recuperação em caso de desastre
– Analisa o impacto no negócio, nas operações e na contabilidade, em casos de desastre natural ou falhas humanas.
– Seleciona, desenvolve e implementa planos de contingência e de desastre.
– Responde pelo back-up e site de contingência, fora da organização.
3. Metodologia
3.1. Método de Estudo de Casos Múltiplos
A parte empírica deste trabalho foi realizada por meio do método de Estudo de Caso, nos moldes propostos por YIN (1994). Este método pode ser realizado pela análise de um caso único ou de múltiplos casos. A autora optou pelo estudo de múltiplos casos, para checar e fortalecer as evidências por meio da replicação da análise, em diferentes contextos.
O estudo de caso é inserido no grupo de métodos qualitativos, com o objetivo de ampliar o foco de compreensão dos fatos, em detrimento da sua mensuração (LAZZARINI, 1995). O método é mais apropriado à fase exploratória da pesquisa, na qual se busca formular teorias, a partir de uma visão mais contextual e abrangente do fenômeno (BONOMA, 1985).
O método de estudo de caso tem se revelado capaz de empregar diferentes tipos de evidências empíricas, além de ser usado para testar teorias (EISENHARDT, 1989). Esta metodologia pode ser usada para diversos propósitos de pesquisa, da fase exploratória ao teste, desde que atenda a três condições de aplicabilidade (YIN, 1994):
1. Quanto ao tipo de questão empregada na pesquisa. Segundo YIN (1994), o método de estudo de caso é indicado para responder questões de natureza explanatória, do tipo “como?” e “por que?”.
2. Quanto ao grau de controle do pesquisador sobre o evento estudado. O estudo de caso é indicado quando o pesquisador não tem controle sobre o evento estudado, não podendo, assim, manipulá-lo ou reproduzi-lo fora do seu contexto original.
3. Quanto ao foco temporal. O estudo de caso é aplicável para examinar eventos contemporâneos à pesquisa, não sendo apropriado para examinar eventos históricos.
Quanto à aplicabilidade do método de estudo de caso, neste trabalho, pode-se afirmar que as condições, levantadas por YIN (1994), foram atendidas:
1. O estudo proposto pela autora visou responder questões explanatórias sobre a forma de gestão de segurança, usando como guia os “10 domínios”.
2. O objeto da pesquisa não é reproduzível fora do seu contexto.
3. A segurança em Internet é um fenômeno contemporâneo.
Na definição de YIN, o estudo de caso é:
"(...) uma pesquisa empírica que investiga um fenômeno contemporâneo dentro do seu contexto real, especialmente quando as fronteiras entre esse fenômeno e o seu contexto não são claramente evidentes."
(YIN, 1994, p. 13)
As evidências levantadas pelo estudo de caso múltiplo, conforme YIN (1994), são consideradas mais fortes do que o estudo de caso único. O estudo de casos múltiplos é considerado mais “robusto”, pois há a possibilidade de checar e fortalecer as evidências, por meio da replicação da análise, em diferentes contextos.
A opção pelo estudo de casos múltiplos se justifica pelo fato deste trabalho não tratar de uma teoria estruturada e pronta, que se queira provar, testar. Apesar da dificuldade das organizações bancárias tratarem este assunto de forma pública, três bancos, representativos, se propuseram a participar do estudo e nenhum deles possui, isoladamente, caráter revelador.
A parte empírica deste estudo constituir-se-á da análise da gestão de segurança de três bancos representativos.
