Forslag  til  videre  forskning

Este estudo propõe um modelo preditivo de intenção do usuário aderir a uma Política de Segurança da Informação que foi elaborado a partir da mescla de fatores comuns aos modelos de “Motivações Intrínsecas e Extrínsecas em Comportamentos de Segurança da Informação” e “Modelo Estendido da Teoria Geral da Dissuasão” ( The Extended GDT Model), desenvolvidos por Herath e Rao (2009) e D’Arcy, Hovav e Galletta (2009), respectivamente.

Nesse estudo, a variável dependente é a “Intenção de seguir a Política de Segurança” são determinadas por fatores motivacionais intrínsecos e extrínsecos aos usuários, que são as variáveis independentes.

Os fatores motivacionais intrínsecos são formados pelas dimensões de “eficácia percebida” e “comprometimento moral”. Já os extrínsecos, são formados pelos grupos denominados “pressões sociais” e “punições”, cujos determinantes estão presentes na Figura 7.

Figura 7: Fatores motivacionais intrínsecos e extrínsecos que identificam a predisposição em seguir uma Política de Segurança da Informação.

Fonte: elaborado pela autora, 2014

Especificamente, o modelo teórico apresentado avalia a relativa importância dos três seguintes mecanismos de incentivo: (1) penalidades; (2) pressões sociais e (3) eficácia percebida. Herath e Rao (2009) propuseram que os efeitos da penalidade são criados por dois mecanismos – severidade da punição e certeza de detecção – para prever quais fatores influenciam no cumprimento (compliance) das normas de segurança da informação.

Nesse estudo, os autores formularam hipóteses de que as pressões sociais exercidas pelas normas subjetivas (expectativa percebida) e normas descritivas (observância) influenciariam positivamente as intenções de seguir a política. Por fim, com a finalidade de aumentar o poder preditivo do modelo apresentado nesta pesquisa, também foi acrescentado em conjunto com a eficácia percebida pelo empregado (fator motivacional intrínseco) quanto às suas ações, se o comprometimento moral — variável presente no estudo de D’Arcy, Hovav e Galletta (2009) – também teria um efeito positivo no cumprimento de políticas de segurança

da informação caso sejam implementadas. Com base nesses conceitos, foram formuladas as seguintes hipóteses:

Hipótese 1a: O aumento da severidade da punição estará positivamente associado com a intenção de seguir a Política de Segurança da Informação da organização.

Essa hipótese foi delineada por Herath e Rao (2009) por defenderem que a certeza de punição contra os empregados é um importante aspecto de dissuasão para que elas sejam cumpridas, já que a punição funcionaria como um esforço para controlar comportamentos antissociais.

Hipótese 1b: O aumento da certeza de detecção da punição estará positivamente associado com a intenção de seguir a Política de Segurança da Informação da organização.

Num contexto de segurança da informação, fazer cumprir com punições só é possível quando a organização for hábil para detectar a falta de bom comportamento do empregado. Logo, é pertinente que se lancem mecanismos de monitoramento e detecção de descumprimento de regras de segurança como uma forma de ter certeza que os empregados estão agindo em conformidade com a política de segurança.

Hipótese 2a: As crenças normativas estarão positivamente associadas com a intenção de cumprir com as políticas de segurança da informação.

O comportamento de segurança da informação é executado como uma forma de atender às expectativas do que outros (colegas e especificamente a alta administração) efetivamente esperam.

Hipótese 2b: O comportamento dos pares estará positivamente associado com a intenção de seguir a Política de Segurança da Informação da organização.

As normas subjetivas incentivam o comportamento individual através da possibilidade de obtenção da aprovação a dos outros. Portanto, o comportamento individual é motivado pela observação daquilo que normalmente é típico ou normal para se fazer, havendo um enfoque na expectativa de que os outros indiretamente realizem o mesmo comportamento.

Hipótese 3a: A eficácia percebida do comportamento de segurança do empregado estará positivamente associada com a intenção de seguir a Política de Segurança da Informação da organização.

Os empregados podem se engajar em atividades que são benéficas para a organização porque eles se sentem comprometidos e acreditam que suas ações individuais irão fazer a diferença quanto à proteção dos ativos de informação pela organização.

Hipótese 3b: O alto comprometimento moral estará positivamente associado com a intenção de seguir a Política de Segurança da Informação

Quem tem um comprometimento moral maior costuma “fazer o que é certo”. Segundo Hovav e Galleta (2009), as pessoas que têm esse comportamento procuram seguir as regras por medo de “serem pegas” descumprindo/desobedecendo as ordens. Ou seja, quem teria um comprometimento moral maior, poderia estar mais predisposta a seguir uma política de segurança da informação. Enquanto aqueles que não teriam um comprometimento moral tão alto só cumpririam as políticas caso percebesse uma severidade maior na punição.

As hipóteses que acabaram de ser detalhadas serviram como parâmetro para a operacionalização das variáveis da pesquisa, que será discutida no capítulo seguinte, em conjunto com os procedimentos metodológicos da pesquisa.

4 PROCEDIMENTOS METODOLÓGICOS

Neste capítulo serão apresentados os aspectos e procedimentos metodológicos da pesquisa a fim de possibilitar um esclarecimento e melhor compreensão para a realização da análise dos resultados. As discussões realizadas em capítulos anteriores moldaram o desenho e os motivos para a realização da pesquisa, determinando o modelo adotado na elaboração do instrumento adotado.

O método utilizado para atingir os objetivos propostos por este estudo compreende: a) análise do referencial teórico para o embasamento sobre o tema em estudo; b) elaboração de um modelo teórico; c) tradução e adaptação do questionário, tipo survey, a partir das questões provenientes dos constructos dos modelo teóricos estudados; d) validação do questionário por estudiosos da área de Gestão de TI e Segurança da Informação; e) aplicação de teste-piloto do questionárioaplicado com estudantes de pós-graduação da instituição pesquisada; f) correção do questionário, conforme resultado do pré-teste; g) coleta de dados; h) análise de dados; i) conclusões e j) relatório final; conforme demonstrado na Figura 8.

Figura 8: Desenho da pesquisa com respectivas fases e etapas.

Fonte: elaborado pela autora, 2014.

Conforme o desenho da pesquisa, que acabou de ser ilustrado na figura 10, serão descritos nos tópicos seguintes os procedimentos realizados na segunda fase da pesquisa que possibilitaram a criação de um instrumento de pesquisa tipo survey a fim de se executar a coleta de dados.

Este capítulo se encontra dividido em seis tópicos, detalhados em: população e amostra; tipologia e abrangência estudo; pré-teste, construção do instrumento de pesquisa e

operacionalização das variáveis; planos de coleta e análise de dados e tratamento de dados perdidos e observações atípicas.