POLTICA DE SEGURANA DA INFORMAO: CONTRIBUIES DO ENDOMARKETING PARA SUA EFETIVIDADE INFORMATION SECURITY POLICY: CONTRIBUTIONS FROM INTERNAL MARKETING

FOR ITS EFFECTIVENESS Cristiane Ellwanger* E-mail: cristianeellwanger@gmail.com Raul Ceretta Nunes* E-mail: ceretta@inf.ufsm.br Rudimar Antunes da Rocha** E-mail: rrudimar@hotmail.com Maria Anglica Figueiredo Oliveira* E-mail: mariaangelicafo@gmail.com
*Universidade Federal de Santa Maria UFSM, Santa Maria, RS **Universidade Federal de Santa Catarina UFSC, Florianpolis, SC Resumo: Proteger os recursos de informao tornou-se um grande desafio s organizaes devido ao avano das tecnologias de informao, a integrao entre essas tecnologias e o fluxo constante de informaes que trafegam atravs de redes de comunicao. O estabelecimento de uma Poltica de Segurana da Informao PSI pode resolver parte dos problemas relacionados segurana, mas no pode resolv-los integralmente, pois os recursos humanos, presentes no ambiente interno das organizaes, podem comprometer a efetividade de uma PSI. Dada a relevncia dos aspectos humanos no contexto da segurana da informao, o presente artigo explora a utilizao de endomarketing (marketing interno) como estratgia de gesto, no intuito de se obter ou resgatar o comprometimento dos usurios para com os pressupostos definidos na poltica de segurana da informao, e demonstra, atravs de uma pesquisa experimental, o impacto da utilizao de tcnicas de endomarketing para a efetividade da poltica. Os resultados advindos da realizao do experimento evidenciam quantitativamente o quo relevante pode ser a utilizao dessas tcnicas para que os procedimentos descritos na PSI sejam realmente executados pelos usurios e demonstram um aumento de 402,4% na adeso poltica de segurana da informao, considerando os procedimentos indicados pela PSI e que foram totalmente executados. Palavras-chaves: Segurana da Informao. Poltica de Segurana da Informao. Endomarketing. Recursos Humanos Abstract: Protecting sources of information has become a great challenge to the organizations, due to the advance of the information technologies, the integration between them and the constant stream of information that flows through the communication networks. The establishment of an Information Security Policy PSI may resolve a part of the problems related to security, but it cannot totally solve them, since the human resources present in the internal environment of the organizations may spoil the effectiveness of the PSI. Given the importance of the human aspects in the context of the information security, the present work discusses the use of internal marketing as a management strategy in order to obtain or reestablish the commitment of the users to the principles defined in the PSI, and demonstrates, through an experimental research, the impact of using internal marketing techniques to the effectiveness of that policy. The results of this experiment make quantitatively evident how relevant the use of these techniques may be in order to have the procedures described in the PSI actually carried out by the users, and demonstrates a 402,4% increase in the support to the information security policy, considering the procedures indicated in the PSI that were totally executed. Keywords: Information Security. Information Security Policy. Internal Marketing. Human Resources.

Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 402

1 INTRODUO O avano acelerado das tecnologias de informao, a integrao entre as mesmas e o fluxo constante de informaes que trafegam em meio a redes de comunicao ao mesmo tempo em que proporcionam formas mais fceis e rpidas de acesso s informaes, expe ainda mais a fragilidade a que esto expostos a trade usurio-sistema-informao (MARCIANO e LIMA-MARQUES, 2006). O estabelecimento de uma poltica de segurana da informao PSI pode resolver parte dos problemas relacionados segurana, por atribuir regras e procedimentos direcionados a garantir a segurana das informaes

organizacionais. Entretanto, ela no capaz de resolver estes problemas integralmente, pois funcionrios despreparados, no conscientes da importncia da segurana da informao e que desconhecem os procedimentos necessrios para garant-la podem comprometer significativamente a efetividade da mesma. Por esta razo, a busca constante pela efetividade da PSI tem sido um grande desafio aos profissionais da rea de segurana da informao. Na esfera tcnica a PSI j uma realidade indiscutvel, mas ela ainda apresenta fracassos do ponto de vista da manipulao humana das informaes geradas e mantidas pelos sistemas computacionais. Este tem sido o motivo central apontado por especialistas para os incidentes relacionados segurana das informaes empresariais (HNE; ELOFF, 2002; ERNEST; YOUNG, 2004; ISACA, 2005; CERT, 2007; MDULO SECURITY SOLUTIONS, 2007a; MDULO SECURITY SOLUTIONS, 2007b). O grande desafio segurana da informao fazer com que o quadro funcional use de forma consciente os procedimentos descritos na PSI, visando reduo de falhas causadas por erros intencionais ou no, advindos da falta de esclarecimento, ou mesmo de conhecimento, relacionado segurana da informao. Devido a tais motivos, de modo equivocado, alguns dirigentes empresariais adquirem novas tecnologias, achando que assim supriro as falhas de segurana da informao. Porm, em muitos casos, estas falhas originam-se de pessoas que desconhecem a maneira correta de manipular e proteger as informaes organizacionais. Como resultado, o esforo dos dirigentes e o investimento realizado para resguardar as informaes de forma controlada e segura, como a compra de firewalls, programas antivrus, sistemas de deteco e intruso e biometria, podem no apresentar o efeito esperado (JOHNSON, 2006).
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 403