3.2. Amostra
O universo de tipos de instituições financeiras, existentes no Brasil, é vasto, e o escopo de montagem da amostra é:
Banco Múltiplo
Banco Comercial
Caixa Econômica
A amostra previu o estudo de casos de bancos com controles acionários distintos. A seguir, os tipos de controle acionário existentes no setor financeiro brasileiro:
Público federal
Público estadual
Público nacional
Privado nacional
Privado com controle estrangeiro
Privado com participação estrangeira
No levantamento da amostra, foram relacionadas instituições financeiras para cada tipo de controle acionário. Por restrição de acesso às áreas que cuidam, especificamente, de segurança, foram abordados apenas seis bancos, com os seguintes controles acionários: dois privados nacionais, dois privados de controle estrangeiro, um público federal e um público nacional. Destes, apenas três, de controles acionários distintos, retornaram o questionário: um público federal, um privado nacional e um privado com controle estrangeiro. As empresas, no trabalho, serão denominadas de: banco A no caso do banco privado de controle estrangeiro; banco B o privado nacional; e banco C o público federal.
Dada a complexidade em acessar os profissionais responsáveis pela área de segurança dos bancos e convencê-los a abrir informações sensíveis à estratégia das organizações, e ao tamanho do mercado bancário no Brasil, a escolha de apenas três casos excluiu instituições relevantes, que seriam dignas de análise. Contudo, operacionalmente, analisar mais casos seria inviável, porque o tema segurança em Internet Banking é tratado de forma sigilosa, pela maioria dos bancos.
3.3. Protocolo de pesquisa
A coleta dos dados foi realizada por meio de uma pesquisa estruturada, aplicada aos profissionais responsáveis por segurança de Internet dos bancos. O guia utilizado para o questionário foi os “10 domínios”, com o qual se procurou entender como o banco se comporta em relação a cada um dos domínios.
A seguir, o guia para a montagem do questionário:
Domínio Escopo
1. Arquitetura e modelos de segurança
– Averiguar se o banco possui uma política de segurança. Caso afirmativo, verificar se a política foi desenvolvida pelo banco ou foi baseada em algum padrão de mercado.
– Investigar a definição da arquitetura de segurança, se foi feita por uma equipe multidisciplinar ou pela área técnica, apenas. – Levantar como é a gestão da arquitetura e da política de segu- rança, bem como o perfil dos profissionais envolvidos neste domínio.
2. Sistemas de controle de acesso
– Verificar quais são os pontos de acesso controlados no fluxo completo do Internet Banking.
– Desenhar como são os controles e a administração das senhas e alçadas.
– Levantar como é a gestão dos sistemas de controle de acesso, bem como o perfil dos profissionais envolvidos neste domínio.
3. Segurança em
telecomunicação e redes
– Identificar o papel do gestor de negócio dentro deste domínio, caso haja.
– Descobrir se as alçadas de decisão, dentro do domínio, são da área técnica, apenas, ou são colegiadas com a área de negócios. – Levantar como é a gestão de segurança em telecomunicação e redes, e verificar se este domínio é tratado apenas pela equipe técnica.
4. Segurança física – Investigar se há uma preocupação com a segurança dos espaços
físicos, onde estão as máquinas, e se há cofres ou política de armazenamento das mídias com as informações sigilosas.
– Investigar como é a gestão de segurança física, bem como o perfil dos profissionais envolvidos neste domínio.
5. Desenvolvimento de sistemas e aplicativos
– Compreender o grau de envolvimento da área de negócios neste domínio.
– Descobrir se as decisões de compra de software ou terceiriza- ção de desenvolvimento são feitos de forma isolada, na seara técnica, ou a área de negócios está envolvida.
Domínio Escopo
6. Criptografia – Compreender o grau de envolvimento da área de negócios
neste domínio.
– Investigar se a definição do tipo de encriptação é feita de forma colegiada com a área de negócios, que sofrerá os impactos desta decisão no momento em que o cliente tiver acesso ao Internet Banking.
7. Práticas de gerenciamento de segurança
– Descobrir se há política de padrões, guias e procedimentos de segurança e quem são os responsáveis.
– Detectar se há um trabalho de conscientização, educação e treinamento sobre segurança.
– Identificar quem é responsável e como é feito o gerenciamento de risco.
– Investigar se há um esquema de monitoramento da administra- ção de segurança.
– Levantar como é a gestão das práticas de gerenciamento de segurança, bem como o perfil dos profissionais envolvidos neste domínio.