Auditor Líder ISO 9001:2015 e autor de centenas de artigos sobre Gestão da Qualidade, sempre acreditei que as pessoas têm o poder de mudar o mundo a sua volta, desde que estejam verdadeiramente engajadas nisso. Por isso me dedico a ajudar as pessoas a criar laços verdadeiros com seu trabalho, porque pessoas engajadas mudam o mundo!
Diversos sistemas de gestão (como a ISO 9001) dão grande ênfase no controle de documentos, também chamados de informação documentada. Isso acontece porque milhares de informações circulam dentro das empresas diariamente. Então é preciso gerenciá-las de forma a ajudar a empresa a continuar focada nos objetivos estratégicos. E isso tudo, é claro, sem ferir os três pilares da segurança da informação.
Por meio de um controle de documentos eficiente, é possível apoiar os processos, ajudando as pessoas a executar mais e melhor. Entretanto, para isso, é preciso garantir alguns fatores que são essenciais na hora de as pessoas utilizarem os documentos. Por isso, neste artigo, vou falar um pouco sobre os três pilares da segurança da informação. Sobre como eles são a base para um controle de documentos realmente útil.
1ª pilar: Disponibilidade
Esse pilar faz sentido especialmente quando pensamos nas pessoas! Pois ele determina que os documentos estejam disponíveis para uso quando e onde forem necessários. Ele também é muito aderente à própria ISO 9001:2015, que diz no item 7.5.3.1 (alínea A) que a informação deve estar “disponível e adequada para uso, onde e quando ela for necessária”. Isso é muito importante porque, muitas vezes, os documentos são ferramentas de trabalho das pessoas. O trabalho das pessoas flui quando elas não têm as ferramentas adequadas para o que precisam fazer?
Os documentos precisam estar perto das pessoas e processos que eles apoiam. Então não pode ser requisito do seu controle de documentos que as pessoas andem pela empresa inteira atrás de algo que necessitam. Você precisa conseguir controlá-los onde quer que eles estejam e a qualquer momento da sua gestão. Isso não é só um dos três pilares da segurança da informação, é fator decisivo para sua empresa funcionar direito!
Para ilustrar melhor, imagine uma enfermeira que precise ministrar um medicamento em um paciente que está convulsionando. Ela precisa consultar o prontuário do paciente e ver o que o médico indicou em caso de convulsão. Se ela não tiver esse documento em mãos no momento em que o paciente precisa, isso pode causar sérios danos e até mesmo leva-lo à morte.
2º pilar: Integridade
Continuando o exemplo, imagine que a enfermeira pegue o prontuário do paciente na parte inferior da cama. Porém, ao tentar ler, ela percebe que alguém derrubou água no documento. As anotações escritas à mão pelo médico estão todas borradas e ela não consegue ler o nome dos medicamentos que devia ministrar. Nesse caso, o documento está onde deveria estar, no momento em que deveria estar, mas ainda assim fere um dos três pilares da segurança da informação: a integridade.
Segundo esse pilar, além de estar disponível, o documento tem de ter sua integridade garantida. Não pode conter rasuras, amassados ou outros danos que impossibilitem sua leitura. No caso de um arquivo digital, por exemplo, os arquivos não podem estar corrompidos.
Mas calma que não é só isso. Outro aspecto importante é garantir que os documentos não sofram nenhum tipo de alteração indevida, seja intencional ou não. Então, seu controle de documentos tem de garantir que os documentos da sua empresa só sejam modificados:
- por quem tem competência para isso;
- por quem pode ter acesso a eles (vamos falar mais disso no próximo tópico), e;
- de forma intencional e planejada.
Neste pilar, há outro ponto de convergência com a ISO 9001:2015 que, ainda no item 7.5.3.1 (alínea B), diz que empresa deve assegurar que a informação documentada “esteja protegida suficientemente (por exemplo, contra perda de confidencialidade, uso impróprio ou perda de integridade)”. Além disso, no final do requisito 7.5, a ISO 9001:2015 diz ainda que a “Informação documentada retida como evidência de conformidade deve ser protegida contra alterações não intencionais”.
