Documente Academic
Documente Profesional
Documente Cultură
So Caetano do Sul
2007
FICHA CATALOGRFICA
da
So Caetano do Sul
2007
Reitor:
Prof. Dr. Larcio Baptista da Silva
Pr-Reitor de Ps-graduao e Pesquisa:
Prof. Dr. Ren Henrique Licht
Coordenador do Programa de Mestrado em Administrao:
Prof. Dr. Eduardo de Camargo Oliva
AGRADECIMENTOS
LISTA DE GRFICOS
Grfico 1: evoluo dos ataques externos reportados no Brasil ...................... 20
Grfico 2: cargo................................................................................................ 66
Grfico 3: departamento................................................................................... 67
Grfico 4: deciso de compra........................................................................... 67
Grfico 5: nmero de empregados................................................................... 68
Grfico 6: quantidade de computadores .......................................................... 68
Grfico 7: responsabilidade da rea de TI ....................................................... 69
Grfico 8: nvel de informatizao .................................................................... 69
Grfico 9: camada fsica................................................................................... 72
Grfico 10: camada lgica................................................................................ 73
Grfico 11: camada humana ............................................................................ 75
Grfico 12: grau de importncia das ferramentas/tcnicas .............................. 76
Grfico 13: avaliao de segurana nas trs camadas.................................... 78
Grfico 14: histograma de utilizao de ferramentas/ tcnicas ........................ 79
Grfico 15: avaliao de segurana nas trs camadas por porte de empresa. 80
Grfico 16: fatores motivadores ....................................................................... 84
Grfico 17: fatores inibidores............................................................................ 85
Grfico 18: fatores motivadores com a existncia da rea de TI interna.......... 88
Grfico 19: fatores inibidores com a existncia da rea de TI interna.............. 88
Grfico 20: fatores motivadores de acordo com o tamanho da empresa ......... 90
Grfico 21: fatores inibidores de acordo com o tamanho da empresa ............. 90
Grfico 22: fatores motivadores na anlise quantidade de computadores....... 92
Grfico 23: fatores inibidores na anlise quantidade de computadores ........... 92
Grfico 24: fatores motivadores na anlise nvel de informatizao ................ 94
Grfico 25: fatores inibidores na anlise nvel de informatizao..................... 94
LISTA DE TABELAS
Tabela 1: distribuio por atividade de pequenas e mdias empresas ............ 58
Tabela 2: camada fsica ................................................................................... 70
Tabela 3: camada lgica .................................................................................. 72
Tabela 4: camada humana............................................................................... 74
Tabela 5: principais ferramentas ou tcnicas que as empresas no possuem
implantadas............................................................................................... 80
Tabela 6: aderncia s sees da norma ISO 17799 ...................................... 81
Tabela 7: fatores motivadores e inibidores....................................................... 83
Tabela 8: teste Mann-Whitney.......................................................................... 84
Tabela 9: rea de TI interna ............................................................................. 87
Tabela 10: teste Mann-Whitney rea de TI interna ....................................... 87
Tabela 11: tamanho da empresa...................................................................... 89
Tabela 12: teste Kruskal Wallis Tamanho da Empresa................................. 89
Tabela 13: teste Mann-Whitney Pequena Empresa ...................................... 89
Tabela 14: quantidade de computadores ......................................................... 91
Tabela 15: teste Kruskal Wallis Quantidades de Computadores................... 91
Tabela 16: teste Mann-Whitney Acima de 20 micros .................................... 91
Tabela 17: nvel de informatizao dos negcios............................................. 93
Tabela 18: teste Kruskal Wallis Nvel de Informatizao dos Negcios ........ 93
Tabela 19: teste Mann-Whitney Nvel de Informatizao Mdio ................... 93
LISTA DE FIGURAS
Figura 1: componentes do risco e medidas de proteo usadas para reduzi-lo.
.................................................................................................................. 24
Figura 2: escopo da soluo de segurana da informao em camadas......... 33
LISTA DE QUADROS
Quadro 1: normas ISO srie 27000.................................................................. 46
Quadro 2: comparao entre o modelo de Adachi e Diniz e a norma ISO 17799
.................................................................................................................. 47
Quadro 3: comparao entre os domnios de Smola e Beal e a norma ISO
17799 ........................................................................................................ 47
Quadro 4: sees da norma ISO 17799 por camadas ..................................... 48
Quadro 5: estgios de crescimento de TI, segundo Nolan............................... 55
Quadro 6: principais contribuies das entrevistas .......................................... 63
Quadro 7: conjunto de variveis....................................................................... 64
SUMRIO
1 INTRODUO ....................................................................................... 10
2 REFERENCIAL TERICO .................................................................... 14
2.1 Conceito de Segurana da Informao ............................................... 14
2.1.1 Implementao da Gesto da Segurana da Informao ................ 17
2.1.2 Informaes Recentes sobre Segurana da Informao ................. 19
2.2 O Valor das Informaes..................................................................... 21
2.3 Gerenciamento do Risco..................................................................... 23
2.3.1 Ameaas .......................................................................................... 25
2.3.2 Tcnicas de Defesa.......................................................................... 28
2.4 Camadas de Segurana da Informao.............................................. 31
2.4.1 Camada Fsica ................................................................................. 33
2.4.2 Camada Lgica ................................................................................ 34
2.4.3 Camada Humana ............................................................................. 36
2.5 Normas e Padres de Segurana ....................................................... 37
2.5.1 COBIT .............................................................................................. 37
2.5.2 ABNT NBR ISO/IEC 17799:2005 ..................................................... 37
2.5.2.1 Sees e Controles da Norma 17799:2005 .................................. 40
2.5.3 ISO/IEC 27001 ................................................................................. 45
2.6 Domnios da Segurana da Informao .............................................. 47
2.7 Concepes errneas acerca da segurana....................................... 50
