Endringer i inndelingsloven og

A aplicabilidade aos métodos de DSI pode ainda ser complementada com a visão que Tryfonas [2007] apresenta no que respeita aos conceitos emergentes no DSIS e de que forma os mesmos procuram ter em conta a integração dos dois tipos de métodos. Aquele autor constata que os especialistas de segurança possuem muitas ferramentas ao seu dispor, no entanto, pouco é sabido acerca do impacto das mudanças provocadas por essas ferramentas no DSI, pois quem os desenvolve ou utiliza não consegue saber se pode confiar nos componentes de TI.

Tryfonas [2007] afirma que apesar de existirem métodos que têm como objectivos explícitos integrar a segurança num sistema de informação, parece que os mesmos não contêm os novos aspectos e tendências que têm introduzido diferenças consideráveis no campo do DSI, nomeadamente o outsourcing, a melhoria de processos, a garantia de qualidade e a necessidade de auditoria, levando a que a literatura contenha poucas propostas concretas (enquadramentos, métodos ou técnicas) no sentido de integrar a segurança no DSI.

No explanar da sua argumentação, Tryfonas [2007] aponta um conjunto de aspectos que têm dificultado a utilização do DSIS em detrimento da aplicação de segurança após o DSI estar concluído, nomeadamente:

 Durante as fases de desenvolvimento o sistema ainda não é totalmente conhecido, daí a dificuldade de o proteger;

 Durante as fases de implementação o valor que o sistema adiciona à organização ainda não é totalmente conhecido, daí que seja difícil avaliar os activos do sistema que necessitam de segurança;

 Torna-se extremamente dispendioso quando a complexidade é elevada dependendo sempre do método de DSI envolvido.

Para Tryfonas [2007] o facto de a maior parte dos métodos de DSIS serem meramente instrumentais não auxilia na melhoria do processo de DSIS em si. Como a maior parte dos métodos se encaixa na componente técnica das ferramentas, restringem os desenvolvedores nas práticas de desenvolvimento que estes preferem. Dado um projecto de DSI ser normalmente levado a cabo na aplicação do método a uma dada situação, dependendo a solução fortemente do contexto em que se encontra, isto torna difícil a adopção de métodos de DSIS específicos, mesmo que o sejam para aquele método de DSI aplicado naquele contexto.

Adicionalmente, uma vez que os métodos que visam a integração implicam explicitamente que seja o profissional de SSI a analisar e a implementar o sistema, leva a que quem não possua as competências necessárias de segurança (por exemplo, os desenvolvedores de DSI), se veja restringido na utilização desses métodos.

Um dos maiores problemas da integração, referenciado por Baskerville [1992, 1993] e por Siponen [2001, 2005], prende-se com os diferentes níveis de maturidade de cada um dos tipos de métodos de desenvolvimento. Esta maturidade traduz-se acima de tudo pelas gerações de métodos de cada um dos processos de desenvolvimento, que no caso dos DSIS se encontra mais na primeira e segunda gerações (métodos que pensam nas soluções existentes e depois as aplicam ao contexto do problema) enquanto os DSI se encontram na chamada era metodológica de Avison e Fitzgerald [2003], que se caracteriza pelo aplicar de métodos de DSI ao processo de desenvolvimento de SI, mas partindo dos requisitos informacionais da organização e construindo uma solução adaptada (utilizando o método) ao contexto em que é aplicado. Se atentarmos ao que já foi descrito em relação aos paradigmas filosóficos presentes actualmente nas comunidades de DSI e de DSIS (ver Tabela 4 – Evolução dos Paradigmas Filosóficos das Comunidades de DSI e de DSIS) verificamos que estes problemas podem estar na origem da diferença de ideais presente em ambas as equipas de desenvolvimento, que são conflituosos, levando a que cada uma das equipas (de DSI e de DSIS) trabalhe de forma isolada uma da outra [White e Dhillon 2005].

