RELATIONSHIP BETWEEN CULTURE AND INFORMATION SECURITY: HOW TO AVOID FAILURES ARISING FROM THE “BRAZILIAN WAY”?

Silveira, Jonas Rafael; Lunardi, Guilherme Lerch; Cerqueira, Lucas Santos

Jonas Rafael Silveira

Universidade Federal do Rio Grande - Programa de Pós-Graduação em Administração; Rio Grande - RS (Brasil);

https://orcid.org/0000-0002-2303-708X

Guilherme Lerch Lunardi

Universidade Federal do Rio Grande - Programa de Pós-Graduação em Administração; Rio Grande - RS (Brasil);

https://orcid.org/0000-0003-3250-2796

Lucas Santos Cerqueira

Universidade Federal do Recôncavo da Bahia - e Universidade Federal do Rio Grande - Programa de Pós-Graduação em Administração; Cachoeira - BA e Rio Grande - RS (Brasil);

https://orcid.org/0000-0001-5287-6133

Figures (1)
Tables (5)

Thumbnail

Figura 1
Modelo conceitual de pesquisa

Thumbnail

Tabela 1
Análise Fatorial Confirmatória - AFC

Thumbnail

Tabela 2
Variância compartilhada, correlações e confiabilidade dos construtos

Thumbnail

Tabela 3
Resultados da Análise de Equações Estruturais

Thumbnail

Cenário Proposto Descrição do Cenário Uso de aplicativos piratas Paulo trabalha editando documentos importantes para sua empresa. Ele precisa editar um documento que será utilizado por seus colegas, mas a versão do seu aplicativo está muito antiga, o que está dificultando seu trabalho. A Política de Segurança da Informação proíbe o uso de aplicativos não instalados pela TI da empresa, mas Paulo consegue uma versão mais atual do aplicativo, instala no seu computador e termina a edição dos documentos. Uso de sites não confiáveis Flávia necessita gerar um arquivo pdf construído a partir de outros documentos, sendo estes sigilosos para sua empresa, de modo que seus colegas possam consultar essas informações rapidamente. Como a empresa não possui o software para executar essa função, Flávia usa uma aplicação online gratuita para juntar os arquivos em um arquivo único. A política de segurança da informação proíbe o uso de sites desconhecidos para atividades da empresa, mas Flávia consegue gerar o arquivo único, e repassar aos seus colegas. Uso de mídias portáteis Rodrigo tem acesso a importantes informações da empresa em que trabalha. A empresa solicita a ele que analise algumas dessas informações com urgência, e informe aos seus colegas a conclusão da análise. Rodrigo resolve levar alguns documentos importantes em um pendrive. A política de segurança proíbe o usuário de usar informações organizacionais fora do ambiente de trabalho, mas usando os documentos do pendrive, Rodrigo consegue terminar seu trabalho durante a viagem, e repassar aos seus colegas as conclusões da análise.

