sexta-feira, 4 de setembro de 2009

SISTEMAS COMPLEXOS - Desenvolvimento de um Modelo Sistêmico da Gestão da Segurança da Informação em uma Organização

Exercício 2.1: Segundo o texto da Leitura 03 – O que vem a Ser Sistêmico, o pensamento sistêmico leva a uma modificação na forma de pensar das pessoas, onde há várias mudanças de ênfase relativamente ao pensamento mecanicista. Algumas dessas mudanças de ênfase são as seguintes:
1. das Partes para o Todo
2. de Objetos para Relacionamentos
3. de Hierarquias para Redes
4. de Causalidade linear para Circularidade
5. de Estrutura para Processo
6. de Metáfora Mecânica para Metáfora do Organismo Vivo e Outras Não-Mecânicas
7. de Conhecimento Objetivo para Conhecimento Contextual e Epistêmico
8. da Verdade para Descrições Aproximadas
9. de Quantidade para Qualidade
10. de Controle para Cooperação, Influenciação e Ação Não-violenta
Tendo em vista o contexto da gestão de segurança da informação em sua organização, descreva, para cinco das mudanças de ênfase acima descritas, situações nas quais a ênfase da gestão da segurança ora adota uma visão mecanicista, ora adota uma visão sistêmica.

Resposta:

Cenário 1. Das Partes para o Todo. Da norma isolada para uma Política da Organização.
Na visão mecanicista ou atomista se privilegiava o estudo das partes, acreditando-se que se poderia diminuir a complexidade do todo o tornando, portanto mais simples e mais fácil para ser entendido.
Na visão de Descartes para se entender um problema deveria se partir para a decomposição do mesmo, é o caso da análise das partes que compõem o todo.
No entanto com a visão sistêmica entende-se que é impossível compreender-se o todo se analisando as partes separadamente.
É por esse motivo que não se pode mais entender a segurança de uma organização de forma parcial e segmentada, tornando-se necessário que se trace uma política para toda a organização É, portanto essa a visão da Presidência da República, quando, a casa Civil emitiu a Portaria nº. 310, DE 2 DE JULHO DE 2009, que institui a Política de Segurança da Tecnologia da Informação da Presidência da República, da qual são parte integrante as normas e procedimentos complementares e afins editados pelos órgãos ou entidades integrantes da Presidência da República.

Cenário 2. De Objetos para Relacionamentos
Analogamente ao discutido na mudança de ênfase de partes para o todo, o “pensamento por objetos” está pouco atento aos relacionamentos entre os objetos. Como são os relacionamentos que promovem a dinâmica, o “pensamento por objetos” não considera a codificação das atividades, de operações e, em última instância, do processo que ocorre a partir dos relacionamentos.
Uma vez reconhecida a importância dos relacionamentos para o entendimento do todo, faz mais sentido buscar um entendimento da realidade não através de coleções de objetos, mas através de redes de relacionamentos incorporadas em redes maiores.
Aquilo que é denominado objeto, ou parte de objeto é apenas um padrão abstrato arbitrado dentro de uma teia inseparável de relações. Em última análise, não há objetos ou partes em absoluto, mas padrões de relacionamentos mais ou menos estáveis. Este padrão de organização, o que denominamos sistema, está em permanente co-evolução através de interações.
Como podemos dar um exemplo dessa visão sistêmica em um trabalho de segurança? Nós do Banco Central somos encarregados de acompanhar determinada carga de dinheiro que sai da Casa da Moeda do Brasil e é levada para o Banco do Brasil em algumas cidades do Brasil. É feito para isso todo um trabalho de logística, desde o contato com as Forças Armadas que garantirão a segurança da carga, a malha aérea, responsável pelo transporte do dinheiro, a contratação de transportadoras especializadas no transporte de valores, por via terrestre, além de obtermos todo um mapeamento da área e da cidade por onde transitará a carga que estaremos acompanhando até o seu destino final. Precisamos, portanto, além do objeto, determos o nosso olhar sobre o relacinamento que acontecerá durante todo o processo.

