoais nas organizações” elaborada por Juliana Graciela dos Santos foi apresentada e aprovada em 23 de novembro de 2016, perante a banca examinadora composta pelos professores Doutores Alexandre Cappellozza (Presidente/UMESP), Marcio Shoiti Kuniyoshi (Titular/UMESP) e Alberto Luiz Albertin (Titular/FGV).. _______________________________________ Prof. Dr. Alexandre Cappellozza Orientador e Presidente da Banca Examinadora. _______________________________________ Prof. Dr. Almir Martins Vieira Coordenador do Programa de Pós Graduação em Administração. Programa: Pós Graduação em Administração Área de concentração: Gestão de Organizações Linha de Pesquisa: Gestão Econômico-Financeira de Organizações.

(5) Dedico este trabalho à minha mãe Nice pelo apoio e paciência e em especial pela memória do meu pai Jurandi Gomes..

(6) AGRADECIMENTOS. Primeiramente agradeço a Deus que permitiu que eu alcançasse mais este sonho em minha vida. Agradeço a todos os professores do Programa de Pós-Graduação em Administração da Universidade Metodista que tiveram sua contribuição nesse processo, em especial ao Prof. Dr. Alexandre Cappellozza que, com muita competência, conduziu-me com grande presteza, paciência e dedicação no desenvolvimento deste trabalho. A todos os familiares, colegas e amigos que me incentivaram e apoiaram nesta caminhada em especial a minha amiga Nancy que me apoiou com o tema. A todos os respondentes da pesquisa e aos que ajudaram em sua divulgação..

(7) Educação não transforma o mundo, educação muda as pessoas, pessoas mudam o mundo. (Paulo Freire).

(8) RESUMO. Políticas de proteção de dados pessoais são ferramentas organizacionais que, se usadas de maneira adequada pelos colaboradores auxiliam na prevenção e proteção dos dados pessoais dentro de um limite de segurança e transparência organizacional. Este estudo objetiva analisar os fatores que influenciam a percepção dos empregados de organizações brasileiras quanto aos benefícios percebidos de compliance sobre as políticas estabelecidas na prevenção e proteção dos dados pessoais. A pesquisa foi conduzida através de uma abordagem de investigação quantitativa, com análise por equações estruturais e os dados do estudo foram coletados por meio de um instrumento de pesquisa com obtenção de uma amostra válida de 220 respondentes. O estudo concluiu que a Confiança na organização e a Percepção do risco de perda dos dados pessoais são estímulos que influenciam positivamente os benefícios percebidos de compliance. Os resultados também evidenciam que o empregado que teve seus dados utilizados de forma indevida reduz a sua credibilidade nos controles organizacionais e aumenta a sua Percepção do risco de perda de privacidade. O resultado do estudo pode auxiliar gestores de organizações a obter maior aderência dos empregados quanto às políticas de proteção de dados pessoais da organização em que trabalham, além de demonstrar a importância da credibilidade nos controles internos e a confiança na organização como preditores dos benefícios percebidos de compliance.. Palavras-chave: Dados pessoais, segurança da informação, controles internos, compliance, políticas organizacionais, governança..

(9) ABSTRACT. Personal data protect procedures are organizational tools that properly used by the employee help in the prevention and personal data protect within a safety and transparency organizational limit. This study analyzed the factors that have influenced the perception of the employees of Brazilian organizations about perceived benefits of compliance on the policies established in the prevention and protection of personal data. The research was conducted through a quantitative research approach with analysis of structural equations and the study data were collected through a survey tool to obtain a valid sample of 220 respondents. The study concluded that trust in organization and the risk of loss of personal data are stimulus that positive influence the benefits perceived of the compliance. The results also show that the employees who had your data improperly used, reduces your credibility in organizational controls and increases their perceived risk of privacy loss. The result of the study can help organizations managers to achieve greater adherence of employees with regard to personal data protection policy of organization in which they work, in addition to demonstrate the importance of credibility in internal controls and trust in the organization as predictors of perceived benefits of compliance.. Keywords: Personal data, information security, internal controls, compliance, organizational policies, governance..

(10) SUMÁRIO 1 INTRODUÇÃO ...................................................................................................... 15 1.1 QUESTÃO DE PESQUISA ................................................................................ 17 1.2 OBJETIVOS DA PESQUISA ............................................................................. 18 1.2.1 Objetivo Geral ................................................................................................. 18 1.2.2 Objetivos Específicos...................................................................................... 18 1.3 JUSTIFICATIVA DO ESTUDO .......................................................................... 18 1.4 ESTRUTURA DO TEXTO .................................................................................. 19 2 REFERENCIAL TEÓRICO ................................................................................... 20 2.1 A PROTEÇÃO DOS DADOS PESSOAIS NAS ORGANIZAÇÕES .................... 20 2.2 A VIOLAÇÃO DE DADOS NAS ORGANIZAÇÕES E SUAS IMPLICAÇÕES .... 22 2.3 MEDIDAS ORGANIZACIONAIS NA PREVENÇÃO DE VAZAMENTO DE DADOS .................................................................................................................... 27 2.4 BENEFÍCIOS PERCEBIDOS DE COMPLIANCE .............................................. 31 2.5 RISCOS DE PERDA DE PRIVACIDADE........................................................... 32 2.6 CREDIBILIDADE NOS CONTROLES ORGANIZACIONAIS ............................. 34 2.7 EXPERIÊNCIA NEGATIVA DE PERDA DE PRIVACIDADE ............................. 36 2.8 CONFIANÇA NA ORGANIZAÇÃO .................................................................... 37 3. PROCEDIMENTOS METODOLÓGICOS ............................................................ 41 3.1 INSTRUMENTO DE MEDIDA ............................................................................ 41 3.1.1 Indicadores do construto ................................................................................. 41 3.1.2 Pré-Teste ........................................................................................................ 46 3.2 COLETA DE DADOS ......................................................................................... 47 3.3 INFORMAÇÕES DA AMOSTRA........................................................................ 47 3.4 TÉCNICAS ESTATÍSTICAS DO MODELO ....................................................... 48 3.5 DESCRIÇÃO E ANÁLISE DOS RESULTADOS ................................................ 48 4. AVALIAÇÃO DO MODELO DE MENSURAÇÃO ................................................. 56 4.1 Avaliação do modelo teórico .............................................................................. 56 4.1.1 Avaliação do modelo teórico ajustado ............................................................ 59 4.1.2 Avaliação do modelo estrutural ....................................................................... 62 5. CONCLUSÃO ...................................................................................................... 69 APÊNDICE .............................................................................................................. 83.

(11) LISTA DE FIGURAS. Figura 1: Causas de vazamento de dados nas organizações ......................................... 24 Figura 2: Custo médio por tipo de violação ......................................................................... 25 Figura 3: Custo unitário por vazamento e setor organizacional em (R$ BRL) .............. 26 Figura 4: Modelo conceitual da pesquisa ............................................................................ 40 Figura 5: Gênero dos respondentes ..................................................................................... 49 Figura 6: Dados descritivos da escolaridade dos respondentes ..................................... 49 Figura 7: Uso de computadores corporativos para fins particulares ............................... 51 Figura 8: Medida de ocorrência de vazamento de dados ................................................. 51 Figura 9: Canal de comunicação de vazamento de dados pessoais .............................. 52 Figura 10: Modelo resultante da pesquisa........................................................................... 66.

