A informação se tornou vital para as empresas

O conceito, a noção que se tem da informação é bem vago e intuitivo. Quando se faz uma pergunta, a pessoa está pedindo uma informação. Quando assiste televisão ou um filme, as pessoas estão absorvendo informação. Ao ler um jornal, uma revista em quadrinhos, ou ao ouvir uma música, percebe-se que se está lidando com algum tipo de informação. Até quando se conta uma piada transmite-se informação. Dessa forma, os seres humanos usam, absorvem, assimilam, manipulam, transformam, produzem e transmitem informação durante o tempo todo. Entretanto, não se tem uma definição precisa do que é informação. Não se tem uma definição que diga o que é e o que não é informação. Sabe-se intuitivamente o que é informação, mas não se consegue descrever, em palavras, o que é informação.

Os dicionários definem informação como o ato de informar. sob essa visão, a informação é vista como algo advindo de uma ação, advindo do verbo informar. Entretanto, não é feita uma descrição desse algo que advém do ato de informar; não se faz um descrição das características desse objeto, desse algo, sobre o qual a ação de informar age. Todas as definiçòes de informação acabam criando referências circulares; isto é, a definição de informação é baseada em conceitos que por sua vez são baseados no conceito de informação. Informação: 1 Ação ou resultado de informar(-se). 2 Conjunto de dados sobre algo ou alguém. 3 Relato de acontecimentos ou fatos, transmitido ou recebido. 4 Dados ou notícias tornados públicos através dos meios de comunicação. 5 Explicação dada para uma determinada finalidade. 6 Inf. Conjunto de dados implantados em um computador que serão processados e gerarão respostas aplicáveis a determinado projeto. 7 P.ext. Inf. O resultado desse processamento de dados. 8 Adm. Opinião dada em processo no âmbito das repartições públicas. 9 Fil. Na teoria hilemórfica, ação pela qual a forma dá ser ou informa a matéria.

Mas, então, o que é a informação? Pode-se dizer que a informação é um conceito primitivo, Entretanto, a realidade que está se delineando têm exigido uma definição precisa do que é a informação, já que se está entrando na era da sociedade da informação. A importância da informação está se tornando um elo vital para a sobrevivência das empresas e não há muitos estudos sobre a informação em si mesma, pois os conceitos são vagos do que ela é. O valor do livro é dado pela informação que ele contém, não pelo papel de que é feito. Se um livro é digitalizado e distribuído por alguém na internet, a informação do livro se torna gratuita. Isso é um problema, pois o autor do livro, que vive de escrever livros, não está sendo recompensado pelo seu trabalho e poderá ficar desestimulado para produzir mais obras.

Então, deve-se criar uma legislação sobre os direitos autorais sobre informação, não sobre livros, filmes, software e músicas. Surge um problema. Como legislar sobre um objeto, a informação, o qual não se consegue definir? Se as definições são vagas sobre o que é a informação, haverá espaço para diversas interpretações da legislação dos direitos autorais da informação; valerá qualquer coisa e a legislação não servirá para nada. Sendo assim, tentar definir o que é a informação é de fundamental importância.

Quanto à Tecnologia da Informação (TI), está conduzindo o mundo atual às inovações, aumentando a riqueza e atraindo novos investimentos. Em simultâneo, permite um aumento da eficiência e a redução dos preços bem como melhorar os serviços ao cliente, a qualidade e a variedade dos produtos. A TI é uma ferramenta essencial na criação de sistemas de informação integrados e coordenados. Assim, a a gestão da informação é uma função que conjuga a gestão do sistema de informação e do sistema informático de suporte com a concepção dinâmica da organização num determinado contexto envolvente.

E hoje, mais do que nunca, os gestores têm que estar sensibilizados para o fato de envolver a TI no seu planejamento estratégico, que é um fator chave da criação de valor e das vantagens competitivas para a empresa. Se, por um lado, ajudam a detectar novas oportunidades e criar vantagens competitivas, por outro lado, ajudam a defendê-la de ameaças provenientes da concorrência. É neste âmbito que a TI deve ser considerado no processo de formulação estratégica do negócio e sempre na perspectiva de poder dar uma contribuição positiva para uma melhor estratégia.

A introdução da TI em uma organização irá provocar um conjunto de alterações, nomeadamente ao nível das relações da organização com o meio envolvente (analisado em termos de eficácia) e ao nível de impactos internos na organização (analisados através da eficiência). Ela é um recurso valioso e provoca repercussões em todos os níveis da estrutura organizacional: ao nível estratégico, quando uma ação é susceptível de aumentar a coerência entre a organização e o meio envolvente, que por sua vez se traduz num aumento de eficácia em termos de cumprimento da missão organizacional; aos níveis operacional e administrativo, quando existem efeitos endógenos, traduzidos em aumento da eficiência organizacional em termos de opções estratégicas. No entanto, ao ser feita esta distinção, não significa que ela seja estanque, independente, pois existem impactos simultâneos nos vários níveis: estratégico, operacional e tático.

A NBR 16167 de 04/2013 – Segurança da Informação – Diretrizes para classificação, rotulação e tratamento da informação estabelece as diretrizes básicas para classificação, rotulação e tratamento das informaçõesde acordo com sua sensibilidade e criticidade para a organização, visando o estabelecimento de níveis adequados de proteção. A norma define informação como umn ativo essencial para os negócios de uma organização e que consequentemente necessita ser adequadamente protegido. Conjunto de dados relacionados entre si que levam à compreensão de algo e que trazem determinado conhecimento, podendo estar na forma escrita, verbal ou imagítica, e em meio digital ou físico.

As pessoas somente devem possuir acesso às informações que sejam necessárias, direta ou indiretamente, ao desenvolvimento de suas atividades de trabalho e demais responsabilidades associadas. Como diretrizes gerais, a norma recomenda que as informações de propriedade da Organização ou de terceiros, utilizadas durante as atividades da organização, sejam classificadas de acordo com o nível de sensibilidade que representam para o negócio para indicar a necessidade, prioridade e o nível esperado de proteção quando de seu tratamento pelos colaboradores. Convém que o papel de “proprietário da informação” seja definido e que este seja responsável por sua classificação e definição do grupo de acesso.

O proprietário da informação pode delegar esta atividade para os responsáveis pelos processos que geram as informações, porém a responsabilidade continua sendo do proprietário. No caso de dúvidas sobre a classificação de determinada informação, recomenda-se recorrer ao proprietário da informação. Convém que os proprietários das informações cuidem para que todas as informações sob sua responsabilidade sejam classificadas e rotuladas.

Convém que o papel de Agentes de Mudança/Transformação seja definido nas áreas da organização, visando facilitar a implantação da cultura de classificação da informação, o acompanhamento das ações realizadas e o suporte às dúvidas dos usuários da informação. Convém que seja atribuída a todos os colaboradores a responsabilidade por tratar as informações de acordo com sua classificação e com as diretrizes de tratamento estabelecidas pela organização. Convém que seja desenvolvido um processo amplo de conscientização, treinamento e educação, visando disseminar a cultura de classificação e tratamento da informação.

Convém que seja implantado um processo de auditoria, monitoramento e medição para verificação da aderência do processo de classificação e tratamento da informação e obtenção de sugestões de melhoria. Convém que, no processo de classificação, seja considerado o valor da informação, os requisitos legais, a sensibilidade, a criticidade, o prazo de validade (ou vida útil), a necessidade de compartilhamento e restrição, a análise de riscos e os impactos para o negócio. Convém que os proprietários das informações realizem sua classificação de acordo com os critérios definidos nessa norma e considerem: o momento em que a informação é gerada ou inserida nos processos da organização; o momento em que é identificada uma informação que ainda não foi classificada.

Convém que o processo de classificação de uma determinada informação contemple a análise crítica periódica a intervalos regulares, visando assegurar que o nível de classificação e proteção está adequado, pois podem ocorrer alterações na classificação durante o ciclo de vida da informação. Neste contexto, pode ocorrer a reclassificação da informação quando: for identificada uma informação incorretamente classificada; ocorrer mudanças no contexto de sensibilidade das informações durante seu ciclo de vida; atender aos requisitos legais ou mudanças em processos internos da Organização; vencer o prazo de temporalidade da classificação de uma determinada informação ou classe de informação; vencer o prazo de manutenção da informação nos processos da Organização (fim do ciclo de vida da informação).

Todos os usuários precisam comunicar ao proprietário da informação a inexistência ou inconsistência na classificação da informação; entretanto, a responsabilidade por definir ou rever a classificação é do proprietário da informação. Convém que informações de origem externa que participam dos processos da organização, como relatórios de terceiros, informações e documentos de clientes e fornecedores, correspondências etc., sejam tratadas de acordo com o nível de criticidade e sensibilidade definido pelo responsável externo. Convém que seja considerado o estabelecimento de acordo com terceiros para a correta identificação da classificação e tratamento entre as organizações, visando o compartilhamento seguro das informações. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados. (NBR ISO IEC 27002:2005 -7.2.1). Informações de origem externa são aquelas que não são de propriedade da organização.

Convém que a organização considere a criação de classes de informação para simplificar a tarefa de classificação. Convém que o processo de classificação da informação seja considerado para definição dos requisitos de segurança da informação dos ambientes físicos que armazenam informações sensíveis. Deve ser considerada pela Organização a instalação de controles apropriados, como por exemplo, a instalação de sistemas adequados e controle de acesso, monitoração por CFTV, etc. Convém que a organização considere a viabilidade de utilização de um sistema informatizado para apoiar o processo de classificação, rotulação e tratamento da informação.

De acordo com a NBR ISO IEC 27002:2005, item 7.2.1, convém se que evite a criação de esquemas de classificação muito complexos utilizando diversos níveis, pois isto pode engessar o processo e, consequentemente, o fluxo de informação. Em contrapartida, poucos níveis podem gerar uma falsa sensação de segurança, devido ao relaxamento na classificação ou mesmo à perda de recursos por tratamento além do necessário. Uma referência básica para o estabelecimento dos níveis de classificação pode ser vista na Tabela abaixo.

informação

O tratamento da informação é o objetivo final do processo. É por meio do tratamento adequado das informações que iremos prover os controles e a proteção adequada, visando garantir sua confidencialidade, integridade e disponibilidade. Para viabilizar este processo, convém que sejam identificados os cenários que ocorrem no dia a dia das organizações no que tange ao fluxo de informações e, para cada cenário, sejam estabelecidas as diretrizes básicas de tratamento em função do nível de classificação da informação. Os cenários podem envolver: produção, recepção, utilização, acesso, reprodução, transporte, transmissão, distribuição, destinação, arquivamento, armazenamento e eliminação da informação. Estes cenários e respectivas diretrizes formam o senso comum para o tratamento das informações, de modo que, independentemente de pessoas e áreas, o tratamento seja o mesmo para as diversas situações.

perigoso_multa

A ausência de segurança nos produtos

Daniel Mendes Santana, do Instituto de Defesa do Consumidor (Idec)

O Código de Defesa do Consumidor dispõe em seu artigo 8º que “os produtos e serviços colocados no mercado de consumo não acarretarão riscos à saúde ou segurança dos consumidores, exceto os considerados normais e previsíveis em decorrência de sua natureza e fruição, obrigando-se os fornecedores, em qualquer hipótese, a dar as informações necessárias e adequadas a seu respeito”. Entretanto, verifica-se que frequentemente os consumidores têm sofrido com o descaso apresentado por algumas empresas no que diz respeito à segurança do produto colocado no mercado.

Em março de 2013, a Unilever anunciou recall de um lote do suco de maçã Ades deviso à contaminação com produtos de limpeza. Diante disso, a Agência Nacional de Vigilância Sanitária  determinou a suspensão da fabricação, distribuição, comercialização e consumo, em todo o território nacional, de todos os lotes de vários produtos da marca Ades fabricados na linha de produção identificada pelo código TBA3G.

Mais recentemente, o MP-RS (Ministério Público do Rio Grande do Sul) realizou uma operação contra a adulteração de leite no estado. De acordo com a investigação, para aumentar o lucro, os fraudadores misturavam água e ureia ao leite. A investigação foi iniciada após denúncia feita ao Ministério da Agricultura, Pecuária e Abastecimento no Rio Grande do Sul (SFA-RS).

Estes casos evidenciam um enorme descaso no que diz respeito à segurança dos produtos ofertados ao consumidor. O Código de Defesa do Consumidor estabelece que o fornecedor de serviços  responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos decorrentes de fabricação, fórmulas, manipulação, apresentação ou acondicionamento de seus produtos.

Esclarece ainda que o produto é defeituoso quando não oferece a segurança que dele legitimamente se espera, levando-se em consideração as circunstâncias relevantes entre as quais: sua apresentação; o uso e os riscos que razoavelmente dele se esperam; a época em que foi colocado em circulação. Sendo assim, com base no Código Consumerista, cabe ao consumidor lesado ingressar com uma ação judicial para obter a reparação dos danos causados pelo produto defeituoso.

NORMAS COMENTADAS

NBR 14039 – COMENTADA
de 05/2005

Instalações elétricas de média tensão de 1,0 kV a 36,2 kV. Possui 140 páginas de comentários…

Nr. de Páginas: 87

Clique para visualizar a norma imediatamenteVisualizar já!

NBR 5410 – COMENTADA
de 09/2004

Instalações elétricas de baixa tensão – Versão comentada.

Nr. de Páginas: 209

Clique para visualizar a norma imediatamenteVisualizar já!

NBR ISO 9001 – COMENTADA
de 11/2008

Sistemas de gestão da qualidade – Requisitos. Versão comentada.

Nr. de Páginas: 28

Clique para visualizar a norma imediatamenteVisualizar já!