A gestão dos documentos de arquivo e seus metadados

Deve-se entender a relevância dos metadados de gerenciamento de documentos de arquivo em processos de negócios e as diferentes funções e tipos de metadados que apoiam processos de negócios e de gestão de documentos de arquivo.

Pode-se definir os metadados para documentos de arquivo como as informações estruturadas ou semiestruturadas que permitem a produção, gestão e uso de documentos de arquivo ao longo do tempo e dentro e entre domínios. Já o esquema de metadados plano lógico que mostra as relações entre os elementos de metadados, normalmente por meio do estabelecimento de regras para uso e gestão de metadados, especificamente quanto à semântica, à sintaxe e à opção (nível de obrigação) de valores.

A NBR ISO 23081-1 de 09/2019 – Informação e documentação – Processos de gestão de documentos de arquivo – Metadados para documentos de arquivo – Parte 1: Princípios abrange os princípios que sustentam e regem os metadados de gestão de documentos de arquivo. Estes princípios se aplicam a: documentos de arquivo e seus metadados; todos os processos que os afetam; qualquer sistema em que residam; qualquer organização responsável por sua gestão.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

O que incluem os metadados no momento da captura dos documentos de arquivo?

Para que servem os metadados para o e-business?

O que são os metadados para a gestão de direitos?

Como definir e manter as estruturas para o gerenciamento de metadados?

A NBR ISO 23081 estabelece um modelo para definição, gestão e utilização de metadados na gestão de documentos de arquivo e explica os princípios que os governam. Este documento fornece diretrizes para entendimento, implementação e utilização de metadados no âmbito do modelo da NBR ISO 15489. Aborda a relevância dos metadados de gerenciamento de documentos de arquivo em processos de negócios e as diferentes funções e tipos de metadados que apoiam processos de negócios e de gestão de documentos de arquivo.

Estabelece também um modelo para gerenciamento destes metadados. Nesta parte, negócios e atividades de negócios são usados como termos amplos, não restritos à atividade comercial, mas incluindo administração pública, atividades sem fins lucrativos e outras. Esta norma não define um conjunto obrigatório de metadados de gestão de documentos de arquivo a serem implementados, uma vez que estes metadados serão diferentes de acordo com os requisitos organizacionais ou específicos para a jurisdição.

No entanto, avalia os principais conjuntos de metadados existentes, de acordo com os requisitos da NBR ISO 15489. A ISO 23081-2 e a ISO 23081-3 são mais explicativas e fornecem orientações práticas sobre questões de implementação e como avaliar conjuntos de metadados de gestão de documentos de arquivo em relação aos princípios deste documento. A gestão de metadados é uma parte indissociável da gestão de documentos de arquivo, servindo a uma diversidade de funções e propósitos.

No contexto da gestão de documentos de arquivo, os metadados destes documentos são definidos como informação estruturada ou semiestruturada, que permite a produção, a gestão e o uso dos documentos de arquivo ao longo do tempo e dentro e entre domínios (NBR ISO 15489-1:2018, 3.12). Cada domínio representa uma área de discurso intelectual e de atividade social e/ou organizacional com um grupo distinto ou limitado de pessoas que compartilham certos valores e conhecimentos.

Os metadados para documentos de arquivo podem ser usados para identificar, autenticar e contextualizar os documentos de arquivo, bem como as pessoas, os processos, os sistemas que os produzem, os gerenciam, os mantêm e os utilizam e as políticas que os regem (ver 9.1). Inicialmente, os metadados definem estabelecem o documento de arquivo no seu ponto de captura, inserindo-o em seu contexto de negócios e estabelecendo formas de controle no que tange à sua gestão. Durante a existência dos documentos de arquivo ou seus desdobramentos, novas entradas/camadas de metadados serão adicionadas, em razão de novas aplicações em outros contextos de negócios ou ainda em outros contextos de utilização.

Isso significa que os metadados continuam a se acumular ao longo do tempo. As informações relativas ao contexto da gestão de documentos de arquivo e aos processos de negócio nos quais os documentos de arquivo são usados continuam acumulando-se enquanto estes documentos são gerenciados e usados. O documento de arquivo também pode sofrer mudanças estruturais ou mudanças em sua apresentação. Os metadados podem ser obtidos ou reutilizados por múltiplos sistemas e para múltiplos propósitos.

Os metadados aplicados aos documentos de arquivo durante sua vida ativa também podem continuar a ser aplicados quando deixam de ser requeridos para os fins de negócios atuais, porém são mantidos para pesquisas em andamento ou outras finalidades. Os metadados asseguram a autenticidade, confiabilidade, usabilidade e integridade ao longo do tempo, e permitem a gestão e a compreensão dos objetos de informação, sejam estes físicos, analógicos ou digitais.

Contudo, recomenda-se que os metadados também sejam gerenciados. A gestão de documentos de arquivo sempre envolveu a gestão de metadados. Contudo, o ambiente digital requer uma apresentação diferente dos requisitos e mecanismos tradicionais para identificar, capturar, atribuir e usar metadados. No ambiente digital, os documentos de arquivo confiáveis são aqueles acompanhados de metadados que definem suas características críticas. Estas características devem ser explicitamente documentadas, em vez de serem implícitas, como em alguns processos baseados em papel.

No ambiente digital, é essencial assegurar que a definição e a captura dos metadados de gestão de documentos de arquivo sejam implementadas em sistemas que produzam, administrem e usem documentos de arquivo. Por outro lado, o ambiente digital apresenta novas oportunidades para definir e gerar metadados, e assegurar a captura completa de documentos de arquivo na atualidade.

Estes documentos de arquivo podem ser transações ou suas provas. Metadados sustentam processos de negócios e de gestão de documentos de arquivo: protegendo os documentos de arquivo como prova e assegurando a sua acessibilidade e usabilidade ao longo do tempo; facilitando a capacidade de compreensão dos documentos de arquivo; apoiando e assegurando o valor probatório dos documentos de arquivo; auxiliando na garantia da autenticidade, da confiabilidade e da integridade dos documentos de arquivo; apoiando e gerenciando o acesso, a privacidade e os direitos; apoiando a recuperação eficiente; apoiando o reuso e a reproposição de documentos de arquivo; apoiando as estratégias de interoperabilidade, proporcionando a captura oficial de documentos de arquivo produzidos em diversos ambientes técnicos e de negócios e sua sustentabilidade pelo tempo que for necessário; fornecendo ligações lógicas entre os documentos de arquivo e o contexto de sua produção, mantendo-os de forma estruturada, confiável e significativa; apoiando a identificação do ambiente tecnológico em que os documentos de arquivo digitais foram produzidos ou capturados e a gestão do ambiente tecnológico em que são mantidos, para que os documentos de arquivo autênticos possam ser reproduzidos enquanto forem necessários; apoiando a migração eficiente e bem-sucedida de documentos de arquivo de um ambiente ou plataforma de computador para outro, ou ainda qualquer outra estratégia de preservação.

Convém que as organizações tomem decisões sobre quais dos requisitos de metadados descritos neste documento são necessários em algum ou em todos os sistemas organizacionais. Estas decisões dependerão de: necessidades do negócio; ambiente regulatório; riscos que afetem as operações do negócio. Esta avaliação pode identificar quais tipos de metadados precisam ser aplicados em diferentes áreas da organização, dependendo dos riscos ou necessidades do negócio.

Um dos principais usos dos metadados é a descrição de fontes de informação. Estas fontes de informação podem ser livros, revistas, vídeos, documentos, imagens e artefatos. Também incluem documentos de arquivo transferidos para custódia arquivística. Convém que os metadados identifiquem a fonte de informação e o título, produtor (es), data (s), identificador único, relação com outras fontes (por exemplo, dentro da mesma série) e sua dimensão (por exemplo, tamanho ou comprimento).

Alguns destes elementos de metadados também são usados no contexto de gestão de documentos de arquivo. Eles são semelhantes e podem se sobrepor aos elementos dos metadados inseridos no momento da captura, documentando o conteúdo de um documento de arquivo. No entanto, os metadados descritivos para gestão de documentos de arquivo e para fins de arquivamento geralmente são mais amplos do que os metadados de descrição das fontes de informação e podem incluir outros elementos, como, por exemplo, metadados de contexto.

