A teoria da estruturação tem uma perspectiva balanceada em dois extremos: ação (agency) e estrutura. Ela tenta balancear os dois extremos por meio de forças sociais (sociedade) ou formas e aspectos individuais de nossa realidade social (GIDDENS, 1984 apud HUEBNER & BRITT, 2006).
Estruturação é a interação do agente (individualmente ou em grupo) com a estrutura. Esta interação é recursiva, com um influenciando o outro. Estruturação não é uma série de eventos distintos, mas ajuda a observar mudanças no decorrer do tempo. Estrutura são as regras, procedimentos, e normas que governam o comportamento.
Numa empresa uma estrutura óbvia é a sua própria estrutura organizacional. Isto é, a representação do relacionamento entre os empregados. Outro exemplo de estrutura é a política. Os funcionários primeiramente criam as políticas organizacionais, que estabelecem quais são os comportamentos esperados das pessoas. Outra estrutura é a cultura organizacional. Cultura, em termos da teoria da estruturação, emerge através de uma série de interações complexas entre empregados e outras estruturas.
Na teoria da estruturação, três grandes estruturas emergem em um contexto social específico. São elas: estruturas de significação, dominação e legitimação.
Na FIG.2 é mostrado o relacionamento dessas três estruturas. A estrutura da significação produz entendimento compartilhado entre as pessoas em um dado contexto - comunicação. A estrutura da dominação refere-se à produção e uso do poder (força), que tem origem no controle de recursos. E, finalmente, estrutura da legitimação refere-se aos diretos, obrigações, normas e regras que orientam a conduta das pessoas, e também às sanções aplicáveis quando do não cumprimento das normais, ou seja, quando ocorrem os chamados comportamentos indesejados (HUEBNER & BRITT, 2006).
FIGURA 2 - Dimensão da dualidade da estrutura
Fonte: Giddens (2003, p. 23). A constituição da sociedade.
2.6.1. Relacionando Segurança com Estruturação
Sob a perspectiva da segurança, comportamentos indesejados incluem compartilhamento de senhas, revelação de informações restritas, e compartilhamento de segredos de negócio com estranhos.
Na concepção de GIDDENS (1984), a relação tempo e espaço com a ação humana simboliza a dinâmica da vida social. Segundo palavras do referido autor “é na conduta cotidiana das pessoas que se moldam e se transformam as sociedades humanas” (ASENSI, 2006).
Analisar-se-á cada uma das estruturas da teoria de Giddens sob o ponto de vista da segurança da informação (HUEBNER & BRITT, 2006):
Estruturas de significação
Estrutura de significação refere-se a entendimentos compartilhados dentro de um grupo. Também pode ser chamada de cultura organizacional. Em termos de segurança significa que todos os empregados devem ter um amplo e compartilhado entendimento sobre as práticas de segurança.
Um problema bastante comum nas organizações é que os funcionários não têm um entendimento geral das questões relativas à segurança. Isto acontece simplesmente porque eles não receberam nenhum treinamento no assunto.
Programas de treinamento e conscientização (vide Seção 2.9 – Programa de treinamento e conscientização) devem fazer parte obrigatória do plano de segurança. O que pode acontecer quando os empregados não têm um treinamento adequado em segurança? O fato em si já demonstra a existência de uma vulnerabilidade, por meio da qual os empregados podem ter comportamentos indesejados, como por exemplo, fornecer informações por telefone sem verificar a identidade do solicitante. Os empregados devem estar cientes que este tipo de comportamento compromete a segurança da empresa. Estruturas de dominação
Estruturas de dominação são os mais diversos recursos que os funcionários se utilizam para exercer poder (força). Portanto, recomenda-se que os gerentes e o pessoal de segurança utilizem a estrutura de dominação para controlar o acesso aos recursos de informação. O controle de acesso pode ser físico ou lógico, ou ainda uma combinação de ambos.
Usando o poder que lhe foi conferido, por meio de instrumento administrativo legal e com o comprometimento da alta direção, o departamento de segurança (Security Office) pode exigir mudança de comportamento dos empregados.
Deve-se observar as constantes mudanças que ocorrem nas estruturas e como a segurança é afetada por elas. É através da interação que ocorre entre os agentes humanos, que novos sistemas de informação são criados. Estes novos sistemas de informação são vistos como estruturas adicionais dentro da organização. Desta maneira, conclui-se que sistemas afetam o comportamento das pessoas. Em um contexto organizacional, sistemas de informação tanto habilitam como reprimem comportamentos das pessoas.
Estruturas de legitimação
Estruturas de legitimação são direitos, normas e regras que guiam comportamentos. São códigos de conduta, os quais se espera que sejam seguidos pelos funcionários.
Cada organização estabelece determinadas expectativas de seus funcionários definindo padrões e políticas que devem ser seguidas. Estas por sua vez, podem constranger ou habilitar determinados comportamentos por parte dos funcionários.
Em termos de segurança todos devem respeitar as regras, normas e obrigações para que a organização torna-se mais segura. A melhoria da segurança requer esforço não só do pessoal técnico da área de segurança, mas também que todos na companhia sigam as medidas de comportamentos estabelecidas.
Teoria da estruturação pode ser usada para ajudar na análise de mudanças que ocorram após a implantação de uma nova política ou após a realização de um treinamento de conscientização em segurança.
Adicionalmente pode-se considerar o surgimento de novas estruturas a partir de mudanças em estruturas ou agentes existentes. A simples contratação de um novo colaborador pode alterar uma estrutura pré-existente o suficiente para que possa ser observada. Aqui vale a máxima: se X mudou e Y mudou, por que Z não poderia mudar?
Os gerentes e as lideranças poderiam considerar as seguintes questões:
1. Existe na organização algum setor que cuida dos fatores de risco relativo ao comportamento humano, tais como o setor de RH ou gestão de risco?
2. A administração tem um plano para lidar com as questões humanas e os fatores de risco associados, tal como programa de treinamento?