A governança de dados em tecnologia da informação (TI)

Sobre a governança de dados é importante fornecer orientação para uma comunidade mais ampla, incluindo: gerentes executivos, empresas externas ou especialistas técnicos, como especialistas em direito ou contabilidade, associações de retalhistas ou industriais ou organismos profissionais, provedores de serviços internos e externos (incluindo consultores), e auditores.

A NBR ISO/IEC 38505-1 de 01/2020 – Tecnologia da Informação — Governança da TI – Parte 1: Aplicação da ABNT NBR ISO/IEC 38500 à governança de dados fornece princípios orientadores para os membros de estruturas de governança de organizações (que podem incluir proprietários, diretores, parceiros, gerentes executivos ou similares) sobre o uso eficaz, eficiente e aceitável de dados em suas organizações, por meio de: aplicação dos princípios e modelo de governança da NBR ISO/IEC 38500 à governança de dados, asseguramento às partes interessadas de que, se os princípios e práticas propostas por este documento forem seguidos, eles podem confiar na governança de dados da organização, informação e orientação às estruturas de governança sobre o uso e proteção de dados em sua organização, e estabelecimento de um vocabulário para a governança de dados.

Este documento também pode fornecer orientação para uma comunidade mais ampla, incluindo: gerentes executivos, empresas externas ou especialistas técnicos, como especialistas em direito ou contabilidade, associações de retalhistas ou industriais ou organismos profissionais, provedores de serviços internos e externos (incluindo consultores), e auditores. Embora este documento analise a governança de dados e o seu uso em uma organização, a orientação sobre o arranjo de implementação para a governança efetiva da TI em geral é encontrada na ISO/IEC TS 38501. Os construtos na ISO/IEC TS 38501 podem ajudar a identificar os fatores internos e externos relacionados à governança da TI e ajudar a determinar os resultados benéficos e identificar evidências de sucesso.

Este documento se aplica à governança do uso atual e futuro dos dados que são criados, coletados, armazenados ou controlados por sistemas de TI, e afeta os processos de gestão e as decisões relacionadas aos dados. Este documento define a governança de dados como um subconjunto ou domínio da governança da TI, que em si é um subconjunto ou domínio organizacional ou, no caso de uma corporação, governança corporativa. Este documento é aplicável a todas as organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos. Este documento é aplicável às organizações de todos os tamanhos, das menores às maiores, independentemente da extensão e da sua dependência dos dados.

Acesse algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são os princípios, modelo e aspectos para uma boa governança de dados?

Como pode ser descrita a atividade armazenar?

Como pode ser descrita a atividade distribuir?

Quais as orientações para a governança de dados ‒ princípios?

O objetivo deste documento é fornecer princípios, definições e um modelo para as estruturas de governança usarem ao avaliar, dirigir e monitorar o manuseio e o uso de dados em suas organizações. Este documento é uma norma orientativa de alto nível, com base em princípios. Além de fornecer uma ampla orientação sobre a função da estrutura de governança, incentiva as organizações a usarem normas apropriadas para sustentar a sua governança de dados.

Todas as organizações usam dados e a maior parte desses dados é armazenada eletronicamente nos sistemas de TI. Com o advento da computação em nuvem, a realização do potencial da internet das coisas e o uso crescente de análises de big data, os dados estão se tornando mais fáceis de gerar, coletar, armazenar e extrair para obter informações úteis. Essa enxurrada de dados traz uma necessidade urgente e responsabilidade para as estruturas de governança assegurarem que oportunidades valiosas sejam aproveitadas e que dados confidenciais estejam seguros e protegidos.

Este documento foi preparado para fornecer diretrizes aos membros das estruturas de governança para aplicar uma abordagem baseada em princípios à governança de dados, de modo a aumentar o valor dos dados e, ao mesmo tempo, diminuir os riscos associados a esses dados.

A NBR ISO/IEC 38500 fornece princípios e modelos para as estruturas de governança das organizações orientarem o uso atual e planejarem o uso futuro da tecnologia da informação (TI), e é para esse fim que esse documento se aplica. Assim como na NBR ISO/IEC 38500, este documento é dirigido principalmente à estrutura de governança de uma organização e será aplicado igualmente, independentemente do tamanho da organização ou de sua indústria ou setor.

A governança é distinta da gestão e, portanto, há a preocupação em avaliar, dirigir e monitorar o uso de dados, em vez da mecânica de armazenar, recuperar ou gerenciar os dados. Dito isto, um entendimento de algumas técnicas e técnicas de gerenciamento de dados é descrito para enunciar as possíveis estratégias e políticas que podem ser direcionadas pela estrutura de governança.

A boa governança de dados auxilia as estruturas de governança para assegurar que o uso de dados em toda a organização contribua positivamente com o desempenho da organização por meio de: inovação em serviços, mercados e negócios; implementação e operação apropriadas dos ativos de dados; clareza de responsabilidade e responsabilização pela proteção e pelo potencial para agregar valor; e minimização de consequências adversas ou não intencionais. Convém que as organizações com boa governança de dados sejam: organizações confiáveis para os proprietários de dados e usuários de dados fazerem transações; capazes de fornecer dados confiáveis para compartilhamento; protetoras da propriedade intelectual e outros valores derivados dos dados; organizações com políticas e práticas para dissuadir hackers e atividades fraudulentas; preparadas para minimizar o impacto das violações de dados; cientes de quando e como os dados podem ser reutilizados; capazes de demonstrar boas práticas no manuseio dos dados.

Este documento estabelece princípios para o uso eficaz, eficiente e aceitável de dados. As estruturas de governança, ao assegurar que suas organizações sigam esses princípios, serão auxiliadas na gestão de riscos e no incentivo à exploração de oportunidades decorrentes do manuseio seguro e da interpretação precisa da qualidade dos dados. A boa governança dos dados também ajuda as estruturas de governança a garantirem a conformidade com as obrigações (regulatórias, legislativas, contratuais) referentes ao uso e tratamento aceitáveis dos dados.

Este documento estabelece um modelo para a governança de dados. O risco de as estruturas de governança não cumprirem suas obrigações é mitigado, dando a devida atenção ao modelo, aplicando adequadamente os princípios. A provisão inadequada da governança de dados pode expor uma organização a vários riscos, incluindo: penalidades pelo descumprimento da legislação, especialmente legislação relacionada às medidas de privacidade exigidas; perda de confidencialidade dos dados da empresa, por exemplo, receitas ou especificações de projeto; perda de confiança das partes interessadas, incluindo parceiros comerciais, clientes e público; incapacidade de realizar funções organizacionais críticas devido à falta de dados confiáveis ou pertinentes para os negócios; aumento da concorrência por meio do uso estratégico de dados pelos concorrentes.

As estruturas de governança podem ser responsabilizadas por: violações de privacidade, spam, saúde e segurança, legislação e regulamentos de manutenção de registros; não conformidade com normas obrigatórias relativas à segurança e responsabilidade social; questões relacionadas aos direitos de propriedade intelectual. Os membros da estrutura de governança são responsáveis pela governança dos dados e são responsáveis pelo uso eficaz, eficiente e aceitável dos dados pela organização.

A autoridade, a responsabilidade e a responsabilização da estrutura de governança pelo uso efetivo, eficiente e aceitável de dados surgem de sua responsabilidade geral pela governança da organização e de suas obrigações com as partes interessadas externas, incluindo os reguladores. O foco principal do papel da estrutura de governança de dados é assegurar que a organização obtenha valor dos investimentos em dados e TI associado, enquanto gerencia os riscos e leva em consideração as restrições.

Além disso, convém que a estrutura de governança assegure que haja um entendimento claro de quais dados estão sendo usados pela organização e com que finalidade, e que exista um sistema de gestão eficaz para assegurar que as obrigações, como proteção de dados, privacidade e respeito para propriedade intelectual, possam ser cumpridas. Convém que a estrutura de governança estabeleça mecanismos de supervisão para a governança de dados que sejam apropriados ao nível de dependência do negócio em relação aos dados.

Convém que a estrutura de governança tenha uma compreensão clara da importância dos dados para as estratégias de negócios da organização, bem como o potencial risco estratégico para a organização do uso destes dados. Convém que o nível de atenção que uma estrutura de governança dá aos dados seja baseado nestes fatores. Convém que a estrutura de governança assegure que seus membros e mecanismos de governança associados (como auditoria, gestão de riscos e comitês relacionados), bem como gerentes, tenham o conhecimento e a compreensão necessários sobre a importância dos dados.

A estrutura de governança pode estabelecer um subcomitê para ajudar a estrutura de governança a supervisionar o uso de dados da organização do ponto de vista estratégico. A necessidade de um subcomitê depende da importância dos dados para a organização e seu tamanho. Convém que a estrutura de governança assegure que um framework apropriado de governança seja estabelecido para a governança e gestão dos dados.

Convém que a estrutura de governança monitore a eficácia dos mecanismos de governança e gestão dos dados, requerendo processos como auditorias e avaliações independentes para obter a garantia de que a governança seja eficaz. Os aspectos específicos da governança de dados que são introduzidos neste documento são os descritos a seguir.

– Valor: os dados são a matéria-prima para o conhecimento útil. Alguns dados podem não ser muito valiosos, enquanto outros dados são extremamente valiosos para a organização. No entanto, este valor não é conhecido até que seja usado pela organização e, portanto, todos os dados são de interesse da estrutura de governança, que, em última análise, é responsável por eles. O termo valor, neste caso, também inclui a qualidade e a quantidade dos dados, sua atualidade, o contexto (que é o dado em si) e o custo de seu armazenamento, manutenção, uso e descarte.

– Risco: diferentes classes de dados trazem diferentes níveis de risco, e convém que a estrutura de governança entenda os riscos dos dados e como direcionar os gerentes para gerenciar esses riscos. Os riscos não se manifestam apenas em violações de dados, mas também no mau uso dos dados, bem como nos riscos competitivos envolvidos em não utilizar adequadamente os dados.

