A Socio-Technical approach to address the Information security: Using the 27001 Manager Artefact

Resumo. Em geral, a ótica cliente/fornecedor seguida pelas organizações, no que concerne à gestão da segurança da informação, assenta sobretudo na gestão de controles com base em normas tais como a ISO/IEC 27001:2015, resultando na produção de relatórios especialmente de análise técnica, em detrimento de uma abordagem sociotécnica. Isto conduz à perceção por parte do cliente da entrega de um produto em vez de um serviço. O produto em causa reduz-se a um conjunto de prescrições, por vezes não relacionadas, que se materializam numa visão descritiva e estática da gestão da segurança do cliente. Como resultado, o cliente dificilmente consegue utilizar o produto de forma continuada, acompanhando a dinâmica das alterações da sua organização, reconhecendo assim, valor na prestação efetuada pelo fornecedor. A utilização do paradigma Lógica Dominante do Serviço (LDS), no desenvolvimento de uma oferta de gestão segurança da informação, auxilia a mudança de foco dos recursos tangíveis para os recursos intangíveis. Os aspetos de tangibilidade, materializado num documento que descreve as vulnerabilidades do cliente e os vetores de ataque, são remetidos para um plano secundário, face à relevância dos aspetos intangíveis, tal como a interação que se estabelece entre os especialistas do cliente e fornecedor. Neste artigo propomos analisar sob a perspetiva de uma teoria sociotécnica, a Teoria da Atividade, o serviço fornecido por um artefacto designado por 27001 Manager, destinado ao auxiliar todo o ciclo de análise, desenvolvimento e manutenção de um sistema de gestão de segurança de informação (SGSI). A analise pretende observar a interação existentes entre cliente/fornecedor, assumindo que o serviço é intrinsecamente dinâmico e intersubjetivo, i.e. fruto de um ajuste entre o cliente e o fornecedor.