(12) LISTA DE QUADROS. Quadro 1: Danos causados pela perda de dados organizacionais: ............................ 23 Quadro 2: Controles preventivos de Governança ....................................................... 27 Quadro 3: Medidas de proteção de dados .................................................................. 28 Quadro 4: Medidas para garantir a integridade das informações ................................ 29 Quadro 5: Princípios de controle das informações privadas ....................................... 30 Quadro 6: Definições e origens de construtos originados da Teoria do Comportamento Planejado .................................................................................................................... 32 Quadro 7: Construtos originais e autores .................................................................... 42 Quadro 8: Itens do construto percepção dos benefícios de compliance ..................... 43 Quadro 9: Itens do construto Percepção do risco de perda de privacidade ................ 43 Quadro 10: Itens do construto credibilidade nos controles organizacionais ................ 44 Quadro 11: Itens do construto experiência negativa de privacidade ........................... 45 Quadro 12: Itens do construto confiança na organização ........................................... 45 Quadro 13: Variáveis sócio demográficas ................................................................... 46 Quadro 14: Síntese dos testes de hipóteses do estudo .............................................. 68.

(13) LISTA DE TABELA. Tabela 1: Resultado da coleta de dados ..................................................................... 47 Tabela 2: Dados descritivos da idade dos respondentes ............................................ 49 Tabela 3: Dados descritivos da experiência profissional dos respondentes ............... 50 Tabela 4: Dados descritivos do tempo de serviço na organização atual ..................... 50 Tabela 5: Frequência das respostas dos itens da escala ............................................ 52 Tabela 6: Escore médio de resposta por construto ..................................................... 55 Tabela 7: Cargas fatoriais cruzadas com todos os indicadores .................................. 57 Tabela 8: Modelo Teórico: AVE, Confiabilidade Composta e Alpha de Cronbach ...... 58 Tabela 9: Validade Discriminante/Raiz Quadrada AVE ............................................... 59 Tabela 10: Cargas fatoriais cruzadas do modelo ajustado .......................................... 60 Tabela 11: Modelo ajustado: Variância média extraída, confiabilidade composta e alpha de cronbach ....................................................................................................... 61 Tabela 12: Validade Discriminante, Raiz quadrada da AVE ....................................... 62 Tabela 13: Avaliação de colinearidade ........................................................................ 62 Tabela 14: Coeficientes estruturais do modelo de medidas e estatística t Student..... 64 Tabela 15: Coeficientes do modelo estrutural – entre construtos................................ 65 Tabela 16: Resultados dos valores de R2 e Q2 ........................................................... 67.

(14) LISTA DE ABREVIATURAS. ACFE Association of Certified Fraud Examiners ICO Information Commissioner’s Officer AICPA American Institute of Certified Public Accountants COSO Committee of Sponsoring Organizations of the Treadway Commission SOX Lei Sarbanes-Oxley SEC Securities and Exchange Commission CVM Comissão de Valores Mobiliários.

(15) 15. 1 INTRODUÇÃO O processo de informatização de bases de dados ganha espaço a cada dia nas organizações. A automação de processos organizacionais é vista como sinônimo de eficiência gerencial, redução de custos, maior produtividade, melhor controle sobre as operações desenvolvidas e maior precisão nas atividades fim (SARDETO, 2011).. A. prática. da. coleta. de. informações pessoais. pelas organizações. desenvolveu-se com o advento da estruturação administrativa, estatal e privada (WIENER, 2010). Seja para a gestão de recursos humanos, ou para cumprir requisitos legais, o empregador necessita coletar as infomações pessoais dos seus colaboradores (HASSAN, 2012). Por exemplo, no processo de contratação de um empregado, a formação da base de dados pessoais pode ter início com as entrevistas de trabalho e seguir durante todo o curso do colaborador na organização (SANDEN, 2012).. Entre as informações coletadas pelas organizações, algumas são de natureza pessoal e podem afetar a privacidade do trabalhador em caso de ocorrência de vazamento de dados (ICO, 2011). Neste sentido, o tratamento de dados pessoais pelas organizações, por meio de processos automatizados, quando sem os devidos cuidados, pode levar a exposição pessoal do empregado (WIENER, 2010).. No comercio eletrônico, por exemplo, a privacidade e segurança das informações são vistas como fonte potencial de problemas onde a preocupação dos clientes com sua privacidade e segurança pode levar a uma forte reação contra as organizações do comércio eletrônico (ALBERTIN, 1999). Deste modo, a privacidade e. segurança,. mesmo. de. responsabilidade. das. organizações,. podem. ser. consideradas como ponto crítico para a expansão do comércio eletrônico (ALBERTIN, 2000).. Com o avanço da tecnologia da informação e comunicação, proteger a privacidade das informações pessoais se tornou um desafio significativo para as.

(16) 16. organizações (XU et al., 2008), uma vez que a ocorrência de vazamento de dados pode gerar consequências desastrosas, incluindo a responsabilidade legal corporativa, a perda de credibilidade, imagem e danos monetários (CAVUSOGLU; CAVUSOGLU; RAGHUNATHAN, 2004).. Somente em 2015, as organizações brasileiras que tiveram seus dados utilizados indevidamente arcaram com um gasto total aproximado a R$ 3,9 milhões de prejuízo, impondo um aumento de 10% nos gastos totais quando comparado ao ano de 2014 (PONEMON, 2015).. Legalmente, as organizações têm a responsabilidade de proteger as informações pessoais sob sua custódia, e buscam meios para minimizar vulnerabilidades que possam propiciar acessos não autorizados das informações organizacionais, ou mesmo cuidar da partilha de informação com terceiros sob o zelo de adoção de medidas de segurança necessárias (SOLOVE, 2007).. As boas práticas de Governança Corporativa consistem na transparência e padrões éticos em conformidade com normas internas e externas. É papel da Governança Corporativa velar pela integridade organizacional em todos os níveis, sendo fundamental o seu envolvimento ativo no programa de compliance. O cumprimento das normas é indispensável para a equidade nas relações da organização com os stakeholders e para um comportamento responsável da organização e de seus dirigentes. (COIMBRA, MANZI, 2010).. As políticas de segurança da informação consistem na formalização dos anseios organizacionais quanto à proteção de suas informações (ZANON, 2014), além de ajudar a mitigar os riscos de perda de informações e a realização dos seus objetivos (COSO, 2013). A literatura apresenta práticas condizentes com políticas de proteção de dados como um meio de manutenção e proteção das informações pessoais (PAVLOU, 2011; BULGURCU; CAVUSOGLU; BENBASAT, 2010; SMITH; MILBERG; BURKE, 1996)..