Diante deste panorama, muitos autores da rea de segurana da informao (Payne, 2003; McCoy e Fowler, 2004; Peltier, 2005; Jonhson, 2006) tm se empenhado em citar e descrever tcnicas capazes de aumentar o nvel de conscientizao dos usurios para com o tema segurana da informao. Neste contexto, o endomarketing apresenta-se como uma estratgia de gesto voltada para a aplicao de tcnicas capazes de resgatar o comprometimento dos usurios, a fim de que os pressupostos definidos na PSI sejam realmente executados. Embora os trabalhos desenvolvidos na rea de segurana apliquem tcnicas de conscientizao, os autores no referenciam as tcnicas utilizadas em seus trabalhos como sendo tcnicas de endomarketing. Isto torna questionvel o carter cientfico da aplicao destas tcnicas no ambiente organizacional, pois segundo Beckin (2005) a maioria das organizaes tem praticado aes de endomarketing algumas vezes de forma consciente e outras de forma puramente intuitiva sem sequer conhecerem a nomenclatura endomarketing. Alm disso, o impacto quantitativo da utilizao destas tcnicas na efetividade da PSI ainda no foi explorado. O diferencial deste trabalho no somente citar e descrever tcnicas de endomarketing, mas abordar a sua utilizao de forma no intuitiva, com base em autores da rea especfica de marketing, bem como demonstrar o impacto que a utilizao destas tcnicas pode causar efetividade da PSI. Neste sentido o artigo estrutura-se da seguinte forma: a seo 2 aborda os aspectos relevantes da aplicao de endomarketing; a seo 3 apresenta a metodologia utilizada para a realizao deste trabalho; a seo 4 apresenta e descreve os resultados advindos da aplicao deste estudo e a seo 5 expe as concluses obtidas aps a anlise dos resultados apresentados. 2 ENDOMARKETING COMO FERRAMENTA ESTRATGICA DE GESTO

Prticas contemporneas de marketing esto sendo direcionadas valorizao e ao estabelecimento de relacionamentos duradouros com clientes, de modo a possibilitar o atendimento dos objetivos estratgicos das organizaes (NICKELS; WOOD, 1999; GORDON, 2001; GUMMESSON, 2005; KOTLER; KELLER, 2006). Nesta direo, o endomarketing ou marketing interno vem se configurando como uma clula endgena que facilita obter ou resgatar a
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 404

conscientizao de funcionrios para a relevncia de seu apoio para que mudanas organizacionais sejam feitas de modo satisfatrio (BRUM, 2003; PAIXO, 2004; BEKIN, 2005). De modo geral, os dirigentes organizacionais tm reconhecido a importncia de se mobilizar o seu contingente interno, com a utilizao de aes de endomarketing. Entretanto, muitas dessas aes so usadas de forma intuitiva ou de forma distorcida do real significado da nomenclatura endomarketing (BEKIN, 2005). O endomarketing tem que estar integrado ao processo geral de marketing da organizao, independente de sua rea estratgica de negcios ou de servios. relevante lembrar que o endomarketing emergiu da necessidade de se fortalecer o relacionamento entre funcionrios e os gestores organizacionais (HORTON; REID, 1993; DUNMORE, 2002; GRNROOS, 2009). Nas palavras de GRNROOS (2009, p. 341) o endomarketing ou marketing interno, (...) mais bem motivado para mentalidade de servio e preparado para desempenho focado no cliente por uma abordagem ativa, orientada a metas, na qual uma variedade de atividades e processos so usados internamente de um modo ativo, coordenado e semelhante ao marketing. Acrescenta, lembrando que esta tcnica de comunicao interna facilita o relacionamento entre os colaboradores e os clientes externos das organizaes. A grande contribuio do endomarketing tem se destacado devido a seus preceitos estarem direcionados a ampla valorizao do contingente interno das organizaes, o que pode minimizar as resistncias advindas por parte dos funcionrios na implantao de mudanas organizacionais. Dentro deste raciocnio, Ellwanger, Nunes e Rocha (2008) defendem que o endomarketing uma tcnica facilitadora na definio das polticas de segurana da informao - PSI, pois ela pode fornecer subsdios para a obteno do comprometimento dos recursos humanos para com a mesma. Segundo estes autores a aplicao de tcnicas de endomarketing no contexto de uma PSI pode ser expressa em dez fases: Fase 1 - Verificao do clima organizacional: esta fase primordial para o sucesso da PSI, pois possibilita ao gestor entender o ambiente interno da organizao (reaes e comprometimento dos empregados); Fase 2 - Elaborao/atualizao da PSI: nesta fase so destacadas a criao, a manuteno e as atualizaes da PSI ao longo do processo de gesto da informao;
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 405

