Os riscos de segurança em software para a saúde

No passado, os softwares relacionados à saúde eram aplicados principalmente em funções administrativas relativamente não críticas, nas quais o potencial de causar danos ao paciente era baixo em contraste com o risco de interrupção da organização.

No passado, os softwares relacionados à saúde eram aplicados principalmente em funções administrativas relativamente não críticas, nas quais o potencial de causar danos ao paciente era baixo em contraste com o risco de interrupção da organização. Geralmente, os sistemas clínicos não eram sofisticados e frequentemente apresentavam um grande conteúdo administrativo (e não clínico) e pouco apoio à decisão. Mesmo os sistemas de apoio à decisão clínica tendiam a ser leves, relativamente simples e compreensíveis em sua lógica, e usados como um complemento básico para as decisões, em vez de constituir-se em uma grande influência na qual se confia rotineiramente.

Isso mudou e continuará a mudar substancialmente. A natureza destas mudanças aumentará o potencial de riscos para os pacientes. Têm ocorrido alguns incidentes negativos de grande destaque relacionados com software clínico, por exemplo, na área de triagem e recepção de pacientes e/ou recall, nos quais os problemas de funcionamento do software resultaram em falha ao chamar pacientes em risco. Tais incidentes não só causaram angústia para muitos pacientes envolvidos, mas também podem ter levado a mortes prematuras.

A confiança do público foi gravemente prejudicada. O escopo de triagem de doenças está aumentando significativamente, e é nesses aplicativos, que envolvem um grande número de indivíduos, que haverá grande dependência, tanto administrativa como clínica, de softwares para detectar elementos normais e anormais e para chamar ou processar aqueles considerados como estando em risco. Tal software precisa ser seguro para o propósito a que se destina.

Existe uma preocupação crescente em todo o mundo com o número substancial de incidentes clínicos evitáveis que causam um efeito adverso nos pacientes e dos quais uma proporção significativa resulta em morte evitável ou incapacidade grave. Vários destes incidentes evitáveis envolvem diagnósticos ou outras decisões inconsistentes ou erradas. Muitas vezes um fator contribuinte é a informação em falta ou incompleta, ou simplesmente ignorância, por exemplo, a respeito de opções clínicas em circunstâncias difíceis ou reações cruzadas de tratamentos.

Cada dia está mais confirmado que os sistemas de informação, como apoio à decisão, protocolos, diretrizes e linhas de cuidado, poderiam reduzir acentuadamente estes efeitos adversos. Somente este motivo (independentemente de outros que existem) está conduzindo ao aumento na utilização de sistemas de apoio à decisão e de gerenciamento de doenças, que, inevitavelmente, se tornarão mais sofisticados e complexos.

Também se pode prever que, devido às pressões de tempo e dos aspectos médico-legais, os clínicos dependerão cada vez mais destes sistemas com menos questionamentos sobre seu resultado. De fato, à medida que estes sistemas se tornam integrados aos cuidados médicos, qualquer falha em usar instalações, padrão de apoio pode ser criticada por motivos legais. Pode-se prever um aumento no suporte à decisão não somente no tratamento clínico, mas também em outras áreas importantes para a segurança do paciente, como a tomada de decisão de encaminhamento, em que a falha em realizar um encaminhamento correto ou realizar um encaminhamento a tempo pode causar graves consequências.

Pressões econômicas também estão levando a mais sistemas de suporte à decisão. A área de prescrição genérica e/ou econômica é a mais óbvia, sendo outra a economia no número e custo de ensaios de investigação clínica. Sistemas como os de suporte à decisão têm um considerável potencial para reduzir erros clínicos e melhorar a prática clínica. Por exemplo, um grande corpo de evidências publicadas oferece testemunho da redução de erros e incidentes adversos, resultantes da implantação da prescrição eletrônica.

No entanto, todos estes sistemas também carregam o potencial de causar dano. Os danos podem, obviamente, resultar do uso sem questionamentos e/ou não profissional, embora os fabricantes possam mitigar estas circunstâncias por meio de, por exemplo, instruções de uso, treinamento e técnicas de apresentação na tela, orientação ou instrução. O potencial de dano pode estar igualmente no projeto de sistema, em áreas como: fraca base de evidências para o projeto; falha na lógica do projeto em representar adequadamente as intenções de projeto; falha na lógica para representar boa prática ou evidências na fase de projeto; apresentação insatisfatória ou confusa da informação ou funcionalidades de busca precárias; falha em atualizar em sincronia com o conhecimento mais atual.

Algumas destas deficiências de sistemas são insidiosas e podem ser invisíveis ao usuário. Em muitos sistemas nacionais de saúde, é evidente um aumento substancial nos gastos com gestão da informação e tecnologia. Os cronogramas associados são apertados e as metas são ambiciosas. Pode-se esperar que este aumento no gasto atraia novos fabricantes e alguns destes podem ser inexperientes nos processos de assistência à saúde.

Esta circunstância pode levar a um ambiente de aumento nos riscos ao bem-estar do paciente. Parte da explosão na tecnologia de informação e comunicação previsível ocorrerá na telemedicina. Muitos dos produtos de software para saúde que suportam estes aplicativos serão inovadores e não experimentados, e a distância entre clínicos e pacientes aumentará a possibilidade de erros assim como os tornará menos evidentes.

Da mesma forma, o aumento no uso de dispositivos móveis inovadores e o seu uso em novos campos provavelmente estão associados a riscos. Considerando que se está a muitos anos de distância de hospitais sem papel e sem filme, as práticas de clínica geral estão indo nesta direção. A incapacidade de recorrer ao papel e filmes traz maior dependência de computadores e bancos de dados. Corrupção e perda de dados podem não apenas trazer caos administrativo, mas também podem afetar o atendimento ao paciente de forma significativa.

Em suma, o potencial de causar danos aos pacientes decorrentes do uso de tecnologias de informação e comunicação (TIC) em aplicações para a saúde aumentará, à medida que o uso de TIC em aplicações de saúde cresça, a sofisticação dos aplicativos aumente e a confiança nas TIC cresça. Há evidência de crescente preocupação entre os profissionais e o público com incidentes de mau funcionamento de software que levam a consequências adversas à saúde, aumentando a conscientização do público.

Consequentemente, várias organizações de saúde estão cada vez mais concentradas nos padrões de garantia de controles, incluindo aqueles sobre governança e gerenciamento de risco. Uma característica importante destes controles consiste no gerenciamento de risco no contexto de danos aos pacientes e deficiências na qualidade assistencial. Estes controles geralmente envolvem a compra e a aplicação de produtos de software para a saúde.

Falhas e deficiências em produtos de software para a saúde podem, é claro, apresentar impactos adversos, além de causar danos aos pacientes. Elas podem, por exemplo, criar inconveniências administrativas ou mesmo gerar caos administrativo, com uma variedade de possíveis impactos na organização, incluindo perdas financeiras. O dano causado a um paciente também pode resultar em impacto na organização, como perdas financeiras resultantes de litígios.

Considerando que estes impactos organizacionais adversos serão significativos para uma organização, eles não são objeto desta especificação técnica, a menos que resultem em danos a um paciente. Por exemplo, a falha do sistema central de administração de pacientes de um hospital certamente causará transtornos administrativos substanciais, mas este impacto adverso não está, por si mesmo, no escopo desta especificação técnica, a menos que tenha o potencial de causar danos a um paciente (o que é possível).

O tema desta especificação técnica é o dano potencial ao paciente. Em muitos países assegura-se a segurança de medicamentos e de dispositivos médicos por meio de uma diversidade de medidas legais e administrativas; por exemplo, na União Europeia se está sujeito a várias diretivas da UE. Estas medidas são, muitas vezes, apoiadas por uma série de normas relacionadas com a segurança, provenientes de várias fontes, nacionais e internacionais, incluindo a International Organization for Standardization (ISO), o European Committee for Standardization (CEN) e a International Electrotechnical Commission (IEC).

Estes controles legislativos frequentemente abrangem o software necessário para a aplicação ou funcionamento correto de um dispositivo médico. No entanto, outros softwares aplicados à saúde geralmente não estão cobertos desta maneira. Esta especificação técnica se refere ao software aplicado à saúde, excluindo o que é necessário para a aplicação ou funcionamento corretos de um dispositivo médico. Um precursor necessário para estabelecer e implementar controles apropriados de projeto e produção, para minimizar os riscos aos pacientes decorrentes do mau funcionamento do produto ou do seu desempenho inadequado, é um entendimento claro dos riscos que um produto pode apresentar aos pacientes se puder ocorrer mau funcionamento ou um evento não intencional, e a possibilidade deste mau funcionamento ou evento causar danos ao paciente.

Além disso, se os fabricantes de produtos de software para a saúde forem orientados no projeto e controle de produção (e os correspondentes padrões produzidos), então será preciso reconhecer que os controles necessários para produtos com baixo risco não serão os mesmos que para aqueles apresentando riscos elevados. Os controles precisam corresponder ao nível de risco que um produto pode representar para um paciente.

Com este fim, muitos padrões, legislações e especificações que lidam com o controle de riscos, tanto em projeto como em produção, agrupam produtos em um número limitado de classes ou tipos, de acordo com o risco que podem representar. Esta especificação técnica apresenta um processo para este tipo de agrupamento de produtos de software para a saúde. Ela propõe cinco classes de risco e facilitará uma ampla triagem de tipos genéricos de produtos e de produtos individuais, de forma a permitir diferentes níveis, ou rigor, na aplicação de controles de projeto e produção compatíveis com o risco.

