A seção tem o objetivo de verificar se existem, por segmento organizacional, pessoas qualificadas e dedicadas ao exercício das atividades de segurança no âmbito de suas áreas, considerando a complexidade das atividades desenvolvidas para atendimento ao negócio.
Questão 15: verificou a quantidade de pessoas por segmento e foi extraído das
bases disponíveis no portal de recursos humanos, no ambiente de intranet da Empresa. Será utilizada para ilustrar a análise ou interpretação dos dados, quando necessário. O quantitativo por segmento está apresentado na Quadro 6.
Quadro 6: RH por segmento
URC 2.427 UPS 3.180 UGE 1.011 UAE 39 APOIO 124 TOTAL 6.781
Questão 16: procurou identificar por segmento organizacional a quantidade de
pessoas com atividades específicas em segurança da informação. O resultado, conforme Tabela 15, demonstrou que todos os segmentos dispõem de pessoas voltadas para atividade de segurança, observando-se que 62% dos segmentos dispõem de 1 a 5 empregados com atividades em segurança; 15% dos segmentos dispõem de 6 a 10 pessoas e outros 15% disseram dispor de até 50 empregados em atividades de segurança. O resultado está apresentado na Quadro 7.
Quadro 7: Demonstrativo de pessoas com atividade em segurança
Itens URC UPS UGE UAE Apoio Serpro 1 a 5 pessoas 57% 17% 100% 71% 100% 62% 6 a 10 pessoas 29% 33% 0% 0% 0% 15% até 50 pessoas 14% 50% 0% 0% 0% 15% Outros 0% 0% 0% 29% 0% 8%
Fonte: Dados da pesquisa acadêmica da autora
Registra-se que exceto os segmentos UAE e Apoio que se concentram na sede da empresas, os demais têm extensão em todos os Estados, esse cenário colaborou para a obtenção dos seguintes resultados:
a) Unidade de Relacionamento com Clientes (URC) – existem em torno de 2.400 empregados lotados nas diversas áreas que compõem esse segmento. A pesquisa indicou que 57% das áreas dispõem de 1 a 5 pessoas com atividades em segurança; 29% dispõem de 6 a 10 pessoas e 14% dispõem de até 50 pessoas com atividades em segurança;
b) Unidade de Produto e Serviço (UPS) – existem em torno de 3.100 empregados lotados nas diversas áreas que compõem esse segmento. A pesquisa indicou a seguinte situação por área: 17% das áreas dispõem de 1 a 5 pessoas com atividades em segurança; 33% das áreas dispõem de 6 a 10 pessoas e 50% das áreas dispõem de até 50 pessoas com atividades em segurança;
c) Unidade de Gestão Empresarial (UGE) – existem em torno de 1.000 empregados lotados nas diversas áreas que compõem esse segmento. A pesquisa indicou a seguinte situação por área: 100% das áreas dispõem de 1 a 5 pessoas com atividades em segurança;
d) Unidade de Alinhamento Estratégico (UAE) – existem em torno de 40 empregados lotados na sede. A pesquisa indicou a seguinte situação por área: 71% das áreas dispõem de 1 a 5 pessoas com atividades em segurança e que 29% das áreas não dispõem de pessoas com essa atividade; e
e) Apoio (Consultoria e Apoio) – existem em torno de 130 empregados lotados na sede. A pesquisa indicou que 100% das áreas dispõem de 1 a 5 pessoas com ativi- dades em segurança;
Questão 17: buscou identificar, por segmento organizacional, se o investimento em
treinamento sobre a segurança da informação é adequado às necessidades do negócio. O resultado indicou que 48% dos segmentos organizacionais concordam que o investimento em treinamento é adequado ao negócio; 33% disseram que eventualmente investem em treinamento de segurança; 19% optaram por “outros”, e apresentaram os seguintes comentários: “O investimento não é simplesmente eventual, mas ainda não pode ser considerado totalmente adequado”; “Os treinamentos que existem são definidos em plano corporativo e não são suficientes”; “A liberação de pessoas da área para treinamento em segurança é abaixo da oferta, há mais oferta. Motivo: falta de pessoal para atender à demanda”; e que “Os eventos de segurança não são bem difundidos”. O Gráfico 19 apresenta o resultado. Investimento adequado Investimento eventual Não há investimento Outros
Gráfico 19: Treinamento adequado às necessidades de segurança Fonte: Dados da pesquisa acadêmica da autora
Questão 18: buscou identificar se o acompanhamento dos resultados dos
treinamentos aplicados demonstra que as pessoas ficam mais motivadas, contribuem mais com a Área, compartilham o conhecimento e apresentam melhores níveis de assertiva. 52% concordaram parcialmente que as pessoas treinadas são mais motivadas; 44% concordaram e 4% optaram pelo item outros e apresentaram as seguintes observações: “O treinamento não tem conseqüência direta na motivação”; “É necessário haver mudanças de atitudes, a motivação carece de trabalho mais eficiente e está associada a outros elementos”; “Há necessidade de trabalho de conscientização”. O Gráfico 20 apresenta o resultado.