Há uma forte relação entre o tipo de metadado descrito e a descrição arquivística. As instituições arquivísticas utilizam metadados para descrever os documentos de arquivo, a fim de preservar seu sentido ao longo do tempo, colocá-los em seus contextos administrativos e de gestão de documentos de arquivo e facilitar seu uso e gestão. Portanto, os padrões atuais de descrição de arquivamento, como ISAD/G e ISAAR (CPF), possuem uma extensa sobreposição com metadados de gestão de documentos de arquivo, porque ambos se preocupam em documentar o contexto de negócios e os processos de gestão.

A gestão arquivística, incluindo a descrição arquivística, é uma atividade complementar e contínua para os documentos de arquivo que são identificados como tendo valor arquivístico. A funcionalidade que permita a migração de metadados entre os sistemas de documentos de arquivo organizacionais e os sistemas de controle de arquivo é, portanto, recomendada. O processo de gerenciamento de metadados permanece em andamento pelo tempo que os documentos de arquivo e suas agregações relevantes existirem.

Convém que novos metadados sejam adicionados onde necessário, para manter os documentos de arquivo relevantes, confiáveis e utilizáveis. Convém que isso seja realizado ao longo do tempo e entre domínios, por exemplo, quando as funções de uma organização e as partes relevantes de seu sistema de documentos de arquivo são transferidos para uma outra organização. Isso pode demandar à organização receptora a adaptação de suas estruturas de metadados existentes.

Convém que as organizações definam procedimentos e políticas para documentar estas mudanças. Várias camadas podem ser diferenciadas em um contexto de escopo em constante expansão, dependendo de quão amplamente os documentos de arquivo serão compartilhados e usados. Os documentos de arquivo são gerenciados em sistemas; estes sistemas são gerenciados por organizações e estas organizações fazem parte de um contexto mais amplo (um setor empresarial, um governo, uma nação, o público ou a sociedade).

Convém que, em cada uma destas camadas, os metadados forneçam informações suficientes sobre os documentos de arquivo, para torná-los compreensíveis e acessíveis à comunidade interessada. Os tipos de metadados requeridos para implementação da NBR ISO 15489-1 podem ser divididos nos seguintes componentes (ver figura abaixo): metadados sobre o documento de arquivo em si; metadados sobre as regras de negócio ou políticas e funções; metadados sobre agentes; metadados sobre atividades ou processos de negócio; metadados sobre processos de gestão de documentos de arquivo. Estes tipos de metadados são aplicáveis tanto antes quanto após a produção do documento de arquivo.

Cada componente reflete metadados que são capturados com os documentos de arquivo, consolidando-os em seu contexto de negócio e permitindo que os procedimentos de gestão ocorram (ou seja, metadados no momento da captura de documentos de arquivo) e continuam a ser definidos e capturados (ou seja, metadados processados). Isso vai além da organização de produção do documento de arquivo e convém que seja assegurado por qualquer organização responsável pela gestão de documentos de arquivo ao longo do tempo. Esta categorização tem sido usada como base estrutural para este documento. Um comentário é inserido após cada um dos requisitos de metadados, para indicar de qual seção ou subseção da NBR ISO 15489-1 eles são derivados.

O controle e as comunicações de dados em tratores agrícolas ou florestais

Atualmente, está disponível um sistema de comunicações para equipamentos agrícolas com base no protocolo da ISO 11898-2.

A NBR ISO 11783-1 de 08/2019 – Tratores e máquinas agrícolas e florestais — Rede serial para comunicação de dados e controle – Parte 1: Padrão geral para comunicação de dados móveis especifica uma rede serial de dados para controle e comunicações em tratores agrícolas ou florestais e implementos montados, semimontados, rebocados ou autopropelidos. Sua finalidade é padronizar o método e o formato de transferência de dados entre sensores, atuadores, elementos de controle, unidades de armazenamento e exibição de informações, montados ou se forem parte do trator ou implemento. Ela é destinada a fornecer interligação de sistema aberto (Open System Interconnect – OSI) para sistemas eletrônicos utilizados por equipamentos agrícolas e florestais. Fornece uma visão geral da NBR ISO 11783.

Para desenvolvedores de aplicações segundo a NBR ISO 11783, o conteúdo desta base de dados eletrônicos fornece a listagem atual das designações de endereços, designações de identidade e definições de parâmetros da NBR ISO 11783-1 que foram designadas e que estão oficialmente registradas pela SAE J1939. Estas informações são encontradas na base de dados on-line no website da ISOBUS (http://www.isobus.net/).

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais os termos abreviados usados nessa norma?

Qual seria uma estrutura de conexão física típica da rede do trator/implemento?

Qual seria uma topologia típica da rede da NBR ISO 11783?

Como seria a interface do computador de gerenciamento da fazenda?

O que contém a base de dados eletrônicos da NBR ISO 11783-1?

A NBR ISO 11783 especifica um sistema de comunicações para equipamentos agrícolas com base no protocolo da ISO 11898-2. Os documentos SAE J19391, em que as partes da NBR ISO 11783 são baseadas, foram desenvolvidos em conjunto para uso em aplicações de caminhões e ônibus e para aplicações na construção e agricultura. Documentos conjuntos foram concluídos para permitir que as unidades eletrônicas que atendem às especificações SAE J1939 de caminhões e ônibus sejam utilizadas por equipamentos agrícolas e florestais com alterações mínimas.

Informações gerais sobre a NBR ISO 11783 podem ser encontradas nesta parte da NBR ISO 11783. O objetivo da NBR ISO 11783 é fornecer um sistema aberto e interligado para sistemas eletrônicos embarcados. Ela é destinada a permitir que unidades de controle eletrônico (ECU) se comuniquem entre si, fornecendo um sistema padronizado.

A interligação de sistemas abertos (OSI) especificada na ISO/IEC 7498-1 é um modelo de arquitetura de comunicações por computador que possui sete camadas, conforme mostrado na figura abaixo. Pretende-se que as redes de comunicações de dados, como a serie ABNT NBR ISO 11783, sejam desenvolvidas para realizar as funções de cada uma das camadas OSI, conforme requerido.

Camada 1 – Física – Esta camada refere-se à transmissão de um fluxo de bits não estruturado sobre mídia física; ela trata das características mecânicas, elétricas, funcionais e de processo para acessar a mídia física.

Camada 2 – Dados – Esta camada fornece a transferência confiável de informações pela da camada física; ela envia blocos de dados com o sincronismo, controle de erros, controle sequencial e controle de fluxo.

Camada 3 – Rede – Esta camada fornece camadas superiores com independência das tecnologias de transmissão e comutação de dados utilizados para conectar sistemas; ela é responsável por estabelecer, manter e encerrar conexões.

Camada 4 – Transporte – Esta camada fornece transferência confiável e transparente de dados entre pontos finais, recuperação de erros de ponta a ponta e controle de fluxo, e segmentação e remontagem de mensagens muito grandes.

Camada 5 – Sessão – Esta camada fornece a estrutura de controle para comunicação entre aplicações; ela estabelece, gerencia e encerra conexões (sessões) entre aplicações de cooperação.

Camada 6 – Apresentação – Esta camada fornece independência ao processo da aplicação das diferenças na representação de dados (sintaxe).

Camada 7 – Aplicação – Esta camada fornece acesso ao ambiente OSI para usuários e também fornece serviços de informações distribuídas.

Não é requerido que qualquer norma baseada no modelo OSI, incluindo a NBR ISO 11783, seja particionada explicitamente nas sete camadas OSI, desde que a funcionalidade fundamental seja suportada. Nem todas as camadas OSI são requeridas para a rede NBR ISO 11783, porque esta rede é um sistema de comunicações específico, suportando conjuntos específicos de aplicações para uma indústria específica.

Somente as camadas requeridas para o uso previsto são definidas na NBR ISO 11783, com uma parte separada da NBR ISO 11783 especificando cada uma das camadas e com outras partes fornecendo suporte de funcionalidade para as camadas. Em redes concordantes com a série NBR ISO 11783, muitas mensagens são transmitidas. Estas redes incluem a rede do trator (6.6.2) e a rede do implemento (6.6.3). Portanto, os dados são transmitidos na rede sem direcioná-los para um destino específico.

Esta configuração permite que qualquer função de controle utilize os dados sem utilizar mensagens de solicitação adicionais. A NBR ISO 11783 também especifica que um endereço de destino específico seja incluído no identificador rede de área de controle (CAN) da mensagem, quando uma mensagem for direcionada para uma função de controle específica. O formato da mensagem específica de destino é, portanto, diferente do formato da mensagem global de destino.