– Restrições: A maioria dos dados vem com restrições em seu uso. Algumas delas são impostas externamente à organização por meio de legislação, regulamentação ou obrigações contratuais, e incluem questões de privacidade, direitos autorais, interesses comerciais e assim por diante. Outras restrições sobre os dados incluem obrigações éticas ou sociais ou políticas organizacionais que restringem o uso dos dados. Estratégias e políticas são requeridas para explicar estas restrições em qualquer uso dos dados pela organização.

Os dados e o seu uso pelas organizações estão se tornando cada vez mais importantes para todas as organizações e suas partes interessadas. Ao aplicar os princípios, modelos e aspectos específicos da governança de dados descritos neste documento, convém que as estruturas de governança sejam capazes de realizar ações que maximizem seus investimentos em uso de dados, gerenciem os riscos envolvidos e forneçam boa governança para a sua organização.

A figura acima mostra as áreas de responsabilização de dados dentro de uma organização. Os elementos do mapa são descritos abaixo. Para qualquer organização e para qualquer tipo de negócio, o mapa identifica os tópicos que são de interesse sob uma perspectiva de governança. Embora os processos e implementações reais sejam de responsabilidade do gerenciamento, as linhas indicam tanto o fluxo de dados quanto o mecanismo de bloqueio, onde é necessário assegurar que as políticas e estratégias de governança estejam implementadas e que as responsabilizações sejam atendidas.

Os aspectos específicos de dados da governança no contexto destas responsabilizações são discutidos em mais detalhes na Seção 9. O foco deste documento é a governança dos dados, e convém que não seja confundido com a gestão de dados. Considerando que a estrutura de governança está preocupada com a aplicação dos princípios de governança, conforme descrito na Seção 7, o campo da gestão de dados tem métodos bem definidos para o processamento dos dados, bem como mecanismos para garantir a confidencialidade, integridade e disponibilidade desses dados. Um exemplo de ciclo de vida de gestão de dados é mostrado na figura abaixo

A atividade coletar inclui o processo de aquisição, coleta e criação de dados, aprendendo com decisões anteriores tomadas e contextos adicionais extraídos de outros conjuntos de dados (internos ou externos). Os dados existem em muitas formas e podem ser criados e coletados para uso pela organização de várias maneiras diferentes, incluindo os seguintes aspectos descritos a seguir.

— Entrada de dados: a entrada de dados é obtida usando aplicativos dentro da organização [por exemplo, em um sistema ERP (Enterprise Resource Planning) ou aplicativo de e-mail] ou externamente por meio de um site, aplicativo móvel ou aplicativo similar.

— Transações de outros sistemas: a entrada de dados ou a atualização feita em outros sistemas pode fluir para o sistema da organização por meio do EDI (Electronic Data Interchange) ou outros processos de interface.

— Sensores: uma quantidade crescente de dados é ingerida na organização por meio de sistemas de máquinas, como sensores. Os sensores abrangem uma ampla variedade de dispositivos de aquisição de dados, incluindo registros de sites, fontes de mídias sociais e dispositivos de internet das coisas os quais incluem dispositivos do dia a dia, desde simples sensores de temperatura até TV, carros, semáforos e edifícios. Os dados dos sensores também podem incluir sinais potencialmente urgentes, como alertas e alarmes.

— Novo contexto: os dados dos relatórios podem ser combinados com outros dados para fornecer informações adicionais, que , por sua vez, retornam à organização. Em muitos casos, estes dados adicionais fornecem um novo contexto aos dados originais e podem precisar ser tratados de maneira diferente dos dados originais. Novos dados contextuais podem vir de decisões que podem dar relevância ou valor aos dados existentes.

— Assinatura: os dados podem se tornar disponíveis para a organização por meio de uma assinatura de um feed de dados ou de um armazenamento de dados virtual.

As peças compradas e fabricadas por manufatura aditiva

Pretende-se que este documento seja utilizado pelos fornecedores de peças e/ou pelos clientes de peças fabricadas por manufatura aditiva. Este documento é uma norma de nível superior na hierarquia de normas de manufatura aditiva, destinado a ser aplicado às peças fabricadas por qualquer processo de manufatura aditiva e qualquer tipo de material.

A NBR ISO/ASTM 52901 de 11/2019 – Manufatura aditiva — Princípios gerais — Requisitos para peças compradas, fabricadas por manufatura aditiva define e especifica os requisitos para peças compradas, fabricadas por manufatura aditiva. Fornece as diretrizes para os elementos a serem trocados entre o cliente e o fornecedor da peça no momento do pedido de compra, incluindo as informações da solicitação do cliente, dados de definição da peça, requisitos de material de alimentação, características e propriedades da peça final, requisitos de inspeção e métodos de aceitação da peça. É aplicável ao uso como uma base para obter peças fabricadas por manufatura aditiva que atendam aos requisitos mínimos de aceitação. Requisitos mais rigorosos da peça podem ser especificados por meio da adição de um ou mais requisitos complementares no momento do pedido de compra.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

O que as características da peça devem atender?

Como deve ser feita a inspeção das peças?

Qual deve ser a documentação de aceitação?

Quais são as informações do pedido de compra da peça?

Este documento abrange a definição e a comunicação de requisitos para peças compradas, fabricadas por manufatura aditiva. Ele é destinado a permitir uma comunicação eficiente e inequívoca entre os fornecedores de peças e os clientes de peças fabricadas por manufatura aditiva, assegurando que a peça resultante atenda aos requisitos do cliente.

Pretende-se que este documento seja utilizado pelos fornecedores de peças e/ou pelos clientes de peças fabricadas por manufatura aditiva. Este documento é uma norma de nível superior na hierarquia de normas de manufatura aditiva, destinado a ser aplicado às peças fabricadas por qualquer processo de manufatura aditiva e qualquer tipo de material.

Este documento permite diferentes requisitos com base na classificação da criticidade e do uso final esperado das peças fabricadas por manufatura aditiva. O pedido de compra da peça deve incluir os seguintes elementos: organização e informações de contato do cliente (de preferência com pontos de contato para pedidos de compra, pagamento e entrega); definição da (s) peça (s) a ser (em) fabricada (s); condições associadas de entrega ao cliente; outros requisitos de compra; uma identificação de referência deste documento, ou seja, NBR ISO/ASTM 52901, e outros regulamentos nacionais/internacionais pertinentes; identificação do pedido de compra da peça do cliente (número de requisição, data de requisição etc.); designação ou descrição da (s) peça (s) desejada (s) (número/identificação da peça, índice de revisão, etc.); quantidade desejada de peças; data de entrega requerida, se for um único pedido de compra; quantidade de entrega, frequência e período de duração requeridos do pedido de compra, se for um pedido com entrega programada ou múltiplos pedidos; marcação ou etiquetagem requerida das peças, incluindo, por exemplo, rótulos, número de série, número de lote, tipo de material de alimentação, referência do fornecedor da peça, identificador de inspeção, referência de rastreabilidade, etc.; requisitos da embalagem da peça para entrega ao cliente; endereço de entrega do cliente.

Os valores específicos dos elementos estão sujeitos a um acordo entre o cliente e o fornecedor da peça. A definição da peça deve incluir os seguintes elementos: geometria da peça; tolerâncias; textura superficial; orientação de fabricação, se necessário, para atender aos requisitos do cliente; material de alimentação para a peça a ser fabricada, se necessário, para atender aos requisitos do cliente; métodos de reparo (levando em consideração as categorias de ensaio definidas na NBR ISO 17296-3); imperfeições ou desvios aceitáveis; informações de controle do processo.

A divulgação de informações confidenciais está sujeita a um acordo entre o cliente e o fornecedor da peça. A definição da peça deve incluir os seguintes elementos: referência do desenho de engenharia (número, índice e versão), se aplicável; referência do arquivo digital (nome, formato, versão), se aplicável; descrição da geometria por um desenho de engenharia que defina completamente a peça, ou um arquivo digital contendo o modelo 3D ou as informações de geometria da peça.

Para troca de dados eletrônicos, o cliente e o fornecedor da peça devem assegurar que os sistemas utilizados sejam compatíveis e devem definir o método de fornecimento de arquivos digitais, incluindo o nível de confidencialidade e os métodos de proteção de dados, o formato dos dados eletrônicos, e os procedimentos para criação do arquivo digital (incluindo a fonte dos dados eletrônicos e os requisitos de conversão necessários para produzir o arquivo digital). Os documentos de descrição da geometria da peça podem ser fornecidos pelo cliente ou pelo fornecedor da peça.

O formato de arquivo STL utilizado por muitas máquinas de manufatura aditiva não contém unidades de medida como metadados. Quando somente arquivos STL forem fornecidos pelo cliente, as informações do pedido de compra especificam as unidades de medida da peça juntamente com o arquivo digital. Mais informações sobre arquivos digitais podem ser encontradas na ISO/ASTM 52915.

As tolerâncias devem ser especificadas (por exemplo, tolerâncias gerais, ver NBR ISO 2768-1 e NBR ISO 2768-2, e/ou tolerâncias específicas, ver ISO 1101), incluindo a definição de zonas funcionais (por exemplo, sobremetal para usinagem para acabamento ou retrabalho) e zonas estéticas ou cosméticas, de modo que o fornecedor da peça possa orientar a peça de acordo com os requisitos e decidir sobre a localização e o tipo de estruturas de suporte da peça, se necessário. Convém que a textura superficial (também conhecida como acabamento superficial) da peça seja especificada, se possível por referência a normas existentes (por exemplo, utilizando a ISO 1302 e/ou a ISO 25178-1).

O requisito de textura superficial pode ser especificado por um valor máximo de rugosidade/ondulação para toda a peça ou por uma rugosidade/ondulação específica para uma ou mais superfícies críticas. A textura superficial geralmente depende de diversos parâmetros do processo, incluindo a orientação da peça e a espessura de camada.

O processo de fabricação desejado para construir a peça deve ser identificado, incluindo as etapas de pós-processamento necessárias (por exemplo, tratamento térmico, acabamento superficial). A orientação de fabricação deve seguir as regras fornecidas na ISO/ASTM 52921. A orientação de fabricação geralmente é escolhida pelo fornecedor da peça para atender aos requisitos; entretanto, o cliente pode especificar a orientação de fabricação da peça, se necessário, para obter as propriedades mecânicas específicas.