Concordo
Concordo Parcialmente Não Concordo Outros
Gráfico 20: Pessoas treinadas são mais motivadas Fonte: Dados da pesquisa acadêmica da autora
Questões 19 e 20: são complementares. A primeira identifica os tipos de certificações existentes nos segmentos organizacionais e a outra a quantidade de pes-
soas certificadas e por tipo. Existem as certificações CISSP (Certified Information System Security Professional); MCSO (Modulo Certified Security Officer); Auditor Líder ISO 27001 ou BS 7799-2; ACPCF (Axur Certified Professional Computer Fo- rensics, CERT/CC (Computer Security Incident Response Team). O Gráfico 21 apre- senta o resultado.
CISSP MCSO
Auditor Líder ISO 27001 ou BS 7799-2
ACPCF Outros
Gráfico 21: Tipos de certificações em segurança Fonte: Dados da pesquisa acadêmica da autora
O item 20 apresentou os índices de certificações existentes por segmento. De acordo com a pesquisa dentro das certificações indicadas são 25 empregados com certificação em Auditor Líder ISO 27001 ou BS 7799-2, total de 35%; 20 pessoas em MCSO, total de 34%; 19 têm certificação em ACPCF, em torno de 19%; 2 em CISSP, 8% e 1 empregado, 4%, em CERT. O Gráfico 22 apresenta o resultado.
CISSP
MCSO
Auditor Líder ISO 27001 ou BS 7799-2 ACPCF
Outros
Gráfico 22: Percentual de certificação em segurança Fonte: Dados da pesquisa acadêmica da autora
Questão 21: buscou identificar se “há melhor resposta das pessoas certificadas nas
questões de segurança em relação aos demais”. O resultado indicou que 55% dos gerentes confirmaram que as pessoas certificadas dão melhores respostas às questões de segurança; 41% disseram não saber informar e 4% disseram que não. Importante ressaltar que 41% dos gerentes não percebem se a contribuição das pessoas certificadas, em seus respectivos
segmentos, tem sido efetiva. Outro ponto a ser considerado refere-se aos 4% que disseram que não há contribuição. O Gráfico 23 apresenta o resultado.
Sim
Não
Não sei
Gráfico 23: Pessoas certificadas contribuem mais
Fonte: Dados da pesquisa acadêmica da autora
Questão 22: buscou identificar se “nos últimos 12 meses o gerente participou de
algum programa de treinamento, visando ao conhecimento voltado para sua Unidade sobre a segurança da informação”.
O resultado da pesquisa indicou dos 27 gerentes que responderam a pesquisa 13 disseram ter participado de algum treinamento, são 48%; 8 gerentes disseram que não houve treinamento em segurança em assuntos específicos de suas áreas, correspondendo a 29%; 4 optaram por “outros” (15%) e apresentaram os comentários: “Os cursos de segurança da informação são muito técnicos e as necessidades gerenciais são mais voltadas para a gestão da segurança, visão holística da segurança”; “Não houve treinamento com abordagem estratégica, mais voltada para a alta liderança”; “Não houve motivação para participar”; 8% disseram que não houve tempo para participar de treinamento. O Gráfico 24 apresenta o resultado.
Participou
Não houve treinamento para área
Não houve tempo para treinamento
Outros
Gráfico 24: Participação de gerentes em treinamento de segurança Fonte: Dados da pesquisa acadêmica da autora
Questão 23: buscou identificar “que ações estão sendo adotadas pelos gerentes para garantir o uso ético das informações críticas da empresa”. O resultado indicou que 85% dos gerentes utilizam processos de conscientização; 7% disseram não saber qual medida é utilizada; 4% disseram que foram aplicadas ações disciplinares administrativas diante de situações de reincidência e 4% responderam ao item “outros”, com o comentário de que “nenhuma ação é realizadanesse sentido”. O Gráfico 25 apresenta o resultado.
Conscientização
Aplica ações disciplinares diante de reincidência. Não sei
Outros
Gráfico 25: Orientação para uso ético das informações Fonte: Dados da pesquisa acadêmica da autora