Dá para medir a eficácia da segurança da informação em sua empresa?

Os criminosos digitais estão cada vez mais querendo acessar as empresas e a segurança da informação, nesse contexto, passa a ser um ponto de extrema importância ligada à estratégia corporativa. Para se ter uma ideia, estima-se que o número de ataques cibernéticos aumentou entre 30 e 40% na América Latina nos últimos anos.

Assim, para garantir um bom nível de segurança, é fundamental ter uma infraestrutura robusta. Portanto, deve-se investir em vários aspectos: arquitetura, design de um esquema de proteção, operações e práticas seguras, além de uma boa gestão de riscos.

Quanto à arquitetura, pode-se pensar na análise do projeto de uma prisão ou de uma base militar. Sempre se deve levar em consideração qual é a finalidade de um edifício. Ele abrigará réus de alta periculosidade? Que informações e objetos ficarão dentro de uma área militar?

O sistema precisa ser projetado como um todo, já que ele é formado por um conjunto de componentes que devem ser protegidos individualmente. Uma infraestrutura segura leva em conta um design geral da solução sem deixar de prestar atenção à proteção dos dados. Dessa forma, há uma segurança específica para cada um dos elementos: servidores, computadores, a rede, os componentes de comunicação, etc.

Ao configurar um serviço ou registrar um usuário, essas ações estão relacionadas a uma interação com um sistema e também devem ser feitas com segurança. Uma pessoa pode até ter um automóvel extremamente seguro e equipado com os melhores acessórios de segurança, mas acabará sofrendo um acidente se dirigir bêbado ou ultrapassar o limite de velocidade da via.

É preciso considerar as boas práticas que estabelecem qual é a melhor forma de atuar na maioria dos casos e das vezes. Precisa-se saber como são essas boas práticas e adotá-las para ter uma referência de aprimoramento.

Todas as empresas são diferentes. Cada setor tem suas próprias ameaças e exposições a riscos específicos. Por isso, é importante contar com uma referência. Quais seriam as circunstâncias de uma pequena e média empresa? Depende da área de atuação e da importância das informações com as quais essa empresa trabalha. Traçar um panorama de riscos gera certeza na hora de avaliar até que ponto deve-se otimizar o sistema e o que é preciso priorizar.

Quanto à computação na nuvem, possibilita a realização de operações seguras por causa de sua arquitetura e de seu design de soluções. A arquitetura da nuvem assemelha-se a uma fortaleza. Ela já fica armada e as operações e configurações são feitas pelo provedor, motivo pelo qual há menos exposição aos riscos.

E pode-se medir a eficácia de todo esse sistema?A NBR ISO/IEC 27004 de 04/2010 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Medição fornece as diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Esta norma é aplicável a todos os tipos e tamanhos de organizações.

O usuário deste documento precisa interpretar corretamente cada uma das formas verbais das expressões fornecidas (por exemplo: “deve”, “não deve”, “convém que”, “não convém que”, “pode”, “não precisa” e “não pode”) como sendo um requisito a ser atendido e/ou recomendações em que existe certa liberdade de escolha. Convém que seja consultado o Anexo A da ISO/IEC 27000:2009 para esclarecimentos adicionais.

Esta norma fornece diretrizes para elaboração e uso de medidas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e de controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Isto inclui a política, gestão de riscos de segurança da informação, objetivos de controles, controles, processos e procedimentos, e apoio ao processo de sua revisão, ajudando a determinar se algum processo ou controle do SGSI precisa ser modificado ou melhorado.

É necessário lembrar que nenhuma medição de controles pode garantir segurança completa. A implementação desta metodologia constitui um Programa de Medição de Segurança da Informação. O Programa de Medição de Segurança da Informação vai apoiar a gestão na identificação e avaliação de processos e controles do SGSI ineficazes e não conformes e na priorização de ações associadas com a melhoria ou modificação desses processos e/ou controles.

Também pode auxiliar a organização na demonstração da conformidade com a NBR ISO/IEC 27001 e prover evidências adicionais para os processos de análise crítica pela direção e de gestão de riscos em segurança da informação. Esta norma assume que o ponto de partida para o desenvolvimento das medidas e medições é o entendimento claro dos riscos de segurança da informação que a organização enfrenta e que as atividades de análise de riscos da organização têm sido executadas corretamente (por exemplo, baseada na NBR ISO/IEC 27005), conforme requerido pela NBR ISO/IEC 27001.

O Programa de Medição de Segurança da Informação encorajará que uma organização forneça informações confiáveis às partes interessadas pertinentes relacionadas com os riscos de segurança da informação e com a situação do SGSI implementado para gerenciar esses riscos. Se for eficazmente implementado, o Programa de Medição de Segurança da Informação aumentará a confiança das partes interessadas nos resultados das medições e possibilitará às partes interessadas a usarem essas medidas para realizar a melhoria contínua da segurança da informação e do SGSI.

Os resultados acumulados de medição permitirão a comparação do progresso em atingir os objetivos de segurança da informação sobre um período de tempo como parte de um processo de melhoria contínua do SGSI da organização. A NBR ISO/IEC 27001 exige que a organização “realize análises críticas regulares da eficácia do SGSI levando em consideração os resultados da eficácia das medições” e que “meça a eficácia dos controles para verificar se os requisitos de segurança da informação foram alcançados”.

A NBR ISO/IEC 27001 também exige que a organização “defina como medir a eficácia dos controles ou grupo de controles selecionados e especifique como essas medidas devem ser usadas para avaliar a eficácia dos controles para produzir resultados comparáveis e reproduzíveis”. A abordagem adotada por uma organização para atender os requisitos de medição especificados na NBR ISO/IEC 27001 vai variar de acordo com o número de fatores significantes, incluindo os riscos de segurança da informação que a organização enfrenta, o tamanho da organização, recursos disponíveis, e requisitos legais, regulatórios e contratuais aplicáveis.

A seleção e a justificativa criteriosa do método usado para atender aos requisitos de medição são importantes para assegurar que recursos em excesso não sejam direcionados a estas atividades do SGSI em detrimento de outras. Em condições ideais, as atividades de medição em curso devem ser integradas nas operações normais da organização com um acréscimo mínimo de recursos.

Os objetivos da medição de Segurança da informação no contexto de um SGSI incluem: avaliar a eficácia dos controles ou grupos de controles implementados (ver “4.2.2 d)” na Figura 1); avaliar a eficácia do SGSI implementado (ver 4.2.3 b)” na Figura 1); verificar a extensão na qual os requisitos de segurança da informação identificados foram atendidos (ver “4.2.3 c)” na Figura 1); facilitar a melhoria do desempenho da segurança da informação em termos dos riscos de negócio globais da organização; fornecer entradas para a análise crítica pela direção para facilitar as tomadas de decisões relacionadas ao SGSI e justificar as melhorias necessárias do SGSI implementado.

A Figura 1 ilustra o relacionamento cíclico de entrada e saída das atividades de medição em relação ao ciclo Planejar-Fazer-Checar-Agir (PDCA), especificado na NBR ISO/IEC 27001. Os números em cada figura representam as subseções relevantes da NBR ISO/IEC 27001:2006.

Clique nas figuras para uma melhor visualização

Convém que a organização estabeleça objetivos de medição baseados em certas considerações, incluindo: o papel da segurança da informação em apoiar as atividades globais da organização e os riscos que ela encara; requisitos legais, regulatórios e contratuais pertinentes; estrutura organizacional; custos e benefícios de implementar as medidas de segurança da informação; critério de aceitação de riscos para a organização; e a necessidade de comparar diversos SGSI dentro da própria organização. Convém que uma organização estabeleça e gerencie um Programa de Medição de Segurança da Informação, a fim de alcançar os objetivos de medição estabelecidos e adotar um modelo PDCA nas atividades de medição globais da organização.

Também convém que uma organização desenvolva e implemente modelos de medições, a fim de obter resultados repetitivos, objetivos e úteis da medição baseado no Modelo de Medição da Segurança da Informação (ver 5.4). Convém que o Programa de Medição de Segurança da Informação e o modelo de medição desenvolvidos assegurem que uma organização alcance efetivamente os objetivos e as medições de forma repetitiva e forneça os resultados das medições para as partes interessadas pertinentes de modo a identificar as necessidades de melhorias do SGSI implementado, incluindo seu escopo, políticas, objetivos, controles, processos e procedimentos.