 Fase 3 - Definio de slogan (marca) que identifique a ao: esta fase pode ser entendida como a estratgia de comunicao interna, por exemplo, com a elaborao de slogans, logomarcas que lembre a relevncia do processo de gesto; Fase 4 - Definio dos canais de comunicao: corresponde ao meio escolhido pelo administrador para divulgar aos funcionrios os cuidados inerentes a PSI. Os canais podem ser restritos aos interessados (correspondncia personalizada, lembrete no contracheque do funcionrio, mensagem eletrnica que exija senha de acesso do pblico-alvo, etc) ou podem ser divulgadas no ambiente comum dos funcionrios (quadro de aviso, cartazes ou banners distribudos nos ambientes de circulao); Fase 5 - Conscientizao/treinamento: visa oferecer subsdios aos usurios dos recursos de informao para que possam compreender os pressupostos e procedimentos bsicos da segurana da informao; Fase 6 - Reunies informais: tm por objetivo manter um relacionamento pessoal e criar um clima participativo e de cooperao entre os nveis hierrquicos da organizao para que a PSI tenha fluidez; Fase 7 - Acompanhamento funcional: trata da confrontao das atividades ou tarefas realizadas pelos componentes do quadro funcional, a fim de verificar as dificuldades e problemas existentes na PSI; Fase 8 - Alavancagem formal: visa resoluo de problemas detectados pelos usurios da PSI e que precisam ser reparados pelos gestores da organizao; Fase 9 - Melhoramentos contnuos: tem por intuito a criao de um sistema de apresentao de problemas/sugestes e o desenvolvimento da autoestima do quadro funcional, atravs da valorizao de suas opinies e da participao e desenvolvimento da criatividade de cada um; Fase 10 - Avaliao conhecimento/comprometimento: avaliao do conhecimento dos usurios em termos de segurana da informao e do comprometimento dos mesmos para com os procedimentos definidos na PSI.

Cabe salientar que as fases supramencionadas apiam-se em tcnicas de endomarketing para atingir os objetivos definidos na PSI. Deste modo, tendo como
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 406

viso alcanar maior conscientizao e comprometimento dos funcionrios para com a PSI adotada, a fim de fortalecer as relaes entre funcionrios e organizao, este trabalho explora o endomarketing como um processo de marketing voltado ao pblico interno e que visa a melhor adeso a PSI. A prxima seo apresenta o estudo realizado neste artigo e as correlaes existentes entre a proposta de Ellwanger, Nunes e Rocha (2008).

3 PROCEDIMENTOS METODOLGICOS

O presente estudo foi desenvolvido no perodo de outubro de 2008 a maro de 2009, utilizando-se da pesquisa experimental para seu

desenvolvimento. O mtodo experimental um tipo de pesquisa de campo que consiste em investigaes empricas em que o objetivo central o teste de hipteses que esclarea a relao de causa e efeito (MARCONI; LAKATOS, 2003). Para a realizao do experimento desta pesquisa foi elaborado uma srie de procedimentos (Figura 2), explicados a seguir.
Figura 2 Procedimentos executados para o desenvolvimento do trabalho
PLANO DE A AO

PESQUISAS AUXILIARES

EXPERIMENTO

SEGMENTA SEGMENTAO DE GRUPOS

APLICA APLICAO DE TCNICAS NO GRUPO DE EXPERIMENTA EXPERIMENTAO

RESULTADOS DO EXPERIMENTO Efetividade da PSI

SUPORTE INICIAL (UCI/UTI)

AVALIA AVALIAES

Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 407

3.1 Plano de Ao

O plano de ao foi desenvolvido para que houvesse um direcionamento das atividades que deveriam ser realizadas para a concretizao do estudo como um todo. Para seu desenvolvimento foi utilizada a ferramenta 5W2H, a qual segundo Oliveira (1996) uma das ferramentas da qualidade e serve como referncia s decises, permitindo que seja feito o acompanhamento do desenvolvimento do trabalho. Dentre diversas atividades que integram o plano de ao, ele abordou a definio/elaborao do logotipo de segurana da informao, os canais, instrumentos e aes utilizados para a comunicao com os funcionrios (folders, cartazes, internet, informativos) e a definio de como seria realizada a alavancagem formal para o reporte de incidentes. Segundo Ellwanger, Nunes e Rocha (2008) estas atividades possibilitam uma comunicao efetiva da

administrao com seus funcionrios na implantao de mudanas, o conhecimento prvio sobre o que se refere um determinado assunto (logomarca) e uma forma de proceder no momento que problemas relacionados segurana da informao so identificados. Portanto, o plano de ao est relacionado 3, 4 e 8 fases propostas pelos referidos autores.

3.2 Pesquisas auxiliares

As pesquisas auxiliares corresponderam anlise de clima organizacional, ao estudo referente conscientizao dos usurios em segurana da informao e a pesquisa de entendimento da PSI. Do ponto de vista terico, Bispo (2006) advoga que a pesquisa de clima organizacional tem sido utilizada por ser um instrumento valioso para o sucesso de programas voltados a melhoria da qualidade, potencializando o aumento da produtividade e adoo de polticas internas. A pesquisa do clima organizacional (fase 1) foi realizada para se conhecer o ambiente interno das unidades que serviram de laboratrio do estudo, visando identificar as necessidades e os anseios dos seus profissionais. J a pesquisa de conscientizao dos usurios para a PSI foi realizada para proporcionar uma indicao do comportamento dos funcionrios sobre os seguintes atributos: conhecimento, comportamento e opinio a respeito da relevncia da segurana da informao. Estes atributos so destacados por Kruger (2006) e esto
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 408