Assim, a classificação proposta pode ser a precursora para padrões de projeto e de controles de produção, em que os últimos podem requerer uma análise de risco muito mais detalhada, aprofundada e rigorosa para um produto específico daquele requerido para o processo de classificação mais amplo descrito nesta especificação técnica. São oferecidos exemplos da aplicação do processo de atribuição de uma classe de risco para vários tipos diferentes de produtos de software de saúde.

O termo produtos de software para a saúde refere-se a qualquer produto de software para a saúde, esteja ou não colocado no mercado, e esteja à venda ou seja distribuído gratuitamente. Esta especificação técnica, portanto, abrange produtos comerciais, bem como, por exemplo, software de código aberto e softwares criados para, e usados em, uma única organização de saúde, como um hospital. Existe uma ampla gama de produtos de software para a saúde, que vão desde simples bancos de dados de pesquisa até sistemas de chamadas e rechamadas, suporte a decisões clínicas, sistemas de registros eletrônicos de saúde, sistemas de despacho de ambulância, sistemas de laboratório clínico hospitalar e sistemas de clínica geral. O Anexo B fornece quatro exemplos da aplicação desta especificação técnica a diferentes produtos de software para a saúde. Entretanto, qualquer software que seja necessário para o uso adequado ou para o funcionamento de um dispositivo médico está fora do escopo desta especificação técnica.

A ABNT ISO/TS25238 de 09/2019 – Informática em saúde – Classificação dos riscos de segurança em software para a saúde preocupa-se com a segurança dos pacientes e fornece orientação sobre a análise e a categorização dos perigos e riscos que os produtos de software para a saúde apresentam para os pacientes, a fim de permitir a classificação de qualquer produto em uma das cinco classes de risco. É aplicável aos perigos e riscos que podem causar danos a um paciente. Outros riscos, como riscos financeiros ou organizacionais, estão fora do escopo desta especificação técnica, a menos que tenham potencial de prejudicar um paciente.

É aplicável a qualquer produto de software para a saúde, quer seja ou não colocado no mercado, e esteja à venda ou seja gratuito. São oferecidos exemplos da aplicação do esquema de classificação. Não se aplica a qualquer software que seja necessário para a correta aplicação ou para o funcionamento de um dispositivo médico. Destina-se a classificar o software para a saúde em classes de risco amplas, para auxiliar em decisões como, por exemplo, quais controles convém que sejam aplicados para garantir a segurança. Não se destina à aplicação da análise de risco e gerenciamento de risco ao projeto de produtos de software para a saúde e à mitigação de quaisquer riscos identificados a níveis aceitáveis (ver Anexo A).

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais os perigos de uma atribuição de categorias de consequência?

Qual é a atribuição de possibilidade a consequências?

Qual é o conceito das classes de risco?

Como executar a análise de consequências?

Qual é o relacionamento de classes de risco ao projeto e controle de produção de produtos?

Convém que os fabricantes de produtos de software para a saúde possuam um claro entendimento dos perigos que o seu produto pode representar para um paciente, se ele funcionar de maneira errada ou causar um evento inesperado, e do grau de possibilidade de que o perigo se concretize se ele ocorrer em circunstâncias razoáveis de uso. Este conhecimento é necessário para a extensão e natureza das medidas de controle necessárias e o rigor com que elas precisam ser aplicadas, assim como para reduzir os riscos aos pacientes a níveis aceitáveis, por exemplo, por meio de medidas como características inerentes de projeto, instruções de uso e treinamento de indução.

O que é tolerável dependerá das circunstâncias e das atuais visões da sociedade e reguladores. O precursor essencial para este processo é realizar uma análise de perigos e riscos. Existem diversas abordagens para realizar as análises de perigos e riscos, sendo que todas compartilham um conjunto de conceitos básicos. Os padrões, diretrizes e publicações existentes tendem a focar em setores específicos de atividade (por exemplo, sistemas de segurança eletrônica, aeronáutica) ou áreas de conhecimento (por exemplo, riscos financeiros, riscos à propriedade, riscos à segurança de dados pessoais).

Desta forma, necessitam de interpretações no contexto de produtos de software para saúde. Esta especificação técnica se inspira em uma diversidade de fontes para se manter alinhada com princípios geralmente aceitos. A Bibliografia fornece uma lista de fontes de informação úteis no contexto. Ao considerar a abordagem a ser adotada para produtos de software para a saúde, tem-se que atentar para como os dispositivos médicos são classificados e controlados em termos de segurança. O Anexo A trata desta matéria.

A seguir são apresentados alguns dos conceitos básicos, na forma como são utilizados nesta especificação técnica. Esta seção não pretende abranger todos os aspectos da análise de perigo/risco. O risco para a segurança de um paciente ou pacientes a partir de um produto de software para a saúde dependerá das possíveis consequências que podem resultar, se o produto funcionar de forma errada ou resultar em um evento ou eventos adversos, e da possibilidade de que estas consequências possam acontecer de fato.

Desta forma, o risco possui dois aspectos: consequência e probabilidade. O ISO Guide 51 define risco como a combinação da probabilidade de um evento e sua consequência, enquanto esta especificação técnica define risco como a combinação da possibilidade de ocorrência de dano e a gravidade deste dano (2.7). A probabilidade que um perigo se concretize pode, em alguns domínios, ser quantitativamente representada como uma probabilidade que pode estar baseada em análises de falhas históricas ou experimentais e estatísticas de incidentes.

É muito improvável que esta situação ocorra com a segurança de produtos de informática em saúde, uma vez que estas estatísticas e evidências não estão disponíveis e, desta forma, são necessários julgamentos qualitativos. Ainda que a probabilidade possa ser representada qualitativamente, o termo possibilidade representa melhor este significado e é usado nesta especificação técnica.

O ISO Guide 73:2002 define risco como a combinação da probabilidade de um evento e sua consequência”. Esta definição possui os mesmos problemas que o uso do termo probabilidade ao invés de possibilidade. Entretanto, esta especificação técnica está focada somente em eventos que são propensos a causar dano a pacientes e a gravidade deste dano, mais do que outros eventos.

Desta forma, não é usado o termo evento. A consequência, ou seja, o dano ao paciente, pode ocorrer de diferentes formas, variando da morte a inconvenientes menores, por exemplo. Consequências podem ser categorizadas. Estas categorias precisam ser interpretadas de acordo com a sua esfera de aplicação, neste caso a aplicação de TIC à saúde.

Esta Especificação Técnica propõe cinco categorias de consequências, cada uma com uma descrição de seu escopo (ver 5.2). A possibilidade de um perigo se concretizar em circunstâncias razoavelmente previsíveis pode, em alguns domínios, ser quantitativamente representada como uma probabilidade que pode estar baseada em análises históricas ou experimentais de falhas e na análise de incidentes.

É muito improvável que este seja o caso para a segurança de produtos de software para a saúde para os quais não estão disponíveis estatísticas e evidências e, deste modo, são necessários julgamentos qualitativos. Esta especificação técnica propõe cinco categorias de possibilidade, cada uma com uma descrição de seu escopo (ver 5.3). Como notado anteriormente, o risco para a segurança de um paciente ou pacientes de um produto de software para a saúde depende das possíveis consequências que podem ocorrer se o produto tiver mau funcionamento ou resultar em um ou mais eventos adversos, e da possibilidade de que estas consequências possam ocorrer de fato. O nível de riscos pode ser representado em uma matriz de riscos na qual a possibilidade e a consequência são suas duas dimensões (ver tabela abaixo).

Cada célula da matriz representa um nível de risco. Desta forma, na matriz de risco da tabela, as 25 células representam 25 resultantes de risco, que diminuem de gravidade ao mover-se diagonalmente do quadrante superior esquerdo para o inferior direito. Estas resultantes de risco podem ser agrupadas em classes como as seguintes: a classe de risco mais alta pode ser um grupo de células na parte superior esquerda, como 1, 2 e 3; a classe de risco mais baixa pode ser um grupo de células na parte inferior direita, como 4, 5 e 6.

As células na matriz de riscos podem, desta forma, ser preenchidas com classes de risco. Ao agrupar conjuntos de células em uma classe, considerações precisam ser tomadas sobre as circunstâncias no setor de aplicação e os significados atribuídos a cada categoria de consequência e possibilidade. O objetivo é reduzir a complexidade por meio da identificação de células que representem de forma ampla um grau similar de risco ao paciente e agrupá-las em uma classe com este perfil. Assim, uma consequência menor, com uma alta possibilidade, geralmente pode se equiparar a uma consequência pior, mas com menor possibilidade. Esta especificação técnica propõe cinco classes de risco.

O controle e as comunicações de dados em tratores agrícolas ou florestais

Atualmente, está disponível um sistema de comunicações para equipamentos agrícolas com base no protocolo da ISO 11898-2.

A NBR ISO 11783-1 de 08/2019 – Tratores e máquinas agrícolas e florestais — Rede serial para comunicação de dados e controle – Parte 1: Padrão geral para comunicação de dados móveis especifica uma rede serial de dados para controle e comunicações em tratores agrícolas ou florestais e implementos montados, semimontados, rebocados ou autopropelidos. Sua finalidade é padronizar o método e o formato de transferência de dados entre sensores, atuadores, elementos de controle, unidades de armazenamento e exibição de informações, montados ou se forem parte do trator ou implemento. Ela é destinada a fornecer interligação de sistema aberto (Open System Interconnect – OSI) para sistemas eletrônicos utilizados por equipamentos agrícolas e florestais. Fornece uma visão geral da NBR ISO 11783.