(17) 17. Além disto, o entendimento e cumprimento das políticas e regulamentos de segurança organizacional pelos empregados podem ser fundamentais no controle de segurança da informação (BULGURCU; CAVUSOGLU; BENBASAT, 2010) tendo em vista que os empregados podem expor informações confidenciais pela falta de zelo, distrações ou de forma maliciosa (ACFE, 2013).. Desta forma, somente a existência dos mecanismos de controle de dados não se traduz automaticamente em um comportamento individual desejável de adesão às políticas de segurança da informação implantadas, pois os funcionários podem não ser motivados a executar as atividades necessárias para proteger os ativos da informação (STANTON et al., 2004).. A compreensão dos aspectos individuais que motivam os funcionários a cumprir as políticas de segurança da informação de suas organizações é um dos temas relevantes na área de gestão dos sistemas de informação (BULGURCU; CAVUSOGLU; BENBASAT, 2010). 1.1 QUESTÃO DE PESQUISA. Sabe-se que compliance se refere a cumprir, estar em conformidade com leis, diretrizes, regulamentos internos ou externos, buscando mitigar riscos (COIMBRA; MANZI, 2010). A fim de direcionar a realização deste estudo, apresenta-se a seguinte questão da pesquisa:. Quais os antecedentes individuais aos benefícios percebidos de compliance às políticas organizacionais de proteção de dados pessoais dos empregados?.

(18) 18. 1.2 OBJETIVOS DA PESQUISA 1.2.1 Objetivo Geral Identificar os fatores relacionados aos benefícios percebidos de compliance às políticas organizacionais orientadas à prevenção de perda de dados pessoais de empregados.. 1.2.2 Objetivos Específicos . Identificar a influência dos riscos de perda de privacidade sobre os benefícios. percebidos de compliance; . Identificar os efeitos da credibilidade nos controles organizacionais de. proteção à privacidade sobre a percepção do risco de perda de privacidade; . Comparar as influências da confiança e aspectos associados a percepção do. risco de perda de privacidade quanto aos benefícios de compliance;. 1.3 JUSTIFICATIVA DO ESTUDO. No ambiente organizacional, a segurança dos dados pode ser tão importante quanto a proteção de seus outros ativos. O avanço na tecnologia da informação colaborou com o aumento significativo da eficiência e produtividade, porém este desenvolvimento também produziu uma série de novos problemas de segurança. A consciência organizacional das ameaças à segurança dos dados, bem como a forma de resolver, é fundamental para manter a competitividade, preservar a conformidade regulamentar e prevenir possíveis casos de fraude (ACFE, 2013).. Os dados pessoais são muito atraentes para o mercado em geral, pois é possível, por exemplo, organizar o planejamento de produtos, direcionar a publicidade às reais características dos proprietários das informações, entre as outras possibilidades. Deste modo, a monetarização dos dados pessoais é vital para uma parcela bastante representativa de novas ofertas digitais, serviços e produtos. Em uma declaração que se tornou bastante popular na Europa e no mundo, a comissária europeia de consumo, Meglena Kuneva, deixou claro que “os dados.

(19) 19. pessoais são o novo óleo da Internet e a nova moeda do mundo digital” (BARLOW, 2010).. A exposição dos dados pessoais de empregados pode potencializar o roubo de identidade dos titulares das informações, fraude, perseguição, marketing abusivo ou espionagem. O vazamento de informações pessoais também pode causar lesões financeiras, prejuízos, sofrimento emocional, e até mesmo violência física (SOLOVE, 2007). O impacto financeiro organizacional pela perda de dados pode manifestar-se por meio da perda de receita, danos à reputação, multas reguladoras e a redução da produtividade (ACFE, 2013).. Somente em 2015, 22,9 milhões de registros de organizações brasileiras foram expostos ou comprometidos de alguma forma, permitindo ao Brasil ocupar a quinta posição no ranking de registro expostos ou comprometidos em comparação com mais 11 países, somado a isto, entre as causas das ocorrências de violação de dados, à negligência de empregados ocupa o segundo lugar no ranking brasileiro (PONEMON, 2015).. 1.4 ESTRUTURA DO TEXTO. O texto é composto pela introdução com as informações dos objetivos da pesquisa e a justificativa do estudo. O referencial teórico tendo como base pesquisas e estudos anteriores sobre proteção de dados, os procedimentos metodológicos abordados, a análise os resultados e, por fim, a conclusão desta pesquisa com o resultado do que foi analisado..

(20) 20. 2 REFERENCIAL TEÓRICO 2.1 A PROTEÇÃO DOS DADOS PESSOAIS NAS ORGANIZAÇÕES Dados e informações possuem significados parecidos, mas expressam sentidos diferenciados, o dado pessoal é toda informação em estado primitivo. A informação alude a algo além da representação contida no dado e revela um fato concreto sobre uma pessoa, características ou ações atribuídas (WIENER, 2010). Para a entidade norte-americana que congrega os profissionais da área contábil, o American Institute of Certified Public Accountants – AICPA (2009), a informação pessoal esta relacionada com o indivíduo de modo a identifica-lo, tais como, o nome, data de nascimento, endereço e número de telefone.. Informações relativas à origem racial ou etnia, opiniões políticas, filosóficas, religiosas, filiação sindical, vida sexual e os dados relacionados a saúde são considerados sensíveis, podem desencadear a discriminação da pessoa titular das informações (WEINSCHENKER, 2012).. Os dados sensíveis são frutos de uma necessidade pragmática ligada à privacidade das informações pessoais. A própria seleção dos dados pelas organizações provém de uma avaliação de que a circulação de determinadas espécies de informação pode apresentar elevado potencial lesivo aos seus titulares (WIENER, 2010).. A tratativa dos dados pessoais em grande quantidade somente tornou-se possível com a automatização e processamento por meio de bancos de dados informatizados. O aumento no volume de tratamento de informações pessoais não foi meramente quantitativo, pois resultou na viabilização de práticas de coleta e maior desenvoltura no seu tratamento e utilização (WIENER, 2010).. Quando as pessoas compartilham suas informações pessoais a terceiros, seja para o cadastro de emprego ou uma compra na internet, o proprietário dos dados e o destinatário se tornam coproprietários e as partes interessadas tendem a.

(21) 21. negociar regras de proteção de dados a fim de manter a informação de forma confidencial (CHANG; LEE; WANG, 2015).. As empresas, geralmente, armazenam dados em servidores onde o acesso físico a estes equipamentos nem sempre é restrito. Existe a possibilidade do servidor ou estação possuírem acesso liberado e ilimitado à Internet, o que aumenta o risco de um incidente de vazamento de informações. Na média empresa, o cenário é menos problemático, porém não o ideal, principalmente, devido à conscientização dos funcionários sobre segurança da informação (NETTO; SILVEIRA, 2007).. A proteção de dados pessoais é compreendida como um fenômeno coletivo entre organizações e os proprietários das informações pessoais, na medida em que os danos causados pelo processamento impróprio dos dados, por natureza, difusos, exige igualmente uma tutela jurídica coletiva. É recomendável que as organizações exerçam o respeito à vida pessoal privada dos proprietários das informações pessoais, uma vez que a prática comum e crescente de coleta e tratamento de informações pessoais, ainda que destinada a propósitos lícitos, pode colocar em risco um direito maior de respeito à vida privada dos titulares dos dados (CASTRO, 2002).. As organizações têm o compromisso de utilizar os dados coletados exclusivamente para cada objetivo específico e manter em suas bases de dados somente informações pessoais relevantes e exigidas legalmente. Algumas dessas informações podem ser utilizadas pela própria organização e outras repassadas para terceiros, mas é importante que possuam o mesmo nível de comprometimento e seriedade da organização cedente no tratamento das informações pessoais (FONTES, 2006). Segundo o Information Commissioner’s Officer – (ICO, 2011), autoridade independente do Reino Unido foi criada para defender os direitos de informação no interesse público, os registros de dados no ambiente organizacional envolvem informações pessoais, que se usadas sem o devido cuidado, podem afetar a privacidade do titular das informações..