relacionados s fases 5 e 10 da proposta de Ellwanger, Nunes e Rocha (2008), pois permitem a avaliao do conhecimento dos usurios com relao aos conceitos bsicos relacionados segurana da informao (fase 10) e do comportamento inicial dos mesmos no que se refere aos procedimentos necessrios para se garantir a segurana das informaes existentes nas unidades (fase 5). A pesquisa de entendimento da PSI foi realizada, seguindo as

recomendaes de Hne e Eloff (2002) no intuito de se verificar se os funcionrios entenderam corretamente os pressupostos determinados na PSI e para que as dvidas oriundas dos mesmos no comprometessem a efetividade da mesma. A realizao desta pesquisa est relacionada 2 e a 9 fase propostas por Ellwanger, Nunes e Rocha (2008), por permitir atualizaes da PSI caso os funcionrios no compreendessem os pontos nela abordados e por possibilitar a implantao de melhorias no que tange a forma de apresentao, contedo abordado e clareza da mesma.

3.3 O experimento

Para a realizao do experimento foi constitudo um grupo de experimentao e um grupo de controle. Para Marconi e Lakatos (2003) o grupo de experimentao aquele sobre o qual so manipuladas as variveis de interesse enquanto que o grupo de controle, por sua vez, fica isento de interferncia do pesquisador, no recebendo nenhum estmulo intencional, servindo de padro comparao com o grupo experimental. Seguindo tais pressupostos definiu-se como grupo de experimentao a Unidade de Cardiologia Intensiva (UCI) e como grupo de controle a Unidade de Terapia Intensiva (UTI)

3.4 Segmentao de grupos

O total de funcionrios envolvidos no experimento foi 16, sendo 8 do grupo de experimentao e 8 do grupo controle, os quais atuam, respectivamente, na Unidade de Cardiologia Intensiva (UCI) e na Unidade de Terapia Intensiva-Adulto (UTI) do Hospital Universitrio de Santa Maria - HUSM. A segmentao de grupos foi necessria para que posteriormente tcnicas de endomarketing fossem aplicadas sob o grupo de experimentao enquanto o grupo de controle somente objeto de
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 409

observao. Este procedimento foi necessrio para que os resultados advindos de ambas as unidades possam ser comparados.

3.5 Suporte inicial

Ambas as unidades (UCI e UTI) receberam um suporte inicial composto de: comunicao, para que os mesmos entendessem quais os pressupostos da segurana da informao adotados pela organizao (disponibilizao de folders e cartazes sobre o projeto); embasamento terico, para que os mesmos

compreendessem os conceitos fundamentais sobre o tema segurana da informao (conscientizao); e condies necessrias para que soubessem o que se esperava deles em termos de procedimentos (treinamento). O suporte inicial contempla a 5 fase proposta por Ellwanger, Nunes e Rocha (2008) e necessrio para que haja um nivelamento de conhecimento entre os profissionais (FERREIRA E ARAJO, 2006).

3.6 Aplicao de tcnicas no grupo de experimentao

Aps o nivelamento de conhecimentos fornecido a ambas as unidades, a aplicao de tcnicas de endomarketing foi direcionada exclusivamente ao grupo de experimentao para que se pudesse comparar o impacto quantitativo que a utilizao destas tcnicas poderia causar a efetividade da PSI neste grupo, visto que as mesmas servem de estmulo para que os usurios executem os procedimentos definidos na PSI. As seguintes tcnicas foram aplicadas: disponibilizao de Kits contendo a PSI na forma impressa e contedo explicativo sobre o projeto de Segurana da Informao (folders) com logotipo e slogan do projeto; alertas de advertncia; reunies individuais com os componentes do grupo de experimentao;

demonstrao peridica do contedo disponibilizado no site; e-mails informativos para esclarecimentos de dvidas relacionadas a Gesto de Segurana da Informao e a PSI; acompanhamento funcional para a realizao correta dos procedimentos descritos na PSI; lembretes sobre a PSI; caixa de sugestes para o reporte de incidentes de segurana da informao e sugestes de melhorias; brindes de fim de ano com lembretes sobre segurana da informao; divulgao
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 410

peridica de atualizaes realizadas no site da GSI e divulgao dos percentuais de adeso PSI.

3.7 Avaliaes

A constatao da efetividade da PSI foi realizada por seis auditores internos, sendo dois deles membros do Comit Gestor de Segurana da Informao, dois funcionrios do quadro funcional do HUSM-UFSM e dois pesquisadores

independentes. As auditorias foram feitas no final de cada ms, possibilitando a comparao dos perodos anterior e posterior aplicao de tcnicas de endomarketing usadas para a sensibilizao do grupo de experimentao (UCI), visando efetividade da PSI. Foram objeto das auditorias internas tanto o ambiente convencional quanto o computacional, conforme procedimentos verificados no processo de auditoria (quadro 1). Para cada procedimento, foi verificado aes que deveriam ser realizadas para contemplar os controles definidos na PSI. A realizao dos

procedimentos foi ento avaliada de forma percentual, seguindo a classificao: Procedimentos Totalmente Executados (PTE); Procedimentos No-Executados (PNE) e Procedimentos Parcialmente Executados (PPE).
Quadro 1 Procedimentos verificados nas auditorias internas AMBIENTE CONVENCIONAL Exposio de documentos em locais inadequados Organizao e armazenamento de documentos de acordo com o leito do paciente Exposio de documentos na impressora Descarte adequado de informaes Sigilo de informaes confidenciais Acesso s unidades por profissionais identificados Utilizao de recursos de informao por profissionais autorizados Notificao de incidentes AMBIENTE COMPUTACIONAL Uso de e-mail profissional Utilizao de internet para fins profissionais No compartilhamento de senhas Uso de senhas fortes Bloqueio do PC Backup de informaes importantes Descarte adequado de informaes Utilizao de antivrus

Na classificao, aes plenamente executadas, foram classificadas como PTE, aes que deveriam ser realizadas para contemplar os controles definidos na PSI, mas que no foram realizadas, foram classificadas como PNE, e aes
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 411

realizadas, mas que de uma forma ou de outra deixavam a desejar quando comparados aos procedimentos classificados como PTE, foram classificadas como PPE.

