Adoção de medidas de segurança da informação: a influência das subunidades na conformidade organizacional

Albuquerque Junior, Antonio Eduardo de

30 March 2017

Submitted by Núcleo de Pós-Graduação Administração (npgadm@ufba.br) on 2017-11-06T18:34:04Z No. of bitstreams: 1 ANTONIO EDUARDO DE ALBUQUERQUE JÚNIOR.pdf: 4217812 bytes, checksum: 5fa31634509d8e8e4336ac1a4a408f1d (MD5) / Approved for entry into archive by Maria Angela Dortas (dortas@ufba.br) on 2017-11-07T18:19:52Z (GMT) No. of bitstreams: 1 ANTONIO EDUARDO DE ALBUQUERQUE JÚNIOR.pdf: 4217812 bytes, checksum: 5fa31634509d8e8e4336ac1a4a408f1d (MD5) / Made available in DSpace on 2017-11-07T18:19:52Z (GMT). No. of bitstreams: 1 ANTONIO EDUARDO DE ALBUQUERQUE JÚNIOR.pdf: 4217812 bytes, checksum: 5fa31634509d8e8e4336ac1a4a408f1d (MD5) / A informação é considerada um ativo crítico e, para protegê-la, as organizações dispõem de uma série de medidas de Segurança da Informação previstas na literatura e recomendadas por normas, modelos e padrões utilizados por organizações de todo o mundo. A literatura sobre Segurança da Informação preconiza que as medidas devem ser adotadas com base nas necessidades identificadas para a organização, mas parte da literatura aponta que a adoção é determinada por pressões do ambiente no qual a organização está inserida. O determinismo das pressões do ambiente externo é limitado pela capacidade de a organização responder conforme seus próprios interesses e julgamentos, o que pode fazer com que fique em conformidade com os requisitos externos, mas também em não conformidade ou em uma conformidade apenas aparente. Este estudo parte do pressuposto de que a conformidade da organização com os requisitos externos de Segurança da Informação depende de como suas subunidades respondem às pressões do ambiente para investigar como essas respostas influenciam a conformidade da organização com os requisitos. Para isto, o trabalho envolveu a identificação das medidas de Segurança da Informação adotadas por uma organização, as pressões institucionais que as subunidades organizacionais sofrem, as medidas que as subunidades adotaram atendendo a essas pressões, suas respostas estratégicas e os efeitos dessas respostas sobre as medidas adotadas pela organização. A pesquisa teve abordagem qualitativa e compreendeu a análise de documentos e a realização de entrevistas semiestruturadas com gestores e profissionais de TI e Segurança da Informação da administração central e de 17 subunidades de uma organização. A análise dos dados foi realizada a partir de um framework elaborado com base na Teoria Institucional e na tipologia de respostas estratégicas às pressões institucionais, que permitiu sua categorização utilizando o software NVivo 10. Os resultados mostram que as subunidades organizacionais respondem às pressões que recebem através de diferentes estratégias e atendendo aos seus próprios interesses e julgamentos sobre a eficiência e adequação das medidas de Segurança da Informação. A pesquisa mostrou também que as pressões para adoção de medidas formais, informais e técnicas não estão necessariamente associadas a respostas estratégicas específicas das subunidades organizacionais. Por fim, as respostas das subunidades às pressões que sofrem influenciam no nível de conformidade da organização com os requisitos de Segurança da Informação do ambiente externo.

Ciências Sociais Aplicadas

Segurança da informação

Adoção

Medidas

Respostas estratégicas

Pressões institucionais

Cross-domain deep face matching for banking security systems / Matching de faces de diferentes domínios para sistemas de segurança bancário

