Tal como já foi referido na parte referente à revisão do DSI, os pressupostos filosóficos estão presentes nos desenvolvedores, que têm diferentes crenças e diferentes níveis de conhecimento. É isso que acaba por dar origem às diferentes visões dos métodos de DSI. Por isso, quando se fala de métodos de desenvolvimento, é benéfico efectuar uma análise comparativa dos diferentes métodos que contemplem as diferentes visões adjacentes ao DSI. Isto também se aplica ao DSIS, uma vez que no desenvolvimento de SI seguros existe muita diversidade nas origens dos diferentes métodos, fruto das diferentes escolas de pensamento que originam diferentes suposições filosóficas subjacentes aos próprios métodos [Siponen 2001]. Por este motivo torna-se importante analisar estas suposições, da mesma forma que foram analisadas para o processo de DSI.
Dhillon e Backhouse [2001] identificam uma preponderância de pressupostos técnicos e funcionalistas no DSIS, essencialmente porque a maior parte dos métodos de DSIS teve origens em realidades bem definidas, como é o exemplo, do ramo militar.
Os papéis que um desenvolvedor pode assumir no processo de desenvolvimento afectam a forma como ele pode ser conduzido. White e Dhillon [2005] afirmam que no passado os métodos de DSIS eram conduzidos com base numa perspectiva filosófica apelidada de ideal de sistema. Esta perspectiva era a de que os desenvolvedores apenas poderiam introduzir a segurança num sistema de informação quando houvesse uma realidade objectiva dos SI, ou
seja, depois de eles serem construídos, desenvolvendo passos discretos para avaliar os riscos e construir os respectivos mecanismos de segurança. No entanto, esta diferença de pensamento, como já demonstrado, levou a sistemas inseguros, visto que não considerava a segurança como uma parte essencial do processo de DSI [White e Dhillon 2005]. Os desenvolvedores de segurança perceberam, graças aos problemas de segurança que persistiam nos SI, que não podiam impor a segurança num sistema de informação pela adopção de uma visão estritiamente técnica, mas que deveria ser baseada nos padrões de comunicação de uma organização e nos actos intencionais dos utilizadores do sistema. Uma vez que no passado o DSI ainda se encontrava num paradigma funcionalista, a DSIS moveu-se para um ideal contextualista, que se enquadra na dimensão relativista social. Esta mudança de mentalidade filosófica na mente dos desenvolvedores de sistemas seguros trouxe, porém, o problema do conflito entre os desenvolvimentos, já que ambos possuíam ideais de desenvolvimento diferentes. Isto levou a que as equipas de desenvolvimento presentes no processo de DSI e de DSIS trabalhassem em separado e, ainda que houvesse agora alguma segurança, o sistema ainda não se encontrava efectivamente seguro [White e Dhillon 2005].
Assim, a evolução da forma como as perspectivas filosóficas foram mudando no sentido de atingir SI mais seguros, passará no futuro por tentar integrar estes ideiais de desenvolvimento diferentes. Apesar disso, existe a possibilidade de que os ideais possam mudar ao longo do tempo nas duas comunidades de desenvolvimento, para que possam estar alinhados no futuro [White e Dhillon 2005]. A Tabela 4 demonstra de que forma os paradigmas filosóficos surgem nos desenvolvedores de DSI e de DSIS, consoante o espaço temporal em que se encontram e quais as implicações do distanciamento entre o pensamento desses desenvolvedores de métodos com propósitos distintos. De facto, White e Dhillon [2005] consideram que actualmente o principal problema entre ambos os desenvolvedores dos dois tipos de métodos é precisamente o facto de os processos de DSI e de DSIS terem desenvolvimentos conflituosos (ideia primariamente assumida por Baskerville [1992, 1993]), uma vez que perseguem objectivos fundamentais diferentes. Esse conflito acontece em primeiro lugar nas diferentes suposições filosóficas assumidas pelos desenvolvedores de cada um dos tipos de desenvolvimento.
Espera-se, assim, que surjam novas abordagens no futuro que tomem em linha de conta a perspectiva socio-organizacional para lidar com os problemas de segurança. Esta mudança de mentalidade aproxima-se do paradigma filosófico interpretativista [Dhillon e Backhouse 2001].
Tabela 4 – Evolução dos Paradigmas Filosóficos das Comunidades de DSI e de DSIS Adaptado de White e Dhillon [2005].