Para desenvolvedores de aplicações segundo a NBR ISO 11783, o conteúdo desta base de dados eletrônicos fornece a listagem atual das designações de endereços, designações de identidade e definições de parâmetros da NBR ISO 11783-1 que foram designadas e que estão oficialmente registradas pela SAE J1939. Estas informações são encontradas na base de dados on-line no website da ISOBUS (http://www.isobus.net/).

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais os termos abreviados usados nessa norma?

Qual seria uma estrutura de conexão física típica da rede do trator/implemento?

Qual seria uma topologia típica da rede da NBR ISO 11783?

Como seria a interface do computador de gerenciamento da fazenda?

O que contém a base de dados eletrônicos da NBR ISO 11783-1?

A NBR ISO 11783 especifica um sistema de comunicações para equipamentos agrícolas com base no protocolo da ISO 11898-2. Os documentos SAE J19391, em que as partes da NBR ISO 11783 são baseadas, foram desenvolvidos em conjunto para uso em aplicações de caminhões e ônibus e para aplicações na construção e agricultura. Documentos conjuntos foram concluídos para permitir que as unidades eletrônicas que atendem às especificações SAE J1939 de caminhões e ônibus sejam utilizadas por equipamentos agrícolas e florestais com alterações mínimas.

Informações gerais sobre a NBR ISO 11783 podem ser encontradas nesta parte da NBR ISO 11783. O objetivo da NBR ISO 11783 é fornecer um sistema aberto e interligado para sistemas eletrônicos embarcados. Ela é destinada a permitir que unidades de controle eletrônico (ECU) se comuniquem entre si, fornecendo um sistema padronizado.

A interligação de sistemas abertos (OSI) especificada na ISO/IEC 7498-1 é um modelo de arquitetura de comunicações por computador que possui sete camadas, conforme mostrado na figura abaixo. Pretende-se que as redes de comunicações de dados, como a serie ABNT NBR ISO 11783, sejam desenvolvidas para realizar as funções de cada uma das camadas OSI, conforme requerido.

Camada 1 – Física – Esta camada refere-se à transmissão de um fluxo de bits não estruturado sobre mídia física; ela trata das características mecânicas, elétricas, funcionais e de processo para acessar a mídia física.

Camada 2 – Dados – Esta camada fornece a transferência confiável de informações pela da camada física; ela envia blocos de dados com o sincronismo, controle de erros, controle sequencial e controle de fluxo.

Camada 3 – Rede – Esta camada fornece camadas superiores com independência das tecnologias de transmissão e comutação de dados utilizados para conectar sistemas; ela é responsável por estabelecer, manter e encerrar conexões.

Camada 4 – Transporte – Esta camada fornece transferência confiável e transparente de dados entre pontos finais, recuperação de erros de ponta a ponta e controle de fluxo, e segmentação e remontagem de mensagens muito grandes.

Camada 5 – Sessão – Esta camada fornece a estrutura de controle para comunicação entre aplicações; ela estabelece, gerencia e encerra conexões (sessões) entre aplicações de cooperação.

Camada 6 – Apresentação – Esta camada fornece independência ao processo da aplicação das diferenças na representação de dados (sintaxe).

Camada 7 – Aplicação – Esta camada fornece acesso ao ambiente OSI para usuários e também fornece serviços de informações distribuídas.

Não é requerido que qualquer norma baseada no modelo OSI, incluindo a NBR ISO 11783, seja particionada explicitamente nas sete camadas OSI, desde que a funcionalidade fundamental seja suportada. Nem todas as camadas OSI são requeridas para a rede NBR ISO 11783, porque esta rede é um sistema de comunicações específico, suportando conjuntos específicos de aplicações para uma indústria específica.

Somente as camadas requeridas para o uso previsto são definidas na NBR ISO 11783, com uma parte separada da NBR ISO 11783 especificando cada uma das camadas e com outras partes fornecendo suporte de funcionalidade para as camadas. Em redes concordantes com a série NBR ISO 11783, muitas mensagens são transmitidas. Estas redes incluem a rede do trator (6.6.2) e a rede do implemento (6.6.3). Portanto, os dados são transmitidos na rede sem direcioná-los para um destino específico.

Esta configuração permite que qualquer função de controle utilize os dados sem utilizar mensagens de solicitação adicionais. A NBR ISO 11783 também especifica que um endereço de destino específico seja incluído no identificador rede de área de controle (CAN) da mensagem, quando uma mensagem for direcionada para uma função de controle específica. O formato da mensagem específica de destino é, portanto, diferente do formato da mensagem global de destino.

A comunicação de propriedade também é permitida na NBR ISO 11783, utilizando formatos de mensagens específicas de destino ou mensagem globais de destino. A NBR ISO 11783-2 especifica a subcamada de acesso à mídia para as ECU e a subcamada dependente do meio físico para as redes do trator e do implemento. A interface da ECU deve estar em conformidade com a subcamada de sinalização física, conforme normalizado na ISO 11898-1:2015, e a subcamada de acesso à mídia física, conforme normalizado na ISO 11898-2:2016. A rede é composta de um único cabo linear torcido quadruplamente conectado a cada ECU em um nó. Um cabo curto fornece uma conexão do nó ao cabo torcido quadruplamente para cada ECU.

Circuitos de polarização da terminação ativos são especificados para cada extremidade de um segmento de rede. A NBR ISO 11783-2 também especifica os conectores requeridos para conectar implementos a tratores, ECUs adicionais a uma rede existente instalada no equipamento e uma ferramenta de serviço na rede. A NBR ISO 11783-2 também especifica as fontes de energia requeridas para a operação da rede e suas conexões.

As ECU concordantes com a série NBR ISO 11783 devem utilizar o Formato de Estrutura Estendida CAN Clássica, definido na ISO 11898-1:2015. Os formatos de estruturas CAN FD não podem ser utilizados. A NBR ISO 11783-3 define a estrutura do identificador CAN para especificar os formatos de mensagens. Os formatos de mensagem ou unidades de dados de protocolo são utilizados para identificar o conteúdo de uma mensagem.

A NBR ISO 11783-3 especifica um campo (PF) de formato PDU de 8 bits, um campo (PS) específico PDU de 8 bits e um campo de página de dados de 2 bits que é utilizado para identificar uma PDU. Para reduzir a sobrecarga de mensagens, a NBR ISO 11783-3 especifica que um número de itens ou parâmetros de dados relativos deve ser agrupado dentro de uma PDU. A NBR ISO 11783 especifica mensagens adicionais para mensagens proprietárias do fabricante.

As mensagens que necessitam de mais 8 bytes de dados são enviadas como mensagens multipacote. A NBR ISO 11783-3 especifica um protocolo de transporte para transmitir mensagens multipacote de até 1 785 bytes de comprimento. A NBR ISO 11783-6 especifica um segundo protocolo de transporte para transmitir mensagens de 1 786 bytes até 117 megabytes.

As definições individuais do formato de mensagem da aplicação, incluindo a taxa de transmissão da mensagem, o comprimento da estrutura de dados, a página de dados, PF, PS ou DA e a prioridade padrão, são fornecidas na parte da NBR ISO 11783 que especifica a aplicação específica. Quando duas redes com diferentes arquiteturas de rede forem conectadas, o integrador do sistema conectado deve utilizar uma unidade de interligação de rede para isolar cada segmento de rede do outro.

As unidades de interligação de rede estão detalhadas na NBR ISO 11783-4. Também é possível que sistemas complexos possam requerer mais do que o limite elétrico de 30 nós, conforme especificado na NBR ISO 11783-2, em uma série NBR ISO 11783. Nestes casos, o fabricante do sistema do implemento deve utilizar unidades de interligação de rede para manter os limites de carga elétrica requeridos da rede.

Cada função de controle que se comunica na rede de dados da ABNT NBR ISO 11783 requer um endereço da fonte (SA). Se uma ECU realizar as mais de uma função de controle, um endereço é requerido para cada função de controle. Para identificar exclusivamente cada função de controle, a NBR ISO 11783-5 especifica um NAME de 64 bits. A NBR ISO 11783-5 define o processo específico para determinar os endereços de fonte e resolver quaisquer conflitos de endereço que possam ocorrer.

O SA é pré-ajustado ou dinamicamente reivindicado por cada controlador, à medida que são ativados. Um NAME deve ser designado para cada função de controle que se comunica em uma rede NBR ISO 11783. Existem exemplos, como um terminal virtual e porta de gerenciamento em uma ECU comum, onde vários NAME e endereços coexistem dentro de uma única ECU.

A base de dados da NBR ISO 11783 em http://www.isobus.net/ lista os seguintes códigos para campos de um NAME: as indústrias que utilizam especificações de gerenciamento de rede ABNT NBR ISO 11783; endereços pré-ajustados ou preferidos para funções de controle não específicas; endereços iniciais designados para equipamentos agrícolas e florestais; os NAME a serem utilizados pelas funções de controle em uma rede de dados da NBR ISO 11783; os fabricantes que fornecem ECU para operar em uma rede de dados ABNT NBR ISO 11783. Os endereços utilizados pelas funções de controle também são ilustrados.

A NBR ISO 11783 suporta dois ou mais segmentos de rede. Um segmento é identificado como a rede do trator. Este segmento é destinado a fornecer as comunicações de controle e dados para o trem de acionamentos e chassi do trator ou a unidade de energia principal em um sistema. O segundo segmento é identificado como a rede do implemento que fornece as comunicações de controle e dados entre implementos e entre implementos e o trator ou a unidade de energia principal no sistema. Uma ECU do trator é requerida para conectar à rede do trator e a rede do implemento.