Oliveira, Johnatan Santos de

23 May 2018

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2018. / Submitted by Fabiana Santos (fabianacamargo@bce.unb.br) on 2018-11-07T19:44:44Z No. of bitstreams: 1 2018_JohnatanSantosdeOliveira.pdf: 5538984 bytes, checksum: 20580b9ff8534339b6b7390d5c55d9fb (MD5) / Approved for entry into archive by Fabiana Santos (fabianacamargo@bce.unb.br) on 2018-11-12T17:49:55Z (GMT) No. of bitstreams: 1 2018_JohnatanSantosdeOliveira.pdf: 5538984 bytes, checksum: 20580b9ff8534339b6b7390d5c55d9fb (MD5) / Made available in DSpace on 2018-11-12T17:49:55Z (GMT). No. of bitstreams: 1 2018_JohnatanSantosdeOliveira.pdf: 5538984 bytes, checksum: 20580b9ff8534339b6b7390d5c55d9fb (MD5) Previous issue date: 2018-11-12 / Um dos principais desafios enfrentados pelo sistema bancário é garantir a segurança das transações financeiras. Devido à conveniência e aceitação, o uso de caracterı́sticas faciais para autenticação biométrica de usuários em sistemas bancários está se tornando uma tendência mundial. Essa abordagem de autenticação de usuários está atraindo grandes investimentos de instituições bancárias e financeiras, especialmente em cenários de diferentes domı́nios, nos quais imagens faciais tiradas de documentos de identificação são comparadas com autorretratos digitais (selfies) tiradas com câmeras de dispositivos móveis. Neste estudo, coletamos das bases de dados do maior banco público brasileiro um grande dataset, chamado FaceBank, com 27.002 imagens de selfies e fotos de documentos de identificação de 13.501 sujeitos. Em seguida, avaliamos os desempenhos de dois modelos de Redes Neurais Convolucionais bem referenciados (VGG-Face e OpenFace) para extração de caracterı́sticas profundas, bem como os desempenhos de quatro classificadores (SVM Linear, SVM Power Mean, Random Forest e Random Forest com o Ensemble Vote) para autenticação robusta de face em diferentes domı́nios. Com base nos resultados obtidos (precisões superiores a 90%, em geral), é possı́vel concluir que a abordagem de matching de faces profundas avaliada neste estudo é adequada para autenticação de usuários em aplicações bancárias entre domı́nios. Até onde sabemos, este é o primeiro trabalho que usa um grande conjunto de dados composto por imagens bancárias reais para avaliar a abordagem de autenticação de face entre domı́nios. Além disso, este trabalho apresenta um estudo sobre as reais necessidades na implementação futura de um sistema biométrico, propondo um sistema de nuvem para permitir a adoção de tecnologias biométricas. Por fim, propõe também um modelo seguro e integrado de subsistema ABIS de transmissão de dados. Toda a análise e implementação leva em conta a total aderência e compatibilidade com padrões e especificações propostos pelo governo brasileiro. / Ensuring the security of transactions is currently one of the major challenges facing banking systems. The use of facial features for biometric authentication of users in banking systems is becoming a worldwide trend, due to the convenience and acceptability of this form of identification, and also because computers and mobile devices already have built-in cameras. This user authentication approach is attracting large investments from banking and financial institutions especially in cross-domain scenarios, in which facial images taken from ID documents are compared with digital self-portraits (selfies) taken with mobile device cameras. In this study, from the databases of the largest public Brazilian bank we collected a large dataset, called FaceBank, with 27,002 images of selfies and ID document photos from 13,501 subjects. Then, we assessed the performances of two well-referenced Convolutional Neural Networks models (VGG-Face and OpenFace) for deep face features extraction, as well as the performances of four effective classifiers (Linear SVM, Power Mean SVM, Random Forest and Random Forest with Ensemble Vote) for robust cross-domain face authentication. Based on the results obtained (authentication accuracies higher than 90%, in general), it is possible to conclude that the deep face matching approach assessed in this study is suitable for user authentication in cross-domain banking applications. To the best of our knowledge, this is the first study that uses a large dataset composed of real banking images to assess the cross-domain face authentication approach to be used in banking systems. As an additional, this work presents a study on the real needs in the future implementation of a biometric system proposing a cloud system to enable the adoption of biometrics technologies, creating a new model of service delivery. Besides that, proposes a secure and integrated ABIS Data Transmission subsystem model. All the analysis and implementation takes into account the total adherence and compatibility with the standards and specifications proposed by the Brazilian government, at the same time, establish mechanisms and controls to ensure the effective protection of data.

Sistema bancário

Sistemas de segurança

Reconhecimento de face

Segurança da informação

Aprendizagem de máquina

Redes neurais (Computação)