O tipo e/ou os limites da composição química do material de alimentação para a peça a ser fabricada devem ser especificados por referência a normas e/ou especificações existentes do material. O pedido de compra deve mencionar ou referenciar especificações apropriadas para as características do material de alimentação para a peça a ser fabricada, os requisitos de armazenamento, manuseio e processamento para o uso adequado do material de alimentação e para o controle de suas propriedades, e se for necessário atender aos requisitos do cliente, informações sobre o uso permitido do material de alimentação reciclado (reutilizado).

Se o cliente tiver preocupações sobre o país de origem do material de alimentação ou do produtor do material de alimentação, a fonte desejada do material de alimentação pode ser especificada. Qualquer reparo deve ser comunicado ao cliente e autorizado antes de ser realizado. Os métodos de reparo autorizados (como reparo por deposição de material, soldagem, colagem ou aglutinação) e as condições de reparo correspondentes devem ser especificados, se necessário, e devem ser aprovados pelo cliente.

As tolerâncias para trincas, defeitos, descontinuidades, material estranho, inclusões, imperfeição (ões) ou desvio (s) aceitável (eis), descolorações e porosidade devem ser acordadas entre o fornecedor da peça e o cliente. Os requisitos para a repetibilidade do processo de fabricação devem ser identificados, incluindo referência a normas ou métodos de medição relevantes para avaliar a repetibilidade, particularmente para pedidos de compra de peças múltiplas ou pedidos de compra múltiplos esperados da mesma peça.

Os requisitos para documentar as informações de controle do processo durante a fabricação devem ser identificados. As informações requeridas, conforme acordado entre o fornecedor da peça e o cliente, devem ser documentadas durante a fabricação e incluídas no registro de qualidade para a peça de manufatura aditiva como retidas pelo fornecedor da peça. O período de retenção do registro de qualidade e as informações de controle do processo a serem transmitidas ao cliente devem ser acordados entre o cliente e o fornecedor.

Se prestadores de serviços externos autorizados forem requeridos (por exemplo, para pós-tratamento, inspeção, etc.), eles devem ser acordados entre o fornecedor da peça e o cliente, e devem ser documentados. O pedido de compra deve especificar se a inspeção deve ser realizada em uma ou mais peças finais ou de referência (por exemplo, em um turno completo de produção, em amostras dos turnos de produção ou em peças de referência que tenham características similares, porém geometria ou escala diferentes).

Se os resultados do ensaio especificado no pedido de compra estiverem em conformidade com os critérios de aceitação, a peça deve ser aceita. Se os resultados dos ensaios não estiverem em conformidade com os valores definidos no pedido de compra, amostras adicionais do mesmo turno de produção devem ser submetidas a ensaios adicionais para aceitação.

Qualquer peça que não esteja em conformidade com os requisitos, porém que atenda às condições para retrabalho estipuladas no pedido de compra, pode ser reparada ou aceita. Qualquer não conformidade remanescente com os requisitos do pedido de compra, se o retrabalho for realizado ou não, deve ser revisada pelo cliente para determinar se um desvio específico dos requisitos pode ser aceito. Caso contrário, as peças devem ser rejeitadas.

A gestão dos documentos de arquivo e seus metadados

Deve-se entender a relevância dos metadados de gerenciamento de documentos de arquivo em processos de negócios e as diferentes funções e tipos de metadados que apoiam processos de negócios e de gestão de documentos de arquivo.

Pode-se definir os metadados para documentos de arquivo como as informações estruturadas ou semiestruturadas que permitem a produção, gestão e uso de documentos de arquivo ao longo do tempo e dentro e entre domínios. Já o esquema de metadados plano lógico que mostra as relações entre os elementos de metadados, normalmente por meio do estabelecimento de regras para uso e gestão de metadados, especificamente quanto à semântica, à sintaxe e à opção (nível de obrigação) de valores.

A NBR ISO 23081-1 de 09/2019 – Informação e documentação – Processos de gestão de documentos de arquivo – Metadados para documentos de arquivo – Parte 1: Princípios abrange os princípios que sustentam e regem os metadados de gestão de documentos de arquivo. Estes princípios se aplicam a: documentos de arquivo e seus metadados; todos os processos que os afetam; qualquer sistema em que residam; qualquer organização responsável por sua gestão.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

O que incluem os metadados no momento da captura dos documentos de arquivo?

Para que servem os metadados para o e-business?

O que são os metadados para a gestão de direitos?

Como definir e manter as estruturas para o gerenciamento de metadados?

A NBR ISO 23081 estabelece um modelo para definição, gestão e utilização de metadados na gestão de documentos de arquivo e explica os princípios que os governam. Este documento fornece diretrizes para entendimento, implementação e utilização de metadados no âmbito do modelo da NBR ISO 15489. Aborda a relevância dos metadados de gerenciamento de documentos de arquivo em processos de negócios e as diferentes funções e tipos de metadados que apoiam processos de negócios e de gestão de documentos de arquivo.

Estabelece também um modelo para gerenciamento destes metadados. Nesta parte, negócios e atividades de negócios são usados como termos amplos, não restritos à atividade comercial, mas incluindo administração pública, atividades sem fins lucrativos e outras. Esta norma não define um conjunto obrigatório de metadados de gestão de documentos de arquivo a serem implementados, uma vez que estes metadados serão diferentes de acordo com os requisitos organizacionais ou específicos para a jurisdição.

No entanto, avalia os principais conjuntos de metadados existentes, de acordo com os requisitos da NBR ISO 15489. A ISO 23081-2 e a ISO 23081-3 são mais explicativas e fornecem orientações práticas sobre questões de implementação e como avaliar conjuntos de metadados de gestão de documentos de arquivo em relação aos princípios deste documento. A gestão de metadados é uma parte indissociável da gestão de documentos de arquivo, servindo a uma diversidade de funções e propósitos.

No contexto da gestão de documentos de arquivo, os metadados destes documentos são definidos como informação estruturada ou semiestruturada, que permite a produção, a gestão e o uso dos documentos de arquivo ao longo do tempo e dentro e entre domínios (NBR ISO 15489-1:2018, 3.12). Cada domínio representa uma área de discurso intelectual e de atividade social e/ou organizacional com um grupo distinto ou limitado de pessoas que compartilham certos valores e conhecimentos.

Os metadados para documentos de arquivo podem ser usados para identificar, autenticar e contextualizar os documentos de arquivo, bem como as pessoas, os processos, os sistemas que os produzem, os gerenciam, os mantêm e os utilizam e as políticas que os regem (ver 9.1). Inicialmente, os metadados definem estabelecem o documento de arquivo no seu ponto de captura, inserindo-o em seu contexto de negócios e estabelecendo formas de controle no que tange à sua gestão. Durante a existência dos documentos de arquivo ou seus desdobramentos, novas entradas/camadas de metadados serão adicionadas, em razão de novas aplicações em outros contextos de negócios ou ainda em outros contextos de utilização.

Isso significa que os metadados continuam a se acumular ao longo do tempo. As informações relativas ao contexto da gestão de documentos de arquivo e aos processos de negócio nos quais os documentos de arquivo são usados continuam acumulando-se enquanto estes documentos são gerenciados e usados. O documento de arquivo também pode sofrer mudanças estruturais ou mudanças em sua apresentação. Os metadados podem ser obtidos ou reutilizados por múltiplos sistemas e para múltiplos propósitos.

Os metadados aplicados aos documentos de arquivo durante sua vida ativa também podem continuar a ser aplicados quando deixam de ser requeridos para os fins de negócios atuais, porém são mantidos para pesquisas em andamento ou outras finalidades. Os metadados asseguram a autenticidade, confiabilidade, usabilidade e integridade ao longo do tempo, e permitem a gestão e a compreensão dos objetos de informação, sejam estes físicos, analógicos ou digitais.

Contudo, recomenda-se que os metadados também sejam gerenciados. A gestão de documentos de arquivo sempre envolveu a gestão de metadados. Contudo, o ambiente digital requer uma apresentação diferente dos requisitos e mecanismos tradicionais para identificar, capturar, atribuir e usar metadados. No ambiente digital, os documentos de arquivo confiáveis são aqueles acompanhados de metadados que definem suas características críticas. Estas características devem ser explicitamente documentadas, em vez de serem implícitas, como em alguns processos baseados em papel.

No ambiente digital, é essencial assegurar que a definição e a captura dos metadados de gestão de documentos de arquivo sejam implementadas em sistemas que produzam, administrem e usem documentos de arquivo. Por outro lado, o ambiente digital apresenta novas oportunidades para definir e gerar metadados, e assegurar a captura completa de documentos de arquivo na atualidade.

Estes documentos de arquivo podem ser transações ou suas provas. Metadados sustentam processos de negócios e de gestão de documentos de arquivo: protegendo os documentos de arquivo como prova e assegurando a sua acessibilidade e usabilidade ao longo do tempo; facilitando a capacidade de compreensão dos documentos de arquivo; apoiando e assegurando o valor probatório dos documentos de arquivo; auxiliando na garantia da autenticidade, da confiabilidade e da integridade dos documentos de arquivo; apoiando e gerenciando o acesso, a privacidade e os direitos; apoiando a recuperação eficiente; apoiando o reuso e a reproposição de documentos de arquivo; apoiando as estratégias de interoperabilidade, proporcionando a captura oficial de documentos de arquivo produzidos em diversos ambientes técnicos e de negócios e sua sustentabilidade pelo tempo que for necessário; fornecendo ligações lógicas entre os documentos de arquivo e o contexto de sua produção, mantendo-os de forma estruturada, confiável e significativa; apoiando a identificação do ambiente tecnológico em que os documentos de arquivo digitais foram produzidos ou capturados e a gestão do ambiente tecnológico em que são mantidos, para que os documentos de arquivo autênticos possam ser reproduzidos enquanto forem necessários; apoiando a migração eficiente e bem-sucedida de documentos de arquivo de um ambiente ou plataforma de computador para outro, ou ainda qualquer outra estratégia de preservação.