Dá para medir a eficácia da segurança da informação em sua empresa?

Os criminosos digitais estão cada vez mais querendo acessar as empresas e a segurança da informação, nesse contexto, passa a ser um ponto de extrema importância ligada à estratégia corporativa. Para se ter uma ideia, estima-se que o número de ataques cibernéticos aumentou entre 30 e 40% na América Latina nos últimos anos.

Assim, para garantir um bom nível de segurança, é fundamental ter uma infraestrutura robusta. Portanto, deve-se investir em vários aspectos: arquitetura, design de um esquema de proteção, operações e práticas seguras, além de uma boa gestão de riscos.

Quanto à arquitetura, pode-se pensar na análise do projeto de uma prisão ou de uma base militar. Sempre se deve levar em consideração qual é a finalidade de um edifício. Ele abrigará réus de alta periculosidade? Que informações e objetos ficarão dentro de uma área militar?

O sistema precisa ser projetado como um todo, já que ele é formado por um conjunto de componentes que devem ser protegidos individualmente. Uma infraestrutura segura leva em conta um design geral da solução sem deixar de prestar atenção à proteção dos dados. Dessa forma, há uma segurança específica para cada um dos elementos: servidores, computadores, a rede, os componentes de comunicação, etc.

Ao configurar um serviço ou registrar um usuário, essas ações estão relacionadas a uma interação com um sistema e também devem ser feitas com segurança. Uma pessoa pode até ter um automóvel extremamente seguro e equipado com os melhores acessórios de segurança, mas acabará sofrendo um acidente se dirigir bêbado ou ultrapassar o limite de velocidade da via.

É preciso considerar as boas práticas que estabelecem qual é a melhor forma de atuar na maioria dos casos e das vezes. Precisa-se saber como são essas boas práticas e adotá-las para ter uma referência de aprimoramento.

Todas as empresas são diferentes. Cada setor tem suas próprias ameaças e exposições a riscos específicos. Por isso, é importante contar com uma referência. Quais seriam as circunstâncias de uma pequena e média empresa? Depende da área de atuação e da importância das informações com as quais essa empresa trabalha. Traçar um panorama de riscos gera certeza na hora de avaliar até que ponto deve-se otimizar o sistema e o que é preciso priorizar.

Quanto à computação na nuvem, possibilita a realização de operações seguras por causa de sua arquitetura e de seu design de soluções. A arquitetura da nuvem assemelha-se a uma fortaleza. Ela já fica armada e as operações e configurações são feitas pelo provedor, motivo pelo qual há menos exposição aos riscos.

E pode-se medir a eficácia de todo esse sistema?A NBR ISO/IEC 27004 de 04/2010 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Medição fornece as diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Esta norma é aplicável a todos os tipos e tamanhos de organizações.

O usuário deste documento precisa interpretar corretamente cada uma das formas verbais das expressões fornecidas (por exemplo: “deve”, “não deve”, “convém que”, “não convém que”, “pode”, “não precisa” e “não pode”) como sendo um requisito a ser atendido e/ou recomendações em que existe certa liberdade de escolha. Convém que seja consultado o Anexo A da ISO/IEC 27000:2009 para esclarecimentos adicionais.

Esta norma fornece diretrizes para elaboração e uso de medidas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e de controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Isto inclui a política, gestão de riscos de segurança da informação, objetivos de controles, controles, processos e procedimentos, e apoio ao processo de sua revisão, ajudando a determinar se algum processo ou controle do SGSI precisa ser modificado ou melhorado.

É necessário lembrar que nenhuma medição de controles pode garantir segurança completa. A implementação desta metodologia constitui um Programa de Medição de Segurança da Informação. O Programa de Medição de Segurança da Informação vai apoiar a gestão na identificação e avaliação de processos e controles do SGSI ineficazes e não conformes e na priorização de ações associadas com a melhoria ou modificação desses processos e/ou controles.

Também pode auxiliar a organização na demonstração da conformidade com a NBR ISO/IEC 27001 e prover evidências adicionais para os processos de análise crítica pela direção e de gestão de riscos em segurança da informação. Esta norma assume que o ponto de partida para o desenvolvimento das medidas e medições é o entendimento claro dos riscos de segurança da informação que a organização enfrenta e que as atividades de análise de riscos da organização têm sido executadas corretamente (por exemplo, baseada na NBR ISO/IEC 27005), conforme requerido pela NBR ISO/IEC 27001.

O Programa de Medição de Segurança da Informação encorajará que uma organização forneça informações confiáveis às partes interessadas pertinentes relacionadas com os riscos de segurança da informação e com a situação do SGSI implementado para gerenciar esses riscos. Se for eficazmente implementado, o Programa de Medição de Segurança da Informação aumentará a confiança das partes interessadas nos resultados das medições e possibilitará às partes interessadas a usarem essas medidas para realizar a melhoria contínua da segurança da informação e do SGSI.

Os resultados acumulados de medição permitirão a comparação do progresso em atingir os objetivos de segurança da informação sobre um período de tempo como parte de um processo de melhoria contínua do SGSI da organização. A NBR ISO/IEC 27001 exige que a organização “realize análises críticas regulares da eficácia do SGSI levando em consideração os resultados da eficácia das medições” e que “meça a eficácia dos controles para verificar se os requisitos de segurança da informação foram alcançados”.

A NBR ISO/IEC 27001 também exige que a organização “defina como medir a eficácia dos controles ou grupo de controles selecionados e especifique como essas medidas devem ser usadas para avaliar a eficácia dos controles para produzir resultados comparáveis e reproduzíveis”. A abordagem adotada por uma organização para atender os requisitos de medição especificados na NBR ISO/IEC 27001 vai variar de acordo com o número de fatores significantes, incluindo os riscos de segurança da informação que a organização enfrenta, o tamanho da organização, recursos disponíveis, e requisitos legais, regulatórios e contratuais aplicáveis.

A seleção e a justificativa criteriosa do método usado para atender aos requisitos de medição são importantes para assegurar que recursos em excesso não sejam direcionados a estas atividades do SGSI em detrimento de outras. Em condições ideais, as atividades de medição em curso devem ser integradas nas operações normais da organização com um acréscimo mínimo de recursos.

Os objetivos da medição de Segurança da informação no contexto de um SGSI incluem: avaliar a eficácia dos controles ou grupos de controles implementados (ver “4.2.2 d)” na Figura 1); avaliar a eficácia do SGSI implementado (ver 4.2.3 b)” na Figura 1); verificar a extensão na qual os requisitos de segurança da informação identificados foram atendidos (ver “4.2.3 c)” na Figura 1); facilitar a melhoria do desempenho da segurança da informação em termos dos riscos de negócio globais da organização; fornecer entradas para a análise crítica pela direção para facilitar as tomadas de decisões relacionadas ao SGSI e justificar as melhorias necessárias do SGSI implementado.

A Figura 1 ilustra o relacionamento cíclico de entrada e saída das atividades de medição em relação ao ciclo Planejar-Fazer-Checar-Agir (PDCA), especificado na NBR ISO/IEC 27001. Os números em cada figura representam as subseções relevantes da NBR ISO/IEC 27001:2006.

Clique nas figuras para uma melhor visualização

figura-1_medicao

Convém que a organização estabeleça objetivos de medição baseados em certas considerações, incluindo: o papel da segurança da informação em apoiar as atividades globais da organização e os riscos que ela encara; requisitos legais, regulatórios e contratuais pertinentes; estrutura organizacional; custos e benefícios de implementar as medidas de segurança da informação; critério de aceitação de riscos para a organização; e a necessidade de comparar diversos SGSI dentro da própria organização. Convém que uma organização estabeleça e gerencie um Programa de Medição de Segurança da Informação, a fim de alcançar os objetivos de medição estabelecidos e adotar um modelo PDCA nas atividades de medição globais da organização.

Também convém que uma organização desenvolva e implemente modelos de medições, a fim de obter resultados repetitivos, objetivos e úteis da medição baseado no Modelo de Medição da Segurança da Informação (ver 5.4). Convém que o Programa de Medição de Segurança da Informação e o modelo de medição desenvolvidos assegurem que uma organização alcance efetivamente os objetivos e as medições de forma repetitiva e forneça os resultados das medições para as partes interessadas pertinentes de modo a identificar as necessidades de melhorias do SGSI implementado, incluindo seu escopo, políticas, objetivos, controles, processos e procedimentos.

Convém que um Programa de Medição de Segurança da Informação inclua os seguintes processos: desenvolvimento de medidas e medição (ver Seção 7); operação da medição (ver Seção 8); relato dos resultados da análise de dados e da medição (ver Seção 9); e avaliação e melhoria do Programa de Medição de Segurança da Informação (ver Seção 10). Convém que a estrutura organizacional e operacional de um Programa de Medição de Segurança da Informação seja determinada levando em consideração a escala e a complexidade do SGSI do qual ele é parte.

Em todos os casos, convém que os papéis e responsabilidades para o Programa de Medição de Segurança da Informação sejam explicitamente atribuídos ao pessoal competente ( ver 7.5.8). Convém que as medidas selecionadas e implementadas pelo Programa de Medição de Segurança da Informação, estejam diretamente relacionadas à operação de um SGSI, a outras medidas, assim como aos processos de negócio da organização.