2.8 Tecnologia da Informao em pequenas e mdias empresas ............ 51
2.9 Fatores influenciadores para adoo de TI em pequenas e mdias
empresas .................................................................................................. 53
3 METODOLOGIA .................................................................................... 57
3.1 Tipo de Pesquisa ................................................................................ 57
3.2 Amostra e Sujeitos da Pesquisa ......................................................... 57
3.3 Instrumento da Pesquisa..................................................................... 58
3.3.1 Entrevistas para Criao do Questionrio........................................ 59
3.3.2 Principais Resultados das Entrevistas ............................................. 60
3.3.3 Questionrio ..................................................................................... 63
3.4 Procedimentos para Coleta de Dados................................................. 64
3.5 Procedimentos para Anlise dos Resultados...................................... 65
4 ANLISE E DISCUSSO DOS RESULTADOS ................................... 66
4.1 Caracterizao da Amostra................................................................. 66
4.2 Ferramentas e Tcnicas de Gesto da Segurana da Informao ..... 70
4.2.1 Camada Fsica ................................................................................. 70
4.2.2 Camada Lgica ................................................................................ 72
4.2.3 Camada Humana ............................................................................. 74
4.3 Gesto da Segurana da Informao nas Trs Camadas .................. 78
4.4 Aderncia s sees da norma ISO 17799......................................... 80
4.5 Fatores motivadores e inibidores ........................................................ 82
4.5.1 rea de TI interna............................................................................. 87
RESUMO
Este estudo teve como objetivos: 1. verificar em que medida as pequenas e
mdias empresas realizam gesto da segurana da informao e 2. identificar
fatores que influenciam pequenas e mdias empresas a adotarem medidas de
gesto da segurana da informao. Foi realizada pesquisa de natureza
exploratrio-descritiva, e utilizou-se como delineamento o levantamento
(survey). A amostra consistiu em 43 indstrias do setor de fabricao de
produtos de metal situadas na regio do grande ABC. Com base na literatura
sobre gesto da segurana da informao e na norma brasileira de segurana
da informao, foram identificadas as ferramentas ou tcnicas de gesto da
segurana da informao e classificadas em trs camadas: fsica, lgica e
humana. O estudo identificou que a camada humana a que apresenta a
maior carncia de cuidados por parte das empresas, seguida pela camada
lgica. O antivrus a ferramenta/tcnica mais utilizada pelas empresas
pesquisadas para garantir a segurana da informao. A pesquisa relevou que
59% das empresas pesquisadas possuem um nvel de segurana satisfatrio e
que o principal fator motivador para adoo de gesto da segurana da
informao "evitar possveis perdas financeiras". Todos os fatores inibidores
se
mostraram
importantes
para
as
empresas
pesquisadas:
falta
de
ABSTRACT
The objectives of this study were: 1. verify in what measure the small and
medium companies accomplish the management security information and 2.
identify which factors influence the small and medium companies to adopt
measures of management security information. The source research was
exploratory-descriptive and the design was used to the survey. The sample was
compound of 43 metal production industries located in ABC region. According
to management information security literature and Brazilian norm of information
security were identified the tools or techniques of management security
information and classified it into three layers: physic, logic and human. The
study identified that the human layer is the one that presents the major shortage
of cares in the companies followed by the logical one. The companies get used
to have the antivirus as the main security tool/technique according to the
researched companies to guarantee the safety of information. Besides that, the
research showed that 59% of the companies have a safety satisfactory level
and the main motivator factor to adopt the management security information is
"to avoid possible financial loss. On the other hand, all the inhibitors factors
showed important to the researched companies like: lack of knowledge,
investments value, organization culture and difficulty to measure cost/benefit.
10
1 INTRODUO
Com a utilizao dos computadores em diversas organizaes, as
informaes comearam a se concentrar em um nico lugar e o grande volume
dessas informaes passou a ser um problema para a segurana. Os riscos
aumentaram com o uso dos microcomputadores, a utilizao de redes locais e
remotas, a abertura comercial da Internet e a disseminao da informtica para
diversos setores da sociedade.
De forma geral, os mesmos riscos presentes em um ambiente de grandes
computadores tambm existem em ambientes de microcomputadores ou
redes, porm, devido arquitetura aberta das plataformas do tipo PC e
similares esses equipamentos e seus softwares so essencialmente
inseguros. (CARUSO e STEFFEN, 1999).
as
organizaes
tenham-se
beneficiado
desse
avano
11
12
13
14
2 REFERENCIAL TERICO
Para construo do referencial terico deste trabalho, primeiramente foi
pesquisado na literatura da rea o conceito de segurana da informao e os dados
mais recentes sobre incidentes envolvendo o tema; em seguida procurou-se levantar
o valor das informaes organizacionais, sua forma de classificao e sua
importncia para a continuidade do negcio. Numa viso da gesto da segurana da
informao baseada no gerenciamento do risco, foram levantados os principais
componentes do risco e as medidas de proteo adequadas, as ameaas ao
negcio e as possveis tcnicas de defesa. Outros itens pesquisados na literatura
foram as normas internacionais relativas gesto da segurana da informao, seu
histrico e seus itens de controles. Vrios autores foram consultados sobre o uso de
TI em pequenas empresas e gesto da segurana da informao, bem como os
fatores de sucesso e insucesso para sua implementao e os influenciadores para
sua adoo.
15
negcio.
integridade do contedo;
irretratabilidade da comunicao;
16
confidencialidade do contedo;
integridade
disponibilidade
da
informao,
17
Vulnerabilidade: fragilidade que poderia ser explorada por uma ameaa para
concretizar um ataque. Est associada ao prprio ativo, podendo ser
decorrente de uma srie de fatores, como falta de treinamento, falta de
manuteno, falha nos controles de acesso etc;
P = Plan, de planejar
D = Do, de executar
18
em
computadores,
por
isso
as
organizaes
dependem
da
19
20
75722
68000
total de incidentes
72000
54607
60000
48000
36000
28133
25092
24000
12301
12000
3107
5997
0
1999
2000
2001
2002
2003
2004
2005
jun/06
21
22
23
24
diminuir o risco. Para demonstrar essa relao, o autor prope a seguinte equao
do risco de segurana da informao:
RISCO = VULNERABILIDADES x AMEAAS x IMPACTOS
MEDIDAS DE SEGURANA
DESENCADEIAM
EXPEM
MEDIDAS
REATIVAS
REDUZEM
AMEAA +
VULNERABILIDADE
ATAQUE
INCIDENTE
IMPACTO
Erro humano
Desastres
naturais
Fraude
Invaso,
espionagem
etc.
Invaso
Acesso indevido
Insero
incorreta de
dados etc.
Destruio de
dados
Perda de
integridade
Divulgao indevida
Quebra de
equipamentos etc.
Prejuzo
financeiro
Prejuzo para a
imagem
Perda de
eficincia etc.