4 RESULTADOS

Esta seo apresenta e discute o resultado do experimento, demonstrando o impacto quantitativo da utilizao de tcnicas de endomarketing na efetividade da PSI. A seo est dividida em seis subsees, iniciando pelo diagnstico inicial (primeira avaliao), pelas auditorias intermedirias (da segunda a quinta avaliao) e finalizando com o diagnstico final (sexta avaliao com anlise final). As avaliaes permitiram confrontar o comprometimento dos funcionrios da Unidade de Cardiologia Intensiva (UCI) e a Unidade de Terapia Intensiva-Adulto (UTI) para com a PSI implantada em ambas as unidades, estando, portanto diretamente relacionada 10 fase proposta por Ellwanger, Nunes e Rocha (2008). 4.1 Diagnstico inicial

A Figura 2 permite verificar que, no diagnstico inicial da UCI, 52,1% dos procedimentos previstos na PSI, no foram executados (PNE) e que apenas 39,6% e 8,3% dos procedimentos da PSI foram parcialmente (PPE) ou totalmente executados (PTE), respectivamente.
Figura 2 Diagnstico Inicial da UCI e da UTI
Diagnstico Inicial - UCI/UTI

80% 52,1% 60% 40% 20% 0% Proc. no executados Proc. parcialmente executados Proc. totalmente executados 8,3% 14,6% 50,0% 39,6% 35,4%
UCI UT I

Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 412

J em relao a UTI, o diagnstico inicial apontou que 50,0% dos procedimentos definidos na PSI no foram executados (PNE) e que 35,4% foram parcialmente executados (PPE). Apenas 14,6% deles foram totalmente executados (PTE). Verifica-se, que mesmo com uso de tcnicas de endomarketing (suporte inicial) para melhor nivelar o conhecimento sobre segurana da informao, a adeso PSI foi pequena nos dois grupos estudados, no ultrapassando 15 pontos percentuais de cumprimento integral dos procedimentos recomendados.

4.2 Avaliaes Intermedirias

As avaliaes intermedirias correspondem 2, 3, 4 e 5 avaliaes realizadas. Na segunda avaliao foram aplicadas, no grupo de experimentao as seguintes tcnicas de endomarketing: a) disponibilizao de kits impressos (folders cuidadosamente elaborados) contendo de forma detalhada a Poltica de Segurana da Informao e o contedo explicativo sobre o projeto de segurana da informao; b) demonstrao do contedo do site de Gesto de Segurana da Informao (GSI); c) reunies individuais com os componentes do grupo de experimentao; e) envio de e-mails para esses funcionrios para esclarecimento de dvidas; e d) alertas de advertncia e acompanhamento funcional para a realizao correta dos

procedimentos elaborados na PSI. Um ms aps a aplicao destas tcnicas foram realizadas auditorias para verificar o percentual de procedimentos que estavam sendo corretamente executados (Figura 3).
Figura 3 Segunda Avaliao da UCI e da UTI
Segunda Avaliao - UCI/UTI
75,0% 80% 60% 40% 13,5% 20% 0% Proc. no executados Proc. parcialmente executados Proc. totalmente executados 11,5% 11,5% 47,0% 41,5% UCI UTI

Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 413

Os dados revelaram que na UCI 13,5% correspondem a PNE, que 75% so de PPE e, ainda, que 11,5% foram de PTE. Verifica-se que houve um incremento de mais de 3 pontos percentuais de cuidados com o cumprimento dos procedimentos de forma correta. Em relao a UTI os resultados apontam que 47,0% dos procedimentos no foram executados (PNE), que 41,5% dos procedimentos foram parcialmente (PTE) e que 11,5% dos procedimentos foram totalmente executados (PTE). Observa-se a pequena reduo do percentual de procedimentos que no foram executados na UTI e a significativa reduo na UCI. A UCI apresentou ndices positivos na melhoria da execuo dos procedimentos definidos na PSI. Para a realizao da terceira avaliao foram aplicadas as seguintes tcnicas de endomarketing: a) lembretes sobre a PSI; b) caixa de sugestes; c) e-mails informativos; d) acompanhamento funcional para a realizao correta dos procedimentos descritos na PSI; e, e) brindes de final de ano com lembretes de segurana da informao. Conforme pode-se visualizar na Figura 4, a auditoria feita nesta etapa da pesquisa aponta que na UCI: 12,5% dos procedimentos definidos na PSI no foram realizados (PNE), que 63,5% foram parcialmente executados (PPE) e que, agora, 24,0% dos procedimentos foram totalmente executados (PTE). Por outro lado, na UTI, onde no foram aplicadas tcnicas de endomarketing, os dados mostram 52,1 % de PNE, 40,7% de PPE e somente 7,3% de PTE.
Figura 4 Terceira Avaliao da UCI e da UTI
Terceira Avaliao