Espaço Temporal Paradigma Subjacente
ao DSI
Paradigma Subjacente ao DSIS
Implicações para os Sistemas de informação
Passado Funcionalista Ideal de Sistemas
SI não são seguros porque o desenvolvimento de processos seguros
não é suficiente Presente Funcionalista Ideal
Contextual
SI não são seguros porque os ideias entre as equipas de desenvolvimento de DSI e
de DSIS são conflituosos, levando cada uma dessas equipas a trabalhar por ‘conta
própria’ Futuro Relativista
Social
Ideal Contextual
SI mais seguros porque os sistemas organizacionais vão ser tomados em conta
e ambas as partes vão partilhar ideais congruentes
Uma vez que um planeamento cuidadoso garante a implementação dos controlos apropriados na organização, é por isso vital que o processo de DSIS seja elaborado ao mesmo tempo que o processo de DSI [Siponen 2006]. Por isso, antes de focar o processo de DSIS e os métodos que podem ser utilizados para alcançar a segurança dos SI, convém enquadrar o processo de DSIS no contexto da Gestão da Segurança de Sistemas de Informação (GSSI). Neste aspecto, e dada a sua natureza, o processo de DSIS apresenta esta característica semelhante ao processo de DSI, uma vez que deve resultar por vontade própria da organização em atingir a mudança. Por isso, é importante definir o que se entende por Segurança de Sistemas de Informação (SSI).
A SSI abrange cada uma das dimensões organizacionais referidas anteriormente, sendo especificamente mais tecnológica ou mais conceptual conforme a dimensão que se esteja a analisar [Polónia 2009] e conforme a perspectiva de cada um dos intervenientes nesse processo. Assim, pode-se agrupar as várias definições de SSI em diversas perspectivas [de Sá- Soares 2005]:
A SSI que traduz o nível de integridade da organização no que respeita às actividades que manipulam informação. Assim sendo, a segurança do sistema de informação
depende da congruência verificada entre as dimensões informal, formal e técnica do sistema de informação
SSI como o conjunto de recursos, produtos e procedimentos que operacionalizam a SSI num contexto organizacional (controlos de SSI)
SSI como um processo que visa proteger o sistema de informação contra eventos adversos
SSI como área de conhecimento que está susceptível de ser estudada e investigada.
Assim, a SSI pode ser definida como o processo pelo qual se protege um sistema de informação, abrangendo cada uma das dimensões da organização, sendo a GSSI (como actividade de coordenação da SSI) o processo pelo qual os recursos da organização são utilizados com vista à protecção do seu sistema de informação em todas as suas vertentes [Polónia 2009].
Com os conceitos de SSI e GSSI aprofundados, pode-se agora perceber que o processo de DSIS, como veículo de construção da protecção do sistema de informação, surge no sentido de colmatar as falhas de segurança detectadas nos SI. Estas falhas podem-se resumir em três pontos principais [de Sá-Soares 2013b]:
O sistema não executar uma acção que deveria ter sido executada;
O sistema executar uma acção que não deveria ter sido executada;
O sistema executar uma acção que produziu um resultado incorrecto.
Estas falhas têm origem sobretudo durante a fase de análise e representação de um sistema de informação, sendo por isso de importância vital que os métodos de DSIS tenham como principal objectivo mitigar estas falhas [de Sá-Soares 2013b].