As medições podem ser integradas às atividades operacionais normais ou executadas a intervalos regulares determinados pela direção do SGSI. Assim, o Modelo de Medição de Segurança da Informação é uma estrutura que relaciona uma necessidade de informação com os objetos relevantes da medição e seus atributos. Objetos de medição podem incluir processos planejados ou implementados, procedimentos, projetos e recursos.

O Modelo de Medição de Segurança da Informação descreve como os atributos relevantes são quantificados e convertidos em indicadores que fornecem uma base para a tomada de decisão. A Figura 2 mostra o modelo de medição de Segurança da Informação.

figura-2_medicao

Uma medida básica é a medida mais simples que pode ser obtida. A medida básica resulta da aplicação do método de medição aos atributos selecionados de um objeto de medição. Um objeto de medição pode ter muitos atributos, dos quais somente alguns podem fornecer valores úteis a serem atribuídos a uma medida básica. Um dado atributo pode ser usado para diversas medidas básicas.

Um método de medição é uma sequência lógica de operações usadas para quantificar um atributo de acordo com uma escala especificada. A operação pode envolver atividades, tais como a contagem de ocorrências ou observação da passagem do tempo. Um método de medição pode aplicar atributos a um objeto de medição.

Exemplos de um objeto de medição incluem mas não estão limitados a: desempenho dos controles implementados no SGSI; situação dos ativos de informação protegidos pelos controles; desempenho dos processos implementados no SGSI; comportamento do pessoal que é responsável pelo SGSI implementado; atividades de unidades organizacionais responsáveis pela segurança da informação; e grau da satisfação das partes interessadas.

Um método de medição pode usar objetos de medição e atributos de variadas fontes, tais como: análise de riscos e resultados de avaliações de riscos; questionários e entrevistas pessoais; relatórios de auditorias internas e/ou externas; registros de eventos, tais como logs, relatórios estatísticos, e trilhas de auditoria; relatórios de incidentes, particularmente aqueles que resultaram na ocorrência de um impacto; resultados de testes, por exemplo, testes de invasão, engenharia social, ferramentas de conformidade, e ferramentas de auditoria de segurança; ou registros de segurança da informação da organização relacionados a programa e procedimentos, por exemplo, resultados de treinamentos de conscientização em segurança da informação.

tabela-1_medicao

Uma medida derivada é um agregado de duas ou mais medidas básicas. Uma dada medida básica pode servir como entrada para diversas medidas derivadas. Uma função de medição é um cálculo usado para combinar medidas básicas para criar uma medida derivada. A escala e a unidade da medida derivada dependem das escalas e unidades das medidas básicas das quais ela é composta, assim como da forma como elas são combinadas pela função de medição.

A função de medição pode envolver uma variedade de técnicas, como média de medidas básicas, aplicação de pesos a medidas básicas, ou atribuição de valores qualitativos a medidas básicas. A função de medição pode combinar medidas básicas usando escalas diferentes, como porcentagens e resultados de avaliações qualitativas. Um exemplo do relacionamento de elementos adicionais na aplicação do modelo de medição de Segurança da informação, por exemplo, medidas básicas, função de medição e medidas derivadas são apresentadas na Tabela 2.

tabela-2_medicao

Um indicador é uma medida que fornece uma estimativa ou avaliação de atributos especificados derivados de um modelo analítico de acordo com a necessidade de informação definida. Indicadores são obtidos pela aplicação de um modelo analítico a uma medida básica e/ou derivada, combinando-as com critérios de decisão. A escala e o método de medição afetam a escolha das técnicas analíticas utilizadas para produzir os indicadores. Um exemplo de relacionamentos entre medidas derivadas, modelo analítico e indicadores para o modelo de medição de Segurança da informação é apresentado na Tabela 3.

tabela-3_medicao

Se um indicador for representado em forma gráfica, convém que possa ser usado por usuários visualmente debilitados e que cópias monocromáticas possam ser feitas. Para tornar a representação possível, convém que ela inclua cores, sombreamento, fontes ou outros métodos visuais.

Os resultados de medição são desenvolvidos pela interpretação de indicadores aplicáveis baseados em critérios de decisão definidos e convém que sejam considerados no contexto global dos objetivos de medição para avaliação da eficácia do SGSI. O critério de decisão é usado para determinar a necessidade de ação ou investigação futura, bem como para descrever o nível de confiança nos resultados de medição.

Os critérios de decisão podem ser aplicados a uma série de indicadores, por exemplo, para conduzir análise de tendências baseadas em indicadores recebidos a intervalos de tempo diferente. Alvos fornecem especificações detalhadas para desempenho, aplicáveis à organização ou partes dela, derivados dos objetivos de segurança da informação tais como os objetivos do SGSI e objetivos de controle, e que precisam ser definidos e atendidos para se alcançar esses objetivos.

A certificação de cabeamento é mais necessária que nunca

Richard Landim

O atual cenário de crise econômica que o país enfrenta demandou uma reestruturação dos orçamentos de TI. Reduzir custos é a prioridade número um das empresas, que precisam tomar decisões difíceis para reduzir despesas operacionais e de capital. No entanto, neste processo, é fundamental que os gerentes de TI não se esqueçam de que uma infraestrutura de rede saudável está diretamente ligada à produtividade, eficiência e expansão de serviços.

Uma opção tentadora para reduzir as despesas de TI pode ser adiar a manutenção. Embora nenhuma organização prorrogue uma manutenção realmente crítica, existem tarefas que podem ser adiadas, pois estão em uma zona cinzenta que pode ser considerada “opcional”. Trafegar nessas decisões não é fácil, mas seria um grave erro suspender os testes da fundação de cada rede: seu cabeamento de cobre e fibra.

O teste mais completo para o cabeamento de rede é a certificação. A certificação prova que um sistema de cabos adere a rigorosos padrões de desempenho e de execução da instalação, por isso, este procedimento requer técnicos treinados e equipamentos de teste especializados. Este é um esforço caro que pode ser adiado, certo? Errado.

O cabeamento é responsável por metade de todas as falhas na rede. Ao certificá-lo, as falhas são significativamente reduzidas. Em tempos financeiramente desafiadores, este é um benefício crucial que pode ser potencializado de seis maneiras.

Certificar é mais barato que reparar – A certificação de cabos de cobre e fibra previne problemas. Sem ela os reparos devem ser feitos em uma rede ativa ou pior, em uma rede que está sofrendo uma interrupção. O tempo de inatividade da rede resulta em perda de receita e produtividade, redução de serviço ao cliente e desvantagem competitiva. Um estudo do Gartner estimou que uma hora de inatividade de uma rede corporativa custa, em média US$ 42.000, dependendo da indústria. Se uma empresa é desafiada a melhorar seu tempo de atividade anual de 99,9% para 99,99%, ela precisa reduzir o tempo de inatividade por oito horas. Usando a estimativa do Gartner sobre o custo de inatividade, isso gera uma economia para a empresa de US$ 336.000 por ano. Mas como se chega lá? Há muitas causas de inatividade. Um estudo do Gartner/Dataquest apontou que o erro humano e de aplicação são responsáveis por 80% das falhas. Mas se a rede representa apenas 20% da causa, ela responde por US$ 67.000 da exposição. Compare isso com o custo da certificação. Uma rede com 600 linhas de cobre Categoria 6 passa por testes de certificação. Uma suposição realista é que 5% dos links falham no teste inicial e devem ser reparados e testados novamente. Usando um certificador de cabo moderno todo o processo levaria aproximadamente 11 horas. A uma taxa comercial de R$50 por hora, a despesa será de R$600. R$600 de despesa para economizar US$67.000. O caso de sucesso da certificação é auto evidente.

As garantias do produto estão limitadas – Em tempos difíceis um proprietário de rede pode ser tentado a usar a garantia de um fabricante por segurança. Isso é compreensível uma vez que a maioria dos fabricantes de cabos e conectores oferecem boas garantias e estão por trás de seus produtos. Entretanto, esses fabricantes não podem garantir a instalação final. A qualidade de uma instalação de cabos está em grande parte nas mãos dos instaladores. Se a habilidade do profissional é fraca, mesmo produtos excelentes falham. As falhas e problemas associadas à rede estão fora do escopo de uma garantia de hardware, de modo que o proprietário da rede e o instalador devem negociar a correção. A única maneira de assegurar que a obra do instalador atenda aos padrões e que as melhores práticas sejam seguidas é através dos testes de certificação. A certificação dá a proteção necessária contra custos imprevistos ao proprietário da rede e, quando os ventos da economia estão desfavoráveis, essa proteção é sempre bem-vinda.

Certificação e recertificação serão a prova de futuro da infraestrutura – Você pode acreditar que um cabo, após instalado e certificado, nunca mais precisará de atenção. Isso pode ser imprudente. Uma planta de cabeamento recertificada pode provar ser compatível com o tráfego de alta velocidade que é implantado anos após o cabo ser instalado pela primeira vez. Quão importante é o suporte para velocidades mais altas? De acordo com um levantamento de datacenters pela empresa de pesquisa BSRIA, a tecnologia multigigabit é comum agora.

Quais são as implicações disto? O cabo de cobre da categoria 6 foi projetado para suportar uma taxa de dados de 1 Gigabit por segundo. Os recentes testes de certificação em campo indicam que boa parte do cabo Cat 6 usado nos datacenters está em conformidade com o padrão 10GBASE-T e pode suportar o serviço de 10 Gigabit em distâncias curtas a moderadas. Se você recertificar o cabo Cat 6 em seu datacenter pode encontrar um caminho eficiente para uma taxa de transferência de 10X, evitando alguns ou todos os custos de substituição de cabeamento. Além disso, quando a demanda por serviços de TI repercutir, a planta de cabos recertificados estará pronta para suportar novos equipamentos e expandir os serviços.

