Práticas organizacionais de estímulo à segurança da informação e percepção de mudança organizacional: influência nas atitudes e comportamentos de segurança

Abstract

A informação possui um papel estratégico no âmbito organizacional e, por isso, assegurá-la tornou-se essencial para que as organizações se mantenham competitivas no mercado. No entanto, não basta apenas investir em recursos tecnológicos, é preciso investir nas pessoas, fator fundamental da segurança da informação. Nesse sentido, essa dissertação teve como objetivo investigar como as práticas de segurança adotadas no nível organizacional e a percepção de mudança decorrente dessas geram efeitos nas atitudes e nos comportamentos dos indivíduos com relação à segurança da informação. Para tanto, foi aplicado um questionário, composto de quatro instrumentos, em uma empresa pública, totalizando 423 casos. Os seguintes instrumentos apresentaram estrutura bifatorial: Praticas Organizacionais voltadas para a rotina organizacional(α =0,90) e Práticas Organizacionais voltadas para os indivíduos(α =0,91); Percepção de Mudança Organizacional Radical (α = 0,95) e Percepção de Mudança Organizacional Incremental (α = 0,87); Atitudes negativas perante as práticas (α = 0,88) e Atitudes positivas (α = 0,81);o instrumento Comportamentos de segurança voltados para o computador de trabalho apresentou estrutura unifatorial com α = 0,89. Foram realizadas análises estatísticas dos eixos principais (PAF) e teste de mediação por meio de regressão múltipla. Os resultados evidenciaram a existência de relações entre as práticas organizacionais de segurança (R2 = 0,28), a percepção de mudança organizacional radical atribuída à segurança (R2 = 0,27) e comportamento de segurança relacionada ao computador de trabalho (R2 = 0,12) mediada pelas atitudes positivas frete as práticas de segurança (R2 = 0,17). Foram encontradas as seguintes limitações: as medidas utilizadas foram adaptadas para a realidade da organização e se limitaram a autoavaliação dos participantes. Os achados nessa pesquisa podem ser utilizados na elaboração de programas de Segurança da Informação nas organizações. ______________________________________________________________________________________ ABSTRACT

Information plays a strategic role in the organizational environment, therefore its security is crucial to remain organizations competitive. In this context, it is important to pay attention not only to technology resources, but also to people that are an essential factor of the information security. This paper aims to understand the individual security behavior in the work environment, testing a mediation model which identifies two antecedents of security behavior: organizational practices of information security and organizational change perception toward practices, and security practices-related attitudes as the mediator variable. For this study, an instrument composed by four ten-point Likert scales was used. Three scales were developed and validated to measure the practices, attitudes and behavior toward 61 statements. A ten-point scale was revalidate to measure the organizational change perception toward 30 statements. The scales presented a two-dimensional structure: organizational routine practices-related α =0,90, individual practices-related α = 0,91 , incremental change α= 0,80, radical change α= 0,89,negative attitudes α = 0,87, positive attitudes α = 0,80. Computer behavior-related presented a one-dimensional structure α = 0,71. Data were collect from 623 cases in a Brazilian public organization by on-line survey. Descriptive analyses, exploratory factor analysis and regression analysis were done. The results showed that security practices-related attitudes mediated the relation between the organizational and individual levels, that is, in so far as the organization implements security practices the individuals perceive radical organizational change (R2=0,28) and present positive security practices-related attitudes , which in turn, impact information security behavior (R2=0,15).