Existem três princípios tradicionais a que um sistema de informação deve atender no sentido de ser considerado um sistema seguro, designadamente a confidencialidade, a integridade e a disponibilidade [Jürgens 2005; Teixeira e de Sá-Soares 2013]. A confidencialidade pode ser entendida como o acesso restrito da informação por utilizadores legítimos [Santos 2012], ou seja, é um princípio que lida com o sigilo, cobrindo a informação armazenada durante o seu processamento e quando se encontra em trânsito num sistema. O seu propósito é não tornar a informação pública e não permitir o acesso à informação por
entidades ou pessoas não autorizadas [Teixeira e de Sá-Soares 2013]. A integridade tem a ver com a não modificação, de forma inesperada, do conteúdo da informação [Santos 2012]. Trata- se de um princípio de segurança que tem associado uma noção de mudança, uma vez que lida com o acesso aos recursos informacionais e ao respectivo processo de autorização [Teixeira e de Sá-Soares 2013]. Os autores Teixeira e de Sá-Soares [2013] notam ainda que no caso do princípio da integridade não existe propriamente um consenso acerca do seu significado sendo que a comunidade científica se encontra divida em duas perspectivas: a integridade como o garantir que a informação é completa, precisa e correta, enquanto numa outra perspectiva se refere à integridade como sendo a prevenção da manipulação, modificação ou destruição não- autorizada de informação. Por último, a disponibilidade significa que a informação deve estar disponível sempre que necessário [Santos 2012]. Teixeira e de Sá-Soares [2013] notam, no que diz respeito à disponibilidade, duas perspectivas diferentes relativamente à forma como se pode compreender o conceito, relacionadas com a forma como a disponibilidade pode ser descrita, consoante se esteja a referir a sistemas ou a informação. No que toca à informação, disponibilidade significa que a utilização da informação e dos sistemas deve ser executada em tempo útil e no que toca aos sistemas, disponibilidade significa que a execução de uma função no sistema deve ser efectuada dentro de um determinado tempo [Teixeira e de Sá-Soares 2013]. Dado que as organizações não podem continuar a ser interpretadas apenas na sua dimensão técnica e funcional e que o foco tem mudado para a interpretação da organização como um todo, a SSI não pode preocupar-se apenas com os dados, mas sim com o contexto organizacional em mudança no qual esses dados são interpretados e utilizados. Assim, para além dos habituais princípios de disponibilidade, integridade e confidencialidade, Dhillon e Backhouse [2000] sugerem também que sejam adoptados os princípios de responsabilidade (e os conhecimento dos papéis de cada um dos actores organizacionais), integridade (como um requisito de ser membro de uma organização), confiança (distinguindo-se de controlo) e ética (como oposto de regras).
Estes dão origem a princípios operacionais e controlos que devem ser tidos em conta durante o processo de DSIS. O princípio da penetração fácil no sistema, leva a que os métodos de DSIS tenham de ser capazes de identificar e gerir as ligações mais fracas na cadeia de desenvolvimento (tendo em atenção que ao fortalecer uma dada ligação poder-se-á enfraquecer outra), o princípio de demora temporal, ao qual os métodos de DSIS devem ter atenção para que possíveis atrasos de entrada forçada no sistema de informação levem a que caso os atacantes
acedam aos dados eles já não tenham utilidade, e o princípio da efectividade que defende que os métodos de DSIS devem ser capazes de balancear entre os controlos que utilizam para que estes não se tornem um obstáculo às operações desenvolvidas pela organização [de Sá-Soares 2013b].
As estruturas de controlo no processo de DSIS são a auditoria de sistemas, a aplicação dos controlos, a modelação dos controlos e os controlos de documentação [de Sá-Soares 2013b]. A auditoria de sistemas examina, verifica e corrige o funcionamento de um sistema. No fundo, esta estrutura de controlo é a responsável por garantir que o sistema está a executar as tarefas para as quais foi concebido. Deve ser aplicada a todas as fases de desenvolvimento de sistemas e geralmente os custos associados com a correcção de erros aumentam à medida que o percurso no ciclo de desenvolvimento avança. A auditoria tem como objectivo detectar falhas e faltas [de Sá-Soares 2013b].
As aplicações de controlo são os recursos num sistema que procuram prevenir a ocorrência de falhas no sistema. Consideram como requisitos a correcção (a precisão da função em executar o seu processo lógico correctamente e a forma como essa função executa o processo lógico em todos os dados necessários) e a segurança (a função que pretende prevenir as falhas de segurança). As aplicações de controlo podem ser enquadradas em diferentes classes: entrada, processamento e saída. O objectivo destas é prevenir falhas do sistema [de Sá- Soares 2013b].
A modelação de controlos é utilizada nas fases de análise e respresentação numa forma semelhante às técnicas de modelação utilizadas no processo de DSI. Embora no caso do DSIS tenham como principal objectivo e função a incorporação de aplicações de controlo e de auditoria como uma parte integral do processo do sistema [de Sá-Soares 2013b].
Os controlos de documentação são controlos críticos que podem ser utilizados para manter a integridade de um sistema e devem existir em todas as fases do ciclo de vida de um sistema. Os seus objectivos prendem-se com o perceber quais são as funções do sistema, como é que estas funções estão a ser executadas e quais as razões que levam o sistema a executá-las [de Sá-Soares 2013b].