REDUZEM
MEDIDAS
PREVENTIVAS
Figura 1: componentes do risco e medidas de proteo usadas para reduzi-lo.
Fonte: Beal (2005).
25
2.3.1 AMEAAS
A todo instante os negcios, seus processos e ativos fsicos, tecnolgicos e
humanos so alvo de investidas de ameaas de toda ordem, que buscam
identificar um ponto fraco compatvel, uma vulnerabilidade capaz de
potencializar sua ao. Quando essa possibilidade aparece, a quebra de
segurana consumada. (SMOLA, 2001, p. 18).
26
Vrus so programas de computador capazes de se reproduzir, se autocopiando para disquetes, unidades de redes ou anexos de e-mail.
Geralmente, destroem os programas e arquivos de seu computador, ou
simplesmente o atrapalham deixando seu micro mais lento.
27
Usar telefone ou e-mail para se fazer passar por uma pessoa ou instituio
que precisa de determinadas informaes para resolver um suposto
problema;
28
29
Atualizaes
do
sistema
operacional
aplicativos
vrias
30
31
32
33
VULNERABILIDADES
a
rid
de
dis
po
nib
i
lid
ad
e
AD
A
gica
s
ICA
eg
int
FS
PROCESSOS
Tec
nol
NEGCIO
Fsica
CA
M
DA
MA
CA
L
GI
C
AMEAAS
INFORMAO
confidencialidade
ATIVOS
s
Humana
CAMADA HUMANA
34
35
Registro (log) de quem, quando, o que e onde foi realizado um evento (este
dado o material mais importante em uma investigao);
36
Wadlow (2000) apud Adachi (2004) descreveu trs qualidades que podem
levar uma pessoa a atacar um sistema: habilidade, motivao e oportunidade. Os
funcionrios da empresa possuem duas das trs qualidades: habilidade e
oportunidade, basta ter uma motivao para ameaar, invadir, fraudar ou roubar,
quebrando a segurana da empresa. Desta forma, o processo e as condies de
contratao de recursos humanos, internos ou externos, devem ser rigorosos,
seguindo a poltica de segurana elaborada pela empresa. Uma poltica de
segurana clara, largamente disseminada e incutida em todos os recursos humanos,
importante para zelar pela segurana da empresa e de seus clientes. Alm disso,
importante que na poltica de segurana sejam discriminadas as penalidades,
conforme as infraes, e que elas sejam efetivamente executadas, conforme
julgamento de um conselho de anlise de incidentes.
37
2.5.1 COBIT
O Control Objectives for Information and related Technology (COBIT) um
guia formulado como framework, dirigido para a gesto de TI. Segundo Rocha
(2003), esse tradicional conjunto de boas prticas para o gerenciamento de
processos traduz a realidade da governana em TI de uma organizao.
O COBIT prov boas prticas para o gerenciamento dos processos de TI
em uma estrutura lgica e gerencivel, encontrando as mltiplas
necessidades do gerenciamento empresarial, interligando os gaps entre os
riscos de negcio, assuntos tcnicos, necessidades de controle e requisitos
de medies de performance. O COBIT habilita o desenvolvimento de uma
poltica clara e de boas prticas para o controle de TI da organizao,
dentre eles possui amplas recomendaes de segurana da informao. O
COBIT bastante usado no Brasil pela comunidade de auditoria, em
especial no segmento bancrio. (NERY e PARANHOS, 2003)
38
39
40
3. Gesto de Ativos
3.1. Responsabilidade pelos ativos
Objetivo: alcanar e manter a proteo adequada dos ativos da organizao.
1. todos os ativos devem ser identificados, inventariados e documentada sua importncia;
2. todos os ativos de informao devem possuir um proprietrio;
3. definio de regras para uso da informao e dos recursos de processamento da
informao (Internet, e-mail, dispositivos mveis);
3.2. Classificao da informao
Objetivo: assegurar que a informao receba um nvel adequado de proteo.
1. classificao da informao em termos do seu valor, requisitos legais, sensibilidade e
criticidade para a organizao;
2. definio de um conjunto de procedimentos para rotulao e tratamento da informao,
tanto dos ativos da informao no formato fsico quanto no eletrnico.
41
42
7. Controle de Acesso
7.1. Requisitos de negcio para controle de acesso
Objetivo: controlar acesso informao
1. poltica de controle de acesso
43
44
45
11. Conformidade
11.1. Conformidade com requisitos legais
Objetivo: evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes
contratuais e de quaisquer requisitos de segurana da informao.
1. identificao da legislao vigente
2. direitos de propriedade intelectual
3. proteo de registros organizacionais
4. proteo de dados e privacidade de informaes pessoais
5. preveno de mau uso de recursos de processamento da informao
6. regulamentao de controles de criptografia
11.2. Conformidade com normas e polticas de segurana da informao e conformidade
tcnica
Objetivo: garantir a conformidade dos sistemas com as polticas e normas organizacionais de
segurana da informao.
1. conformidade com as polticas e normas de segurana da informao
2. verificao da conformidade tcnica
11.3. Consideraes quanto auditoria de sistemas de informao
Objetivo: maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de
informao.
1. controles de auditoria de sistemas de informao
2. proteo de ferramentas de auditoria de sistemas de informao
46
Objetivo
Apresentar os principais conceitos
e modelos relacionados com
segurana da informao.
Situao Atual
Encontra-se ainda nos primeiros
estgios de desenvolvimento,
denominado de NWIP-New Work
Item Proposal. A previso para
publicao como norma
internacional 2008-2009.
Norma aprovada e publicada pela
ISO em Genebra, em 15/10/2005 e
no Brasil pela ABNT em 2006.
Encontra-se em um estgio de
desenvolvimento, denominado de
WD-Working Draft. A previso para
publicao como norma
internacional 2008-2009.
Encontra-se em um estgio em que
vrios comentrios j foram
discutidos e incorporados ao
projeto. A previso para publicao
como norma internacional 20082009.
47
humana
humana
ISO/IEC 17799:2005
Sees
Poltica de segurana da informao
Gesto de Ativos
Controle de acesso
Gesto das operaes e
comunicaes
Segurana fsica e do ambiente
Aquisio, desenvolvimento e
manuteno de sistemas de
informao
Organizando a segurana da
informao
Conformidade
humana
humana
humana
humana
Domnio
Camada
fsica
fsica
Desenvolvimento de sistemas e
aplicativos
Criptografia
Prticas de gerenciamento de
segurana
Segurana de Operao
Legislao, investigao e tica
Plano de continuidade do negcio e
plano de recuperao em caso de
desastre
fsica
fsica
lgica
lgica
humana
Camada
humana
fsica
fsica
fsica
lgica
humana
fsica
ISO/IEC 17799:2005
Sees
Poltica de segurana da informao
Organizando a segurana da
informao
Camada
humana
humana
Gesto de Ativos
humana
humana
fsica
fsica
fsica
lgica
humana
humana
fsica
48
Neste trabalho foram utilizadas as sees da norma ISO 17799 divididas nas
trs camadas conforme abaixo:
Camada
Fsica
Seo
Gesto das operaes e
comunicaes
Segurana fsica e do ambiente
Controle de acesso
Gesto de incidentes de
segurana da informao
Lgica
Aquisio, desenvolvimento e
manuteno de Sistemas de
Informao
Humana
Organizando a segurana da
informao
Gesto de Ativos
Gesto da continuidade do
negcio
Conformidade
Poltica de segurana da
informao
Objetivos
garantir a operao segura e correta dos recursos de
processamento da informao.
prevenir o acesso fsico no-autorizado, danos e
interferncias com as instalaes e informaes da
organizao; impedir perdas, danos, furto ou
comprometimento de ativos e interrupo das
atividades da organizao.
controlar acesso informao; assegurar acesso de
usurio autorizado e prevenir acesso no autorizado
a sistemas de informao; prevenir o acesso no
autorizado dos usurios e evitar o comprometimento
ou roubo da informao e dos recursos de
processamento da informao; prevenir acesso no
autorizado aos servios da rede.
assegurar que um enfoque consistente e efetivo seja
aplicado gesto de incidentes da segurana da
informao.
garantir que segurana parte integrante de sistemas
de informao; prevenir a ocorrncia de erros,
perdas, modificao no autorizada ou mau uso de
informaes em aplicaes; proteger a
confidencialidade, a autenticidade ou a integridade
das informaes por meios criptogrficos;
garantir a segurana de arquivos de sistema; manter
a segurana de sistemas aplicativos e da informao.
reduzir riscos resultantes da explorao de
vulnerabilidades tcnicas conhecidas.
gerenciar a segurana de informao dentro da
organizao; manter a segurana dos recursos de
processamento da informao e da informao da
organizao, que so acessados, processados,
comunicados ou gerenciados por partes externas.
alcanar e manter a proteo adequada dos ativos da
organizao; assegurar que a informao receba um
nvel adequado de proteo.
assegurar que os funcionrios, fornecedores e
terceiros entendam suas responsabilidades e estejam
de acordo com seus papis e reduzir o risco de
roubos, fraudes ou mau uso de recursos.
no permitir a interrupo das atividades do negcio
e proteger os processos crticos contra efeitos de
falhas ou desastres significativos e assegurar a sua
retomada em tempo hbil se for o caso.
evitar violao de qualquer lei criminal ou civil,
estatutos, regulamentaes ou obrigaes contratuais
e de quaisquer requisitos de segurana da
informao.
prover uma orientao e apoio da direo para a
segurana da informao de acordo com os
requisitos do negcio e com as leis e
regulamentaes relevantes.
49
50
os
problemas
associados
tecnologia
como:
Internet,
redes,
51
52
53
segurana
da
informao.
Seguem
os
autores
pesquisados
suas
consideraes:
Thong (apud Prates e Ospina, 2004) salienta que as pequenas empresas no
conhecem a importncia de fatores-chave em TI, alm de disporem de recursos
reduzidos, e podem estar gastando recursos e energia em fatores de pouca
importncia para o sucesso da implementao da TI. O autor, em pesquisa realizada
com 114 pequenas empresas de Singapura, concluiu que as pequenas empresas
com sucesso em TI tendiam a ter alta participao de especialistas externos,
investimento adequado, alto conhecimento dos usurios, alto grau de envolvimento
do usurio e alto suporte do gerente geral. Porm a chave principal do sucesso de
implantao da TI seria a alta participao do especialista externo.
Palvia e Palvia (1999) conduziram uma pesquisa em uma amostra de 1460
pequenas empresas para verificar os padres de satisfao com TI - onde o
proprietrio era tambm gerente, principal usurio, alm de desempenhar as
principais atividades de TI. Os autores concluram que as caractersticas do
proprietrio tm impacto maior na satisfao em TI do que qualquer outro fator; para
tanto foram considerados gnero, idade do proprietrio, raa e habilidade em
computao.
54
aumento de produtividade;
reduo de custos.
Em relao s dificuldades encontradas, a resistncia pelos funcionrios foi a
mais expressiva com mdia 3,2 (numa escala de pontos de 1 a 5), seguida pela
cultura tradicional e ausncia de pessoal qualificado. O fator: falhas de segurana
recebeu mdia 1,6 ficando em 13 de um total de 16 fatores pesquisados. Como a
maioria das empresas pesquisadas (72,2%) esto no estgio 1 (iniciao) ou 2
(contgio) da escala de Nolan apresentada no quadro 5. Conclui-se que essas
possuem pouca ou nenhuma dependncia da TI em seus processos de negcios,
assim a perda, fraude ou furto de tais sistemas ou informaes pode no ser
considerados importantes.
Os autores ainda pesquisaram os fatores de xito para utilizao de TI
chegando aos seguintes resultados, em ordem de importncia:
treinamento adequado;
55
benefcios econmicos e
Estgio I
Iniciao
Estgio II
Contgio
Estgio III
Controle
Estgio IV
Integrao
Estgio V
Administrao
de Dados
Estgio VI
Maturidade
56
(2004), realizaram uma pesquisa com 138 pequenas e mdias empresas nos
Estados Unidos que apontou como maior preocupao, considerando as vrias
fontes de ameaas segurana, os vrus, seguido por: falha de energia, problemas
em softwares, integridade dos dados, integridade das transaes e segredo dos
dados. Somente 19% dos pesquisados alegaram um incidente de segurana nos
ltimos 12 meses, isto pode explicar a baixa porcentagem de pequenas empresas
que desenvolve uma poltica de segurana e adquire proteo bsica e software de
backup.