3º pilar: Confidencialidade
Existem centenas (talvez milhares) de documentos circulando na sua empresa nesse exato momento. Do mesmo modo, existem diversas pessoas acessando esses documentos o tempo todo. A pergunta que o controle de documentos deve responder é: quem exatamente pode ter permissão para acessá-los? Afinal, como vimos no tópico anterior, a própria ISO 9001:2015 exige que a empresa tome medidas para proteger os documentos contra a perda de confidencialidade e o uso impróprio.
No caso da nossa enfermeira, com o dilema do prontuário médico. Suponhamos que o documento estivesse na cabeceira do leito, intacto e legível. Ela com certeza tem permissão para acessá-lo, mas e as pessoas que trabalham na limpeza e manutenção? E se o quarto for compartilhado. Os familiares de outras famílias, ou até outros pacientes, todos eles podem ter acesso a esse documento?
Se a resposta a essas perguntas for negativa, se ninguém além dos médicos e enfermeiros pode ter acesso a esse prontuário, o simples fato de o documento estar sob a cabeceira da cama fere o último dos três pilares da segurança da informação. Isso acontece porque a informação não está protegida de quem não pode ter acesso a ela e provavelmente será visualizada por quem não tem permissão. E isso é um erro bastante grave.
Como ter um controle de documentos aderente aos três pilares da segurança da informação
Ter um controle documentos realmente eficaz e aderente aos três pilares da segurança da informação requer medidas bastante significativas, que muitas vezes alteram e muito as rotinas de trabalho.
Quando, por exemplo, você enviar um documento importante por e-mail, muito provavelmente o arquivo chegará legível ao destinatário (Integridade). Entretanto, como poderá garantir que o arquivo não será encaminhado para outros colaboradores? Ou então que não serão feitas várias cópias que ficarão perdidas pela empresa (confidencialidade)?
Principalmente se você gerencia muitos documentos, mantê-los protegidos e atualizados é um desafio bastante grande. Porém, essa tarefa pode ser muito mais simples se você utilizar um software. No Forlogic Docs, nosso software para gestão de documentos, você configura facilmente quem pode ter acesso aos documentos, garantindo que apenas as pessoas certas acessarão as informações. Além disso, consegue controlar o número de cópias feitas e pode disponibilizar os documentos em qualquer computador conectado à internet.
O controle de documentos é um processo sério e extremamente importante para sua empresa! Acesse nosso site e saiba como podemos ajudar você a torná-lo muito mais simples e seguro.
Publicado originalmente no dia 11 de outubro de 2018.
3 comentários em “Os três pilares da segurança da informação”
Como o profissional pode atuar no processo problemático apresentado para alcançar os anseios da sociedade consumidora?
Oi Lorena, tudo bem?
Olha, não sei se entendi muito bem a sua pergunta, rsrs, mas todo processo é (ou deveria ser) voltado a resolver os problemas do cliente. Dessa forma, deve voltar-se à sociedade a suas dificuldades e anseios.
Quanto a questão de o processo ser problemático: PDCA, melhoria continua baseada em resultados anteriores. Você não precisa melhorar o processo todo de uma vez só, às vezes nem é possível, mas aos poucos é possível “arrumar a casa”.
Não sei em qual contexto você está inserida, qual o contexto do seu processo, mas não compreender muito bem o objetivo do processo e como ele atua para ajudar as pessoas (clientes, colaboradores, fornecedores, acionistas, enfim, todas as partes interessadas) pode ser um dos fatores que o torna “problemático”, pois sem saber disso não sabemos que expectativas atender.
Espero que tenha te ajudado um pouco, qualquer coisa estou à disposição. =D
Forte abraço
Proteção nas informações garante segurança.