Ameaças, controle, esforço e descontentamento do usuário no comportamento seguro em relação à segurança da informação

Abstract

The popularization of softwares intended to mitigate the threats to Information Security ended up producing an incorrect notion that such artifacts can protect organizations from attack and overcome any threat. This mistaken notion may be caused by obtaining partial information on the subject or the lack of adequate awareness, being a human factor that can cause increased vulnerability, because induce a reckless behavior of users in relation to Information Systems. However, only the misconception regarding the perception of the threat and its severity does not justify the in Information Security breaches caused by human factors. Another important insight is the perceived exertion of performing actions that lead to responsible behavior in relation to Information Security, which added to aspects such as indifference to the rules of information security and human error can also be inducing factors of vulnerability and breaches in Information Security. In the present study we opted for the grounding in theories on Information Security through a behavioral approach to the user. The combination of the key concepts of these theories, previously validated in their research and applied to the present study approach, was used in order to understand the extent to which human perception of threat, stress, and disgruntlement control can induce responsible behavior before the Information Security and how that human behavior can generate vulnerability and potential breaches in Information Security. The results showed that there is an influence of Information Security orientation, provided by organizations in the perception and severity of the threat. Furthermore, by applying the linear regression technique, it was verified the relationship between disgruntlement and in relation to Information Security Safe Behaviour. Based on these findings contributions to the academic and practioneer knowledge were developed.

A popularização de softwares que visam mitigar as ameaças à Segurança da Informação acabou produzindo uma noção exacerbada nos usuários a respeito da plena eficácia desses softwares na proteção das organizações e na supressão de qualquer ameaça. Essa noção equivocada pode ser originada pela obtenção de informações parciais sobre o assunto, ou pela falta da conscientização adequada, e é um fator humano que pode provocar acréscimo de vulnerabilidade, pois ocasiona um comportamento imprudente dos usuários em relação aos Sistemas de Informação. Entretanto, somente o equívoco em relação à percepção da ameaça e a sua severidade não explica as brechas na Segurança da Informação provocadas por fatores humanos. Outra percepção importante é o esforço percebido no cumprimento de ações que conduzem a um comportamento responsável em relação à Segurança da Informação, que somados aos aspectos como a indiferença às orientações da Segurança da Informação e o erro humano, também podem ser fatores indutores de vulnerabilidade e brechas na Segurança da Informação. Na presente pesquisa optou-se pelo embasamento em teorias que tratam da Segurança da Informação através de uma abordagem comportamental do usuário. A combinação dos principais conceitos dessas teorias, previamente validados em suas respectivas pesquisas e aplicáveis à abordagem da presente pesquisa, foi utilizada buscando compreender até que ponto a percepção humana sobre ameaça, esforço, controle e o descontentamento podem induzir a um comportamento responsável perante a Segurança da Informação e como esse comportamento humano pode gerar vulnerabilidade e possíveis violações na Segurança da Informação. Os resultados demonstraram que há influência da orientação em Segurança da informação, fornecida pelas organizações, na percepção e severidade da ameaça. Além disso, através da aplicação da técnica de regressão linear, foi verificada a relação entre o descontentamento e o Comportamento Seguro em relação à Segurança da Informação. Com base nesses resultados foram elaboradas contribuições para o conhecimento acadêmico e gerencial.