Gabbay (2003), em sua dissertao de mestrado, estudou os fatores que
influenciam os Executivos e Gerentes de TI das empresas com maior contribuio
de ICMS no Rio Grande do Norte nas suas percepes em relao s diretrizes de
Segurana da Informao na norma NBR ISO/IEC 17799 dimenso controle de
acesso. Em sua concluso evidenciou a associao entre as variveis tamanho do
parque de informtica e a freqncia dos ataques sofridos com a varivel Nvel de
concordncia em relao norma NBR ISO/IEC 17799 dimenso controle de
acesso.
57
3 METODOLOGIA
3.1 TIPO DE PESQUISA
Essa pesquisa utilizou o mtodo exploratrio-descritivo. De acordo com Gil
(2002, p. 42) as pesquisas descritivas tm como objetivo primordial a descrio das
caractersticas
de
determinada
populao
ou
fenmeno
ou,
ento,
58
24
79
4
103
3
26
1348
1,8%
5,9%
0,3%
7,6%
0,2%
1,9%
100,0%
59
60
Perfil da Empresa
Os entrevistados pertencem a organizaes de ramos distintos, sendo:
61
Valor da Informao
Na empresa 1 no existe maior preocupao com o valor das informaes,
isso pode ser explicado pelo perfil do gestor entrevistado, por sua pouca idade e por
ser filho do proprietrio. Porm responde pela rea de TI e pelos investimentos em
segurana da informao.
Na empresa 2 onde a entrevista foi conduzida com o diretor financeiro, esse
mostrou um maior zelo com a informao e sua preocupao com o lay-out da
empresa, que segundo o mesmo, representa uma ameaa segurana das
informaes por no possuir divisrias entre os departamentos, dizendo: ganha-se
em comunicao, mais perde-se em segurana. A empresa no possui qualquer
tipo de classificao das informaes implantada, a mesma dada pela percepo
da gerncia. Esse gestor em especial demonstrou uma grande preocupao com o
valor das informaes ao afirmar que sem ela a empresa efetivamente pra: hoje
existe uma necessidade da informao extrema, o ponto zero da empresa, ou seja,
sem a informao no fazemos nada. A empresa tem uma real necessidade dos
recursos de informao e de TI.
Os demais gestores mostraram sua preocupao principalmente com
informaes armazenadas em recursos de TI, quem sabe pelo fato de no
conhecerem efetivamente o modo de control-las.
Anlise de Risco
Sobre o risco de perda de informaes, os pesquisados evidenciaram vrias
preocupaes como segue:
62
63
3.3.3 QUESTIONRIO
O questionrio foi disponibilizado s empresas pesquisadas em um web site
da Internet dividido em quatro etapas. A primeira refere-se apresentao da
pesquisa e ao modo de contato com o pesquisador, de forma a imprimir maior
confiana para os pesquisados. Na segunda etapa, foram efetuadas perguntas
referentes ao perfil do gestor, perfil da empresa, nvel de utilizao de TI e das
ferramentas e tcnicas em segurana da informao. A terceira etapa questionou
sobre os fatores que, na percepo do gestor, contribuem para a adoo da gesto
da segurana da informao ou a inibem. quarta e ltima etapa coube um
agradecimento pelas respostas.
64
Grupo de
Variveis
Perfil do Gestor
Perfil da
Empresa
Qtde
Questes
20
Exemplos de
Questes
e-mail, cargo,
departamento, deciso de
compra
nmero de funcionrios,
qtde de computadores,
responsabilidade pela rea
de TI
na sua empresa qual o grau
de importncia do uso do
firewall, antivrus etc.
recomendao de um
especialista externo ou
fornecedor da rea
36
(2);
Gesto
das
Operaes
Comunicaes
(4);
Aquisio,
65
66
superviso r
12%
gerente
14%
direto r
16%
Grfico 2: cargo
67
co mercial (vendas)
7%
suprimento s
5%
tecno lo gia da info rmao
21%
finanas
9%
qualidade
5%
recurso s humano s
7%
presidncia/gerncia geral
41%
Grfico 3: departamento
a deciso
minha
47%
participa do
processo
51%
Grfico 4: deciso de compra
68
10 a 49
48%
acima de 500
0%
100 a 499
14%
50 a 99
33%
meno s de 5
21%
5 a 10
21%
de 201a 500
2%
de 101a 200
5%
de 21a 100
23%
de 10 a 20
28%
69
departamento
interno
56%
terceiro co m
co ntrato
23%
nvel alto
28%
nvel baixo
7%
nvel mdio
65%
70
No
Antivrus
4,56
0,84
41
Sistema de backup
4,46
1,03
40
Firewall
4,29
1,08
33
3,73
1,53
34
3,68
1,44
33
3,15
1,59
18
23
3,07
1,31
13
28
3,07
1,25
13
28
2,83
1,14
16
25
71
72
Possui
No possui
40
35
30
25
20
15
10
M onitoram ento e
anlise crtica dos
registros (logs)
Descarte seguro da
m dia rem ovvel
Canais de
com unicao para
registro de eventos
de segurana
Sala de servidores
protegida e em local
restrito
Nom e de usurio,
senha individual e
secreta para acesso a
rede
Firewall
Sistem a de backup
Antivrus
No
3,56
1,32
27
14
3,10
1,48
17
24
2,80
1,35
14
27
73
No Possui
40
35
30
25
20
15
10
Superviso do
desenvolvimento
terceirizado de
software com
requisitos para
controles de
segurana da
informao
Criptografia em
banco de dados
e/ou para troca de
informaes
Atualizao de
software para
correo de falhas
de segurana
74
No
3,68
1,19
26
15
3,49
1,36
25
16
3,39
1,43
24
17
3,32
1,46
18
23
3,24
1,34
19
22
Classificao da informao
3,17
1,26
19
22
2,95
1,30
15
26
2,88
1,44
16
25
75
No Possui
40
35
30
25
20
15
10
Conscientizao,
educao e
treinam ento em
segurana
Plano de
recuperao de
desastres e
contingncia
Contratos com
terceiros com
termos claros
relativos a
segurana
Classificao da
inform ao
Poltica de
segurana da
inform ao
Controle dos
direitos de
propriedade
intelectual
76
2,6
2,8
3,0
3,2
3,4
3,6
3,8
4,0
4,2
4,4
4,6
4,8
5,0
77
78
79
N de Empresas
16
14
12
10
8
6
4
2
Ferramentas/Tcnicas Implantadas
13
10
9
7
0-20
20-40
40-60
60-80
80-100
80
19
5
16
1
pequena
satisfatrio
insatisfatrio
mdia
Grfico 15: avaliao de segurana nas trs camadas por porte de empresa
Lgica
Humana
Ferramenta ou Tcnica
Descarte seguro da mdia removvel
Monitoramento e anlise crtica dos registros (logs)
Canais de comunicao para registro de eventos de segurana
Superviso do desenvolvimento terceirizado de software com
requisitos para controles de segurana da informao
