Resumen de Sistemas de gestão de segurança da informação - uma análise comportamental

Rafael Almeida de Paula, Jorge Mendes de Oliveira Castro-Neto

• English

  The treatment of risks related to the behavior of employees in organizations represents a major challenge in the implementation of information security management systems. The main measure adopted by the organizations is the definition of information security policies. It occurs that the majority of the studies in the literature is restricted to the formal aspects of their elaboration or approached the awareness programs as instruments of their implantation. In this work, a new model is proposed to deal with these risks, based on the theoretical framework established by the behavior analysis, especially the theory presented by the Behavior Analysis of Law, which proposes an interpretation of the legal system that combines the theory of operant behavior with the theory of functionally specialized social systems. This research was divided into two phases, the first being the behavioral analysis of an information security policy, which includes the description and analysis of the contingencies planned in the normative, and the second the behavioral analysis of an information security norm, while a set of interlocked behavioral patterns aimed at coercive control of unwanted behaviors. Through its application in a Brazilian government agency, the results pointed to a new path based on the behavioral analysis of information security management systems for risk mitigation in organizations, by identifying flaws, inconsistencies and proposing new measures, based on principles of behavior analysis, subject to empirical verification, aiming at the improvement of these management systems.

• português

  O tratamento dos riscos relacionados ao comportamento dos colaboradores nas organizações representa um grande desafio na implantação dos sistemas de gestão da segurança da informação. A principal medida adotada é a definição de políticas de segurança da informação, cuja maioria dos estudos restringe-se aos aspectos formais de sua elaboração ou aborda as ações de conscientização como instrumentos de sua implantação. Nesse trabalho é proposto um novo modelo para tratar esses riscos, calcado no arcabouço teórico estabelecido pela análise do comportamento, em especial, a teoria analítico-comportamental do direito, mediante a sua aplicação em um órgão da administração pública federal. A pesquisa foi divida em duas fases, sendo a primeira a análise comportamental da política de segurança da informação, que contempla a descrição e análise das contingências planejadas no normativo, e a segunda a análise comportamental da norma de segurança da informação, enquanto um conjunto de padrões comportamentais entrelaçados que visam o controle coercitivo dos comportamentos indesejados. Os resultados apontam um novo caminho baseado na análise comportamental dos sistemas de gestão de segurança da informação para a mitigação dos riscos organizacionais, por meio da identificação de falhas, incoerências e a proposição de novas medidas com vistas ao aprimoramento desses sistemas de gestão.