Cenário 3. De Hierarquia para Redes
Até pouco tempo, digamos melhor, até o final dos anos 90, o organograma, quadro que demonstra as partes hierarquicamente ordenadas que compõem uma organização social, quer seja pública ou privada, reinava absoluto. Acreditava-se que se poderia mexer em uma das “caixinhas” sem que isso afetasse o todo. Mesmo os adminitradores tendo conhecimento da Visão Sistêmica, a partir dos estudos do biólogo alemão Ludwig von Bertalanffy, que elaborou uma teoria interdisciplinar, capaz de transcender os problemas específicos de cada ciência, não era essa a realidade no dia a dia das empresas ou organizações públicas. Foi necessário o choque da Reengenharia de Michael Hammer, para fazer o administrador enxergar que não há como seccionar um organismo vivo e tratar apenas uma parte do mesmo. Hoje se entende que qualquer mudança efetuada em uma área da empresa ou órgão da APF repercutirá nela como um todo. Portanto para se escrever uma norma de segurança tem que ser pensada a organização e não apenas um setor ou departamento.

Cenário 5. De Estrutura para o Processo
Continuando a falar sobre a mudança causada após o surgimento da Reengenharia o que podemos ver é que antes as estruturas, representadas graficamente pelos organogramas eram o mais importante das organizações. E se você quisesse conhecer uma organização pública ou privada o que lhe era apresentado em primeiro lugar era o organograma, representativo das estruturas. Se quisesse fazer uma modernização fazia-se a reestruturação da organização. Com o pensamento do Michael Hammer começou-se a pensar sobre os processos e olhar a organização não mais como uma série de caixinhas hierarquisadas responsáveis cada uma delas por uma série de funções, mas quais os processos desenvolviam-se naquele ambiente. Quais as entradas, os insumos ou inputs, quais as transformações ocorriam dentro da organização e quais as saídas ou produtos que ela liberava para o meio ambiente.

8. Da Verdade para Descrições Aproximadas
Não estou querendo que nós nos filiamos ao pensamento do Raul Seixas quando diz: “Eu prefiro ser, essa metamorfose ambulante,do que ter a opinião formada sobre tudo.” Não é isso mas seria útil que pensassemos como Solange Senna que diz: “Estamos vivendo a era da incerteza, da teoria do caos, dos paradoxos, do saber compartilhado, da participação de todos com suas diferenças, não há uma verdade fechada, acabada, cartesiana, totêmica, somos ambivalentes. e a física comprova: a matéria (da qual somos feitos) é instável.”
A idéia é que há conhecimento aproximado em vez de querermos ter certezas absolutas e isso se manifesta em vários momentos quando tratamos de segurança. Qual é o colete ideal para o pessoal do Banco Central? O mesmo que é utilizado pelo pessoal de segurança do Presidente da República ou pelos integrantes da Receita Federal? Como saber? O que faz cada um destes contingentes de pessoal? Qual a sua atribuição? Eles precisam viajar com o Presidente? Seria mais interessante uma guarda ostensiva? As pessoas precisam ver que os seguranças estão de colete? O colete precisa ter a logomarca do Banco? Para que? Ou deve ficar por baixo do terno? É mais importante a flexibilidade ou a garantia da resistência a perfurações? Por arma de que calibre? Perfurações por projéteis ou por objeto cortante?
A postura sistêmica é a do reconhecimento de que todas as concepções e todas as teorias científicas são limitadas e aproximadas. O custo do produto tem a ver com os resultados esperados. Ou não? Na ciência sempre lidamos com descrições limitadas e aproximadas da realidade (modelos).


Exercício 2.2.