Thumbnail

Questão Média DesvioPadrão Conformidade com as Políticas de Segurança da Informação - Adaptado de Ifinedo (2012) CPS3 Estou certo de que cumpro as normas de segurança da informação da empresa. 5,71 1,42 CPS2 Eu sigo as normas de segurança da informação da empresa. 5,84 1,33 CPS1 Eu cumpro com as normas de segurança da informação da empresa. 5,84 1,39 CPS4 Eu obedeço as regras de segurança da informação da empresa. 5,57 1,54 Atitude de Conformidade com as PSIs - Adaptado de Bulgurcu, Cavusoglu e Benbasat (2010) ATI1 Para mim, cumprir os requisitos de segurança da informação estabelecidos pela empresa é necessário. 6,26 1,04 ATI3 Para mim, cumprir com as regras de segurança da informação determinadas pela empresa é importante. 6,21 1,02 ATI4 Para mim, praticar as normas de segurança da informação estabelecidas pela empresa é adequado. 6,09 1,27 ATI2 Para mim, seguir as normas de segurança da informação de acordo com a empresa é benéfico. 5,97 1,31 Normas Subjetivas - Adaptado de Hu et al. (2012) NSU4 As pessoas que eu respeito na empresa pensam que eu devo seguir as normas de segurança da informação. 5,48 1,56 NSU1 Pessoas que são influentes para mim na empresa acham que eu devo seguir as regras relacionadas à segurança da informação. 5,93 1,45 NSU2 Pessoas importantes na empresa possuem opiniões que eu valorizo sobre as normas de segurança da informação. 5,75 1,54 NSU3 Pessoas que são importantes para mim na empresa pensam que eu devo seguir as políticas de segurança da informação. 5,67 1,57 Controle Percebido - Adaptado de Bulgurcu, Cavusoglu e Benbasat (2010) COP3 Eu tenho recursos e conhecimento para seguir as normas de segurança da informação disponibilizadas pela minha empresa. 6,11 1,30 COP4 Possuo as habilidades necessárias para seguir as regras de segurança da informação da minha empresa. 4,88 1,93 COP1 Eu sou capaz de seguir as regras de segurança da informação estabelecidos pela minha empresa.* 5,78 1,45 COP2 Tenho treinamento e habilidades adequadas para seguir as normas de segurança da informação definidos pela minha empresa. 5,62 1,63 Consciência de Segurança da Informação - Adaptado de Bulgurcu, Cavusoglu e Benbasat (2010) CSI3 Eu compreendo os riscos relacionados à segurança da informação para a empresa. 6,34 0,95 CSI4 Eu entendo as preocupações em relação à segurança da informação e os riscos que elas representam em geral. 6,36 1,11 CSI1 No geral, estou ciente das possíveis ameaças à segurança e suas consequências negativas à empresa. 6,06 1,28 CSI2 Eu tenho conhecimento suficiente sobre o custo de possíveis problemas de segurança da informação para a empresa. 5,42 1,67 Falhas de Segurança da Informação - Adaptado de Silveira et al. (2019) P3 Uso de mídias portáteis 5,06 1,83 P2 Uso de sites não confiáveis 4,94 1,97 P1 Uso de aplicativos piratas 4,70 1,98 Jeitinho brasileiro - Adaptado de Fernandes e Hanashiro (2015) JB2 Percebo que na empresa em que trabalho, em situações especiais para solucionar problemas, faz-se necessário adaptar-se e não cumprir com as normas de segurança da informação. 4,47 1,96 JB5 Percebo que na empresa em que trabalho, para atendimento de um pedido de ajuda, eventualmente, alguma regra de segurança da informação é contornada. 4,24 2,12 JB3 Percebo que na empresa em que trabalho, as regras de segurança da informação são contornadas, dependendo da situação. 4,14 2,13 JB4 Percebo que na empresa em que trabalho, as pessoas flexibilizam as normas relacionadas à segurança da informação, quando necessário. 3,78 2,00 JB1 Percebo que na empresa em que trabalho, frente a uma situação especial, é necessário contornar alguma regra de segurança da informação para que seja encontrada uma saída. 2,73 1,91 *

	ATI	COP	CPS	CSI	FSI	JB	NSU
ATI1	0,916	0,460	0,692	0,499	-0,311	-0,417	0,647
ATI2	0,843	0,466	0,579	0,504	-0,268	-0,344	0,511
ATI3	0,885	0,428	0,589	0,506	-0,263	-0,387	0,565
ATI4	0,863	0,411	0,620	0,490	-0,348	-0,367	0,537
COP2	0,327	0,780	0,520	0,468	-0,315	-0,178	0,413
COP3	0,422	0,878	0,537	0,554	-0,367	-0,339	0,479
COP4	0,497	0,843	0,559	0,626	-0,332	-0,294	0,462
CPS1	0,741	0,596	0,909	0,609	-0,426	-0,437	0,648
CPS2	0,612	0,507	0,891	0,535	-0,470	-0,444	0,638
CPS3	0,612	0,656	0,885	0,643	-0,459	-0,417	0,617
CPS4	0,541	0,530	0,867	0,437	-0,485	-0,387	0,521
CSI1	0,389	0,529	0,488	0,829	-0,227	-0,308	0,463
CSI2	0,364	0,598	0,533	0,692	-0,315	-0,279	0,409
CSI3	0,394	0,456	0,376	0,737	-0,148	-0,212	0,362
CSI4	0,575	0,441	0,508	0,790	-0,193	-0,337	0,498
FSI1	-0,298	-0,272	-0,392	-0,251	0,751	0,362	-0,309
FSI2	-0,194	-0,357	-0,383	-0,194	0,789	0,267	-0,313
FSIP3	-0,312	-0,336	-0,452	-0,247	0,840	0,417	-0,350
JB1	-0,371	-0,333	-0,431	-0,325	0,391	0,814	-0,358
JB2	-0,268	-0,268	-0,336	-0,265	0,347	0,821	-0,187
JB3	-0,412	-0,261	-0,432	-0,331	0,380	0,894	-0,300
JB4	-0,395	-0,248	-0,399	-0,321	0,340	0,829	-0,274
JB5	-0,351	-0,264	-0,381	-0,332	0,399	0,836	-0,242
NSU1	0,579	0,462	0,586	0,528	-0,333	-0,297	0,913
NSU2	0,553	0,556	0,657	0,576	-0,410	-0,304	0,888
NSU3	0,522	0,390	0,410	0,312	-0,281	-0,168	0,701
NSU4	0,589	0,450	0,662	0,512	-0,373	-0,336	0,928

