Qualidade Manaus

Empresas de Tecnologia da Informação – TI, normalmente, processam, armazenam ou compartilham informações valiosas tanto através de uma fábrica de software quanto de seus clientes e estas informações devem ser resguardadas de acessos indevidos ou não autorizados. Desta forma, em segurança física, de acordo com a ISO 17799:2005, requisito 9 – Segurança Física e do Ambiente, 9.1.1 – Perímetro de Segurança Físca, é necessário o estabelecimento do perímetro de segurança da empresa. Não obstante, a pergunta é: quando e como estabelecer o perímetro de segurança da empresa de TI?

Primeiro passo: é imprescindível que a empresa tenha realizado a análise de vulnerabilidade e identificação dos possíveis riscos, isso pode ser feito pela própria equipe de segurança ou por terceiros.

De posse do relatório, verifique todos os itens que se relacionem com segurança física, normalmente, há uma análise de segurança de todos os portões de acesso ao prédio, situação de grades, muros de proteção, guaritas, estacionamento, portas de setores, e porta e sistema de acesso ao CPD.

Faça uma classificação da relação custo e benefícios dos pontos mais críticos, ou seja, como já foram identificados as vulnerabilidades e os riscos, e normalmente os recursos financeiros são limitados, deve-se escolher quais dentre as vulnerabilidade precisam ser tratadas de imediato.

Segundo passo: verifique a localização geográfica da empresa de TI, pontos de acessos e evacuação em caso de emergência; no âmbito interno, obtêm-se com a CIPA e no externo, deve-se observar estações de trens, metrô, pontos de taxis, dentre outros que possam facilitar as pessoas saírem rapidamente do perímetro da empresa de maneira segura; normalmente, obtêm-se as plantas na prefeitura ou com as agências dos correios, lembre-se que um dos ativos mais importante na empresa são as pessoas.

Verifique também empresas e instituições governamentais ou não, localizadas próximas ou na quadra onde a empresa de TI se localiza, aquelas que apresentam uma rede wifi e internet em alta velocidade. A verificação do tipo de negócio de empresas localizadas próximas, também é um trabalho da equipe de segurança lógica.

Também não deixe de observar a rede de tubulação de esgoto e água servíveis, rede elétrica, rede óptica e a geologia do terreno em caso de abalo sísmico em países que há terremotos com frequência.

Terceiro passo: Localize a sua empresa num mapa, pode-se usar o google maps, em seguida, a partir da localização da empresa de TI, identifique as outras empresas ou áreas que podem oferecer uma ameaça, por exemplo, uma lan house, escola de informática, um terreno baldio, prédios abandonados, dentre outros. Conforme o tamanho da empresa e a localização do prédio do CPD, delimite o quarteirão que a empresa se localiza como o perímetro mais externo e classifique como nível baixo de segurança; em seguida, delimite o prédio que a empresa esteja localizada como nível médio e delimite a sala do CPD como nível alto de segurança. Do perímetro mais externo para o mais interno, mais barreiras físicas e lógicas devem ser instaladas. Por exemplo, em barreiras físicas: cancelas, barreiras em estacionaentos, grades, cerca elétrica, catracas com sistema biométrico, sensores, câmeras, dentre outros. Um exemplo de barreira lógica é a delimitação da rede wifi que deve estar configurada com segurança máxima e estabelecimento limitado de raio de alcance.

Em seguida, com a planta situacional da empresa, identifique áreas comuns, tais como corredores, lanchonetes, restaurantes, hall, recepções, estacionamento, centro de treinamentos, dentre outros; nestes locais o controle pode ser feito por câmeras de vigilância, porém, normalmente o áudio fica prejudicado em razão das interferências. Lembre-se nestas áreas comuns, o nível de segurança de informações normalmente são baixos, ou seja, difícil de ser controlado, ao contrário do nível dos setores que tem informações sensíveis, tais como fábrica de software ou mesmo CPD.

Se a empresa de TI for considerada grande, com vários departamentos e vários andares, classifique o acesso das pessoas pelo crachá de maneira que seja possível identificá-las e os setores que elas trabalham ou que são visitadas.

Em áreas críticas, tais como setor de pessoal, fábrica de software ou CPD que contém informações sensíveis, deve ter segurança redobrada, ou seja, câmeras de vigilância, entrada por senhas, leitura da íris, leitura facial ou por digitais, os vidros a prova de projéteis, a localização das câmeras devem ser estratégicas e que faça a maior cobertura possível em pontos que não seja facilmente removidas ou redicionadas, somente pessoas autorizadas de maneira formal e controladas podem ter acesso ao CPD, de maneira que seja possível auditorias e rastreabilidade de acesso; assim, o controle de funcionários por escala, visitas e fornecedores devem ser controladas e filmadas.

Desta forma, o estabelecimento do perímetro de segurança numa empresa é fundamental para proteger as informações de acesso físico, instalação de barreiras e equipamentos de controle de acesso, além de servir deapoio ao controle de acesso lógico.

crédito de imagem: http://www.gettyimages.com/

As contribuições dos gurus da qualidade para que a definição da qualidade fosse internalizada nas organizações desde o nível de inspeção até quando a qualidade integra a estratégia nas organizações, foram extraordinárias; assim, Frederick W. Taylor, Armand V. Feigenbaum, Walter Shewart, Harod Dodge, Harry Roming, E. Deming, Kaoru Ishikawa, Massaaki Imai, P. Crosby e J. Juran tornaram-se referência a nível mundial. Não obstante, Crosby elaborou uma definição da qualidade como sendo atender os requisitos do cliente, a mesma definição adotada pela ISO 9000:2000.