80% 52,0% 60% 40% 12,5% 20% 0% Proc. no executados

63,5% 40,7% 24,0% 7,3% UCI UTI

Proc. parcialmente executados

Proc. totalmente executados

Os dados mostram o aumento do percentual de procedimentos totalmente executados no grupo de experimentao (UCI) e uma elevao do percentual correspondente a no execuo dos procedimentos previstos na PSI, pelo grupo de
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 414

controle (UTI). Nesta avaliao j era possvel verificar a relevncia do endomarketing para a efetividade da PSI na Unidade de Cardiologia Intensiva (UCI). Para a quarta avaliao foram aplicadas no grupo de experimentao as seguintes tcnicas: a) reunies individuais com os componentes do grupo; b) divulgao de atualizaes do site da GSI; c) e-mails informativos para esclarecimentos de dvidas relacionadas gesto de segurana da informao e a PSI; e, d) acompanhamento funcional para a realizao correta dos procedimentos descritos na PSI. Um ms aps a aplicao das referidas tcnicas as auditorias foi constatado (vide Figura 5) na Unidade de Cardiologia Intensiva (UCI) que: 11,5% dos procedimentos no foram executados, 56,2% deles foram parcialmente executados e 32,3% dos procedimentos passaram a ser totalmente executados. Na Unidade de Terapia Intensiva Adulto (UTI) esses percentuais ficaram em 58,3% de PNE, 35,4% de PPE e 6,3% de PTE, piorando ainda mais a efetividade da PSI nesta unidade.
Figura 5 Quarta Avaliao da UCI e da UTI

Quarta Avaliao - UCI/UTI

80% 60%

58,3%

56,2% 35,4%

32,3% UCI UTI 6,3%

40% 11,5% 20% 0% Proc. no executados Proc. parcialmente executados Proc. totalmente executados

Observa-se que o grupo de experimentao (UCI) apresentou um aumento percentual de 24% nos procedimentos totalmente executados em relao primeira avaliao (seo 4.1), bem como uma reduo de 40% nos procedimentos aconselhados na PSI. Por sua vez, pode-se perceber que no grupo de controle (UTI) houve aumento no percentual de procedimentos no executados, acarretando a diminuio de percentuais de procedimentos parcialmente e totalmente executados. Para a quinta avaliao foram aplicadas no grupo de experimentao as seguintes tcnicas: a) acompanhamento funcional para a realizao correta dos procedimentos descritos na PSI; b) reunies individuais com os componentes do
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 415

grupo; e, c) divulgao dos percentuais de adeso a PSI. Um ms depois da aplicao das tcnicas, a auditoria interna verificou os percentuais listados na Figura 6, onde observa-se que no grupo de experimentao (UCI) apenas 10,4% no realizaram os procedimentos recomendados pela PSI.
Figura 6 Quinta Avaliao da UCI e da UTI
Quinta Avaliao - UCI/UTI

80% 60%

58,3% 51,0% 36,5% 38,6% UCI 10,4% UTI 5,2%

40% 20% 0% Proc. no executados Proc. parcialmente executados Proc. totalmente executados

Esta avaliao demonstra que o grupo de experimentao continua reduzindo os percentuais de PNE, bem como continua aumentando os percentuais de PPE e PTE. Em contrapartida, na avaliao do grupo controle verifica-se que os percentuais referentes aos PNE continuam aumentando, acarretando a diminuio dos percentuais referentes aos PPE e PTE.

4.3 Diagnstico final

Para a realizao do diagnstico final foram aplicadas as seguintes tcnicas de endomarketing: a) reunies individuais com os componentes do grupo; b) alertas de advertncia sobre a PSI; c) divulgao de atualizaes do site da GSI; d) e-mails informativos para esclarecimentos de dvidas relacionadas gesto de segurana da informao e PSI; e) acompanhamento funcional para a realizao correta dos procedimentos descritos na PSI; e, f) brindes. O diagnstico final demonstra (Figura 7) que aps a aplicao das tcnicas de endomarketing houve uma diminuio significativa nos percentuais de

procedimentos no executados (PNE) e um alto ndice de percentuais nos procedimentos totalmente executados (PTE) na UCI, quando comparados aos percentuais demonstrados na UTI do hospital analisado.
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 416

Figura 7 Diagnstico Final de Avaliao da UCI e da UTI

Diagnstico Final - UCI/UTI

80% 56,3% 60% 40% 20% 0% Proc. no executados Proc. parcialmente executados Proc. totalmente executados 6,3% 4,1% 52,0% 39,6% 41,7% UCI UTI

Resultados cumulativos tambm foram observados nas duas unidades (UCI/UTI). Os percentuais referentes aos procedimentos no executados PNE podem ser visualizados no grfico seqencial da Figura 8. A partir desta avaliao, verificou-se que a UCI apresentou uma queda nos percentuais destes

procedimentos de 45,8% durante todo o perodo em que foram feitas as avaliaes, enquanto que UTI apresentou um aumento nos percentuais destes procedimentos de 6,3% no mesmo perodo. Estes resultados refletem uma diferena de 39,5% de PNE entre ambas as unidades, evidenciando uma diminuio significativa de percentuais de PNE na Unidade de Cardiologia intensiva (UCI).
Figura 8 Comparativo de percentuais de procedimentos no executados UCI/UTI