Convém que um Programa de Medição de Segurança da Informação inclua os seguintes processos: desenvolvimento de medidas e medição (ver Seção 7); operação da medição (ver Seção 8); relato dos resultados da análise de dados e da medição (ver Seção 9); e avaliação e melhoria do Programa de Medição de Segurança da Informação (ver Seção 10). Convém que a estrutura organizacional e operacional de um Programa de Medição de Segurança da Informação seja determinada levando em consideração a escala e a complexidade do SGSI do qual ele é parte.

Em todos os casos, convém que os papéis e responsabilidades para o Programa de Medição de Segurança da Informação sejam explicitamente atribuídos ao pessoal competente ( ver 7.5.8). Convém que as medidas selecionadas e implementadas pelo Programa de Medição de Segurança da Informação, estejam diretamente relacionadas à operação de um SGSI, a outras medidas, assim como aos processos de negócio da organização.

As medições podem ser integradas às atividades operacionais normais ou executadas a intervalos regulares determinados pela direção do SGSI. Assim, o Modelo de Medição de Segurança da Informação é uma estrutura que relaciona uma necessidade de informação com os objetos relevantes da medição e seus atributos. Objetos de medição podem incluir processos planejados ou implementados, procedimentos, projetos e recursos.

O Modelo de Medição de Segurança da Informação descreve como os atributos relevantes são quantificados e convertidos em indicadores que fornecem uma base para a tomada de decisão. A Figura 2 mostra o modelo de medição de Segurança da Informação.

Uma medida básica é a medida mais simples que pode ser obtida. A medida básica resulta da aplicação do método de medição aos atributos selecionados de um objeto de medição. Um objeto de medição pode ter muitos atributos, dos quais somente alguns podem fornecer valores úteis a serem atribuídos a uma medida básica. Um dado atributo pode ser usado para diversas medidas básicas.

Um método de medição é uma sequência lógica de operações usadas para quantificar um atributo de acordo com uma escala especificada. A operação pode envolver atividades, tais como a contagem de ocorrências ou observação da passagem do tempo. Um método de medição pode aplicar atributos a um objeto de medição.

Exemplos de um objeto de medição incluem mas não estão limitados a: desempenho dos controles implementados no SGSI; situação dos ativos de informação protegidos pelos controles; desempenho dos processos implementados no SGSI; comportamento do pessoal que é responsável pelo SGSI implementado; atividades de unidades organizacionais responsáveis pela segurança da informação; e grau da satisfação das partes interessadas.

Um método de medição pode usar objetos de medição e atributos de variadas fontes, tais como: análise de riscos e resultados de avaliações de riscos; questionários e entrevistas pessoais; relatórios de auditorias internas e/ou externas; registros de eventos, tais como logs, relatórios estatísticos, e trilhas de auditoria; relatórios de incidentes, particularmente aqueles que resultaram na ocorrência de um impacto; resultados de testes, por exemplo, testes de invasão, engenharia social, ferramentas de conformidade, e ferramentas de auditoria de segurança; ou registros de segurança da informação da organização relacionados a programa e procedimentos, por exemplo, resultados de treinamentos de conscientização em segurança da informação.

Uma medida derivada é um agregado de duas ou mais medidas básicas. Uma dada medida básica pode servir como entrada para diversas medidas derivadas. Uma função de medição é um cálculo usado para combinar medidas básicas para criar uma medida derivada. A escala e a unidade da medida derivada dependem das escalas e unidades das medidas básicas das quais ela é composta, assim como da forma como elas são combinadas pela função de medição.

A função de medição pode envolver uma variedade de técnicas, como média de medidas básicas, aplicação de pesos a medidas básicas, ou atribuição de valores qualitativos a medidas básicas. A função de medição pode combinar medidas básicas usando escalas diferentes, como porcentagens e resultados de avaliações qualitativas. Um exemplo do relacionamento de elementos adicionais na aplicação do modelo de medição de Segurança da informação, por exemplo, medidas básicas, função de medição e medidas derivadas são apresentadas na Tabela 2.

Um indicador é uma medida que fornece uma estimativa ou avaliação de atributos especificados derivados de um modelo analítico de acordo com a necessidade de informação definida. Indicadores são obtidos pela aplicação de um modelo analítico a uma medida básica e/ou derivada, combinando-as com critérios de decisão. A escala e o método de medição afetam a escolha das técnicas analíticas utilizadas para produzir os indicadores. Um exemplo de relacionamentos entre medidas derivadas, modelo analítico e indicadores para o modelo de medição de Segurança da informação é apresentado na Tabela 3.

Se um indicador for representado em forma gráfica, convém que possa ser usado por usuários visualmente debilitados e que cópias monocromáticas possam ser feitas. Para tornar a representação possível, convém que ela inclua cores, sombreamento, fontes ou outros métodos visuais.

Os resultados de medição são desenvolvidos pela interpretação de indicadores aplicáveis baseados em critérios de decisão definidos e convém que sejam considerados no contexto global dos objetivos de medição para avaliação da eficácia do SGSI. O critério de decisão é usado para determinar a necessidade de ação ou investigação futura, bem como para descrever o nível de confiança nos resultados de medição.

Os critérios de decisão podem ser aplicados a uma série de indicadores, por exemplo, para conduzir análise de tendências baseadas em indicadores recebidos a intervalos de tempo diferente. Alvos fornecem especificações detalhadas para desempenho, aplicáveis à organização ou partes dela, derivados dos objetivos de segurança da informação tais como os objetivos do SGSI e objetivos de controle, e que precisam ser definidos e atendidos para se alcançar esses objetivos.

A certificação de cabeamento é mais necessária que nunca

Richard Landim

O atual cenário de crise econômica que o país enfrenta demandou uma reestruturação dos orçamentos de TI. Reduzir custos é a prioridade número um das empresas, que precisam tomar decisões difíceis para reduzir despesas operacionais e de capital. No entanto, neste processo, é fundamental que os gerentes de TI não se esqueçam de que uma infraestrutura de rede saudável está diretamente ligada à produtividade, eficiência e expansão de serviços.

Uma opção tentadora para reduzir as despesas de TI pode ser adiar a manutenção. Embora nenhuma organização prorrogue uma manutenção realmente crítica, existem tarefas que podem ser adiadas, pois estão em uma zona cinzenta que pode ser considerada “opcional”. Trafegar nessas decisões não é fácil, mas seria um grave erro suspender os testes da fundação de cada rede: seu cabeamento de cobre e fibra.

O teste mais completo para o cabeamento de rede é a certificação. A certificação prova que um sistema de cabos adere a rigorosos padrões de desempenho e de execução da instalação, por isso, este procedimento requer técnicos treinados e equipamentos de teste especializados. Este é um esforço caro que pode ser adiado, certo? Errado.

O cabeamento é responsável por metade de todas as falhas na rede. Ao certificá-lo, as falhas são significativamente reduzidas. Em tempos financeiramente desafiadores, este é um benefício crucial que pode ser potencializado de seis maneiras.

Certificar é mais barato que reparar – A certificação de cabos de cobre e fibra previne problemas. Sem ela os reparos devem ser feitos em uma rede ativa ou pior, em uma rede que está sofrendo uma interrupção. O tempo de inatividade da rede resulta em perda de receita e produtividade, redução de serviço ao cliente e desvantagem competitiva. Um estudo do Gartner estimou que uma hora de inatividade de uma rede corporativa custa, em média US$ 42.000, dependendo da indústria. Se uma empresa é desafiada a melhorar seu tempo de atividade anual de 99,9% para 99,99%, ela precisa reduzir o tempo de inatividade por oito horas. Usando a estimativa do Gartner sobre o custo de inatividade, isso gera uma economia para a empresa de US$ 336.000 por ano. Mas como se chega lá? Há muitas causas de inatividade. Um estudo do Gartner/Dataquest apontou que o erro humano e de aplicação são responsáveis por 80% das falhas. Mas se a rede representa apenas 20% da causa, ela responde por US$ 67.000 da exposição. Compare isso com o custo da certificação. Uma rede com 600 linhas de cobre Categoria 6 passa por testes de certificação. Uma suposição realista é que 5% dos links falham no teste inicial e devem ser reparados e testados novamente. Usando um certificador de cabo moderno todo o processo levaria aproximadamente 11 horas. A uma taxa comercial de R$50 por hora, a despesa será de R$600. R$600 de despesa para economizar US$67.000. O caso de sucesso da certificação é auto evidente.

