Comensurabilidade do processo de desenvolvimento de sistemas de informação com o processo de desenvolvimento de sistemas seguros

Abstract

A maior parte das organizações dos dias de hoje enfrenta desafios relacionados com a segurança da informação. Muitos desses desafios têm origem numa fase muito inicial do ciclo de vida dos SI, aquando dos processos de desenvolvimento de sistemas de informação (DSI), sendo que os métodos existentes para esses processos têm-se apresentado como inadequados ou insuficientes. Face a esta crítica tem sido apontada como solução por diversos autores a integração dos dois processos de desenvolvimento, o de desenvolvimento de sistemas de informação seguros (DSIS) com o DSI. No entanto, a falta de maturidade por parte dos métodos de DSIS em relação à crescente evolução dos métodos de DSI, criou o problema da dualidade no desenvolvimento, ou seja, o desenvolvimento integrado e incompativel dos dois tipos de métodos resultante dos seus diferentes objectivos e resultados de aplicação. Com esta problemática em vista, tornou-se muito importante investigar acerca da comensurabilidade dos processos de DSI e de DSIS. O exame de comensurabilidade permitiu avaliar se os dois processos de desenvolvimento estão de facto em sintonia e se vão continuar a entender-se no futuro, à medida que ambos os processos se vão adaptando a novas realidades organizacionais. Na investigação realizada foi seleccionada uma amostra dos métodos, com base na qual se discorreu em termos de comensurabilidade, permitindo-se uma avaliação do seu grau consoante foram atingidos os critérios de avaliação. As suposições teóricas que advêm desta avaliação foram verificadas através de experiências laboratoriais que serviram para validar os constructos teóricos e práticos das experiências, promovendo-se o alinhamento entre a teoria e a prática daqueles processos de desenvolvimento. No final aduziram-se argumentos sobre o grau de comensurabilidade dos dois processos em análise, tendo-se perspectivado uma comensurabilidade parcial dos dois processos de desenvolvimento nas fases de análise e representação do sistema de informação. Com base nesta argumentação, foram sugeridas recomendações práticas para os profissionais e para os investigadores com vista à promoção da construção de SI mais seguros.

Several organizations at the present are facing security challenges in their information systems. Most of those challenges have origins on an early phase of the information systems life’s cycle, during information systems development (ISD). The methods that are used for this purpose are inadequate and insufficient to deal with those security problems. In this base, the solution, suggested by diverse authors, is the integration of both ISD and Secure Information Systems Design (SISD) methods. However, the lack of maturity concerning the secure methods has created the developmental duality of information systems, that is, the integrated development of the two incompatible kinds of methods resulting from their different objectives and application results. With this concern in sight, it is of great importance to verify if that those two types of methods are ‘commensurable’. The evaluation of the commensurability level examined if the two kinds of separated developments are, in fact, aligned and if they will continue to be aligned in the future, as both processes adapt themselves to new organizational realities. In this research, a sample of those two kinds of methods was selected, and with this selection as a basis for the evaluation, it was assessed their degree of commensurability depending on the evaluation criteria that were met. The theoretical assumptions that arose from this assessment were verified through laboratory experiments in order to validate the theoretical assumptions and practical experiences, promoting the alignment between the theory and practice of those development processes. At the end, arguments about the degree of commensurability of the two processes under consideration are evaluated. That evalution has shown that for those two development processes a partial commensurability in the analysis and design phases of the information systems development was achieved. Based on this reasoning, practical recommendations are suggested for practitioners and researchers to promote the construction of more secure information systems.