Outro problema, no campo mais técnico, prende-se com o suporte à modelação dos métodos de segurança. Tal como referido anteriormente por Carvalho [2008] (ver Figura 9 – As Duas Etapas da Fase de Percepção nas Actividades de Intervenção), na explicitação de uma das abordagens ao ciclo de vida dos métodos de DSI, as técnicas de modelação são importantes na fase de representação, pois dada a sua natureza sintáctica e semântica na utilização de conceitos mais complexos, levam à criação de modelos com menos elementos e, portanto, mais

simples. Portanto, se os métodos de DSIS tiverem bom suporte à modelação, antevê-se que esta via possa auxiliar na integração dos dois tipos de métodos. Siponen e Heikka [2007] analisaram o suporte à modelação nos métodos de DSIS segundo os três níveis do meta-modelo para os SI [Iivari 1989]: o nível organizacional (define o contexto organizacional e o contexto do sistema de informação), o nível conceptual (define uma especificação de implementação independente para o sistema de informação) e o nível técnico (que define a implementação técnica do sistema de informação). Num âmbito geral, os métodos de DSIS parecem cobrir os diferentes níveis de um sistema de informação, mas, individualmente, a maior parte deles falha na compreensão necessária que pode ser necessária no DSI [Siponen e Heikka 2007]. De todos os vinte e três métodos analisados por Siponen e Heikka [2007], apenas cinco métodos oferecem suporte aos três níveis organizacionais. Destes cinco métodos, dois deles (o Meta-Notation de Siponen et al. [2006] e o UMLsec de Jürgens [2002, 2005]) são evidenciados como sendo potencialmente aplicáveis ao processo de DSI (ver Tabela 9 – Aplicabilidade dos Métodos de DSIS aos Métodos de DSI,). Sendo o suporte a modelação uma das características mais importantes de um método de DSI na fase de representação, os métodos de DSIS devem prestar-lhe atenção, pois como mencionado, tal pode ajudar na integração dos dois tipos de métodos.

Julga-se que Baskerville [1992] terá sido o primeiro autor a denominar a problemática entre o DSI e o DSIS como “dualidade no desenvolvimento”, uma vez que se o desenvolvimento de SI e o desenvolvimento de SI seguros são efectuados em separado, isto abre um caminho perigoso, enraizado no desenvolvimento dos sistemas, introduzindo um conflito entre as características funcionais do sistema e a sua segurança. Este conflito nasce do facto de o DSIS e o DSI terem diferentes objectivos, sendo necessário restringir o comportamento do sistema a um nível de utilização que seja permitido, evitando as utilizações imprevistas do mesmo [Baskerville 1992; White e Dhillon 2005].

Ressalta, assim, que ambos os processos de desenvolvimento possuem objectivos e características diferentes. Tomando como exemplo uma aproximação convencional ao processo de DSIS, verifica-se que o seu objectivo tem sido o de introduzir e o de sobrepor as características de segurança num sistema de informação previamente desenvolvido, à funcionalidade original do sistema. O típico processo de DSIS requer que um sistema de informação seja examinado, avaliado e modificado para a segurança. O facto dos objectivos fundamentais deste processo de DSIS serem diferentes dos objectivos fundamentais do processo

de DSI (que se apoiam na funcionalidade do sistema), limita o comportamento do sistema, restringindo-o a utilizações específicas e autorizadas [Baskerville 1992].

Este é o argumento que sustenta o problema da dualidade no desenvolvimento, pois Baskerville [1992] afirma que ambos os processos pretendem atingir resultados diferentes, uma vez que têm prioridades e ênfases diferentes. No fundo trata-se de processos cujas características são diferentes quer na sua condução, quer nos resultados finais que cada um apresenta.

