Home   |   Structure   |   Research   |   Resources   |   Members   |   Training   |   Activities   |   Contact

EN | PT

BrBRHUAp0080-21072013000400010

BrBRHUAp0080-21072013000400010

variedadeBr
Country of publicationBR
colégioHumanities
Great areaApplied Social Sciences
ISSN0080-2107
ano2013
Issue0004
Article number00010

O script do Java parece estar desligado, ou então houve um erro de comunicação. Ligue o script do Java para mais opções de representação.

Contramedidas em segurança da informação e vulnerabilidade cibernética: evidência empírica de empresas brasileiras

INTRODUÇÃO Recentemente, uma série de ataques cibernéticos a organizações como Fundo Monetário Internacional (FMI), Lockheed Martin (principal fornecedor de armamento das Forças Armadas dos Estados Unidos da América), Google, Sony, Playstation, Hyundai, Credicard, entre outras, levantou a discussão sobre a relevância de investimentos na área de segurança da informação como forma de proteger informações sigilosas, evitar prejuízos às corporações e prover a manutenção do bem-estar da sociedade.

No Brasil, esse fato também vem ganhando importância após uma série de intrusões e ataques cibernéticos a bancos e a sistemas de órgãos do Governo Federal. Esses ataques revelaram ao grande público a existência de ameaças que têm o potencial de comprometer o pleno funcionamento de infraestruturas críticas.

Apesar de ser um assunto que tem chamado a atenção apenas recentemente, grande quantidade de estudos que utilizam a teoria econômica para abordar o problema de segurança da informação. Por algum tempo, os problemas associados a esse campo foram tratados como problemas técnicos que seriam resolvidos apenas por engenheiros e cientistas computacionais utilizando a linguagem computacional. No entanto, a teoria econômica revelou que muitos dos problemas abordados nesse campo também estão ligados a incentivos econômicos.

Neste trabalho, teve-se como objetivo analisar a relação empírica entre as medidas associadas aos investimentos em segurança da informação e a ocorrência de problemas de segurança da informação (1) para uma amostra representativa de firmas com mais de dez funcionários no Brasil.

Modelos logit e probit ordenado foram desenvolvidos como forma de analisar a relação entre segurança da informação e problemas de segurança da informação levando-se em conta os efeitos de características das firmas. No presente estudo utilizaram-se micro dados da Pesquisa sobre o uso das tecnologias da informação e comunicação no Brasil: TIC Domicílios e TIC Empresas 2009, do Comitê Gestor de Informática (CGI), procurando responder a duas questões: Quais os determinantes da probabilidade das firmas identificarem ou não problemas de segurança da informação? Quais os determinantes da probabilidade das firmas identificarem um ou mais problemas de segurança da informação? A TIC Empresas 2009 é uma pesquisa conduzida anualmente e que segue padrões metodológicos da Organização para Cooperação Econômica e Desenvolvimento (OECD) e do Departamento Estatístico da União Europeia (Eurostat).

Intuitivamente, espera-se que haja uma relação negativa entre segurança da informação e problemas de segurança. Contudo, os resultados apontam para uma relação positiva entre as duas variáveis, o que sugere a interpretação de que medidas de segurança aumentam a probabilidade de identificação dos problemas.

O artigo está estruturado da seguinte forma: além desta introdução, na seção 2 apresenta-se uma revisão de literatura de estudos teóricos e empíricos relacionando economia e segurança da informação; na seção 3 apresenta-se a fundamentação teórica dos modelos; na seção 4 mostram-se estatísticas descritivas da Pesquisa TIC Empresas 2009, inclusive com uma descrição do plano amostral; na seção 5 abordam-se os modelos empíricos e os resultados; e na seção 6 são apresentadas as conclusões e considerações para trabalhos futuros.

2. LITERATURA 2.1. Teoria econômica e segurança da informação Anderson (2001) foi autor de um dos primeiros trabalhos a mostrar como a teoria econômica interage com o tema da segurança da informação. No trabalho, o autor defende que as externalidades de rede, as barreiras à entrada, o fato de as grandes empresas adotarem suas estratégias baseadas no valor, em vez de no custo, e as enormes vantagens de primeiro movimento em sistemas econômicos com fortes feedbacks são algumas das razões pelas quais os software de mercado, como o Windows, possuem tantas falhas.

De acordo com Varian (2004), muitos dos problemas de segurança da informação são por causa de falhas de incentivos econômicos. O autor argumenta que a responsabilidade é difusa. Um exemplo são os ataques Distributed Denial of Service (DDOS), em que hackers invadiram algumas redes desprotegidas de universidades norte-americanas e utilizaram as estruturas para distribuir um ataque contra alguns sítios eletrônicos, como o Yahoo, em 2000. Nesse exemplo, as universidades que foram invadidas não sofreram sanção alguma com relação aos prejuízos econômicos causados ​​ao Yahoo e a outros sites. Varian (2004) argumenta que se houvesse uma responsabilização (liability), talvez as universidades tivessem incentivos mais fortes para proteger a sua rede. A proposta do autor é que os custos de ataques DDOS devem cair sobre os operadores de rede, os quais podem fazer uma melhor avaliação sobre que parte está mais bem posicionada para gerir os riscos.

Em um trabalho anterior, que também trata da questão das responsabilidades, Anderson (1994) mostra como os padrões de fraude em contas bancárias são associados a esse fenômeno. Nesse estudo, o autor compara os eventos de fraude ocorridos nos Estados Unidos da América (EUA), na Grã-Bretanha, na Noruega e na Holanda, e chega à conclusão de que nos países europeus o ônus da prova estava sobre os clientes e nos EUA, sobre os bancos. Como nos países europeus os bancos não têm muitos incentivos para melhorar seus sistemas de segurança, observou-se uma epidemia de fraudes. Nos EUA, os incentivos estavam no lado oposto e os bancos sofreram número substancialmente menor de fraudes. O autor argumenta que, embora nos EUA houvesse um gasto menor em segurança da informação, os investimentos eram realizados de forma eficiente.

Adotando uma abordagem diferente, de teoria dos jogos, Garcia e Horowitz (2006) analisam as motivações econômicas para o investimento em segurança e levantam a possibilidade de uma falha de mercado, possível sob a forma de subinvestimento em segurança. Os resultados dependem do fato de o valor social derivado do uso da internet exceder os rendimentos em jogo associados aos investimentos dos Provedores de Serviço de Internet (PSI). Segundo os autores, se a relação entre o valor social e as receitas em jogo para os provedores de internet continua a crescer, a probabilidade de subinvestimento em segurança torna-se maior e alguma forma de regulamentação pode ser necessária.

Cremonini e Nizovtsev (2006), por sua vez, analisam o comportamento de atacantes sob diferentes cenários de informação. Num primeiro cenário, os atacantes obtêm informações completas sobre as características de segurança de alvos. Num segundo cenário, a análise é feita sob a hipótese de informação assimétrica. Os resultados do modelo mostram que quando os atacantes são capazes de identificar o nível de segurança de seus alvos e alternar entre múltiplos alvos diferentes, o efeito de uma medida de segurança determinada é mais forte. Qualquer aumento no nível de segurança tem dois efeitos sobre a frequência de incidentes. O efeito direto é atribuído às características técnicas de um sistema e diminui a probabilidade de sucesso de um determinado ataque devido ao esforço. o efeito indireto, ou de comportamento, diminui a quantidade de esforço que um atacante coloca em tentativas de intrusão, assim diminuindo ainda mais a frequência dos ataques e a perda esperada. Isso sugere que se esse efeito fosse ignorado, o resultado seria a alocação de recursos de segurança. Os autores mostram, também, que sistemas com melhores níveis de segurança têm incentivos mais fortes para revelar suas características de segurança para os atacantes do que sistemas com baixa proteção.

2.2. Evidência empírica A literatura acadêmica sobre segurança da informação evoluiu ao ponto de haver quantidade razoável de modelos analíticos. Recentemente, pesquisadores vêm direcionando esforços para confirmar as premissas e as intuições dos modelos de forma empírica. Contudo, devido à dificuldade de coletarem-se dados relevantes para o tema de pesquisa, essa literatura ainda se encontra em um estágio primário de amadurecimento.

Entre as dificuldades de coletarem-se dados, destaca-se a veracidade de informações fornecidas por instituições e firmas acerca de ataques e intrusões no sistema. Uma evidência empírica a respeito desse fato é fornecida pelo trabalho de Cavusoglu, Mishra, e Raghunathan (2004). Os autores identificaram que dentre 66 tipos de ataques cibernéticos, durante o período de 1996 a 2001, 31 deles afetaram firmas que conduzem seus negócios pela internet. O resultado do estudo aponta que o valor na Bolsa de Valores das firmas afetadas sofre desvalorização média de 2% relativamente às firmas não afetadas por ataques cibernéticos. O estudo mostra que os tipos de ataques não são estatisticamente significantes para diferenciar o montante das perdas. Campbell, Gordon, Loeb, e Zhout (2003) também haviam chegado a resultados semelhantes, mas apontam que o tipo de ataque pode ser relevante no montante da desvalorização sofrida pela firma. Ataques que envolvem a perda de informação confidencial têm um impacto mais acentuado do que os demais tipos de ataques. Nesse sentido, a revelação de informações acerca de ataques cibernéticos pode ser custosa para as firmas e, portanto, informações a respeito desses eventos nem sempre estão disponíveis.

Contudo, ainda alguns trabalhos elaborados nesse âmbito. Moore e Clayton (2007) coletaram dados a respeito de remoção de sites de instituições financeiras clonados com o objetivo de obter as credenciais dos usuários. Uma medida comum é a remoção do site falso a tempo. Os autores monitoraram milhares de sitesde bancos e observaram heterogeneidades em vários níveis. Dentre elas, a de que algumas instituições são mais visadas do que outras. Outro ponto é que o tempo médio de remoção dos sites clonados é de cerca de 20 horas e que a velocidade de remoção é altamente variável. O tempo de remoção segue uma distribuição lognormal em que a maioria dos sites é removida em poucas horas, ao passo que uma minoria substancial sobrevive por várias semanas. As variações observadas não aparentam ser aleatórias e sugerem que os criminosos identificam sistematicamente as vulnerabilidades mais rápido do que os gestores dos sistemas.

Alguns estudos empíricos examinam como os hackers selecionam seus alvos. Moore e Clayton (2011) mostram que ferramentas de busca são utilizadas para identificar potenciais vulnerabilidades. Geralmente são buscados termos específicos de programas ou versões de programas que um hacker consegue subverter. Um exemplo mostrado pelos autores é o termo phpizabi v0.848b c1 hfp1, que retorna de sites que utilizam software sofrendo de uma vulnerabilidade de carregamento irrestrito (unrestricted file upload vulnerability). Por meio dos logs de sites comprometidos por phishing, eles chegaram ao resultado de que cerca de 18% dos sites comprometidos são cuidadosamente selecionados pelo uso de termos específicos que remetem a vulnerabilidades do sistema.

Moore e Clayton (2011) também revelam que 19% dos sitesjá comprometidos são selecionados novamente após um intervalo de seis meses, e essa taxa praticamente dobra se o site tiver sido identificado por meio de termos específicos.

No que concerne às evidências de estudos elaborados por meio desurvey, Liu, Tanaka, e Kanta (2008), utilizando dados de uma pesquisa governamental de 2002 e 2003 sobre firmas japonesas, mostram que o investimento em segurança da informação tem efeitos estatisticamente significantes na redução da probabilidade de ocorrência de problemas de segurança relacionados a vírus de computador.

Por meio de uma regressão logística que leva em conta características como tipo do mercado de atuação da firma, número de funcionários com e-mail corporativo como proxy de vulnerabilidade e variáveis que captam medidas de investimento em segurança da informação, Liu et al. (2008) mostram que existe uma relação inversa entre investimento em segurança e a probabilidade de sinistros causados por vírus de computador. As medidas de investimento consideradas são se a firma possui algum tipo de política de segurança da informação, se treinamento ou palestras informativas aos funcionários e se a firma adota mecanismos de defesa como antivírus, firewall e outros sistemas tecnológicos. Os primeiros resultados mostram que as variáveis relacionadas a investimento em segurança não são significativas. Entretanto, quando os autores utilizam uma interação entre as três medidas de investimento os resultados mostram um impacto negativo e significante sobre a probabilidade de a firma ter problemas de vírus. Os autores também verificam que esse resultado é prevalente para firmas que adotaram as três medidas de investimento nos dois anos analisados. As firmas que adotaram as três medidas conjuntamente apenas no último ano ou somente no primeiro ano apresentaram maior propensão a ter problemas de segurança.

Tanaka, Kmatsuura e Sudoh (2005) analisaram a relação entre investimentos de segurança da informação e vulnerabilidades cibernéticas por meio de dados a respeito dos governos eletrônicos de municípios japoneses. Os autores partem dos resultados do modelo de Gordon e Loeb (2002), os quais mostraram que apenas firmas com vulnerabilidade média estariam dispostas a investir um montante substancial para deter problemas de segurança da informação. Para classificar as vulnerabilidades dos municípios, Tanaka et al. (2005) partem do pressuposto de que quanto mais compartilhada uma rede, mais vulnerável essa rede é a ataques e problemas de segurança de informação. Tanaka et al. (2005) dividem os municípios com base em três tipos de compartilhamento de redes: municípios com redes simples ou sem conexão com outros municípios ou governo federal, municípios com redes regionais ou que apresentam conexões com outros municípios dentro de uma mesma região e, por fim, municípios com conexões com o governo federal e outras regiões. Por meio de uma regressão simples, Tanaka et al.

(2005) apresentam resultados que vão ao encontro dos pressupostos teóricos do modelo de Gordon e Loeb (2002). Os autores verificam que apenas os coeficientes ligados a dummies de municípios com vulnerabilidade média apresentam sinal positivo e significante numa regressão que tenta explicar o montante investido em tecnologias de segurança da informação.

Takemura, Osajima, e Kawano (2008) analisaram o efeito de medidas de segurança em informação e educação adotadas por firmas provedoras de internet no Japão.

Eles utilizam dados de uma pesquisa realizada em 2007 e que inclui respostas de 63 empresas PSI. Os resultados da regressão logística estimada pelos autores mostram que uma relação positiva entre o risco de sofrer um problema de segurança e o número de contramedidas adotadas com relação à segurança da informação. No entanto, os autores evidenciam que medidas de educação sobre segurança da informação possuem um sinal negativo e estatisticamente significante, o que, segundo eles, mostra que o investimento em educação apresentaria uma relação custo benefício maior do que o investimento em tecnologias de defesa e que, portanto, deveriam ser incentivadas para reduzir o risco de problemas de segurança da informação.