(22) 22. As pessoas percebem a grande quantidade de dados em relação a sua personalidade, hábitos, costumes, religião, estilo de vida e ressentem o uso secundário não autorizado de suas informações pessoais. O uso não autorizado de informações pessoais pode provocar uma resposta negativa para o proprietário das informações que pode ter seus dados invadidos e sofrer possíveis perdas financeiras, discriminação ou ser vítima de inúmeros tipos de fraudes enquanto a organização possuidora dos dados pode sofrer perdas financeiras e de imagem (MILBERG; SMITH; BURKE, 2000).. De acordo com a Association of Certified Fraud Examiners - ACFE (2013), a falta de conscientização entre os empregados de organizações que lidam com dados pessoais sobre o que exatamente constitui informações proprietárias, pode conduzir inevitavelmente à perda acidental das informações organizacionais. Os meios mais propicios de vazamento de informações são: a perda de computadores portáteis contendo informações privadas sem medidas de segurança como a proteção por senhas ou criptografia de arquivos, descartar em lixeiras documentos importantes antes de destruir ou mesmo discutir informações confidenciais em lugares públicos onde pessoas alheias possam ouvir.. Embora nenhuma organização esteja imune aos riscos de violação de dados, várias medidas podem ser tomadas para aumentar a segurança, proteger os sistemas e reduzir as chances de ser vítima de fraude já que o próprio funcionário pode expor informações confidenciais pela falta de consciência ou com o propósito de vender as informações, entre outras possibilidades, de forma criminosa (ACFE, 2013).. 2.2 A VIOLAÇÃO DE DADOS NAS ORGANIZAÇÕES E SUAS IMPLICAÇÕES Um ambiente organizacional com poucas medidas de segurança, como políticas e procedimentos de segurança da informação é mais suscetível à ocorrência de vazamento de informações que pode estar vinculada a venda ou aluguel de nomes de potenciais clientes, endereços, números de telefone, histórico de compras, categorizações, etc (MILBERG; SMITH; BURKE, 2000)..

(23) 23. Qualquer ameaça deve ser vista como uma violação potencial na segurança do sistema de informação, pois pode causar consequências que podem afetar toda a organização (SERBAN; STEFAN; IONESCU, 2014). De acordo com Culnan e Williams (2009) o problema da violação de privacidade pode causar diversos danos para as organizações e indivíduos, conforme exposto no quadro 1. Quadro 1: Danos causados pela perda de dados organizacionais:. Descrição Perda financeira Violação da privacidade Perda de vantagem competitiva Violação das leis Interrupção do negócio. Consequência Perda de receita por danos à reputação, multas reguladoras, redução da produtividade, etc. Sujeita a clientes ou funcionários a constrangimento, discriminação ou tratamento de forma injusta. Perda da reputação de uma organização aos olhos do público. Processos judiciais e multas regulamentares. Fechamento da organização.. Fonte: ACFE (2013). Informações pessoais que foram recolhidas e por algum motivo não estão sendo utilizadas para os devidos fins do recolhimento, devem ser tiradas de circulação (FONTES, 2006). No meio eletrônico essa ação é chamada de anonimação de bases de dados, seja a pedido do cliente, por ordem judicial ou mesmo por julgar desnecessário manter uma base por longa data. Em meados de 2006, o provedor de serviços de Internet (AOL) anonimizou uma base de 20 milhões de logs de usuários e lançou um desafio com objetivo de testar a sua infraestrutura de segurança da informação certificando se alguém poderia resgatar uma informação anonimizada.. No primeiro dia da ação, hackers mostraram que seria possível levantar as informações dos usuários que foram anonimizadas e foi escolhido aleatoriamente um usuário o de número (4417749), que obteve seu nome de usuário identificado, qual era seu animal de estimação, seu endereço e que o usuário escolhido realizava buscas em sites de homens solteiros acima de 60 anos. A AOL removeu os dados da pesquisa no seu site e indenizou o usuário pela exposição, mas os registros do usuário ainda podem ser encontrados na internet (BARBARO; ZELLER, 2006)..

(24) 24. Diversos outros escândalos envolvendo os dados pessoais ocorreram ao redor do mundo: em fevereiro de 2005, a ChoicePoint que é uma empresa Americana responsável por credenciamento, triagem e autenticação de registros públicos para organizações sem fins lucrativos e agências governamentais enviou cartas a 145 mil clientes notificando-os de que, em 2004, suas informações tinham sido de forma fraudulenta acessadas e usadas para cometerem delitos. A violação foi resultado de falhas no processo de credenciamento de novos clientes e monitoramento dos clientes já credenciados que permitiu a negociação de contratos com empresas que buscavam com o credenciamento somente o acesso a informações pessoais (CULNAN; WILLIAMS, 2009).. Em janeiro de 2007, a americana TJX Companies Inc, um grupo varejista composto por mais de 2.400 marcas emitiu um comunicado a imprensa declarando que havia sofrido uma invasão nos seus sistemas. Na época, a empresa TJX divulgou que cerca de 45 milhões de números de cartões pertencentes a usuários de diversos países foram violados. A TJX foi criticada por armazenar informações confidenciais sem criptografia e por não empregar segurança apropriada aos dados de clientes (PEREIRA, 2007).. O Instituto americano Ponemon (2015), responsável por realizar pesquisas independentes sobre privacidade de dados, revelou que, na maioria das vezes, ataques criminosos em base de dados organizacionais são as maiores causas de violação de dados mundialmente, como apresenta a figura 1. Figura 1: Causas de vazamento de dados nas organizações. Fonte: Instituto Ponemon (2015).

(25) 25. Os custos de uma violação de dados podem variar de acordo com a sua causa. Para calcular o custo médio de uma violação, o Instituto Ponemon levou em consideração os custos diretos, e indiretos, incorridos pela organização no caso de vazamento de informações. Os custos diretos incluem peritos forenses, suporte com canal de denúncia, entre outros, enquanto os custos indiretos incluem a investigação a comunicação do incidente, bem como o valor extrapolado da perda por cliente, estimando-se: Figura 2: Custo médio por tipo de violação. Fonte: Instituto Ponemon (2015) - Nota: países participantes da pesquisa: Arábia, Austrália, Brasil, Canadá, França, Alemanha, Índia, Itália, Japão, Reino Unido e Estados Unidos.. Pesquisa realizada no âmbito mundial, pelo Instituto Ponemon (2015) em 350 empresas de 11 países, apontou que as organizações situadas na região Árabe são mais propensas a sofrerem um ataque criminoso em 56% quando comparado com ocorrências de falha sistêmica que apresenta apenas 20%. As causas das violações de dados variam entre os países: as empresas situadas na Índia foram as mais propensas a sofrerem uma violação de dados por falha do sistema ou falha no processo de negócios..