Satisfação do usuário com as práticas de segurança da informação

Montesdioca, Gustavo Percio Zimmermann

January 2013

A segurança da informação é uma das grandes preocupações dos gestores corporativos nessas últimas décadas e responsável por grandes prejuízos as organizações. A prevenção desses problemas pode ser alcançada através da educação e da conscientização do usuário no uso da tecnologia de maneira segura, utilizando práticas que estejam de acordo com as políticas de segurança da informação das empresas. Gestores tem dificuldade de entender e decidir que tipo de ação deve ser realizada para proteger informações. A falta de conhecimento, métricas e dados sobre o assunto são os principais problemas relatados pelos gestores para tomada de decisão sobre investimentos. Diversos estudos indicam que o uso de práticas de segurança por usuários e investimentos em treinamento e conscientização são a maneira mais eficaz de evitar problemas relacionados à segurança da informação. A satisfação do usuário é uma das formas comprovadas na literatura de SI de medir a qualidade do investimento em SI e a intenção de uso do SI pelo usuário. O objetivo da pesquisa é desenvolver um instrumento para medir a satisfação do usuário com as práticas de segurança da informação. Para atingir esse objetivo, fatores sobre a satisfação do usuário com SI foram identificados na literatura. Esses fatores foram combinados para elaboração de um instrumento de pesquisa sobre satisfação do usuário com as práticas de segurança da informação. Um modelo conceitual foi elaborado e validado através de uma survey realizada com usuários de computador que utilizam sistemas de informação corporativo. Obteve-se um total de 229 respostas, com 173 questionários válidos. A análise de dados utilizou modelagem de equações estruturais baseado em covariância para avaliação do modelo conceitual e das hipóteses de pesquisa. O resultado indica satisfação com os benefícios percebidos com a segurança frente ao esforço para alcança-los, mas insatisfação do usuário com o uso do sistemas de informação com as práticas de segurança. / Information security is a major concern for management in recent decades and responsible for major losses in organizations. The prevention of these problems can be achieved through user education and awareness on using technology safely, using practices that are consistent with the information security policies on firm. Managers face difficulties to understand and decide what action should be taken to protect information systems. Lack of knowledge and metrics on the information security are the main problems reported by managers for decision on information security investments. Several studies indicate that user involvement and investment in training and awareness are the most effective way to avoid problems related to information security. User satisfaction is one of the proven ways to measure the quality of investment and use intention of information systems. The objective of this research is to develop an instrument to measure user satisfaction with information security practices. To achieve this goal, factors to measure IS user satisfaction were identified on literature. A research instrument was developed based on these factors to measure user satisfaction with information security practices. A conceptual model was developed and a survey was conducted with enterprise information systems users. There was obtained a total of 173 usable questionnaires. Structural equation modeling covariance-based was used to evaluate model and research hypotheses. The result indicates satisfaction with percept benefits from information security compared with efforts to achieve them, but user dissatisfaction over the information systems use with security practices.

Segurança da informação

Satisfação do usuário

Sistema de informação

User satisfaction

Information security practice

Análise da modelagem de canais sem fio sob desvanecimento κ-μ sombreado com aplicações de segurança na camada física e considerações de combate ao desvanecimento

Nunes, Márcia Manuela Medrado

12 December 2017

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2018. / Submitted by Fabiana Santos (fabianacamargo@bce.unb.br) on 2018-08-21T16:57:46Z No. of bitstreams: 1 2018_MárciaManuelaMedradoNunes.pdf: 13852008 bytes, checksum: 3612f99d31deb0f99fca41ed725ae4f9 (MD5) / Approved for entry into archive by Raquel Viana (raquelviana@bce.unb.br) on 2018-08-21T19:09:41Z (GMT) No. of bitstreams: 1 2018_MárciaManuelaMedradoNunes.pdf: 13852008 bytes, checksum: 3612f99d31deb0f99fca41ed725ae4f9 (MD5) / Made available in DSpace on 2018-08-21T19:09:41Z (GMT). No. of bitstreams: 1 2018_MárciaManuelaMedradoNunes.pdf: 13852008 bytes, checksum: 3612f99d31deb0f99fca41ed725ae4f9 (MD5) Previous issue date: 2018-08-20 / Esta dissertação apresenta uma análise da modelagem de canal sob o desvanecimento κ-μ sombreado com aplicações de segurança na camada física usando o modelo clássico de escuta de Wyner. O modelo κ-μ sombreado foi escolhido por fornecer um modelo geral de desvanecimento e quando comparado a outros modelos de desvanecimento como o Rayleigh, Rice, Nakagami-m e κ-μ, foi encontrado um melhor ajuste utilizando este modelo. Comparações foram feitas utilizando conceitos de Probabilidade de Interrupção de Sigilo (do inglês, Secrecy Outage Probability, SOP), de Capacidade de Sigilo Estritamente Positiva (do inglês, Strictly Positive Secrecy Capacity, SPSC) e Capacidade Média de Sigilo (do inglês, Average Secrecy Capacity, ASC). As formulações fechadas de um caso da SOP e da SPSC foram obtidas e demonstradas. Os resultados e análises são realizados por meio das curvas de SOP, SPSC e ASC, variando as características do canal intruso e do canal principal sob o modelo κ-μ sombreado. Além disso, algumas técnicas de combate ao desvanecimento aplicadas ao canal principal são analisadas como a Combinação Seletiva (do inglês, Selection Combining, SC), a Combinação por Razão Máxima (do inglês, Maximum Ratio Combining, MRC) e a técnica de Múltiplas Entradas e Múltiplas Saídas (do inglês, Multiple-In Multiple-Out, MIMO) com o canal de desvanecimento κ-μ sombreada. / This dissertation presents an analysis of shadowed κ-μ fading channel with security applications at the physical layer using the Wynner’s classic wiretap model. The κ-μ shadowed model was chosen because it provided a general model of fading and when compared to other fading models such as Rayleigh, Rice, Nakagami-m and κ-μ, a better fit was found using this model. Comparisons were made using concepts of Secrecy Outage Probability (SOP), Strictly Positive Secrecy Capacity (SPSC) and Average Secrecy Capacity (ASC). The closed formulations of a case of SOP and SPSC were obtained and demonstrated. The results and analyzes are performed using the SOP, SPSC and ASC curves, varying the characteristics of the intrusion channel and the main channel under the κ-μ shadowed model. In addition, some techniques to combat fading applied to the main channel are analyzed as the Selective Combination (SC), Maximum Ratio Combining (MRC) e Multiple-Input Multiple-Output (MIMO).

