Blog da Qualidade

Os três pilares da segurança da informação

Receba Nossa News

Os conteúdos mais legais sobre qualidade, semanalmente em seu e-mail

Todos os dados inseridos aqui, estão resguardados pela Política de Privacidade da ForLogic, totalmente adequada a LGPD e ISO 27001 (Segurança da Informação).

Davidson Ramos

Davidson Ramos

+ posts

Auditor Líder ISO 9001:2015 e autor de centenas de artigos sobre Gestão da Qualidade, sempre acreditei que as pessoas têm o poder de mudar o mundo a sua volta, desde que estejam verdadeiramente engajadas nisso. Por isso me dedico a ajudar as pessoas a criar laços verdadeiros com seu trabalho, porque pessoas engajadas mudam o mundo!

Diversos sistemas de gestão (como a ISO 9001) dão grande ênfase no controle de documentos, também chamados de informação documentada. Isso acontece porque milhares de informações circulam dentro das empresas diariamente. Então é preciso gerenciá-las de forma a ajudar a empresa a continuar focada nos objetivos estratégicos. E isso tudo, é claro, sem ferir os três pilares da segurança da informação.

Por meio de um controle de documentos eficiente, é possível apoiar os processos, ajudando as pessoas a executar mais e melhor. Entretanto, para isso, é preciso garantir alguns fatores que são essenciais na hora de as pessoas utilizarem os documentos. Por isso, neste artigo, vou falar um pouco sobre os três pilares da segurança da informação. Sobre como eles são a base para um controle de documentos realmente útil.

1ª pilar: Disponibilidade

Imagem de um prontuário médico, usado para exemplificar o controle de documentos e os três pilares da segurança da informação.

Esse pilar faz sentido especialmente quando pensamos nas pessoas! Pois ele determina que os documentos estejam disponíveis para uso quando e onde forem necessários. Ele também é muito aderente à própria ISO 9001:2015, que diz no item 7.5.3.1 (alínea A) que a informação deve estar “disponível e adequada para uso, onde e quando ela for necessária”. Isso é muito importante porque, muitas vezes, os documentos são ferramentas de trabalho das pessoas. O trabalho das pessoas flui quando elas não têm as ferramentas adequadas para o que precisam fazer?

Os documentos precisam estar perto das pessoas e processos que eles apoiam. Então não pode ser requisito do seu controle de documentos que as pessoas andem pela empresa inteira atrás de algo que necessitam. Você precisa conseguir controlá-los onde quer que eles estejam e a qualquer momento da sua gestão. Isso não é só um dos três pilares da segurança da informação, é fator decisivo para sua empresa funcionar direito!

Para ilustrar melhor, imagine uma enfermeira que precise ministrar um medicamento em um paciente que está convulsionando. Ela precisa consultar o prontuário do paciente e ver o que o médico indicou em caso de convulsão. Se ela não tiver esse documento em mãos no momento em que o paciente precisa, isso pode causar sérios danos e até mesmo leva-lo à morte.

2º pilar: Integridade

Mancha de café sobre documento, representando a quebra de um dos três pilares da segurança da informação, item chave do controle de documentos.

Continuando o exemplo, imagine que a enfermeira pegue o prontuário do paciente na parte inferior da cama. Porém, ao tentar ler, ela percebe que alguém derrubou água no documento. As anotações escritas à mão pelo médico estão todas borradas e ela não consegue ler o nome dos medicamentos que devia ministrar. Nesse caso, o documento está onde deveria estar, no momento em que deveria estar, mas ainda assim fere um dos três pilares da segurança da informação: a integridade.

Banner Alimentos 1200x 175

Segundo esse pilar, além de estar disponível, o documento tem de ter sua integridade garantida. Não pode conter rasuras, amassados ou outros danos que impossibilitem sua leitura. No caso de um arquivo digital, por exemplo, os arquivos não podem estar corrompidos.

Mas calma que não é só isso. Outro aspecto importante é garantir que os documentos não sofram nenhum tipo de alteração indevida, seja intencional ou não. Então, seu controle de documentos tem de garantir que os documentos da sua empresa só sejam modificados:

  1. por quem tem competência para isso;
  2. por quem pode ter acesso a eles (vamos falar mais disso no próximo tópico), e;
  3. de forma intencional e planejada.

Neste pilar, há outro ponto de convergência com a ISO 9001:2015 que, ainda no item 7.5.3.1 (alínea B), diz que empresa deve assegurar que a informação documentada “esteja protegida suficientemente (por exemplo, contra perda de confidencialidade, uso impróprio ou perda de integridade)”. Além disso, no final do requisito 7.5, a ISO 9001:2015 diz ainda que a “Informação documentada retida como evidência de conformidade deve ser protegida contra alterações não intencionais”.

3º pilar: Confidencialidade

Documento rotulado como confidencial (top secret), representando a confidencialidade, item fundamental do controle de documentos de acordo com os três pilares da segurança da informação.