No âmbito do processo de DSIS, foram identificadas três abordagens ao ciclo de vida de desenvolvimento: a teoria clássica das actividades da SSI [Baskerville 1993], a teoria nuclear fundamental da SSI [Clements 1977 apud Siponen et al. 2006] e a teoria dos meta-requisitos [Siponen et al. 2006]. A primeira trata-se de uma recolha efectuada por Baskerville [1993] das
actividades clássicas da maior parte dos métodos de DSIS existentes, a segunda é apontada como sendo a base tradicional da quase totalidade dos métodos de DSIS e a terceira é uma teoria proposta por Siponen et al. [2006] no sentido de completar a primeira e a segunda teorias, principalmente tendo em vista a integração do processo de DSIS com o processo de DSI.
Fundamentalmente, a teoria clássica das actividades dos SSI advém da análise das actividades-tipo dos métodos de DSIS da primeira e segunda geração de métodos na classificação enunciada anteriormente por Baskerville [1993] e que se crê serem actualmente a geração de métodos mais utilizada pelas diversas organizações [Siponen 2005].
Tabela 5 – Comparação entre as Abordagens ao Ciclo de Vida do DSI e do DSIS Adaptado de Avison e Fitzgerald [2003] e Baskerville [1993]
Actividades Clássicas do Ciclo de Vida do DSI Actividades do Ciclo de Vida do DSIS Estudo de Viabilidade Inventário de Activos e Ameaças Investigação de Sistemas Enumeração de Possíveis Controlos
Análise do Sistema Análise de Risco Representação do Sistema Priorizar Controlos
Implementação Implementação e Revisão Revisão e Manutenção
Na Tabela 5 encontra-se uma comparação entre as actividades do ciclo de vida do DSI (referidas e explicadas na secção anterior) e as actividades do ciclo de vida dos DSIS (neste caso respeitantes à recolha efectuada por Baskerville [1993]). Apesar de serem ambas compostas por um número de fases semelhante (cinco fases no ciclo de vida do DSIS e seis fases no ciclo de vida do DSI), elas diferem quanto aos objectivos que cada fase pretende atingir. A primeira actividade desta abordagem de Baskerville [1993] caracteriza-se por uma análise concentrada no inventário dos activos do sistema e das potenciais ameaças, recorrendo a diversas técnicas analíticas no sentido de reduzir a complexidade. No caso do DSI, apesar de também se fazer uma análise acerca de tudo o que deve ser implementado, trata-se também de percepcionar se faz sentido ou não avançar para o processo de DSI em si. Na segunda actividade do ciclo de vida do DSIS, os analistas enumeram os possíveis controlos para o sistema levando em linha de conta que os desenvolvedores vão ter que escolher um conjunto ideal de controlos para o sistema. Esta actividade é algo semelhante com a segunda actividade do DSI, no entanto, no DSI o ênfase é atribuído aos requisitos funcionais do sistema existente e do sistema a modelar, o que
contrasta com a limitação das funções do sistema levada a cabo pela análise dos controlos a implementar. A terceira actividade do ciclo de vida do DSIS consiste na realização de uma análise de riscos e a quarta em atribuir prioridades aos controlos a implementar. A última actividade diz respeito à implementação e revisão, que trata da implementação dos controlos e revisões de segurança periódicas [Baskerville 1993]. No caso do DSI, estas últimas actividades do ciclo de vida diferem na sua génese, principalmente porque o foco principal é na funcionalidade. As actividades de análise e representação do sistema pressupõem o atingir dos requisitos funcionais previstos aquando da actividade de investigação, a implementação providencia o atingir do produto idealizado em actividades anteriores, enquanto na última actividade, a de revisão e manutenção, funciona numa perspectiva de aprendizagem organizacional, mas tendo em vista a conformidade e actualização dos requisitos funcionais estabelecidos [Avison e Fitzgerald 2003]. O principal foco de divergência entre os dois ciclos de vida é precisamente a ênfase dada no caso do ciclo de vida do DSI aos requisitos funcionais e no caso do ciclo de vida do DSIS aos controlos a implementar.