(26) 26. No Brasil, a pesquisa de proteção de dados organizacional envolveu 34 empresas de 12 setores da indústria e analisou os custos oriundos da perda ou roubo de dados entre os anos de 2013 e 2015, o calculo envolveu a divisão do montante envolvido na violação de dados pelo número de registros perdidos ou roubados e o resultado apresentou um crescimento aproximado de (11%) tendo o custo médio por violação em 2015 atingido R$ 175,00 (PONEMON, 2015).. Os resultados da pesquisa sugerem que os custos de violação de dados variam consideravelmente por setor da indústria. As de serviços, comunicação e energia apresentaram valores acima da média global de R$ 175,00 por violação conforme figura 3. Figura 3: Custo unitário por vazamento e setor organizacional em (R$ BRL). Fonte: Instituto Ponemon (2015). As. organizações. que. sofreram. algum. tipo. de. perda. de. dados. organizacionais geralmente tomam medidas na prevenção de novas ocorrências de vazamento de dados. O quadro 2 apresenta uma série de medidas mais utilizadas a fim de minimizar o risco de vazamento de dados e sua evolução..

(27) 27. Quadro 2: Controles preventivos de Governança. Controle Procedimentos e controles adicionais Expansão do uso de criptografia Programas de treinamento e conscientização Sistemas de inteligência de segurança Soluções para gerenciamento de identidade e acesso Certificação de segurança e auditoria Reforço dos controles Prevenção de perdas de dados (DLP) Soluções de segurança de endpoint Outros controles. 2013. 2014. 2015. 52%. 55%. 44%. 2%. 33%. 44%. 40%. 43%. 40%. 15%. 28%. 35%. 27%. 31%. 35%. 26%. 25%. 23%. 19%. 26%. 23%. 19%. 27%. 23%. 18%. 30%. 25%. 11%. 9%. 6%. Fonte: Instituto Ponemon (2015). De acordo os dados apresentados, com relação ao ano de 2015, procedimentos e controles adicionais e extensão do uso de criptografia estão entre as medidas mais utilizadas na prevenção de vazamento de informações organizacionais, tendo o uso de criptografia apresentado crescimento ascendente quando comparado com os dados da pesquisa realizada em 2013.. 2.3 MEDIDAS ORGANIZACIONAIS NA PREVENÇÃO DE VAZAMENTO DE DADOS Políticas, procedimentos e atividades de controle fazem parte de uma estrutura de controle organizacional e são concebidas para assegurar que riscos que possam prejudicar o cumprimento dos objetivos e metas da organização sejam contidos (GLEIM, 2009). As políticas relacionadas a segurança da informação têm por objetivo definir o tratamento que deve ser dado às informações armazenadas, processadas ou transmitidas no ambiente de tecnologia da organização (FONTES, 2012)..

(28) 28. As medidas de controle mais comuns a serem tomadas pelas organizações a fim de proteger a segurança dos dados pessoais de acordo com (SERBAN; STEFAN; YONESCU, 2014) são: Quadro 3: Medidas de proteção de dados. Medidas. Descrição. Controle de acesso. Método que garante o acesso a uma área restrita somente a pessoas com a devida autorização.. Controle do uso de Impressão. Método que garante que somente documentos autorizados e de modo restrito possa ser impresso, evitando assim a circulação de informações confidenciais.. Controle de integridade. Método que verifica a veracidade da informação evitando a manipulação de informações.. Uso da criptografia. Princípios e técnicas utilizadas para cifrar a escrita, torná-la ininteligível para os que não tenham acesso e legível somente ao destinatário final.. Políticas de segurança. Conjunto de regras e diretrizes com intuito de proteger as informações e os ativos que é algo que influi direto ou indiretamente na organização da empresa.. Fonte: (SERBAN; STEFAN, YONESCU, 2014). As. atividades. organizacionais. são. quase. sempre. realizadas. ou,. supervisionadas por seres humanos, fato que pode colaborar para o aumento da perda de informação, seja por atos intencionais ou por possíveis erros na tratativa das informações (MILBERG; SMITH; BURKE, 2000).. Na busca pela segurança das informações, as organizações tendem a implementar uma estrutura de governança global que envolve a diretoria, administração e empregados que utilizam ou gerenciam dados organizacionais a fim de conscientizar sobre as práticas justas de segurança, regras e procedimentos (CULNAN; WILLIAMS, 2009).. Regras e procedimentos de proteção de dados são documentos estáticos que refletem as metas de segurança de uma empresa. Assim, se as políticas não são monitoradas pela organização e adaptadas para o ambiente em mudança e com.

(29) 29. novas ameaças pode prejudicar as atividades dos empregados no controle e segurança das informações (FLORES; ANTONSEN; EKSTEDT, 2014).. A privacidade da informação contribui para a motivação intrínseca das pessoas no trabalho, melhorando a sensação de poder psicológico. As pessoas que acreditam ter controle sobre as informações pessoais que divulgam para o grupo, sentem. psicologicamente. menos. constrangidas. pela. segurança. que. os. procedimentos e normas aspiram além de experimentar maior senso de autodeterminação e sentido no que fazem (ALGE et al., 2004).. Controles de segurança da informação são criados com a finalidade de proteger a integridade e segurança das informações estratégicas e operacionais das organizações e minimizar o risco de alterações de informações de forma indevida (FONTES, 2006). O quadro 4 apresenta as possíveis medidas para garantir a integridade das informações organizacionais. Quadro 4: Medidas para garantir a integridade das informações. Medidas. Descrição. Disponibilidade. A informação deve estar acessível para o funcionamento da organização e alcance dos seus objetivos e metas.. Integridade. A informação deve estar correta, ser verdadeira e integra.. Confidencialidade. A informação deve ser acessada e utilizada exclusivamente pelos que necessitam para a realização de suas atividades profissionais na organização; para tanto, deve existir uma autorização prévia.. Legalidade. O uso da informação deve estar de acordo com as leis aplicáveis, regulamentos, licenças e contratos, bem com os princípios éticos seguidos pela organização e desejados pela sociedade.. Editabilidade. O uso da informação deve ser registrado possibilitando a identificação do acesso e o que foi feito com a informação.. Não repúdio autoria. de. O usuário que gerou ou alterou alguma informação (arquivo de texto ou mensagem de correio eletrônico) não pode negar o fato, pois existem mecanismos que garantem sua autoria.. Fonte: Adaptado de FONTES (2006). A gama de controles internos aplicáveis e destinados à segurança física, tecnológica e humana é ampla. O capital humano pode ser o elo mais crítico e.