A comunicação de propriedade também é permitida na NBR ISO 11783, utilizando formatos de mensagens específicas de destino ou mensagem globais de destino. A NBR ISO 11783-2 especifica a subcamada de acesso à mídia para as ECU e a subcamada dependente do meio físico para as redes do trator e do implemento. A interface da ECU deve estar em conformidade com a subcamada de sinalização física, conforme normalizado na ISO 11898-1:2015, e a subcamada de acesso à mídia física, conforme normalizado na ISO 11898-2:2016. A rede é composta de um único cabo linear torcido quadruplamente conectado a cada ECU em um nó. Um cabo curto fornece uma conexão do nó ao cabo torcido quadruplamente para cada ECU.

Circuitos de polarização da terminação ativos são especificados para cada extremidade de um segmento de rede. A NBR ISO 11783-2 também especifica os conectores requeridos para conectar implementos a tratores, ECUs adicionais a uma rede existente instalada no equipamento e uma ferramenta de serviço na rede. A NBR ISO 11783-2 também especifica as fontes de energia requeridas para a operação da rede e suas conexões.

As ECU concordantes com a série NBR ISO 11783 devem utilizar o Formato de Estrutura Estendida CAN Clássica, definido na ISO 11898-1:2015. Os formatos de estruturas CAN FD não podem ser utilizados. A NBR ISO 11783-3 define a estrutura do identificador CAN para especificar os formatos de mensagens. Os formatos de mensagem ou unidades de dados de protocolo são utilizados para identificar o conteúdo de uma mensagem.

A NBR ISO 11783-3 especifica um campo (PF) de formato PDU de 8 bits, um campo (PS) específico PDU de 8 bits e um campo de página de dados de 2 bits que é utilizado para identificar uma PDU. Para reduzir a sobrecarga de mensagens, a NBR ISO 11783-3 especifica que um número de itens ou parâmetros de dados relativos deve ser agrupado dentro de uma PDU. A NBR ISO 11783 especifica mensagens adicionais para mensagens proprietárias do fabricante.

As mensagens que necessitam de mais 8 bytes de dados são enviadas como mensagens multipacote. A NBR ISO 11783-3 especifica um protocolo de transporte para transmitir mensagens multipacote de até 1 785 bytes de comprimento. A NBR ISO 11783-6 especifica um segundo protocolo de transporte para transmitir mensagens de 1 786 bytes até 117 megabytes.

As definições individuais do formato de mensagem da aplicação, incluindo a taxa de transmissão da mensagem, o comprimento da estrutura de dados, a página de dados, PF, PS ou DA e a prioridade padrão, são fornecidas na parte da NBR ISO 11783 que especifica a aplicação específica. Quando duas redes com diferentes arquiteturas de rede forem conectadas, o integrador do sistema conectado deve utilizar uma unidade de interligação de rede para isolar cada segmento de rede do outro.

As unidades de interligação de rede estão detalhadas na NBR ISO 11783-4. Também é possível que sistemas complexos possam requerer mais do que o limite elétrico de 30 nós, conforme especificado na NBR ISO 11783-2, em uma série NBR ISO 11783. Nestes casos, o fabricante do sistema do implemento deve utilizar unidades de interligação de rede para manter os limites de carga elétrica requeridos da rede.

Cada função de controle que se comunica na rede de dados da ABNT NBR ISO 11783 requer um endereço da fonte (SA). Se uma ECU realizar as mais de uma função de controle, um endereço é requerido para cada função de controle. Para identificar exclusivamente cada função de controle, a NBR ISO 11783-5 especifica um NAME de 64 bits. A NBR ISO 11783-5 define o processo específico para determinar os endereços de fonte e resolver quaisquer conflitos de endereço que possam ocorrer.

O SA é pré-ajustado ou dinamicamente reivindicado por cada controlador, à medida que são ativados. Um NAME deve ser designado para cada função de controle que se comunica em uma rede NBR ISO 11783. Existem exemplos, como um terminal virtual e porta de gerenciamento em uma ECU comum, onde vários NAME e endereços coexistem dentro de uma única ECU.

A base de dados da NBR ISO 11783 em http://www.isobus.net/ lista os seguintes códigos para campos de um NAME: as indústrias que utilizam especificações de gerenciamento de rede ABNT NBR ISO 11783; endereços pré-ajustados ou preferidos para funções de controle não específicas; endereços iniciais designados para equipamentos agrícolas e florestais; os NAME a serem utilizados pelas funções de controle em uma rede de dados da NBR ISO 11783; os fabricantes que fornecem ECU para operar em uma rede de dados ABNT NBR ISO 11783. Os endereços utilizados pelas funções de controle também são ilustrados.

A NBR ISO 11783 suporta dois ou mais segmentos de rede. Um segmento é identificado como a rede do trator. Este segmento é destinado a fornecer as comunicações de controle e dados para o trem de acionamentos e chassi do trator ou a unidade de energia principal em um sistema. O segundo segmento é identificado como a rede do implemento que fornece as comunicações de controle e dados entre implementos e entre implementos e o trator ou a unidade de energia principal no sistema. Uma ECU do trator é requerida para conectar à rede do trator e a rede do implemento.

Dá para medir a eficácia da segurança da informação em sua empresa?

Os criminosos digitais estão cada vez mais querendo acessar as empresas e a segurança da informação, nesse contexto, passa a ser um ponto de extrema importância ligada à estratégia corporativa. Para se ter uma ideia, estima-se que o número de ataques cibernéticos aumentou entre 30 e 40% na América Latina nos últimos anos.

Assim, para garantir um bom nível de segurança, é fundamental ter uma infraestrutura robusta. Portanto, deve-se investir em vários aspectos: arquitetura, design de um esquema de proteção, operações e práticas seguras, além de uma boa gestão de riscos.

Quanto à arquitetura, pode-se pensar na análise do projeto de uma prisão ou de uma base militar. Sempre se deve levar em consideração qual é a finalidade de um edifício. Ele abrigará réus de alta periculosidade? Que informações e objetos ficarão dentro de uma área militar?

O sistema precisa ser projetado como um todo, já que ele é formado por um conjunto de componentes que devem ser protegidos individualmente. Uma infraestrutura segura leva em conta um design geral da solução sem deixar de prestar atenção à proteção dos dados. Dessa forma, há uma segurança específica para cada um dos elementos: servidores, computadores, a rede, os componentes de comunicação, etc.

Ao configurar um serviço ou registrar um usuário, essas ações estão relacionadas a uma interação com um sistema e também devem ser feitas com segurança. Uma pessoa pode até ter um automóvel extremamente seguro e equipado com os melhores acessórios de segurança, mas acabará sofrendo um acidente se dirigir bêbado ou ultrapassar o limite de velocidade da via.

É preciso considerar as boas práticas que estabelecem qual é a melhor forma de atuar na maioria dos casos e das vezes. Precisa-se saber como são essas boas práticas e adotá-las para ter uma referência de aprimoramento.

Todas as empresas são diferentes. Cada setor tem suas próprias ameaças e exposições a riscos específicos. Por isso, é importante contar com uma referência. Quais seriam as circunstâncias de uma pequena e média empresa? Depende da área de atuação e da importância das informações com as quais essa empresa trabalha. Traçar um panorama de riscos gera certeza na hora de avaliar até que ponto deve-se otimizar o sistema e o que é preciso priorizar.

Quanto à computação na nuvem, possibilita a realização de operações seguras por causa de sua arquitetura e de seu design de soluções. A arquitetura da nuvem assemelha-se a uma fortaleza. Ela já fica armada e as operações e configurações são feitas pelo provedor, motivo pelo qual há menos exposição aos riscos.

E pode-se medir a eficácia de todo esse sistema?A NBR ISO/IEC 27004 de 04/2010 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Medição fornece as diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Esta norma é aplicável a todos os tipos e tamanhos de organizações.

O usuário deste documento precisa interpretar corretamente cada uma das formas verbais das expressões fornecidas (por exemplo: “deve”, “não deve”, “convém que”, “não convém que”, “pode”, “não precisa” e “não pode”) como sendo um requisito a ser atendido e/ou recomendações em que existe certa liberdade de escolha. Convém que seja consultado o Anexo A da ISO/IEC 27000:2009 para esclarecimentos adicionais.

Esta norma fornece diretrizes para elaboração e uso de medidas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e de controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Isto inclui a política, gestão de riscos de segurança da informação, objetivos de controles, controles, processos e procedimentos, e apoio ao processo de sua revisão, ajudando a determinar se algum processo ou controle do SGSI precisa ser modificado ou melhorado.