Convém que as organizações tomem decisões sobre quais dos requisitos de metadados descritos neste documento são necessários em algum ou em todos os sistemas organizacionais. Estas decisões dependerão de: necessidades do negócio; ambiente regulatório; riscos que afetem as operações do negócio. Esta avaliação pode identificar quais tipos de metadados precisam ser aplicados em diferentes áreas da organização, dependendo dos riscos ou necessidades do negócio.

Um dos principais usos dos metadados é a descrição de fontes de informação. Estas fontes de informação podem ser livros, revistas, vídeos, documentos, imagens e artefatos. Também incluem documentos de arquivo transferidos para custódia arquivística. Convém que os metadados identifiquem a fonte de informação e o título, produtor (es), data (s), identificador único, relação com outras fontes (por exemplo, dentro da mesma série) e sua dimensão (por exemplo, tamanho ou comprimento).

Alguns destes elementos de metadados também são usados no contexto de gestão de documentos de arquivo. Eles são semelhantes e podem se sobrepor aos elementos dos metadados inseridos no momento da captura, documentando o conteúdo de um documento de arquivo. No entanto, os metadados descritivos para gestão de documentos de arquivo e para fins de arquivamento geralmente são mais amplos do que os metadados de descrição das fontes de informação e podem incluir outros elementos, como, por exemplo, metadados de contexto.

Há uma forte relação entre o tipo de metadado descrito e a descrição arquivística. As instituições arquivísticas utilizam metadados para descrever os documentos de arquivo, a fim de preservar seu sentido ao longo do tempo, colocá-los em seus contextos administrativos e de gestão de documentos de arquivo e facilitar seu uso e gestão. Portanto, os padrões atuais de descrição de arquivamento, como ISAD/G e ISAAR (CPF), possuem uma extensa sobreposição com metadados de gestão de documentos de arquivo, porque ambos se preocupam em documentar o contexto de negócios e os processos de gestão.

A gestão arquivística, incluindo a descrição arquivística, é uma atividade complementar e contínua para os documentos de arquivo que são identificados como tendo valor arquivístico. A funcionalidade que permita a migração de metadados entre os sistemas de documentos de arquivo organizacionais e os sistemas de controle de arquivo é, portanto, recomendada. O processo de gerenciamento de metadados permanece em andamento pelo tempo que os documentos de arquivo e suas agregações relevantes existirem.

Convém que novos metadados sejam adicionados onde necessário, para manter os documentos de arquivo relevantes, confiáveis e utilizáveis. Convém que isso seja realizado ao longo do tempo e entre domínios, por exemplo, quando as funções de uma organização e as partes relevantes de seu sistema de documentos de arquivo são transferidos para uma outra organização. Isso pode demandar à organização receptora a adaptação de suas estruturas de metadados existentes.

Convém que as organizações definam procedimentos e políticas para documentar estas mudanças. Várias camadas podem ser diferenciadas em um contexto de escopo em constante expansão, dependendo de quão amplamente os documentos de arquivo serão compartilhados e usados. Os documentos de arquivo são gerenciados em sistemas; estes sistemas são gerenciados por organizações e estas organizações fazem parte de um contexto mais amplo (um setor empresarial, um governo, uma nação, o público ou a sociedade).

Convém que, em cada uma destas camadas, os metadados forneçam informações suficientes sobre os documentos de arquivo, para torná-los compreensíveis e acessíveis à comunidade interessada. Os tipos de metadados requeridos para implementação da NBR ISO 15489-1 podem ser divididos nos seguintes componentes (ver figura abaixo): metadados sobre o documento de arquivo em si; metadados sobre as regras de negócio ou políticas e funções; metadados sobre agentes; metadados sobre atividades ou processos de negócio; metadados sobre processos de gestão de documentos de arquivo. Estes tipos de metadados são aplicáveis tanto antes quanto após a produção do documento de arquivo.

Cada componente reflete metadados que são capturados com os documentos de arquivo, consolidando-os em seu contexto de negócio e permitindo que os procedimentos de gestão ocorram (ou seja, metadados no momento da captura de documentos de arquivo) e continuam a ser definidos e capturados (ou seja, metadados processados). Isso vai além da organização de produção do documento de arquivo e convém que seja assegurado por qualquer organização responsável pela gestão de documentos de arquivo ao longo do tempo. Esta categorização tem sido usada como base estrutural para este documento. Um comentário é inserido após cada um dos requisitos de metadados, para indicar de qual seção ou subseção da NBR ISO 15489-1 eles são derivados.

O controle e as comunicações de dados em tratores agrícolas ou florestais

Atualmente, está disponível um sistema de comunicações para equipamentos agrícolas com base no protocolo da ISO 11898-2.

A NBR ISO 11783-1 de 08/2019 – Tratores e máquinas agrícolas e florestais — Rede serial para comunicação de dados e controle – Parte 1: Padrão geral para comunicação de dados móveis especifica uma rede serial de dados para controle e comunicações em tratores agrícolas ou florestais e implementos montados, semimontados, rebocados ou autopropelidos. Sua finalidade é padronizar o método e o formato de transferência de dados entre sensores, atuadores, elementos de controle, unidades de armazenamento e exibição de informações, montados ou se forem parte do trator ou implemento. Ela é destinada a fornecer interligação de sistema aberto (Open System Interconnect – OSI) para sistemas eletrônicos utilizados por equipamentos agrícolas e florestais. Fornece uma visão geral da NBR ISO 11783.

Para desenvolvedores de aplicações segundo a NBR ISO 11783, o conteúdo desta base de dados eletrônicos fornece a listagem atual das designações de endereços, designações de identidade e definições de parâmetros da NBR ISO 11783-1 que foram designadas e que estão oficialmente registradas pela SAE J1939. Estas informações são encontradas na base de dados on-line no website da ISOBUS (http://www.isobus.net/).

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais os termos abreviados usados nessa norma?

Qual seria uma estrutura de conexão física típica da rede do trator/implemento?

Qual seria uma topologia típica da rede da NBR ISO 11783?

Como seria a interface do computador de gerenciamento da fazenda?

O que contém a base de dados eletrônicos da NBR ISO 11783-1?

A NBR ISO 11783 especifica um sistema de comunicações para equipamentos agrícolas com base no protocolo da ISO 11898-2. Os documentos SAE J19391, em que as partes da NBR ISO 11783 são baseadas, foram desenvolvidos em conjunto para uso em aplicações de caminhões e ônibus e para aplicações na construção e agricultura. Documentos conjuntos foram concluídos para permitir que as unidades eletrônicas que atendem às especificações SAE J1939 de caminhões e ônibus sejam utilizadas por equipamentos agrícolas e florestais com alterações mínimas.

Informações gerais sobre a NBR ISO 11783 podem ser encontradas nesta parte da NBR ISO 11783. O objetivo da NBR ISO 11783 é fornecer um sistema aberto e interligado para sistemas eletrônicos embarcados. Ela é destinada a permitir que unidades de controle eletrônico (ECU) se comuniquem entre si, fornecendo um sistema padronizado.

A interligação de sistemas abertos (OSI) especificada na ISO/IEC 7498-1 é um modelo de arquitetura de comunicações por computador que possui sete camadas, conforme mostrado na figura abaixo. Pretende-se que as redes de comunicações de dados, como a serie ABNT NBR ISO 11783, sejam desenvolvidas para realizar as funções de cada uma das camadas OSI, conforme requerido.

Camada 1 – Física – Esta camada refere-se à transmissão de um fluxo de bits não estruturado sobre mídia física; ela trata das características mecânicas, elétricas, funcionais e de processo para acessar a mídia física.

Camada 2 – Dados – Esta camada fornece a transferência confiável de informações pela da camada física; ela envia blocos de dados com o sincronismo, controle de erros, controle sequencial e controle de fluxo.

Camada 3 – Rede – Esta camada fornece camadas superiores com independência das tecnologias de transmissão e comutação de dados utilizados para conectar sistemas; ela é responsável por estabelecer, manter e encerrar conexões.

Camada 4 – Transporte – Esta camada fornece transferência confiável e transparente de dados entre pontos finais, recuperação de erros de ponta a ponta e controle de fluxo, e segmentação e remontagem de mensagens muito grandes.

Camada 5 – Sessão – Esta camada fornece a estrutura de controle para comunicação entre aplicações; ela estabelece, gerencia e encerra conexões (sessões) entre aplicações de cooperação.

Camada 6 – Apresentação – Esta camada fornece independência ao processo da aplicação das diferenças na representação de dados (sintaxe).

Camada 7 – Aplicação – Esta camada fornece acesso ao ambiente OSI para usuários e também fornece serviços de informações distribuídas.

Não é requerido que qualquer norma baseada no modelo OSI, incluindo a NBR ISO 11783, seja particionada explicitamente nas sete camadas OSI, desde que a funcionalidade fundamental seja suportada. Nem todas as camadas OSI são requeridas para a rede NBR ISO 11783, porque esta rede é um sistema de comunicações específico, suportando conjuntos específicos de aplicações para uma indústria específica.

Somente as camadas requeridas para o uso previsto são definidas na NBR ISO 11783, com uma parte separada da NBR ISO 11783 especificando cada uma das camadas e com outras partes fornecendo suporte de funcionalidade para as camadas. Em redes concordantes com a série NBR ISO 11783, muitas mensagens são transmitidas. Estas redes incluem a rede do trator (6.6.2) e a rede do implemento (6.6.3). Portanto, os dados são transmitidos na rede sem direcioná-los para um destino específico.

Esta configuração permite que qualquer função de controle utilize os dados sem utilizar mensagens de solicitação adicionais. A NBR ISO 11783 também especifica que um endereço de destino específico seja incluído no identificador rede de área de controle (CAN) da mensagem, quando uma mensagem for direcionada para uma função de controle específica. O formato da mensagem específica de destino é, portanto, diferente do formato da mensagem global de destino.