(30) 30. relevante para a redução dos riscos de vazamento de informações, entretanto, a organização pode utilizar técnicas de conscientização para o empregado que varia de: seminários de sensibilização que possam esclarecer a criticidade de um vazamento de informação, curso de capacitação ao empregado com relação ao manuseio e segurança da informação, estabelecer e divulgar políticas de segurança aos empregados, estabelecer procedimentos específicos para tratamento de recursos terceirizados, desenvolver termos de responsabilidade e confidencialidade onde o empregado seja responsável pelos seus atos perante a segurança, entre outros (SÊMOLA, 2003).. Legislações e regulamentos sobre proteção de dados estão a evoluir e o empregador deve medir o progresso de sua eficiência com relação à gestão. A organização profissional dos contadores públicos, American Institute of Certified Public Accountants-AICPA (2011) desenvolveu princípios de privacidade levando em consideração regulamentos internacionais e locais conforme apresenta o quadro 5: Quadro 5: Princípios de controle das informações privadas. Princípio Gerenciamento. Definição A organização define documentar, comunicar e atribuir responsabilidade por políticas e procedimentos de privacidade.. Aviso. A organização alerta a existência de políticas de privacidade, informa o motivo da coleta, uso e retenção dos dados pessoais.. Escolha/ consentimento. A organização obtém o consentimento implícito ou explícito com relação à coleta, uso e divulgação das informações pessoais.. Coleta. A organização coleta informações pessoais apenas para os fins identificados na comunicação.. Uso e retenção. A organização limita o uso de informações pessoais ao propósito identificado na notificação e os quais possuem o consentimento.. Acesso. A organização proporciona somente aos indivíduos com acesso a informações pessoais a revisão e correção.. Divulgação a terceiros. A organização divulga as informações pessoais conforme comunicado no ato da coleta e com o consentimento do indivíduo.. Qualidade. A organização a manter de forma precisa e completa as informações pessoais relevantes.. Monitoramento e execução. A organização monitora o cumprimento das suas políticas de privacidade par garantir o cumprimento.. Fonte: (AICPA/CICA, 2006)..

(31) 31. A gestão de segurança da informação pode envolver mais do que gerenciar os recursos de tecnologia como hardware e software, mas também pessoas e processos. A política de segurança e a conscientização dos usuários são formas de controlar a segurança (NETTO; SILVEIRA, 2007).. Políticas e regulamentos organizacionais são considerados mediadores na maximização. dos controles e. da segurança da informação. e. auxilia. o. comportamento dos empregados responsáveis pelo manuseio das informações pessoais, dessa forma é fundamental para as organizações o conhecimento e compreensão de suas políticas e regulamentos por parte do capital humano, cabendo ao empregado a decisão de cumprir as políticas mediante os custos e benefícios do compliance (BULGURCU; CAVUSOGLU; BENBASAT, 2010).. 2.4 BENEFÍCIOS PERCEBIDOS DE COMPLIANCE O termo compliance origina-se do verbo inglês to comply, que significa cumprir, executar, observar, satisfazer o que lhe foi imposto. Compliance é o dever de cumprir e fazer cumprir, estar em conformidade com leis, diretrizes, regulamentos internos ou externos, buscando mitigar o risco à reputação e o risco legal ou regulatório (COIMBRA; MANZI, 2010). A existência de procedimentos que regulamentam o comportamento dos empregados dentro da organização é o que faz a manutenção da rotina de cada companhia. A aplicação de penalidades pelo ferimento das regras é a prova de que o código de ética da empresa não é uma mera formalidade, mas que existe para ser seguido à risca. Quando os empregados percebem que existe uma dicotomia entre ação e reação a tendência é desacreditarem que serão punidos ao agirem fora das normas (GIEREMEK, 2015).. Entre os fatores motivacionais que levam o empregado cumprir os procedimentos de segurança da informação (PSI) está o custo, esforço e os benefícios de, por exemplo, alterar a senha do computador ou sistema periodicamente (BULGURCU; CAVUSOGLU; BENBASAT, 2010)..

(32) 32. As ações humanas são assumidas por fatores motivacionais, tão logo, a pessoa é quem decide a maneira de agir (AJZEN, 1985). Entre outros, os motivadores do modelo do comportamento individual de proteção da tecnologia de informação contra possíveis violações de segurança podem ser vistos no quadro 6. Quadro 6: Definições e origens de construtos originados da Teoria do Comportamento Planejado. Construto Atitude relacionada ao cumprimento da política de segurança da informação. Crenças Normativas. Auto eficácia no cumprir. Intenção de Cumprir. Definição O grau em que comportamento de positivamente.. o desempenho do adesão é avaliado. Pressão social percebida de um empregado sobre a conformidade com os requisitos das Políticas de Segurança da Informação causados por expectativas de comportamento de tais referências importância como executivos, colegas e gestores. A auto eficácia para cumprir julgamento de um empregado das competências pessoais, conhecimento, ou competência acerca do cumprimento dos requisitos das Políticas de Segurança da Informação. A intenção de um empregado em proteger a tecnologia de informação e recursos da organização de potenciais violações.. Fonte: Adaptado de (BULGURCU; CAVUSOGLU; BENBASAT, 2010).. As políticas de segurança da informação consistem na formalização dos anseios da organização quanto à proteção de suas informações a fim de minimizar os riscos da perda dessas informações (ZANON, 2014). Deste modo, cumprir os requisitos de segurança, regras e procedimentos pode estar relacionado com os riscos de perda privacidade (BULGURCU; CAVUSOGLU; BENBASAT, 2010).. 2.5 RISCOS DE PERDA DE PRIVACIDADE A privacidade das informações é um assunto que preocupa os profissionais em diversos contextos organizacionais, pois está se tornando componente de perda organizacional devido às diversas fragilidades relacionadas a segurança das informações (STONE; STONE, 1990)..

(33) 33. A preocupação individual com o risco de vazamento de informações pessoais pode estar associada às bases de dados combinada a partir de inúmeras fontes, também denominadas efeito mosaico (SMITH; MILBERG; BURKE, 1996).. Nas transações de consumo, o cliente quase sempre detalha o seu comportamento e preferências de modo que seus hábitos de compras são facilmente projetados e podem ser compartilhados com terceiros, caso os meios de proteção de dados pessoais das organizações sejam frágeis e apresentarem indícios que os dados coletados possam ser direcionados a terceiros sem os cuidados de segurança necessários. Esta fragilidade impacta diretamente na preocupação dos titulares da informação e como consequência, poderão deixar de divulgar suas informações em futuras relações de consumo (CULNAN, ARMSTRONG, 1999).. A atitude pessoal pode ser um dos fatores que norteia os efeitos dos benefícios de compliance e leva em consideração os benefícios e o custo do não cumprimento. das. políticas. de. segurança. da. informação. (BULGURCU;. CAVUSOGLU; BENBASAT, 2010). A pessoa que apresenta preocupação com suas informações pessoais tende a se comportar de modo a manter seus dados em segurança (DOLNICAR; JORDAAN, 2006). Portanto, elabora-se a primeira hipótese deste estudo.. Hipótese 1 (H1) A percepção do risco de perda de privacidade influencia positivamente os benefícios percebidos de compliance.. O objetivo de uma política de proteção de privacidade é estabelecer as condições em que o empregador irá processar dados pessoais e garantir que todos na empresa tenham o conhecimento e estejam cientes de suas responsabilidades individuais e expectativas do empregador sobre a manutenção da privacidade das informações pessoais (COOPER, 2013)..

