Análise da Punição, Deteção e Comportamento dos Pares como Influências na Intenção de Cumprimento das Políticas de Segurança Cibernética nas Organizações

Rui Dini, Leonardo Rocha de Oliveira

Resumo


Segurança cibernética é um desafio de gestão que vem sendo enfrentado pelos mais
diversos tipos de empresas do mundo todo. Contramedidas de proteção contra ataques
cibernéticos de diversos tipos vem sendo adotadas por empresas, e barreiras como invasão
de privacidade e perda de produtividade são questões a serem consideradas na sua adoção.
Este trabalho tem o objetivo de analisar influências na intenção de cumprimento de
políticas empresariais para segurança cibernética por funcionários em diferentes
organizações. A revisão de literatura indica que os principais fatores de influência são (i)
severidade da punição, (ii) certeza da detecção e (iii) comportamento de pares. Neste
trabalho foi desenvolvida uma pesquisa quantitativa e descritiva para analisar a relação
destes três fatores sobre a (iv) intenção de cumprimento das políticas de segurança nas
organizações. A pesquisa foi elaborada por meio de survey com questionário de 11
questões para serem respondidas com base em escala Likert de 7 pontos. Os resultados
apontam que fatores de (ii) certeza de detecção e (iii) comportamento dos pares são
predecessores da (iv) intenção de cumprimento das políticas de segurança.


Texto Completo:

PDF (English)

Referências


ABNT. NBR ISO/IEC 17799: Tecnologia da informação - Código de prática para a gestão de segurança da informação. Rio de Janeiro, 2001.

ABNT. NBR ISO/IEC 27002: Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação. Rio de Janeiro, 2005.

Albertin, A. L.; Pinochet, L. H. C., Política de segurança de informações: Uma visão organizacional para a sua formulação, Elsevier, São Paulo, 2010.

Albrechtsen, E.; Hovden, J., The information security digital divide between information security managers and users, Computers & Management, 28 (2009), 476-490.

Anderson, A. L.; Agarval, R. “Practicing safe computing: a multimethod empirical examination of home computer user security behavioral intentions.” MIS Quarterly, Special Issue, 34, 3 (2010), 613-643.

Batteau, A. W., “Creating a culture of enterprise cybersecurity”, International Journal of Business Anthropology, 2, 2 (2001).

Bélanger, F.; Crossler, R. E., “Privacy in the digital age: a review of information privacy research in information systems”, MIS Quarterly, 35 (2011), 1017-1041.

Bulgurcu, B.; Cavusoglu, H.; Benbasat, I., “Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness”, MIS Quarterly, 34, 3 (2010), 523-548.

Cetron, M.; Davies, O. Ten critical trends for cybersecurity. World Future Society, USA, Bethesda, Sep/Oct. Pp. 40 – 49, 2009.

Chan, M., Woon, I., Kankanhalli, A., “Perceptions of information security at the Workplace: Linking information security Climate to Compliant Behavior”, Journal of Information Privacy and Security, 1, 3 (2005), 18–41.

Cho, V., “A study of the roles of trusts and risks in information-oriented online legal services

D’arcy, J.; Hovav, A.; Galletta, D., “User awareness of security countermeasures and its impact on information systems misuse: A deterrence approach”, Information Systems Research, Articles in Advance, 2008, 1-20.

Etzioni, A., Cybersecurity in the private sector. Issues in Science and Technology, http://www.issues.org/28.1/etzioni.html, (Maio de 2013), 2011.

Forward. Managing emerging threats in ICT Infrastructures. Seventh Framework Program. White book: Emerging ICT threats. http://www.ict-forward.eu/media/publications/forward- d2.1.x.pdf, (Maio de 2013), 2009.

Glennon, M. J., “State-level cyber security,” Policy Review, Feb/Mar., 171 (2012), 85 – 102.

Goodhue, D. L.; Straub, D. W., “Security concerns of system users: A study of perceptions of the adequacy of security”, Information & Management, 20, 1 (1991), 13-27.

Hair JR., J. F.; Babin, B.; Money, A. H.; Samouel, P., Fundamentos de métodos de pesquisa em administração, Bookman, Porto Alegre, 2005.

Harknett, R.; Stever, J., “The New Policy World of Cybersecurity”, Public Administration Review, N. Roberts, Ed., 2011, 455-460.

