Esta seção tem o papel de descrever a metodologia aplicada na elaboração e análise do questionário utilizado como instrumento de pesquisa. Nesta são detalhados os fundamentos utilizados na elaboração do questionário, a organização e estrutura do instrumento de pesquisa, além do protocolo de aplicação do questionário.
3.3.1 Fundamentos do Instrumento de Pesquisa
Entre os modelos de níveis de maturidade de GovSI levantados na literatura – Williams (2001); Alves, Carmo e Almeida (2006); Carbonel (2008); e ITGI (2008) – este último foi escolhido para ser utilizado como base ou fundamento da pesquisa. O ITGI (2008) foi eleito por três motivos principais: 1) a quantidade de requisitos presentes nas outras publicações (WILLIAMS, 2001; ALVES, CARMO e ALMEIDA, 2006; e CARBONEL, 2008) não são detalhados o suficiente para montar um questionário de pesquisa; 2) a maior parte das publicações utilizam como base os modelos de maturidade e melhores práticas de GovSI propostos pelo ITGI, como o Cobit e outras obras desta entidade; 3) as pesquisas realizadas pelos órgãos na APF, como o acórdão 1.603/2008 do TCU (Tribunal de Contas da União), também utilizam as melhores práticas apresentadas pelo ITGI.
Desta forma, este estudo utiliza como referência os níveis de maturidades de GovSI propostos pelo ITGI (2008, p. 61), presentes nas páginas de 61 a 63 do apêndice B: “Níveis de Maturidade – Descrições Detalhadas”. Neste apêndice estão descritos os seis níveis de maturidade propostos, que variam de zero (inexistente) a cinco (otimizado), bem como os detalhes de cada um deles.
Os níveis de maturidade definidos pelo ITGI (2008) e suas principais características são: Nível 0) a organização não reconhece a importância da necessidade de SI; Nível 1) a organização considera a importância dos riscos, mas não possui um processo formal de avaliação e levantamento desses riscos; Nível 2) a organização entende a necessidade da Segurança de Informação e dos seus riscos, contudo não possui um processo formalmente estabelecido; Nível 3) a organização entende claramente as necessidades da gestão de risco e
da implantação da GovSI; Nível 4) a organização possui um levantamento de riscos de forma padronizada, uma atribuição clara dos papéis e responsabilidades de segurança, além de apresentar políticas, padrões e procedimentos formalizados; Nível 5) a organização possui os diversos processos de GovSI implantados, gerenciados e monitorados.
3.3.2 Estrutura do Instrumento de Pesquisa
O questionário utilizado como instrumento desta pesquisa possui duas principais características: a primeira, levantar de forma objetiva o nível de maturidade de GovSI; e a segunda, investigar as principais variáveis e características do órgão que podem influenciar e dificultar a implantação das melhores práticas de GovSI.
Este questionário apresenta trinta e cinco questões fechadas, do tipo SIM/NÃO. No caso de uma resposta negativa são disponibilizados cinco itens, com razões pré-estabelecidas, elaboradas a partir do acórdão 1.603/2008, além de uma aberta, que permite a descrição de outros motivos não oferecidos de forma pré-estabelecida. Neste caso, pode ser marcado mais de um item pelo entrevistado, visto que o órgão ou entidade pode apresentar um ou mais justificativas para o não cumprimento de determinado requisito de GovSI.
Com o objetivo de avaliar as principais dificuldades por que um órgão não dispõe dos requisitos de GovSI, o questionário dispõe cinco justificativas formuladas a partir do acórdão 1.603/2008 (BRASIL, 2008a), dispostas no quadro 2 a seguir:
LETRA DESCRIÇÃO
a) Não é motivada por diretrizes ou normas internas. b) Falta de pessoal ou equipe na unidade/órgão. c) Necessidade de treinamento e qualificação.
d) Ausência de perfil ou interesse gerencial para tratar a questão.
e) Processo lento e trabalhoso. f) Outros Motivos.
Quadro 2 - Causas apresentadas pelo instrumento de pesquisa. Fonte: Brasil (2008a).
Além disso, os principais requisitos de segurança apresentados no questionário, elaborado de acordo com o modelo de maturidade do ITGI (2008), encontram-se listados a seguir:
Entendimento da importância da Segurança de Informação, bem como seu alinhamento e impacto no negócio;
Implantação da gestão de risco e elementos de análise do risco para o negócio; Implantação de mecanismos para continuidade dos serviços, como resposta aos
incidentes ou interrupções nos serviços; Monitoramento e relatórios de segurança;
Atribuições dos papéis e responsabilidades pela SI; Estabelecimento de políticas de segurança;
Implantação de mecanismos preventivos, como testes de intrusão, planos de recuperação e alta disponibilidade.
Vale ressaltar que cada questão disposta no questionário está classificada no quadro 4 (Classificação das Questões de Pesquisa), presente na seção 4.2, com base nesses critérios listados.
3.3.3 Método de Elaboração do Instrumento de Pesquisa
As questões presentes no questionário, utilizado como instrumento de pesquisa, foram extraídas a partir dos requisitos de Segurança da Informação apresentados no apêndice B do documento Information Security Governance: Guidance for Boards of Directors and
Executive do ITGI (ITGI, 2008), conforme mencionado na seção 3.3.1.
Este apêndice apresenta uma série de requisitos em sua língua original (inglês) que indicam o nível de maturidade de Governança da Segurança da Informação. Por exemplo, o requisito do nível zero que nega o reconhecimento da SI na organização, na sua língua original é apresentado como: “The organisation does not recognise the need for information
security” (ITGI, 2008, p. 61). Este mesmo requisito foi traduzido e gerou a questão “O órgão
reconhece a necessidade de Segurança da Informação?”, também presente no nível zero do questionário de pesquisa.
Desta forma, os requisitos presentes no documento do ITGI foram analisados e originaram as questões presentes no instrumento de pesquisa. Vale ressaltar, ainda, que alguns requisitos foram analisados e agrupados, em uma única questão, a fim de elaborar um questionário mais claro e objetivo para o órgão a ser entrevistado.
3.3.4 Protocolo de Aplicação do Questionário
O questionário foi aplicado no ano 2011, nos órgãos vinculados à Administração Direta Federal Brasileira, nas unidades responsáveis pela Segurança de Informação. Ressalta a
formalidade e sigilo das respostas encaminhadas pela entidade, pois levanta informações sensíveis do órgão, como: o nível de proteção dos ativos de informação, a gestão de risco corporativo e o grau de continuidade dos serviços críticos.
Desta forma, as etapas sugeridas para o protocolo de aplicação ressaltam o sigilo e a formalidade de pesquisa, a fim de garantir a ausência de aspectos capazes de identificar o órgão entrevistado. Por isso, a aplicação deste questionário deve seguir os passos propostos abaixo:
1) Identificar o responsável pela Segurança de Informação; 2) Obter seu e-mail e telefone;
3) Entrar em contato por meio de telefone para destacar a importância e o sigilo da pesquisa;
4) Enviar um e-mail com o questionário, que contenha: uma apresentação geral, as instruções básicas de preenchimento, o contato para eventuais dúvidas e um agradecimento prévio;
5) Caso o e-mail não seja respondido em até duas semanas, enviar um novo e-mail e fazer um novo contato telefônico para reforçar a importância da pesquisa; 6) Coletar os questionários de pesquisa respondidos;
7) Enviar um e-mail para agradecer o retorno do questionário.