As garantias do produto estão limitadas – Em tempos difíceis um proprietário de rede pode ser tentado a usar a garantia de um fabricante por segurança. Isso é compreensível uma vez que a maioria dos fabricantes de cabos e conectores oferecem boas garantias e estão por trás de seus produtos. Entretanto, esses fabricantes não podem garantir a instalação final. A qualidade de uma instalação de cabos está em grande parte nas mãos dos instaladores. Se a habilidade do profissional é fraca, mesmo produtos excelentes falham. As falhas e problemas associadas à rede estão fora do escopo de uma garantia de hardware, de modo que o proprietário da rede e o instalador devem negociar a correção. A única maneira de assegurar que a obra do instalador atenda aos padrões e que as melhores práticas sejam seguidas é através dos testes de certificação. A certificação dá a proteção necessária contra custos imprevistos ao proprietário da rede e, quando os ventos da economia estão desfavoráveis, essa proteção é sempre bem-vinda.

Certificação e recertificação serão a prova de futuro da infraestrutura – Você pode acreditar que um cabo, após instalado e certificado, nunca mais precisará de atenção. Isso pode ser imprudente. Uma planta de cabeamento recertificada pode provar ser compatível com o tráfego de alta velocidade que é implantado anos após o cabo ser instalado pela primeira vez. Quão importante é o suporte para velocidades mais altas? De acordo com um levantamento de datacenters pela empresa de pesquisa BSRIA, a tecnologia multigigabit é comum agora.

Quais são as implicações disto? O cabo de cobre da categoria 6 foi projetado para suportar uma taxa de dados de 1 Gigabit por segundo. Os recentes testes de certificação em campo indicam que boa parte do cabo Cat 6 usado nos datacenters está em conformidade com o padrão 10GBASE-T e pode suportar o serviço de 10 Gigabit em distâncias curtas a moderadas. Se você recertificar o cabo Cat 6 em seu datacenter pode encontrar um caminho eficiente para uma taxa de transferência de 10X, evitando alguns ou todos os custos de substituição de cabeamento. Além disso, quando a demanda por serviços de TI repercutir, a planta de cabos recertificados estará pronta para suportar novos equipamentos e expandir os serviços.

Cabeamento não certificado = Capital subutilizado – É um fato: recessões agitam o mercado, especialmente o imobiliário. Quando um novo inquilino entra em um edifício o estado de seu cabeamento apresenta uma série de questões. Quantos anos têm? Funciona? Para que foi usado? Quando? O novo inquilino pode ver a essa quantidade de cabos de cobre e/ou fibra como um mistério e não como algo bom. Certificar 200 links de cabos custará menos de R$ 1000. A instalação de 200 novas linhas do novo cabo Cat 6 custará de R$ 5.000 a R$ 10.000. A escolha para o locatário é fácil. A certificação é sinônimo de capital poupado para os proprietários de edifícios e inquilinos. A falta de certificação transforma o cabeamento legado em capital subutilizado: dinheiro gasto que não pode ser recuperado.

Reduzir resíduos é uma boa política – O argumento econômico para estender a vida dos cabos já foi descrito, mas pode não ser o pior caso. O Código Elétrico Nacional (NEC 2002) requer a remoção de cabos abandonados que não sejam identificados para uso futuro. Sem certificação, o custo do cabo legado pode incluir a despesa com a remoção e reciclagem dos cabos e/ou o impacto ambiental da eliminação. Maximizar o uso de cabos de cobre e fibra existentes é uma política de negócios consistente. Quando devidamente conservado tem uma longa vida útil. Com orçamentos limitados exigindo maior eficiência, faz sentido usar a certificação para implementar os três pilares da gestão ambiental: Reduzir, Reutilizar e Reciclar.

Comprador cauteloso – Uma tendência inquietante na indústria de cabos refere-se a produtos das categorias 5, 6 e 6A. Estes cabos são muitas vezes fabricados fora do país e é mais barato se comparado ao de grandes fabricantes. Infelizmente, muito destes cabos baratos são produzidos com materiais inferiores e em processos de fabricação questionáveis. Em 2008, a Communications Cable & Connectivity Association testou nove marcas de cabos sem nome em comercialização no mercado. Nenhuma delas atingiu porém os requisitos físicos definidos no TIA 568-B.2; apenas cinco atenderam aos padrões de teste elétrico determinados no TIA 568-B.2; e somente uma atende aos pré-requisitos de segurança definidos pelas normas UL 1666 e NFPA 262.

Mas como esse cabo tão fraco chega ao mercado? Isso acontece porque as agências de segurança realizam testes aleatórios na fábrica e não no campo. O abismo no processo de qualidade deixa os usuários finais expostos a riscos de segurança e desempenho totalmente evitáveis. Para assegurar que não haja prejuízo ou riscos ocultos com cabos Cat 5, 6 e 6A de baixo custo, as empresas e instaladores devem se certificar de que o cabeamento esteja de acordo com os padrões da indústria.

Em suma, o cabeamento certificado tem muito mais valor. E pode variar dependendo da aplicação e da empresa. Considere as armadilhas dos cabos não certificados. Considere o trade-off entre os testes e “espere o melhor”. A esperança é raramente uma boa estratégia e, em uma economia desafiadora, é ainda mais perigosa.

Richard Landim é especialista de produtos da Fluke Networks Brasil.

A gestão do conhecimento dos serviços de telessaúde conforme a ABNT ISO/TS13131

A telemedicina ou telessaúde é a oferta de serviços ligados aos cuidados com a saúde, nos casos em que a distância é um fator crítico, ampliando a assistência e também a cobertura. Tais serviços são fornecidos por profissionais da área da saúde, usando tecnologias de informação e de comunicação (TIC) para o intercâmbio de informações válidas para promoção, proteção, redução do risco da doença e outros agravos e recuperação.

Além de possibilitar uma educação continuada em saúde de profissionais, cuidadores e pessoas, assim como facilitar as pesquisas, avaliações e gestão da saúde. A telemedicina ou telessaúde são termos amplamente utilizados para representar o uso de tecnologias de telecomunicação e de informação para suportar serviços, treinamento e informação em saúde para provedores de assistência médica e pacientes.

A essência dessas áreas é a oferta de serviços e informação médicos para indivíduos em suas próprias comunidades excluindo a necessidade de locomoção para os centros de referência. Dessa maneira, emergem como novas ferramentas significativas para transpor as barreiras culturais, socioeconômicas e geográficas para os serviços e informação em saúde em centros urbanos remotos e comunidades carentes. Seus benefícios incluem acesso local a especialistas, melhoria na assistência primária em saúde e o aumento da disponibilidade de recursos para a educação médica e informação em saúde em comunidades desprovidas de recursos.

A ABNT ISO/TS 13131 de 12/2016 Informática em saúde – Serviços de telessaúde – Diretrizes para o planejamento de qualidade descreve o número crescente de iniciativas em vários países em todo o mundo, na maior parte de pequena escala, de projetos de telessaúde, telemedicina ou saúde móvel. Ainda não é claro quando convém utilizar os termos telessaúde ou telemedicina para descrever tais iniciativas, pois estes termos podem ser descritos e interpretados de diferentes maneiras na ausência de um conceito unificado.

Segundo a norma, a telessaúde usa as tecnologias de informação e comunicação, com a finalidade de prestar assistência à saúde e transmitir a informação sobre saúde tanto em longas distâncias quanto em curtas distâncias. Como exemplo, a telessaúde pode utilizar tecnologias de informação e comunicação para transmitir vídeo, voz, dados, imagens e outras formas de informação. Pode ser utilizada para conectar distâncias curtas ou longas. Também, é possível que diferenças em relação a tempo sejam superadas, utilizando a comunicação assíncrona.

É possível que, antecedendo ou sucedendo a transmissão, dados ou informações sejam processados com a finalidade de melhorar o serviço de telessaúde. A norma fornece as diretrizes e as recomendações e não se destina a ser utilizada para certificação ou fins de regulação ou contratuais.

