XXIII Encontro Nac. de Eng. de Produção - Ouro Preto, MG, Brasil, 21 a 24 de out de 2003 ENEGEP 2003 ABEPRO 1 Percepção de executivos e gerentes de TI quanto às práticas de gestão de segurança da informação: um estudo orientado para as diretrizes da Norma ISO/IEC 17799 Max Simon Gabbay (UFRN) gabbay@petrobras.com.br Anatália Saraiva Martins Ramos (UFRN) anatalia@pep.ufrn.br Resumo Este artigo apresenta os resultados de uma pesquisa exploratória e descritiva que identificou o nível de concordância dos Executivos e Gerentes de TI do Rio Grande do Norte em relação às diretrizes da Norma NBR ISO/IEC 17799 (Tecnologia da informação – Código de prática para a gestão da segurança da informação) na dimensão “Controle de Acesso”. Através de um formulário de pesquisa, foram entrevistados 66 Executivos e Gerentes de Tecnologia de Informação pertencentes às maiores empresas arrecadadoras de ICMS no Rio Grande do Norte em 2000. Para a análise de dados, foi utilizada a estatística descritiva. A pesquisa evidenciou um baixo nível de concordância dos respondentes em relação à Norma NBR ISO/IEC 17779, no que se refere à dimensão Controle de Acesso. Palavras chave: Gestão de Tecnologia de Informação, Segurança da informação, Norma NBR ISO/IEC 17779. 1. Introdução Os avanços em Tecnologia de Informação têm proporcionado às empresas maior eficiência e rapidez na troca de informações e tomadas de decisões. Todavia, esse novo ambiente computacional tornou-se extremamente complexo, heterogêneo e distribuído, dificultando a gestão de questões relativas à segurança da informação. Moreira (2001) destaca que agentes ameaçadores aos ambientes computacionais estão em constante evolução, seja em número ou, seja em forma e que novos vírus surgem em um curto espaço de tempo, trazendo riscos às informações das empresas. Neste contexto, as estatísticas demonstram que a fraude em Informática tornou-se um problema em escala mundial, que tem custado bilhões de dólares às organizações. Como exemplo, apenas o vírus I love you causou prejuízos estimados em US$MM 8,75 (REGGIANI, 2001). Para auxiliar uma organização a melhorar a segurança de suas informações, surgiu a Norma NBR ISO/IEC 17799 - Information Technology - Code of Practice for Information Security Management, a qual apresenta em seu corpo um conjunto de diretrizes a serem observadas pelas empresas. O objetivo desta pesquisa foi aferir o nível de concordância dos Executivos e Gerentes de TI em relação às diretrizes da Norma NBR ISO/IEC 17799 - dimensão Controle de Acesso. 2. Referencial Teórico 2.1. Problematização Sistemas de informação eficazes têm um papel importante nos negócios e na sociedade atual, podendo ter um grande impacto na estratégia corporativa e no sucesso organizacional das