(34) 34. 2.6 CREDIBILIDADE NOS CONTROLES ORGANIZACIONAIS Criada em 2002, com o objetivo de recuperar a credibilidade do mercado de capitais norte-americano, a Lei Sarbanes-Oxley (SOX) trouxe a implementação de controles internos confiáveis como desafios para as empresas brasileiras com ações negociadas no mercado dos Estados Unidos com objetivo de minimizar o ocorrência de golpes bilionários, como o caso da Enron, em 2001 e com a WorldCom, em 2003. Essa lei impõe controles e procedimentos que intensificam e aumenta a responsabilidade dos executivos das empresas listadas no mercado de capitais norte-americano, regulamentado pela Securities and Exchange Commission (SEC), instituição equivalente à Comissão de Valores Mobiliários (CVM) do Brasil. Sua principal finalidade é restaurar a credibilidade dos investidores no mercado de capitais (SILVA et.al., 2009).. A alta administração é responsável pelo controle interno e a estrutura de governança precisa estabelecer políticas e expectativas de como os membros devem supervisionar os controles internos da entidade. A estrutura de governança deve ser informada sobre os riscos à realização dos objetivos da entidade, as avaliações das deficiências do controle interno, as medidas tomadas pela administração para mitigar esses riscos e deficiências e sobre como a administração avalia a eficácia do sistema de controle interno da entidade (COSO, 2013).. Voltado a privacidade, a percepção de controles organizacionais pelos proprietários das informações pessoais é vista como um dos meio mais importantes para reduzir as preocupações com a sua privacidade (WU et al., 2012).. A privacidade é uma questão organizacional, a ausência de políticas e controles que regem o uso adequado de informações pessoais nas organizações pode gerar o risco de utilização inadequada dessas informações por um único funcionário ou por um departamento trazendo consequências negativas para a empresa (CULNAN; ARMSTONG, 1999).. Os titulares das informações pessoais estão aptos a revelar suas informações pessoais se as suas preocupações sobre privacidade são amparadas.

(35) 35. por. controles. paltados. em. políticas. e. procedimentos. justos. (CULNAN;. ARMSTRONG, 1999).. Se o proprietário das informações pessoais percebe que as organizações estão tratando suas informações pessoais de forma responsável e que as políticas e procedimentos são suficientes na garantia de proteger dos seus dados, espera-se maior credibilidade nos controles e menor preocupação com a privacidade, por outro lado, se ações de segurança são despercebidas à preocupação do proprietário das informações deve se intensificar (EMERSON, 1962).. Os riscos relacionados à segurança da informação são um grande desafio para muitas organizações, uma vez que esses riscos podem gerar conseqüências terríveis, incluindo a responsabilidade corporativa, perda de credibilidade, e danos monetária (CAVUSOGLU; CAVUSOGLU; RAGHUNATHAN, 2004).. A credibilidade no controle pode ser o primeiro passo para aliviar as preocupações com a privacidade entre os proprietários das informações pessoais (DOLNICAR; JORDAAN, 2006). Nesse sentido, desenvolve-se a segunda hipótese do estudo.. Hipótese 2 (H2) A credibilidade nos controles organizacionais influencia negativamente a percepção do risco de perda de privacidade. Os proprietários das informações pessoais podem passar por experiências positivas ou negativas na disponibilização de suas informações pessoais, entretanto, mesmo que o indivíduo possua mais experiências positivas, um único evento negativo aumentará a sua preocupação com relação aos seus dados pessoais (OKAZAKI; LI; HIROSE, 2009).. Algumas pessoas podem desenvolver atitudes sobre a percepção do risco de perda de privacidade somente após terem tido alguma experiência negativa com o uso inadequado de suas informações por terceiros (CULNAN, 1995)..

(36) 36. 2.7 EXPERIÊNCIA NEGATIVA DE PERDA DE PRIVACIDADE. Nos Estados Unidos, somente em 2014, estima-se que aproximadamente 110 milhões de americanos, o equivalente a cerca de 50% dos adultos dos EUA tiveram seus dados pessoais expostos nos diversos meios eletrônicos (KELLY, 2014).. Quebra de segurança e perdas de dados são relatadas quase diariamente e os motivos variam da invasão ocasionada por hackers a manipulação de dados de forma imprória (FERRI; GIANNETTI; JENTZSCH, 2015). A cada cinco jovens usuários de Internet quatro acreditam que a suas informações pessoais são utilizadas sem o seu conhecimento e compartilhadas com terceiros, uma vez que as publicidades por meio da internet estão cada vez mais voltadas ao seu perfil e comportamento (KUNEVA, 2009).. O comportamento oportunista que envolve informações pessoais pode incluir a recolha da informação, processamento e a disseminação desordenada, assim um antecedente negativo pode afetar a atitude de uma pessoa, principalmente quando tiver que divulgar qualquer dado pessoal (XU et al., 2011).. Após uma experiência negativa relacionada à perda de informações pessoais, os proprietários das informações ressentem em fornecer suas informações novamente devido ao risco de novo incidente, assim serão menos propensos a confiar nas organizações. Experiências negativas de privacidade pode aumentar a percepção de risco dos consumidores quanto a divulgação de suas informações pessoais, Bansal; Zahedi, (2015) e afetar a confiança nas empresas (YANG, LIU, 2013). Neste sentido, propõe-se a seguinte hipótese:. Hipótese. 3. (H3). Experiência. negativa. de. privacidade. influencia. positivamente a percepção do risco de perda de privacidade. Uma vez que o titular da informação pessoal tenha vivenciado uma experiência negativa com a violação de seus dados, eles serão mais sensíveis à questão da privacidade, aumentando o seu nível de preocupação com o sues dados. Caso o proprietário da informação pessoal não acredite nos controles internos da.

(37) 37. organização possuidora de seus dados pessoais ou perceba o mau uso dos seus dados pessoais, ele tende a solicitar a remoção de seus dados dessa companhia. (DOLNICAR, JORDAAN, 2006). Deste modo, elabora-se a quarta hipótese:. Hipótese. 4. (H4). Experiência. negativa. de. privacidade. influencia. negativamente a credibilidade nos controles organizacionais.. Um ambiente favorável à criatividade e inovação é maximizado pela confiança organizacional (BAIRD; AMAND, 1995). Entretanto, danos causados a privacidade resultante do acesso não autorizado pode incluir uma quebra de confiança organizacional (CULNAN; WILLIAMS, 2009).. 2.8 CONFIANÇA NA ORGANIZAÇÃO A confiança na organização é um recurso extremamente valioso com significativo efeito sobre a satisfação no trabalho e bem-estar do empregado (HELLIWELL, 2005). A confiança pode ser representada pela vontade de assumir o risco Mayer; Davis e Schoorman, (1995), ou um estado psicológico que compreende a intenção de aceitar vulnerabilidades baseada em expectativas positivas (ROUSSEAU, 1998).. A experiência positiva com relação à segurança de uma organização aumenta a percepções do cliente de que esta empresa pode ser confiável e reflete uma vontade de assumir os riscos na divulgação de seus dados pessoais. A confiança cria comutação de custos, aumentando a probabilidade de que o cliente irá continuar o relacionamento com a empresa (MAYER; DAVIS; SCHOORMAN, 1995).. O indivíduo que possui certo nível de confiança na organização pode ser impactado caso seja vítima de violação dos dados pessoais, a organização, por sua vez, pode garantir à privacidade dos dados pessoais por meio de políticas destinadas a proteção de informações pessoais (KRAMER, 1998)..