Baskerville [1992], ao apresentar este problema, afirma ainda que existem duas formas em que o desenvolvimento de segurança pode interferir com a funcionalidade do sistema: na restrição de funções vitais do sistema de informação e na prevenção da adaptação de um sistema de informação ao seu contexto de mudança e melhoria contínua. Relativamente à primeira interferência, a mesma prende-se com o facto de os desenvolvedores de segurança não reconhecerem as funções importantes de um sistema de informação e, ao restringirem o seu comportamento com vista à segurança do sistema, podem estar a impedir a operacionalidade adequada dessas funções essenciais. Na segunda interferência, compreende-se que o papel das características de segurança é limitar o comportamento de um dado sistema, significando isto que a flexibilidade necessária em ambientes imprevistos dos SI fica comprometida. Ou seja, é da natureza do próprio conceito de segurança limitar e prevenir a adaptação de um sistema a mudanças não esperadas [Baskerville 1992].

Como consequência directa deste problema, numa organização que opte por desenvolver métodos de DSI e de DSIS, os custos de manutenção relacionados com a funcionalidade e segurança do seu sistema de informaçãao tendem a aumentar com as sucessivas revisões de correcção de que vão ser alvo os processos de desenvolvimento após a sua aplicação [Baskerville 1992]. Este conflito pode também resultar num tempo de vida mais curto para o sistema, que pode não sobreviver a estas tensões entre os dois desenvolvimentos. Com base nestas tensões perspectivam-se três padrões dentro da organização com prioridades que se alteram consoante as suas necessidades: (1) a prioridade é a segurança, (2) a prioridade é a funcionalidade e (3) a tensão é resolvida e outros aspectos tornam-se dominantes [Baskerville 1992].

Baskerville [1992] fornece dois exemplos de casos práticos em que estas tensões existiram, tendo as conclusões principais de cada um desses casos sido agrupadas na Tabela 10.

Tabela 10 – Casos de Estudo das Tensões Relativas ao Problema da Dualidade no Desenvolvimento

Adaptado de Baskerville [1992]

Caso Consequências _{Tensões afectas ao Caso}3

Análise e desenvolvimento de um sistema militar para suporte às operações de comando e controlo da informação

O acesso aos dados era uma ocorrência rara, no entanto, a utilização em massa do sistema levou a que as autorizações de acesso se tornassem prática comum na organização. As

pessoas responsáveis pelas autorizações perdiam uma quantidade exponencial de tempo para darem as autorizações. A segurança no sistema restringia a adaptação

à mudança. Dado o problema, o tempo de vida do sistema terminou abruptamente, uma vez que chegada a hora de escolher entre a funcionalidade e a segurança, a segunda

prevaleceu.

(1) e (2), prevalecendo a (1), terminando o tempo de vida

do sistema.

Companhia de seguros automóveis

Decidiram considerar os riscos de efectuarem operações inseguras, dado que o custo de comprarem um sistema baseado em políticas de segurança foi considerado superior

ao custo de assumirem o risco. Houve um crescimento grande das vendas e dos custos também. Isto levou a uma

produção que sobrecarregou o sistema, que não tinha os controlos apropriados para validar os dados. Os controlos apropriados foram descartados uma vez que interferiam com a funcionalidade do sistema, mas isto só se manteve até que a capacidade de sobrevivência da organização aos riscos a

que se expos durasse o tempo suficiente para que os conseguissem implementar

(1) e (2), sendo que prevaleceu o (2) até que a organização encontrasse uma

forma de chegar ao (3)

No entanto, Baskerville [1992] também aponta uma possível solução para o problema da dualidade que passa pela integração de métodos de DSIS e de DSI que pertençam à mesma escola de pensamento filosófico e que tenham as mesmas características no processo de desenvolvimento. Se esses métodos forem capazes de perspectivar o mesmo objecto da mesma forma, talvez seja possível o seu entendimento.

3 Tal como descrito ao longo do texto, consideram-se as prioridades resultantes das tensões afectas ao caso: (1)

sistema em que a prioridade é a segurança, (2) sistema em que a prioridade é a funcionalidade e (3) a tensão entre as prioridades (1) e (2) é resolvida passando a haver outros aspectos dominantes.