É necessário lembrar que nenhuma medição de controles pode garantir segurança completa. A implementação desta metodologia constitui um Programa de Medição de Segurança da Informação. O Programa de Medição de Segurança da Informação vai apoiar a gestão na identificação e avaliação de processos e controles do SGSI ineficazes e não conformes e na priorização de ações associadas com a melhoria ou modificação desses processos e/ou controles.

Também pode auxiliar a organização na demonstração da conformidade com a NBR ISO/IEC 27001 e prover evidências adicionais para os processos de análise crítica pela direção e de gestão de riscos em segurança da informação. Esta norma assume que o ponto de partida para o desenvolvimento das medidas e medições é o entendimento claro dos riscos de segurança da informação que a organização enfrenta e que as atividades de análise de riscos da organização têm sido executadas corretamente (por exemplo, baseada na NBR ISO/IEC 27005), conforme requerido pela NBR ISO/IEC 27001.

O Programa de Medição de Segurança da Informação encorajará que uma organização forneça informações confiáveis às partes interessadas pertinentes relacionadas com os riscos de segurança da informação e com a situação do SGSI implementado para gerenciar esses riscos. Se for eficazmente implementado, o Programa de Medição de Segurança da Informação aumentará a confiança das partes interessadas nos resultados das medições e possibilitará às partes interessadas a usarem essas medidas para realizar a melhoria contínua da segurança da informação e do SGSI.

Os resultados acumulados de medição permitirão a comparação do progresso em atingir os objetivos de segurança da informação sobre um período de tempo como parte de um processo de melhoria contínua do SGSI da organização. A NBR ISO/IEC 27001 exige que a organização “realize análises críticas regulares da eficácia do SGSI levando em consideração os resultados da eficácia das medições” e que “meça a eficácia dos controles para verificar se os requisitos de segurança da informação foram alcançados”.

A NBR ISO/IEC 27001 também exige que a organização “defina como medir a eficácia dos controles ou grupo de controles selecionados e especifique como essas medidas devem ser usadas para avaliar a eficácia dos controles para produzir resultados comparáveis e reproduzíveis”. A abordagem adotada por uma organização para atender os requisitos de medição especificados na NBR ISO/IEC 27001 vai variar de acordo com o número de fatores significantes, incluindo os riscos de segurança da informação que a organização enfrenta, o tamanho da organização, recursos disponíveis, e requisitos legais, regulatórios e contratuais aplicáveis.

A seleção e a justificativa criteriosa do método usado para atender aos requisitos de medição são importantes para assegurar que recursos em excesso não sejam direcionados a estas atividades do SGSI em detrimento de outras. Em condições ideais, as atividades de medição em curso devem ser integradas nas operações normais da organização com um acréscimo mínimo de recursos.

Os objetivos da medição de Segurança da informação no contexto de um SGSI incluem: avaliar a eficácia dos controles ou grupos de controles implementados (ver “4.2.2 d)” na Figura 1); avaliar a eficácia do SGSI implementado (ver 4.2.3 b)” na Figura 1); verificar a extensão na qual os requisitos de segurança da informação identificados foram atendidos (ver “4.2.3 c)” na Figura 1); facilitar a melhoria do desempenho da segurança da informação em termos dos riscos de negócio globais da organização; fornecer entradas para a análise crítica pela direção para facilitar as tomadas de decisões relacionadas ao SGSI e justificar as melhorias necessárias do SGSI implementado.

A Figura 1 ilustra o relacionamento cíclico de entrada e saída das atividades de medição em relação ao ciclo Planejar-Fazer-Checar-Agir (PDCA), especificado na NBR ISO/IEC 27001. Os números em cada figura representam as subseções relevantes da NBR ISO/IEC 27001:2006.

Clique nas figuras para uma melhor visualização

Convém que a organização estabeleça objetivos de medição baseados em certas considerações, incluindo: o papel da segurança da informação em apoiar as atividades globais da organização e os riscos que ela encara; requisitos legais, regulatórios e contratuais pertinentes; estrutura organizacional; custos e benefícios de implementar as medidas de segurança da informação; critério de aceitação de riscos para a organização; e a necessidade de comparar diversos SGSI dentro da própria organização. Convém que uma organização estabeleça e gerencie um Programa de Medição de Segurança da Informação, a fim de alcançar os objetivos de medição estabelecidos e adotar um modelo PDCA nas atividades de medição globais da organização.

Também convém que uma organização desenvolva e implemente modelos de medições, a fim de obter resultados repetitivos, objetivos e úteis da medição baseado no Modelo de Medição da Segurança da Informação (ver 5.4). Convém que o Programa de Medição de Segurança da Informação e o modelo de medição desenvolvidos assegurem que uma organização alcance efetivamente os objetivos e as medições de forma repetitiva e forneça os resultados das medições para as partes interessadas pertinentes de modo a identificar as necessidades de melhorias do SGSI implementado, incluindo seu escopo, políticas, objetivos, controles, processos e procedimentos.

Convém que um Programa de Medição de Segurança da Informação inclua os seguintes processos: desenvolvimento de medidas e medição (ver Seção 7); operação da medição (ver Seção 8); relato dos resultados da análise de dados e da medição (ver Seção 9); e avaliação e melhoria do Programa de Medição de Segurança da Informação (ver Seção 10). Convém que a estrutura organizacional e operacional de um Programa de Medição de Segurança da Informação seja determinada levando em consideração a escala e a complexidade do SGSI do qual ele é parte.

Em todos os casos, convém que os papéis e responsabilidades para o Programa de Medição de Segurança da Informação sejam explicitamente atribuídos ao pessoal competente ( ver 7.5.8). Convém que as medidas selecionadas e implementadas pelo Programa de Medição de Segurança da Informação, estejam diretamente relacionadas à operação de um SGSI, a outras medidas, assim como aos processos de negócio da organização.

As medições podem ser integradas às atividades operacionais normais ou executadas a intervalos regulares determinados pela direção do SGSI. Assim, o Modelo de Medição de Segurança da Informação é uma estrutura que relaciona uma necessidade de informação com os objetos relevantes da medição e seus atributos. Objetos de medição podem incluir processos planejados ou implementados, procedimentos, projetos e recursos.

O Modelo de Medição de Segurança da Informação descreve como os atributos relevantes são quantificados e convertidos em indicadores que fornecem uma base para a tomada de decisão. A Figura 2 mostra o modelo de medição de Segurança da Informação.

Uma medida básica é a medida mais simples que pode ser obtida. A medida básica resulta da aplicação do método de medição aos atributos selecionados de um objeto de medição. Um objeto de medição pode ter muitos atributos, dos quais somente alguns podem fornecer valores úteis a serem atribuídos a uma medida básica. Um dado atributo pode ser usado para diversas medidas básicas.

Um método de medição é uma sequência lógica de operações usadas para quantificar um atributo de acordo com uma escala especificada. A operação pode envolver atividades, tais como a contagem de ocorrências ou observação da passagem do tempo. Um método de medição pode aplicar atributos a um objeto de medição.

Exemplos de um objeto de medição incluem mas não estão limitados a: desempenho dos controles implementados no SGSI; situação dos ativos de informação protegidos pelos controles; desempenho dos processos implementados no SGSI; comportamento do pessoal que é responsável pelo SGSI implementado; atividades de unidades organizacionais responsáveis pela segurança da informação; e grau da satisfação das partes interessadas.

Um método de medição pode usar objetos de medição e atributos de variadas fontes, tais como: análise de riscos e resultados de avaliações de riscos; questionários e entrevistas pessoais; relatórios de auditorias internas e/ou externas; registros de eventos, tais como logs, relatórios estatísticos, e trilhas de auditoria; relatórios de incidentes, particularmente aqueles que resultaram na ocorrência de um impacto; resultados de testes, por exemplo, testes de invasão, engenharia social, ferramentas de conformidade, e ferramentas de auditoria de segurança; ou registros de segurança da informação da organização relacionados a programa e procedimentos, por exemplo, resultados de treinamentos de conscientização em segurança da informação.

Uma medida derivada é um agregado de duas ou mais medidas básicas. Uma dada medida básica pode servir como entrada para diversas medidas derivadas. Uma função de medição é um cálculo usado para combinar medidas básicas para criar uma medida derivada. A escala e a unidade da medida derivada dependem das escalas e unidades das medidas básicas das quais ela é composta, assim como da forma como elas são combinadas pela função de medição.