Canal óptico

Canais de comunicação

Redes de comunicação

Segurança da informação

Sistemas de comunicação sem fio

Identificação e Análise de Comportamentos Anômalos

Anderson Fernandes Pereira dos Santos

10 August 2009

Um processo pode ser monitorado de várias maneiras diferentes. A mais usual é a medição de alguma característica do processo. O acompanhamento desta característica, agora representada através de uma variável de controle, permite a identificação de um comportamento não usual, também dito anômalo. Existem diversas medidas que podem ser realizadas sobre um fenômeno.Estas medidas podem sofrer alterações durante todo o ciclo de vida do fenômeno. Destas, algumas podem representar o fenômeno em seus vários estados de transição,permitindo assim,que seja possível acompanhar o fenômeno pela monitoração desta medida.Desta forma, se o fenômeno for interpretado como um processo, esta medida pode ser interpretada como um produto deste processo. Na área de controle estatístico da qualidade há inúmeras ferramentas que permitem o acompanhamento de um processo, em especial de um processo de fabricação.Dentre estas ferramentas há o gráfico de controle que, a partir da interpretação da normalidade de um processo, pode indicar quando um processo torna-se não controlável. A partir de um gráfico de controle para processos não normais e de lógica fuzzy, foi desenvolvido o Algoritmo de Detecção de Anomalias com Janelas Adaptativas. Esse algoritmo foi aplicado nas áreas de Segurança da Informação e Vazão em uma rede de distribuição. No primeiro caso foi utilizado na identificação de ataques de negação de serviço.Ataques deste tipo são caracterizados pelo aumento do número de solicitações a um servidor.O intervalo de tempo entre os pacotes foi a variável selecionada para monitorar o processo. No segundo caso foi utilizado na identificação de vazamentos em redes de distribuição de água.A variável de controle utilizada neste caso foi da vazão obtida em ponto de rede.

CIENCIA DA COMPUTACAO

Negação de Serviço Distribuído

Negação de Serviço

Sistemas de Segurança

Segurança da Informação

CIENCIA DA COMPUTACAO

Ambiente computacional de simulação do protocolo DNP3 para smart grids / Simulation environment of DNP3 protocol for smart grids

Oliveira, André Luiz Latansio de [UNESP]