Percentuais de Procedimentos No Executados

80% 60% 40% 20% 0% UCI UTI

1 Avaliao 52,1% 50,0%

2 Avaliao 13,5% 47,0%

3 Avaliao 12,5% 52,0%

4 Avaliao 11,5% 58,3%

5 Avaliao 10,4% 58,3%

6 Avaliao 6,3% 56,3%

Na avaliao cumulativa dos procedimentos parcialmente executados (PPE) verificou-se que a UCI apresentou um aumento nos percentuais destes
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 417

procedimentos na casa dos 12,4% e a conseqente diminuio percentual de PNE enquanto que a UTI apresentou um aumento destes percentuais (4,2%) devido diminuio dos percentuais de PTE (Figura 9).
Figura 9 Comparativo de percentuais de procedimentos parcialmente executados UCI/UTI

Percentuais de Procedimentos Parcialmente Executados

80% 60% 40% 20% 0% UCI UTI

1 Avaliao 39,6% 35,4%

2 Avaliao 75,0% 41,5%

3 Avaliao 63,5% 40,7%

4 Avaliao 57,3% 35,4%

5 Avaliao 51,0% 36,5%

6 Avaliao 52,0% 37,6%

A avaliao cumulativa referente aos procedimentos totalmente executados PTE (Figura 10) demonstra que a UCI apresenta um aumento nos percentuais destes procedimentos de 33,4% enquanto que a UTI apresentou uma diminuio destes percentuais de 10,5%, evidenciando uma diferena positiva (22,9%) para a UCI por ela apresentar um significativo aumento nos percentuais PTE.
Figura 10 Comparativo de percentuais de procedimentos totalmente executados UCI/UTI

Percentuais de Procedimentos Totalmente Executados

80% 60% 40% 20% 0% UCI UTI

1 Avaliao 8,3% 14,6%

2 Avaliao 11,5% 11,5%

3 Avaliao 24,0% 7,3%

4 Avaliao 32,3% 6,3%

5 Avaliao 38,6% 5,2%

6 Avaliao 41,7% 4,1%

As

avaliaes

demonstradas

nas

figuras

anteriores

revelam

que,

cumulativamente e em aspectos gerais, no que se refere aos trs tipos de procedimentos (PNE, PPE e PTE), o grupo de experimentao (UCI) se destaca
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 418

consideravelmente quando comparado ao grupo de controle (UTI). A diminuio dos percentuais de PNE e o aumento de PPE e PTE demonstram que membros do quadro funcional da UCI executaram de forma mais expressiva os procedimentos definidos na poltica de segurana da informao pelo estmulo recebido com a aplicao contnua de tcnicas de endomarketing.

5 CONCLUSES

O carter formal de uma poltica de segurana da informao (PSI) pode gerar resistncias no ambiente organizacional ao impor regras e responsabilidades aos usurios para com os recursos informacionais. A efetividade de uma PSI est diretamente relacionada forma com que ela direcionada e comunicada aos usurios, sendo refletida pelas aes ou tarefas que eles realmente executam. As tcnicas de endomarketing focam-se nos inter-relacionamentos e valorizao das opinies e sugestes fornecidas pelos usurios internos. Tais tcnicas podem minimizar o fator resistncia na implantao de uma PSI, pois as regras no so auto-aplicveis nem autoformulveis, exigindo, muitas vezes, juzos de valores e percepes equivocadas. Estes esteretipos podem ser tanto de seus formuladores, quanto dos agentes que operacionalizam a PSI. Intuitivamente tcnicas de endomarketing tm sido utilizadas para a conscientizao dos usurios em segurana da informao, mas o impacto quantitativo destas tcnicas para a efetividade da PSI ainda no havia sido explorado. Este artigo realizou um experimento com duas unidades de um hospital (UCI e UTI) para avaliar esta efetividade. Das avaliaes do experimento, verificou-se que tanto o grupo de controle (UTI) quanto o grupo de experimentao (UCI), aps a aplicao das tcnicas de suporte inicial (nivelamento), aderiram poltica de segurana da informao implantada nas respectivas unidades. Entretanto, aps descontinuar a aplicao de tcnicas de endomarketing no grupo de controle, observou-se uma diminuio gradativa dos percentuais de procedimentos totalmente executados pelos

componentes deste grupo, que caiu de 14,6% para 4,1%, o que demonstra uma queda de 71,92% na adeso PSI neste grupo, se considerado os procedimentos totalmente executados (PTE). J a aplicao continuada de tcnicas de endomarketing no grupo de experimentao fez com que os procedimentos descritos
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 419