A função de medição pode envolver uma variedade de técnicas, como média de medidas básicas, aplicação de pesos a medidas básicas, ou atribuição de valores qualitativos a medidas básicas. A função de medição pode combinar medidas básicas usando escalas diferentes, como porcentagens e resultados de avaliações qualitativas. Um exemplo do relacionamento de elementos adicionais na aplicação do modelo de medição de Segurança da informação, por exemplo, medidas básicas, função de medição e medidas derivadas são apresentadas na Tabela 2.

Um indicador é uma medida que fornece uma estimativa ou avaliação de atributos especificados derivados de um modelo analítico de acordo com a necessidade de informação definida. Indicadores são obtidos pela aplicação de um modelo analítico a uma medida básica e/ou derivada, combinando-as com critérios de decisão. A escala e o método de medição afetam a escolha das técnicas analíticas utilizadas para produzir os indicadores. Um exemplo de relacionamentos entre medidas derivadas, modelo analítico e indicadores para o modelo de medição de Segurança da informação é apresentado na Tabela 3.

Se um indicador for representado em forma gráfica, convém que possa ser usado por usuários visualmente debilitados e que cópias monocromáticas possam ser feitas. Para tornar a representação possível, convém que ela inclua cores, sombreamento, fontes ou outros métodos visuais.

Os resultados de medição são desenvolvidos pela interpretação de indicadores aplicáveis baseados em critérios de decisão definidos e convém que sejam considerados no contexto global dos objetivos de medição para avaliação da eficácia do SGSI. O critério de decisão é usado para determinar a necessidade de ação ou investigação futura, bem como para descrever o nível de confiança nos resultados de medição.

Os critérios de decisão podem ser aplicados a uma série de indicadores, por exemplo, para conduzir análise de tendências baseadas em indicadores recebidos a intervalos de tempo diferente. Alvos fornecem especificações detalhadas para desempenho, aplicáveis à organização ou partes dela, derivados dos objetivos de segurança da informação tais como os objetivos do SGSI e objetivos de controle, e que precisam ser definidos e atendidos para se alcançar esses objetivos.

A certificação de cabeamento é mais necessária que nunca

Richard Landim

O atual cenário de crise econômica que o país enfrenta demandou uma reestruturação dos orçamentos de TI. Reduzir custos é a prioridade número um das empresas, que precisam tomar decisões difíceis para reduzir despesas operacionais e de capital. No entanto, neste processo, é fundamental que os gerentes de TI não se esqueçam de que uma infraestrutura de rede saudável está diretamente ligada à produtividade, eficiência e expansão de serviços.

Uma opção tentadora para reduzir as despesas de TI pode ser adiar a manutenção. Embora nenhuma organização prorrogue uma manutenção realmente crítica, existem tarefas que podem ser adiadas, pois estão em uma zona cinzenta que pode ser considerada “opcional”. Trafegar nessas decisões não é fácil, mas seria um grave erro suspender os testes da fundação de cada rede: seu cabeamento de cobre e fibra.

O teste mais completo para o cabeamento de rede é a certificação. A certificação prova que um sistema de cabos adere a rigorosos padrões de desempenho e de execução da instalação, por isso, este procedimento requer técnicos treinados e equipamentos de teste especializados. Este é um esforço caro que pode ser adiado, certo? Errado.

O cabeamento é responsável por metade de todas as falhas na rede. Ao certificá-lo, as falhas são significativamente reduzidas. Em tempos financeiramente desafiadores, este é um benefício crucial que pode ser potencializado de seis maneiras.

Certificar é mais barato que reparar – A certificação de cabos de cobre e fibra previne problemas. Sem ela os reparos devem ser feitos em uma rede ativa ou pior, em uma rede que está sofrendo uma interrupção. O tempo de inatividade da rede resulta em perda de receita e produtividade, redução de serviço ao cliente e desvantagem competitiva. Um estudo do Gartner estimou que uma hora de inatividade de uma rede corporativa custa, em média US$ 42.000, dependendo da indústria. Se uma empresa é desafiada a melhorar seu tempo de atividade anual de 99,9% para 99,99%, ela precisa reduzir o tempo de inatividade por oito horas. Usando a estimativa do Gartner sobre o custo de inatividade, isso gera uma economia para a empresa de US$ 336.000 por ano. Mas como se chega lá? Há muitas causas de inatividade. Um estudo do Gartner/Dataquest apontou que o erro humano e de aplicação são responsáveis por 80% das falhas. Mas se a rede representa apenas 20% da causa, ela responde por US$ 67.000 da exposição. Compare isso com o custo da certificação. Uma rede com 600 linhas de cobre Categoria 6 passa por testes de certificação. Uma suposição realista é que 5% dos links falham no teste inicial e devem ser reparados e testados novamente. Usando um certificador de cabo moderno todo o processo levaria aproximadamente 11 horas. A uma taxa comercial de R$50 por hora, a despesa será de R$600. R$600 de despesa para economizar US$67.000. O caso de sucesso da certificação é auto evidente.

As garantias do produto estão limitadas – Em tempos difíceis um proprietário de rede pode ser tentado a usar a garantia de um fabricante por segurança. Isso é compreensível uma vez que a maioria dos fabricantes de cabos e conectores oferecem boas garantias e estão por trás de seus produtos. Entretanto, esses fabricantes não podem garantir a instalação final. A qualidade de uma instalação de cabos está em grande parte nas mãos dos instaladores. Se a habilidade do profissional é fraca, mesmo produtos excelentes falham. As falhas e problemas associadas à rede estão fora do escopo de uma garantia de hardware, de modo que o proprietário da rede e o instalador devem negociar a correção. A única maneira de assegurar que a obra do instalador atenda aos padrões e que as melhores práticas sejam seguidas é através dos testes de certificação. A certificação dá a proteção necessária contra custos imprevistos ao proprietário da rede e, quando os ventos da economia estão desfavoráveis, essa proteção é sempre bem-vinda.

Certificação e recertificação serão a prova de futuro da infraestrutura – Você pode acreditar que um cabo, após instalado e certificado, nunca mais precisará de atenção. Isso pode ser imprudente. Uma planta de cabeamento recertificada pode provar ser compatível com o tráfego de alta velocidade que é implantado anos após o cabo ser instalado pela primeira vez. Quão importante é o suporte para velocidades mais altas? De acordo com um levantamento de datacenters pela empresa de pesquisa BSRIA, a tecnologia multigigabit é comum agora.

Quais são as implicações disto? O cabo de cobre da categoria 6 foi projetado para suportar uma taxa de dados de 1 Gigabit por segundo. Os recentes testes de certificação em campo indicam que boa parte do cabo Cat 6 usado nos datacenters está em conformidade com o padrão 10GBASE-T e pode suportar o serviço de 10 Gigabit em distâncias curtas a moderadas. Se você recertificar o cabo Cat 6 em seu datacenter pode encontrar um caminho eficiente para uma taxa de transferência de 10X, evitando alguns ou todos os custos de substituição de cabeamento. Além disso, quando a demanda por serviços de TI repercutir, a planta de cabos recertificados estará pronta para suportar novos equipamentos e expandir os serviços.

Cabeamento não certificado = Capital subutilizado – É um fato: recessões agitam o mercado, especialmente o imobiliário. Quando um novo inquilino entra em um edifício o estado de seu cabeamento apresenta uma série de questões. Quantos anos têm? Funciona? Para que foi usado? Quando? O novo inquilino pode ver a essa quantidade de cabos de cobre e/ou fibra como um mistério e não como algo bom. Certificar 200 links de cabos custará menos de R$ 1000. A instalação de 200 novas linhas do novo cabo Cat 6 custará de R$ 5.000 a R$ 10.000. A escolha para o locatário é fácil. A certificação é sinônimo de capital poupado para os proprietários de edifícios e inquilinos. A falta de certificação transforma o cabeamento legado em capital subutilizado: dinheiro gasto que não pode ser recuperado.

Reduzir resíduos é uma boa política – O argumento econômico para estender a vida dos cabos já foi descrito, mas pode não ser o pior caso. O Código Elétrico Nacional (NEC 2002) requer a remoção de cabos abandonados que não sejam identificados para uso futuro. Sem certificação, o custo do cabo legado pode incluir a despesa com a remoção e reciclagem dos cabos e/ou o impacto ambiental da eliminação. Maximizar o uso de cabos de cobre e fibra existentes é uma política de negócios consistente. Quando devidamente conservado tem uma longa vida útil. Com orçamentos limitados exigindo maior eficiência, faz sentido usar a certificação para implementar os três pilares da gestão ambiental: Reduzir, Reutilizar e Reciclar.