A teoria de Clements [1977 apud Siponen et al. 2006] é baseada num modelo relacional entre um conjunto de objectos do sistema (cada um com um valor de perda associado), um conjunto de ameaças (cada uma com uma probabilidade) e um conjunto de características de segurança (cada uma com uma resistência). A relação envolve a associação de possíveis actividades de intrusão com cada um dos objectos relevantes do sistema. Estas relações objecto- ameaça definem um conjunto de fronteiras TiOj1 que representam os componentes inseguros ou
em risco dos sistemas. Cada uma das características de segurança providencia uma função de protecção que resiste à penetração de cada um dos objectos maliciosos. Assim, num sistema protegido cada componente inseguro é eliminado pela introdução de componentes nas actividades de intrusão (a) e nos objectos do sistema (b), sendo que todas as fronteiras devem ser cobertas por estas características de segurança [Clements 1977 apud Siponen et al. 2006]. A Figura 12 representa esta abordagem clássica.
1 Ti é considerado o leque de ameaças (ou actividades de intrusão) que podem ocorrer sobre um determinado
conjunto de objectos, que se denomina Oj. A relação TiOj representa a ameaça que está associada a um objecto em particular [Siponen et al. 2006]. Na Figura 12, a denominação Fi representa desta forma o conjunto de características de segurança que estão associadas a cada objecto (Oj) e que previnem a ocorrência das ameaças definidas em Ti.
Figura 12 -- A Teoria Fundamental Nuclear da SSI Adaptado de Clements [1997 apud Siponen et al. 2006]
Esta teoria de Clements é considerada a abordagem fundamental que descreve o coração dos métodos de DSIS, procurando descrever as relações básicas entre as ameaças e os activos de um sistema e o papel que os controlos estabelecem na prevenção dos efeitos das ameaças nos activos.
Como incremento às características básicas da teoria nuclear fundamental de Clements [1977 apud Siponen et al. 2006], Siponen et al. [2006] propõem uma outra abordagem ao processo de DSIS que pretende, entre outros problemas, colmatar as falhas na integração dos métodos de DSI nos métodos de DSIS. Deste modo, Siponen et al. [2006] definem a teoria dos meta-requisitos para o DSIS a qual enumera seis meta-requisitos considerados essenciais para a SSI. A Tabela 6 reune as características desta teoria.
Tabela 6 – Características e Finalidade dos Meta-requisitos para o DSIS Adaptado de Siponen et al. [2006]
ID Meta-Requisito Características e Finalidade MR0 Os métodos de DSIS devem desenvolver características de
segurança que resistam ao impacto das ameaças nos objectos do sistema.
(Aplicação da teoria nuclear fundamental de Clements [1977])
Incluir um processo para proteger os objectos de um sistema de informação das
ameaças de um sistema de informação através das características de segurança MR1 O DSIS tem origem nos requisitos de segurança do cliente.
(Aplicação da tese de Hume que significa que o que se deve fazer em termos de segurança deve ser contrastado
com o que é possível fazer dadas as circunstâncias)
Incluir processos e notação para documentar e adquirir extensivamente os requisitos de
SSI
O DSIS deve ser iniciado com os requisitos do cliente
MR2 Os métodos de DSIS devem providenciar representações e operações de abstracção para especificar os três elementos essenciais dos sistemas seguros: ameaças, objectos e controlos para os três níveis de abstracção:
organizacional, conceptual e técnico. (Aplicação da necessidade prática de representar o
abstracto)
Oferecer suporte à modelação para os três níveis de abstracção
Os métodos de DSIS devem ser desenvolvidos para que ofereçam este
suporte a modelação
MR3 Os métodos de DSIS devem ser integráveis nos métodos de DSI
(Aplicação da teoria da dualidade no desenvolvimento que afirma que a separação de desenvolvimentos entre o DSI e
o DSIS levam a objectivos e requisitos conflituosos) 2
Processos e notação dos métodos de DSIS mais consistentes e em concordância com
os métodos de DSI
Os métodos de DSIS não devem provocar um diferimento no tempo de intervenção da
segurança, deixando-a para depois do DSI estar concluído
MR4 Os métodos de DSIS devem permitir a autonomia dos desenvolvedores
(Aplicação da teoria de Rawl que define que deve haver respeito pela autonomia e liberdade dos seres humanos)
Maior concordância dos métodos de DSI e de DSIS vai trazer uma melhor implementação do método de DSIS na
organização