A comunicação de propriedade também é permitida na NBR ISO 11783, utilizando formatos de mensagens específicas de destino ou mensagem globais de destino. A NBR ISO 11783-2 especifica a subcamada de acesso à mídia para as ECU e a subcamada dependente do meio físico para as redes do trator e do implemento. A interface da ECU deve estar em conformidade com a subcamada de sinalização física, conforme normalizado na ISO 11898-1:2015, e a subcamada de acesso à mídia física, conforme normalizado na ISO 11898-2:2016. A rede é composta de um único cabo linear torcido quadruplamente conectado a cada ECU em um nó. Um cabo curto fornece uma conexão do nó ao cabo torcido quadruplamente para cada ECU.

Circuitos de polarização da terminação ativos são especificados para cada extremidade de um segmento de rede. A NBR ISO 11783-2 também especifica os conectores requeridos para conectar implementos a tratores, ECUs adicionais a uma rede existente instalada no equipamento e uma ferramenta de serviço na rede. A NBR ISO 11783-2 também especifica as fontes de energia requeridas para a operação da rede e suas conexões.

As ECU concordantes com a série NBR ISO 11783 devem utilizar o Formato de Estrutura Estendida CAN Clássica, definido na ISO 11898-1:2015. Os formatos de estruturas CAN FD não podem ser utilizados. A NBR ISO 11783-3 define a estrutura do identificador CAN para especificar os formatos de mensagens. Os formatos de mensagem ou unidades de dados de protocolo são utilizados para identificar o conteúdo de uma mensagem.

A NBR ISO 11783-3 especifica um campo (PF) de formato PDU de 8 bits, um campo (PS) específico PDU de 8 bits e um campo de página de dados de 2 bits que é utilizado para identificar uma PDU. Para reduzir a sobrecarga de mensagens, a NBR ISO 11783-3 especifica que um número de itens ou parâmetros de dados relativos deve ser agrupado dentro de uma PDU. A NBR ISO 11783 especifica mensagens adicionais para mensagens proprietárias do fabricante.

As mensagens que necessitam de mais 8 bytes de dados são enviadas como mensagens multipacote. A NBR ISO 11783-3 especifica um protocolo de transporte para transmitir mensagens multipacote de até 1 785 bytes de comprimento. A NBR ISO 11783-6 especifica um segundo protocolo de transporte para transmitir mensagens de 1 786 bytes até 117 megabytes.

As definições individuais do formato de mensagem da aplicação, incluindo a taxa de transmissão da mensagem, o comprimento da estrutura de dados, a página de dados, PF, PS ou DA e a prioridade padrão, são fornecidas na parte da NBR ISO 11783 que especifica a aplicação específica. Quando duas redes com diferentes arquiteturas de rede forem conectadas, o integrador do sistema conectado deve utilizar uma unidade de interligação de rede para isolar cada segmento de rede do outro.

As unidades de interligação de rede estão detalhadas na NBR ISO 11783-4. Também é possível que sistemas complexos possam requerer mais do que o limite elétrico de 30 nós, conforme especificado na NBR ISO 11783-2, em uma série NBR ISO 11783. Nestes casos, o fabricante do sistema do implemento deve utilizar unidades de interligação de rede para manter os limites de carga elétrica requeridos da rede.

Cada função de controle que se comunica na rede de dados da ABNT NBR ISO 11783 requer um endereço da fonte (SA). Se uma ECU realizar as mais de uma função de controle, um endereço é requerido para cada função de controle. Para identificar exclusivamente cada função de controle, a NBR ISO 11783-5 especifica um NAME de 64 bits. A NBR ISO 11783-5 define o processo específico para determinar os endereços de fonte e resolver quaisquer conflitos de endereço que possam ocorrer.

O SA é pré-ajustado ou dinamicamente reivindicado por cada controlador, à medida que são ativados. Um NAME deve ser designado para cada função de controle que se comunica em uma rede NBR ISO 11783. Existem exemplos, como um terminal virtual e porta de gerenciamento em uma ECU comum, onde vários NAME e endereços coexistem dentro de uma única ECU.

A base de dados da NBR ISO 11783 em http://www.isobus.net/ lista os seguintes códigos para campos de um NAME: as indústrias que utilizam especificações de gerenciamento de rede ABNT NBR ISO 11783; endereços pré-ajustados ou preferidos para funções de controle não específicas; endereços iniciais designados para equipamentos agrícolas e florestais; os NAME a serem utilizados pelas funções de controle em uma rede de dados da NBR ISO 11783; os fabricantes que fornecem ECU para operar em uma rede de dados ABNT NBR ISO 11783. Os endereços utilizados pelas funções de controle também são ilustrados.

A NBR ISO 11783 suporta dois ou mais segmentos de rede. Um segmento é identificado como a rede do trator. Este segmento é destinado a fornecer as comunicações de controle e dados para o trem de acionamentos e chassi do trator ou a unidade de energia principal em um sistema. O segundo segmento é identificado como a rede do implemento que fornece as comunicações de controle e dados entre implementos e entre implementos e o trator ou a unidade de energia principal no sistema. Uma ECU do trator é requerida para conectar à rede do trator e a rede do implemento.

Dá para medir a eficácia da segurança da informação em sua empresa?

Os criminosos digitais estão cada vez mais querendo acessar as empresas e a segurança da informação, nesse contexto, passa a ser um ponto de extrema importância ligada à estratégia corporativa. Para se ter uma ideia, estima-se que o número de ataques cibernéticos aumentou entre 30 e 40% na América Latina nos últimos anos.

Assim, para garantir um bom nível de segurança, é fundamental ter uma infraestrutura robusta. Portanto, deve-se investir em vários aspectos: arquitetura, design de um esquema de proteção, operações e práticas seguras, além de uma boa gestão de riscos.

Quanto à arquitetura, pode-se pensar na análise do projeto de uma prisão ou de uma base militar. Sempre se deve levar em consideração qual é a finalidade de um edifício. Ele abrigará réus de alta periculosidade? Que informações e objetos ficarão dentro de uma área militar?

O sistema precisa ser projetado como um todo, já que ele é formado por um conjunto de componentes que devem ser protegidos individualmente. Uma infraestrutura segura leva em conta um design geral da solução sem deixar de prestar atenção à proteção dos dados. Dessa forma, há uma segurança específica para cada um dos elementos: servidores, computadores, a rede, os componentes de comunicação, etc.

Ao configurar um serviço ou registrar um usuário, essas ações estão relacionadas a uma interação com um sistema e também devem ser feitas com segurança. Uma pessoa pode até ter um automóvel extremamente seguro e equipado com os melhores acessórios de segurança, mas acabará sofrendo um acidente se dirigir bêbado ou ultrapassar o limite de velocidade da via.

É preciso considerar as boas práticas que estabelecem qual é a melhor forma de atuar na maioria dos casos e das vezes. Precisa-se saber como são essas boas práticas e adotá-las para ter uma referência de aprimoramento.

Todas as empresas são diferentes. Cada setor tem suas próprias ameaças e exposições a riscos específicos. Por isso, é importante contar com uma referência. Quais seriam as circunstâncias de uma pequena e média empresa? Depende da área de atuação e da importância das informações com as quais essa empresa trabalha. Traçar um panorama de riscos gera certeza na hora de avaliar até que ponto deve-se otimizar o sistema e o que é preciso priorizar.

Quanto à computação na nuvem, possibilita a realização de operações seguras por causa de sua arquitetura e de seu design de soluções. A arquitetura da nuvem assemelha-se a uma fortaleza. Ela já fica armada e as operações e configurações são feitas pelo provedor, motivo pelo qual há menos exposição aos riscos.

E pode-se medir a eficácia de todo esse sistema?A NBR ISO/IEC 27004 de 04/2010 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Medição fornece as diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Esta norma é aplicável a todos os tipos e tamanhos de organizações.

O usuário deste documento precisa interpretar corretamente cada uma das formas verbais das expressões fornecidas (por exemplo: “deve”, “não deve”, “convém que”, “não convém que”, “pode”, “não precisa” e “não pode”) como sendo um requisito a ser atendido e/ou recomendações em que existe certa liberdade de escolha. Convém que seja consultado o Anexo A da ISO/IEC 27000:2009 para esclarecimentos adicionais.

Esta norma fornece diretrizes para elaboração e uso de medidas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e de controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Isto inclui a política, gestão de riscos de segurança da informação, objetivos de controles, controles, processos e procedimentos, e apoio ao processo de sua revisão, ajudando a determinar se algum processo ou controle do SGSI precisa ser modificado ou melhorado.

É necessário lembrar que nenhuma medição de controles pode garantir segurança completa. A implementação desta metodologia constitui um Programa de Medição de Segurança da Informação. O Programa de Medição de Segurança da Informação vai apoiar a gestão na identificação e avaliação de processos e controles do SGSI ineficazes e não conformes e na priorização de ações associadas com a melhoria ou modificação desses processos e/ou controles.

Também pode auxiliar a organização na demonstração da conformidade com a NBR ISO/IEC 27001 e prover evidências adicionais para os processos de análise crítica pela direção e de gestão de riscos em segurança da informação. Esta norma assume que o ponto de partida para o desenvolvimento das medidas e medições é o entendimento claro dos riscos de segurança da informação que a organização enfrenta e que as atividades de análise de riscos da organização têm sido executadas corretamente (por exemplo, baseada na NBR ISO/IEC 27005), conforme requerido pela NBR ISO/IEC 27001.

O Programa de Medição de Segurança da Informação encorajará que uma organização forneça informações confiáveis às partes interessadas pertinentes relacionadas com os riscos de segurança da informação e com a situação do SGSI implementado para gerenciar esses riscos. Se for eficazmente implementado, o Programa de Medição de Segurança da Informação aumentará a confiança das partes interessadas nos resultados das medições e possibilitará às partes interessadas a usarem essas medidas para realizar a melhoria contínua da segurança da informação e do SGSI.

Os resultados acumulados de medição permitirão a comparação do progresso em atingir os objetivos de segurança da informação sobre um período de tempo como parte de um processo de melhoria contínua do SGSI da organização. A NBR ISO/IEC 27001 exige que a organização “realize análises críticas regulares da eficácia do SGSI levando em consideração os resultados da eficácia das medições” e que “meça a eficácia dos controles para verificar se os requisitos de segurança da informação foram alcançados”.