A análise que se propõe neste artigo é semelhante à análise elaborada por Takemura et al. (2008), mas o foco de observações é mais amplo e, no que se refere às interpretações, será mostrado adiante que a relação positiva entre as contramedidas de segurança de informação e a ocorrência de problemas de segurança da informação não deve ser interpretada como um risco.

Como forma de motivar a estratégia empírica utilizada neste trabalho, na próxima seção introduz-se um modelo simples sobre a relação do investimento em segurança, da vulnerabilidade cibernética e dos riscos de sinistros ligados à tecnologia da informação e comunicação.

3. FUNDAMENTAÇÃO TEÓRICA No presente trabalho, utiliza-se um modelo simples de otimização do lucro esperado como forma de entender as decisões sobre investimento em segurança da informação. Dar-se-á enfoque a duas possíveis interpretações para o problema de otimização da firma. Basicamente, na primeira abordagem o problema é visto como a maximização de lucro esperado, e a ocorrência de problemas de segurança é associada a possíveis perdas de ativos informacionais.

Entretanto, o evento aleatório considerado pode ser interpretado também como a probabilidade da firma identificar o problema de segurança e com isso minimizar possíveis perdas de ativos, o que representa a segunda interpretação possível.

Adiante, ver-se-á que o modo como esse problema é interpretado tem fundamental importância na interpretação dos resultados obtidos na seção de análise empírica.

Assume-se que γi denota o número de problemas de informação que ocorrem na firma i. Como é observado se a firma sofreu ou não algum tipo de problema, γi é representado por uma variável latente que depende do grau de vulnerabilidade da firma, vi, e do quanto a firma investe em segurança da informação, zi, de tal forma que: γi*=∝vi+βzi+εi [1] Em que εi representa um termo idiossincrático de perturbação estocástica com função de distribuição de probabilidade simétrica tal que 0<F(.)<1. Mais precisamente, εirepresenta as características não observáveis da firma e que são independentes do seu grau de vulnerabilidade e investimento. Portanto, a probabilidade de ocorrer um problema de segurança é denotada por: Pr(γi*>0)=Pr(∝vi+βzi+εi>0) [2] Pr(γi*>0)=Pr(-εi<∝vi+βzi) [3] Pr(γi*>0)=F(∝vi+βzi) [4] 3.1. Enfoque I - Maximização do lucro esperado Tomando ρi como o valor das informações da iésima firma que seriam perdidas caso houvesse um problema de segurança da informação, as firmas tomam decisões de investimento em segurança da informação de forma a maximizar o lucro esperado E(π). Seguindo essa representação, o problema de maximização de lucro da firma pode ser representado da seguinte forma: Maxzi F(∝vi+βzi )(πi-zi-ρi )+(1-F(∝vi+βzi) )(πi-zi) [5] Rearranjando os termos, tem-se o seguinte problema: Maxzi-F(∝vi+βzi) ρi+πi-zi [6] cujas condições de primeira e segunda ordens são, respectivamente: Essas condições mostram que, basicamente, a decisão de investir em mecanismos de segurança da informação dependerá do sinal do coeficiente β. Se o coeficiente é positivo, então o efeito marginal do investimento sobre o lucro esperado será negativo e, logo, haveria uma solução de canto para o problema.

Caso o coeficiente seja negativo, a condição de primeira ordem satisfaz os requisitos para que haja incentivos para adotar níveis positivos de investimento em segurança da informação. Um ponto relevante a ser ressaltado é que a primeira derivada da função densidade é a própria função distribuição de probabilidade que assume valores positivos. Para que haja uma solução interior é necessário que a segunda derivada da função densidade seja positiva. Em outras palavras, como se assume que a distribuição de probabilidade seja simétrica: E(εi )>∝vi+βzi* [8] ∝vi-E(εi)<-βzi* [9] Essa condição mostra que haverá uma solução interior quando o efeito total do investimento em segurança da informação sobre a probabilidade de perda for maior do que o efeito total da vulnerabilidade sobre a probabilidade de perda corrigida pelo erro médio (2) .

3.2. Enfoque II - Minimização / Identificação do problema  de segurança Caso γidenote o evento em que a firma identifica um problema de segurança da informação, tem-se um problema análogo ao anterior, entretanto, as interpretações obtidas anteriormente são revertidas. Basicamente, o fato de uma firma identificar esse problema associa-se de forma negativa com a ocorrência de uma perda por parte da firma. O argumento é que as firmas que conseguem identificar o problema podem adotar medidas de forma a minimizar as possíveis perdas. Como a formulação do problema agora é vista como uma minimização da perda esperada, obtêm-se condições de primeira ordem análogas (3) ao do enfoque I. Entretanto, a interpretação do coeficiente βé revertida no sentido de que, se for positivo, indica que a firma terá incentivos para investir em segurança da informação.