O projeto e a implementação de frameworks de gerenciamento de risco, segurança e gerenciamento de qualidade específicos para telessaúde devem levar em conta as necessidades variadas de uma organização específica, seus objetivos particulares, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços, ou ativos e práticas específicas empregadas. Esta Especificação Técnica fornece objetivos de qualidade genéricos e diretrizes para serviços de telessaúde que podem ser adotados conforme requeridos para aplicação por diferentes organizações e serviços.

Recomenda-se que esta Especificação Técnica seja utilizada de forma suplementar a padrões nacionais e internacionais já existentes e diretrizes para segurança, qualidade e gerenciamento de risco no segmento da saúde. Em particular, o uso de outros padrões, quando aplicados em ambientes de telessaúde, é incentivado, incluindo as NBR ISO 13485 e IEC/ISO 80001.

Muitas organizações de assistência à saúde têm implantado sistemas de gestão da qualidade para gerenciar ativamente a segurança do paciente, bem como a qualidade da assistência prestada. Estes sistemas baseiam-se nos princípios e processos de gestão de qualidade descritos nas NBR ISO 9000, NBR ISO 9001 e NBR ISO 9004. Em particular, esta Especificação Técnica adota a recomendação da NBR ISO 9004 para utilizar a NBR ISO 31000, de forma a ajudar as organizações a identificarem, avaliarem e gerenciarem riscos durante o desenvolvimento adequado de objetivos de qualidade para serviços de telessaúde.

Objetivos organizacionais, estratégias, escopo e parâmetros dos serviços prestados por uma organização devem ser estabelecidos em conformidade com a NBR ISO 31000. Os riscos que podem impedir o alcance dos objetivos organizacionais podem ser identificados através da análise de fatores externos e internos à organização.

As orientações da BR ISO 31000 requerem que estes riscos sejam analisados e priorizados e que tratamentos apropriados sejam estabelecidos. Em um sistema de gestão da qualidade, estes tratamentos de risco podem, então, tornar-se a base para objetivos de qualidade que são utilizados para controlar os riscos identificados.

A NBR ISO 9004 recomenda que uma organização possa identificar os recursos internos e externos que são necessários para o alcance dos objetivos organizacionais no curto e no longo prazos. Esta Especificação Técnica apoia o uso desta recomendação ao derivar diretrizes e objetivos genéricos de qualidade para os serviços de telessaúde.

Os objetivos e as diretrizes desta Especificação Técnica dão suporte à gestão financeira e da qualidade, planejamento de serviços, planejamento de mão de obra, planejamento em assistência médica, responsabilidades organizacionais de assistência à saúde, instalações, tecnologia e gestão da informação para fornecer cuidados à saúde e transmitir informação em saúde. Não oferece aconselhamento para a plena implementação da NBR ISO 9004 em um contexto de telessaúde.

A telessaúde pode apoiar uma ampla gama de atividades de cuidados em saúde, as quais não se restringem apenas aos receptores dos tratamentos de saúde. Em geral, os serviços de telessaúde visam apoiar características de qualidade de cuidados em saúde que melhorem a qualidade de vida e do atendimento para os beneficiários da assistência. As características de qualidade consideradas por esta Especificação Técnica incluem: acessibilidade, prestação de contas, adequação, competência, confidencialidade, continuidade, confiabilidade, eficiência, eficácia, inclusividade, segurança, transparência e usabilidade.

Em geral, recomenda-se que as características de qualidade desejáveis para a prestação de serviços de saúde sem o uso de telessaúde também sejam aplicadas em situações em que a telessaúde é utilizada. Algumas características de qualidade podem ser mais importantes a considerar quando a telessaúde é utilizada para a prestação de serviços de saúde.

Quanto à gestão de características de qualidade, convém que uma organização possua sistema de gestão da qualidade para definir e monitorar as características de qualidade requeridas pelos serviços de telessaúde. Convém que os processos que impactam a gestão da qualidade, gestão financeira, planejamento de serviços, planejamento da força de trabalho, planejamento de cuidados de saúde, responsabilidades na organização de saúde, instalações, tecnologia e gerenciamento de informações sejam analisados quanto aos riscos identificáveis que podem afetar uma gama de características de qualidade, como a acessibilidade, prestação de contas, adequação, competência, confidencialidade, continuidade, confiabilidade, eficiência, eficácia, inclusividade, segurança, transparência e usabilidade.

Normalmente, apenas um pequeno número dessas características será relevante para o desenvolvimento de uma diretriz de qualidade individual. Convém que o processo para derivar objetivos de qualidade e diretrizes para a organização, pessoas, instalações e informações utilizados na prestação de serviços de telessaúde siga o processo de avaliação de risco descrito na NBR ISO 31000:2009, Seção 5, conforme mostrado na figura abaixo.

Clique para uma melhor visualização

Convém que a organização estabeleça o contexto no qual um serviço de telessaúde vai operar no ambiente externo, no ambiente da organização interna, assim como as características de qualidade desejadas para o serviço. A telessaúde se refere aos cenários nos quais os atores de assistência à saúde em várias localidades cooperam ativamente em um processo particular de saúde ou de assistência à saúde.

A telessaúde está relacionada com processos e subprocessos nos quais pelo menos dois atores de assistência à saúde estão ativamente envolvidos. Também é possível que um dos atores seja o supervisor de uma aplicação técnica, como no caso de uma operação remota, ou um sistema digital de análise.

É esperado que a telessaúde melhore a qualidade de saúde e de assistência à saúde, por exemplo, porque profissionais de saúde terão informações de saúde sobre o receptor dos cuidados disponíveis no local certo e no tempo certo, e eles terão melhor acesso para apoiar especialistas médicos. O receptor de cuidados pode ser monitorado em sua casa e receber aconselhamento sem a necessidade de viajar até um consultor de saúde, um profissional de saúde ou organização, que também tenha acesso facilitado à informação de saúde e educação para apoiar o autocuidado.

A identificação de risco é o processo de descoberta, reconhecimento, e identificação de riscos que pode impedir o alcance das características de qualidade requeridas para um serviço de telessaúde através da análise dos processos externos e internos à organização de assistência à saúde. A identificação de riscos requer a análise dos processos que ocorrem no gerenciamento de qualidade, estratégia, política e recursos, incluindo o gerenciamento financeiro, planejamento de serviços, planejamento de equipe, responsabilidades da organização de assistência à saúde, instalações, gerenciamento de tecnologia e informação. Alguns exemplos ilustrativos são fornecidos no Anexo A.

Os problemas na legislação. Não existe provisão no atual código de ética médica para medicina à distância e uma conscientização ou cultura para o uso da telemedicina. Há resistência dos conselhos éticos e profissionais, pois não existe pagamento para procedimentos telemédicos, havendo ainda uma reação à quebra de divisão de territórios e competências e a resistência à segunda opinião médica.

A orientação ética para o exercício da medicina advém do Código de Ética Médica (CEM), promulgado pela resolução nº 1 246 (de 8 de janeiro de 1988) do Conselho Federal de Medicina (CFM). Esse código contém alguns artigos relacionados ao exercício da telemedicina.

Artigo 62: É vedado ao médico prescrever tratamento ou outros procedimentos sem exame direto do paciente, salvo em casos de urgência e impossibilidade comprovada de realizá-lo, devendo, nesse caso, fazê-lo imediatamente cessado o impedimento. Artigo 102: É vedado ao médico revelar informações sobre os pacientes sem o consentimento dos mesmos, exceto em situações que possam se configurar como dever legal ou justa causa. A proibição permanece em situações que chegam a juízo, bem como nas solicitações das seguradoras. Artigo 104: É vedado ao médico fazer referência a casos clínicos identificáveis, exibir pacientes ou seus retratos em anúncios profissionais ou na divulgação de assuntos médicos. Artigo 108: É vedado ao médico facilitar o manuseio e conhecimento dos prontuários, papeletas e demais folhas de observações médicas sujeitas ao segredo profissional, por pessoas não obrigadas ao mesmo compromisso. Artigo 134: É vedado ao médico dar consulta, diagnóstico ou prescrição por intermédio de qualquer veículo de comunicação de massa.