Especificamente, no que diz respeito ao alinhamento das filosofias subjacentes aos dois tipos de métodos, White e Dhillon [2005] sugerem que ambos os métodos sejam utilizados num contexto de desenvolvimento que se aproxime do paradigma interpretativista. Isto significa que os métodos de DSI e de DSIS devem ter uma perspectiva sociotécnica por natureza, o que garante que principalmente nas fases de análise de um sistema, se consiga introduzir segurança desde o início, evitando, assim, grande parte da problemática que pode surgir de aplicar estes dois tipos de métodos em etapas separadas do ciclo de vida de um sistema de informação. Todavia, White e Dhillon [2005] afirmam que a maioria dos métodos de DSIS disponíveis não têm a filosofia sociotécnica presente, algo já realçado por Siponen [2001, 2004, 2005].

Siponen [2001, 2004, 2005] também refere esta problemática e é com base nela que tenta de certa forma avaliar a aplicabilidade dos métodos de DSI aos métodos de DSIS (embora essa avaliação seja realizada apenas sob o ponto de vista teórico). De uma forma resumida, Siponen [2004, 2005] esclarece todos os problemas que podem advir da dualidade no desenvolvimento para os SI, designadamente:

 Conflitos entre o funcionamento normal e o funcionamento seguro de um sistema de informação;

 Aumento de custos para a organização (no caso da segurança ser depois acrescentada a um sistema de informação);

 Resistência dos utilizadores;

 Problemas de SSI (dado que a segurança é mais difícil de integrar depois do sistema estar operacional e desenvolvido);

 Funcionamento deficiente do sistema de informação.

Em suma, o problema da dualidade no desenvolvimento de SI é um problema que pode colocar em causa a funcionalidade e a segurança de um sistema de informação, forçando a organização a optar e a dar prioridade a um dos padrões referenciados por Baskerville [1992], aquando do desenvolvimento do seu sistema de informação. Dado que os objectivos, o grau de maturidade, os resultados da aplicação dos métodos e as suposições filosóficas dos seus desenvolvedores são diferentes, este caminho perigoso da integração dos dois tipos de métodos pode levar a SI que tenham tempos de vida mais reduzidos ou que representem no médio ou longo prazo, perdas substanciais para as organizações.

2.6 Problema de Investigação

Tal como foi enunciado por Baskerville [1992], o problema da dualidade no desenvolvimento afecta seriamente a forma como o sistema de informação pode ou não acrescentar valor a uma organização. O problema ultrapassa as fronteiras da dificuldade na integração dos métodos, já que enuncia problemas que podem advir da restrição de funções vitais do sistema de informação e da prevenção da sua adaptação ao seu contexto de mudança e melhoria contínua de uma organização. Por isso, o problema sobre o qual se debruça este trabalho extravaza a simples integração de métodos, propondo-se que seja perspectivado como um problema de comensurabilidade. Trata-se, assim, de um problema de adaptação mútua dos processos de DSI e de DSIS, com vista a atingirem os seus objectivos e, acima de tudo, não se prejudicarem. Se tal for viável, então considerar-se--á que são comensuráveis, caso contrário serão incomensuráveis.

Como as análises efectuadas através de outros estudos acerca desta problemática parecem focar-se apenas na notação dos métodos de DSIS (mas sem nenhum quadro de análise formal ou relevante, confiando apenas na intuição do investigador que as leva a cabo), podem haver discrepâncias e incoerências que levem a que, por exemplo, uma notação diferente de um método de DSIS que possa estar a referir-se ao mesmo objecto do sistema (podendo, por isso, ser integrada com esse método) seja considera como não aplicável a um método de DSI. Neste cenário exemplificativo, compreende-se a importância da avaliação da comensurabilidade como algo que deve ser verificado no decorrer dos processos de desenvolvimento dos dois tipos de métodos.

Pretende-se examinar a comensurabilidade entre os processos de DSI e de DSIS, algo que irá ser alcançado através da avaliação da comensurabilidade de um subconjunto que se crê representativo dos dois tipos de métodos. Uma vez que os métodos são sistematizações que instanciam os processos de desenvolvimento, entende-se que através da avaliação da sua comensurabilidade se conseguirá avaliar a comensurabilidade dos próprios processos. No fundo, os métodos dão forma aos processos, pois veiculam aplicações práticas dos mesmos.