Cabeamento não certificado = Capital subutilizado – É um fato: recessões agitam o mercado, especialmente o imobiliário. Quando um novo inquilino entra em um edifício o estado de seu cabeamento apresenta uma série de questões. Quantos anos têm? Funciona? Para que foi usado? Quando? O novo inquilino pode ver a essa quantidade de cabos de cobre e/ou fibra como um mistério e não como algo bom. Certificar 200 links de cabos custará menos de R$ 1000. A instalação de 200 novas linhas do novo cabo Cat 6 custará de R$ 5.000 a R$ 10.000. A escolha para o locatário é fácil. A certificação é sinônimo de capital poupado para os proprietários de edifícios e inquilinos. A falta de certificação transforma o cabeamento legado em capital subutilizado: dinheiro gasto que não pode ser recuperado.

Reduzir resíduos é uma boa política – O argumento econômico para estender a vida dos cabos já foi descrito, mas pode não ser o pior caso. O Código Elétrico Nacional (NEC 2002) requer a remoção de cabos abandonados que não sejam identificados para uso futuro. Sem certificação, o custo do cabo legado pode incluir a despesa com a remoção e reciclagem dos cabos e/ou o impacto ambiental da eliminação. Maximizar o uso de cabos de cobre e fibra existentes é uma política de negócios consistente. Quando devidamente conservado tem uma longa vida útil. Com orçamentos limitados exigindo maior eficiência, faz sentido usar a certificação para implementar os três pilares da gestão ambiental: Reduzir, Reutilizar e Reciclar.

Comprador cauteloso – Uma tendência inquietante na indústria de cabos refere-se a produtos das categorias 5, 6 e 6A. Estes cabos são muitas vezes fabricados fora do país e é mais barato se comparado ao de grandes fabricantes. Infelizmente, muito destes cabos baratos são produzidos com materiais inferiores e em processos de fabricação questionáveis. Em 2008, a Communications Cable & Connectivity Association testou nove marcas de cabos sem nome em comercialização no mercado. Nenhuma delas atingiu porém os requisitos físicos definidos no TIA 568-B.2; apenas cinco atenderam aos padrões de teste elétrico determinados no TIA 568-B.2; e somente uma atende aos pré-requisitos de segurança definidos pelas normas UL 1666 e NFPA 262.

Mas como esse cabo tão fraco chega ao mercado? Isso acontece porque as agências de segurança realizam testes aleatórios na fábrica e não no campo. O abismo no processo de qualidade deixa os usuários finais expostos a riscos de segurança e desempenho totalmente evitáveis. Para assegurar que não haja prejuízo ou riscos ocultos com cabos Cat 5, 6 e 6A de baixo custo, as empresas e instaladores devem se certificar de que o cabeamento esteja de acordo com os padrões da indústria.

Em suma, o cabeamento certificado tem muito mais valor. E pode variar dependendo da aplicação e da empresa. Considere as armadilhas dos cabos não certificados. Considere o trade-off entre os testes e “espere o melhor”. A esperança é raramente uma boa estratégia e, em uma economia desafiadora, é ainda mais perigosa.

Richard Landim é especialista de produtos da Fluke Networks Brasil.

A gestão do conhecimento dos serviços de telessaúde conforme a ABNT ISO/TS13131

telessaude2

A telemedicina ou telessaúde é a oferta de serviços ligados aos cuidados com a saúde, nos casos em que a distância é um fator crítico, ampliando a assistência e também a cobertura. Tais serviços são fornecidos por profissionais da área da saúde, usando tecnologias de informação e de comunicação (TIC) para o intercâmbio de informações válidas para promoção, proteção, redução do risco da doença e outros agravos e recuperação.

Além de possibilitar uma educação continuada em saúde de profissionais, cuidadores e pessoas, assim como facilitar as pesquisas, avaliações e gestão da saúde. A telemedicina ou telessaúde são termos amplamente utilizados para representar o uso de tecnologias de telecomunicação e de informação para suportar serviços, treinamento e informação em saúde para provedores de assistência médica e pacientes.

A essência dessas áreas é a oferta de serviços e informação médicos para indivíduos em suas próprias comunidades excluindo a necessidade de locomoção para os centros de referência. Dessa maneira, emergem como novas ferramentas significativas para transpor as barreiras culturais, socioeconômicas e geográficas para os serviços e informação em saúde em centros urbanos remotos e comunidades carentes. Seus benefícios incluem acesso local a especialistas, melhoria na assistência primária em saúde e o aumento da disponibilidade de recursos para a educação médica e informação em saúde em comunidades desprovidas de recursos.

A ABNT ISO/TS 13131 de 12/2016 Informática em saúde – Serviços de telessaúde – Diretrizes para o planejamento de qualidade descreve o número crescente de iniciativas em vários países em todo o mundo, na maior parte de pequena escala, de projetos de telessaúde, telemedicina ou saúde móvel. Ainda não é claro quando convém utilizar os termos telessaúde ou telemedicina para descrever tais iniciativas, pois estes termos podem ser descritos e interpretados de diferentes maneiras na ausência de um conceito unificado.

Segundo a norma, a telessaúde usa as tecnologias de informação e comunicação, com a finalidade de prestar assistência à saúde e transmitir a informação sobre saúde tanto em longas distâncias quanto em curtas distâncias. Como exemplo, a telessaúde pode utilizar tecnologias de informação e comunicação para transmitir vídeo, voz, dados, imagens e outras formas de informação. Pode ser utilizada para conectar distâncias curtas ou longas. Também, é possível que diferenças em relação a tempo sejam superadas, utilizando a comunicação assíncrona.

É possível que, antecedendo ou sucedendo a transmissão, dados ou informações sejam processados com a finalidade de melhorar o serviço de telessaúde. A norma fornece as diretrizes e as recomendações e não se destina a ser utilizada para certificação ou fins de regulação ou contratuais.

O projeto e a implementação de frameworks de gerenciamento de risco, segurança e gerenciamento de qualidade específicos para telessaúde devem levar em conta as necessidades variadas de uma organização específica, seus objetivos particulares, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços, ou ativos e práticas específicas empregadas. Esta Especificação Técnica fornece objetivos de qualidade genéricos e diretrizes para serviços de telessaúde que podem ser adotados conforme requeridos para aplicação por diferentes organizações e serviços.

Recomenda-se que esta Especificação Técnica seja utilizada de forma suplementar a padrões nacionais e internacionais já existentes e diretrizes para segurança, qualidade e gerenciamento de risco no segmento da saúde. Em particular, o uso de outros padrões, quando aplicados em ambientes de telessaúde, é incentivado, incluindo as NBR ISO 13485 e IEC/ISO 80001.

Muitas organizações de assistência à saúde têm implantado sistemas de gestão da qualidade para gerenciar ativamente a segurança do paciente, bem como a qualidade da assistência prestada. Estes sistemas baseiam-se nos princípios e processos de gestão de qualidade descritos nas NBR ISO 9000, NBR ISO 9001 e NBR ISO 9004. Em particular, esta Especificação Técnica adota a recomendação da NBR ISO 9004 para utilizar a NBR ISO 31000, de forma a ajudar as organizações a identificarem, avaliarem e gerenciarem riscos durante o desenvolvimento adequado de objetivos de qualidade para serviços de telessaúde.

Objetivos organizacionais, estratégias, escopo e parâmetros dos serviços prestados por uma organização devem ser estabelecidos em conformidade com a NBR ISO 31000. Os riscos que podem impedir o alcance dos objetivos organizacionais podem ser identificados através da análise de fatores externos e internos à organização.

As orientações da BR ISO 31000 requerem que estes riscos sejam analisados e priorizados e que tratamentos apropriados sejam estabelecidos. Em um sistema de gestão da qualidade, estes tratamentos de risco podem, então, tornar-se a base para objetivos de qualidade que são utilizados para controlar os riscos identificados.

A NBR ISO 9004 recomenda que uma organização possa identificar os recursos internos e externos que são necessários para o alcance dos objetivos organizacionais no curto e no longo prazos. Esta Especificação Técnica apoia o uso desta recomendação ao derivar diretrizes e objetivos genéricos de qualidade para os serviços de telessaúde.

Os objetivos e as diretrizes desta Especificação Técnica dão suporte à gestão financeira e da qualidade, planejamento de serviços, planejamento de mão de obra, planejamento em assistência médica, responsabilidades organizacionais de assistência à saúde, instalações, tecnologia e gestão da informação para fornecer cuidados à saúde e transmitir informação em saúde. Não oferece aconselhamento para a plena implementação da NBR ISO 9004 em um contexto de telessaúde.

A telessaúde pode apoiar uma ampla gama de atividades de cuidados em saúde, as quais não se restringem apenas aos receptores dos tratamentos de saúde. Em geral, os serviços de telessaúde visam apoiar características de qualidade de cuidados em saúde que melhorem a qualidade de vida e do atendimento para os beneficiários da assistência. As características de qualidade consideradas por esta Especificação Técnica incluem: acessibilidade, prestação de contas, adequação, competência, confidencialidade, continuidade, confiabilidade, eficiência, eficácia, inclusividade, segurança, transparência e usabilidade.