(38) 38. Empregados geralmente confiam nas organizações pelos padrões éticos e solidez organizacional, no entanto, a quebra da confiança para com a organização imprime ao grupo a condição de falência social, em que as relações interpessoais se apresentam altamente comprometidas pela quebra de confiança (CUNHA et al., 2014).. A confiança entre proprietário das informações pessoais e organização é direcionada aos atributos utilizados pela organização para maximizar a proteção de privacidade e ao poder dado às organizações no gerenciamento e divulgação dos seus dados privados. Se uma organização possui políticas de privacidade robustas, os titulares das informações podem sentir maior controle sobre seus dados (CHANG; LEE, 2015).. Do mesmo modo que a confiança é um antecedente direto das intenções de transação ele atua como um antecedente indireto através do risco percebido sobre o fornecimento de dados pessoais a um sistema de informação (PAVLOU, 2003).. Quanto mais grave for a violação dos dados, existe a possibilidade da redução da confiança na organização e o reparo da confiança depende da resposta da organização e da extensão do dano causado à essa confiança. A tentativa de reparar os danos pode ocorrer através de pedido de desculpas, negação ou nenhuma resposta por parte da organização responsável pelo dano (BANSAL; ZAHEDI, 2015).. A redução de risco nas transações contribui para a relação de confiança, Santos e Fernandes (2005). Uma vez que um indivíduo estabelece a confiança em uma entidade por meio da percepção de segurança de que seus dados pessoais estão armazenados de maneira segura, ele provavelmente apresenta níveis reduzidos de preocupação com o risco de privacidade porque vê a probabilidade de resultado negativo reduzida (MILTGEN; SMITH, 2015). Portanto, elabora-se a seguinte hipótese:.

(39) 39. Hipótese 5 (H5) A confiança na organização influencia negativamente a percepção do risco de perda de privacidade. A confiança consiste nas expectativas mantidas pelo proprietário das informações pessoais de que a empresa em que trabalha cumprirá suas responsabilidades organizacionais de forma adequada (TERRES; SANTOS; ALVES, 2009). Partindo da confiança na organização, empregados podem agir em compliance com as políticas de proteção de dados pessoais, pois acreditam no benefício nesta relação.. O tratamento adequado das informações pessoais é essencial para a construção da relação de confiança entre o proprietário das informações pessoais e a organização ao qual possui algum tipo de relacionamento (CULNAN; ARMSTRONG, 1999). Os mecanismos de controle das informações pessoais podem ser percebidos positivamente pelos empregados como beneficio e favorecer o cumprimento. das. políticas. de. segurança. da. informação. (BULGURCU;. CAVUSOGLU; BENBASAT, 2010). Deste modo, elabora-se a hipótese 6 e 7 deste estudo. Hipótese 6 (H6) A Confiança na organização influencia positivamente os benefícios percebidos de compliance.. Hipótese 7 (H7) A Confiança na organização influencia positivamente a credibilidade nos controles organizacionais. Após apresentação das hipóteses a serem testadas, elabora-se o modelo conceitual da pesquisa na figura 4..

(40) 40. Figura 4: Modelo conceitual da pesquisa. Fonte: Elaborado pela autora.

(41) 41. 3. PROCEDIMENTOS METODOLÓGICOS Esta é uma pesquisa de abordagem quantitativa que buscou compreender a realidade por meio da coleta de dados de profissionais a respeito da proteção de dados pessoais.. No cerne da defesa do método quantitativo enquanto suficiente para explicarmos a realidade social está a questão da objetividade no tratamento dos dados (MINAYO, 1995).. Nesta pesquisa, para a coleta dos dados brutos foi utilizado um questionário com escalas validadas com o objetivo de testar as hipóteses propostas no referencial teórico.. 3.1 INSTRUMENTO DE MEDIDA O primeiro passo para a obtenção das escalas foi uma revisão da literatura para o desenvolvimento do instrumento de medida. A partir de então foi dimensionado um questionário contendo uma parte introdutória com objetivo da pesquisa, questões relacionadas ao sigilo do respondente e a forma de utilização dos dados.. 3.1.1 Indicadores do construto As escalas internacionais utilizadas neste estudo foram adaptadas ao contexto organizacional brasileiro, para isto foi necessária a tradução do idioma inglês para o português. Os construtos Percepção do risco de perda de privacidade e Credibilidade nos controles organizacionais, originaram de um estudo internacional relacionado a políticas de proteção de dados pessoais no âmbito governamental com foco na União Europeia e Estados Unidos, nesse sentido, foram necessárias além da tradução realizar a adaptação ao contexto das políticas organizacionais do Brasil. Após a tradução e realizar adaptação ao contexto organizacional, um préteste foi aplicado a 30 empregados de organizações brasileiras com objetivo de.

(42) 42. aprimorar o questionário por meio da avaliação dos comentários e dúvidas apresentadas pelos respondentes.. Para testar as hipóteses propostas no modelo conceitual da pesquisa, utilizou-se de escalas validadas do tipo LIKERT. As escalas utilizadas são de sete pontos onde (1) representa que o respondente “Discorda totalmente” e (7) “Concordo totalmente” sobre cada afirmativa. Para o construto experiência anterior de privacidade o número (1) representa “Nunca” e o número (7) representa “Sempre” sobre cada afirmativa.. O quadro 7 apresenta de forma resumida as referências que serviram de base para a elaboração do instrumento de medida:. Quadro 7: Construtos originais e autores. Construto. Referências Bibliográficas. Benefícios percebidos de compliance. Bulgurcu; Cavusoglu; Benbasat (2010).. Percepção do risco de perda de privacidade e Credibilidade nos controles organizacionais. Miltgen; Smith (2015).. Experiência negativa de privacidade. Confiança na organização. Smith; Milberg; Burke (1996).. Terres; Santos; Alves (2009).. Fonte: elaborada pela autora. Com base nas variáveis originais, um questionário contendo 27 itens foi elaborado e estão representados nos quadros de 08 a 13..

(43) 43. Quadro 8: Itens do construto percepção dos benefícios de compliance. Variável original My compliance with the requirements of the ISP would be favorable to me.. Variável adaptada Seguir as exigências de políticas de segurança da Informação da empresa onde trabalho é favorável para mim.. Seguir as exigências de políticas de segurança My compliance with the requirements da informação da empresa onde trabalho resulta of the ISP would result in benefits to me em benefícios. Seguir as exigências de políticas de segurança My compliance with the requirements of da informação da empresa onde trabalho criar the ISP would create advantages to me. vantagens para mim. Seguir as exigências de políticas de segurança My compliance with the requirements of da informação da empresa onde trabalho the ISP would provide gains to me. proporciona ganhos. Fonte: elaborada pela autora, adaptado de Bulgurcu; Cavusoglu, Benbasat (2010).. Quadro 9: Itens do construto Percepção do risco de perda de privacidade. Variável original. Variável adaptada. Minha reputação pode ser comprometida pelas My reputation may be damaged by informações presentes nos sistemas da empresa online personal information. onde trabalho. Minha segurança pessoal pode estar em risco My personal safety may be at risk due devido a presença dos meus dados pessoais nos to online personal information. sistemas da empresa onde trabalho. My identity is at risk of the online.. A presença dos meus dados pessoais nos sistemas da empresa que trabalho são passíveis de apropriação indevida.. My views and behavior may be misrepresented based on online personal information.. Meu ponto de vista e comportamento pode ser mal interpretado com base nos dados pessoais presentes nos sistemas da empresa onde trabalho.. I may be victim of ﬁnancial fraud online.. Eu posso ser vítima de fraude financeira com meus dados presentes nos sistemas da empresa onde trabalho.. Companies possess information about me that I consider private.. A empresa onde eu trabalho possui informações sobre mim que eu considero privado..