na PSI estivessem sempre presentes na mente dos usurios, o que gerou um aumento gradativo nos percentuais de procedimentos totalmente executados. O percentual subiu de 8,3% para 41,7%, o que reflete uma melhora de 402,4% na adeso PSI neste grupo, se considerado os PTEs. Se considerado os procedimentos no executados (PNEs), a aplicao contnuada de tcnicas de endomarketing no grupo de experimentao possibilitou uma reduo de 88%, contra um aumento de 12,6% no grupo de controle, e uma alta concentrao de percentuais nos procedimentos parcialmente ou totalmente executados, que somados chegam a 93,7% na avaliao final. Conclui-se, portanto, que a aplicao de tcnicas de endomarketing faz-se relevante para se obter o comprometimento dos usurios para com a PSI, o que contribui consequentemente para sua efetividade e demonstra a contribuio significativa do modelo de aplicao de endomarketing em dez fases proposto por Ellwanger, Nunes e Rocha (2008). Cabe salientar ainda que os resultados deste estudo fortalecem os preceitos tericos defendidos por autores que aliceraram a concepo da pesquisa, como exemplo: Gordon (2001); Hne e Eloff (2002); Brum (2003); Gummesson (2005); Peltier (2005); Ferreira e Arajo (2006); Johnson (2006); Peltier (2005); Cert (2007).

REFERNCIAS BEKIN, S.F. Endomarketing: como pratic-lo com sucesso. So Paulo. Prentice Hall. 2005. BISPO, C.A.F. Um novo modelo de pesquisa de clima organizacional. Revista Produo, v. 16, n. 2, p. 258-273, maio/go. 2006. BRUM, A. M. Respirando Endomarketing. Porto Alegre: L&PM, 2003. CERT. Prticas de segurana para administradores de redes internet. 2003. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil. Disponvel em: <http://www.nic.br/seguranca/index.htm>. Acesso em: out. 2007. DUNMORE, M. Inside-out marketing: how to create an internal marketing strategy. London : Kogan Page, 2002. ELLWANGER, C.; NUNES, R.C.; ROCHA, R.A. O Endomarketing como ferramenta de gesto para a implementao de polticas de segurana da informao. In: ENCONTRO NACIONAL DE ENGENHARIA DE PRODUO, 28.,2008. Rio de Janeiro. Anais... ENEGEP, 2008. p. 102-113.
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 420

ERNEST & YOUNG. Global information security survey. ERNEST & YOUNG. 2004. Disponvel em: <http://www.ey.com>. Acesso em: mar. 2008. FERREIRA, F.N.F.; ARAJO, M. T. Poltica de segurana da informao: guia prtico para elaborao e implementao. Rio de Janeiro: Cincia Moderna, 2006. GORDON, I. Marketing de relacionamento: estratgias, tcnicas e tecnologias para conquistar clientes e mant-los para sempre. So Paulo: Futura, 2001. GRNROOS, C. Marketing: gerenciamento e servios. Rio de Janeiro: Elsevier, 2009. GUMMESSON, E. Marketing de relacionamento total. 2 ed. Porto Alegre: Bookman, 2005. HNE, K.; ELOFF, J.H.P. What makes an effective information security police? Network Security. v. 2002, n.6, pp 14-16. 2002. HORTON, T. R.; REID, P. C. Endomarketing: empresrios versus executivos. Makron Books, So Paulo 1993. ISACA. Security awareness: best practices to secure your enterprise. Information Systems Audit and Control Association. 2005. Disponvel em: <http://www.isaca.org.br>. Acesso em: dez. 2007. JOHNSON, E. C. Security awareness: switch to a better program. Network Security. v. 2, p. 15-18, 2006. KOTLER, P.; KELLER, K.L. Administrao de marketing. So Paulo: Pearson Prentice Hall, 2006. KRUGER, H.A; KEARNEY, W.D. A prototype for assessing information security awareness. Computers and Security, v.25, p. 289-296. 2006. MARCIANO, J.L.; LIMA-MARQUES, M. O enfoque social da segurana da informao. Cincia da Informao, v. 35, pp. 89-98. 2006 MARCONI, M. A; LAKATOS, E. M. Fundamentos de metodologia cientfica. 5 ed. So Paulo: Atlas, 2003. MCCOY, C.; FOWLER, R. T. You Are de Key to Security: Establishing a successful security awareness program. In: CONFERENCE ON USER SERVICES. 32, 2004. Baltimore-USA, Proceedings... ACM SIGUCCS, 2004. p. 346-349. MODULO SECURITY INFORMATION. 9 Pesquisa Nacional de Segurana da Informao. Disponvel em: <http://www.modulo.com.br/media/9a_pesquisa_nacional.pdf>. Acesso em: nov. 2007a. ______. 10 Pesquisa Nacional de Segurana da Informao. Disponvel em:
Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 421

<http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf>. Acesso em:: nov.. 2007b. NICKELS, William G.; WOOD, M. B. Marketing: relacionamentos, qualidade, valor. Rio de Janeiro: LTC. 1999. OLIVEIRA, S. T. Ferramentas para o aprimoramento da qualidade. 2. ed.. So Paulo: Pioneira, 1996. PAIXO, M. V. P. Marketing interno e a mudana organizacional. In: CONGRESSO VIRTUAL BRASILEIRO DE ADMINISTRAO, Cidade. Anais... CONVIBRA, 2004. PAYNE, S. Developing security education and awareness programs. Educause Quarterly, n. 4, p. 49-53. 2003. PELTIER, T. R. Implementing an information security awareness program. Security Management Practices, p. 37-49. 2005.

Artigo recebido em 30/11/2010 e aceito para publicao em 30/01/2012.

Revista Produo Online, Florianpolis, SC, v.12, n. 2, p. 402-422, abr./jun. 2012. 422