Conforme o texto da Leitura 05 – Perspectivas em Pensamento Sistêmico, Humberto Kasper afirma que a “aplicação do Pensamento Sistêmico à administração de empreendimentos e/ou organizações sociais envolve cinco formas de distinguir a complexidade:
1. Que mudanças devem ser introduzidas na organização de modo a melhorar o comportamento de um fator essencial para o desempenho da organização?
2. Quais mecanismos de controle devem ser instituídos para garantir o desempenho desejado?
3. Como manter a viabilidade de uma organização de modo a mantê-la adaptada ao seu ambiente?
4. Que estruturas são necessárias para continuamente incorporar mudanças na organização de modo que o seu acoplamento ao meio se ajuste a suas mudanças?
5. Quais são os distintos pontos de vista relevantes para decidir ações de melhoria acerca de uma situação-problema?”
Kasper destaca ainda que respostas a “essas questões são cruciais para a sobrevivência e a administração de organizações sociais, em especial no ambiente altamente competitivo e de mudanças dos empreendimentos empresariais”.
Tendo em vista a sua suposta convicção de que a segurança da informação também é um fator essencial para a sobrevivência das organizações sociais (empresas), demonstre, por argumentação, com suas próprias palavras, que o modelo do Sistema de Gestão da Segurança da Informação – SGSI proposto pelas Normas ABNT NBR ISSO/IEC 27001:2006 e aderente à 27002:2005, apresenta respostas parciais a todas as cinco questões acima formuladas.

Argumentações acerca da questão 1.
Conforme Humberto Kasper, “os estudos de Vigotski demonstram que o pensamento e a linguagem não são processos separados”. Sendo assim, a primeira mudança a ser introduzida na organização de modo a melhorar o comportamento de uma fator essencial, a saber, a segurança da informação seria a linguagem, ou seja a definição de um modelo de gestão. A norma ABNT NBR ISSO/IEC 27001:2006 apresenta um modelo para estabelecimento, implementação, operação, análise do desempenho, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). As organizações devem definir seu escopo em função de seus objetivos, necessidades, requisitos, tamanho e estrutura, devendo ainda ser melhorado periodicamente de forma contínua.

Argumentação acerca da questão 2.
De acordo com Kasper, “os elementos centrais da linguagem são as variáveis. Variáveis são partes ou elementos componentes de um sistema.” O SGSI é estabelecido para garantir a implementação de controles de segurança, visando proteger os ativos, baseados nas premissas da avaliação de riscos. Ou seja, acompanhamento e controle das variáveis que estarão sendo processadas no sistema, tais como ativos, riscos, produtos ou saídas do sistema. Portanto um dos componentes básicos do sistema é o “check” – verificar, controlar, que significa monitorar e analisar criticamente o SGSI. Isso só poderá ser feito com a introdução de uma métrica de desempenho, que deverá ser comparada ao que se determinou como ótimo ou satisfatório para o sistema.

Argumentação acerca da questão 3.
Pela teoria da cibernética podemos observar que os sistemas se sustentam através de relações circulares. É o que chamamos de feed-back. A norma ABNT NBR ISSO/IEC 27002:2005 que trata do Gerenciamento das operações e comunicações reforca a idéia da questão n. 3, pois o seu objetivo é “garantir a operação segura e correta dos recursos de processamento da informação.”

Argumentação acerca da questão 4.

A ABNT NBR 27002:2005 recomenda que seja utilizada a segregação de funções quando apropriado, para reduzir o risco de mau uso ou uso doloso dos sistemas. Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção. Convém que a possibilidade de existência de conluios seja considerada no projeto dos controles. Onde for dificil a segregação, convém que outros controles, como a monitoração das atividades, trilhas de auditoria e o acompanhamento gerencial, sejam considerados. É importante que a auditoria de segurança permaneça como uma atividade independente.

Argumentação acerca da questão 5.

Um dos objetivos da norma ABNT NBR 27001:2006 é a melhoria contínua baseada em medições específicas. A monitoração e a auditoria permanentes do sistema irão permitir a constante avaliação e conformidade com o objetivo de implementar melhorias no sistema de gestão. É o enlace reforçador, que para demonstrar foi citado o livro Pai Rico, Pai Pobre, onde os autores acreditam que o padrão de comportamento dos ricos é adquirir ativos que geram renda, a partir de uma renda inicial que se consolida.

Nenhum comentário: