IEC TR 63164-2: a confiabilidade de dispositivos e sistemas de automação industrial

Esse relatório técnico (Technical Report – TR), editado em 2020 pela International Electrotechnical Commission (IEC), fornece a orientação sobre o cálculo de dados de confiabilidade de sistemas de automação que podem ser simplificados como estrutura em série, paralela ou mista com base em dados de confiabilidade de dispositivos únicos e / ou subsistemas, e na forma de apresentar os dados.

A IEC TR 63164-2: 2020 – Reliability of industrial automation devices and systems – Part 2: System reliability fornece a orientação sobre o cálculo de dados de confiabilidade de sistemas de automação que podem ser simplificados como estrutura em série, paralela ou mista com base em dados de confiabilidade de dispositivos únicos e / ou subsistemas, e na forma de apresentar os dados. Esse procedimento é direcionado apenas à confiabilidade dos sistemas de automação, mas não aos sistemas que incorporam sistemas de automação, por exemplo, planta de processo.

A confiabilidade está incluída na segurança do equipamento e este documento se concentra principalmente nas falhas de hardware aleatórias que afetam a confiabilidade. Confiabilidade é usada como um termo coletivo para as características de qualidade relacionadas ao tempo de um item e inclui, adicionalmente, disponibilidade, recuperabilidade, capacidade de manutenção, desempenho de suporte de manutenção e, em alguns casos, outras características como durabilidade, proteção e segurança, que não são no âmbito deste relatório técnico.

Conteúdo da norma

PREFÁCIO………………….. 3

INTRODUÇÃO……………… 5

1 Escopo …………………… 6

2 Referências normativas…… 6

3 Termos, definições e termos abreviados ……6

3.1 Termos e definições……………………. 6

3.2 Termos abreviados…………………….. 9

4 Confiabilidade do sistema………… 9

5 Cálculo da confiabilidade do sistema…………………… 9

5.1 Geral…………….. 9

5.2 Forma para apresentar dados de confiabilidade……….. 10

5.3 Estruturas e cálculos…………………………… 10

5.3.1 Fórmulas básicas…………………………. 10

5.3.2 Estruturas em série……………………… 11

5.3.3 Estruturas paralelas…………………….. 12

5.3.4 Estruturas mistas………………………….. 13

5.3.5 Resumo…………………………….. ……. 14

Anexo A (informativo) Exemplos de sistemas de automação típicos…………………….15

A.1 Geral……………. …………….. 15

A.2 Exemplo para estrutura em série do sistema de automação de processo…………………… 15

A.3 Exemplo para estrutura mista de subsistema de automação de processo…………………… 16

Anexo B (informativo) Métodos para melhorar a confiabilidade do sistema……………….. … 18

B.1 Geral …………. …………….. 18

B.2 Métodos para reduzir a falha sistemática…………………. 18

B.2.1 Geral…………………………. ……… 18

B.2.2 Medidas para evitar falha sistemática…………… 18

B.2.3 Medidas para controlar a falha sistemática………. 18

B.3 Método de redução de falha aleatória de hardware……. 19

B.3.1 Projeto tolerante a falhas………………………………. 19

B.3.2 Projeto de prevenção de erros…………………….. 19

B.3.3 Projeto de desclassificação do sistema…………………. 19

Bibliografia…………….. ………………….. 21

Figura 1 – Diagrama de blocos de confiabilidade em série…………………………. 11

Figura 2 – Diagrama de blocos de confiabilidade paralela……………………… 12

Figura 3 – Diagrama de blocos de confiabilidade em série paralela geral (redundância)…………………. 13

Figura 4 – Reduzir a estrutura mista………………….. 13

Figura A.1 – Um sistema de automação de processo típico (fundição de alumínio) ……………….. 15

Figura A.2 – Diagrama de blocos para sistema de automação de fundição de alumínio……………………… 16

Figura A.3 – Processo de sedimentação e lavagem para sistema de automação da fundição de alumínio ………. 16

Figura A.4 – Diagrama de blocos para o processo de assentamento e lavagem………………………. ………. 17

No contexto da manufatura inteligente, novos modos de produção, como customização em massa com base em fábricas interconectadas, requerem interconexão em tempo real, comutação frequente e integração em diferentes níveis. Portanto, a confiabilidade é um requisito importante para os sistemas de automação nas fábricas. Dados de confiabilidade de sistemas de automação são a base para o planejamento de manutenção, por exemplo manutenção de estoque de peças de reposição de uma linha de produção.

Um sistema de automação geralmente consiste em vários dispositivos ou máquinas diferentes que são usados em série, em paralelo ou mistos. Este relatório técnico fornece orientação para o integrador de sistema sobre como avaliar a confiabilidade de tais sistemas inteiros. Este relatório é a segunda parte da série. Esta parte se concentra no cálculo das taxas de falha ou valores de confiabilidade para sistemas com base em taxas de falha ou valores de confiabilidade de dispositivos individuais, dependendo da estrutura do sistema.

Isso é necessário para que os integradores de sistema ou projetistas possam calcular a confiabilidade de um sistema inteiro a partir dos valores de confiabilidade de dispositivos individuais (consulte IEC TS 63164-1). As partes da série IEC 63164 são: Parte 1: Garantia de dados de confiabilidade de dispositivos de automação e especificação de sua fonte; Parte 2: Confiabilidade do sistema. As partes futuras poderão incluir os seguintes assuntos: coleta de dados de confiabilidade para dispositivos de automação em campo; e um guia do usuário.

BS EN IEC 62984-2: as baterias secundárias para alta temperatura

Essa norma europeia, editada em 2020 pelo BSI, especifica os requisitos de segurança e os procedimentos de ensaio para as baterias para altas temperaturas para uso móvel e/ou estacionário e cuja tensão nominal não exceda 1.500 V. Este documento não inclui as baterias de aeronaves cobertas pela IEC 60952 (todas as partes) e baterias para propulsão de veículos elétricos rodoviários, cobertas pela IEC 61982 (todas as partes).

A BS EN IEC 62984-2:2020 – High-temperature secondary batteries. Safety requirements and tests especifica os requisitos de segurança e os procedimentos de ensaio para as baterias para altas temperaturas para uso móvel e/ou estacionário e cuja tensão nominal não exceda 1.500 V. Este documento não inclui as baterias de aeronaves cobertas pela IEC 60952 (todas as partes) e baterias para propulsão de veículos elétricos rodoviários, cobertas pela IEC 61982 (todas as partes). As baterias de alta temperatura são sistemas eletroquímicos cuja temperatura operacional interna mínima das células está acima de 100 °C.

CONTEÚDO DA NORMA

PREFÁCIO…………………… 4

1 Escopo……………………… 6

2 Referências normativas………… ….. 6

3 Termos, definições, símbolos e termos abreviados………… 7

3.1 Construção da bateria……………………………………. 7

3.2 Funcionalidade da bateria………………………….. 10

3.3 Símbolos e termos abreviados…………………….. 12

4 Condições ambientais (de serviço)…………………………… 13

4.1 Geral………………………. …………… 13

4.2 Condições normais de serviço para instalações estacionárias……………………. .13

4.2.1 Geral………………… ……… 13

4.2.2 Condições ambientais normais adicionais para instalações internas ……………. 14

4.2.3 Condições ambientais normais adicionais para instalações externas ………….. 14

4.3 Condições especiais de serviço para instalações estacionárias……………………….. .14

4.3.1 Geral…………………. ……… 14

4.3.2 Condições especiais de serviço adicionais para instalações internas………………….. 14

4.3.3 Condições especiais de serviço adicionais para instalações externas………………… 14

4.4 Condições normais de serviço para instalações móveis (exceto propulsão) ………………. 14

4.5 Condições especiais de serviço para instalações móveis (exceto propulsão) ……………… 14

5 Projeto e requisitos……………………… 15

5.1 Arquitetura da bateria……………………. 15

5.1.1 Módulo…………. ………. 15

5.1.2 Bateria………………. ……….. 15

5.1.3 Montagem das baterias………………. 16

5.1.4 Subsistema de gerenciamento térmico……….. 17

5.2 Requisitos mecânicos……………………………. 17

5.2.1 Geral…………………………… ……… 17

5.2.2 Carcaça da bateria………………….. 17

5.2.3 Vibração………………………… …….. 18

5.2.4 Impacto mecânico……………………… 18

5.3 Requisitos ambientais………………………. 18

5.4 Requisitos de Electromagnetic compatibility (EMC)…………….. 18

6 Ensaios……… ……………………… 19

6.1 Geral……………… …………… 19

6.1.1 Classificação dos ensaios………………….. 19

6.1.2 Seleção de objetos de ensaio…………………….. 19

6.1.3 Condições iniciais do DUT antes dos ensaios………………… 20

6.1.4 Equipamento de medição……………. 20

6.2 Lista de ensaios…………….. ……….. 20

6.3 Ensaios de tipo…………….. ………… 21

6.3.1 Ensaios mecânicos………………. 21

6.3.2 Ensaios ambientais…………………………. 23

6.3.3 Ensaios EMC…………………….. ……. 24

6.4 Ensaios de rotina……………… …….. 33

6.5 Ensaios especiais………………. …….. 33

7 Marcações………….. …………………. 33

7.1 Geral……………………………. …………… 33

7.2 Marcação da placa de dados……………………. 33

8 Regras para transporte, instalação e manutenção ……… 33

8.1 Transporte…………………….. …. 33

8.2 Instalação………………. ………. 33

8.3 Manutenção………………… ……. 33

9 Documentação……………………. ………… 33

9.1 Manual de instruções……………………. 33

9.2 Relatório de ensaio……. ……….. 34

Bibliografia……………… ………………….. 35

Figura 1 – Componentes de uma bateria………………….. 16

Figura 2 – Componentes de um conjunto de baterias……….. 16

Figura 3 – Subsistema de gerenciamento térmico……………………. 17

Tabela 1 – Lista de símbolos e termos abreviados………………….. 13

Tabela 2 – Ambientes eletromagnéticos……………. 19

Tabela 3 – Ensaios de tipo…………………….. ………….. 21

Tabela 4 – Ensaio de calor úmido – Estado estacionário…………………………. 23

Tabela 5 – Nível de gravidade dos ensaios EMC………………………… 25

Tabela 6 – Descrição dos critérios de avaliação para ensaios de imunidade…….. …….. 26

Tabela 7 – Parâmetros de ensaio EFT/Burst……………….. 28

Tabela 8 – Níveis de ensaio de surto…………………. ….. 29

Segundo a International Electrotechnical Commission (IEC), as baterias são dispositivos indispensáveis na vida cotidiana: muitos itens que são usados diariamente, desde os telefones celulares até os laptops, dependem da energia da bateria para funcionar. No entanto, apesar de uso mundial, a tecnologia das baterias está subitamente dominando os holofotes porque é usada para alimentar todos os tipos de diferentes veículos elétricos (VE), de carros elétricos a scooters eletrônicas, que estão regularmente nos mercados. Para os ambientalistas, no entanto, a tecnologia da bateria é mais interessante como forma de armazenar eletricidade, à medida que a geração e o uso de energia renovável – que é intermitente – aumentam.

As baterias de íon lítio podem ser recicladas, mas esse processo permanece caro e, por enquanto, as taxas de recuperação de material raramente chegam a 20%. As matérias-primas usadas nas baterias de íon lítio são geralmente níquel, cobalto, manganês e lítio, que são caros de se obter. Algumas dessas matérias primas são escassas e, mesmo que as pesquisas estejam progredindo rapidamente, alguns laboratórios conseguiram atingir 80% dos níveis de recuperação.

Os cientistas também estão analisando as baterias recarregáveis de ar lítio como uma alternativa ao íon lítio. As baterias de íon de lítio usadas em uma aplicação podem ser avaliadas quanto à capacidade de serem usadas em outras aplicações menos exigentes. Uma segunda vida útil possível para as baterias é um componente para estações de carregamento flexíveis.

São estações de carregamento rápido que podem ser operadas de forma autônoma durante eventos de grande escala, como festivais ou eventos esportivos. As baterias de veículos elétricos podem ser reutilizadas em tudo, desde energia de backup para data centers até sistemas de armazenamento de energia. Na Europa, vários fabricantes de veículos, empresas pioneiras no mercado de carros elétricos, instalaram baterias usadas principalmente em diferentes tipos de sistemas de armazenamento de energia, variando de pequenos dispositivos residenciais a soluções maiores em escala de grade em contêiner.

Como definir os elementos consistentes dos metadados

O propósito deste modelo é permitir a descrição padronizada de documentos de arquivo e entidades contextuais críticas para documentos de arquivo, fornecer uma compreensão comum dos pontos fixos de agregação para permitir a interoperabilidade de documentos de arquivo e informações relevantes para documentos de arquivo entre sistemas organizacionais e permitir reutilização e padronização de metadados para gerenciar documentos de arquivo ao longo do tempo, espaço e entre aplicações.

A NBR ISO 23081-2 de 04/2020 – Informação e documentação — Gerenciamento de metadados para documentos de arquivo – Parte 2: Problemas conceituais e implementação estabelece um modelo para definir os elementos de metadados consistentes com os princípios e as considerações de implementação descritos na NBR ISO 23081-1. O propósito deste modelo é permitir a descrição padronizada de documentos de arquivo e entidades contextuais críticas para documentos de arquivo, fornecer uma compreensão comum dos pontos fixos de agregação para permitir a interoperabilidade de documentos de arquivo e informações relevantes para documentos de arquivo entre sistemas organizacionais e permitir reutilização e padronização de metadados para gerenciar documentos de arquivo ao longo do tempo, espaço e entre aplicações. Ela também identifica alguns dos pontos de decisão críticos que precisam ser abordados e documentados para permitir a implementação de metadados para gerenciar documentos de arquivo. Ela visa identificar os problemas que precisam ser abordados na implementação de metadados para gerenciamento de documentos de arquivo, identificar e explicar as várias opções para abordar as questões, e identificar vários caminhos para tomar decisões e escolher opções na implementação de metadados para gerenciar documentos de arquivo.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais as relações entre entidades nos metadados?

Quais são os conceitos relativos à implementação de metadados?

Por que os metadados podem ser herdados de um agregado superior para um inferior?

Qual o modelo de metadados para gerenciar documentos de arquivo?

A série NBR ISO 23081 descreve metadados para documentos de arquivo. Esta parte 2 concentra-se no modelo de definição de elementos de metadados para gestão de documentos de arquivo, e fornece uma declaração genérica de elementos de metadados, sejam estes físicos, analógicos ou digitais, de acordo com os princípios da NBR ISO 23081-1. Ela fornece uma fundamentação sólida dos metadados para gerenciar documentos de arquivo em organizações, modelos conceituais de metadados e um conjunto de elementos de alto nível de metadados genéricos, adequados para qualquer ambiente de documentos de arquivo.

Abrange, por exemplo, implementações atuais de gestão de documentos de arquivo ou arquivísticas. Ela define os tipos genéricos de metadados, tanto para entidades de documentos de arquivo quanto para outras entidades que precisam ser gerenciadas para documentar e entender o contexto dos documentos de arquivos. Esta parte 2 também identifica, para entidades-chave, um número mínimo de camadas de agregação fixas que são necessárias para fins de interoperabilidade. Os modelos e os tipos de metadados genéricos delineados nesta parte são principalmente focados na entidade documentos de arquivo.

No entanto, eles também são relevantes para as outras entidades. Não estabelece um conjunto específico de elementos de metadados. Em vez disso, ela identifica tipos genéricos de metadados que são necessários para cumprir os requisitos para gerenciar documentos de arquivo. Essa abordagem fornece às organizações a flexibilidade para selecionar metadados específicos para atender aos requisitos de seus negócios e gerenciar seus documentos de arquivo enquanto eles são necessários.

Ela fornece diagramas para determinar os elementos de metadados que podem ser definidos em uma implementação específica e os que podem ser aplicados a cada agregação das entidades definidas. Ela reconhece que essas entidades podem existir em diferentes camadas de agregação. Ela define tipos de metadados genéricos que podem ser aplicados em todas as camadas de agregação, ao mesmo tempo em que alerta aos implementadores para elementos de metadados que só podem ser aplicados em camadas de agregação específicas.

A implementação de metadados para gerenciar documentos de arquivo usando parâmetros organizacionais e de sistema envolve uma série de escolhas, que são determinadas pelas conjunturas da organização, pelos sistemas instalados e pelos requisitos para gerenciar documentos de arquivo. Com base nos princípios da NBR ISO 23081-1, esta parte 2 fornece explicações adicionais sobre os conceitos subjacentes de esquemas de metadados para gerenciar documentos de arquivo, oferece orientações práticas para o desenvolvimento e construção desses esquemas do ponto de vista organizacional e, finalmente, aborda questões relacionadas à implementação e ao gerenciamento de metadados ao longo do tempo.

Destina-se a arquivistas (ou pessoas atribuídas dentro de uma organização para gerenciar documentos de arquivo em qualquer ambiente) responsáveis pela definição de metadados para gerenciar documentos de arquivo em qualquer camada de agregação em um sistema de negócios ou software de documentos de arquivo dedicado, sistemas/analistas de negócio responsáveis pela identificação de metadados para gerenciar documentos de arquivo em sistemas de negócio, arquivistas ou analistas de sistemas que abordam os requisitos de interoperabilidade do sistema envolvendo documentos de arquivo, e fabricante de software, como fornecedores de aplicativos que apoiam e permitem a definição, captura e gestão de metadados ao longo do tempo. As organizações precisam de sistemas de informação que capturem e gerenciem informações contextuais adequadas para auxiliar o uso, compreensão, gerenciamento e acesso a documentos de arquivo ao longo do tempo.

Esta informação é crítica para assegurar autenticidade, confiabilidade, integridade, usabilidade e qualidades probatórias de documentos de arquivo. Coletivamente, essa informação é conhecida como metadados para gerenciamento de documentos de arquivo. Os metadados para gerenciar documentos de arquivo podem ser usados para uma variedade de propósitos dentro de uma organização, apoiando, identificando, autenticando, descrevendo, localizando e gerenciando seus recursos de forma sistemática e consistente para atender às necessidades de negócio, responsabilidade e requisitos societários das organizações.

O software de documentos de arquivo e os sistemas de negócio com funcionalidade de gerenciamento de registros gerenciam documentos de arquivo, capturando e gerenciando os seus metadados e o contexto de sua produção e uso. Os documentos de arquivo, particularmente sob a forma de transações eletrônicas, podem existir fora do software de documentos de arquivo formais, muitas vezes sendo produzidos em sistemas de negócio que atendem a fins específicos (por exemplo, sistemas de licenciamento).

Os documentos de arquivo são usados e compreendidos por pessoas que possuem ou têm acesso a conhecimentos suficientes sobre os processos que estão sendo realizados ou por pessoas que estão envolvidas na transação dos documentos de arquivo gerados e seu contexto imediato. Tais documentos de arquivo nem sempre são robustos, por razões que incluem as ligações contextuais que podem não ser escritas e depender da memória individual e do grupo.

Essa confiança no entendimento contextual não escrito não é confiável; algumas pessoas têm acesso a mais conhecimento do que outras; ao longo do tempo, a usabilidade dos documentos de arquivo será comprometida pelo movimento do pessoal e pela diminuição da memória corporativa. Os documentos de arquivo muitas vezes não possuem informações explícitas necessárias para identificar os componentes de uma transação fora do contexto de negócio específico e, portanto, são difíceis de intercambiar com outros sistemas de negócio relacionados aos fins de interoperabilidade.

Os processos de gestão necessários para assegurar a sustentabilidade dos documentos de arquivo ao longo do tempo, que eles requerem, geralmente não são uma característica de tais sistemas. Existem limites práticos para a quantidade de informações contextuais que podem ser explicitadas e capturadas em um determinado sistema na forma de metadados. O contexto é infinito, enquanto um único sistema de informação possui limites finitos. Outras informações contextuais sempre existirão fora dos limites de qualquer sistema. Um único sistema de software de documentos de arquivo precisa capturar o máximo de metadados que forem considerados úteis para que o sistema e seus usuários interpretem e gerenciem os documentos de arquivo pelo tempo que forem necessários no sistema e para permitir a migração daqueles documentos de arquivo requeridos fora do sistema.

Os bons esquemas de metadados são dinâmicos e podem incluir metadados adicionais para gerenciar documentos de arquivo conforme necessário ao longo do tempo. Muitos metadados para gerenciar documentos de arquivo podem ser obtidos de outros sistemas de informação. Para que eles sejam úteis em um sistema de gerenciamento de documentos de arquivo, eles precisam ser estruturados e organizados de forma padronizada.

Os metadados padronizados são um pré-requisito essencial para a interoperabilidade do sistema de informação dentro e entre organizações. Os metadados para gerenciar documentos de arquivo não só descrevem seus atributos, de forma a permitir seu gerenciamento e uso/reutilização, mas também documentam as relações entre os documentos de arquivo e os agentes que os definem e os usam, além dos eventos ou circunstâncias em que os documentos de arquivo são produzidos e utilizados. Os metadados apoiam a busca de informações e a manutenção de sua autenticidade.

As organizações precisam produzir documentos de arquivo de suas transações e mantê-los enquanto forem necessários. Isso pode ser feito somente se os sistemas de negócio das organizações capturarem metadados de documentos de arquivo de acordo com os requisitos organizacionais para gerenciá-los. O quanto melhor um sistema gerencia documentos de arquivo é em grande parte dependente das funcionalidades de metadados do sistema. As relações entre os sistemas de negócio e os sistemas de softwares específicos de documentos de arquivo estão sujeitas às decisões nas implementações, conforme descrito na Seção 11.

A interoperabilidade refere-se à capacidade de dois ou mais sistemas automatizados de trocar informações e reconhecer, processar e usar essas informações com sucesso. Os sistemas interoperáveis precisam ser capazes de funcionar simultaneamente em níveis técnicos, semânticos e sintáticos. Os metadados padronizados são um pré-requisito essencial para a interoperabilidade do sistema de informação.

Os metadados padronizados para gerenciar documentos de arquivo ajudam a permitir a interoperabilidade da seguinte maneira: entre sistemas de negócio dentro de uma organização (por exemplo, entre os sistemas que apoiam um processo de negócio e aqueles que oferecem apoio a outros processos de negócio em toda a organização); entre sistemas de negócio que produzem documentos de arquivo e software de documentos de arquivo que os administram como documentos de arquivo; entre sistemas de negócio durante a migração de um sistema; entre várias organizações envolvidas na condução de processos de negócio (por exemplo, em uma cadeia de gerenciamento ou transações de comércio eletrônico); entre organizações para uma variedade de outros propósitos do negócio (por exemplo, na realização de transações compartilhadas ou transferência de documentos de arquivo para um terceiro); ao longo do tempo entre os sistemas de negócio que produzem documentos de arquivo e sistemas arquivísticos que os preservam. Ao apoiar a interoperabilidade, os metadados para gerenciar documentos de arquivo permitem a descoberta de recursos em sistemas de negócio, bem como em software de documentos de arquivo.

Os esquemas de metadados podem ser adaptados aos requisitos organizacionais para mitigação dos riscos. As organizações especificarão elementos que devem estar presentes para que os documentos de arquivo sejam confiáveis, autênticos e íntegros. Outros elementos serão opcionais, para inclusão, a critério das subunidades de organizações, ou para sistemas de negócio específicos dentro das organizações.

Ao considerar estratégias de implementação de metadados, recomenda-se que as organizações identifiquem os riscos que existem, considerem o grau de risco envolvido e garantam que a estratégia de implementação: forneça acesso aos sistemas de negócio críticos ao longo do tempo, satisfaça os requisitos legais de autenticidade e confiabilidade, e seja sustentável a partir de uma perspectiva de recursos ao longo do tempo. Os metadados estruturados para gerenciamento de documentos de arquivo, em combinação com boas funcionalidades de sistemas de busca, apoiam o acesso e a recuperação de documentos de arquivo em toda a organização. Isso maximiza a capacidade das pessoas de encontrar documentos de arquivo relevantes de forma rápida e fácil, quando precisam.

Além disso, os metadados de documentos de arquivo estruturados permitem que as informações sejam recuperadas no contexto do negócio, aumentando assim a compreensão e a confiabilidade das informações recuperadas para reutilização. Um investimento inicial, relativamente pequeno, em bons metadados, pode melhorar a qualidade e reduzir os custos de recuperação de informações para a organização. Os metadados para gerenciar documentos de arquivo podem ser usados para reduzir o risco de uso não autorizado. Metadados são necessários para especificar se o acesso aos documentos de arquivo é restrito.

Recomenda-se que somente aqueles com autorização apropriada tenham acesso aos documentos de arquivo. Convém que quaisquer instâncias de acesso sejam documentadas como metadados. Os metadados de controle de acesso são vitais para assegurar os interesses legais e de negócio da organização. Eles asseguram o gerenciamento adequado da confidencialidade e privacidade de informações pessoais e outras restrições de uso e segurança identificadas nos documentos de arquivo de uma organização.

Com a mudança da estrutura, função ou processo de trabalho de uma organização, ocorre uma alteração nas responsabilidades para as atividades do negócio. A implementação de metadados de documentos de arquivo padronizados e estruturados ajudam a identificar os documentos de arquivo apropriados para serem movidos em todos os sistemas e limites organizacionais. Esses metadados padronizados também ajudam a extrair documentos de arquivo de um sistema e importá-los para outros sistemas, preservando a ligação contextual, independentemente de qualquer sistema de negócio particular.

Os documentos de arquivo digitais dependem de metadados para sua existência, gestão e uso futuro. As características dos documentos de arquivo (ISO 15489-1:2001, 7.2), em todos os formatos, são definidas nos metadados dos documentos de arquivo. Assegurar a preservação dos documentos de arquivo, incluindo seus metadados, em formato eletrônico, exige conformidade com padrões de metadados estáveis, estruturados e bem definidos, para sua sustentabilidade em atualizações ou mudanças de software. A preservação dos documentos de arquivo digitais, enquanto eles são necessários, pode envolver uma série de estratégias (ver Seção 11), mas todas as estratégias dependem da existência de metadados padronizados para gerenciar documentos de arquivo.

Muitas das informações necessárias para documentar e descrever os documentos de arquivo e seu contexto em sistemas arquivísticos podem ser obtidas a partir dos metadados em software de documentos de arquivo. Recomenda-se que esta interligação seja tão perfeita quanto possível. Capturar metadados para gerenciar documentos de arquivo de acordo com um esquema padronizado torna esse processo mais fácil de implementar.

Conforme indicado na ISO 23081-1:2006, Seção 6, recomenda-se que estratégias de metadados sejam tratadas como parte integrante, ou explicitamente relacionada, a uma estratégia mais ampla de gerenciamento de informações e documentos de arquivo da organização. A este respeito, convém que seja elaborada uma política clara relacionada aos metadados, seja como uma área de política autônoma separada, ligada ao modelo de políticas de documentos de arquivo existente ou mesmo como uma parte integrante e distinta das políticas de documentos de arquivo organizacionais existentes.

Em ambos os casos, recomenda-se que as organizações identifiquem e atribuam funções e responsabilidades, incluindo responsabilidades para assegurar a qualidade de metadados; identifiquem os requisitos de confiabilidade, acessibilidade, recuperação, manutenção e segurança de metadados; selecionem padrões ou esquema de metadados aplicáveis; identifiquem e estabeleçam regras para a aplicação de esquemas de codificação de metadados (vocabulários controlados, esquemas de sintaxe); determinem normas técnicas a serem utilizadas na implementação; identifiquem como a política de metadados para gerenciar documentos de arquivo se relaciona a outras políticas ou esquemas de metadados que estão em uso na organização; identifiquem critérios e metodologias de avaliação para determinar a conformidade e a eficácia da política; desenvolvam estratégias de monitoramento e avaliação para acompanhar a política; determinem como a política será mantida atualizada, de acordo com as atividades do negócio.

Recomenda-se que qualquer política permita diferentes níveis de implementação. Convém identificar o nível e a forma a serem alcançados. Recomenda-se que uma política também identifique as áreas mais críticas e requeira atenção especial em relação às estratégias de implementação de metadados, como sustentabilidade, acessibilidade, identificação de documentos de arquivo vitais, preservação e análise de risco.

Em conformidade com o modelo estabelecido de funções e responsabilidades para os documentos de arquivo (ver ISO 15489-1:2001, 6.3), recomenda-se que a responsabilidade pelo desenvolvimento, implementação e manutenção de modelos de metadados para gerenciamento de documento de arquivo seja atribuída aos arquivistas, em associação com outros funcionários da organização, como da área de tecnologia da informação ou profissionais da área jurídica, conforme apropriado. Esta responsabilidade inclui analisar as necessidades da organização de metadados para gerenciar documentos de arquivo baseados nos requisitos do negócio; monitorar e analisar a evolução da organização em relação aos metadados, em particular os requisitos para o gerenciamento dos documentos de arquivo; assegurar que os esquemas de metadados para gerenciamento de documentos de arquivo sejam desenvolvidos de acordo com as melhores práticas e com as normas aplicáveis da indústria; desenvolver o modelo de metadados para gerenciar documentos de arquivo, incluindo o esquema de metadados, e as normas organizacionais relacionados e as regras para utilizar o modelo; identificar ou desenvolver esquemas de codificação de metadados apropriados, refinamentos de elementos e qualificadores, por exemplo, plano de classificação; manter o esquema de metadados atualizado e alinhado com as necessidades do negócio; gerenciar o esquema de metadados também como um documento de arquivo; manter a qualidade geral dos metadados definidos por máquina e por seres humanos, particularmente no que se refere à sua precisão, integridade, autenticidade, usabilidade e confiabilidade; coordenar as questões de implementação entre os documentos de arquivo e o pessoal de tecnologia da informação; realizar a coordenação com os proprietários dos sistemas de negócio para assegurar a integração dos metadados de gerenciamento de documentos de arquivo, conforme apropriado; realizar a coordenação com autoridades/processos arquivísticos para assegurar a interoperabilidade entre o software de documentos de arquivo e os ambientes de arquivamento de documentos de arquivo que possuem valor permanente; elaborar um programa e rotina de treinamento dos agentes sobre o uso e a aplicação do esquema de metadados; comunicar sobre o esquema de metadados dentro da organização.

Os sistemas desenvolvidos para gerenciar documentos de arquivo requerem metadados que apoiam processos de arquivos ou mesmo de gerenciamento de documentos de arquivo. Um dos principais usos dos metadados é representar entidades a partir do ambiente de negócio no sistema de negócio. As entidades apoiam a perspectiva dos documentos de arquivo para entender o ambiente de negócio, mas eles não são em si mesmos objetos sempre tangíveis.

A figura abaixo especifica o modelo conceitual de entidade e apoia qualquer número de entidades, mas de particular importância são as seguintes: os próprios documentos de arquivo sejam um documento individual ou agregações de documentos de arquivo (conhecidos como entidades de registro); as pessoas ou estruturas de organização no ambiente de negócio (conhecidas como entidades agente); transações de negócio (conhecidas como entidades de negócio); as regras que regem a transação e documentação de negócio (conhecidas como entidades competentes).

Não se espera que todas as implementações desta parte da NBR ISO 23081 implementem diretamente todas as classes de entidades descritas. Tais decisões dependerão da capacidade de assegurar ligações contínuas descritas entre as várias classes de entidades. As incertezas sobre a persistência podem levar a implementações centradas em documentos de arquivo, onde metadados sobre outras classes de entidades são trazidos explicitamente para dentro dos limites da própria classe de documento de arquivo.

Tais implementações achatam o modelo de entidade e incluem a informação sobre as classes faltantes de entidades dentro de outras entidades. Por exemplo, uma implementação que não contenha classes de agentes, determinações ou de negócio pode incluir as informações necessárias para a implementação da classe de documento de arquivo.

As orientações para a gestão da segurança da informação

Conheça as orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na NBR ISO/IEC 27001.

A NBR ISO/IEC 27003 de 04/2020 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações fornece explicações e orientações sobre a NBR ISO/IEC 27001:2013.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como entender as necessidades e expectativas das partes interessadas?

Quais as orientações para estabelecer o escopo de um SGSI?

Por que a liderança e o comprometimento são essenciais para um sistema de gestão de segurança da informação (SGSI) efetivo?

Quais as orientações para uma política de segurança?

Este documento fornece orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na NBR ISO/IEC 27001 e fornece recomendações (‘Convém que’), possibilidades (‘pode’) e permissões (‘pode’) em relação a eles. Não é a intenção de este documento fornecer orientações gerais sobre todos os aspectos de segurança da informação. As Seções 4 a 10 deste documento espelham a estrutura da NBR ISO/IEC 27001:2013. Este documento não adiciona quaisquer novos requisitos para um SGSI e seus termos e definições relacionados.

Convém que as organizações consultem a ABNT NBR ISO/IEC 27001 e a ISO/IEC 27000 para requisitos e definições. As organizações implementando um SGSI não estão sob qualquer obrigação de observar as orientações deste documento. Um SGSI enfatiza a importância das seguintes fases: compreender as necessidades da organização e a necessidade de estabelecer política de segurança da informação e objetivos de segurança da informação; avaliar a organização, e os riscos relacionados à segurança da informação; implementar e operar processos, controles e outras medidas de segurança da informação para o tratamento de riscos; fiscalizar e analisar o desempenho e a eficácia do SGSI; e praticar a melhoria contínua.

Um SGSI, semelhante a qualquer outro tipo de sistema de gestão, inclui os seguintes componentes principais: política; pessoal com responsabilidades definidas; processos de gestão relacionados com o estabelecimento de política; provisão de conscientização e competência; planejamento; implementação; operação; avaliação de desempenho; análise crítica pela direção; melhoria; e informação documentada. Um SGSI tem componentes principais adicionais, como: avaliação de riscos de segurança da informação; e tratamento de riscos de segurança da informação, incluindo a determinação e a implementação de controles.

Este documento é genérico e se destina a ser aplicável a todas as organizações, independentemente do tipo, tamanho ou natureza. Convém que a organização identifique que parte destas orientações se aplica a ela de acordo com o seu contexto organizacional específico (ver NBR ISO/IEC 27001:2013, Seção 4). Por exemplo, algumas orientações podem ser mais adequadas para grandes organizações, mas para organizações muito pequenas (por exemplo, com menos de dez pessoas) algumas das orientações podem ser desnecessárias ou inadequadas.

As descrições das Seções 4 a 10 são estruturadas da seguinte forma: Atividade necessária: apresenta as principais atividades necessárias na subseção correspondente da NBR ISO/IEC 27001; Explicação: explica o que os requisitos da NBR ISO/IEC 27001 demandam; Orientações: fornece informações mais detalhadas ou de apoio para implementar a “atividade necessária”, incluindo exemplos para implementação; e Outras informações: fornece mais informações que podem ser consideradas.

As NBR ISO/IEC 27003, NBR ISO/IEC 27004 e NBR ISO/IEC 27005 formam um conjunto de documentos que dão suporte e orientações para a NBR ISO/IEC 27001:2013. Dentre esses documentos, a NBR ISO/IEC 27003 é um documento básico e abrangente que fornece orientações para todos os requisitos da NBR ISO/IEC 27001, mas não tem descrições detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação.

As NBR ISO/IEC 27004 e ABNT NBR ISO/IEC 27005 focam em conteúdos específicos e fornecem orientações mais detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação. Existem várias referências explícitas à informação documentada na NBR ISO/IEC 27001. No entanto, uma organização pode reter informações documentadas adicionais que considera necessárias para a eficácia do seu sistema de gestão como parte de sua resposta à NBR ISO/IEC 27001:2013, 7.5.1 b).

Nestes casos, este documento usa a frase “Informação documentada sobre esta atividade e o seu resultado é mandatório somente na forma e na medida em que a organização determina como necessário para a eficácia do seu sistema de gestão (ver NBR ISO/IEC 27001:2013, 7.5.1 b)”. A organização determina questões externas e internas relevantes para sua finalidade e que afetam a sua habilidade para obter o (s) resultado (s) pretendido (s) do sistema de gestão da segurança da informação (SGSI).

Como uma função integrante do SGSI, a organização analisa constantemente a si própria e o mundo que a rodeia. Esta análise está preocupada com questões internas e externas que de alguma maneira afetam a segurança da informação e como a segurança da informação pode ser gerida, e que são relevantes para os objetivos da organização. A análise destas questões tem três objetivos: entender o contexto a fim de decidir o escopo do SGSI; analisar o contexto para determinar riscos e oportunidades; e assegurar que o SGSI esteja adaptado para mudar questões externas e internas.

Questões externas são aquelas que estão fora do controle da organização. Isso é frequentemente referido como o ambiente da organização. A análise deste ambiente pode incluir os seguintes aspectos: social e cultural; político, jurídico, normativo e regulatório; financeiro e macroeconômico; tecnológico; natural; e competitivo. Estes aspectos do ambiente da organização apresentam continuamente questões que afetam a segurança da informação e como a segurança da informação pode ser gerida. As questões externas relevantes dependem da situação e das prioridades específicas da organização.

Por exemplo, questões externas para uma organização específica podem incluir: implicações legais do uso de um serviço de TI terceirizado (aspecto legal); características da natureza em termos de possibilidade de desastres como incêndios, inundações e terremotos (aspecto natural); avanços técnicos de ferramentas de invasão e uso de criptografia (aspecto tecnológico); e demanda geral por serviços da organização (aspectos sociais, culturais ou financeiros).

Questões internas estão sujeitas ao controle da organização. A análise das questões internas pode incluir os seguintes aspectos: cultura da organização; políticas, objetivos e estratégias para alcançá-los; governança, estrutura organizacional, funções e responsabilidades; normas, diretrizes e modelos adotados pela organização; relações contratuais que podem afetar diretamente os processos da organização incluídos no escopo do SGSI; processos e procedimentos; capacidades, em termos de recursos e de conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); infraestrutura e ambiente físicos; sistemas de informação, fluxos de informação e processos de tomada de decisão (ambos formal e informal); e auditorias anteriores ou resultados de análise de riscos anteriores. Os resultados desta atividade são usados em 4.3, 6.1 e 9.3.

Com base em um entendimento da finalidade da organização (por exemplo, se referindo a sua declaração de missão ou plano de negócios), bem como o(s) resultado(s) pretendido(s) do SGSI da organização, convém para a organização: analisar criticamente o ambiente externo para identificar questões externas relevantes; e analisar criticamente os aspectos internos para identificar questões internas relevantes. A fim de identificar questões relevantes, a seguinte pergunta pode ser feita: Como uma determinada categoria de questões (ver 4.1 a) a t)) afetam os objetivos de segurança da informação?

Três exemplos de questões internas servem como uma ilustração de: EXEMPLO 1 Sobre a governança e a estrutura organizacional (ver 4.1 m)): Ao estabelecer um SGSI, convém considerar a governança e as estruturas organizacionais já existentes. Como um exemplo, a organização pode modelar a estrutura do seu SGSI com base na estrutura de outros sistemas de gestão existentes, e pode combinar funções comuns, como análise crítica pela direção e auditoria.

EXEMPLO 2 Sobre a política, objetivos e estratégias (ver 4.1 l)): Uma análise das políticas, objetivos e estratégias existentes pode indicar o que a organização pretende obter e como os objetivos de segurança da informação podem ser alinhados com os objetivos de negócio para assegurar resultados bem-sucedidos. EXEMPLO 3 Sobre os sistemas de informação e fluxos de informação (ver 4.1 s)): Quando determinar questões internas, convém à organização identificar, a um nível de detalhe suficiente, os fluxos de informação entre os seus vários sistemas de informação.

Como tanto as questões internas e externas irão mudar ao longo do tempo, convém serem analisadas criticamente, de forma periódica, as questões e a sua influência sobre o escopo, restrições e requisitos do SGSI. Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver NBR ISO/IEC 27001:2013, 7.5.1 b).

Na ISO/IEC 27000, a definição de “organização” possui uma nota que diz: “O conceito de organização inclui, mas não se limita a, comerciante independente, companhia, corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação destas, incorporadas ou não, pública ou privada”. Alguns destes exemplos são entidades jurídicas em sua totalidade, enquanto outros não são.

BS ISO 19626-1: as plataformas de comunicação confiáveis para documentos eletrônicos

Essa norma internacional, editada pelo BSI em 2020, define os requisitos sobre a comunicação confiável em considerações legais, administrativas e técnicas. Este documento mostra uma arquitetura do sistema trusted communication platforms (TCP) para garantir uma comunicação confiável e promover os serviços confiáveis, fornecendo evidências de comunicação confiáveis como prova.

A BS ISO 19626-1:2020 – Processes, data elements and documents in commerce, industry and administration. Trusted communication platforms for electronic documents. Fundamentals define os requisitos sobre a comunicação confiável em considerações legais, administrativas e técnicas. Este documento mostra uma arquitetura do sistema trusted communication platforms (TCP) para garantir uma comunicação confiável e promover os serviços confiáveis, fornecendo evidências de comunicação confiáveis como prova.

Este documento enfoca o TCP na exibição da 7ª camada do aplicativo do Modelo de Referência OSI (Open Systems Interconnection). As audiências são os decisores políticos para a inovação de TI, como desmaterialização, especialistas jurídicos em atividades eletrônicas, planejadores de TI para janelas únicas e transações seguras, provedores de serviços de TI relacionados a redes e livros distribuídos, auditores de sistemas confiáveis, partes interessadas em comunicação confiável e assim por diante.

Conteúdo da norma

Prefácio

Introdução

1 Escopo

2 Referências normativas

3 Termos e definições

4 Comunicação confiável

4.1 Visão geral

4.2 Considerações legais

4.3 Requisitos administrativos

5 Plataforma de comunicação confiável (TCP)

5.1 Visão geral

5.2 Arquitetura do sistema TCP

5.3 Requisitos de sistema do TCP

5.4 Regras do sistema TCP

5.5 Comunicação TCP

6 Evidência de comunicação confiável (TCE)

6.1 geração TCE

6.2 Procedimento probatório

6.3 Custódia de TCE

Anexo A Modelo de referência de comunicação confiável

Anexo B TCP principal: qualidade e gestão de riscos

B.1 Geral

B.2 Gerenciamento de riscos

B.3 Gerenciamento de qualidade

B.4 Monitoramento e auditoria

Ligação de comunicação dos anexos C dos TCPSPs (um exemplo)

Bibliografia

Em meio ao grande fluxo de abertura e integração na economia mundial, as TIC (tecnologia da informação e comunicação) são usadas como um meio de inovação em produtividade e conectividade. Como a cadeia de valor de produtos e serviços é ampliada globalmente, as colaborações comerciais precisam que as comunicações eletrônicas sejam seguras em um ambiente aberto e distribuído.

Nesse sentido, os documentos eletrônicos são solicitados como prova das comunicações comerciais, enquanto isso é necessário. No entanto, pode ser difícil reconhecer documentos eletrônicos como a fonte original. Existem casos em que muitos processos dependem apenas de documentos em papel, mesmo que os documentos eletrônicos sejam amplamente implementados nos processos de negócios.

Porém, a realidade é que, mesmo que os documentos eletrônicos sejam adequadamente comunicados nas transações comerciais, a saída final dos dados pode estar em papel e armazenada na forma de cópias impressas, como evidência legal por um período de longo prazo. Assim, esse ambiente coexistente de documentos eletrônicos e documentos em papel causa quebra da cadeia de valor, resultando em produtividade lenta, ineficiência, aumento de custos e compensação do benefício obtido das TIC, a fim de melhorar essas situações.

Uma solução desmaterializante deve atender a considerações legais sobre documentos comunicados eletronicamente. Essa solução não é fácil, porque a própria comunicação eletrônica inclui as incertezas decorrentes de falhas na rede e o próprio documento eletrônico é insuficiente para proteger a integridade durante seu ciclo de vida. Enquanto isso, o problema devido ao repúdio, divulgação inadvertida ou adulteração foi considerado muito sensível para finalizar a solução de desmaterialização relacionada a transações comerciais, bem como diversos serviços governamentais, porque pode ser envolvido em disputas ou conflitos legais.

Este documento se concentra em como aprimorar a comunicação confiável em um ambiente aberto e distribuído. A comunicação confiável significa que a comunicação eletrônica pode garantir a integridade e o repúdio às transações eletrônicas por terceiros confiáveis, de forma desmaterializada, sob a orientação da United Nations Commission on International trade Law (Uncitral). Para esse ambiente aberto e distribuído, inicialmente, ele deve ser capaz de minimizar algumas dificuldades inatas em torno da desmaterialização.

Para resolver essas dificuldades, este documento aborda uma solução, formando um relacionamento confiável e orientado a terceiros de confiança mútua entre as partes interessadas e implementando uma plataforma compartilhada que seja responsável e rastreável. Em detalhe, uma plataforma de comunicação confiável precisa ser capaz de manter as evidências sobre documentos comunicados eletronicamente de maneira confiável e confiável. Para isso, é necessária uma nova abordagem, pois o ambiente de TIC existente possui alguns limites para a comunicação confiável em alguns aspectos. Embora uma transação EDI (troca eletrônica de dados) possa fornecer evidências legais sobre documentos eletrônicos intercambiados de acordo com a regra de sintaxe EDI, ela tem limitações permitidas apenas para usuários fechados da rede EDI e processos predefinidos de semântica EDI.

No caso da internet, não importa quais transações comerciais sejam comunicadas com segurança, é difícil reconhecer a legitimidade das comunicações realizadas em outros sistemas de autenticação. Nesse sentido, este documento estabelece um processo de desmaterialização refinado, permitido no ambiente de TIC aberto e distribuído, aplicável à comunicação confiável, como comércio eletrônico, administração eletrônica, comércio eletrônico e assim por diante.

A tecnologia de segurança foi usada como uma tecnologia central para documentos eletrônicos protegidos. No entanto, não basta manter a desmaterialização de documentos eletrônicos, pois é fácil quebrar a integridade no aspecto do período de segurança válido. Nesse sentido, este documento apresenta uma nova maneira que pode garantir a autenticidade da evidência de comunicação confiável por um longo período de tempo necessário como evidência legal.

Os serviços de TI em um ambiente aberto não podem identificar facilmente a originalidade das comunicações eletrônicas, contabilizando o contexto da comunicação, que é originador, destinatário (s), tempo de comunicação e assim por diante. Em relação às incertezas, como modificação, falsidade ou descoramento de documentos comunicados eletronicamente, não é fácil identificar e perguntar de quem é a responsabilidade entre várias partes interessadas.

Além disso, se a blockchain deve ser aplicada em toda a cadeia de suprimentos, é necessária uma comunicação confiável para uma conectividade perfeita. Nesse sentido, este documento pode tornar as transações comerciais responsáveis e confiáveis e, consequentemente, promover serviços de TI confiáveis. Uma evidência gerada por meio de uma plataforma de comunicação confiável pode explicar a verdade das atividades de comunicação e instalações de serviços de comunicação confiáveis.

Avaliando os riscos de fogo dos produtos eletrotécnicos

Saiba como é a relação entre o risco de incêndio e os efeitos potenciais dos incêndios, e fornece as orientações para os comitês de produtos da IEC sobre a aplicabilidade dos ensaios de fogo qualitativos e quantitativos para a avaliação dos perigos de incêndio de produtos eletrotécnicos.

A NBR IEC 60695-1-10 de 10/2019 – Ensaios relativos aos riscos de fogo – Parte 1-10: Orientações para a avaliação dos riscos de fogo dos produtos eletrotécnicos — Diretrizes gerais fornece as orientações gerais referente aos ensaios relativos aos perigos de incêndio, de maneira a reduzir a um nível aceitável o risco de incêndio e os efeitos potenciais de um incêndio envolvendo produtos eletrotécnicos. Também serve como norma de referência para a publicação de outros guias da série NBR IEC 60695. Essa norma não fornece as linhas de orientações relativas à utilização de paredes de compartimentos resistentes ao fogo ou de sistemas de detecção e de supressão para a redução do risco de incêndio.

Ela descreve a relação entre o risco de incêndio e os efeitos potenciais dos incêndios, e fornece as orientações para os comitês de produtos da IEC sobre a aplicabilidade dos ensaios de fogo qualitativos e quantitativos para a avaliação dos perigos de incêndio de produtos eletrotécnicos. Os detalhes de cálculo do risco de incêndio não estão incluídos no escopo desta norma. Ela enfatiza a importância da abordagem do cenário para a avaliação dos perigos de incêndio e dos riscos de incêndio e também discute os critérios destinados a assegurar o desenvolvimento de métodos de ensaios ao fogo baseados nos perigos que são tecnicamente reconhecidos.

Ela discute os diferentes tipos de ensaios ao fogo e, em particular, a sua natureza qualitativa ou quantitativa. Ela também descreve as circunstâncias para as quais ela é apropriada para os comitês de produtos da IEC manterem ou desenvolverem ensaios ao fogo qualitativos. Serve como diretriz para os Comitês da IEC, e é para ser utilizada em função de suas aplicações específicas.

Esta publicação fundamental de segurança é destinada às Comissões de Estudo na elaboração de normas conforme os princípios estabelecidos nos IEC Guia 104 e ISO/IEC Guia 51. Uma das responsabilidades de uma Comissão de Estudo consiste em, quando aplicável, utilizar as publicações fundamentais de segurança na elaboração das suas publicações. Os requisitos, os métodos de ensaio ou as condições de ensaio desta publicação fundamental de segurança não são aplicáveis, a menos que eles sejam especificamente referenciados ou incluídos nas publicações correspondentes.

A NBR IEC 60695-1-11 de 10/2019 – Ensaios relativos aos riscos de fogo – Parte 1-11: Orientações para a avaliação dos riscos de fogo dos produtos eletrotécnicos — Avaliação do perigo de fogo fornece as orientações para avaliar o perigo de fogo dos produtos eletrotécnicos e para desenvolver, consequentemente, os ensaios relativos ao perigo de fogo relacionado diretamente aos danos às pessoas, aos animais ou aos bens.

Ela descreve um processo baseado em perigo para identificar os métodos de ensaio de fogo apropriados e os critérios de desempenho para os produtos. Os princípios da metodologia são utilizados para identificar os tipos de eventos relacionados ao fogo (cenários de fogo) que serão associados ao produto, para determinar como as propriedades de fogo mensuráveis do produto estão relacionadas com o resultado destes eventos e para estabelecer os métodos de ensaio e os requisitos de desempenho para estas propriedades que darão lugar a um resultado de fogo tolerável ou eliminarão totalmente o evento.

Ela é destinada a fornecer orientações aos Comitês da IEC, para ser utilizada em função de suas aplicações individuais. A implementação efetiva deste documento é de responsabilidade de cada Comissão de produto, de acordo com a segurança contra o fogo mínima aceitável no seu campo de aplicação e levando em conta o retorno da experiência. Esta publicação fundamental de segurança é destinada a ser utilizada nas Comissões de Estudo para a elaboração de suas normas, conforme os princípios estabelecidos nos IEC Guia 104 e ISO/IEC Guia 51. Uma das responsabilidades de uma Comissão de Estudo consiste em, quando aplicável, utilizar as publicações fundamentais de segurança na elaboração das suas publicações. Os requisitos, os métodos de ensaio ou as condições de ensaio desta Publicação fundamental de segurança não são aplicáveis, a menos que eles sejam especificamente referenciados ou incluídos nas publicações correspondentes.

Acesse algumas dúvidas relacionadas a essas normas GRATUITAMENTE no Target Genius Respostas Diretas:

Como fazer a quantificação do risco de incêndio?

Qual a metodologia para a avaliação dos perigos de incêndio?

Como realizar a preparação dos requisitos e das especificações de ensaio?

Como elaborar a descrição qualitativa do cenário de fogo?

Como executar a seleção dos critérios para os resultados de cenários de fogo aceitáveis?

Quais são os requisitos e especificações do ensaio de fogo?

Quando do projeto de um produto eletrotécnico, é necessário levar em consideração o risco de incêndio e os perigos potenciais associados ao fogo. Neste aspecto, o objetivo no projeto dos componentes, dos circuitos e dos equipamentos, bem como a escolha dos materiais, é reduzir o risco de incêndio a um nível aceitável, mesmo no caso de uma (má) utilização razoavelmente previsível, de mau funcionamento ou de falha. Esta norma, juntamente com as suas normas associadas, a NBR IEC 60695-1-11 e a IEC 60695-1-12, fornece as orientações relativas à sua aplicação.

A utilização de compartimentos com paredes resistentes ao fogo e a utilização de sistemas de detecção e de supressão são métodos importantes para a redução do risco de incêndio, mas não são tratados nesta norma. Os fogos envolvendo os produtos eletrotécnicos podem ser iniciados a partir de fontes externas não elétricas. As considerações desta natureza são tratadas em uma avaliação geral de perigo de incêndio. O objetivo da série NBR IEC 60695 é salvar vidas e preservar os bens, reduzindo o número de fogo ou as consequências do fogo.

Isso pode ser realizado: tentando impedir a ignição provocada por um componente energizado eletricamente, e se uma ignição ocorrer, confinando o fogo resultante no interior do invólucro do produto eletrotécnico; tentando minimizar a propagação de chama além do limite do produto e a minimização dos efeitos nocivos dos efluentes do fogo, como o calor, a fumaça e os produtos resultantes da combustão tóxica ou corrosiva. Convém, na medida do possível, realizar os ensaios de fogo dos produtos eletrotécnicos por meio de ensaios de fogo quantitativos com as algumas características.

Convém que o ensaio leve em conta as condições de utilização do produto, ou seja, as condições de utilização final previstas, bem como as condições previsíveis de mau funcionamento. Isso porque as condições de incêndio que podem ser perigosas em um conjunto de circunstâncias não representam necessariamente a mesma ameaça em um conjunto diferente. Convém que seja possível correlacionar os resultados dos ensaios com os efeitos nocivos dos efluentes do fogo citados acima, ou seja, as ameaças térmicas e transmitidas no ar para as pessoas e/ou bens na situação de utilização final pertinente. Isto evita a criação de escalas de desempenho, artificiais e por vezes distorcidas, sem relação clara com a segurança de incêndio.

Embora existam geralmente múltiplas contribuições para os efeitos dos incêndios reais, convém que os resultados dos ensaios sejam expressos em termos bem definidos e utilizando unidades científicas reconhecidas, de modo a poder quantificar as contribuições do produto aos efeitos globais do fogo e compará-los com a contribuição dos outros produtos. Embora os ensaios quantitativos sejam preferidos, as características dos ensaios do fogo são qualitativas e fornecem os resultados de aceitação/rejeição e de classificação. Em determinadas circunstâncias, será conveniente manter estes métodos de ensaio qualitativo ou desenvolver novos métodos.

Esta parte estabelece as circunstâncias nas quais a manutenção ou o desenvolvimento são apropriados. A transmissão, a distribuição, o armazenamento e a utilização da energia elétrica pode ter o potencial de contribuir para o perigo de incêndio. No caso dos produtos eletrotécnicos, as causas mais frequentes de ignição são o aquecimento excessivo e os arco elétricos.

A probabilidade de ignição dependerá do projeto do produto e do sistema, da utilização de dispositivos e de sistemas de segurança, e o tipo dos materiais utilizados. O funcionamento dos produtos eletrotécnicos gera calor e, em alguns casos, arcos elétricos e faíscas, que são fenômenos normais. Não convém que estes riscos potenciais conduzam a situações perigosas quando eles são levados em consideração, inicialmente, na fase de projeto do produto e posteriormente durante a instalação, utilização e manutenção.

Apesar de ser uma opinião comum de que a maioria dos incêndios de origem elétrica é causada por um curto-circuito, existem várias outras causas possíveis de ignição. Estas causas podem incluir as condições da instalação, a utilização imprópria e a manutenção inadequada. Exemplos são: funcionamento em sobrecarga por períodos curtos ou longos; funcionamento em condições não previstas pelo fabricante ou instalador; uma dissipação de calor inadequada; e falta de ventilação.

A Tabela 1 (disponível na norma) indica os fenômenos de ignição comuns encontrados nos produtos elétricos. Salvo especificação contrária, considera-se que as fontes de ignição estejam no interior do produto eletrotécnico. A tabela lista os casos mais frequentemente encontrados. Os incêndios envolvendo os produtos eletrotécnicos podem também ser iniciados a partir de fontes externas não elétricas.

O produto eletrotécnico pode estar envolvido em situações perigosas que não são resultado da sua utilização própria. As considerações desta natureza são tratadas na avaliação global dos perigos, nas normas específicas de segurança dos produtos ou, por exemplo, pelas disposições da IEC TS 62441. O Anexo A fornece os exemplos de potência de saída das fontes de ignição potenciais.

Quando os produtos são projetados, a prevenção da ignição nas condições normais e anormais de funcionamento requer uma prioridade maior em comparação com a redução da eventual propagação de chamas. Após a ignição ter ocorrido, qualquer que seja a razão, os efeitos subsequentes do fogo devem ser avaliados. Os fatores a serem levados em consideração incluem: crescimento fogo e propagação da chama; liberação de calor; produção de fumaça (visibilidade); produção de efluentes tóxicos do fogo; produção de efluentes potencialmente corrosivos do fogo; potencial de explosão.

O Anexo B indica as referências das diretrizes da IEC. A segurança do equipamento eletrotécnico utilizado em atmosferas explosivas é tratada na NBR IEC 60079-0. Os objetivos dos ensaios relativos aos riscos de fogo de produtos eletrotécnicos são para determinar quais as propriedades referentes ao fogo do produto contribuem para os efeitos potenciais do fogo e/ou como o produto ou uma parte do produto contribui para a iniciação, o crescimento e o efeito do fogo, e, em seguida, utilizar este conhecimento para reduzir os riscos de incêndio nos produtos eletrotécnicos.

Um perigo de incêndio é um objeto ou estado físico com potencial para uma consequência indesejável do fogo. Os perigos de incêndio, entretanto, englobam potenciais combustíveis e fontes de ignição. A ignição de um produto eletrotécnico pode ser causada por um componente eletricamente energizado. A ignição ocorre como resultado de um aumento na temperatura (ver IEC 60695-1-20, que pode ter uma origem química, mecânica ou elétrica.

A Tabela 1 (disponível na norma) descreve em detalhes os fenômenos comuns de ignição encontrados em produtos eletrotécnicos, e são também listadas as suas consequências possíveis. Os fogos envolvendo produtos eletrotécnicos também podem ser iniciados a partir de fontes externas não elétricas, e convém incluir esta possibilidade em toda avaliação global dos riscos de incêndio.

Os ensaios qualitativos ao fogo são aqueles que expressam os resultados de forma não quantitativa. O grupo dos ensaios qualitativos ao fogo inclui ensaios de aprovação/reprovação e outros ensaios que classificam os produtos de acordo com sua posição em uma ordem de classificação de desempenho. Os ensaios qualitativos ao fogo não fornecem dados que são apropriados para a finalidade de quantificar o risco de incêndio. Os resultados destes ensaios podem não ser correlacionados com o desempenho ao fogo em escala real, bem como as condições de ensaio podem não ser relacionadas com o cenário de incêndio ou cenários pertinentes.

Entretanto, como os ensaios qualitativos ao fogo classificam os produtos em relação ao risco de incêndio ou fornecem um resultado claro de aprovação/reprovação, quando ensaiados de acordo com o procedimento de ensaio de fogo normalizado, este grupo de ensaios é útil no caso de pré-seleção de material ou para o ensaio de um produto final específico e, em algumas circunstâncias, os resultados de um ensaio qualitativo podem ser utilizados indiretamente na avaliação do risco de incêndio de produtos eletrotécnicos.

A ignição é o resultado de um aumento da temperatura (ver IEC 60695-1-20). Os fenômenos de ignição comuns encontrados em produtos eletrotécnicos são descritos em detalhes na NBR IEC 60695-1-10:2019, Tabela 1. Os incêndios envolvendo produtos eletrotécnicos podem também ser iniciados a partir de fontes externas não elétricas, e convém que uma avaliação global do perigo de fogo inclua esta possibilidade. Um perigo de fogo é um objeto ou condição física com possibilidade de consequência indesejável para um incêndio (ver 3.17). O perigo de fogo abrange os combustíveis e fontes de ignição potencial (ver 4.1).

O risco de incêndio é calculado a partir da probabilidade do fogo e de uma medida quantificada de suas consequências. As consequências podem se referir a uma lesão ou perda de vida, devido a ameaças como o calor, a fumaça, o esgotamento de oxigênio ou a concentração de gases de fogo incapacitantes. As consequências podem também se referir a uma perda material, como a extensão dos danos de um incêndio e os custos de reparação e de substituição.

Uma ampla gama de cenários de fogo possíveis pode ser analisada quantitativamente para determinar as medidas do risco global de incêndio. A avaliação do perigo de fogo implica a avaliação das possíveis causas de fogo, a possibilidade e a natureza de um desenvolvimento posterior do fogo, e as possíveis consequências do fogo. O perigo de fogo provocado por um produto, isto é, a possibilidade de ignição, o desenvolvimento posterior do fogo e as possíveis consequências de um incêndio envolvendo este produto, depende das características do produto, das condições de utilização e do ambiente em que é utilizado.

Este ambiente inclui a consideração do número e as capacidades das pessoas expostas a um incêndio envolvendo este produto e/ou o valor e a vulnerabilidade dos bens expostos a este perigo. A ameaça à vida e os danos materiais associados a um produto constituem geralmente o resultado principal do calor e dos efluentes do fogo produzido pelo fogo aos quais o produto dá origem. Por consequência, consideram-se a ignição e o desenvolvimento do fogo, seguindo-se a libertação do calor e da opacidade, toxicidade e corrosividade do efluente do fogo emitido de um produto em combustão ou de qualquer material que esteja envolvido com o fogo devido ao produto.

Os efeitos diretos destas propriedades do fogo, bem como os seus efeitos sobre as pessoas, afetando a sua capacidade de continuar a funcionar durante e após o incêndio, são considerados. Em alguns casos, fatores adicionais devem também ser avaliados, como os efeitos do calor excessivo, levando ao colapso da estrutura circundante ou acumulação de gases, vapores e/ou poeiras inflamáveis, levando à possibilidade de risco de explosão. Certos produtos podem cobrir partes consideráveis de superfícies expostas ou podem atravessar as paredes corta-fogo.

Como exemplo, podem ser citados os produtos que requerem grandes invólucros, bem como os cabos isolados e os eletrodutos. Convém que, no caso de exposição a um fogo externo, estes produtos sejam avaliados do ponto de vista da sua contribuição para o incêndio em comparação aos mesmos materiais de construção e às estruturas em que os produtos não estão instalados. Convém que as normas previstas para os produtos finais incluam, após uma análise detalhada das fontes de todos os perigos relacionados com um cenário de fogo definido, uma série de ensaios ou um único ensaio, para abordar as questões específicas a serem identificadas. O processo de avaliação do perigo de fogo é explicado com mais detalhes na Seção 6.

Dá para medir a eficácia da segurança da informação em sua empresa?

Os criminosos digitais estão cada vez mais querendo acessar as empresas e a segurança da informação, nesse contexto, passa a ser um ponto de extrema importância ligada à estratégia corporativa. Para se ter uma ideia, estima-se que o número de ataques cibernéticos aumentou entre 30 e 40% na América Latina nos últimos anos.

Assim, para garantir um bom nível de segurança, é fundamental ter uma infraestrutura robusta. Portanto, deve-se investir em vários aspectos: arquitetura, design de um esquema de proteção, operações e práticas seguras, além de uma boa gestão de riscos.

Quanto à arquitetura, pode-se pensar na análise do projeto de uma prisão ou de uma base militar. Sempre se deve levar em consideração qual é a finalidade de um edifício. Ele abrigará réus de alta periculosidade? Que informações e objetos ficarão dentro de uma área militar?

O sistema precisa ser projetado como um todo, já que ele é formado por um conjunto de componentes que devem ser protegidos individualmente. Uma infraestrutura segura leva em conta um design geral da solução sem deixar de prestar atenção à proteção dos dados. Dessa forma, há uma segurança específica para cada um dos elementos: servidores, computadores, a rede, os componentes de comunicação, etc.

Ao configurar um serviço ou registrar um usuário, essas ações estão relacionadas a uma interação com um sistema e também devem ser feitas com segurança. Uma pessoa pode até ter um automóvel extremamente seguro e equipado com os melhores acessórios de segurança, mas acabará sofrendo um acidente se dirigir bêbado ou ultrapassar o limite de velocidade da via.

É preciso considerar as boas práticas que estabelecem qual é a melhor forma de atuar na maioria dos casos e das vezes. Precisa-se saber como são essas boas práticas e adotá-las para ter uma referência de aprimoramento.

Todas as empresas são diferentes. Cada setor tem suas próprias ameaças e exposições a riscos específicos. Por isso, é importante contar com uma referência. Quais seriam as circunstâncias de uma pequena e média empresa? Depende da área de atuação e da importância das informações com as quais essa empresa trabalha. Traçar um panorama de riscos gera certeza na hora de avaliar até que ponto deve-se otimizar o sistema e o que é preciso priorizar.

Quanto à computação na nuvem, possibilita a realização de operações seguras por causa de sua arquitetura e de seu design de soluções. A arquitetura da nuvem assemelha-se a uma fortaleza. Ela já fica armada e as operações e configurações são feitas pelo provedor, motivo pelo qual há menos exposição aos riscos.

E pode-se medir a eficácia de todo esse sistema?A NBR ISO/IEC 27004 de 04/2010 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Medição fornece as diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Esta norma é aplicável a todos os tipos e tamanhos de organizações.

O usuário deste documento precisa interpretar corretamente cada uma das formas verbais das expressões fornecidas (por exemplo: “deve”, “não deve”, “convém que”, “não convém que”, “pode”, “não precisa” e “não pode”) como sendo um requisito a ser atendido e/ou recomendações em que existe certa liberdade de escolha. Convém que seja consultado o Anexo A da ISO/IEC 27000:2009 para esclarecimentos adicionais.

Esta norma fornece diretrizes para elaboração e uso de medidas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e de controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Isto inclui a política, gestão de riscos de segurança da informação, objetivos de controles, controles, processos e procedimentos, e apoio ao processo de sua revisão, ajudando a determinar se algum processo ou controle do SGSI precisa ser modificado ou melhorado.

É necessário lembrar que nenhuma medição de controles pode garantir segurança completa. A implementação desta metodologia constitui um Programa de Medição de Segurança da Informação. O Programa de Medição de Segurança da Informação vai apoiar a gestão na identificação e avaliação de processos e controles do SGSI ineficazes e não conformes e na priorização de ações associadas com a melhoria ou modificação desses processos e/ou controles.

Também pode auxiliar a organização na demonstração da conformidade com a NBR ISO/IEC 27001 e prover evidências adicionais para os processos de análise crítica pela direção e de gestão de riscos em segurança da informação. Esta norma assume que o ponto de partida para o desenvolvimento das medidas e medições é o entendimento claro dos riscos de segurança da informação que a organização enfrenta e que as atividades de análise de riscos da organização têm sido executadas corretamente (por exemplo, baseada na NBR ISO/IEC 27005), conforme requerido pela NBR ISO/IEC 27001.

O Programa de Medição de Segurança da Informação encorajará que uma organização forneça informações confiáveis às partes interessadas pertinentes relacionadas com os riscos de segurança da informação e com a situação do SGSI implementado para gerenciar esses riscos. Se for eficazmente implementado, o Programa de Medição de Segurança da Informação aumentará a confiança das partes interessadas nos resultados das medições e possibilitará às partes interessadas a usarem essas medidas para realizar a melhoria contínua da segurança da informação e do SGSI.

Os resultados acumulados de medição permitirão a comparação do progresso em atingir os objetivos de segurança da informação sobre um período de tempo como parte de um processo de melhoria contínua do SGSI da organização. A NBR ISO/IEC 27001 exige que a organização “realize análises críticas regulares da eficácia do SGSI levando em consideração os resultados da eficácia das medições” e que “meça a eficácia dos controles para verificar se os requisitos de segurança da informação foram alcançados”.

A NBR ISO/IEC 27001 também exige que a organização “defina como medir a eficácia dos controles ou grupo de controles selecionados e especifique como essas medidas devem ser usadas para avaliar a eficácia dos controles para produzir resultados comparáveis e reproduzíveis”. A abordagem adotada por uma organização para atender os requisitos de medição especificados na NBR ISO/IEC 27001 vai variar de acordo com o número de fatores significantes, incluindo os riscos de segurança da informação que a organização enfrenta, o tamanho da organização, recursos disponíveis, e requisitos legais, regulatórios e contratuais aplicáveis.

A seleção e a justificativa criteriosa do método usado para atender aos requisitos de medição são importantes para assegurar que recursos em excesso não sejam direcionados a estas atividades do SGSI em detrimento de outras. Em condições ideais, as atividades de medição em curso devem ser integradas nas operações normais da organização com um acréscimo mínimo de recursos.

Os objetivos da medição de Segurança da informação no contexto de um SGSI incluem: avaliar a eficácia dos controles ou grupos de controles implementados (ver “4.2.2 d)” na Figura 1); avaliar a eficácia do SGSI implementado (ver 4.2.3 b)” na Figura 1); verificar a extensão na qual os requisitos de segurança da informação identificados foram atendidos (ver “4.2.3 c)” na Figura 1); facilitar a melhoria do desempenho da segurança da informação em termos dos riscos de negócio globais da organização; fornecer entradas para a análise crítica pela direção para facilitar as tomadas de decisões relacionadas ao SGSI e justificar as melhorias necessárias do SGSI implementado.

A Figura 1 ilustra o relacionamento cíclico de entrada e saída das atividades de medição em relação ao ciclo Planejar-Fazer-Checar-Agir (PDCA), especificado na NBR ISO/IEC 27001. Os números em cada figura representam as subseções relevantes da NBR ISO/IEC 27001:2006.

Clique nas figuras para uma melhor visualização

figura-1_medicao

Convém que a organização estabeleça objetivos de medição baseados em certas considerações, incluindo: o papel da segurança da informação em apoiar as atividades globais da organização e os riscos que ela encara; requisitos legais, regulatórios e contratuais pertinentes; estrutura organizacional; custos e benefícios de implementar as medidas de segurança da informação; critério de aceitação de riscos para a organização; e a necessidade de comparar diversos SGSI dentro da própria organização. Convém que uma organização estabeleça e gerencie um Programa de Medição de Segurança da Informação, a fim de alcançar os objetivos de medição estabelecidos e adotar um modelo PDCA nas atividades de medição globais da organização.

Também convém que uma organização desenvolva e implemente modelos de medições, a fim de obter resultados repetitivos, objetivos e úteis da medição baseado no Modelo de Medição da Segurança da Informação (ver 5.4). Convém que o Programa de Medição de Segurança da Informação e o modelo de medição desenvolvidos assegurem que uma organização alcance efetivamente os objetivos e as medições de forma repetitiva e forneça os resultados das medições para as partes interessadas pertinentes de modo a identificar as necessidades de melhorias do SGSI implementado, incluindo seu escopo, políticas, objetivos, controles, processos e procedimentos.

Convém que um Programa de Medição de Segurança da Informação inclua os seguintes processos: desenvolvimento de medidas e medição (ver Seção 7); operação da medição (ver Seção 8); relato dos resultados da análise de dados e da medição (ver Seção 9); e avaliação e melhoria do Programa de Medição de Segurança da Informação (ver Seção 10). Convém que a estrutura organizacional e operacional de um Programa de Medição de Segurança da Informação seja determinada levando em consideração a escala e a complexidade do SGSI do qual ele é parte.

Em todos os casos, convém que os papéis e responsabilidades para o Programa de Medição de Segurança da Informação sejam explicitamente atribuídos ao pessoal competente ( ver 7.5.8). Convém que as medidas selecionadas e implementadas pelo Programa de Medição de Segurança da Informação, estejam diretamente relacionadas à operação de um SGSI, a outras medidas, assim como aos processos de negócio da organização.

As medições podem ser integradas às atividades operacionais normais ou executadas a intervalos regulares determinados pela direção do SGSI. Assim, o Modelo de Medição de Segurança da Informação é uma estrutura que relaciona uma necessidade de informação com os objetos relevantes da medição e seus atributos. Objetos de medição podem incluir processos planejados ou implementados, procedimentos, projetos e recursos.

O Modelo de Medição de Segurança da Informação descreve como os atributos relevantes são quantificados e convertidos em indicadores que fornecem uma base para a tomada de decisão. A Figura 2 mostra o modelo de medição de Segurança da Informação.

figura-2_medicao

Uma medida básica é a medida mais simples que pode ser obtida. A medida básica resulta da aplicação do método de medição aos atributos selecionados de um objeto de medição. Um objeto de medição pode ter muitos atributos, dos quais somente alguns podem fornecer valores úteis a serem atribuídos a uma medida básica. Um dado atributo pode ser usado para diversas medidas básicas.

Um método de medição é uma sequência lógica de operações usadas para quantificar um atributo de acordo com uma escala especificada. A operação pode envolver atividades, tais como a contagem de ocorrências ou observação da passagem do tempo. Um método de medição pode aplicar atributos a um objeto de medição.

Exemplos de um objeto de medição incluem mas não estão limitados a: desempenho dos controles implementados no SGSI; situação dos ativos de informação protegidos pelos controles; desempenho dos processos implementados no SGSI; comportamento do pessoal que é responsável pelo SGSI implementado; atividades de unidades organizacionais responsáveis pela segurança da informação; e grau da satisfação das partes interessadas.

Um método de medição pode usar objetos de medição e atributos de variadas fontes, tais como: análise de riscos e resultados de avaliações de riscos; questionários e entrevistas pessoais; relatórios de auditorias internas e/ou externas; registros de eventos, tais como logs, relatórios estatísticos, e trilhas de auditoria; relatórios de incidentes, particularmente aqueles que resultaram na ocorrência de um impacto; resultados de testes, por exemplo, testes de invasão, engenharia social, ferramentas de conformidade, e ferramentas de auditoria de segurança; ou registros de segurança da informação da organização relacionados a programa e procedimentos, por exemplo, resultados de treinamentos de conscientização em segurança da informação.

tabela-1_medicao

Uma medida derivada é um agregado de duas ou mais medidas básicas. Uma dada medida básica pode servir como entrada para diversas medidas derivadas. Uma função de medição é um cálculo usado para combinar medidas básicas para criar uma medida derivada. A escala e a unidade da medida derivada dependem das escalas e unidades das medidas básicas das quais ela é composta, assim como da forma como elas são combinadas pela função de medição.

A função de medição pode envolver uma variedade de técnicas, como média de medidas básicas, aplicação de pesos a medidas básicas, ou atribuição de valores qualitativos a medidas básicas. A função de medição pode combinar medidas básicas usando escalas diferentes, como porcentagens e resultados de avaliações qualitativas. Um exemplo do relacionamento de elementos adicionais na aplicação do modelo de medição de Segurança da informação, por exemplo, medidas básicas, função de medição e medidas derivadas são apresentadas na Tabela 2.

tabela-2_medicao

Um indicador é uma medida que fornece uma estimativa ou avaliação de atributos especificados derivados de um modelo analítico de acordo com a necessidade de informação definida. Indicadores são obtidos pela aplicação de um modelo analítico a uma medida básica e/ou derivada, combinando-as com critérios de decisão. A escala e o método de medição afetam a escolha das técnicas analíticas utilizadas para produzir os indicadores. Um exemplo de relacionamentos entre medidas derivadas, modelo analítico e indicadores para o modelo de medição de Segurança da informação é apresentado na Tabela 3.

tabela-3_medicao

Se um indicador for representado em forma gráfica, convém que possa ser usado por usuários visualmente debilitados e que cópias monocromáticas possam ser feitas. Para tornar a representação possível, convém que ela inclua cores, sombreamento, fontes ou outros métodos visuais.

Os resultados de medição são desenvolvidos pela interpretação de indicadores aplicáveis baseados em critérios de decisão definidos e convém que sejam considerados no contexto global dos objetivos de medição para avaliação da eficácia do SGSI. O critério de decisão é usado para determinar a necessidade de ação ou investigação futura, bem como para descrever o nível de confiança nos resultados de medição.

Os critérios de decisão podem ser aplicados a uma série de indicadores, por exemplo, para conduzir análise de tendências baseadas em indicadores recebidos a intervalos de tempo diferente. Alvos fornecem especificações detalhadas para desempenho, aplicáveis à organização ou partes dela, derivados dos objetivos de segurança da informação tais como os objetivos do SGSI e objetivos de controle, e que precisam ser definidos e atendidos para se alcançar esses objetivos.

Reduzindo a vulnerabilidade das suas senhas conforme a norma técnica

senha

Quer fazer um teste em sua empresa? Determine que os funcionários devem alterar suas senhas a cada 45 dias. Elas vão abrir uma guerra contra os os gestores de segurança da informação, quer apostar? A resistência a mudanças é tão grande que os funcionários sempre vão travar um verdadeiro duelo contra a política de segurança da informação.

É lógico que as empresas não falam sobre isso na campanha de conscientização ou na divulgação da política de segurança da informação, mas a empresa cria a regra sobre alteração de senha para atender aos requisitos de uma auditoria externa. São raríssimos os casos em que a organização define este tipo regra para melhorar a segurança.

Atualmente, há senhas do internet banking, do e-mail pessoal, do corporativo, da rede, da intranet, da rede social, do programa de mensagens instantâneas, cartão do banco, do blog, etc. Para ajudar ainda mais, a organização solicita que você crie uma nova senha complexa. Ou seja, deve contar letras maiúsculas e minúsculas, números e caracteres especiais.

No mundo moderno um problema sério se chama senhas. O maior pesadelo dos usuários – e dos profissionais – de TI. Sua função é que quem está acessando aquele recurso seja, de fato, quem solicitou acesso, mas, na prática, elas se tornam uma tremenda dor de cabeça. Por quê? Porque as pessoas tem aversão a tudo que envolva lembrar, decorar ou, em geral, aprender.

As pessoas não gostam de senhas, e isso se mostra de várias formas. Nos bancos, a maior parte dos atendimentos ocorrem porque um cliente, geralmente idoso, teve seu cartão bloqueado por ter digitado a senha incorreta três vezes. Uma pessoa que usa uma rede social, ao perder sua senha, em geral, ao invés de seguir os procedimentos padrões de recuperação, preferirá criar outro perfil.

Enfim, os problemas de segurança relacionados à senhas (ou à falta delas) são incontáveis e, certamente, não se resolverão da noite para o dia. São o reflexo de uma sociedade alienada vítima de um governo que, ao invés de investir na melhoria da qualidade da educação, prefere abrir cotas para os menos possibilitados de entrar no ensino superior.

A NBR 12896 de 11/1993 – Tecnologia de informação – Gerência de senhas fixa procedimentos a serem adotados para reduzir a vulnerabilidade das senhas nestas circunstâncias. A segurança oferecida por um sistema de senhas depende de estas senhas serem mantidas secretas durante todo o tempo em que estiverem em uso.

Assim, a vulnerabilidade de uma senha ocorre quando ela for utilizada, armazenada ou distribuída. Em um mecanismo de autenticação baseado em senhas, implementado em um Sistema de Processamento Automático de Dados (SPAD), as senhas são vulneráveis devido a cinco características básicas de um sistema de senhas, a saber: uma senha inicial deve ser atribuída a um usuário quando este for cadastrado no SPAD; os usuários devem alterar suas senhas periodicamente; o SPAD deve manter um banco de dados para armazenar as senhas; os usuários devem se lembrar de suas respectivas senhas; e os usuários devem fornecer suas respectivas senhas em tempo de conexão ao SPAD.

Os assuntos tratados nesta norma incluem as responsabilidades do Administrador de Segurança do Sistema (ASS) e dos usuários, a funcionalidade do mecanismo de autenticação, e a geração de senhas. Os aspectos relevantes são: os usuários devem estar aptos a alterar suas respectivas senhas; as senhas devem ser preferencialmente geradas pelo SPAD, em vez de o serem pelo usuário; o SPAD deve fornecer aos usuários informações sobre suas conexões ao ambiente. Por exemplo: data e hora da última conexão.

O ASS é responsável por gerar e atribuir a senha inicial para cada identidade de usuário. A identidade e a senha que lhe foram atribuídas devem, então, ser informadas ao usuário. Para evitar a exposição da senha ao ASS, ou anular uma exposição ocorrida, podem ser utilizados os métodos a seguir.

Evitando a exposição; há métodos que podem ser implementados para evitar a exposição da senha ao ASS, após esta ter sido gerada. Uma técnica é imprimi-la num formulário múltiplo selado, de maneira que não seja visível na página facial do formulário. O ASS deve manter, em local seguro, a guarda do formulário, até que este seja entregue ao usuário.

Neste caso, a senha é gerada aleatoriamente pelo SPAD, não sendo determinada diretamente pelo ASS. O formulário contendo a senha deve estar selado para que esta não seja visível e não possa tornar-se visível, sem a quebra do selo.

Um outro método, para evitar a exposição da senha, é o usuário estar presente no processo de geração desta. Neste caso, o ASS deve iniciar o processo de geração da senha, deixar que somente o usuário tenha acesso a esta e destrua a informação apresentada. Este método não se aplica a usuários em terminais remotos. Qualquer que seja o método utilizado para a distribuição de senhas, o ASS deve ser notificado do recebimento destas, dentro de um período de tempo predeterminado.

Anulando a exposição: quando a senha inicial for exposta ao ASS, esta exposição deve ser anulada por um procedimento normal de troca imediata desta senha pelo usuário, considerando que este procedimento não torne também a nova senha exposta ao ASS. Quando a senha inicial não for protegida de exposição ao ASS, a identidade do usuário deve ser considerada pelo sistema como tendo uma “senha expirada”, a qual requer que o usuário efetue procedimento de troca de senha (ver 4.2.2.3) antes de receber autorização para acessar o sistema.

Atribuição do nível de segurança: quando houver necessidade de compartimentar os direitos de acesso dos usuários, devem ser atribuídos níveis de segurança (por exemplo: “confidencial”, “reservado”, “secreto”) às senhas. A atribuição dos níveis de segurança é feita pelo ASS.

A norma inclui alguns Anexos: Anexo A – Determinação do comprimento da senha; Anexo B – Algoritmo de geração de senhas; Anexo C – Proteção básica para senhas; Anexo D – Algoritmo de cifração de senhas Anexo E – Procedimento para o uso em aplicações muito sensíveis; e Anexo F – Probabilidade de adivinhação de uma senha.

Material escolar: até 47,49% de impostos

A chegada do ano novo traz também a preocupação com a lista do material escolar. Como a educação é um dos itens que mais causam impacto no orçamento familiar, antes de sair às compras, os pais devem pesquisar os melhores preços, visto que  em alguns itens a  carga tributária equivale a quase metade do preço do produto, como a caneta, que tem  47,49% de impostos e a régua com 44,65%.

Em outros itens da lista os impostos também são salgados: o consumidor terá de desembolsado aos cofres públicos, pagando os tributos federais, estaduais e municipais,  em uma cola (42,71%), em um estojo (40,33%), em uma lancheira, (39,74%), no fichário (39,38%) e no papel sulfite (37,77%).

Quanto aos livros didáticos, apesar de  possuírem imunidade de impostos, a incidência de encargos sobre a folha de pagamento e o sobre o lucro da sua venda, faz também com que tragam uma carga tributária de 15,52%.

De acordo com o presidente do IBPT, João Eloi Olenike, “o Brasil é um dos poucos países do mundo que tributam a educação, e esse fator certamente dificulta o acesso dos brasileiros ao conhecimento e à boa formação. Se a tributação incidente sobre os materiais escolares não fosse tão elevada  a educação seria muito mais acessível aos consumidores”.

A Diretiva RoHS aplicada a equipamentos eletromédicos

NORMAS COMENTADAS

NBR 14039 – COMENTADA de 05/2005

Instalações elétricas de média tensão de 1,0 kV a 36,2 kV. Possui 140 páginas de comentários…

Nr. de Páginas: 87

NBR 5410 – COMENTADA de 09/2004

Instalações elétricas de baixa tensão – Versão comentada.

Nr. de Páginas: 209

NBR ISO 9001 – COMENTADA de 09/2015

Sistemas de gestão da qualidade – Requisitos. Versão comentada.

Nr. de Páginas: 28

José Carlos Boareto e Guilherme Valença da Silva Rodrigues

A primeira revisão da Diretiva RoHS (Restrição ao Uso de Substâncias Perigosas) foi lançada em 2002 e colocada em vigor em 2006. Nesta versão, os equipamentos eletromédicos eram deixados de fora das necessidades de eliminação de substâncias nocivas. No ano de 2010, foi lançada uma revisão da Diretiva, chamada RoHS 2 ou RoHS Recast.

Nesta revisão, foram introduzidas algumas alterações. Entre as mais fortes está a inclusão dos equipamentos eletromédicos com um cronograma para entrada em vigor. Lançaram-se ainda, após a RoHS 2, uma série de publicações, incluindo novas exceções que permitem o uso de substâncias em determinadas aplicações, e foram adicionadas novas substâncias.

Este artigo faz uma revisão do status atual da Diretiva, conforme a última versão consolidada de junho de 2015, a fim de atuar em conjunto com nossos clientes do setor eletromédico nas adaptações necessárias para, frente ao atual cenário econômico, explorar mercados internacionais de exportação. A Diretiva RoHS foi uma das ações da comunidade europeia com o intuito de redução do impacto ambiental de produtos eletroeletrônicos. Outras ações paralelas foram: WEEE, EuP, Ecodesign e REACH.

O foco específico da RoHS é eliminar o uso de substâncias que sabidamente são perigosas para a saúde humana e que possuem substituto técnica e economicamente viável. As substâncias inicialmente proibidas, constantes do anexo II da Diretiva, foram: chumbo (0,1%), mercúrio (0,1%), cádmio (0,01%), cromo hexavalente (0,1%), bifenilos polibromados (PBB) (0,1%), e éteres difenílicos polibromados (PBDE) (0,1%).

Em junho de 2015, foi publicada uma versão consolidada com uma atualização do anexo II, que inclui quatro novas substâncias: ftalato de bis (2-etil-hexilo) (DEHP) (0,1 %), ftalato de benzilo e butilo (BBP) (0,1 %), ftalato de dibutilo (DBP) (0,1 %) e ftalato de di-isobutilo (DIBP) (0,1 %). A restrição é direcionada a equipamentos eletrônicos das seguintes categorias: grandes eletrodomésticos; pequenos eletrodomésticos; equipamentos de informática e de telecomunicações; equipamentos de consumo; equipamentos de iluminação; ferramentas elétricas e eletrônicas; brinquedos e equipamentos de esportes e lazer; dispositivos médicos; instrumentos de monitoração e controle, incluindo instrumentos industriais de monitoramento e controle; distribuidores automáticos; e outros EEE não incluídos em nenhuma das categorias acima.

Não fazem parte da diretiva: os equipamentos necessários à defesa dos interesses essenciais dos estados membros no domínio da segurança, nomeadamente armas, munições e material de guerra destinado a fins especificamente militares; os equipamentos concebidos para serem enviados para o espaço; os equipamentos concebidos especificamente para serem instalados como componentes de outros tipos de equipamentos excluídos ou não abrangidos pela presente Diretiva, que só podem desempenhar a sua função quando integrados nesses outros equipamentos e que só podem ser substituídos pelo mesmo equipamento especificamente concebido; as ferramentas industriais fixas de grandes dimensões; as instalações fixas de grandes dimensões; os meios de transporte de pessoas ou de mercadorias, excluindo veículos elétricos de duas rodas que não se encontrem homologados; as máquinas móveis não rodoviárias destinadas exclusivamente a utilizadores profissionais; os dispositivos médicos implantáveis ativos; os painéis fotovoltaicos a serem utilizados num sistema concebido, montado e instalado por profissionais para utilização permanente num local definido, com o objetivo de produzir energia a partir de luz solar, para aplicações públicas, comerciais, industriais e residenciais; os equipamentos especificamente concebidos para fins de investigação e de desenvolvimento disponível exclusivamente num contexto entre empresas.

Além das aplicações acima determinadas, a Diretiva prevê ainda exceções à proibição de certas substâncias em aplicações específicas. Estas exceções estão apresentadas nos anexos III (Produtos em Geral) e IV (Eletromédicos e Monitoramento e Controle) e são atualizadas constantemente.

As exceções possuem um prazo de expiração e podem ou não ser renovadas. Outra importante atualização da RoHS 2 foi o vínculo desta diretiva com a Marca CE, o que significa que, para que um produto tenha a marca CE, é necessário que o produto esteja em conformidade com a Diretiva.

A categoria de equipamentos eletromédicos, devido em especial ao difícil processo de certificação, é tratada de forma especial pela Diretiva. A aplicação da restrição das substâncias atende a um cronograma, da seguinte forma: equipamentos eletromédicos – 22 de julho de 2014; equipamentos médicos para diagnóstico – 22 de julho de 2016; proibição das novas substâncias (DEHP, BBP, DBP e DIBP) – 22 de julho de 2021.

Desta forma, a maioria dos equipamentos eletromédicos já está em período de obrigatoriedade frente às seis substâncias originalmente restritas há mais de um ano. Várias exceções específicas para equipamentos eletromédicos foram lançadas no anexo IV da segunda revisão da Diretiva RoHS.

Após 2011, foram publicadas atualizações das exceções em 2012, 2013, 2014 e 2015. Um exemplo destas exceções é o uso de chumbo para montagem de placas eletrônicas de equipamentos eletromédicos portáteis das classes IIa e IIb da Diretiva 93/42/CEE (exceção esta prevista para expirar em junho de 2016 para equipamentos da classe Iia). Outras exceções que têm relação com produtos médicos são apresentadas na tabela abaixo:

Clique na figura para uma melhor visualização

certi

A responsabilidade de garantir a conformidade com a Diretiva é de quem coloca o produto no mercado europeu. Entretanto, a Diretiva aceita o repasse de responsabilidade através da cadeia de suprimentos. Isto é necessário para garantir não só que o produto esteja conforme no momento de seu desenvolvimento, mas que mantenha este status durante todo o seu ciclo de vida.