No que concerne ao grau de vulnerabilidade da firma, assume-se que é uma variável exógena e, portanto, por meio do teorema do envelope ter-se-ia que a relação entre o grau de vulnerabilidade da firma e seu lucro esperado pode ser representada por: [/img/revistas/rausp/v48n4/a10img02.jpg] Pelas condições acima, nota-se que a relação do grau de vulnerabilidade com o lucro esperado dependerá do efeito marginal da vulnerabilidade sobre a probabilidade de ocorrência de perda. É razoável que essa última relação seja crescente. Quanto mais vulnerável é uma firma, maior se torna a probabilidade de ocorrência da perda. O modelo desenvolvido por Gordon e Loeb (2002) relaciona o grau de vulnerabilidade com o nível de investimento e mostra que apenas firmas com grau médio de vulnerabilidade investirão em segurança da informação. Em outras palavras, firmas com pequeno grau de vulnerabilidade não investirão, pois o custo do investimento é maior do que a perda esperada, e também as firmas com alto grau de vulnerabilidade não investirão, pois o custo do investimento é inviável, ou seja, é estabelecida uma relação de custo efetividade. De certa maneira, os resultados obtidos refletem esse fato, dado que o investimento será ótimo caso o efeito total do investimento sobre a probabilidade da perda ou identificação seja superior ao efeito total da vulnerabilidade.

4. DADOS E ESTATÍSTICAS DESCRITIVAS Os dados utilizados na análise empírica provêm da Pesquisa Sobre Uso das Tecnologias da Informação e Comunicação - TIC Empresas 2009 - CETIC. O desenho da amostra foi feito pelo Instituto Brasileiro de Opinião Pública e Estatística IBOPE Inteligência, que foi responsável pela coleta de dados e tratamento estatístico, de forma que o erro amostral fosse de 2% em um intervalo de confiança de 95% (CGI, 2010).

O plano amostral das Tecnologias da Informação e Comunicação (TIC) Empresas foi elaborado com o objetivo de medir o acesso e o uso das TIC em empresas com dez ou mais funcionários, pertencentes ao setor organizado da economia no Brasil, listadas na Relação Anual de Informações Sociais (RAIS) e integrantes de determinados segmentos da Classificação Nacional de Atividades Econômicas (CNAE) (4) . Para a edição de 2009, foram selecionadas 3.737 empresas, sendo 47,9% pertencentes à região Sudeste, 16,8% à Sul, 9,6% à Centro-Oeste, 8,5% à Norte e 17,2% à Nordeste. Essa amostra é representativa de 340.000 empresas e representa cerca de 12% de todas as firmas listadas no cadastro da RAIS.

No que concerne à composição do porte das empresas, 35% apresentam de 10 a 19 empregados, 19% de 20 a 49, 16% de 50 a 99, 8% de 100 a 249 e 22% mais de 250 empregados.

Na Tabela_1 são fornecidas algumas estatísticas sumárias a respeito da incidência de problemas de segurança da informação, da composição de funcionários que acessam a internet na empresa e das medidas de segurança da informação adotadas.

Conforme é mostrado na Tabela_1, 71,6% das firmas reportaram ter encontrado algum tipo de problema de segurança da informação. Quando se analisa esse evento em relação ao número de funcionários com acesso à internet, percebe-se uma relação positiva. Assumindo que o grau de vulnerabilidade cibernética de uma firma está diretamente associado ao número de funcionários com acesso à internet, pelos dados a seguir aponta-se uma relação crescente entre o grau de vulnerabilidade e a proporção de firmas que identificaram problemas de segurança da informação, até a faixa de 51 a 70% de funcionários com acesso à internet. A partir desse patamar, a incidência de problemas de segurança continua a crescer em alguns casos (trojans, fraudes, DOS e ataques a servidor) e a decrescer em outros (vírus, worms, acessos internos e externos não autorizados).

Dentre os problemas de segurança, vírus é o tipo mais comum seguido dos "cavalos de tróia", worms, acessos não autorizados e fraudes. Nota-se que, dentre as firmas que possuem um departamento de Tecnologia da Informação (TI) e/ou adotam uma política de segurança da informação, as frequências dos problemas reportados são maiores do que para o extrato de firmas que não possuem política ou departamento de TI.

De certa forma, isso revela um dado preocupante, pois, em uma primeira análise, sugere que o investimento em segurança da informação aumenta a propensão da firma a ter algum tipo de problema de segurança da informação. Contudo, uma análise cautelosa deve ser feita, uma vez que o fato de a firma reportar um problema de segurança está diretamente atrelado ao fato de que ela identificou esse problema de segurança.

Um aspecto revelado pela tabela, que suporte a essa ideia, é que as firmas com maior vulnerabilidade são também as que apresentam uma estrutura de TI e defesa cibernética mais sofisticada. Nota-se, por exemplo, que à medida que aumenta o extrato de funcionários com acesso à internet, expande-se também a proporção de firmas que possuem um Sistema de Identificação de Intrusão (IDS) que dentre as ferramentas de defesa é a menos comum. Portanto, essa relação positiva pode indicar maior probabilidade de identificação do problema.