Existem centenas (talvez milhares) de documentos circulando na sua empresa nesse exato momento. Do mesmo modo, existem diversas pessoas acessando esses documentos o tempo todo. A pergunta que o controle de documentos deve responder é: quem exatamente pode ter permissão para acessá-los? Afinal, como vimos no tópico anterior, a própria ISO 9001:2015 exige que a empresa tome medidas para proteger os documentos contra a perda de confidencialidade e o uso impróprio.

No caso da nossa enfermeira, com o dilema do prontuário médico. Suponhamos que o documento estivesse na cabeceira do leito, intacto e legível. Ela com certeza tem permissão para acessá-lo, mas e as pessoas que trabalham na limpeza e manutenção? E se o quarto for compartilhado. Os familiares de outras famílias, ou até outros pacientes, todos eles podem ter acesso a esse documento?

Se a resposta a essas perguntas for negativa, se ninguém além dos médicos e enfermeiros pode ter acesso a esse prontuário, o simples fato de o documento estar sob a cabeceira da cama fere o último dos três pilares da segurança da informação. Isso acontece porque a informação não está protegida de quem não pode ter acesso a ela e provavelmente será visualizada por quem não tem permissão. E isso é um erro bastante grave.

Como ter um controle de documentos aderente aos três pilares da segurança da informação

Ter um controle documentos realmente eficaz e aderente aos três pilares da segurança da informação requer medidas bastante significativas, que muitas vezes alteram e muito as rotinas de trabalho.

Quando, por exemplo, você enviar um documento importante por e-mail, muito provavelmente o arquivo chegará legível ao destinatário (Integridade). Entretanto, como poderá garantir que o arquivo não será encaminhado para outros colaboradores? Ou então que não serão feitas várias cópias que ficarão perdidas pela empresa (confidencialidade)?

Principalmente se você gerencia muitos documentos, mantê-los protegidos e atualizados é um desafio bastante grande. Porém, essa tarefa pode ser muito mais simples se você utilizar um software. No Forlogic Docs, nosso software para gestão de documentos, você configura facilmente quem pode ter acesso aos documentos, garantindo que apenas as pessoas certas acessarão as informações. Além disso, consegue controlar o número de cópias feitas e pode disponibilizar os documentos em qualquer computador conectado à internet.

O controle de documentos é um processo sério e extremamente importante para sua empresa! Acesse nosso site e saiba como podemos ajudar você a torná-lo muito mais simples e seguro.

Conheça o Forlogic Docs

Publicado originalmente no dia 11 de outubro de 2018.

Sobre o autor (a)

5 comentários em “Os três pilares da segurança da informação”

  1. Lorena Alves

    Como o profissional pode atuar no processo problemático apresentado para alcançar os anseios da sociedade consumidora?

    1. Davidson Ramos

      Oi Lorena, tudo bem?

      Olha, não sei se entendi muito bem a sua pergunta, rsrs, mas todo processo é (ou deveria ser) voltado a resolver os problemas do cliente. Dessa forma, deve voltar-se à sociedade a suas dificuldades e anseios.

      Quanto a questão de o processo ser problemático: PDCA, melhoria continua baseada em resultados anteriores. Você não precisa melhorar o processo todo de uma vez só, às vezes nem é possível, mas aos poucos é possível “arrumar a casa”.

      Não sei em qual contexto você está inserida, qual o contexto do seu processo, mas não compreender muito bem o objetivo do processo e como ele atua para ajudar as pessoas (clientes, colaboradores, fornecedores, acionistas, enfim, todas as partes interessadas) pode ser um dos fatores que o torna “problemático”, pois sem saber disso não sabemos que expectativas atender.

      Espero que tenha te ajudado um pouco, qualquer coisa estou à disposição. =D

      Forte abraço

  2. Marcelo da Silva

    Bom dia, gostaria de saber de ao preencher um formulário de um ensaio ou acompanhamento de uma atividade, ocorrer erro de escrita, como ele é feito a caneta, se eu posso traçar um risco sobre a palavra errada, escrever a palavra certa e rubricar proxímo ao erro efetuado, se meu documento ainda continua válido ou terei que escrever ou preencher todo o documento novamente.

    1. André Roberto de Moraes
      Juliana Geremias

      Olá Marcelo tudo bem por aí?

      Em muitos contextos de documentação, especialmente em ambientes regulamentados ou controlados, como na qualidade, saúde ou laboratórios, você pode corrigir erros de escrita da seguinte forma:

      Traçando um único risco sobre a palavra ou informação errada, sem deixar a correção ilegível.
      Escreva a palavra correta logo acima ou ao lado.
      Rubrique ou coloque suas iniciais e a data próxima à correção.

      Isso é considerado uma prática aceitável, pois mantém a transparência e a rastreabilidade das correções feitas no documento original. Essa abordagem é válida em muitas normas (como ISO), e evita a necessidade de refazer todo o documento.

      Contudo, certifique-se de que as regras específicas da sua empresa ou setor permitam essa prática. Em alguns casos, pode ser exigido que o documento seja refeito, especialmente se for algo que comprometa a legibilidade ou a autenticidade das informações.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Blog da Qualidade

Artigos relacionados