Sistemas de gestão de segurança da informação – uma análise comportamental

O tratamento dos riscos relacionados ao comportamento dos colaboradores nas organizações representa um grande desafio na implantação dos sistemas de gestão da segurança da informação. A principal medida adotada é a definição de políticas de segurança da informação, cuja maioria dos estudos restringe-se aos aspectos formais de sua elaboração ou aborda as ações de conscientização como instrumentos de sua implantação. Nesse trabalho é proposto um novo modelo para tratar esses riscos, calcado no arcabouço teórico estabelecido pela análise do comportamento, em especial, a teoria analítico-comportamental do direito, mediante a sua aplicação em um órgão da administração pública federal. A pesquisa foi divida em duas fases, sendo a primeira a análise comportamental da política de segurança da informação, que contempla a descrição e análise das contingências planejadas no normativo, e a segunda a análise comportamental da norma de segurança da informação, enquanto um conjunto de padrões comportamentais entrelaçados que visam o controle coercitivo dos comportamentos indesejados. Os resultados apontam um novo caminho baseado na análise comportamental dos sistemas de gestão de segurança da informação para a mitigação dos riscos organizacionais, por meio da identificação de falhas, incoerências e a proposição de novas medidas com vistas ao aprimoramento desses sistemas de gestão.