Interpretação da segurança de sistemas de informação segundo a teoria da acção

Abstract

A dependência das sociedades actuais em relação à informação e às tecnologias e sistemas que a manipulam e lhe dão utilidade conduziu ao aparecimento de preocupações com a salvaguarda desses bens. Ao nível organizacional, a resposta a essas preocupações materializa-se em iniciativas de Segurança de Sistemas de Informação (SSI). Embora o sucesso dessas iniciativas possa depender de alterações nos objectivos, processos ou recursos da organização, em última análise, o nível de segurança de um sistema de informação é função das acções das pessoas que formam esse sistema de informação. Este estudo identificou como problema de investigação a actuação não adequada das pessoas no âmbito da SSI, concretizada quer por discrepâncias entre os seus comportamentos e prescrições intra ou extra-organizacionais sobre SSI, quer por discrepâncias entre as intenções declaradas dessas pessoas quanto ao que deve ser feito no domínio da SSI e as suas acções concretas nesse domínio. A compreensão destas discrepâncias poderá auxiliar os responsáveis organizacionais a conceber programas que visem a melhoria da actuação das pessoas, concorrendo, assim, para a redução das quebras de segurança e mitigação do desenvolvimento de vulnerabilidades. Com este trabalho também se procurou contribuir para o preenchimento de um espaço do conhecimento em SSI insuficientemente explorado pela investigação anterior, em particular no que respeita a estudos sobre as concepções e comportamentos evidenciados pelas pessoas, vulgo utilizadores, no domínio da SSI. A investigação foi enquadrada teórica e metodologicamente pela Teoria da Acção. O estudo envolveu o diagnóstico das teorias de acção de quarenta pessoas no domínio da SSI, ao nível técnico e ao nível humano. Como forma de contextuar as acções das pessoas, também se diagnosticaram as teorias de acção subjacentes às políticas de SSI das organizações onde essas pessoas trabalhavam, enquanto prescrições intra-organizacionais, e a teoria de acção que sustenta a Norma Internacional de Gestão da Segurança da Informação ISO 17799, enquanto prescrição extra-organizacional. O diagnóstico das teorias de acção relativas às políticas e à Norma foi realizado através da análise desses documentos, tendo o diagnóstico das teorias de acção das pessoas sido realizado com base em entrevistas e em respostas a um caso escrito. Sob o ponto de vista técnico, esta investigação sugere a existência de incoerências internas às teorias de acção, de incongruências entre as teorias de acção e de limitações no que respeita à eficácia dessas teorias. Sob o ponto de vista humano, conclui-se acerca das influências das teorias de acção de natureza humana sobre os esforços organizacionais em SSI. Partindo destas constatações, propõe-se um enquadramento para a condução de intervenções de mudança que visem melhorar a actuação das pessoas no âmbito da SSI. Estas intervenções são concebidas como processos de aprendizagem em que se procura reduzir as incoerências internas às teorias de acção, as incongruências entre as teorias de acção e as limitações que essas teorias apresentam ao nível da sua eficácia. O enquadramento apresentado funda-se na noção de dilema de acção e é composto por dezoito princípios orientadores, organizados nas vertentes do conteúdo, processo e contexto da aprendizagem.

The dependence of present societies on information and on the technologies and systems that manipulate it and render it useful led to the rise of concerns about the safeguard of these assets. At the organizational level, the answer to these concerns materializes in Information Systems Security (ISS) initiatives. Although the success of these initiatives may depend on changes in organizational goals, processes or resources, in the final analysis, the security level of an information system is a function of the actions of the persons that constitute that information system. The study identified the non-appropriate performance of persons in the realm of ISS as the research problem. This problem is illustrated by mismatches between persons' behaviours and intra- or extra-organizational prescriptions regarding ISS and by mismatches between the claimed intentions of these persons about what should be done in the field of ISS and their concrete actions. The comprehension of these mismatches may help practitioners to design pro- grams for improving the performance of individuals, thus contributing to the reduction of security breaches and to the mitigation of the development of vulnerabilities. This work contributes also to fill a gap in knowledge insufficiently covered by previous research in the area of ISS, particularly in what concerns studies about the conceptions and behaviours exhibited by persons, commonly named users, in the field of ISS. The research was theoretical and methodologically informed by the Theory of Action. The study involved the diagnosis of the theories of action of forty persons in the field of ISS, at the technical and human levels. In order to put in context the actions of these persons, the project also diagnosed the theories of action that underlie the ISS policies of the organizations where those persons were working, as intra-organizational prescriptions, and the theory of action that supports ISO 17799 - International Standard for Information Security Management, as an extra- -organizationa1 prescription. The diagnosis of policies' and Standard's theories of action was carried out by analyzing those documents, and the diagnosis of persons' theories of action was performed based on interviews and answers to a written case. From the technical point of view, this research suggests there are internal in- consistencies within theories of action, incongruities between theories of action and limitations in the effectiveness of these theories. From the human point of view, it concludes about the influences of human theories of action on ISS organizational efforts. Building on these observations, the study proposes a framework for conducting change interventions that aim to improve the performance of individuals in the realm of ISS. These interventions are conceived as learning processes intended to reduce the internal inconsistencies within theories of action, the incongruities between theories of action and the limitations these theories present at the leve1 of their effectiveness. The framework rests on the notion of dilemma of action and consists of eighteen guiding principles, organized according to the categories of content, process and context of learning.