Comprador cauteloso – Uma tendência inquietante na indústria de cabos refere-se a produtos das categorias 5, 6 e 6A. Estes cabos são muitas vezes fabricados fora do país e é mais barato se comparado ao de grandes fabricantes. Infelizmente, muito destes cabos baratos são produzidos com materiais inferiores e em processos de fabricação questionáveis. Em 2008, a Communications Cable & Connectivity Association testou nove marcas de cabos sem nome em comercialização no mercado. Nenhuma delas atingiu porém os requisitos físicos definidos no TIA 568-B.2; apenas cinco atenderam aos padrões de teste elétrico determinados no TIA 568-B.2; e somente uma atende aos pré-requisitos de segurança definidos pelas normas UL 1666 e NFPA 262.

Mas como esse cabo tão fraco chega ao mercado? Isso acontece porque as agências de segurança realizam testes aleatórios na fábrica e não no campo. O abismo no processo de qualidade deixa os usuários finais expostos a riscos de segurança e desempenho totalmente evitáveis. Para assegurar que não haja prejuízo ou riscos ocultos com cabos Cat 5, 6 e 6A de baixo custo, as empresas e instaladores devem se certificar de que o cabeamento esteja de acordo com os padrões da indústria.

Em suma, o cabeamento certificado tem muito mais valor. E pode variar dependendo da aplicação e da empresa. Considere as armadilhas dos cabos não certificados. Considere o trade-off entre os testes e “espere o melhor”. A esperança é raramente uma boa estratégia e, em uma economia desafiadora, é ainda mais perigosa.

Richard Landim é especialista de produtos da Fluke Networks Brasil.

A gestão do conhecimento dos serviços de telessaúde conforme a ABNT ISO/TS13131

A telemedicina ou telessaúde é a oferta de serviços ligados aos cuidados com a saúde, nos casos em que a distância é um fator crítico, ampliando a assistência e também a cobertura. Tais serviços são fornecidos por profissionais da área da saúde, usando tecnologias de informação e de comunicação (TIC) para o intercâmbio de informações válidas para promoção, proteção, redução do risco da doença e outros agravos e recuperação.

Além de possibilitar uma educação continuada em saúde de profissionais, cuidadores e pessoas, assim como facilitar as pesquisas, avaliações e gestão da saúde. A telemedicina ou telessaúde são termos amplamente utilizados para representar o uso de tecnologias de telecomunicação e de informação para suportar serviços, treinamento e informação em saúde para provedores de assistência médica e pacientes.

A essência dessas áreas é a oferta de serviços e informação médicos para indivíduos em suas próprias comunidades excluindo a necessidade de locomoção para os centros de referência. Dessa maneira, emergem como novas ferramentas significativas para transpor as barreiras culturais, socioeconômicas e geográficas para os serviços e informação em saúde em centros urbanos remotos e comunidades carentes. Seus benefícios incluem acesso local a especialistas, melhoria na assistência primária em saúde e o aumento da disponibilidade de recursos para a educação médica e informação em saúde em comunidades desprovidas de recursos.

A ABNT ISO/TS 13131 de 12/2016 Informática em saúde – Serviços de telessaúde – Diretrizes para o planejamento de qualidade descreve o número crescente de iniciativas em vários países em todo o mundo, na maior parte de pequena escala, de projetos de telessaúde, telemedicina ou saúde móvel. Ainda não é claro quando convém utilizar os termos telessaúde ou telemedicina para descrever tais iniciativas, pois estes termos podem ser descritos e interpretados de diferentes maneiras na ausência de um conceito unificado.

Segundo a norma, a telessaúde usa as tecnologias de informação e comunicação, com a finalidade de prestar assistência à saúde e transmitir a informação sobre saúde tanto em longas distâncias quanto em curtas distâncias. Como exemplo, a telessaúde pode utilizar tecnologias de informação e comunicação para transmitir vídeo, voz, dados, imagens e outras formas de informação. Pode ser utilizada para conectar distâncias curtas ou longas. Também, é possível que diferenças em relação a tempo sejam superadas, utilizando a comunicação assíncrona.

É possível que, antecedendo ou sucedendo a transmissão, dados ou informações sejam processados com a finalidade de melhorar o serviço de telessaúde. A norma fornece as diretrizes e as recomendações e não se destina a ser utilizada para certificação ou fins de regulação ou contratuais.

O projeto e a implementação de frameworks de gerenciamento de risco, segurança e gerenciamento de qualidade específicos para telessaúde devem levar em conta as necessidades variadas de uma organização específica, seus objetivos particulares, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços, ou ativos e práticas específicas empregadas. Esta Especificação Técnica fornece objetivos de qualidade genéricos e diretrizes para serviços de telessaúde que podem ser adotados conforme requeridos para aplicação por diferentes organizações e serviços.

Recomenda-se que esta Especificação Técnica seja utilizada de forma suplementar a padrões nacionais e internacionais já existentes e diretrizes para segurança, qualidade e gerenciamento de risco no segmento da saúde. Em particular, o uso de outros padrões, quando aplicados em ambientes de telessaúde, é incentivado, incluindo as NBR ISO 13485 e IEC/ISO 80001.

Muitas organizações de assistência à saúde têm implantado sistemas de gestão da qualidade para gerenciar ativamente a segurança do paciente, bem como a qualidade da assistência prestada. Estes sistemas baseiam-se nos princípios e processos de gestão de qualidade descritos nas NBR ISO 9000, NBR ISO 9001 e NBR ISO 9004. Em particular, esta Especificação Técnica adota a recomendação da NBR ISO 9004 para utilizar a NBR ISO 31000, de forma a ajudar as organizações a identificarem, avaliarem e gerenciarem riscos durante o desenvolvimento adequado de objetivos de qualidade para serviços de telessaúde.

Objetivos organizacionais, estratégias, escopo e parâmetros dos serviços prestados por uma organização devem ser estabelecidos em conformidade com a NBR ISO 31000. Os riscos que podem impedir o alcance dos objetivos organizacionais podem ser identificados através da análise de fatores externos e internos à organização.

As orientações da BR ISO 31000 requerem que estes riscos sejam analisados e priorizados e que tratamentos apropriados sejam estabelecidos. Em um sistema de gestão da qualidade, estes tratamentos de risco podem, então, tornar-se a base para objetivos de qualidade que são utilizados para controlar os riscos identificados.

A NBR ISO 9004 recomenda que uma organização possa identificar os recursos internos e externos que são necessários para o alcance dos objetivos organizacionais no curto e no longo prazos. Esta Especificação Técnica apoia o uso desta recomendação ao derivar diretrizes e objetivos genéricos de qualidade para os serviços de telessaúde.

Os objetivos e as diretrizes desta Especificação Técnica dão suporte à gestão financeira e da qualidade, planejamento de serviços, planejamento de mão de obra, planejamento em assistência médica, responsabilidades organizacionais de assistência à saúde, instalações, tecnologia e gestão da informação para fornecer cuidados à saúde e transmitir informação em saúde. Não oferece aconselhamento para a plena implementação da NBR ISO 9004 em um contexto de telessaúde.

A telessaúde pode apoiar uma ampla gama de atividades de cuidados em saúde, as quais não se restringem apenas aos receptores dos tratamentos de saúde. Em geral, os serviços de telessaúde visam apoiar características de qualidade de cuidados em saúde que melhorem a qualidade de vida e do atendimento para os beneficiários da assistência. As características de qualidade consideradas por esta Especificação Técnica incluem: acessibilidade, prestação de contas, adequação, competência, confidencialidade, continuidade, confiabilidade, eficiência, eficácia, inclusividade, segurança, transparência e usabilidade.

Em geral, recomenda-se que as características de qualidade desejáveis para a prestação de serviços de saúde sem o uso de telessaúde também sejam aplicadas em situações em que a telessaúde é utilizada. Algumas características de qualidade podem ser mais importantes a considerar quando a telessaúde é utilizada para a prestação de serviços de saúde.

Quanto à gestão de características de qualidade, convém que uma organização possua sistema de gestão da qualidade para definir e monitorar as características de qualidade requeridas pelos serviços de telessaúde. Convém que os processos que impactam a gestão da qualidade, gestão financeira, planejamento de serviços, planejamento da força de trabalho, planejamento de cuidados de saúde, responsabilidades na organização de saúde, instalações, tecnologia e gerenciamento de informações sejam analisados quanto aos riscos identificáveis que podem afetar uma gama de características de qualidade, como a acessibilidade, prestação de contas, adequação, competência, confidencialidade, continuidade, confiabilidade, eficiência, eficácia, inclusividade, segurança, transparência e usabilidade.