Herath, T.; Rao, H. R., “Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness”, Decision Support Systems, 47 (2009), 154- 165.

Herath, T.; Rao, H. R., “Protection motivation and deterrence: A framework for security policy compliance in organizations”, European Journal of Information Systems, 18 (2009b), 106-125.

Kankanhalli, A., Teo, H. H., Tan B.C.Y; Wei, K.K., “An Integrative Study of Information Systems Security Effectiveness", International Journal of Information Management, 23, 2 (2003), 139-154.

Kruger, H. A.; Kearney, W. D., “A prototype for assessing information security awareness”,

Computers & Security, 25, 4 (2006), 289-296.

Lacey, D. Managing the human factor in information security: How to win over staff and influence business managers. West Sussex: John Wiley and Sons, 2009.

Lee, S. M.; Lee, S.; Yoo, S., “An integrative model of computer abuse based on social control and general deterrence theories”, Information & Management, 41 (2004), 707-718.

Leonard, L. N. K.; Cronan, T. P.; Kreie, J., “What influences IT ethical behavior intentions: planned behavior, reasoned action, perceived importance, or individual characteristics?”, Information & Management, 42 (2004), 143–158.

Liang, H.; Xue, Y., “Avoidance of Information Technology Threats: A Theoretical Perspective”, MIS Quarterly, 33, 1 (2009), 71-90.

Ng, B.; Kankanhalli A.; Xu Y., “Studying users' computer security behavior: A health belief perspective”, Decision Support Systems, 46, 4 (2009), 815-825.

Pahnila, S.; Siponen, M.; Mahmood, A., Which Factors Explain Employees’ Adherence to Information Security Policies? An Empirical Study. Proceedings of the Eleventh Pacific Asia Conference on Information Systems, July 4-6, Auckland, New Zeland, 2007.

Pahnila, S.; Siponen, M.; Mahmood, A., Which factors explain employees’ adherence to information security policies? An empirical stud, Proceedings of the Eleventh Pacific Asia Conference on Information Systems, Auckland, New Zealand, 2007.

Sêmola, M., Gestão da segurança da informação: Uma visão executiva, Elsevier, Rio de Janeiro, 2003.

Shaw, R. S.; Chen, C. C.; Harris, A. L.; Huang, H., “The impact of information richness on information security awareness training effectiveness”, Computers & Education, 52 (2009), 92- 100.

Siponen, M., “A conceptual foundation for organizational information security awareness”,

Information Management & Computer Security, 8, 1 (2000), 31-41.

Siponen, M.; Willison, R.; Baskerville, R., Power and practice in information systems security research. In: Proceedings of the Twenty Ninth International Conference on Information Systems, Paris, 2008.

Sund, C., “Towards an international road-map for cybersecurity”, Online Information Review, Emerald Group Publishing Limited, 31, 5 (2007), 566-582.

Trcek, D.; Trobec, R.; Pavesic, N.; Tasic, J. F., “Information systems security and human behavior”, Behavior & Information Technology, 26, 2 (2007), 113–118.

Vaast, E., “Danger is in the eye of the beholders: Social representations of information systems security in healthcare”, Journal of Strategic Information Systems, 16 (2007), 130-152.

Vance, A.; Siponen, M.; Pahnila, S., “Motivating IS security compliance: Insights from habit and protection motivation theory”, Information & Management, 49 (2012), 190-198.

Velani, K. H., Strategic Security Management: A Risk Assessment Guide for Decision Makers, Elsevier, 2007.

Ward, P.; Smith, C. L., “The development of access control policies for information technology systems”, Computers & Security, 21, 4 (2002), 356-371.

Weill, P.; Ross, J. W. IT Governance: how top performers manage IT decision rights for superior results”, Harvard Business School Press, Massachusetts, 2004.

Wilson, J. L.; Turban, E.; Zviran, M., “Information systems security: A managerial perspective”, International Journal of Information Management, 12 (1992), 105-119.

Ye, N.; Farley, T.; Deepak, L. An attack-norm separation approach for detecting cyber attacks, Information Systems Frontiers, 8, 3, (2006), 163-177.




DOI: http://dx.doi.org/10.18803/capsi.v13.%25p

Apontamentos

  • Não há apontamentos.