	Média	AC	CC	AVE	ATI	COP	CPS	CSI	FSI	JB	NSU
ATI	6,14	0,90	0,93	0,769	0,877
COP	5,43	0,78	0,87	0,697	0,503	0,835
CPS	5,74	0,91	0,94	0,788	0,709	0,646	0,888
CSI	6,05	0,76	0,85	0,583	0,570	0,663	0,630	0,764
FSI	4,51	0,71	0,84	0,631	-0,34	-0,405	-0,517	-0,291	0,794
JB	3,70	0,90	0,92	0,704	-0,433	-0,328	-0,475	-0,377	0,443	0,839
NSU	5,71	0,88	0,92	0,744	0,646	0,542	0,684	0,573	-0,409	-0,329	0,863

Relações	Hipótese	VIF	Coeficiente (β)	t-valor	p-valor	f²	R²
ATI ♦ CPS	H1	1,967	0,325	4,142	0,000	0,163
NSU ♦ CPS	H2	1,926	0,269	4,068	0,000	0,114	0,671
COP ♦ CPS	H3	1,526	0,287	4,185	0,000	0,165
JEI ♦ CPS	H4	1,256	-0,152	3,261	0,001	0,056
CSI ♦ ATI	H5	1,000	0,570	9,125	0,000	0,480	0,324
CSI ♦ NSU	H6	1,000	0,573	9,828	0,000	0,488	0,328
CSI ♦ COP	H7	1,000	0,663	15,743	0,000	0,784	0,439
CSI ♦ JEI	H8	1,000	-0,377	6,684	0,000	0,166	0,142
CPS ♦ FSI	H9	1,000	-0,517	10,570	0,000	0,365	0,267

Cenário Proposto	Descrição do Cenário
Uso de aplicativos piratas	Paulo trabalha editando documentos importantes para sua empresa. Ele precisa editar um documento que será utilizado por seus colegas, mas a versão do seu aplicativo está muito antiga, o que está dificultando seu trabalho. A Política de Segurança da Informação proíbe o uso de aplicativos não instalados pela TI da empresa, mas Paulo consegue uma versão mais atual do aplicativo, instala no seu computador e termina a edição dos documentos.
Uso de sites não confiáveis	Flávia necessita gerar um arquivo pdf construído a partir de outros documentos, sendo estes sigilosos para sua empresa, de modo que seus colegas possam consultar essas informações rapidamente. Como a empresa não possui o software para executar essa função, Flávia usa uma aplicação online gratuita para juntar os arquivos em um arquivo único. A política de segurança da informação proíbe o uso de sites desconhecidos para atividades da empresa, mas Flávia consegue gerar o arquivo único, e repassar aos seus colegas.
Uso de mídias portáteis	Rodrigo tem acesso a importantes informações da empresa em que trabalha. A empresa solicita a ele que analise algumas dessas informações com urgência, e informe aos seus colegas a conclusão da análise. Rodrigo resolve levar alguns documentos importantes em um pendrive. A política de segurança proíbe o usuário de usar informações organizacionais fora do ambiente de trabalho, mas usando os documentos do pendrive, Rodrigo consegue terminar seu trabalho durante a viagem, e repassar aos seus colegas as conclusões da análise.