07 July 2017

Submitted by ANDRÉ LUIZ LATANSIO DE OLIVEIRA null (andrelatansio@gmail.com) on 2017-08-03T12:48:20Z No. of bitstreams: 1 dissertacao_final_submeter.pdf: 6036596 bytes, checksum: debf9708c542db4157e83657c0859084 (MD5) / Approved for entry into archive by Luiz Galeffi (luizgaleffi@gmail.com) on 2017-08-03T17:52:18Z (GMT) No. of bitstreams: 1 oliveira_all_me_ilha.pdf: 6036596 bytes, checksum: debf9708c542db4157e83657c0859084 (MD5) / Made available in DSpace on 2017-08-03T17:52:18Z (GMT). No. of bitstreams: 1 oliveira_all_me_ilha.pdf: 6036596 bytes, checksum: debf9708c542db4157e83657c0859084 (MD5) Previous issue date: 2017-07-07 / A simulação de ambientes computacionais é uma das principais técnicas para estudo de protocolos, seu comportamento em redes de computadores e análise da segurança da informação. O acesso a ambientes reais para simulação de smart grids está restrito a poucas universidades e empresas assim como existem poucas ferramentas disponíveis para sua simulação computacional, o que dificulta a realização de pesquisas nesta linha. Neste trabalho objetiva-se a configuração de um ambiente para simulação do protocolo DNP3 utilizando exclusivamente ferramentas open source, utilizando-se técnicas de segurança ofensiva para realizar ataques a rede e então validar o comportamento da simulação e por fim realizar a integração do ambiente de simulação com equipamentos reais. Para isso, foi desenvolvido um testbed virtual através da integração e configuração de diversas ferramentas e softwares open source e posteriormente utilizados os equipamentos do Laboratório de Proteção do Campus III na UNESP de Ilha Solteira, expandindo as funcionalidades do simulador e obtendo um testbed misto com resultados promissores em todos os testes realizados. / The simulation of computational environments is one of the main techniques applied in the study of protocols, the behavior of those protocols in computer networks, and the analysis of information security procedures. Research in the area of smart grid simulation is hampered by the fact that few universities and companies have access to real environments, and further, that the number of computational tools available is limited. This paper therefore aims to configure an environment for the simulation of the DNP3 protocol using exclusively open source tools and by applying offensive security techniques including attacks which seek to exploit network vulnerabilities; subsequently, the proposed simulation behavior is validated. For this purpose, a virtual testbed was developed by integrating and configuring various open source software and tools and later using the Campus III Protection Laboratory equipments at UNESP Ilha Solteira, expanding the simulator functionalities and obtaining a mixed testbed with results promising in all tests performed.

Protocolo DNP3

Redes de Computadores

Simulação

Smart Grids

SCADA

Segurança da Informação

Teste de rede

Testbed

Open source

Mecanismos de proteção da privacidade das informações de prontuário eletrônico de pacientes de instituições de saúde

Magnagnagno, Odirlei Antonio

January 2015

Made available in DSpace on 2015-12-08T01:04:43Z (GMT). No. of bitstreams: 1 000476570-Texto+Completo-0.pdf: 2151672 bytes, checksum: 39448330a77dfb97027f5628b9fad593 (MD5) Previous issue date: 2015 / Information privacy in the healthcare industry gains a higher relevance, with a large number of individuals with access to the patient medical records, leaks of such information to the public may impact and cause irreversible damages to patients, their relatives and also healthcare institutions. The research focus on information privacy protection in medical records from health institutions, related with information secrecy and human behaviors from professionals which access such information in a daily basis. Is taken in to account how those professionals are trained or have access to the best practices for information protection during recording, storage and access. The main objective is to identify practices and processes that may aid to preserve information privacy in the patient’s medical records, verifying vulnerabilities and data processing practices along with applicable legislation. As medium and small medical institutions, may or may not know how to proceed to protect such information as a whole, taking into account aspects such structure, behaviors and processes in the information flux. Theoretical references where worked with privacy concepts in a general context and privacy in healthcare organizations, linking national legislation and international best practices. The research is exploratory and descriptive, making use of two methodological approaches, those being document analysis and case study. The result obtained was the finding of regulations and norms relevant to Information Security, the identification of mechanisms adopted by studied institutions for information security and classify 50 mechanisms found in a manner that hospitals may adopt. These mechanisms where identified by analyzing documents containing norms and regulations, also by interviews, internal documents and observations in the two case studies. Grouped and classified by type, requisite and line of action. Is concluded that the most frequently cited are processes related to safeguards and Relational Mechanisms linked to employees’ awareness, proven with case studies, as both hospitals have all mechanisms in the norm and regulations documentation, which still isn’t enough as incidents are occurring in both institutions. / Ao tratar de privacidade da informação na área da saúde, em virtude do acesso de muitas pessoas às informações do paciente contidas no prontuário eletrônico, o assunto ganha uma maior relevância, uma vez que o vazamento dessas informações pode ser muito impactante para o paciente, para seus familiares e também para as instituições de saúde. Os danos causados podem ser irreversíveis. O trabalho apresenta como tema a proteção da privacidade das informações do prontuário eletrônico de pacientes de instituições de saúde, relacionadas ao sigilo das informações e aos fatores que possam afetar o comportamento seguro dos profissionais que diariamente acessam os prontuários. Leva-se em consideração, como esses colaboradores são treinados ou têm acesso às melhores práticas para proteger essa informação durante o registro, armazenamento e o acesso à informação. O objetivo principal do trabalho é identificar os mecanismos e os processos que podem preservar a privacidade das informações do paciente contidas no prontuário eletrônico, verificando as práticas de tratamento das informações de acordo com a legislação. Uma vez que os hospitais de pequeno e médio porte podem não saber como fazer ou o que fazer para proteger essa informação na integridade, levando em consideração aspectos estruturais, comportamentais e processos do fluxo da informação.O referencial teórico trabalha com os conceitos de privacidade no contexto geral e a privacidade em instituições de saúde, fazendo um link com as legislações nacionais e boas práticas internacionais. A pesquisa é do tipo exploratória-descritiva, utilizando-se de duas abordagens metodológicas, isto é, a análise de documentos e o Estudo de Caso. O resultado final foi a localização dos documentos Regulatórios e Normativos que são pertinentes à Segurança da Informação, a identificação dos mecanismos que os hospitais pesquisados utilizam para a Segurança da Informação e a classificação dos 50 mecanismos de privacidade da informação identificados, que os hospitais possam adotar. Esses mecanismos foram identificados através da análise de Documentos Regulatórios e Normativos e através da realização de entrevistas, análise de documentos internos e observações nos dois Estudos de Caso realizados. Posteriormente agrupados e classificados por tipo, requisito e eixo de ação. Chegando-se a conclusão que os mecanismos mais citados são os processos em relação à salvaguarda e os Mecanismos de Relacionamento em relação a conscientização dos colaboradores, o que se comprovou nos os Estudos de Caso, pois os dois hospitais possuem todos os mecanismos localizados nos Documentos Regulatórios e Normativos, mas isso ainda não é o suficiente, uma vez que nos dois casos ainda ocorrem incidentes com a informação.

