Resistência à segurança da informação influenciada pela punição e comportamento: investigação em uma indústria da tecnologia de informação

Abstract

A segurança da informação nas empresas é uma necessidade e um desafio, pois impactos financeiros são cada vez mais recorrentes causados por violações das políticas da segurança da informação. Ainda que, as empresas implementem continuamente tecnologias para prevenir perdas, o ser humano continua sendo o elo mais fraco na segurança da informação. Assim, observar o comportamento de segurança do usuário sobre o aspecto de normas sociais é um desafio. Para endereçar essa questão, este estudo examinou a gravidade e certeza da detecção da punição, normas descritivas, normas morais e resistência à segurança da informação do usuário. Para tanto, foi empregada a técnica estatística de modelagem de equações estruturais, PLS-SEM (Partial Least Squares Structural Equation Modeling), com uma amostra de 174 funcionários, de uma empresa de tecnologia de informação, no Brasil. O resultado demonstrou que a gravidade e a certeza da detecção possuem influência positiva na violação da política da segurança da informação relacionadas com as normas descritivas. No entanto, o resultado da gravidade de punição não demonstrou influência com as normas morais. Por outro lado, a certeza da detecção demonstrou um efeito negativo em violar a política da segurança da informação relacionada com as normas morais. Ainda, as normas descritivas e morais influenciaram positivamente no aumento da resistência à segurança da informação, no ambiente empresarial. Desse modo, este estudo demonstrou que normas sociais não contribuíram no contexto brasileiro para a segurança da informação, diferentemente de estudos realizados nos Estados Unidos. Assim, esta pesquisa contribui para a prática e literatura de sistemas de segurança de informação ao demonstrar a necessidade, para que os executivos brasileiros investiguem outras práticas que agreguem a efetividade da segurança da informação, no contexto brasileiro.

Information security in companies is a necessity and a challenge, as financial impacts are increasingly recurrent caused by violations of information security policies. Even though companies continuously implement technologies to prevent losses, the human being remains the weakest link in information security. Thus, observing the safety behavior of the user on the aspect of social norms is a challenge. To address this issue, this study examined the severity and certainty of detecting punishment, descriptive norms, moral norms and resistance to the security of user information. For this purpose, the statistical technique of structural equation modeling, PLS-SEM (Partial Least Squares Structural Equation Modeling), was employed, with a sample of 174 employees, from an information technology company in Brazil. The result demonstrated that the severity and certainty of the detection have a positive influence on the violation of the information security policy related to the descriptive standards. However, the result of the severity of punishment did not show any influence with moral norms. On the other hand, the certainty of detection has shown a negative effect in violating the information security policy related to moral norms. Still, the descriptive and moral norms positively influenced the increase in resistance to information security in the business environment. Thus, this study demonstrated that social norms did not contribute in the Brazilian context to information security, unlike studies carried out in the United States. Thus, this research contributes to the practice and literature of information security systems by demonstrating the need for Brazilian executives to investigate other practices that add to the effectiveness of information security in the Brazilian context.