Entre as responsabilidades que o fabricante do produto tem, estão: emitir uma declaração de conformidade; criar um Documento de Comprovação de Conformidade (Technical Compliance File); aceitar ou realizar testes analíticos de partes que compõem o produto; guardar a declaração de conformidade e o documento de comprovação de conformidade por no mínimo dez anos após o produto ter sido colocado no mercado; obter marcação CE para comprovar conformidade.

A norma apresenta no anexo VI um modelo que pode ser utilizado para emissão de uma declaração de conformidade. Entretanto, a criação do documento de comprovação de conformidade demanda um processo mais complexo.

O método mais utilizado é apresentado na norma harmonizada pela comunidade europeia EN 50581:2012. Ela prevê uma descrição completa da lista de materiais e geração de uma matriz de risco, incluindo cada item da lista.

O risco de cada item pode solicitar diferentes ações, entre elas: solicitação de declaração de conformidade; solicitação de declaração de materiais; análise química analítica inicial; análise química analítica periódica; e auditorias do local da produção do item. O resultado de todas estas ações, organizado juntamente com a matriz de análise de risco, pode ser utilizado como comprovação de conformidade.

Existem alguns sistemas que auxiliam na criação e atualização destes documentos. Entretanto, a qualidade da documentação gerada por estes sistemas depende ainda da qualidade da documentação emitida pelos fornecedores das partes do produto.

Muitos fabricantes ainda enfrentam dificuldades com fornecedores locais para adequação de seus produtos. A introdução de novas substâncias é, neste caso, um complicador adicional.

Finalmente, o desenvolvedor e o fabricante do produto são responsáveis também pela confiabilidade do mesmo. A alteração de materiais no produto é sempre um item de preocupação, pois materiais diferentes possuem comportamentos diferentes que podem levar a novas falhas.

Foi com o intuito de prover algum tempo para que os fabricantes de equipamentos eletromédicos garantam a confiabilidade de seus produtos, mesmo utilizando soldas sem chumbo, que as exceções foram criadas. Entretanto, já em 2016, uma destas exceções expira: equipamentos da classe Iia. A preparação para eliminação do chumbo da montagem das placas eletrônicas é um processo que demanda esforço e tempo e, se deixado para última hora, pode criar dificuldades na manutenção do certificado de conformidade, ou mesmo levar à colocação de produtos de baixa confiabilidade no mercado.

Enfim, a restrição ao uso de substâncias perigosas é algo em constante atualização. Uma vez que novos desenvolvimentos são feitos e que novas tecnologias são disponibilizadas à indústria, o critério utilizado para as exceções muda.

Os equipamentos eletromédicos, por sua vez, são produtos cujo tempo de desenvolvimento e validação são longos e estas mudanças nas restrições sempre geram impactos. A comunidade europeia entende isso e, portanto, sempre destina mais tempo para que as empresas deste setor adaptem seus produtos.

É importante que este tempo seja utilizado. Deixar para última hora para, por exemplo, alterar a montagem das placas para lead-free, pode ser muito prejudicial à empresa. O LABelectron conta com uma equipe especializada, tanto na criação de documentação de suporte à geração de uma declaração de conformidade, quanto no desenvolvimento de processos em conformidade com a Diretiva RoHS e na análise da confiabilidade destes produtos. O LABelectron pode ser um parceiro para sua empresa nestes aspectos.

Referências bibliográficas

● UNIÃO EUROPEIA. Directiva 2011/65/EU do Conselho, de 08 de Junho. Jornal Oficial das Comunidades Europeias L 174/88, 2011.

● UNIÃO EUROPEIA. Directiva 2012/19/EU do Conselho, de 04 de Julho. Jornal Oficial das Comunidades Europeias L 197/38, 2012.

● UNIÃO EUROPEIA. Directiva 2014/1/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/45, 2013.

● UNIÃO EUROPEIA. Directiva 2014/3/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/49, 2013.

● UNIÃO EUROPEIA. Directiva 2014/7/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/57, 2013.

● UNIÃO EUROPEIA. Directiva 2014/10/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/63, 2013.

● UNIÃO EUROPEIA. Directiva 2014/12/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/67, 2013.

● UNIÃO EUROPEIA. Directiva 2014/13/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/69, 2013.

● UNIÃO EUROPEIA. Directiva 2014/15/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/73, 2013.

● UNIÃO EUROPEIA. Directiva 2014/16/EU do Conselho, de 18 de Outubro. Jornal Oficial das Comunidades Europeias L 4/75, 2013.

● UNIÃO EUROPEIA. Directiva 2014/70/EU do Conselho, de 13 de Março. Jornal

Oficial das Comunidades Europeias L 148/74, 2014.

● UNIÃO EUROPEIA. Directiva 2014/71/EU do Conselho, de 13 de Março. Jornal

Oficial das Comunidades Europeias L 148/76, 2014.

● UNIÃO EUROPEIA. Directiva (EU) 2015/573 do Conselho, de 30 de Janeiro. Jornal Oficial das Comunidades Europeias L 94/4, 2015.

● UNIÃO EUROPEIA. Directiva (EU) 2015/574 do Conselho, de 30 de Janeiro. Jornal Oficial das Comunidades Europeias L 94/6, 2015.

● DEPARTMENT FOR BUSINESS INNOVATION E SKILLS. Restriction of hazardous substances (RoHS) Regulations 2012: government guidance notes for rohs 2. London, 2014.

● LINDSAY, Iand. European directives: an overview for OEMs and system integrators. Reino Unido: Copyright, 2015.

● CALDER, James. How will the european directive ‘RoHS 2’ impact the medical device industry? Journal of medical device regulation, 2012.

● SILVEIRA, M. A. et al. Inovação e sustentabilidade no setor de equipamentos eletromédicos brasileiro: projeto piloto para adequação de grupo de empresas a requisitos ambientais.

● COCIR. Edma diagnostic fot health. Eucomed medical technology. RoHS 2 obligations for medical devices and IVDS: frequently asked questions, 2014.

● EUROPEAN COMMISSION. COMMISSION DELEGATED DIRECTIVE ../…/EU of 31.3.2015: amending Annex II to Directive 2011/65/EU of the European Parliament and of the Council as regards the list of restricted substances. 2015

● EUROPEAN COMMISSION. RoHS FAQ. 2012

● UL LLC. Impact of rohs 2 on eu medical device notified body submissions. 2013

● SILVEIRA, A. M. et al. Eliminação de substâncias perigosas e de resíduos de equipamentos da indústria eletrônica: adequação de empresas de equipamentos eletromédicos à RoHS, WEEE e PNRS. XXXII encontro nacional de engenharia de produção. Rio Grande do Sul, 2012.

José Carlos Boareto e Guilherme Valença da Silva Rodrigues são servidores do LABelectron – www.labelectron.org.br – (48) 99155519 – labelectron@certi.org.br

A importância de educar digitalmente seus funcionários

Aterramento e a Proteção de Instalações e Equipamentos Sensíveis contra Raios: Fatos e Mitos – A partir de 3 x R$ 257,81 (56% de desconto)

Proteção contra Descargas Atmosféricas de acordo com a Nova NBR 5419 de 06/2015 – A partir de 3 x R$ 264,00 (56% de desconto)

Todos precisam recorrer à ajuda dos especialistas em TI de vez em quando. Mesmo quem não tem dificuldades para alterar configurações no computador ou instalar e atualizar softwares, muitas vezes, sente-se em apuros ao sofrer um ciberataque. O que você faria se perdesse o smartphone da empresa, que contém dados sigilosos de vendas? Ou se o computador do escritório fosse infectado por um vírus que exclui ou transfere dados importantes e necessários para o seu trabalho?

Geralmente, ao pedir ajuda da equipe de TI, já ocorreu uma violação das políticas de segurança. O maior risco é a perda ou roubo de dados, que podem resultar diretamente em prejuízos para a empresa, como tempo de inatividade, perda de clientes, danos à reputação, roubo de dinheiro das contas da empresa, divulgação de informações confidenciais, etc.

Há medidas que podem ser tomadas para evitar que estes episódios ocorram, melhorando o cuidado de cada um em relação a sua própria segurança digital. Lembre-se de que os executivos da empresa formam a linha de frente da defesa virtual e muitas coisas dependem de sua conduta. Os especialistas da Kaspersky Lab reuniram regras simples que protegerão você e a sua empresa de ataques. Algumas delas podem parecer óbvias, mas muitas empresas têm detectado tarde demais que seus funcionários não as seguem.

Não confie em e-mails suspeitos

  • Ao receber um e-mail com um link estranho, um anexo ou uma solicitação de dados privados ou corporativos, não o abra imediatamente, mesmo que tenha sido enviado de um endereço conhecido. Provavelmente, são cibercriminosos tentando enganá-lo para obter acesso a informações confidenciais da empresa.
  • Não clique imediatamente nos links, mesmo que pareçam conhecidos. Passe o mouse sobre o link e verifique se o endereço coincide com o endereço do e-mail (ele é exibido na janela que é aberta).
  • Não presuma que um e-mail com um link, anexo ou solicitação de dados pessoais é seguro só porque veio de um endereço conhecido. Confirme se ele foi mesmo enviado por seu colega ou amigo.
  • Não use seu endereço de e-mail corporativo para atividades pessoais; se o fizer, mais cedo ou mais tarde, receberá e-mails de phishing com avisos do Facebook ou LinkedIn.


Use somente pendrives USB que foram verificados

Evite usar dispositivos USB de outras pessoas. Se for imprescindível, primeiro faça uma verificação de malware da memória USB. Cuidado com qualquer dispositivo de armazenamento recebido como presente, especialmente se você não conhece a pessoa que te presenteou. Os pen drives USB são ótimos para armazenar ou transferir dados, mas também são fáceis de perder e roubar, portanto, os dados gravados na mídia de armazenamento devem estar criptografados para que não sejam úteis a terceiros.

Não se esqueça das atualizações

Cibercriminosos não dormem em serviço! Eles estão sempre buscando maneiras de invadir redes corporativas. Não deixe de fazer rapidamente todas as atualizações sugeridos pelo seu sistema operacional e pelos aplicativos instalados em seus dispositivos. Não espere até que seja tarde demais.

Redes públicas de Wi-Fi não são seguras

Ao usar o Wi-Fi em locais públicos, tente se conectar somente a redes de grandes empresas de telecomunicações, que têm conexões seguras. Não entre em redes sem proteção ou redes privadas desconhecidas. Se estiver em um Wi-Fi público. sempre que possível, use conexões de VPN para trabalhar com documentos da empresa. Ao usar seu dispositivo em um lugar público, preste atenção, pois as pessoas ao seu redor podem ver as informações na tela ou adivinhar uma senha que você digite.

Cuidado ao colocar informações pessoais ou corporativas nas redes sociais

Cuidado com as informações que você coloca nas redes sociais. Lembre-se de que qualquer informação pode se tornar pública. Nunca inclua informações importantes em seu perfil público. Não adicione pessoas desconhecidas como amigos. Verifique as recomendações e os amigos em comum para ter certeza de que não se trata de um criminoso querendo ganhar sua confiança.

Não deixe outras pessoas usarem a câmera de seus dispositivos

Se o dispositivo tiver uma webcam, sempre desconfie. Um criminoso pode obter acesso à câmera sem você perceber, e eles não precisam nem de um software especial para fazer isso. Sempre que você usar o Skype ou qualquer outro aplicativo de comunicação com a câmera ativa, fique atento! Ao terminar a conversa, pressione o botão para encerrar a telecomunicação. Não basta fechar a caixa de diálogo, achando que a comunicação foi desligada. Lembre-se de que é possível gravar qualquer conversa pela câmera sem você saber. Quando não estiver usando a câmera, ela deve ficar coberta. Não atenda chamadas de vídeo de estranhos.

Não ignore a linha de frente da defesa virtual individual

Ninguém gosta de usar senhas longas e complexas em seus dispositivos, especialmente quando elas são diferentes em cada dispositivo. É difícil lembrar-se de todas, e também não é fácil mudá-las regularmente. No entanto, essa é a linha de frente de defesa e é essencial contra os crimes virtuais. Não é possível ignorar o fato de que uma senha simples facilita o acesso dos criminosos a seus dados pessoais e corporativos. Quanto maior for a senha, mais confiável será a proteção que ela proporciona ao dispositivo contra roubo de dados e hackers. As senhas devem combinar caracteres, números e símbolos. Não use a mesma senha em todos os dispositivos e contas. Troque suas senhas periodicamente. Não guarde suas senhas nos dispositivos, especialmente quando eles não são criptografados.

É muito fácil invadir, perder ou roubar dispositivos móveis

Lembre-se: quanto menor for o dispositivo, mais fácil será perdê-lo ou esquecê-lo em algum lugar, ou mesmo tê-lo roubado. Sempre cuide de seus dispositivos enquanto viaja ou está em lugares públicos. Sempre guarde o dispositivo enquanto estiver prestando atenção em outra coisa ou ao terminar de usá-lo. Não esqueça que apenas uma senha não é o suficiente para proteger um dispositivo. Use outras ferramentas de proteção, como a criptografia de dados e o controle remoto fornecido por políticas de segurança. Elas permitem  bloquear remotamente seu dispositivo ou apagar dados importantes caso ele seja perdido ou roubado.