Enfim, o Ministério da Saúde, atento a este novo cenário na saúde, vem publicando resoluções sobre a temática desde a criação da Comissão Permanente em Telemedicina e Telessaúde, em 2006. Além disso, o Conselho Federal de Medicina publicou a Resolução nº 1.643, em 2002 que discorre sobre a boa prática em Telemedicina; nesta Resolução fica clara a necessidade do consentimento informado pelo paciente para a utilização da Telemedicina e, sobretudo, a responsabilidade do médico presencial no atendimento ao paciente, assegurando a relação médico e paciente, bem como a corresponsabilidade do médico remoto no atendimento ao paciente, dentre outros coisas.

Na verdade, os serviços de telessaúde dependem das tecnologias de informação e comunicação para oferecer assistência à saúde e transmitir informação relativa à saúde tanto através de longa como de curta distância. Uma vez que essas tecnologias são parte do processo de assistência à saúde, convém que os objetivos de qualidade sejam estabelecidos para o serviço de suporte de tecnologia de informação e comunicação, oferta de serviços, gerenciamento de infraestrutura, gerenciamento de distribuição, gerenciamento de operações e suporte técnico.

Algumas organizações que oferecem serviços de saúde utilizando telessaúde podem depender de serviços de gerenciamento de tecnologia de um provedor externo de TIC ou de um grande provedor interno. Nestes casos, convém que os procedimentos de qualidade incluam definição de acordos de nível de serviços com estes provedores.

Por exemplo, a relação entre a organização de assistência à saúde e o fornecedor externo de TIC seja definida em um acordo de nível de serviço que especifique que, quando um problema ocorre com um equipamento, a organização de assistência à saúde comunique o fato ao provedor e o provedor tenha um sistema de acompanhamento pós-venda para detectar deficiências que ocorram após a implantação do equipamento ou do dispositivo. Uma infraestrutura de TIC de uso geral, incluindo equipamentos, software e comunicações, pode ser usada para dar suporte aos serviços de telessaúde.

Neste caso, convém que a organização de assistência à saúde ou organização de suporte à assistência à saúde definam acordos adequados de nível de serviços com os fornecedores relevantes. As características de qualidade relevantes para o gerenciamento de equipamentos, dispositivos e tecnologia utilizados para serviços de telessaúde pelas organizações de assistência à saúde são: prestação de contas, continuidade, confiança, eficácia, eficiência, segurança, transparência e usabilidade.

Impasse nas redes sociais

Normas comentadas

NBR 14039 – COMENTADA de 05/2005 – Instalações elétricas de média tensão de 1,0 kV a 36,2 kV – Versão comentada.

Nr. de Páginas: 87

NBR 5410 – COMENTADA de 09/2004 – Instalações elétricas de baixa tensão – Versão comentada.

Luiz Gonzaga Bertelli é presidente do Conselho de Administração do CIEE

Saudadas como uma das maiores contribuições da tecnologia para a democratização da informação, já há algum tempo as redes sociais têm a credibilidade arranhada em razão da difusão de boatos, desinformações e até difamação. Até recentemente a reação se resumia a alertas para evitar perigos no compartilhamento de mensagens.

O impasse continuou até que o presidente dos Estados Unidos, Barack Obama, endossou as acusações de que os boatos que pipocaram no Facebook favoreceram a eleição de Donald Trump, em detrimento de Hilary Clinton. Poderia parecer só choradeira de perdedores de eleição, se o próprio Mark Zuckerberg, presidente executivo da rede social, desta vez não viesse a público anunciar a adoção de um pacote de recursos para coibir a disseminação de notícias falsas. Análises de conteúdos suspeitos por agências especializadas em checagem de dados servirão de base para a colocação de uma espécie de selo de alerta sobre notícias falsas, sem que elas sejam retiradas da rede.

Pode parecer pouco para evitar os danos que as inverdades – não importa se transmitidas de boa ou de má fé – podem causar, numa rede social acessada por 1,8 bilhão de usuários ativos em todo o mundo. Mas já é um primeiro passo, prudente e cauteloso, na tentativa de equacionar uma saída para o impasse, que coloca de um lado a oportunidade ímpar de democratizar a informação, dando voz a todos, e de outro a necessidade de preservar a privacidade, a imagem e o sigilo de dados pessoais, empresariais e governamentais, entre outros pontos.

Aliás, conciliar esses interesses é o grande desafio imposto aos legisladores, às empresas de redes sociais e aos próprios usuários.  É o preço a pagar por revoluções que vêm para alterar substancialmente as relações sociais e individuais. Mas, como ensina a história, a mesma criatividade humana que gera as inovações sempre se mostra, com o tempo, capaz de encontrar instrumentos para disciplinar seu uso, com o menor dano possível aos benefícios que proporcionam a todos.

Keiper: o Target GEDWEB faz parte dos processos de melhoria da empresa

Líder no mercado de reclináveis e trilhos de assentos automotivos, a Keiper desenvolve produtos exclusivos para as principais montadoras e autopeças no Brasil. A empresa utiliza em seus processos produtivos o Target GEDWEB como parte de sua qualidade e na melhoria contínua de seus produtos.

Desde 1979 no Brasil, a Keiper iniciou suas atividades com a produção de reclináveis e, em 1982, fechou o primeiro contrato para o fornecimento desses produtos para a Volkswagen. Em 1985, as operações foram transferidas para Diadema (SP) e, após quatro anos, participou de um projeto da General Motors. Em 1994, a companhia inaugurou sua filial em Caçapava (SP) e no mesmo ano tornou-se pioneira na adoção da produção just in time (sistema produtivo que determina que nada deve ser produzido, transportado ou comprado antes da hora certa).

Em 1997, transferiu suas atividades para o bairro de Ipiranga, na cidade de São Paulo, e iniciou a produção dos reclináveis patenteados Taumel 2000®. Três anos depois, em 2000, a companhia passou a produzir, em caráter de exclusividade, os componentes para um projeto global da General Motors. Em 2001, desenvolveu e iniciou o fornecimento de estruturas para os bancos dos modelos Ford Fiesta e Ford EcoSport (Projeto Ford Amazon). No ano seguinte, a companhia iniciou a produção no Brasil de sistemas modulares de trilhos (KS) e de reclináveis Lever 2000® para o Ford Ranger.

Os produtos são modulares, ou seja, de fácil instalação.

Em 2004, expandiu suas operações e inaugurou uma fábrica em São José dos Pinhais (PR) para a produção do Fox LAM e FOX Europa. No ano seguinte, a empresa foi selecionada para trabalhar em parceria com a Honda (FIT), Mitsubishi (L200) e Toyota (Corolla).

Em 2007, iniciou a produção de trilhos Power para a Fiat. Em 2009, a subsidiária brasileira celebrou 30 anos de atividades no país e inaugurou a fábrica em Mauá, que recebeu 12 das linhas de produção que até então estavam instaladas no Ipiranga.

Fabio dos Santos: “a Keiper sempre buscou a melhoria contínua e o fornecimento de produtos com foco na qualidade”.

Segundo Fábio Melo dos Santos, técnico de engenharia, a empresa é líder no mercado de reclináveis e trilhos de assentos automotivos, sendo certificada na NBR ISO 14001:2004, NBR ISO/TS 16949:2002 e VDA 6.3. “Esses certificados comprovam a nossa busca pela melhoria contínua e fornecimento de produtos com foco na qualidade, competitividade e sustentabilidade no desenvolvimento e na produção de componentes para bancos automotivos, como trilhos, mecanismos reclináveis, módulos de complemento e estruturas metálicas dianteiras e traseiras”, explica.

Ele acrescenta que, para gerenciar os seus processos produtivos, todo o banco de dados era gerenciado pela matriz alemã, tanto para os desenhos 2 D ou 3 D como para as normas técnicas. “Para as normas NBR, a gente utilizava o Target Cewin que permitia, de uma maneira fácil e eficiente, a organização de normas técnicas brasileiras e do Mercosul. Como a Keiper deixou de fazer parte do grupo alemão, tivemos que criar os meios para fazer todo esse gerenciamento. Foi feita uma pesquisa de mercado na internet, sendo cotado com a Target e outra empresa, e as condições oferecidas pela Target foram as que melhor se adaptaram à Keiper. Ou seja, em relação ao serviço oferecido, ao investimento a ser feito, etc. e tudo isso levou à opção do Target GEDWEB”.