Em geral, recomenda-se que as características de qualidade desejáveis para a prestação de serviços de saúde sem o uso de telessaúde também sejam aplicadas em situações em que a telessaúde é utilizada. Algumas características de qualidade podem ser mais importantes a considerar quando a telessaúde é utilizada para a prestação de serviços de saúde.

Quanto à gestão de características de qualidade, convém que uma organização possua sistema de gestão da qualidade para definir e monitorar as características de qualidade requeridas pelos serviços de telessaúde. Convém que os processos que impactam a gestão da qualidade, gestão financeira, planejamento de serviços, planejamento da força de trabalho, planejamento de cuidados de saúde, responsabilidades na organização de saúde, instalações, tecnologia e gerenciamento de informações sejam analisados quanto aos riscos identificáveis que podem afetar uma gama de características de qualidade, como a acessibilidade, prestação de contas, adequação, competência, confidencialidade, continuidade, confiabilidade, eficiência, eficácia, inclusividade, segurança, transparência e usabilidade.

Normalmente, apenas um pequeno número dessas características será relevante para o desenvolvimento de uma diretriz de qualidade individual. Convém que o processo para derivar objetivos de qualidade e diretrizes para a organização, pessoas, instalações e informações utilizados na prestação de serviços de telessaúde siga o processo de avaliação de risco descrito na NBR ISO 31000:2009, Seção 5, conforme mostrado na figura abaixo.

Clique para uma melhor visualização

telessaude

Convém que a organização estabeleça o contexto no qual um serviço de telessaúde vai operar no ambiente externo, no ambiente da organização interna, assim como as características de qualidade desejadas para o serviço. A telessaúde se refere aos cenários nos quais os atores de assistência à saúde em várias localidades cooperam ativamente em um processo particular de saúde ou de assistência à saúde.

A telessaúde está relacionada com processos e subprocessos nos quais pelo menos dois atores de assistência à saúde estão ativamente envolvidos. Também é possível que um dos atores seja o supervisor de uma aplicação técnica, como no caso de uma operação remota, ou um sistema digital de análise.

É esperado que a telessaúde melhore a qualidade de saúde e de assistência à saúde, por exemplo, porque profissionais de saúde terão informações de saúde sobre o receptor dos cuidados disponíveis no local certo e no tempo certo, e eles terão melhor acesso para apoiar especialistas médicos. O receptor de cuidados pode ser monitorado em sua casa e receber aconselhamento sem a necessidade de viajar até um consultor de saúde, um profissional de saúde ou organização, que também tenha acesso facilitado à informação de saúde e educação para apoiar o autocuidado.

A identificação de risco é o processo de descoberta, reconhecimento, e identificação de riscos que pode impedir o alcance das características de qualidade requeridas para um serviço de telessaúde através da análise dos processos externos e internos à organização de assistência à saúde. A identificação de riscos requer a análise dos processos que ocorrem no gerenciamento de qualidade, estratégia, política e recursos, incluindo o gerenciamento financeiro, planejamento de serviços, planejamento de equipe, responsabilidades da organização de assistência à saúde, instalações, gerenciamento de tecnologia e informação. Alguns exemplos ilustrativos são fornecidos no Anexo A.

Os problemas na legislação. Não existe provisão no atual código de ética médica para medicina à distância e uma conscientização ou cultura para o uso da telemedicina. Há resistência dos conselhos éticos e profissionais, pois não existe pagamento para procedimentos telemédicos, havendo ainda uma reação à quebra de divisão de territórios e competências e a resistência à segunda opinião médica.

A orientação ética para o exercício da medicina advém do Código de Ética Médica (CEM), promulgado pela resolução nº 1 246 (de 8 de janeiro de 1988) do Conselho Federal de Medicina (CFM). Esse código contém alguns artigos relacionados ao exercício da telemedicina.

Artigo 62: É vedado ao médico prescrever tratamento ou outros procedimentos sem exame direto do paciente, salvo em casos de urgência e impossibilidade comprovada de realizá-lo, devendo, nesse caso, fazê-lo imediatamente cessado o impedimento. Artigo 102: É vedado ao médico revelar informações sobre os pacientes sem o consentimento dos mesmos, exceto em situações que possam se configurar como dever legal ou justa causa. A proibição permanece em situações que chegam a juízo, bem como nas solicitações das seguradoras. Artigo 104: É vedado ao médico fazer referência a casos clínicos identificáveis, exibir pacientes ou seus retratos em anúncios profissionais ou na divulgação de assuntos médicos. Artigo 108: É vedado ao médico facilitar o manuseio e conhecimento dos prontuários, papeletas e demais folhas de observações médicas sujeitas ao segredo profissional, por pessoas não obrigadas ao mesmo compromisso. Artigo 134: É vedado ao médico dar consulta, diagnóstico ou prescrição por intermédio de qualquer veículo de comunicação de massa.

Enfim, o Ministério da Saúde, atento a este novo cenário na saúde, vem publicando resoluções sobre a temática desde a criação da Comissão Permanente em Telemedicina e Telessaúde, em 2006. Além disso, o Conselho Federal de Medicina publicou a Resolução nº 1.643, em 2002 que discorre sobre a boa prática em Telemedicina; nesta Resolução fica clara a necessidade do consentimento informado pelo paciente para a utilização da Telemedicina e, sobretudo, a responsabilidade do médico presencial no atendimento ao paciente, assegurando a relação médico e paciente, bem como a corresponsabilidade do médico remoto no atendimento ao paciente, dentre outros coisas.

Na verdade, os serviços de telessaúde dependem das tecnologias de informação e comunicação para oferecer assistência à saúde e transmitir informação relativa à saúde tanto através de longa como de curta distância. Uma vez que essas tecnologias são parte do processo de assistência à saúde, convém que os objetivos de qualidade sejam estabelecidos para o serviço de suporte de tecnologia de informação e comunicação, oferta de serviços, gerenciamento de infraestrutura, gerenciamento de distribuição, gerenciamento de operações e suporte técnico.

Algumas organizações que oferecem serviços de saúde utilizando telessaúde podem depender de serviços de gerenciamento de tecnologia de um provedor externo de TIC ou de um grande provedor interno. Nestes casos, convém que os procedimentos de qualidade incluam definição de acordos de nível de serviços com estes provedores.

Por exemplo, a relação entre a organização de assistência à saúde e o fornecedor externo de TIC seja definida em um acordo de nível de serviço que especifique que, quando um problema ocorre com um equipamento, a organização de assistência à saúde comunique o fato ao provedor e o provedor tenha um sistema de acompanhamento pós-venda para detectar deficiências que ocorram após a implantação do equipamento ou do dispositivo. Uma infraestrutura de TIC de uso geral, incluindo equipamentos, software e comunicações, pode ser usada para dar suporte aos serviços de telessaúde.

Neste caso, convém que a organização de assistência à saúde ou organização de suporte à assistência à saúde definam acordos adequados de nível de serviços com os fornecedores relevantes. As características de qualidade relevantes para o gerenciamento de equipamentos, dispositivos e tecnologia utilizados para serviços de telessaúde pelas organizações de assistência à saúde são: prestação de contas, continuidade, confiança, eficácia, eficiência, segurança, transparência e usabilidade.

Impasse nas redes sociais

Normas comentadas

NBR 14039 – COMENTADA de 05/2005Instalações elétricas de média tensão de 1,0 kV a 36,2 kV – Versão comentada.

Nr. de Páginas: 87

NBR 5410 – COMENTADA de 09/2004Instalações elétricas de baixa tensão – Versão comentada.

Luiz Gonzaga Bertelli é presidente do Conselho de Administração do CIEE

Saudadas como uma das maiores contribuições da tecnologia para a democratização da informação, já há algum tempo as redes sociais têm a credibilidade arranhada em razão da difusão de boatos, desinformações e até difamação. Até recentemente a reação se resumia a alertas para evitar perigos no compartilhamento de mensagens.

O impasse continuou até que o presidente dos Estados Unidos, Barack Obama, endossou as acusações de que os boatos que pipocaram no Facebook favoreceram a eleição de Donald Trump, em detrimento de Hilary Clinton. Poderia parecer só choradeira de perdedores de eleição, se o próprio Mark Zuckerberg, presidente executivo da rede social, desta vez não viesse a público anunciar a adoção de um pacote de recursos para coibir a disseminação de notícias falsas. Análises de conteúdos suspeitos por agências especializadas em checagem de dados servirão de base para a colocação de uma espécie de selo de alerta sobre notícias falsas, sem que elas sejam retiradas da rede.

Pode parecer pouco para evitar os danos que as inverdades – não importa se transmitidas de boa ou de má fé – podem causar, numa rede social acessada por 1,8 bilhão de usuários ativos em todo o mundo. Mas já é um primeiro passo, prudente e cauteloso, na tentativa de equacionar uma saída para o impasse, que coloca de um lado a oportunidade ímpar de democratizar a informação, dando voz a todos, e de outro a necessidade de preservar a privacidade, a imagem e o sigilo de dados pessoais, empresariais e governamentais, entre outros pontos.

Aliás, conciliar esses interesses é o grande desafio imposto aos legisladores, às empresas de redes sociais e aos próprios usuários.  É o preço a pagar por revoluções que vêm para alterar substancialmente as relações sociais e individuais. Mas, como ensina a história, a mesma criatividade humana que gera as inovações sempre se mostra, com o tempo, capaz de encontrar instrumentos para disciplinar seu uso, com o menor dano possível aos benefícios que proporcionam a todos.