Para que seja possível a avaliação dos métodos de DSI e de DSIS foi, em primeira instância, seleccionado um subconjunto de métodos representativo. O conjunto representacional de cada um dos tipos de métodos foi ser seleccionado numa tentativa de não colocar entraves à eventual comensurabilidade dos processos de DSI e de DSIS. Assim, essa selecção teve em

consideração as características, fundamentos filosóficos e abordagens de desenvolvimento que possam ser eventualmente comensuráveis do ponto de vista teórico, evitando-se, assim, inviabilizar à partida quaisquer possibilidades de comensurabilidade entre os dois processos.

A comensurabilidade no âmbito dos SI, tal como referido anteriormente, relaciona-se sobretudo com a forma como duas teorias não se prejudiquem num contexto de mútua exclusividade. Trata-se de perceber, no contexto do problema da dualidade no desenvolvimento, se na execução do processo de DSI e do processo de DSIS, ambos os métodos atingem os seus objectivos, sem que no atingir dos objectivos de um desses métodos se prejudiquem ou se abdiquem de objectivos do outro método, independentemente da mudança organizacional que se lhe associe no decorrer de um processo de desenvolvimento.

Desta forma e, através do que já foi enunciado na secção respeitante ao conceito de comensurabilidade (cf. 2.2.2 Avaliação da Comensurabilidade entre Duas Teorias Distintas), foram definidos como factores de avaliação da comensurabilidade dos métodos de ambos os processos de desenvolvimento, diversos critérios, com distintas naturezas, mas que no seu conjunto se acredita cobrirem o exame da comensurabilidade nas suas variadas vertentes. Se atentarmos nos processos de DSI e de DSIS, advoga-se desta forma que, dado um subconjunto de métodos representativos dos processos de DSI e de DSIS, estes serão comensuráveis se e só se:

A. A notação utilizada pelos dois tipos de métodos for congruente em termos de significado e intenção (avaliação da significação e das crenças subjacentes aos métodos) – Critério da Notação;

B. Os objectivos enunciados por um dos dois tipos de métodos (instanciador do processo de DSI ou do processo de DSIS) for compaginável com os objectivos apontados por o outro tipo de métodos (instanciador do processo de DSIS ou do processo de DSI, respectivamente) (verificação do problema da dualidade no desenvolvimento, do ponto de vista dos objectivos a que os métodos se propõem cumprir) – Critério da Finalidade;

C. No decurso da aplicação dos dois tipos de métodos for possível estabelecerem- se pontes de comunicação entre os desenvolvedores do processo de DSI e os desenvolvedores do processo de DSIS, que permitam modelar o sistema de

informação de acordo com os objectivos a atingir por cada um dos dois tipos de métodos – Critério da Comunicação;

D. O sistema de informação modelado pela aplicação desses dois tipos de métodos evidenciar características tradutoras da satisfação dos objectivos quer do processo de DSI quer do processo de DSIS – Critério do Produto;

E. Na eventual introdução de mudanças nos modelos resultantes da aplicação desses dois tipos de métodos, os desenvolvedores que actuarem num dado processo (DSI ou DSIS) forem capazes de não colocarem em causa os objectivos do outro processo (DSIS ou DSI, respectivamente) – Critério da Transformação.

Assim, o problema de investigação deste estudo prende-se com a avaliação do grau de comensurabilidade de um subconjunto representativo de métodos de DSI e de métodos de DSIS, pressupondo-se como resultado final um dos seguintes graus de comensurabilidade:

1. Comensurabilidade total dos métodos (caso a avaliação dos métodos segundo os pontos A, B, C, D e E seja positiva);

2. Comensurabilidade parcial dos métodos (caso a avaliação dos métodos segundo os pontos A ou B ou C ou D ou E seja positiva, com pelo menos um dos pontos positivo);

3. Incomensurabilidade dos métodos (caso a avaliação dos métodos segundo os pontos A, B, C, D e E seja negativa).