ADMINISTRAÇÃO DE EMPRESAS

DIREITO À PRIVACIDADE

SEGURANÇA DA INFORMAÇÃO

REGISTROS MÉDICOS

SISTEMA DE INFORMAÇÃO EM SAÚDE

GESTÃO DA INFORMAÇÃO

O efeito enquadramento nas decisões sobre a divulgação de informações pessoais: um estudo experimental no âmbito dos aplicativos móveis

Silva Junior, Sady Darcy da

January 2015

Made available in DSpace on 2016-03-31T02:04:20Z (GMT). No. of bitstreams: 1 000477842-Texto+Completo-0.pdf: 2032894 bytes, checksum: 41dc2622eb57a9b134f946f7bef57c2e (MD5) Previous issue date: 2015 / This thesis aims to determine the framing effect on users' decisions about disclosure of personal information for use of mobile applications (apps), in relation to their privacy concerns. For this purpose, was verified the relationship between privacy concern and future intention to disclose personal information (future intention); the effect of negative framing of trust belief and positive framing of risk beliefs in future intention; and the moderating effect of framings mentioned on relationship between privacy concern and future intention. To verify these effects, was made an experiment with single-factor independent groups design with use of covariate, with 405 participants. The results indicate that privacy concern is negatively related to the future intention, confirm the effects of framings in future intention, being negative the effect in relation to negative framing of trust belief and positive beliefs in relation to positive framing of risk beliefs, while the moderating effect has not been confirmed. Thus, this thesis contributes to two specific areas: 1) privacy, because confirms the relationship between privacy concern and future intent (new proposed scale); and 2) decision-making, as demonstrated the framing effects of risk beliefs and trust beliefs in the future intention, as far as is known, in a way not performed in any other study. / Esta tese tem como objetivo verificar o efeito do enquadramento nas decisões dos usuários sobre a divulgação de informações pessoais para o uso de aplicativos móveis (apps), em relação às preocupações dos mesmos quanto à privacidade. Na busca deste objetivo, verificou-se o relacionamento entre a preocupação com a privacidade e a intenção futura de divulgar informações pessoais (intenção futura); o efeito dos enquadramentos negativo das crenças de confiança e positivo das crenças de risco na intenção futura; e o efeito moderador dos enquadramentos citados na relação entre a preocupação com a privacidade e a intenção futura. Para verificar estes efeitos, foi realizado um estudo experimental de fator único com grupos independentes e uso de covariável, que contou com 405 participantes. Os resultados indicam que a preocupação com a privacidade se relaciona negativamente com a intenção futura, confirmam os efeitos dos enquadramentos na intenção futura, sendo negativo o efeito em relação ao enquadramento negativo das crenças de confiança e positivo em relação ao enquadramento positivo das crenças de risco, enquanto o efeito moderador não foi confirmado. Assim, esta tese contribuiu para duas áreas específicas: 1) privacidade, ao confirmar a relação entre preocupação com a privacidade e intenção futura (nova escala proposta); e 2) tomada de decisão, visto que evidenciou os efeitos dos enquadramentos das crenças de risco e de confiança na intenção futura de uma forma, até onde se pesquisou, não realizada em nenhum outro estudo.