	Questão	Desvio Padrão
Conformidade com as Políticas de Segurança da Informação - Adaptado de Ifinedo (2012)IFINEDO, P. Understanding information systems security policy compliance: An integration of the theory of planned behavior and the protection motivation theory. Computers & Security, v. 31, n. 1, p. 83-95, 2012.
CPS3	Estou certo de que cumpro as normas de segurança da informação da empresa.	5,71	1,42
CPS2	Eu sigo as normas de segurança da informação da empresa.	5,84	1,33
CPS1	Eu cumpro com as normas de segurança da informação da empresa.	5,84	1,39
CPS4	Eu obedeço as regras de segurança da informação da empresa.	5,57	1,54
Atitude de Conformidade com as PSIs - Adaptado de Bulgurcu, Cavusoglu e Benbasat (2010)BULGURCU, B.; CAVUSOGLU, H.; BENBASAT, I. Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, v. 34, n. 3, p. 523-548, 2010.
ATI1	Para mim, cumprir os requisitos de segurança da informação estabelecidos pela empresa é necessário.	6,26	1,04
ATI3	Para mim, cumprir com as regras de segurança da informação determinadas pela empresa é importante.	6,21	1,02
ATI4	Para mim, praticar as normas de segurança da informação estabelecidas pela empresa é adequado.	6,09	1,27
ATI2	Para mim, seguir as normas de segurança da informação de acordo com a empresa é benéfico.	5,97	1,31
Normas Subjetivas - Adaptado de Hu et al. (2012)HU, Q. et al. Managing employee compliance with information security policies: The critical role of top management and organizational culture. Decision Sciences, v. 43, n. 4, p. 615-660, 2012.
NSU4	As pessoas que eu respeito na empresa pensam que eu devo seguir as normas de segurança da informação.	5,48	1,56
NSU1	Pessoas que são influentes para mim na empresa acham que eu devo seguir as regras relacionadas à segurança da informação.	5,93	1,45
NSU2	Pessoas importantes na empresa possuem opiniões que eu valorizo sobre as normas de segurança da informação.	5,75	1,54
NSU3	Pessoas que são importantes para mim na empresa pensam que eu devo seguir as políticas de segurança da informação.	5,67	1,57
Controle Percebido - Adaptado de Bulgurcu, Cavusoglu e Benbasat (2010)BULGURCU, B.; CAVUSOGLU, H.; BENBASAT, I. Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, v. 34, n. 3, p. 523-548, 2010.
COP3	Eu tenho recursos e conhecimento para seguir as normas de segurança da informação disponibilizadas pela minha empresa.	6,11	1,30
COP4	Possuo as habilidades necessárias para seguir as regras de segurança da informação da minha empresa.	4,88	1,93
COP1	Eu sou capaz de seguir as regras de segurança da informação estabelecidos pela minha empresa.^* * Item excluído após as etapas de validação do instrumento.	5,78	1,45
COP2	Tenho treinamento e habilidades adequadas para seguir as normas de segurança da informação definidos pela minha empresa.	5,62	1,63
Consciência de Segurança da Informação - Adaptado de Bulgurcu, Cavusoglu e Benbasat (2010)BULGURCU, B.; CAVUSOGLU, H.; BENBASAT, I. Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, v. 34, n. 3, p. 523-548, 2010.
CSI3	Eu compreendo os riscos relacionados à segurança da informação para a empresa.	6,34	0,95
CSI4	Eu entendo as preocupações em relação à segurança da informação e os riscos que elas representam em geral.	6,36	1,11
CSI1	No geral, estou ciente das possíveis ameaças à segurança e suas consequências negativas à empresa.	6,06	1,28
CSI2	Eu tenho conhecimento suficiente sobre o custo de possíveis problemas de segurança da informação para a empresa.	5,42	1,67
Falhas de Segurança da Informação - Adaptado de Silveira et al. (2019)SILVEIRA, J. et al. Segurança da Informação: Uma análise da percepção de ameaças que influenciam a Intenção de Cumprir as Políticas de Segurança da Informação por usuários de organizações do estado do Rio Grande do Sul. Revista de Tecnologia Aplicada, v. 8, n. 1, 2019.
P3	Uso de mídias portáteis	5,06	1,83
P2	Uso de sites não confiáveis	4,94	1,97
P1	Uso de aplicativos piratas	4,70	1,98
Jeitinho brasileiro - Adaptado de Fernandes e Hanashiro (2015)FERNANDES, R.; HANASHIRO, D. Explorando aspectos indígenas da gestão numa organização financeira: jeitinho e sociedade relacional. Revista de Administração Contemporânea, v. 19, n. 3º Especial, p. 328-347, 2015.
JB2	Percebo que na empresa em que trabalho, em situações especiais para solucionar problemas, faz-se necessário adaptar-se e não cumprir com as normas de segurança da informação.	4,47	1,96
JB5	Percebo que na empresa em que trabalho, para atendimento de um pedido de ajuda, eventualmente, alguma regra de segurança da informação é contornada.	4,24	2,12
JB3	Percebo que na empresa em que trabalho, as regras de segurança da informação são contornadas, dependendo da situação.	4,14	2,13
JB4	Percebo que na empresa em que trabalho, as pessoas flexibilizam as normas relacionadas à segurança da informação, quando necessário.	3,78	2,00
JB1	Percebo que na empresa em que trabalho, frente a uma situação especial, é necessário contornar alguma regra de segurança da informação para que seja encontrada uma saída.	2,73	1,91