Criptografia em banco de dados e/ou para troca de informaes
Conscientizao, educao e treinamento em segurana
Plano de recuperao de desastres e contingncia
Contratos com terceiros com termos claros relativos
segurana
% de empresas
que no possui
68%
68%
61%
66%
59%
63%
61%
56%
81
Poltica de Segurana da
Poltica de segurana da informao
Informao
Organizando a
Contratos com terceiros com termos claros
Segurana da
relativos segurana
Informao
Regras para uso da informao e dos
recursos de TI
Gesto de Ativos
Classificao da informao
Segurana em Recursos
Humanos
Segurana Fsica e do
Ambiente
3,24
46%
3,32
44%
3,68
55%
3,17
3,73
Antivrus
4,56
Sistema de backup
4,46
Firewall
4,29
3,07
3,07
Mdia Porcentagem
2,95
37%
63%
3,15
3,68
68%
80%
3,56
3,10
47%
2,80
2,83
39%
2,88
39%
3,49
60%
3,39
A seo que apresenta maior aderncia por parte das pequenas e mdias
empresas a Controle de Acesso, com 80%, seguida por Gesto das Operaes e
Comunicaes (68%) e por Segurana Fsica e do Ambiente (63%). Comprovando
82
Motivadores:
o Recomendao de um especialista externo ou fornecedor da rea;
o Incidente de segurana ocorrido anteriormente;
o Conscincia do prprio gestor (no sentido do mesmo conhecer a
importncia das ferramentas/tcnicas para a adoo da gesto da
segurana da informao);
o Para evitar possveis perdas financeiras ou operacionais.
Inibidores:
o Valor do investimento;
o Dificuldade em mensurar a relao custo/benefcio do investimento;
o Falta de conhecimentos sobre ferramentas ou tcnicas de defesa;
o Cultura organizacional.
A mdia com o grau de importncia de cada fator, desvio padro e erro
83
inibidores
motivadores
Fatores
mdia
Amostra
erro
limite
amostral
superior
limite
inferior
especialista externo
3,51
1,12
0,35
3,87
3,16
incidente anterior
3,34
1,24
0,39
3,73
2,95
conscincia do gestor
3,63
1,13
0,36
3,99
3,28
evitar perdas
financeiras
4,37
0,83
0,26
4,63
4,10
valor do investimento
3,66
1,13
0,36
4,02
3,30
3,37
1,13
0,36
3,72
3,01
falta de conhecimento
3,71
1,15
0,36
4,07
3,35
cultura organizacional
3,66
1,02
0,32
3,98
3,34
84
Fatores Motivadores
especialista interno x incidente anterior
especialista interno x conscincia do gestor
especialista interno x evitar perdas financeiras
incidente anterior x evitar perdas financeiras
conscincia do gestor x evitar perdas financeiras
MannWhitner
U
773,000
775,500
482,000
443,500
529,000
Wilcoxon
W
Asymp.Sig
(2-tailed)
1634,000
1636,500
1343,000
1304,500
1390,000
-0,648
-0,626
-3,529
-3,870
-3,061
0,517
0,531
0,000
0,000
0,002
4,37
4,5
4,0
3,51
3,34
recomendao especialista
externo
incidente anterior
3,5
3,63
3,0
2,5
2,0
1,5
1,0
conscincia do gestor
85
segurana da informao, assim como pesquisado por Gabbay (2003), porm nesta
pesquisa no se apresentou como fator importante, o que pode indicar que as
pequenas e mdias empresas no tm sofrido incidentes de segurana da
informao como apontado por Gupta e Hammond (2004) ou no tm monitorado
(como apresenta o baixo grau de importncia nas ferramentas/tcnicas no item
anterior) seus recursos para descobrir evidncias de ataques aos ativos de
informao, o que pode representar um srio risco a continuidade do negcio e/ou
vazamento de segredos industriais e processos a concorrentes.
A importncia da recomendao de um especialista externo ou fornecedor da
rea tambm ficou clara nas entrevistas e foi apontada nas pesquisas sobre adoo
de TI de Cragg e King (1993) e Thong. Porm no apresentou mdia significativa
como fator motivador na adoo de gesto da segurana da informao na amostra
pesquisada.
Fatores Inibidores
5,0
4,5
4,0
3,66
3,5
3,37
3,71
3,66
falta de conhecimento
cultura organizacional
3,0
2,5
2,0
1,5
1,0
valor do investimento
dificuldades em mensurar
custo/benefcio
86
87
inibidores
motivadores
Fatores
Amostra
mdia
TI Interna
mdia
especialista externo
3,51
1,12
3,50
1,29
incidente anterior
3,34
1,24
3,17
1,34
conscincia do gestor
3,63
1,13
3,63
1,21
evitar perdas
financeiras
4,37
0,83
4,33
0,92
valor do investimento
3,66
1,13
3,67
1,24
3,37
1,13
3,29
1,16
falta de conhecimento
3,71
1,15
3,46
1,32
cultura organizacional
3,66
1,02
3,58
1,14
Fatores Motivadores
especialista interno x incidente anterior
especialista interno x conscincia do gestor
especialista interno x evitar perdas financeiras
incidente anterior x evitar perdas financeiras
conscincia do gestor x evitar perdas financeiras
MannWhitner
U
244,500
272,500
180,500
141,000
189,000
Wilcoxon
W
Asymp.Sig
(2-tailed)
544,500
572,500
480,500
441,000
489,000
-0,923
-0,330
-2,386
-3,178
-2,174
0,356
0,741
0,017
0,001
0,030
88
4,37
4,5
4,0
3,51
3,50
3,5
3,34
3,63
4,33
3,63
amostra total
3,17
TI interna
3,0
2,5
2,0
1,5
1,0
recomendao
especialista externo
incidente anterior
conscincia do gestor
3,66
3,67
3,5
3,37
3,71
3,29
3,46
3,66
3,58
amostra total
3,0
TI interna
2,5
2,0
1,5
1,0
valor do investimento
dificuldades em
mensurar o
custo/benefcio
falta de conhecimento
cultura organizacional
89
inibidores
motivadores
Fatores
Amostra
mdia
Pequena
mdia
Mdia
mdia
especialista externo
3,51
1,12
3,51
1,17
3,50
0,84
incidente anterior
3,34
1,24
3,26
1,20
3,83
1,47
conscincia do gestor
3,63
1,13
3,60
1,14
3,83
1,17
evitar perdas
financeiras
4,37
0,83
4,31
0,83
4,67
0,82
valor do investimento
3,66
1,13
3,54
1,15
4,33
0,82
3,37
1,13
3,37
1,19
3,33
0,82
falta de conhecimento
3,71
1,15
3,63
1,19
4,17
0,75
cultura organizacional
3,66
1,02
3,63
1,00
3,83
1,17
Outra verificao feita foi comparao entre os resultados obtidos na amostra total
com os obtidos nos grupos porte da empresa: pequeno ou mdio. Novamente
executaram-se os testes estatsticos Kruskal Wallis e Mann-Whitney para verificar se
a diferena matemtica apresentada nas mdias da tabela 11 era significativa
estatisticamente.