A NBR ISO/IEC 27001 também exige que a organização “defina como medir a eficácia dos controles ou grupo de controles selecionados e especifique como essas medidas devem ser usadas para avaliar a eficácia dos controles para produzir resultados comparáveis e reproduzíveis”. A abordagem adotada por uma organização para atender os requisitos de medição especificados na NBR ISO/IEC 27001 vai variar de acordo com o número de fatores significantes, incluindo os riscos de segurança da informação que a organização enfrenta, o tamanho da organização, recursos disponíveis, e requisitos legais, regulatórios e contratuais aplicáveis.

A seleção e a justificativa criteriosa do método usado para atender aos requisitos de medição são importantes para assegurar que recursos em excesso não sejam direcionados a estas atividades do SGSI em detrimento de outras. Em condições ideais, as atividades de medição em curso devem ser integradas nas operações normais da organização com um acréscimo mínimo de recursos.

Os objetivos da medição de Segurança da informação no contexto de um SGSI incluem: avaliar a eficácia dos controles ou grupos de controles implementados (ver “4.2.2 d)” na Figura 1); avaliar a eficácia do SGSI implementado (ver 4.2.3 b)” na Figura 1); verificar a extensão na qual os requisitos de segurança da informação identificados foram atendidos (ver “4.2.3 c)” na Figura 1); facilitar a melhoria do desempenho da segurança da informação em termos dos riscos de negócio globais da organização; fornecer entradas para a análise crítica pela direção para facilitar as tomadas de decisões relacionadas ao SGSI e justificar as melhorias necessárias do SGSI implementado.

A Figura 1 ilustra o relacionamento cíclico de entrada e saída das atividades de medição em relação ao ciclo Planejar-Fazer-Checar-Agir (PDCA), especificado na NBR ISO/IEC 27001. Os números em cada figura representam as subseções relevantes da NBR ISO/IEC 27001:2006.

Clique nas figuras para uma melhor visualização

figura-1_medicao

Convém que a organização estabeleça objetivos de medição baseados em certas considerações, incluindo: o papel da segurança da informação em apoiar as atividades globais da organização e os riscos que ela encara; requisitos legais, regulatórios e contratuais pertinentes; estrutura organizacional; custos e benefícios de implementar as medidas de segurança da informação; critério de aceitação de riscos para a organização; e a necessidade de comparar diversos SGSI dentro da própria organização. Convém que uma organização estabeleça e gerencie um Programa de Medição de Segurança da Informação, a fim de alcançar os objetivos de medição estabelecidos e adotar um modelo PDCA nas atividades de medição globais da organização.

Também convém que uma organização desenvolva e implemente modelos de medições, a fim de obter resultados repetitivos, objetivos e úteis da medição baseado no Modelo de Medição da Segurança da Informação (ver 5.4). Convém que o Programa de Medição de Segurança da Informação e o modelo de medição desenvolvidos assegurem que uma organização alcance efetivamente os objetivos e as medições de forma repetitiva e forneça os resultados das medições para as partes interessadas pertinentes de modo a identificar as necessidades de melhorias do SGSI implementado, incluindo seu escopo, políticas, objetivos, controles, processos e procedimentos.

Convém que um Programa de Medição de Segurança da Informação inclua os seguintes processos: desenvolvimento de medidas e medição (ver Seção 7); operação da medição (ver Seção 8); relato dos resultados da análise de dados e da medição (ver Seção 9); e avaliação e melhoria do Programa de Medição de Segurança da Informação (ver Seção 10). Convém que a estrutura organizacional e operacional de um Programa de Medição de Segurança da Informação seja determinada levando em consideração a escala e a complexidade do SGSI do qual ele é parte.

Em todos os casos, convém que os papéis e responsabilidades para o Programa de Medição de Segurança da Informação sejam explicitamente atribuídos ao pessoal competente ( ver 7.5.8). Convém que as medidas selecionadas e implementadas pelo Programa de Medição de Segurança da Informação, estejam diretamente relacionadas à operação de um SGSI, a outras medidas, assim como aos processos de negócio da organização.

As medições podem ser integradas às atividades operacionais normais ou executadas a intervalos regulares determinados pela direção do SGSI. Assim, o Modelo de Medição de Segurança da Informação é uma estrutura que relaciona uma necessidade de informação com os objetos relevantes da medição e seus atributos. Objetos de medição podem incluir processos planejados ou implementados, procedimentos, projetos e recursos.

O Modelo de Medição de Segurança da Informação descreve como os atributos relevantes são quantificados e convertidos em indicadores que fornecem uma base para a tomada de decisão. A Figura 2 mostra o modelo de medição de Segurança da Informação.

figura-2_medicao

Uma medida básica é a medida mais simples que pode ser obtida. A medida básica resulta da aplicação do método de medição aos atributos selecionados de um objeto de medição. Um objeto de medição pode ter muitos atributos, dos quais somente alguns podem fornecer valores úteis a serem atribuídos a uma medida básica. Um dado atributo pode ser usado para diversas medidas básicas.

Um método de medição é uma sequência lógica de operações usadas para quantificar um atributo de acordo com uma escala especificada. A operação pode envolver atividades, tais como a contagem de ocorrências ou observação da passagem do tempo. Um método de medição pode aplicar atributos a um objeto de medição.

Exemplos de um objeto de medição incluem mas não estão limitados a: desempenho dos controles implementados no SGSI; situação dos ativos de informação protegidos pelos controles; desempenho dos processos implementados no SGSI; comportamento do pessoal que é responsável pelo SGSI implementado; atividades de unidades organizacionais responsáveis pela segurança da informação; e grau da satisfação das partes interessadas.

Um método de medição pode usar objetos de medição e atributos de variadas fontes, tais como: análise de riscos e resultados de avaliações de riscos; questionários e entrevistas pessoais; relatórios de auditorias internas e/ou externas; registros de eventos, tais como logs, relatórios estatísticos, e trilhas de auditoria; relatórios de incidentes, particularmente aqueles que resultaram na ocorrência de um impacto; resultados de testes, por exemplo, testes de invasão, engenharia social, ferramentas de conformidade, e ferramentas de auditoria de segurança; ou registros de segurança da informação da organização relacionados a programa e procedimentos, por exemplo, resultados de treinamentos de conscientização em segurança da informação.

tabela-1_medicao

Uma medida derivada é um agregado de duas ou mais medidas básicas. Uma dada medida básica pode servir como entrada para diversas medidas derivadas. Uma função de medição é um cálculo usado para combinar medidas básicas para criar uma medida derivada. A escala e a unidade da medida derivada dependem das escalas e unidades das medidas básicas das quais ela é composta, assim como da forma como elas são combinadas pela função de medição.

A função de medição pode envolver uma variedade de técnicas, como média de medidas básicas, aplicação de pesos a medidas básicas, ou atribuição de valores qualitativos a medidas básicas. A função de medição pode combinar medidas básicas usando escalas diferentes, como porcentagens e resultados de avaliações qualitativas. Um exemplo do relacionamento de elementos adicionais na aplicação do modelo de medição de Segurança da informação, por exemplo, medidas básicas, função de medição e medidas derivadas são apresentadas na Tabela 2.

tabela-2_medicao

Um indicador é uma medida que fornece uma estimativa ou avaliação de atributos especificados derivados de um modelo analítico de acordo com a necessidade de informação definida. Indicadores são obtidos pela aplicação de um modelo analítico a uma medida básica e/ou derivada, combinando-as com critérios de decisão. A escala e o método de medição afetam a escolha das técnicas analíticas utilizadas para produzir os indicadores. Um exemplo de relacionamentos entre medidas derivadas, modelo analítico e indicadores para o modelo de medição de Segurança da informação é apresentado na Tabela 3.

tabela-3_medicao

Se um indicador for representado em forma gráfica, convém que possa ser usado por usuários visualmente debilitados e que cópias monocromáticas possam ser feitas. Para tornar a representação possível, convém que ela inclua cores, sombreamento, fontes ou outros métodos visuais.

Os resultados de medição são desenvolvidos pela interpretação de indicadores aplicáveis baseados em critérios de decisão definidos e convém que sejam considerados no contexto global dos objetivos de medição para avaliação da eficácia do SGSI. O critério de decisão é usado para determinar a necessidade de ação ou investigação futura, bem como para descrever o nível de confiança nos resultados de medição.

Os critérios de decisão podem ser aplicados a uma série de indicadores, por exemplo, para conduzir análise de tendências baseadas em indicadores recebidos a intervalos de tempo diferente. Alvos fornecem especificações detalhadas para desempenho, aplicáveis à organização ou partes dela, derivados dos objetivos de segurança da informação tais como os objetivos do SGSI e objetivos de controle, e que precisam ser definidos e atendidos para se alcançar esses objetivos.

A certificação de cabeamento é mais necessária que nunca

Richard Landim

O atual cenário de crise econômica que o país enfrenta demandou uma reestruturação dos orçamentos de TI. Reduzir custos é a prioridade número um das empresas, que precisam tomar decisões difíceis para reduzir despesas operacionais e de capital. No entanto, neste processo, é fundamental que os gerentes de TI não se esqueçam de que uma infraestrutura de rede saudável está diretamente ligada à produtividade, eficiência e expansão de serviços.

Uma opção tentadora para reduzir as despesas de TI pode ser adiar a manutenção. Embora nenhuma organização prorrogue uma manutenção realmente crítica, existem tarefas que podem ser adiadas, pois estão em uma zona cinzenta que pode ser considerada “opcional”. Trafegar nessas decisões não é fácil, mas seria um grave erro suspender os testes da fundação de cada rede: seu cabeamento de cobre e fibra.

O teste mais completo para o cabeamento de rede é a certificação. A certificação prova que um sistema de cabos adere a rigorosos padrões de desempenho e de execução da instalação, por isso, este procedimento requer técnicos treinados e equipamentos de teste especializados. Este é um esforço caro que pode ser adiado, certo? Errado.