Atual diretoria da Associação Brasileira de Normas Técnicas (ABNT) expõe seus clientes a riscos jurídicos por uso de software pirata

Ao copiar sem autorização a base de dados de uma empresa que lhe prestava serviço, a diretoria atual da ABNT, formada por Pedro Buzatto Costa (muito conhecido pelo poder judiciário), presidente do Conselho Deliberativo, seu genro, Ricardo Fragoso, e Carlos Santos Amorim, manteve até os erros gramaticais no seu produto pirata. O fato foi apontado pelo desembargador José Aparício Coelho Prado Neto, na decisão de segunda instância na qual condenou a ABNT a pagar indenização por danos materiais à Target por violação de direito autoral do programa.

pirated

Hayrton Rodrigues do Prado Filho, jornalista profissional registrado no Ministério do Trabalho e Previdência Social sob o nº 12.113 e no Sindicato dos Jornalistas Profissionais do Estado de São Paulo sob o nº 6.008

O mercado da pirataria de software oferece uma diversidade de produtos com preços mais baixos, o que aumenta o interesse das pessoas por este tipo de mercadoria. Apesar de tentador, o que poucos sabem é que ao adquirir ou vender um produto falsificado, se torna um ato criminoso provocando grandes prejuízos à economia do país.

Os produtos pirateados são considerados todos aqueles que possuem a reprodução, venda ou distribuição sem a devida autorização e o pagamento dos direitos autorais. Qualquer espécie de falsificação se enquadra em crime, seja de forma direta ou indireta.

Dessa forma, muitas empresas brasileiras estão comprando ou já compraram os produtos ABNT CATALOGO e ABNT COLEÇÃO, comercializados pela ABNT, e todos precisam saber que esse é um produto pirata. Deve ficar claro que todas as mercadorias produzidas ou comercializadas com violação de direitos serão necessariamente produtos de crime.

Em resumo, se o delito de receptação é caracterizado por crime contra o patrimônio, o ato de comprar uma mercadoria pirateada consiste em uma conduta criminosa, pois o produto adquirido infringe o patrimônio intelectual do seu titular, e assim, torna-se resultado de outro delito anterior. Sendo assim, é importante alertar que independente de quem compra ou vende produtos desta origem, esta pessoa irá responder pelo ato de receptação, conforme art. 180 do Código Penal, que prevê pena de reclusão de até quatro anos.

A ABNT perdeu o processo em segunda instância, já que no dia 15 de março de 2016, em acórdão de pirataria de software, a justiça negou provimento aos agravos retidos da ABNT e deu parcial provimento ao apelo apenas para reduzir a condenação referente quanto à indenização por danos materiais à multa imposta, de R$ 2.000.000,00 para R$ 1.000.000,00 (mais de R$ 5.000.000,00 atualizados na data de hoje).

Em sua defesa, a diretoria da ABNT alega que possui um laudo feito pelo Instituto de Criminalística da Polícia Civil e que foi ignorado na decisão tomada pelo TJ-SP. Isso é balela, pois esse documento não faz parte dos autos do processo. O laudo que faz parte do processo é extenso, possui quase 300 páginas e aponta, detalhadamente, diversas similitudes nas bases de dados que não poderiam existir ao não ser em caso de violação de direito autoral. Mostra, inclusive, que a autora propositalmente adicionou ao seu banco de dados pequenos erros gramaticais e de digitação para verificação de eventual cópia, e que tais erros foram encontrados no banco de dados utilizado pela ré.

O laudo do Instituto de Criminalística de São Paulo, que a diretorias da ABNT apresenta para tentar ludibriar os incautos, não foi aceito pelo Tribunal de Justiça do Estado de São Paulo, pois nunca fez parte do processo 0142175-04.2006.8.26.0100, não podendo ser considerado como prova de absolutamente nada. Trata-se de um papel sem valor, como qualquer outro que não esteja no processo judicial em questão.

Além disso, a sentença fixou a indenização, a ser liquidada, nos mesmos termos que as partes firmaram em contrato (Target e ABNT), só que para o programa da parceria, ou seja, as partes dividiam igualmente os lucros gerados com a comercialização do programa CIN (original da Target), e o farão também com os lucros gerados com a comercialização do programa ABNT NET (Pirata), da notificação da violação até a data em que a ré deixou de disponibilizar a terceiros o programa ABNT NET.

Esse total deverá ser ainda calculado na execução da sentença, mas como a ABNT comercializou esse programa de 2003 até 2011 e, supostamente, comercializa até hoje com outras denominações ABNT CATALOGO e ABNT COLEÇÃO, os valores tendem a ser multimilionários.

A pirataria de software é a cópia ou distribuição não autorizada de software protegido por direitos autorais. Isso pode ocorrer pela cópia, download, compartilhamento, venda ou instalação de várias cópias em computadores pessoais ou de trabalho.

De acordo com estatísticas oficiais reveladas, a Microsoft teve 3.265 casos de pirataria de software, comprometendo milhões de usuários, em 43 países no ano fiscal que terminou em 30 de junho. Apenas 35 deles foram nos EUA, os outros 3.230 casos foram internacionais, espalhados em 42 países.

Atualmente, a jurisprudência no julgamento de crimes relacionados tem se consolidado no sentido de condenar as empresas ao pagamento de indenizações que equivalem a dez vezes o valor do software pirateado por máquina na qual ele for instalado ou utilizado. Isso pode significar quantias vultosas, uma vez que grandes empresas, por exemplo, possuem um número expressivo de computadores e/ou usuários e caso instalem o software de maneira inadequada em suas máquinas, perceberão uma condenação se multiplicar pelo número de máquinas e usuários.

O uso não autorizado ou não licenciado de software pode representar uma violação do contrato ou dos termos de licenciamento impostos pelo titular dos direitos autorais e de propriedade intelectual nos termos da legislação vigente. Certos tipos de uso não autorizado podem também constituir uma ofensa criminal.

Muitas vezes, o descumprimento dos termos de licenciamento pode acontecer acidentalmente. As fusões e aquisições, mudança das práticas de implantação, a falta de gerenciamento de licenças e simples mal-entendidos sobre os requisitos de licença normalmente causam dúvidas ou preocupações sobre o correto licenciamento. É importante que o usuário tenha conhecimento da condição atual de licenciamento de software na sua empresa e siga as regras de governança corporativa que assegurem o licenciamento correto.

Deve ser ressaltado que a condenação da ABNT foi classificada no mérito como pirataria de software, conforme Acórdão na 9ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo, em 15 de março de 2016, que confirmou, por unanimidade, decisão da 26ª vara cível da capital – SP. Essa decisão foi proferida pelo juiz Cesar Santos Peixoto em 31 de maio de 2010 e publicada no Diário Oficial de 02 de junho de 2010. Conforme ele, houve a utilização indevida, por parte da ABNT, do programa alvo de registro (software da Target para pesquisa, controle e atualização de normas técnicas), conferindo a exclusividade e prioridade.

Igualmente, ocorreu descumprimento, por parte da ABNT, da obrigação contratual convencionada (contrato Target/ABNT para uso do referido software pela ABNT). Aconteceu, também, a violação de senha de segurança de software da Target pela ABNT, apropriação indevida de dados pela ABNT e a utilização pela ABNT de programa de titularidade exclusiva da Target, mediante atualização e armazenamento dos dados.

Dessa forma, houve a condenação da ABNT no pagamento à Target da multa, com juros de mora de 12% ao ano e atualizados pelos índices da tabela judicial a partir de 14/11/2003, mais o preço da participação nos resultados decorrentes da comercialização da licença e do direito de uso (do software da Target ou de qualquer outro software que contenha qualquer parte do referido software), na base de 50% da receita mensal líquida, deduzidos os custos, nos termos da cláusula 8 do contrato (entre Target e ABNT), apuradas em liquidação por perícia contábil, entre 14/11/2003 até a restituição/desinstalação do equipamento, extinguindo o processo com resolução do mérito, art. 269, I, do Código de Processo Civil.

Com relação à possibilidade de a Target comercializar as normas técnicas, a atual diretoria da ABNT volta a trazer informações inverídicas à população, uma vez que a referida ABNT não detém nenhum direito autoral sobre as referidas normas técnicas, que foram declaradas de domínio público pela Justiça.

O acórdão proferido pelo Tribunal Regional Federal da 3ª Região, ao julgar a apelação da ABNT, na ação nº 2006.61.00.010071-0, oriunda da 21ª Vara Federal (1ª Instância), negou provimento e não só manteve intacta a sentença, como determinou, expressamente, que as normas brasileiras não são protegidas por direito autoral e que a ABNT não tem o direito de se apropriar das referidas normas brasileiras.

Inclusive, em relação ao acórdão, a ABNT apresentou dois embargos de declaração que foram rejeitados por unanimidade pela turma julgadora, fato que a ABNT omite do mercado e, ao contrário, induz o recebedor de suas justificações a interpretar que os referidos embargos lhes foram favoráveis. Mais uma mentira desse trio que comanda a ABNT há mais de 14 anos e que não faz outra coisa se não espalhar inverdades e nada faz pela normalização brasileira. Basta o leitor acompanhar isso nos artigos sobre os mandos e desmandos da atual diretoria da ABNT que eu escrevi.

Hayrton Rodrigues do Prado Filho é jornalista profissional, editor da revista digital Banas Qualidade, editor do blog https://qualidadeonline.wordpress.com/ e membro da Academia Brasileira da Qualidade (ABQ)hayrton@hayrtonprado.jor.br