Tabela 12: teste Kruskal Wallis Tamanho da Empresa
porte
pequena empresa
mdia empresa
valor de p
fatores motivadores
0,001
0,253
valor de p
fatores inibidores
0,675
0,254
Fatores
especialista interno x incidente anterior
especialista interno x conscincia do gestor
especialista interno x evitar perdas financeiras
incidente anterior x evitar perdas financeiras
conscincia do gestor x evitar perdas financeiras
MannWhitner
U
540,000
579,00
375,00
306,500
393,500
Wilcoxon
W
Asymp.Sig
(2-tailed)
1170,00
1209,00
1005,00
936,500
1023,500
-0,880
-0,408
-2,945
-3,752
-2,713
0,379
0,683
0,003
0,000
0,007
90
tabela 13 exibe os resultados dos testes efetuados com essa amostra, indicando
novamente o fator evitar perdas financeiras.
Os grficos 20 e 21 exibem a comparao entre as mdias da amostra total
em relao amostra das empresas por tamanho/porte pequena e mdia.
Fatores Motivadores - Tamanho da Empresa
5,0
4,37 4,31
4,5
4,0
3,5
3,83
3,34 3,26
3,63 3,60
4,67
3,83
amostra total
pequena empresa
3,0
mdia empresa
2,5
2,0
1,5
1,0
recomendao
especialista externo
incidente anterior
conscincia do gestor
4,33
4,5
4,0
3,66 3,54
3,5
4,17
3,37 3,37 3,33
3,71 3,63
amostra total
pequena empresa
3,0
mdia empresa
2,5
2,0
1,5
1,0
valor do investimento
dificuldades em
mensurar o
custo/benefcio
falta de conhecimento
cultura organizacional
91
inibidores
motivadores
Fatores
At 10 micros
mdia
De 11 a 20
mdia
Acima de 20
mdia
especialista externo
3,51
1,12
3,59
1,23
3,83
1,19
3,08
0,79
incidente anterior
3,34
1,24
3,24
1,25
3,58
1,24
3,25
1,29
conscincia do gestor
3,63
1,13
3,24
1,25
4,00
0,95
3,83
1,03
evitar perdas
financeiras
4,37
0,83
4,06
0,90
4,50
0,67
4,67
0,78
valor do investimento
3,66
1,13
3,53
1,07
3,58
1,31
3,92
1,08
3,37
1,13
3,35
1,27
3,42
1,00
3,33
1,15
falta de conhecimento
3,71
1,15
3,65
1,11
3,92
1,31
3,58
1,08
cultura organizacional
3,66
1,02
3,41
1,12
3,67
0,98
4,00
0,85
valor de p
fatores motivadores
0,158
0,199
0,003
valor de p
fatores inibidores
0,842
0,600
0,415
Fatores
especialista interno x incidente anterior
especialista interno x conscincia do gestor
especialista interno x evitar perdas financeiras
incidente anterior x evitar perdas financeiras
conscincia do gestor x evitar perdas financeiras
MannWhitner
U
71,400
41,500
17,000
27,000
38,000
Wilcoxon
W
Asymp.Sig
(2-tailed)
149,500
119,500
95,000
105,000
116,000
-0,030
-1,898
-3,481
-2,855
-2,215
0,976
0,058
0,000
0,004
0,027
92
4,37
4,5
4,0
3,51 3,59
3,83
3,08
3,5
3,34 3,24
3,58
4,00 3,83
3,63
3,25
4,50 4,67
4,06
amostra total
3,24
at 10 micros
3,0
de 11 a 20 micros
2,5
acima de 20 micros
2,0
1,5
1,0
recomendao
especialista externo
incidente anterior
conscincia do gestor
3,92
3,5
3,71 3,65
3,92
3,58
3,66
3,41
3,67
4,00
amostra total
at 10 micros
3,0
2,5
de 11 a 20 micros
2,0
acima de 20 micros
1,5
1,0
valor do investimento
dificuldades em
mensurar o
custo/benefcio
falta de conhecimento
cultura organizacional
93
inibidores
motivadores
Fatores
Baixo
mdia
Mdio
mdia
Alto
mdia
especialista externo
3,51
1,12
3,25
1,26
3,52
1,05
3,64
1,29
incidente anterior
3,34
1,24
3,00
0,82
3,30
1,35
3,36
1,29
conscincia do gestor
3,63
1,13
3,25
1,26
3,67
1,24
3,82
0,87
evitar perdas
financeiras
4,37
0,83
4,00
0,82
4,41
0,89
4,45
0,69
valor do investimento
3,66
1,13
3,25
0,50
3,74
1,16
3,64
1,21
3,37
1,13
3,25
0,50
3,48
1,25
3,18
0,98
falta de conhecimento
3,71
1,15
4,00
0,82
3,74
1,10
3,64
1,43
cultura organizacional
3,66
1,02
3,25
0,50
3,81
1,08
3,45
0,93
valor de p
fatores motivadores
0,489
0,004
0,130
valor de p
fatores inibidores
0,298
0,774
0,600
Fatores
especialista interno x incidente anterior
especialista interno x conscincia do gestor
especialista interno x evitar perdas financeiras
incidente anterior x evitar perdas financeiras
conscincia do gestor x evitar perdas financeiras
MannWhitner
U
328,500
327,000
195,500
192,500
238,000
Wilcoxon
W
Asymp.Sig
(2-tailed)
706,500
705,000
573,500
570,500
616,000
-0,643
-0,672
-3,115
-3,193
-2,373
0,521
0,501
0,002
0,001
0,018
94
4,0
4,41 4,45
4,37
4,5
3,51
3,5
3,25
3,52 3,64
3,34
3,00
3,30 3,36
4,00
3,67 3,82
3,63
amostra total
3,25
baixo
3,0
mdio
2,5
alto
2,0
1,5
1,0
recomendao especialista
externo
incidente anterior
conscincia do gestor
3,74 3,64
3,66
3,25
3,71
4,00
3,74 3,64
3,81
3,66
3,25
3,45
amostra total
3,0
baixo
2,5
mdio
2,0
alto
1,5
1,0
valor do investimento
dificuldades em mensurar
o custo/benefcio
falta de conhecimento
cultura organizacional
95
5 CONCLUSO
Este trabalho respondeu seguinte pergunta: Que fatores so capazes de
influenciar a adoo da gesto da segurana da informao por pequenas e mdias
empresas?