O cabeamento é responsável por metade de todas as falhas na rede. Ao certificá-lo, as falhas são significativamente reduzidas. Em tempos financeiramente desafiadores, este é um benefício crucial que pode ser potencializado de seis maneiras.

Certificar é mais barato que reparar – A certificação de cabos de cobre e fibra previne problemas. Sem ela os reparos devem ser feitos em uma rede ativa ou pior, em uma rede que está sofrendo uma interrupção. O tempo de inatividade da rede resulta em perda de receita e produtividade, redução de serviço ao cliente e desvantagem competitiva. Um estudo do Gartner estimou que uma hora de inatividade de uma rede corporativa custa, em média US$ 42.000, dependendo da indústria. Se uma empresa é desafiada a melhorar seu tempo de atividade anual de 99,9% para 99,99%, ela precisa reduzir o tempo de inatividade por oito horas. Usando a estimativa do Gartner sobre o custo de inatividade, isso gera uma economia para a empresa de US$ 336.000 por ano. Mas como se chega lá? Há muitas causas de inatividade. Um estudo do Gartner/Dataquest apontou que o erro humano e de aplicação são responsáveis por 80% das falhas. Mas se a rede representa apenas 20% da causa, ela responde por US$ 67.000 da exposição. Compare isso com o custo da certificação. Uma rede com 600 linhas de cobre Categoria 6 passa por testes de certificação. Uma suposição realista é que 5% dos links falham no teste inicial e devem ser reparados e testados novamente. Usando um certificador de cabo moderno todo o processo levaria aproximadamente 11 horas. A uma taxa comercial de R$50 por hora, a despesa será de R$600. R$600 de despesa para economizar US$67.000. O caso de sucesso da certificação é auto evidente.

As garantias do produto estão limitadas – Em tempos difíceis um proprietário de rede pode ser tentado a usar a garantia de um fabricante por segurança. Isso é compreensível uma vez que a maioria dos fabricantes de cabos e conectores oferecem boas garantias e estão por trás de seus produtos. Entretanto, esses fabricantes não podem garantir a instalação final. A qualidade de uma instalação de cabos está em grande parte nas mãos dos instaladores. Se a habilidade do profissional é fraca, mesmo produtos excelentes falham. As falhas e problemas associadas à rede estão fora do escopo de uma garantia de hardware, de modo que o proprietário da rede e o instalador devem negociar a correção. A única maneira de assegurar que a obra do instalador atenda aos padrões e que as melhores práticas sejam seguidas é através dos testes de certificação. A certificação dá a proteção necessária contra custos imprevistos ao proprietário da rede e, quando os ventos da economia estão desfavoráveis, essa proteção é sempre bem-vinda.

Certificação e recertificação serão a prova de futuro da infraestrutura – Você pode acreditar que um cabo, após instalado e certificado, nunca mais precisará de atenção. Isso pode ser imprudente. Uma planta de cabeamento recertificada pode provar ser compatível com o tráfego de alta velocidade que é implantado anos após o cabo ser instalado pela primeira vez. Quão importante é o suporte para velocidades mais altas? De acordo com um levantamento de datacenters pela empresa de pesquisa BSRIA, a tecnologia multigigabit é comum agora.

Quais são as implicações disto? O cabo de cobre da categoria 6 foi projetado para suportar uma taxa de dados de 1 Gigabit por segundo. Os recentes testes de certificação em campo indicam que boa parte do cabo Cat 6 usado nos datacenters está em conformidade com o padrão 10GBASE-T e pode suportar o serviço de 10 Gigabit em distâncias curtas a moderadas. Se você recertificar o cabo Cat 6 em seu datacenter pode encontrar um caminho eficiente para uma taxa de transferência de 10X, evitando alguns ou todos os custos de substituição de cabeamento. Além disso, quando a demanda por serviços de TI repercutir, a planta de cabos recertificados estará pronta para suportar novos equipamentos e expandir os serviços.

Cabeamento não certificado = Capital subutilizado – É um fato: recessões agitam o mercado, especialmente o imobiliário. Quando um novo inquilino entra em um edifício o estado de seu cabeamento apresenta uma série de questões. Quantos anos têm? Funciona? Para que foi usado? Quando? O novo inquilino pode ver a essa quantidade de cabos de cobre e/ou fibra como um mistério e não como algo bom. Certificar 200 links de cabos custará menos de R$ 1000. A instalação de 200 novas linhas do novo cabo Cat 6 custará de R$ 5.000 a R$ 10.000. A escolha para o locatário é fácil. A certificação é sinônimo de capital poupado para os proprietários de edifícios e inquilinos. A falta de certificação transforma o cabeamento legado em capital subutilizado: dinheiro gasto que não pode ser recuperado.

Reduzir resíduos é uma boa política – O argumento econômico para estender a vida dos cabos já foi descrito, mas pode não ser o pior caso. O Código Elétrico Nacional (NEC 2002) requer a remoção de cabos abandonados que não sejam identificados para uso futuro. Sem certificação, o custo do cabo legado pode incluir a despesa com a remoção e reciclagem dos cabos e/ou o impacto ambiental da eliminação. Maximizar o uso de cabos de cobre e fibra existentes é uma política de negócios consistente. Quando devidamente conservado tem uma longa vida útil. Com orçamentos limitados exigindo maior eficiência, faz sentido usar a certificação para implementar os três pilares da gestão ambiental: Reduzir, Reutilizar e Reciclar.

Comprador cauteloso – Uma tendência inquietante na indústria de cabos refere-se a produtos das categorias 5, 6 e 6A. Estes cabos são muitas vezes fabricados fora do país e é mais barato se comparado ao de grandes fabricantes. Infelizmente, muito destes cabos baratos são produzidos com materiais inferiores e em processos de fabricação questionáveis. Em 2008, a Communications Cable & Connectivity Association testou nove marcas de cabos sem nome em comercialização no mercado. Nenhuma delas atingiu porém os requisitos físicos definidos no TIA 568-B.2; apenas cinco atenderam aos padrões de teste elétrico determinados no TIA 568-B.2; e somente uma atende aos pré-requisitos de segurança definidos pelas normas UL 1666 e NFPA 262.

Mas como esse cabo tão fraco chega ao mercado? Isso acontece porque as agências de segurança realizam testes aleatórios na fábrica e não no campo. O abismo no processo de qualidade deixa os usuários finais expostos a riscos de segurança e desempenho totalmente evitáveis. Para assegurar que não haja prejuízo ou riscos ocultos com cabos Cat 5, 6 e 6A de baixo custo, as empresas e instaladores devem se certificar de que o cabeamento esteja de acordo com os padrões da indústria.

Em suma, o cabeamento certificado tem muito mais valor. E pode variar dependendo da aplicação e da empresa. Considere as armadilhas dos cabos não certificados. Considere o trade-off entre os testes e “espere o melhor”. A esperança é raramente uma boa estratégia e, em uma economia desafiadora, é ainda mais perigosa.

Richard Landim é especialista de produtos da Fluke Networks Brasil.

A gestão do conhecimento dos serviços de telessaúde conforme a ABNT ISO/TS13131

telessaude2

A telemedicina ou telessaúde é a oferta de serviços ligados aos cuidados com a saúde, nos casos em que a distância é um fator crítico, ampliando a assistência e também a cobertura. Tais serviços são fornecidos por profissionais da área da saúde, usando tecnologias de informação e de comunicação (TIC) para o intercâmbio de informações válidas para promoção, proteção, redução do risco da doença e outros agravos e recuperação.

Além de possibilitar uma educação continuada em saúde de profissionais, cuidadores e pessoas, assim como facilitar as pesquisas, avaliações e gestão da saúde. A telemedicina ou telessaúde são termos amplamente utilizados para representar o uso de tecnologias de telecomunicação e de informação para suportar serviços, treinamento e informação em saúde para provedores de assistência médica e pacientes.

A essência dessas áreas é a oferta de serviços e informação médicos para indivíduos em suas próprias comunidades excluindo a necessidade de locomoção para os centros de referência. Dessa maneira, emergem como novas ferramentas significativas para transpor as barreiras culturais, socioeconômicas e geográficas para os serviços e informação em saúde em centros urbanos remotos e comunidades carentes. Seus benefícios incluem acesso local a especialistas, melhoria na assistência primária em saúde e o aumento da disponibilidade de recursos para a educação médica e informação em saúde em comunidades desprovidas de recursos.

A ABNT ISO/TS 13131 de 12/2016 Informática em saúde – Serviços de telessaúde – Diretrizes para o planejamento de qualidade descreve o número crescente de iniciativas em vários países em todo o mundo, na maior parte de pequena escala, de projetos de telessaúde, telemedicina ou saúde móvel. Ainda não é claro quando convém utilizar os termos telessaúde ou telemedicina para descrever tais iniciativas, pois estes termos podem ser descritos e interpretados de diferentes maneiras na ausência de um conceito unificado.

Segundo a norma, a telessaúde usa as tecnologias de informação e comunicação, com a finalidade de prestar assistência à saúde e transmitir a informação sobre saúde tanto em longas distâncias quanto em curtas distâncias. Como exemplo, a telessaúde pode utilizar tecnologias de informação e comunicação para transmitir vídeo, voz, dados, imagens e outras formas de informação. Pode ser utilizada para conectar distâncias curtas ou longas. Também, é possível que diferenças em relação a tempo sejam superadas, utilizando a comunicação assíncrona.

É possível que, antecedendo ou sucedendo a transmissão, dados ou informações sejam processados com a finalidade de melhorar o serviço de telessaúde. A norma fornece as diretrizes e as recomendações e não se destina a ser utilizada para certificação ou fins de regulação ou contratuais.

O projeto e a implementação de frameworks de gerenciamento de risco, segurança e gerenciamento de qualidade específicos para telessaúde devem levar em conta as necessidades variadas de uma organização específica, seus objetivos particulares, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços, ou ativos e práticas específicas empregadas. Esta Especificação Técnica fornece objetivos de qualidade genéricos e diretrizes para serviços de telessaúde que podem ser adotados conforme requeridos para aplicação por diferentes organizações e serviços.