Normalmente, apenas um pequeno número dessas características será relevante para o desenvolvimento de uma diretriz de qualidade individual. Convém que o processo para derivar objetivos de qualidade e diretrizes para a organização, pessoas, instalações e informações utilizados na prestação de serviços de telessaúde siga o processo de avaliação de risco descrito na NBR ISO 31000:2009, Seção 5, conforme mostrado na figura abaixo.

Clique para uma melhor visualização

Convém que a organização estabeleça o contexto no qual um serviço de telessaúde vai operar no ambiente externo, no ambiente da organização interna, assim como as características de qualidade desejadas para o serviço. A telessaúde se refere aos cenários nos quais os atores de assistência à saúde em várias localidades cooperam ativamente em um processo particular de saúde ou de assistência à saúde.

A telessaúde está relacionada com processos e subprocessos nos quais pelo menos dois atores de assistência à saúde estão ativamente envolvidos. Também é possível que um dos atores seja o supervisor de uma aplicação técnica, como no caso de uma operação remota, ou um sistema digital de análise.

É esperado que a telessaúde melhore a qualidade de saúde e de assistência à saúde, por exemplo, porque profissionais de saúde terão informações de saúde sobre o receptor dos cuidados disponíveis no local certo e no tempo certo, e eles terão melhor acesso para apoiar especialistas médicos. O receptor de cuidados pode ser monitorado em sua casa e receber aconselhamento sem a necessidade de viajar até um consultor de saúde, um profissional de saúde ou organização, que também tenha acesso facilitado à informação de saúde e educação para apoiar o autocuidado.

A identificação de risco é o processo de descoberta, reconhecimento, e identificação de riscos que pode impedir o alcance das características de qualidade requeridas para um serviço de telessaúde através da análise dos processos externos e internos à organização de assistência à saúde. A identificação de riscos requer a análise dos processos que ocorrem no gerenciamento de qualidade, estratégia, política e recursos, incluindo o gerenciamento financeiro, planejamento de serviços, planejamento de equipe, responsabilidades da organização de assistência à saúde, instalações, gerenciamento de tecnologia e informação. Alguns exemplos ilustrativos são fornecidos no Anexo A.

Os problemas na legislação. Não existe provisão no atual código de ética médica para medicina à distância e uma conscientização ou cultura para o uso da telemedicina. Há resistência dos conselhos éticos e profissionais, pois não existe pagamento para procedimentos telemédicos, havendo ainda uma reação à quebra de divisão de territórios e competências e a resistência à segunda opinião médica.

A orientação ética para o exercício da medicina advém do Código de Ética Médica (CEM), promulgado pela resolução nº 1 246 (de 8 de janeiro de 1988) do Conselho Federal de Medicina (CFM). Esse código contém alguns artigos relacionados ao exercício da telemedicina.

Artigo 62: É vedado ao médico prescrever tratamento ou outros procedimentos sem exame direto do paciente, salvo em casos de urgência e impossibilidade comprovada de realizá-lo, devendo, nesse caso, fazê-lo imediatamente cessado o impedimento. Artigo 102: É vedado ao médico revelar informações sobre os pacientes sem o consentimento dos mesmos, exceto em situações que possam se configurar como dever legal ou justa causa. A proibição permanece em situações que chegam a juízo, bem como nas solicitações das seguradoras. Artigo 104: É vedado ao médico fazer referência a casos clínicos identificáveis, exibir pacientes ou seus retratos em anúncios profissionais ou na divulgação de assuntos médicos. Artigo 108: É vedado ao médico facilitar o manuseio e conhecimento dos prontuários, papeletas e demais folhas de observações médicas sujeitas ao segredo profissional, por pessoas não obrigadas ao mesmo compromisso. Artigo 134: É vedado ao médico dar consulta, diagnóstico ou prescrição por intermédio de qualquer veículo de comunicação de massa.

Enfim, o Ministério da Saúde, atento a este novo cenário na saúde, vem publicando resoluções sobre a temática desde a criação da Comissão Permanente em Telemedicina e Telessaúde, em 2006. Além disso, o Conselho Federal de Medicina publicou a Resolução nº 1.643, em 2002 que discorre sobre a boa prática em Telemedicina; nesta Resolução fica clara a necessidade do consentimento informado pelo paciente para a utilização da Telemedicina e, sobretudo, a responsabilidade do médico presencial no atendimento ao paciente, assegurando a relação médico e paciente, bem como a corresponsabilidade do médico remoto no atendimento ao paciente, dentre outros coisas.

Na verdade, os serviços de telessaúde dependem das tecnologias de informação e comunicação para oferecer assistência à saúde e transmitir informação relativa à saúde tanto através de longa como de curta distância. Uma vez que essas tecnologias são parte do processo de assistência à saúde, convém que os objetivos de qualidade sejam estabelecidos para o serviço de suporte de tecnologia de informação e comunicação, oferta de serviços, gerenciamento de infraestrutura, gerenciamento de distribuição, gerenciamento de operações e suporte técnico.

Algumas organizações que oferecem serviços de saúde utilizando telessaúde podem depender de serviços de gerenciamento de tecnologia de um provedor externo de TIC ou de um grande provedor interno. Nestes casos, convém que os procedimentos de qualidade incluam definição de acordos de nível de serviços com estes provedores.

Por exemplo, a relação entre a organização de assistência à saúde e o fornecedor externo de TIC seja definida em um acordo de nível de serviço que especifique que, quando um problema ocorre com um equipamento, a organização de assistência à saúde comunique o fato ao provedor e o provedor tenha um sistema de acompanhamento pós-venda para detectar deficiências que ocorram após a implantação do equipamento ou do dispositivo. Uma infraestrutura de TIC de uso geral, incluindo equipamentos, software e comunicações, pode ser usada para dar suporte aos serviços de telessaúde.

Neste caso, convém que a organização de assistência à saúde ou organização de suporte à assistência à saúde definam acordos adequados de nível de serviços com os fornecedores relevantes. As características de qualidade relevantes para o gerenciamento de equipamentos, dispositivos e tecnologia utilizados para serviços de telessaúde pelas organizações de assistência à saúde são: prestação de contas, continuidade, confiança, eficácia, eficiência, segurança, transparência e usabilidade.

Impasse nas redes sociais

Normas comentadas

NBR 14039 – COMENTADA de 05/2005 – Instalações elétricas de média tensão de 1,0 kV a 36,2 kV – Versão comentada.

Nr. de Páginas: 87

NBR 5410 – COMENTADA de 09/2004 – Instalações elétricas de baixa tensão – Versão comentada.

Luiz Gonzaga Bertelli é presidente do Conselho de Administração do CIEE

Saudadas como uma das maiores contribuições da tecnologia para a democratização da informação, já há algum tempo as redes sociais têm a credibilidade arranhada em razão da difusão de boatos, desinformações e até difamação. Até recentemente a reação se resumia a alertas para evitar perigos no compartilhamento de mensagens.

O impasse continuou até que o presidente dos Estados Unidos, Barack Obama, endossou as acusações de que os boatos que pipocaram no Facebook favoreceram a eleição de Donald Trump, em detrimento de Hilary Clinton. Poderia parecer só choradeira de perdedores de eleição, se o próprio Mark Zuckerberg, presidente executivo da rede social, desta vez não viesse a público anunciar a adoção de um pacote de recursos para coibir a disseminação de notícias falsas. Análises de conteúdos suspeitos por agências especializadas em checagem de dados servirão de base para a colocação de uma espécie de selo de alerta sobre notícias falsas, sem que elas sejam retiradas da rede.

Pode parecer pouco para evitar os danos que as inverdades – não importa se transmitidas de boa ou de má fé – podem causar, numa rede social acessada por 1,8 bilhão de usuários ativos em todo o mundo. Mas já é um primeiro passo, prudente e cauteloso, na tentativa de equacionar uma saída para o impasse, que coloca de um lado a oportunidade ímpar de democratizar a informação, dando voz a todos, e de outro a necessidade de preservar a privacidade, a imagem e o sigilo de dados pessoais, empresariais e governamentais, entre outros pontos.