Atualmente, em média cerca de 50 usuários usam o sistema, coordenado pelo Fábio Santos. “Na verdade, a ferramenta é bem fácil de trabalhar e quase todas as dúvidas são solucionadas sem precisar do suporte da Target. Na maioria das vezes, sob a minha orientação, os problemas são resolvidos internamente. Além disso, a gente pode acessar o sistema com tablets e smartphones em qualquer lugar, bastando uma conexão à internet”.

Apesar da aparente e intencional simplicidade da interface do sistema, a complexidade e a criticidade das informações gerenciadas, como os documentos críticos externos, os documentos críticos internos e os documentos críticos complementares, tornam o sistema Target GEDWEB essencial para as empresas, gerenciando os riscos regulamentares (mitigando e até dirimindo), diminuindo custos operacionais, de produção, de controle de conformidades, etc. “Mesmo com toda a sua simplicidade de uso, em relação à padronização para as consultas às normas que são documentos muito importantes para o sistema produtivo da Keiper. Porém, o mais fundamental é que todos usam os documentos no mesmo nível de revisão e tudo estar concentrado em uma única ferramenta. A gente diz: o sistema é esse, o que estiver fora daqui é por conta e risco do usuário. Acho que esse é o grande benefício. Não existem normas nas gavetas. A atualização das normas nacionais e internacionais é online e instantânea. Mesmo as normas hospedadas pela Target são disponibilizadas no sistema. No nosso caso são as normas da Volkswagen”, observa Fabio.

A VDA 6.1 é uma norma desenvolvida pela indústria automotiva da Alemanha (VDA – Verband der Automobilindustrie e.V.) para certificação do sistema de gestão da qualidade dos fornecedores de montadoras como Volkswagen, Audi, BMW, Porsche, Mercedes-Benz e outros. A maior parte dos requisitos da VDA 6.1 é baseada na norma ISO 9001, porém organizados em elementos distribuídos em 2 partes: Gerenciamento e Produto/Processo. Estes elementos incorporam requisitos da ISO 9001, requisitos da ISO 9004 (diretrizes para melhoria de desempenho), requisitos específicos do setor automotivo e da EAQF (requisitos automotivos da França).

A VDA 6.4 é uma norma desenvolvida para ser utilizada em empresas que fabricam equipamentos e ferramentas para a aplicação na produção automotiva. Atualmente, o objetivo de atingir a qualidade tem uma nova dimensão que inclui também as áreas de fabricação de máquinas, ferramentas e equipamentos de inspeção e ensaios. A estrutura básica da norma VDA 6.4 e seu sistema de avaliação é em grande parte idêntica à VDA 6.1, porém ela leva em consideração particularidades e interesses específicos dos fornecedores de produção de equipamentos.

O GEDWEB rastreia e atualiza, diária e automaticamente (duas vezes ao dia), centenas de milhares de regulamentações técnicas. Gerencia mais de 16.000 normas ABNT NBR/NM; mais de 16.000 normas internacionais e estrangeiras, envolvendo 49 entidades internacionais, como o BSI, AFNOR, AENOR, JIS, ASTM, ASME, API, IEEE, NFPA, etc.

O usuário também pode acompanhar e votar nos projetos de Norma Brasileira em Consulta Nacional e acessar mais de 8.000 Regulamentos Técnicos/Portarias do Inmetro. Igualmente, estão disponíveis as Normas Regulamentadoras do Ministério do Trabalho e Previdência Social, mais de 115.000 Resoluções da Agência Nacional de Energia Elétrica (Aneel), os Procedimentos do Operador Nacional do Sistema Elétrico (ONS), e mais de 110.000 Procedimentos da Agência Nacional de Vigilância Sanitária (Anvisa).

Incluem ainda, o Genius Respostas Diretas, o mais avançado e inovador sistema de perguntas e respostas sobre requisitos de normas técnicas, alertas automáticos sobre documentos desatualizados, incorporados ou que sofreram alterações no acervo do cliente, alertas automáticos sobre solicitações de usuários sobre novos documentos, relatórios estatísticos de acessos, visualizações, impressões, servindo como evidências para o Sistema de Gestão da Qualidade e um glossário técnico trilíngue construído por tradutores especialistas em regulamentação técnica.

Por fim, deve ser ressaltado que o visualizador de todos esses documentos foi desenvolvido pela Target que agiliza o acesso, aumenta a velocidade de pesquisa no próprio texto e facilita em muito a sua impressão. Igualmente, é um sistema multiplataforma, podendo abrir no Linux, Mac, etc. Um sistema multibrowser e multiplataforma.

A certificação de softwares de acordo com a norma técnica

Atualmente, qualquer produto não tem sua própria qualidade, mas esta passa a ser a sua capacidade de atender às expectativas do cliente. A qualidade se tornou como o grau no qual um conjunto de características inerentes a um produto, processo ou serviço satisfaz a requisitos ou as necessidades ou expectativas implícitas ou explícitas de clientes.

Dessa forma, a qualidade de um software é um objetivo do processo de desenvolvimento. A se desenvolver um produto, deve-se ter previamente estabelecidas, como perspectiva, as características de qualidade que se deseja alcançar.

O setor de desenvolvimento de softwares também vem evoluindo profundamente desde a fase em que o seu desenvolvimento era considerado arte, sendo agora um dos setores mais dinâmicos da economia. É um setor no qual a criatividade e a inovação são características intrínsecas.

A presença do software no dia a dia das pessoas e das organizações é absoluta. Essa evolução tem sido acompanhada pelo desenvolvimento de conhecimento, técnicas, métodos e processos que lhe dão suporte, enriquecendo a própria engenharia de software.

O setor de software tem buscado diversas alternativas para tratar o tema da qualidade, razão pela qual a engenharia de software tem consagrado a abordagem por processos. A abordagem por processos vem se desenvolvendo e sofisticando e isso vem resultando em vários modelos de referência que estão em uso.

A implementação efetiva dos processos pode ser verificada mediante usuais avaliações e auditorias e se pode mesmo atestar publicamente a efetiva implementação dos processos, por meio de uma certificação. O primeiro modelo nesse sentido foi o CMM (e depois CMMI). Porém, modelos como o CMMI são mais apropriados para uso em grandes projetos e grandes empresas e não se mostraram adequados para pequenas organizações que desenvolvem software.

O modelo de qualidade de software CMM – Capability Maturity Model é um modelo de avaliação e melhoria da maturidade de processo de software. O CMM é uma iniciativa do SEI (Software Engineering Institute) para avaliar e melhorar a capacitação de empresas que desenvolvem e mantém software através de seus funcionários ou de contratados terceirizados. Já o CMMI – Capability Maturity Model Integration foi criado, a partir do modelo CMM, para suprir as limitações do CMM, com a criação de: um método comum; unificar os vários modelos do mesmo existentes; permitir a representação contínua com áreas de processos independentes dos níveis de maturidade.

Além de modelos de métricas para qualidade de software, nota-se que a constante busca por ela se tornou uma atividade essencial dentro das empresas. Colocando-se todos esses conceitos dentro do contexto apresentado, pode-se  dizer que a qualidade não é uma fase do ciclo de desenvolvimento de software … é parte de todas as fases.

Portanto, é necessário um planejamento adequado para que a qualidade do software seja atingida, conforme a definição de qualidade que deverá ser alcançada. Para isso são necessários modelos, padrões, procedimentos e técnicas para atingir essas metas de qualidade propostas. Para tanto, todas as etapas do ciclo de vida de engenharia de software devem ser contempladas com atividades que visam garantir a qualidade tanto do processo quanto do produto.

A NBR ISO/IEC 29110-4-1 de 02/2012 – Engenharia de Software – Perfis de ciclo de vida para micro-organizações (VSEs) – Parte 4-1 : Especificações de perfil: Grupo Perfil Genérico aplica-se a micro-organizações (VSEs). VSEs são empresas, organizações, departamentos ou projetos com até 25 pessoas. Os processos de ciclo de vida descritos na NBRISO/IEC29110-4-1 não têm a intenção de restringir ou desencorajar seu uso em organizações maiores.

A NBR ISO/IEC 29110, sob o título geral Engenharia de Software – Perfis de ciclo de vida para micro-organizações (VSEs), tem a previsão de conter as seguintes partes: Parte 1: Visão Geral; Parte 2: Estrutura e taxonomia; Parte 3: Guia de avaliação (Relatório Técnico); Parte 4-1: Especificações de perfis: Grupo perfil Genérico; Parte 5-1-2: Guia de engenharia e gestão: Grupo perfil Genérico: Perfil básico (Relatório Técnico).

