Comportamento humano e a
segurança da informação

Desde que a Lei Geral da Proteção de Dados (LGPD) entrou em vigor, em 2020, as empresas brasileiras vêm buscando soluções para que seus sistemas de informação atendam aos requisitos legais. A norma apresenta diretrizes sobre a coleta, o processamento e o armazenamento de dados pessoais por empresas e demais instituições. De modo sintético, o objetivo é assegurar o direito à privacidade e à proteção de dados de todos aqueles que fornecem informações sobre si próprios, seja para realizar uma operação comercial, para se associar a um clube, para se candidatar a uma vaga de emprego ou mesmo para se matricular em uma instituição de ensino.

Apesar de ser uma medida legal positiva, ainda existem desafios que as empresas devem enfrentar para implantar a LGPD. Entre eles estão a modificação das políticas de gestão de dados, a reavaliação da infraestrutura de TI, os ajustes relacionados aos clientes e, por último mas não menos importante, a orientação das equipes. É precisamente sobre esse último quesito — as pessoas e como elas lidam com as regras da segurança da informação — de que trata o estudo desenvolvido conjuntamente pelos pesquisadores Sérgio Apolinário, doutorando em Controladoria e Finanças Empresariais, da linha de pesquisa de Tecnologia de Gestão, no Centro de Ciências Sociais e Aplicadas (CCSA) da UPM; o professor Adilson Carlos Yoshikuni, do mencionado programa de pós-graduação; e Cláudio Luís Carvalho Larieira, do Departamento de Tecnologia e Ciência de Dados da Fundação Getulio Vargas (FGV).

Sérgio Apolinário, doutorando em Controladoria e Finanças Empresariais, da linha de pesquisa de Tecnologia de Gestão, no Centro de Ciências Sociais e Aplicadas (CCSA) da UPM

O estudo gerou o artigo “Resistance to information security due to users’ information safety behaviors: Empirical research on the emerging markets”, publicado recentemente pela Computers in Human Behavior, reconhecida revista acadêmica internacional dedicada a examinar o uso de computadores de uma perspectiva psicológica. Além disso, a pesquisa alcançou conceito 14,5 nas métricas do Scopus; conceito “A” no Australian Business Deans Council (ABDC); e “A1” na Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (Capes).

Resistência e punição

A pesquisa coletou dados de 174 funcionários de empresas de mercados emergentes, por meio da aplicação de Modelagem de Equações Estruturais (Structural Equation Modeling – SEM), pela qual é possível avaliar e testar as relações de causa e efeito entre as variáveis relacionadas com o modelo proposto. O objetivo foi investigar até que ponto o receio de punição e as normas morais influenciam a resistência dessas pessoas a atender às medidas adotadas pelas empresas de TI onde trabalham para garantir a segurança dos sistemas de informação.

Para medir o impacto da punição e das normas sociais em relação à resistência dos usuários à segurança da informação, por meio da SEM, os pesquisadores utilizaram os construtos relacionados à teoria da punição (gravidade e certeza da detecção), às normas sociais (normas descritivas e morais) e à resistência à segurança da informação. “Já como variáveis de controle, utilizamos experiência profissional, posição e treinamento em segurança da informação, identificando, assim, dados demográficos da empresa-alvo da pesquisa”, explica Apolinário. “O Brasil, classificado como país emergente, possui um papel importante nesse aspecto da segurança da informação. O país está trabalhando para melhorar a segurança da informação e desenvolve iniciativas essenciais, mas existem disparidades significativas entre nações emergentes e desenvolvidas, em termos de recursos, maturidade e consciência”, completa o pesquisador.

A investigação é de grande importância, sobretudo quando se sabe que cerca de 80% dos eventos que podem levar a um ataque cibernético resultam do fator humano, segundo o Relatório de Investigações de Violação de Dados (DBIR), da Verizon, publicado em 2022. Daí a importância de conscientizar e treinar equipes que lidam direta ou indiretamente com os dados pessoais que são coletados digitalmente. Ainda mais quando nos deparamos com os dados da pesquisa global do Ponemon Institute, que apontam o custo médio anual acumulado pelas organizações de US$ 2,6 milhões em gastos que levam à segurança da informação — um aumento de 11% de 2017 para 2018 em razão do crime cibernético e dos ataques baseados em pessoas.

Para Apolinário, investir pesadamente em medidas preventivas que evitem violações é fundamental, pois é preciso lembrar que, em muitas circunstâncias, as organizações acabam gastando mais em ações corretivas após impactos decorrentes de violações. “A relação entre gastos com violações e gastos preventivos é complexa, mas o gerenciamento eficaz da segurança da informação requer uma abordagem equilibrada que priorize a prevenção e a resposta a incidentes”, adiciona.

O risco de violações da segurança intensifica à medida que aumenta a importância da informação. “Entender o comportamento dos empregados é uma estratégia para evitar impactos financeiros e intangíveis para a organização”, destaca o pesquisador.

Por isso, o estudo desenvolvido por Apolinário e seus colegas é fundamental e possui implicações relacionadas a profissionais e acadêmicos que trabalham no campo da segurança da informação, apoiando executivos sobre uma visão diferente da normalmente utilizada pelas empresas. “Como a aplicação do processo de punição disciplinar sobre a violação das políticas da segurança da informação, que não quer dizer que seja eficaz”, conclui ele.