Aliás, conciliar esses interesses é o grande desafio imposto aos legisladores, às empresas de redes sociais e aos próprios usuários.  É o preço a pagar por revoluções que vêm para alterar substancialmente as relações sociais e individuais. Mas, como ensina a história, a mesma criatividade humana que gera as inovações sempre se mostra, com o tempo, capaz de encontrar instrumentos para disciplinar seu uso, com o menor dano possível aos benefícios que proporcionam a todos.

Keiper: o Target GEDWEB faz parte dos processos de melhoria da empresa

Líder no mercado de reclináveis e trilhos de assentos automotivos, a Keiper desenvolve produtos exclusivos para as principais montadoras e autopeças no Brasil. A empresa utiliza em seus processos produtivos o Target GEDWEB como parte de sua qualidade e na melhoria contínua de seus produtos.

Desde 1979 no Brasil, a Keiper iniciou suas atividades com a produção de reclináveis e, em 1982, fechou o primeiro contrato para o fornecimento desses produtos para a Volkswagen. Em 1985, as operações foram transferidas para Diadema (SP) e, após quatro anos, participou de um projeto da General Motors. Em 1994, a companhia inaugurou sua filial em Caçapava (SP) e no mesmo ano tornou-se pioneira na adoção da produção just in time (sistema produtivo que determina que nada deve ser produzido, transportado ou comprado antes da hora certa).

Em 1997, transferiu suas atividades para o bairro de Ipiranga, na cidade de São Paulo, e iniciou a produção dos reclináveis patenteados Taumel 2000®. Três anos depois, em 2000, a companhia passou a produzir, em caráter de exclusividade, os componentes para um projeto global da General Motors. Em 2001, desenvolveu e iniciou o fornecimento de estruturas para os bancos dos modelos Ford Fiesta e Ford EcoSport (Projeto Ford Amazon). No ano seguinte, a companhia iniciou a produção no Brasil de sistemas modulares de trilhos (KS) e de reclináveis Lever 2000® para o Ford Ranger.

Os produtos são modulares, ou seja, de fácil instalação.

Em 2004, expandiu suas operações e inaugurou uma fábrica em São José dos Pinhais (PR) para a produção do Fox LAM e FOX Europa. No ano seguinte, a empresa foi selecionada para trabalhar em parceria com a Honda (FIT), Mitsubishi (L200) e Toyota (Corolla).

Em 2007, iniciou a produção de trilhos Power para a Fiat. Em 2009, a subsidiária brasileira celebrou 30 anos de atividades no país e inaugurou a fábrica em Mauá, que recebeu 12 das linhas de produção que até então estavam instaladas no Ipiranga.

Fabio dos Santos: “a Keiper sempre buscou a melhoria contínua e o fornecimento de produtos com foco na qualidade”.

Segundo Fábio Melo dos Santos, técnico de engenharia, a empresa é líder no mercado de reclináveis e trilhos de assentos automotivos, sendo certificada na NBR ISO 14001:2004, NBR ISO/TS 16949:2002 e VDA 6.3. “Esses certificados comprovam a nossa busca pela melhoria contínua e fornecimento de produtos com foco na qualidade, competitividade e sustentabilidade no desenvolvimento e na produção de componentes para bancos automotivos, como trilhos, mecanismos reclináveis, módulos de complemento e estruturas metálicas dianteiras e traseiras”, explica.

Ele acrescenta que, para gerenciar os seus processos produtivos, todo o banco de dados era gerenciado pela matriz alemã, tanto para os desenhos 2 D ou 3 D como para as normas técnicas. “Para as normas NBR, a gente utilizava o Target Cewin que permitia, de uma maneira fácil e eficiente, a organização de normas técnicas brasileiras e do Mercosul. Como a Keiper deixou de fazer parte do grupo alemão, tivemos que criar os meios para fazer todo esse gerenciamento. Foi feita uma pesquisa de mercado na internet, sendo cotado com a Target e outra empresa, e as condições oferecidas pela Target foram as que melhor se adaptaram à Keiper. Ou seja, em relação ao serviço oferecido, ao investimento a ser feito, etc. e tudo isso levou à opção do Target GEDWEB”.

Atualmente, em média cerca de 50 usuários usam o sistema, coordenado pelo Fábio Santos. “Na verdade, a ferramenta é bem fácil de trabalhar e quase todas as dúvidas são solucionadas sem precisar do suporte da Target. Na maioria das vezes, sob a minha orientação, os problemas são resolvidos internamente. Além disso, a gente pode acessar o sistema com tablets e smartphones em qualquer lugar, bastando uma conexão à internet”.

Apesar da aparente e intencional simplicidade da interface do sistema, a complexidade e a criticidade das informações gerenciadas, como os documentos críticos externos, os documentos críticos internos e os documentos críticos complementares, tornam o sistema Target GEDWEB essencial para as empresas, gerenciando os riscos regulamentares (mitigando e até dirimindo), diminuindo custos operacionais, de produção, de controle de conformidades, etc. “Mesmo com toda a sua simplicidade de uso, em relação à padronização para as consultas às normas que são documentos muito importantes para o sistema produtivo da Keiper. Porém, o mais fundamental é que todos usam os documentos no mesmo nível de revisão e tudo estar concentrado em uma única ferramenta. A gente diz: o sistema é esse, o que estiver fora daqui é por conta e risco do usuário. Acho que esse é o grande benefício. Não existem normas nas gavetas. A atualização das normas nacionais e internacionais é online e instantânea. Mesmo as normas hospedadas pela Target são disponibilizadas no sistema. No nosso caso são as normas da Volkswagen”, observa Fabio.

A VDA 6.1 é uma norma desenvolvida pela indústria automotiva da Alemanha (VDA – Verband der Automobilindustrie e.V.) para certificação do sistema de gestão da qualidade dos fornecedores de montadoras como Volkswagen, Audi, BMW, Porsche, Mercedes-Benz e outros. A maior parte dos requisitos da VDA 6.1 é baseada na norma ISO 9001, porém organizados em elementos distribuídos em 2 partes: Gerenciamento e Produto/Processo. Estes elementos incorporam requisitos da ISO 9001, requisitos da ISO 9004 (diretrizes para melhoria de desempenho), requisitos específicos do setor automotivo e da EAQF (requisitos automotivos da França).

A VDA 6.4 é uma norma desenvolvida para ser utilizada em empresas que fabricam equipamentos e ferramentas para a aplicação na produção automotiva. Atualmente, o objetivo de atingir a qualidade tem uma nova dimensão que inclui também as áreas de fabricação de máquinas, ferramentas e equipamentos de inspeção e ensaios. A estrutura básica da norma VDA 6.4 e seu sistema de avaliação é em grande parte idêntica à VDA 6.1, porém ela leva em consideração particularidades e interesses específicos dos fornecedores de produção de equipamentos.

O GEDWEB rastreia e atualiza, diária e automaticamente (duas vezes ao dia), centenas de milhares de regulamentações técnicas. Gerencia mais de 16.000 normas ABNT NBR/NM; mais de 16.000 normas internacionais e estrangeiras, envolvendo 49 entidades internacionais, como o BSI, AFNOR, AENOR, JIS, ASTM, ASME, API, IEEE, NFPA, etc.

O usuário também pode acompanhar e votar nos projetos de Norma Brasileira em Consulta Nacional e acessar mais de 8.000 Regulamentos Técnicos/Portarias do Inmetro. Igualmente, estão disponíveis as Normas Regulamentadoras do Ministério do Trabalho e Previdência Social, mais de 115.000 Resoluções da Agência Nacional de Energia Elétrica (Aneel), os Procedimentos do Operador Nacional do Sistema Elétrico (ONS), e mais de 110.000 Procedimentos da Agência Nacional de Vigilância Sanitária (Anvisa).

Incluem ainda, o Genius Respostas Diretas, o mais avançado e inovador sistema de perguntas e respostas sobre requisitos de normas técnicas, alertas automáticos sobre documentos desatualizados, incorporados ou que sofreram alterações no acervo do cliente, alertas automáticos sobre solicitações de usuários sobre novos documentos, relatórios estatísticos de acessos, visualizações, impressões, servindo como evidências para o Sistema de Gestão da Qualidade e um glossário técnico trilíngue construído por tradutores especialistas em regulamentação técnica.

Por fim, deve ser ressaltado que o visualizador de todos esses documentos foi desenvolvido pela Target que agiliza o acesso, aumenta a velocidade de pesquisa no próprio texto e facilita em muito a sua impressão. Igualmente, é um sistema multiplataforma, podendo abrir no Linux, Mac, etc. Um sistema multibrowser e multiplataforma.