Contudo, os fatos expostos na Tabela_1 não levam em conta a influência de efeitos cruzados de algumas características das firmas. Na próxima seção, são estimados modelos logit e probit ordenado como forma de avaliar os efeitos sobre a probabilidade de problemas de segurança da informação, levando-se em conta efeitos covariados como região, tipo de mercado, estrutura de rede da firma, quantidade de funcionários com acesso à internet e variáveis ligadas à segurança da informação como forma de avaliar o efeito de investimentos sobre o risco ou a probabilidade de identificação.

5. MODELOS EMPÍRICOS E RESULTADOS Conforme apresentado anteriormente, neste trabalho buscou-se analisar como medidas associadas a investimentos em segurança da informação influenciam a probabilidade de identificar a ocorrência de problemas associados à segurança da informação para uma amostra representativa de firmas com mais de dez funcionários no Brasil, a partir de dados do CGI. Para atingir o objetivo, modelos logit e probit ordenado foram desenvolvidos e serão detalhados a seguir.

5.1. Modelos logit A primeira pergunta que se procura responder no estudo é: Quais os determinantes da probabilidade das firmas identificarem ou não problemas de segurança da informação? De maneira a responder a essa pergunta e compreender como as medidas de segurança da informação e o grau de vulnerabilidade cibernética das firmas influenciam a probabilidade da identificação de problemas de segurança da informação (SI), propõe-se o seguinte modelo Logit: [/img/revistas/rausp/v48n4/a10img03.jpg] em que: [/img/revistas/rausp/v48n4/a10img04.jpg] e X' β=β0 +β1ÁREAi+β2MERCADOi+β3ln(LInterneti )+ β4Políticai+β5Treinamentoi+β6Defesai tal que: ÁREAi = Região geográfica da firma (Sudeste, como referência).

MERCADOi = Setor de atuação da firma, tais como Indústria da Transformação, Comércio etc. (Outros, como referência).

LInterneti= Número de funcionários da firma que possuem acesso à internet. Essa variável representa uma proxy da medida de vulnerabilidade cibernética.

Políticai= Variável dummy que indica se a firma possui algum tipo de política de segurança da informação (firmas que não possuem política, como referência).

Treinamentoi= Variável dummyque indica se a firma aplica algum tipo de treinamento para o uso de Tecnologias da Informação e Comunicação (firmas que não aplicam treinamento, como referência).

Defesai= Conjunto de variáveis dummyque indicam o número de mecanismos de defesa cibernética que a firma adota, tais como: antivírus, antispam, antispyware, sistema de identificação de intrusão (IDS) e firewall (para cada dummya referência são as firmas que não adotam o determinado mecanismo representado pela dummy).

Como tanto o investimento em segurança em informação quanto o grau exato de vulnerabilidade cibernética podem ser observados, utilizam-se medidas associadas a essas variáveis.

O investimento em segurança da informação é associado ao grau de sofisticação dos mecanismos de defesa e às medidas de conscientização de capital humano, tais como a presença de uma política de segurança da informação e treinamento aos funcionários para o uso de TICs.

O grau de vulnerabilidade cibernética é uma medida imensurável; entretanto, postula-se que quanto mais funcionários uma firma possui, maior será o grau de vulnerabilidade por causa da maior presença de canais de intrusão, como contas de e-mail e número de acessos a sites indevidos na internet.

Na Tabela_2, são expostos os resultados da regressão do modelo logístico.

Os coeficientes estimados pelo modelo logístico (Tabela 2) apontam que uma relação positiva entre o número de funcionários com acesso à internet e a ocorrência de problemas de segurança. Os resultados das colunas (1), (2) e (3) apresentam coeficientes positivos e significantes a um nível de significância de 1%, suportando em parte os resultados obtidos pelo modelo teórico. Contudo, na coluna (1) nota-se também que algumas variáveis ligadas a contramedidas em segurança da informação apresentam um efeito positivo sobre a probabilidade de identificação de problemas ligados à segurança da informação. Na coluna (1) a variável treinamento TIC apresenta um coeficiente significante a um nível de 1% e a variável antispam,a 10%. A única das variáveis ligadas à segurança da informação que apresentou efeito negativo e significante é a variável IDS, que denota se a firma possui um sistema de detecção de intrusão. Nesse sentido, esse resultado, perante a primeira abordagem do modelo teórico apresentado, sugere que o investimento em segurança da informação tem efeitos negativos sobre o lucro esperado.

De forma a confrontar os resultados obtidos na coluna (1), são elaboradas formas alternativas de mensurar as contramedidas em segurança da informação.

Nas colunas (2), (3) e (5), em vez de especificar dummies relativas às medidas de segurança, são agregados os mecanismos de defesa de forma a ordenar as firmas com respeito ao número de mecanismos de defesa.

Os resultados das colunas (2) e (3) são distintos apenas devido às referências utilizadas. No caso da coluna (2), a referência é o grupo de firmas que não possui nenhum dos mecanismos de defesa, ao passo que na coluna (3) a referência é o grupo de firmas que possui todos os mecanismos de defesa cibernética.

