Tese (doutorado)—Universidade de Brasília, Instituto de Psicologia, Departamento de Processos Psicológicos Básicos, Programa de Pós-Graduação em Ciências do Comportamento, 2020.O tratamento dos riscos relacionados ao comportamento dos colaboradores nas organizações
representa um grande desafio na implantação dos sistemas de gestão da segurança da informação.
A principal medida adotada é a definição de políticas de segurança da informação, cuja maioria
dos estudos restringe-se aos aspectos formais de sua elaboração ou aborda as ações de
conscientização como instrumentos de sua implantação. Nesse trabalho é proposto um novo
modelo para tratar esses riscos, calcado no arcabouço teórico e metodológico estabelecido pela
análise do comportamento, em especial, a teoria analítico-comportamental do direito, mediante a
interpretação dos sistemas de gestão de segurança da informação (SGSIs) como subsistemas
sociais funcionalmente especializados. Para aferir a viabilidade dessa proposta, isto é, a análise
comportamental dos sistemas de gestão de segurança da informação, foram realizados três
estudos. No Estudo 1 foi realizada a análise comportamental da política de segurança da
informação (PSI) de um órgão da administração pública federal, em que foram identificadas,
descritas e analisadas as contingências planejadas no normativo. Os resultados demonstraram que
o enforcement da política está calcado na aplicação de sanções e contribuíram para a
identificação de falhas, incoerências e medidas complementares para o controle mais eficaz e
eficiente dos comportamentos que violam os requisitos de segurança da informação da
organização participante. O Estudo 2 avançou na aplicação desse modelo, mediante a análise
comportamental da norma social do SGSI estabelecido na organização participante, enquanto
uma rede de padrões comportamentais entrelaçados. Com a sua consecução, foram identificados
os principais nós comportamentais, a partir dos quais foram identificadas e analisadas as
contingências que de fato estavam vigentes e controlavam comportamentos relevantes para o
SGSI. A principal constatação do Estudo 2 foi que, apesar de prevista na PSI, a organização não
adota a prática de sancionar as condutas que violam seus requisitos de segurança da informação.
x
Ou seja, a PSI instituída dificilmente exerce controle sobre os comportamentos a que se destina.
Acerca disso, destaca-se que os resultados do referido estudo corroboraram essa conclusão, pois
verificou-se que essa ineficiência, em controlar o comportamento dos colaboradores, levou a
organização a investir em medidas complementares para dificultar as condutas que violam seus
requisitos de segurança da informação. No mesmo sentido, foi verificado que os incidentes de
segurança da informação são, usualmente, prontamente tratados na esfera técnica, o que reduz
seus impactos e, consequentemente, a percepção de gravidade pelo restante da organização, fato
que reduz a probabilidade de aplicação das sanções previstas pelas autoridades administrativas.
Sendo assim, o Estudo 2 também apontou a possibilidade de medidas alternativas com vistas ao
controle mais eficiente dos comportamentos que violam a PSI da organização participante. No
Estudo 3 buscou-se obter uma visão mais abrangente dos principais achados dos primeiros dois
estudos, mediante a aplicação de um questionário junto a 21 diretores de tecnologia da
informação de empresas brasileiras. Seus resultados corroboraram os principais achados dos
primeiros dois estudos, isto é, que o enforcement das PSIs está calcado na aplicação de sanções,
que as empresas não aplicam ou raramente aplicam essas sanções, logo investem em mecanismos
de proteção complementares para dificultar a ocorrência de violações de sua PSI e que, nos casos
em que esses mecanismos não são suficientes para impedi-las, os incidentes de segurança da
informação são prontamente tratados pelas unidades de tecnologia da informação, reduzindo seu
efeito aversivo para o restante da organização. Tomados em conjunto, os três estudos
demonstraram a viabilidade da interpretação analítico-comportamental dos SGSIs e apontam um
novo e promissor caminho para a mitigação dos riscos organizacionais.The treatment of risks related to employee behavior in organizations represents a major challenge
in the implementation of information security management systems. The main measure adopted
is the definition of information security policies, which most of the studies are restricted to
formal aspects of their elaboration or address awareness programs as instruments for their
implementation. In the present work, a new model is proposed to deal with these risks, based on
the theoretical and methodological framework established by behavior analysis, in particular, the
behavioral analysis of law, through the interpretation of information security management
systems (ISMSs) as functionally specialized social subsystems. To assess the feasibility of this
proposal, that is, the behavioral analysis of information security management systems, three
studies were carried out. In Study 1, a behavioral analysis of the information security policy (ISP)
of a federal public administration organization was carried out, in which the contingencies
planned in the policy were identified, described and analyzed. Results showed that the
enforcement of the policy is based on the application of sanctions and contributed to the
identification of flaws, inconsistencies and complementary measures for a more effective and
efficient control of behaviors that violate the information security requirements of the
participating organization. Study 2 advanced the application of this model, through the behavioral
analysis of the social norm, as a network of interlocked behavioral patterns, of the ISMS
established in the participating organization. Based upon this analysis, the main behavioral nodes
were identified, from which the contingencies that were in effect and that controlled relevant
behavior for the ISMS were analyzed. The main finding from Study 2 was that, although foreseen
in the ISP, the organization does not adopt the practice of sanctioning the conducts that violate its
information security requirements. In other words, the instituted ISP hardly will exert control
over its target behaviors. It is highlighted that the results of the referred study corroborated this
xii
conclusion, as it was found that this inefficiency, in controlling the behavior of employees, led
the organization to invest in complementary measures to hinder the conducts that violate its
information security requirements. In the same sense, it was found that information security
incidents are usually promptly handled in the technical sphere, which reduces their impacts and,
consequently, makes them appear less serious to the rest of the organization, a fact that reduces
the likelihood of sanctions being applied by the administrative authorities. Thus, Study 2 also
stressed the possibility of alternative measures for a more efficient control of behaviors that
violate the participating organization's ISP. In Study 3, we sought to obtain a more
comprehensive view of the main findings of the first two studies, by applying a questionnaire to
21 information technology directors of Brazilian companies. Results corroborate the main
findings of the first two studies, that is, that the enforcement of ISPs is based on the application
of sanctions, that companies do not apply or rarely apply these sanctions, consequently, they
invest in complementary, technical, protection mechanisms to hinder the occurrence of violations
of their ISP and that, when these mechanisms are not sufficient to prevent them, information
security incidents are promptly dealt with by the information technology units, reducing their
aversive effect for the rest of the organization. Taken together, the three studies demonstrated the
feasibility of the behavior-analytic interpretation of ISMSs and indicate a new and promising way
to mitigate organizational risks