SEGURANÇA DA INFORMAÇÃO

TOMADA DE DECISÕES

DIREITO À PRIVACIDADE

DISPOSITIVOS MÓVEIS

APLICAÇÕES PARA A WEB

ADMINISTRAÇÃO DE EMPRESAS

Privacidade em informações de saúde: uma análise do comportamento percebido por profissionais de saúde de instituições hospitalares do Rio Grande do Sul

Bragança, Carlos Eduardo Barbosa de Azevedo

January 2010

Made available in DSpace on 2013-08-07T18:41:09Z (GMT). No. of bitstreams: 1 000426897-Texto+Completo-0.pdf: 1555576 bytes, checksum: 60ecfc5114c1901750a2f04e7a69ee7c (MD5) Previous issue date: 2010 / The use of Information Tecnology has cause a meaningful increase of data in information systems. Given this, the responsibility to keep them safely leads to concerns about information security. However, this field of research, beyond the technical or management approach, other aspects, such as privacy, risk, vulnerability and trust are also needed to be able to obtain the effectiveness of procedures designed to Information Security. When it comes to healthcare information, privacy of these acquires special relevance, since the leak of this kind of information can be disastrous for users of healthcare services and their families, and the damage caused may be irreversible. This work´s theme is about Information Security, more specifically about privacy of data stored in information systems. In the context of healthcare organizations, privacy is related to the secrecy of the information contained in medical records and the conduct of insurance professionals who access this information in daily basis. The focus of the work is how privacy is perceived by healthcare professionals in order to protect the information from their patients. This study aims to identify the perception of healthcare professionals regarding privacy in the collection, storage and handling of patient´s information within healthcare organizations. Thus, the rationale for this study is the need to increase the knowledge about human aspects of information security, since the technological aspects alone can not prevent breaches of privacy of healthcare information. The theoretical was used to view information security, and human aspects related to behavioral, and conceptual elements of privacy and view of the healthcare´s subject area. Since this is a exploratory study, 18 interviews were conducted within the development of two semi-structured and validated instruments, implemented the first of them on professionals in Healthcare´s Management Bioethics area and the second for Multidisciplinary professionals, all professionals of the three major health institutions in Rio Grande do Sul The results showed significant deficiencies on the direction given to the problem of security and privacy of healthcare information, particularly on the use of private information on policies, responsibilities of professionals involved, the use of private information by healthcare professionals and the reasons for the breach of privacy and challenges related to privacy of such information. As work limits it is highlighted the impossibility of generalizing the results, beyond the limited number of respondents. On future works, we suggest the implementation of other qualitative research, with a greater number of respondents and in other regions of the country as well, besides conducting quantitative research, survey-type, with medical area professionals, to check between them, safe or unsafe behaviors in their daily professional practice in dealing with information of their patients. / O aumento no uso da informação aumentou também, significativamente, a quantidade de dados sobre clientes registrada nos sistemas de informação. Diante disso, a responsabilidade em mantê-los de forma segura leva à preocupação com a Segurança da Informação. Contudo, neste campo de pesquisa, além da abordagem técnica ou de gestão, outros aspectos, como a privacidade, o risco, a vulnerabilidade e a confiança são igualmente necessários para que seja possível obter a efetividade dos procedimentos que visam à Segurança da Informação. Quando se fala em informações de saúde, a privacidade destas adquire especial relevância, já que o vazamento de informações deste tipo pode ser desastroso para os usuários dos serviços de saúde e seus familiares, e os danos causados pelo vazamento acidental ou voluntário podem ser irreversíveis. Assim, este trabalho tem como tema a Segurança da Informação, mais especificamente sobre privacidade das informações armazenadas em Sistemas de Informação. No contexto de organizações de saúde, a privacidade é relacionada ao sigilo das informações contidas em prontuários médicos e ao comportamento seguro dos profissionais que diariamente acessam estas informações. O foco do trabalho é na privacidade percebida por profissionais de saúde, no sentido da proteção às informações de seus pacientes que fazem uso diariamente. Este trabalho tem como objetivo identificar a percepção dos profissionais de saúde com relação à privacidade na coleta, armazenamento e manipulação das informações de pacientes no âmbito de instituições hospitalares. Desta forma, a justificativa para este estudo consiste na necessidade de ampliação do conhecimento sobre aspectos humanos em Segurança da Informação, uma vez que os aspectos tecnológicos não conseguem sozinhos evitar as quebras de privacidade das informações relativas à saúde. Como referencial teórico, foi utilizada a visão de Segurança da Informação, relacionada a aspectos humanos e comportamentais, além de elementos conceituais sobre privacidade e a visão do assunto na área da saúde. Sendo este trabalho de caráter exploratório, foram realizadas 18 entrevistas, com a elaboração de dois instrumentos de pesquisa semi-estruturados, validados, o primeiro deles aplicado profissionais das áreas de Gestão da Saúde e Bioética e o segundo para profissionais de Assistência Multidisciplinar, todos profissionais de três grandes instituições de saúde do Rio Grande do Sul. Os resultados mostraram deficiências significativas acerca do encaminhamento dado para o problema de segurança e privacidade em informações de saúde, em especial sobre a utilização de políticas sobre informações privadas, as responsabilidades dos profissionais envolvidos, a capacitação dos profissionais envolvidos, o uso das informações privadas pelos profissionais de saúde, os motivadores da quebra de privacidade e os desafios relacionados à privacidade destas informações. Como limitadores se destacam a impossibilidade da generalização dos resultados obtidos, além do número limitado de respondentes. Sobre trabalhos futuros, sugerese a realização de outras pesquisas qualitativas, com maior número de respondentes e de outras regiões do país, além da realização de pesquisa quantitativa, do tipo survey, com profissionais da aérea médica, no sentido de verificar entre estes, comportamentos seguros ou inseguros em sua atuação profissional no trato diário com informações de seus pacientes.