Os resultados das colunas (2) e (3) continuam a sustentar os resultados obtidos na coluna (1). Observa-se que uma relação crescente entre o número de mecanismos de defesa cibernética e a probabilidade de ocorrência de problemas de segurança.

Nas colunas (4) e (5) são utilizadas dummies que denotam o grau de vulnerabilidade. Basicamente, o que se observa nessas duas especificações é que o efeito positivo da vulnerabilidade cibernética é em grande parte atribuído às firmas com vulnerabilidade média, ou seja, firmas que possuem de 21 a 70% dos funcionários com acesso à internet. Nota-se que as firmas que possuem mais do que 70% dos funcionários com acesso à internet não têm uma probabilidade diferente das firmas com até 20%.

É válido ressaltar que na coluna (4) são utilizadas variáveis dummies específicas de cada mecanismo de defesa cibernética e elas se mostram positivas e algumas significantes.

Os resultados positivos relativos às medidas de defesa cibernética obtidos nessa primeira análise sugeririam, a priori, que os investimentos em segurança da informação aumentam as chances de identificação de problemas correlacionados.

Do ponto de vista econométrico, esse resultado pode ser uma consequência da dinâmica dos fatos no sentido de que uma firma adota mecanismos de defesa porque sofreu algum problema de segurança da informação anteriormente.

Contudo, evidências que também suportam outra razão. Na Tabela_3, são apresentados os coeficientes de correlação entre o número de mecanismos de defesa e a proporção de funcionários com acesso à internet. Observa-se que uma relação crescente entre o número de funcionários com acesso à internet e o número de mecanismos de defesa adotados.

Esse fato suporte à hipótese de que as firmas que adotam mecanismos de defesa sejam mais propensas à identificação de problemas de segurança.

Entretanto, isso ocorreria não porque os investimentos são ineficazes, mas sim pelo fato de que - ao possuírem um sistema mais sofisticado de defesa - essas firmas estariam mais aptas a identificar os problemas de segurança.

5.2. Modelos probit ordenado A segunda pergunta que se procura responder no estudo é: Quais os determinantes da probabilidade das firmas identificarem um ou mais problemas de segurança da informação? De forma a responder a essa pergunta e verificar a hipótese citada no fim da seção 5.1, agregam-se também os tipos de problemas de segurança para testar se as firmas com sistemas de defesa mais sofisticados estão mais propensas a identificar mais tipos de problemas de segurança da informação. Basicamente, na pesquisa elaborada pela CGI é perguntado se as firmas identificaram vírus, worms, fraudes, negação de serviços (DOS) e invasão de sistema (cyber attack).

As informações relativas a esses ataques são utilizadas para construir uma variável dependente que mensura o número de tipos de ataques que a firma identificou (5) . Com base nessa variável, são estimados modelos de probit ordenado. As variáveis independentes são as mesmas dos modelos logit.

Na Tabela_4 são apresentados os resultados do modelo probit ordenado para quatro especificações. Os resultados obtidos continuam a mostrar sinais positivos para as medidas de segurança da informação, indicando que quanto mais sofisticado o sistema de defesa cibernética da firma maior será a probabilidade de identificar um maior número de tipos de problemas de segurança da informação.

[/img/revistas/rausp/v48n4/a10tab04.jpg]

Observa-se nas colunas de (1) a (4) que o sinal positivo ligado às medidas de vulnerabilidade cibernética continua a persistir. No que se refere às medidas de defesa cibernética, observa-se nas colunas de (2) a (4) que, relativamente às firmas que não adotam medida alguma, as firmas que possuem maior número de mecanismo de defesa têm maior probabilidade de identificação de um maior número de problemas cibernéticos. Na coluna (1) observa-se que o Treinamento em TIC possui efeito positivo e mecanismos como firewall e antispam também apresentam um sinal positivo estatisticamente significante.

Portanto, o fato de os últimos resultados apontarem para a persistência da relação positiva entre as contramedidas de segurança da informação e a identificação de problemas de segurança da informação não quer dizer que os investimentos em defesa cibernética não devam ser realizados. Ao contrário, reforça a premissa de que investimentos em defesa cibernética aumentam as chances de identificação do problema e, com isso, permitem maiores chances de reação por parte das firmas de forma a evitar maiores prejuízos.

6. CONCLUSÃO E TRABALHOS FUTUROS Neste trabalho, teve-se como objetivo analisar como medidas associadas a investimentos em segurança da informação influenciam a probabilidade de identificar a ocorrência de problemas associados à segurança da informação, para uma amostra representativa de firmas com mais de dez funcionários no Brasil.

Os resultados obtidos pela análise empírica apontam para uma relação positiva entre as medidas de segurança da informação e a probabilidade de ocorrência de problemas de segurança. Contudo, uma análise mais cautelosa levanta a hipótese de que a relação positiva entre medidas associadas à proteção tecnológica e a ocorrência de problemas de segurança da informação seja atribuída ao fato de que uma sofisticação das medidas de proteção aumente a probabilidade de identificação dos problemas e não uma maior incidência deles.