Recomenda-se que esta Especificação Técnica seja utilizada de forma suplementar a padrões nacionais e internacionais já existentes e diretrizes para segurança, qualidade e gerenciamento de risco no segmento da saúde. Em particular, o uso de outros padrões, quando aplicados em ambientes de telessaúde, é incentivado, incluindo as NBR ISO 13485 e IEC/ISO 80001.

Muitas organizações de assistência à saúde têm implantado sistemas de gestão da qualidade para gerenciar ativamente a segurança do paciente, bem como a qualidade da assistência prestada. Estes sistemas baseiam-se nos princípios e processos de gestão de qualidade descritos nas NBR ISO 9000, NBR ISO 9001 e NBR ISO 9004. Em particular, esta Especificação Técnica adota a recomendação da NBR ISO 9004 para utilizar a NBR ISO 31000, de forma a ajudar as organizações a identificarem, avaliarem e gerenciarem riscos durante o desenvolvimento adequado de objetivos de qualidade para serviços de telessaúde.

Objetivos organizacionais, estratégias, escopo e parâmetros dos serviços prestados por uma organização devem ser estabelecidos em conformidade com a NBR ISO 31000. Os riscos que podem impedir o alcance dos objetivos organizacionais podem ser identificados através da análise de fatores externos e internos à organização.

As orientações da BR ISO 31000 requerem que estes riscos sejam analisados e priorizados e que tratamentos apropriados sejam estabelecidos. Em um sistema de gestão da qualidade, estes tratamentos de risco podem, então, tornar-se a base para objetivos de qualidade que são utilizados para controlar os riscos identificados.

A NBR ISO 9004 recomenda que uma organização possa identificar os recursos internos e externos que são necessários para o alcance dos objetivos organizacionais no curto e no longo prazos. Esta Especificação Técnica apoia o uso desta recomendação ao derivar diretrizes e objetivos genéricos de qualidade para os serviços de telessaúde.

Os objetivos e as diretrizes desta Especificação Técnica dão suporte à gestão financeira e da qualidade, planejamento de serviços, planejamento de mão de obra, planejamento em assistência médica, responsabilidades organizacionais de assistência à saúde, instalações, tecnologia e gestão da informação para fornecer cuidados à saúde e transmitir informação em saúde. Não oferece aconselhamento para a plena implementação da NBR ISO 9004 em um contexto de telessaúde.

A telessaúde pode apoiar uma ampla gama de atividades de cuidados em saúde, as quais não se restringem apenas aos receptores dos tratamentos de saúde. Em geral, os serviços de telessaúde visam apoiar características de qualidade de cuidados em saúde que melhorem a qualidade de vida e do atendimento para os beneficiários da assistência. As características de qualidade consideradas por esta Especificação Técnica incluem: acessibilidade, prestação de contas, adequação, competência, confidencialidade, continuidade, confiabilidade, eficiência, eficácia, inclusividade, segurança, transparência e usabilidade.

Em geral, recomenda-se que as características de qualidade desejáveis para a prestação de serviços de saúde sem o uso de telessaúde também sejam aplicadas em situações em que a telessaúde é utilizada. Algumas características de qualidade podem ser mais importantes a considerar quando a telessaúde é utilizada para a prestação de serviços de saúde.

Quanto à gestão de características de qualidade, convém que uma organização possua sistema de gestão da qualidade para definir e monitorar as características de qualidade requeridas pelos serviços de telessaúde. Convém que os processos que impactam a gestão da qualidade, gestão financeira, planejamento de serviços, planejamento da força de trabalho, planejamento de cuidados de saúde, responsabilidades na organização de saúde, instalações, tecnologia e gerenciamento de informações sejam analisados quanto aos riscos identificáveis que podem afetar uma gama de características de qualidade, como a acessibilidade, prestação de contas, adequação, competência, confidencialidade, continuidade, confiabilidade, eficiência, eficácia, inclusividade, segurança, transparência e usabilidade.

Normalmente, apenas um pequeno número dessas características será relevante para o desenvolvimento de uma diretriz de qualidade individual. Convém que o processo para derivar objetivos de qualidade e diretrizes para a organização, pessoas, instalações e informações utilizados na prestação de serviços de telessaúde siga o processo de avaliação de risco descrito na NBR ISO 31000:2009, Seção 5, conforme mostrado na figura abaixo.

Clique para uma melhor visualização

telessaude

Convém que a organização estabeleça o contexto no qual um serviço de telessaúde vai operar no ambiente externo, no ambiente da organização interna, assim como as características de qualidade desejadas para o serviço. A telessaúde se refere aos cenários nos quais os atores de assistência à saúde em várias localidades cooperam ativamente em um processo particular de saúde ou de assistência à saúde.

A telessaúde está relacionada com processos e subprocessos nos quais pelo menos dois atores de assistência à saúde estão ativamente envolvidos. Também é possível que um dos atores seja o supervisor de uma aplicação técnica, como no caso de uma operação remota, ou um sistema digital de análise.

É esperado que a telessaúde melhore a qualidade de saúde e de assistência à saúde, por exemplo, porque profissionais de saúde terão informações de saúde sobre o receptor dos cuidados disponíveis no local certo e no tempo certo, e eles terão melhor acesso para apoiar especialistas médicos. O receptor de cuidados pode ser monitorado em sua casa e receber aconselhamento sem a necessidade de viajar até um consultor de saúde, um profissional de saúde ou organização, que também tenha acesso facilitado à informação de saúde e educação para apoiar o autocuidado.

A identificação de risco é o processo de descoberta, reconhecimento, e identificação de riscos que pode impedir o alcance das características de qualidade requeridas para um serviço de telessaúde através da análise dos processos externos e internos à organização de assistência à saúde. A identificação de riscos requer a análise dos processos que ocorrem no gerenciamento de qualidade, estratégia, política e recursos, incluindo o gerenciamento financeiro, planejamento de serviços, planejamento de equipe, responsabilidades da organização de assistência à saúde, instalações, gerenciamento de tecnologia e informação. Alguns exemplos ilustrativos são fornecidos no Anexo A.

Os problemas na legislação. Não existe provisão no atual código de ética médica para medicina à distância e uma conscientização ou cultura para o uso da telemedicina. Há resistência dos conselhos éticos e profissionais, pois não existe pagamento para procedimentos telemédicos, havendo ainda uma reação à quebra de divisão de territórios e competências e a resistência à segunda opinião médica.

A orientação ética para o exercício da medicina advém do Código de Ética Médica (CEM), promulgado pela resolução nº 1 246 (de 8 de janeiro de 1988) do Conselho Federal de Medicina (CFM). Esse código contém alguns artigos relacionados ao exercício da telemedicina.

Artigo 62: É vedado ao médico prescrever tratamento ou outros procedimentos sem exame direto do paciente, salvo em casos de urgência e impossibilidade comprovada de realizá-lo, devendo, nesse caso, fazê-lo imediatamente cessado o impedimento. Artigo 102: É vedado ao médico revelar informações sobre os pacientes sem o consentimento dos mesmos, exceto em situações que possam se configurar como dever legal ou justa causa. A proibição permanece em situações que chegam a juízo, bem como nas solicitações das seguradoras. Artigo 104: É vedado ao médico fazer referência a casos clínicos identificáveis, exibir pacientes ou seus retratos em anúncios profissionais ou na divulgação de assuntos médicos. Artigo 108: É vedado ao médico facilitar o manuseio e conhecimento dos prontuários, papeletas e demais folhas de observações médicas sujeitas ao segredo profissional, por pessoas não obrigadas ao mesmo compromisso. Artigo 134: É vedado ao médico dar consulta, diagnóstico ou prescrição por intermédio de qualquer veículo de comunicação de massa.

Enfim, o Ministério da Saúde, atento a este novo cenário na saúde, vem publicando resoluções sobre a temática desde a criação da Comissão Permanente em Telemedicina e Telessaúde, em 2006. Além disso, o Conselho Federal de Medicina publicou a Resolução nº 1.643, em 2002 que discorre sobre a boa prática em Telemedicina; nesta Resolução fica clara a necessidade do consentimento informado pelo paciente para a utilização da Telemedicina e, sobretudo, a responsabilidade do médico presencial no atendimento ao paciente, assegurando a relação médico e paciente, bem como a corresponsabilidade do médico remoto no atendimento ao paciente, dentre outros coisas.

Na verdade, os serviços de telessaúde dependem das tecnologias de informação e comunicação para oferecer assistência à saúde e transmitir informação relativa à saúde tanto através de longa como de curta distância. Uma vez que essas tecnologias são parte do processo de assistência à saúde, convém que os objetivos de qualidade sejam estabelecidos para o serviço de suporte de tecnologia de informação e comunicação, oferta de serviços, gerenciamento de infraestrutura, gerenciamento de distribuição, gerenciamento de operações e suporte técnico.

Algumas organizações que oferecem serviços de saúde utilizando telessaúde podem depender de serviços de gerenciamento de tecnologia de um provedor externo de TIC ou de um grande provedor interno. Nestes casos, convém que os procedimentos de qualidade incluam definição de acordos de nível de serviços com estes provedores.

Por exemplo, a relação entre a organização de assistência à saúde e o fornecedor externo de TIC seja definida em um acordo de nível de serviço que especifique que, quando um problema ocorre com um equipamento, a organização de assistência à saúde comunique o fato ao provedor e o provedor tenha um sistema de acompanhamento pós-venda para detectar deficiências que ocorram após a implantação do equipamento ou do dispositivo. Uma infraestrutura de TIC de uso geral, incluindo equipamentos, software e comunicações, pode ser usada para dar suporte aos serviços de telessaúde.

Neste caso, convém que a organização de assistência à saúde ou organização de suporte à assistência à saúde definam acordos adequados de nível de serviços com os fornecedores relevantes. As características de qualidade relevantes para o gerenciamento de equipamentos, dispositivos e tecnologia utilizados para serviços de telessaúde pelas organizações de assistência à saúde são: prestação de contas, continuidade, confiança, eficácia, eficiência, segurança, transparência e usabilidade.