Para tanto, foram entrevistados sete gestores a fim de entender suas
preocupaes com a gesto da segurana da informao e para fornecer subsdios
para criao do questionrio. O questionrio on-line foi respondido por 43 empresas
do ramo de fabricao de produtos de metal e apresentou os seguintes resultados:
Outro objetivo era avaliar atravs dos controles descritos na norma brasileira
de segurana - ABNT NBR ISO/IEC 17799:2005 - se a empresa possua gesto da
segurana da informao.
Das empresas pesquisadas, 80% possuem pelo menos um controle em cada
uma das camadas de segurana: fsica, lgica e humana. Essa porcentagem diminui
para 59% quando avaliado se possuem pelo menos metade dos controles
pesquisados implantados. A ferramenta mais utilizada foi o antivrus, presente em
todas das empresas pesquisadas.
A
camada
humana
foi
que
apresentou
menor
ndice
de
96
97
6 REFERNCIAS
ADACHI, Tomi. Gesto de Segurana em Internet Banking So Paulo: FGV,
2004. 121p. Mestrado. Fundao Getlio Vargas Administrao. Orientador:
Eduardo Henrique Diniz.
____________; DINIZ, Eduardo Henrique. Gesto de Segurana em Internet
Banking: um estudo de casos mltiplos no Brasil. ENANPAD - 29 Encontro da
ANPAD, 2005.
ALBERTIN, Alberto Luiz. Administrao de Informtica: funes e fatores
crticos de sucesso So Paulo: Atlas, 2004.
APPOLINRIO, Fabio. Metodologia da Cincia: filosofia e prtica da pesquisa
So Paulo: Pioneira Thomson Learning, 2006.
BANTEL, Guilherme. Fraudes virtuais crescem 1.313% no Brasil IDG Now:
08/07/2005 12h14. Disponvel em: <http://www.idgnow.uol.com.br>.
BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a
proteo dos ativos de informao nas organizaes So Paulo: Atlas, 2005.
CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em Informtica e de
Informaes So Paulo: Editora SENAC So Paulo, 1999.
CERNEV, Adrian Kemmer; LEITE, Jaci Corra. Segurana na Internet: a
percepo dos usurios como fator de restrio ao comrcio eletrnico no
Brasil ENANPAD, 2005.
COMIT GESTOR DA INTERNET NO BRASIL. Pesquisa sobre o uso das
tecnologias da informao e da comunicao no Brasil 2005. Disponvel em
<http://www.mct.gov.br/upd_blob/10819.pdf>. Acesso em 27/12/2006 s 20h48min.
COMPUTERWORLD. SMBs brasileiras investem US$ 260 mi em segurana em
2007
ComputerWorld,
<http://computerworld.uol.com.br/
21/11/2006
08h05.
Disponvel
em
seguranca/2006/11/21/idgnoticia.2006-11-
98
&
Computer
Security,
2004,
pg.
297-310.
Disponvel
em
99
JR.,
Silvio;
FREITAS,
Henrique;
LUCIANO,
Edimara
Mezzomo.
100
27/04/2005
<http://www.computerworld.uol.com.br>.
16h26.
Disponvel
em
101
APNDICE
102
QUESTIONRIO
Grupo de variveis e seu construto
Grupo de
Variveis
Perfil do
Gestor
Perfil do
Gestor
Perfil do
Gestor
Enunciado
Opes de Resposta
aberta
Perfil do
Gestor
Perfil da
Empresa
Perfil da
Empresa
Perfil da
Empresa
Perfil da
Empresa
menos de 5, de 5 a 10, de 10 a
20, de 21 a 100, de 101 a 500,
acima de 500
um departamento interno, uma
empresa terceira com contrato,
uma empresa terceira com
chamadas eventuais
baixo (edio de documentos, emails, acesso a internet); mdio
(nvel baixo + uso intensivo de
planilha eletrnicas, Internet
Banking); alto (nvel mdio +
sistema integrado, acesso remoto
a funcionrios/ fornecedores,
comrcio eletrnico)
Fonte
Gabbay (2003)
103
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
Ferramentas e
Tcnicas
nota de 1 a 5, se a empresa
possui ou no
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
104
Ferramentas e
Tcnicas
nota de 1 a 5, se a empresa
possui ou no
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
Ferramentas e
Tcnicas
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5, se a empresa
possui ou no
nota de 1 a 5
nota de 1 a 5
nota de 1 a 5
nota de 1 a 5
Entrevista
Valor do investimento
Dificuldade em mensurar a relao custo/benefcio do investimento
Falta de conhecimentos sobre ferramentas ou tcnicas de defesa
nota de 1 a 5
nota de 1 a 5
nota de 1 a 5
Cultura organizacional
nota de 1 a 5
Ferramentas e
Tcnicas
Fator
Motivador
Fator
Motivador
Fator
Motivador
Fator
Motivador
Fator Inibidor
Fator Inibidor
Fator Inibidor
Fator Inibidor