ADMINISTRAÇÃO DE EMPRESAS

SISTEMA DE INFORMAÇÃO EM SAÚDE

GESTÃO DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO

PRIVACIDADE

ÉTICA

Satisfação do usuário com as práticas de segurança da informação

Montesdioca, Gustavo Percio Zimmermann

January 2013

A segurança da informação é uma das grandes preocupações dos gestores corporativos nessas últimas décadas e responsável por grandes prejuízos as organizações. A prevenção desses problemas pode ser alcançada através da educação e da conscientização do usuário no uso da tecnologia de maneira segura, utilizando práticas que estejam de acordo com as políticas de segurança da informação das empresas. Gestores tem dificuldade de entender e decidir que tipo de ação deve ser realizada para proteger informações. A falta de conhecimento, métricas e dados sobre o assunto são os principais problemas relatados pelos gestores para tomada de decisão sobre investimentos. Diversos estudos indicam que o uso de práticas de segurança por usuários e investimentos em treinamento e conscientização são a maneira mais eficaz de evitar problemas relacionados à segurança da informação. A satisfação do usuário é uma das formas comprovadas na literatura de SI de medir a qualidade do investimento em SI e a intenção de uso do SI pelo usuário. O objetivo da pesquisa é desenvolver um instrumento para medir a satisfação do usuário com as práticas de segurança da informação. Para atingir esse objetivo, fatores sobre a satisfação do usuário com SI foram identificados na literatura. Esses fatores foram combinados para elaboração de um instrumento de pesquisa sobre satisfação do usuário com as práticas de segurança da informação. Um modelo conceitual foi elaborado e validado através de uma survey realizada com usuários de computador que utilizam sistemas de informação corporativo. Obteve-se um total de 229 respostas, com 173 questionários válidos. A análise de dados utilizou modelagem de equações estruturais baseado em covariância para avaliação do modelo conceitual e das hipóteses de pesquisa. O resultado indica satisfação com os benefícios percebidos com a segurança frente ao esforço para alcança-los, mas insatisfação do usuário com o uso do sistemas de informação com as práticas de segurança. / Information security is a major concern for management in recent decades and responsible for major losses in organizations. The prevention of these problems can be achieved through user education and awareness on using technology safely, using practices that are consistent with the information security policies on firm. Managers face difficulties to understand and decide what action should be taken to protect information systems. Lack of knowledge and metrics on the information security are the main problems reported by managers for decision on information security investments. Several studies indicate that user involvement and investment in training and awareness are the most effective way to avoid problems related to information security. User satisfaction is one of the proven ways to measure the quality of investment and use intention of information systems. The objective of this research is to develop an instrument to measure user satisfaction with information security practices. To achieve this goal, factors to measure IS user satisfaction were identified on literature. A research instrument was developed based on these factors to measure user satisfaction with information security practices. A conceptual model was developed and a survey was conducted with enterprise information systems users. There was obtained a total of 173 usable questionnaires. Structural equation modeling covariance-based was used to evaluate model and research hypotheses. The result indicates satisfaction with percept benefits from information security compared with efforts to achieve them, but user dissatisfaction over the information systems use with security practices.

Segurança da informação

Satisfação do usuário

Sistema de informação

User satisfaction

Information security practice