Esse resultado é evidenciado por meio de uma análise do modelo probit ordenado, que leva em conta o número de tipos de problemas identificados pelas firmas e sustenta o resultado positivo entre as medidas de investimento e o número de problemas de segurança. Em outras palavras, firmas com maior grau de proteção identificam um maior número de tipos de problemas. Ademais, por meio de uma simples análise de correlação revela-se que as firmas de menor proporção de funcionários com acesso à internet são também firmas com menor sofisticação em seus mecanismos de proteção cibernética e reforça a hipótese de identificação dos problemas.

A relevância desse resultado é evidenciar que investimentos em segurança da informação não têm o papel de inibir os problemas, mas sim de identificá-los e com isso diminuir as chances de prejuízos relacionados a ativos ligados à informação. Conforme defendem os especialistas do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT), "os riscos sempre vão existir, em qualquer meio" (Hoepers, 2011, p. 16).

Os especialistas do CERT também defendem que "educação é a chave" (Hoepers, 2011, p. 16). Takemura et al. (2008) identificaram que investimentos em educação sobre segurança são mais efetivos que investimentos em proteção tecnológica. Os resultados obtidos no presente artigo - tanto nos modelos de regressão logística quanto nos modelos de probitordenado - mostram que as firmas que investem em treinamento em TIC também são mais propensas à identificação de problemas, o que se contrapõe aos resultados obtidos por Takemura et al. (2008).

É importante ressaltar que neste trabalho não foram levados em conta problemas de endogeneidade ligados à dinâmica dos eventos. Uma firma pode ter adotado medidas de segurança por ter sofrido algum problema anteriormente. Entretanto, a correlação entre o tamanho das firmas e a presença de mecanismos de proteção tecnológica coloca essa última hipótese em dúvida. Firmas de grande porte geralmente têm uma história de existência maior do que firmas pequenas e, portanto, a adoção de tais mecanismos de defesa muito provavelmente deve ter sido anterior à ocorrência de problemas no ano de 2009.

No entanto, essa é uma hipótese que deve ser testada para confirmação dos resultados obtidos. No caso, seria necessário olhar para dados relativos aos anos anteriores como forma de controlar a dinâmica dos investimentos. A pesquisa elaborada pelo CGI é realizada anualmente, mas as firmas sorteadas não são mantidas e o número de interseções entre os anos das pesquisas não é suficiente para que uma análise rigorosa possa ser feita.

NOTAS (1) Os dados das pesquisas do Comitê Gestor de Informática (CGI) mostram claramente que as firmas de maior porte são aquelas mais propensas a adotar mecanismos de segurança de informação e, igualmente, a identificar problemas de segurança. Uma análise simplista poderia inferir que quanto mais se investe em segurança, mais problemas ocorrem. A interpretação dos autores, discutida com os especialistas do CGI, é de que quanto maior a sofisticação tecnológica e o investimento em ferramentas de segurança, maior a probabilidade de identificar e informar os problemas. Por isso, adota-se ao longo do texto a nomenclatura deidentificação de problemas de segurança. As ameaças e intrusões cibernéticas são uma realidade da internet. Se, por exemplo, um computador sofre ameaça de infecção por vírus, o usuário terá chance de detectar e resolver o problema caso tenha uma ferramenta de antivírus instalada. Caso contrário, o computador será contaminado, independente do conhecimento ou não do usuário.

(2) Se a distribuição considerada for uma normal padronizada, então a condição é simplificada e haverá solução interior quando o efeito total do investimento for superior ao efeito total da vulnerabilidade.

(3) Basicamente, a formulação do problema é da seguinte maneira: Minzi F (∝vi+βzi)(zi)+(1-F (∝vi+βzi))(zi+ρi) que gera as seguintes condições de primeira ordem: -∂F/∂z βρi+ 1 ; -(∂2F)/(∂z2) β2ρi. É válido lembrar que agora F(∝vi+βzi) representa a probabilidade da firma identificar o problema de segurança. A análise das condições de primeira e segunda ordens mostra que a firma investirá em segurança da informação quando o coeficiente β for positivo e o efeito total do investimento em segurança sobre a probabilidade de identificação for superior ao efeito total da vulnerabilidade corrigido pela média do erro.

(4) Os setores selecionados incluem: Indústria da Transformação, Construção Civil, Comércio, Reparação de Veículos Automotores, Objetos Pessoais e Domésticos, Alojamento e Alimentação, Transporte, Armazenagem, Comunicações, Atividades Mobiliárias, Aluguéis e Serviços Prestados às Empresas, Outros Serviços Coletivos Sociais.

(5) Importante ressaltar que não é considerada a composição do número. Em outras palavras, duas firmas que identificaram dois tipos de ataques podem ter identificado conjuntos distintos de tipos de ataques. Essa decisão fundamenta- se basicamente na impossibilidade de atribuir um peso aos tipos de ataque.


transferir texto