Segundo Airton C. Gonzalez, gerente da qualidade da Fundação Vanzolini (airton@vanzolinicert.org.br), a certificação na norma, conforme adotou o Inmetro, deve ser feita com base na NBR ISO/IEC 17065 de 08/2013 – Avaliação da conformidade – Requisitos para organismos de certificação de produtos, processos e serviços que contém os requisitos para a competência, operação consistente e imparcialidade dos organismos de certificação de produtos, processos e serviços. Os organismos de certificação que operam com esta norma não precisam oferecer certificação de todos os tipos de produtos, processos e serviços.

“Nesta proposta de avaliação, uma empresa que implementou os processos da norma é auditada e recebe um certificado de conformidade com a norma, ou seja, uma entidade de certificação atesta que os processos estão atendendo os seus requisitos. A razão pela qual o Inmetro adotou esta forma de certificar é permitir uma rápida alavancagem da norma, uma vez que já existe no Brasil e no mundo uma estrutura de avaliação da conformidade com regras definidas que permitem a operação de organismos de certificação para realizar esta atividade”, explica Airton.

Ele acrescenta que, internacionalmente, existe a International Acreditation Forum (IAF) que coordena todas as orientações de certificação de sistemas, processos e produtos. O sistema de avaliação da conformidade no Brasil possui o Inmetro como o órgão que recebe as orientações do IAF e acredita, e supervisiona, no âmbito nacional, as organizações que podem exercer as atividades de certificação.

Complementa explicando as características desse tipo de certificação: organizações que não desenvolvam software crítico; as com até 25 pessoas envolvidas com projeto; certificação com três anos de validade; auditoria de certificação e uma auditoria de supervisão por ano; e recertificação ao final de três anos. “Há um material na forma de curso e o estamos disponibilizando na internet para acelerar a sua penetração junto às organizações desenvolvedoras de software, através do link: http://www.antaresonline.com.br/29110/”.

Segundo a norma, a indústria de software reconhece o valor das micro-organizações (Very Small Entities – VSEs) no fornecimento de importantes serviços e produtos. Para o propósito da ISO/IEC 29110, uma micro-organização é uma entidade (empresa, organização, departamento ou projeto) que tem até 25 pessoas. As VSEs também desenvolvem e/ou mantêm software usado em sistemas maiores; consequentemente, muitas vezes é requerido o reconhecimento de VSEs como fornecedores de software de alta qualidade.

De acordo com o relatório da Organization for Economic Co-operation and Development (OECD) SME and Entrepreneurship Outlook (2005), “pequenas e médias empresas (PMEs) constituem a forma dominante de organização em todos os países do mundo, respondendo por mais de 95 % e até 99 % da população dos negócios, dependendo do país”. O desafio enfrentado pelos governos OECD é prover um ambiente de negócios que apoie a competitividade desta grande população heterogênea de empresas e promova uma cultura empreendedora vibrante.

Os estudos e pesquisas conduzidos deixam claro que a maioria das normas não contempla as necessidades das VSEs. A conformidade com essas normas é difícil, se não impossível. Assim, as VSEs ficam limitadas ou não têm meios de serem reconhecidas como entidades que produzem software de alta qualidade no seu domínio. Consequentemente, VSEs são muitas vezes excluídas de algumas atividades econômicas.

Descobriu-se que as VSEs acham difícil relacionar as normas com as suas necessidades de negócio e justificar sua aplicação em suas práticas empresariais. Muitas VSEs não dispõem de recursos, em termos de número de empregados, orçamento e tempo, nem veem benefício real no estabelecimento de processos de ciclo de vida do software. Para aliviar algumas dessas dificuldades, foi desenvolvido um conjunto de guias de acordo com um conjunto de características das VSEs.

Os guias baseiam-se em conjuntos apropriados de elementos de normas, denominados perfis de VSEs. O propósito de um perfil de VSE é definir um subconjunto de normas relevantes para o contexto da VSE, como, por exemplo, os processos e resultados da NBR ISO/IEC 12207 e produtos da ISO/IEC 15289.

A NBR ISO/IEC 29110, orientada por audiência, foi desenvolvida para melhorar a qualidade do produto e/ou serviço, e o desempenho do processo (ver a Tabela 1). A NBR ISO/IEC 29110 não se destina a impedir a utilização de diferentes ciclos da vida, como cascata, iterativo, incremental, evolucionário ou ágil.

CLIQUE NAS FIGURAS PARA UMA MELHOR VISUALIZAÇÃO

Se for necessário um novo perfil, as NBR ISO/IEC 29110-4 e ABNT ISO/IEC TR 29110-5 podem ser expandidas sem impactar os documentos existentes e se tornar, respectivamente, NBR ISO/IEC 2911 0-4-m e NBR ISO/IEC 2911 0-5-m-n, seguindo o processo ABNT. A ISO/IEC TR 29110-1 define a terminologia empresarial comum ao Conjunto de Documentos dos Perfis de VSEs. Introduz conceitos de processos, ciclo de vida e normalização, e a série ISO/IEC 29110. Também introduz as características e requisitos de uma VSE e esclarece a razão para se ter perfis, documentos, normas e guias específicos para VSEs.

Esta parte da NBR ISO/IEC 29110 introduz os conceitos de perfis padronizados de engenharia de software para as VSEs e define os termos comuns ao conjunto de documentos Perfis de VSEs. Estabelece a lógica por trás da definição e aplicação de perfis padronizados. Especifica os elementos comuns a todos os perfis padronizados (estrutura, conformidade, avaliação) e introduz a taxonomia (catálogo) de perfis da NBR ISO/IEC 29110.

A ISO/IEC TR 29110-3 define as diretrizes para avaliação de processos e requisitos de conformidade necessários para alcançar o propósito dos Perfis de VSEs definidos. Também contém informação que pode ser útil aos desenvolvedores de métodos de avaliação e ferramentas de avaliação. É dirigida àqueles que têm relação direta com o processo de avaliação, como o avaliador e o patrocinador da avaliação, que precisam de orientação para assegurar que os requisitos para realização da avaliação sejam alcançados.

A NBR ISO/IEC 2911 0-4-m provê a especificação para todos os perfis do grupo Genérico de Perfis. O Grupo Genérico de Perfis de é aplicável a VSEs que não desenvolvem produtos críticos de software. Os perfis são baseados em subconjuntos apropriados de elementos de normas.

Os Perfis de VSE aplicam-se e são endereçados a autores/fornecedores de guias, ferramentas e outros materiais de suporte. A ISO/IEC TR 2911 0-5-m-n provê um guia de implementação de engenharia e gestão para o Perfil de VSE descrito na NBR ISO/IEC 2911 0-4-m.

A Figura 1 descreve a série ABNT NBR ISO/IEC 29110 e posiciona as partes dentro da estrutura de referência. Os resumos e guias são publicados como Relatórios Técnicos (TR) e os Perfis são publicados como normas.

Esta parte da NBR ISO/IEC 29110 pode ser implementada por desenvolvedores de produtos que facilitam a implementação e utilização desta parte da NBR ISO/IEC 29110 nas organizações e exemplos de tais produtos são métodos, cursos, material didático, ferramentas e formulários; organizações ou projetos que implementam e usam os processos e produtos prescritos por esta parte da NBR ISO/IEC 29110. Portanto, a conformidade pode ser reivindicada pelos desenvolvedores de produtos e organizações, com interpretações diferentes, e diferentes métodos de avaliação da conformidade.

Ela pode ser atestada por uma terceira parte. Pode ser encomendada como parte de aquisições e processos contratuais. A VSE que reivindicar conformidade com esta parte da NBR ISO/IEC 29110 deve implementar e utilizar todos os elementos obrigatórios de perfil, como identificados na Seção 7, e as propriedades e requisitos associados descritos nas normas-base, quando aplicável.

A conformidade é alcançada quando demonstrado que: os requisitos obrigatórios para os produtos de ciclo de vida (elementos de informação) foram satisfeitos, usando o conteúdo de produtos de trabalho conformes como evidência; os requisitos obrigatórios para os processos de ciclo de vida foram satisfeitos, usando os objetivos (resultados) e produtos como evidência. A conformidade com esta parte da NBR ISO IEC 29110 implica a conformidade com a NBR ISO/IEC 12207 e a ISO/IEC 15289:2006, de acordo com suas seções de conformidade que permitem a conformidade parcial ou adaptada.

Um produto que reivindicar conformidade com esta parte da NBR ISO/IEC 29110 deve implementar todos os elementos obrigatórios do perfil identificados na Seção 7, e as propriedades e requisitos associados e descritos nas normas-base, quando aplicável. A conformidade é alcançada pela demonstração de que o produto conforme não exclui, modifica ou contraria qualquer um dos elementos obrigatórios do perfil.

A certificação está relacionada com o Perfil Básico para VSE que deve definir um subconjunto de processos e resultados da NBR ISO/IEC 12207 e produtos da ISO/IEC 15289:2006 para a implementação de software e gerenciamento de projetos. As principais razões para incluir a implementação de software e o gerenciamento de projetos são que o negócio principal da VSE é o desenvolvimento de software e seu sucesso financeiro depende da conclusão bem-sucedida do projeto dentro do cronograma e orçamento.

A preparação do Perfil Básico para VSE segue os seguintes passos: o reconhecimento das características da VSE relacionadas a: finanças, recursos, interface com o cliente, processos de negócio internos, aprendizado e crescimento; a identificação das necessidades e competências sugeridas da VSE que derivam dessas características; a especificação dos elementos de Perfil Básico para VSE adequados para responder às necessidades e competências sugeridas da VSE, de acordo com a NBR ISO/IEC 29110-2; a seleção e o vínculo do subconjunto dos elementos de Perfil Básico para VSE que mapeiam para os elementos de processos e resultados da ABNT NBR ISO/IEC 12207 e dos elementos de produtos da ISO/IEC 15289:2006 relacionados com os elementos de Perfil Básico para VSE; e a definição dos Guias de Perfil Básico para VSE: ABNT ISO/IEC TR 29110-5-1-2, Guia de Gestão e Engenharia para a implementação do Perfil Básico para VSE.A Figura 2 ilustra as etapas para preparar o Perfil Básico para VSE.

A interpretação da notação de diagrama é a seguinte: o retângulo representa os elementos da VSE; a elipse representa a norma ou um subconjunto de seus elementos; seta sólida é uma relação rotulada e círculo com seta tracejada é um número da etapa de preparação. Para implementar um Perfil Básico para VSE, um contrato ou acordo com a declaração do trabalho deve ser estabelecido com base nas demandas do cliente e complementado pelas práticas de negócios/convenções e aceito pelo Cliente VSE.

Um projeto de desenvolvimento de software segue o Guia de Gestão e Engenharia para cumprir a declaração do trabalho e gerar os produtos. A VSE pode executar outras atividades de apoio ao projeto. A Figura 3 ilustra o contexto da lógica de implementação para o Perfil Básico para VSE.

A notação da Figura 3 é similar à Figura 2. A fim de implementar o Perfil Básico para VSE, a VSE pode seguir o ABNT ISO/IEC TR 29110-5-1-2, que é uma coleção de elementos de processo selecionados e estruturados, como, por exemplo: objetivos, atividades, tarefas, papéis e produtos de trabalho, úteis para a implementação do Perfil Básico para VSE.

Para a definição dos conceitos, ver o ABNT ISO/IEC TR 29110-5-1-2. VSEs estão sujeitas a uma série de características, necessidades e competências sugeridas que afetam o conteúdo, a natureza e a extensão das suas atividades. O Perfil Básico para VSE contempla um subconjunto de VSEs que são descritas a seguir, a partir das características, necessidades e competências sugeridas, classificadas em quatro categorias: Finanças e Recursos, Interface com o cliente, Processos de Negócios Internos e Aprendizado e Crescimento.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Skype: hayrton.prado1

Corte da internet fixa

Após o anúncio das operadoras de telefonia fixa que irão interromper os serviços após o final da franquia, alterando os contratos vigentes de forma unilateral, no que se refere aos serviços de transmissão de dados por internet fixa banda larga, o Procon-SP informou que é contra a mudança e que já emitiu notificações às empresas pedindo esclarecimentos. Segundo entendimento da instituição, devido a essencialidade do serviço, a prática de limitar a franquia preestabelecida do serviço e, posteriormente, interromper ou mesmo diminuir a velocidade de navegação depois que o usuário atingir o consumo contratado, até a liberação da próxima franquia, será lesiva aos consumidores.

A mudança estipulada pelas empresas, com limitação do uso de dados na internet banda larga fixa contraria os usos e costumes adotados pela sociedade brasileira, cujo acesso ao longo dos anos sempre foi ilimitado, contrariando também os objetivos do Programa Nacional de Banda Larga e das Consultas Públicas promovidas pelo Ministério das Telecomunicações, que tem como enfoque o acesso universal à banda larga fixa.

Ainda segundo o Procon-SP, a implementação de franquia na banda larga fixa também desequilibra a relação contratual, uma vez que o consumidor será compelido a arcar com custos adicionais, seja com a compra ou alteração do pacote de dados, ou se ver privado do direito de acesso à internet, com o bloqueio ou redução da velocidade, o que desrespeita a neutralidade de rede e os princípios do Marco Civil da Internet.

Nesse sentido, a prática das operadoras se mostra abusiva por infringir o disposto no artigo 39, incisos V e X do Código de Proteção e Defesa do Consumidor (CDC) por exigir do consumidor vantagem manifestamente excessiva e por elevar, sem justa causa, o preço do produto ou serviço, sendo que até o momento a mudança não foi justificada pelas empresas. E a inserção de tais cláusulas nos contratos, ainda que futuros, são nulas de pleno direito nos termos do artigo 51, incisos IV e XV do CDC, por colocar o consumidor em desvantagem exagerada e por estar em desacordo com o sistema de proteção ao consumidor.

Decisão cautelar

A Agência Nacional de Telecomunicações (Anatel) publicou o Despacho nº 1/2016/SEI/SRC determinando cautelarmente que as prestadoras de banda larga fixa se abstenham de adotar práticas de redução de velocidade, suspensão de serviço ou de cobrança de tráfego excedente após o esgotamento da franquia, ainda que tais ações encontrem previsão em contrato de adesão ou em plano de serviço, até o cumprimento cumulativo das seguintes condições: comprovar, perante a agência, a colocação ao dispor dos consumidores, de forma efetiva e adequada, de ferramentas que permitam, de modo funcional e adequado ao nível de vulnerabilidade técnica e econômica dos usuários: o acompanhamento do consumo do serviço; a identificação do perfil de consumo; a obtenção do histórico detalhado de sua utilização; a notificação quanto à proximidade do esgotamento da franquia; e a possibilidade de se comparar preços.

Igualmente, deverão informar ao consumidor, por meio de documento de cobrança e outro meio eletrônico de comunicação, sobre a existência e a disponibilidade das ferramentas disponíveis acima. Deverão explicitar, em sua oferta e nos meios de propaganda e de publicidade, a existência e o volume de eventual franquia nos mesmos termos e com mesmo destaque dado aos demais elementos essenciais da oferta, como a velocidade de conexão e o preço.

Deverão emitir instruções a seus empregados e agentes credenciados envolvidos no atendimento em lojas físicas e demais canais de atendimento para que os consumidores sejam previamente informados sobre esses termos e condições antes de contratar ou aditar contratos de prestação de serviço de banda larga fixa, ainda que contratados conjuntamente com outros serviços.

As práticas de redução de velocidade, suspensão de serviço ou de cobrança de tráfego excedente após o esgotamento da franquia somente poderão ser adotadas após 90 dias da publicação de ato da Anatel que reconheça o cumprimento das condições fixadas. Também foi fixada uma multa diária de R$ 150 mil reais por descumprimento dessa determinação, até o limite de R$ 10 milhões de reais.

A determinação foi destinadas as empresas Algar Telecom S.A, Brasil Telecomunicações S.A., Cabo Serviços de Telecomunicações Ltda., Claro S.A., Global Village Telecom Ltda., OI Móvel S.A., Sky Serviços de Banda Larga Ltda., Telefônica Brasil S.A., Telemar Norte Leste S.A., TIM Celular S.A., Sercomtel S.A. Telecomunicações e OI S.A.