As organizações que adotam o sistema de gestão da qualidade ISO série 9000 estão preocupadas em produzir produtos ou prestar serviços com determinado nível de qualidade e com a melhoria contínua desse nível. Evidencia-se nas normas ISO 9000:2000 e ISO 10002:2005 uma preocupação com a satisfação do cliente em seus diversos requisitos, envolvendo a alta direção; procedimentos de registros e análise de reclamação de cliente.

A determinação da preocupação com a satisfação do cliente depende do posicionamento da organização no mercado que estar inserido. Uma organização que atua no mercado oligopolizado ou de concorrência perfeita há uma preocupação constante em busca de aumentar a satisfação do cliente; enquanto que uma empresa inserida no mercado monopolista não busca fazer propaganda ou mesmo aumentar a satisfação dos seus clientes, pois estes são dependentes do produto ou serviço ofertado. Assim, quanto maior o mercado competitivo da empresa, maior será a sua dedicação em satisfazer o cliente, além do investimento em melhoria contínua nos processos.

A busca da satisfação do cliente passa por quatro fases bem definidas que são: a identificação das expectativas, medição da satisfação, estratégias de melhoria da qualidade e implantação das melhorias.

A identificação das expectativas do cliente não é algo tão simples quanto parece, pois muitas vezes o cliente tem dificuldade de expressar o que deseja e é justamente neste momento que o pessoal da área comercial utiliza suas habilidades de interpretação e inferência para entender os anseios dos clientes. Quando o cliente sabe o que deseja, rapidamente expressa os requisitos sobre o produto ou prestação de serviço, sendo mais fácil a organização registrar e desenvolver o produto.

Com relação à medição da satisfação do cliente, há diversas metodologias, desde pesquisa de satisfação utilizando entrevistas ou questionários usando dados estatísticos simples como média e desvio-padrão até elaboração de índice de satisfação do cliente levando em consideração satisfação percebida e satisfação esperada. Atualmente há sistemas como Customer Relationship Management – CRM que consolida a gestão dos clientes.

As estratégias de melhoria da qualidade têm como base o retorno do cliente após uma experiência de contato com o produto ou a prestação de serviço pela organização, um dos mais utilizados é a reclamação de cliente, essas falhas ou defeitos são registrados pelo fornecedor do produto ou serviço, sendo tratados e interpretados para possíveis melhorias. E como conseqüência, a empresa que aprende com os registros de suas falhas no processo ou através de reclamações bem tratadas, pode implantar melhorias em seus processos.

A ISO 9000:2000 se preocupa com a satisfação do cliente, haja vista o requisito 5 Responsabilidade da direção, 5.2 Foco no cliente, “a alta direção deve assegurar que os requisitos do cliente são determinados e atendidos com o propósito de aumentar a satisfação do cliente”, ou seja, a preocupação em atender a satisfação do cliente começa com o Presidente da empresa, desde o primeiro contato com o cliente, onde há a preocupação em identificar as suas expectativas sobre “o quê” ele realmente deseja até o serviço de pós-venda.

O requisito 7.2 Processos relacionados a clientes, 7.2.1 Determinação dos requisitos a clientes, item b) “os requisitos não declarados pelo cliente, mas necessários para o uso especificado ou intencional, onde conhecido”, significa que, embora o cliente não tenha requisitado ao fornecedor de maneira clara ou detalhada a composição do produto/serviços, é obrigação do fornecedor produzir um produto ou prestar um serviço completo que satisfaça as expectativas do cliente.

Dentre todos os requisitos da ISO 9000:2000 que são importantes, há um que chama a atenção, o 7.2.3 Comunicação com o cliente, item c) “realimentação do cliente, incluindo suas reclamações”. Ou seja, deve haver uma preocupação constante por parte do fornecedor em informar o cliente sobre a fabricação do produto ou prestação do serviço, inclusive coletando as reclamações, analisando-as e fornecendo feedback. Através do tratamento das reclamações do cliente é possível estabelecer estratégias de melhorias no processo, tendo como conseqüência, muitas vezes, uma inovação no processo com ganhos em redução de custos ou mesmo diminuição de esforços da mão-de-obra empregada.

E falando sobre reclamação do cliente, a ISO 10002:2005 refere-se à satisfação do cliente – diretrizes para tratamento de reclamações nas organizações. Nesta norma, há três requisitos que chamam a atenção: 4.4 Prontidão nas respostas e 4.7 Confidencialidade, e 5.3 Responsabilidade e autoridade, no item 5.3.4 “Convém que todo o pessoal em contato com os clientes e reclamantes – sejam treinados em tratamento de reclamações”.

Na prontidão das respostas, a Norma cita “… convém que as reclamações sejam encaminhadas prontamente, de acordo com as suas urgências… convém que os reclamantes sejam tratados com cortesia e mantidos informados sobre o andamento de suas reclamações durante o processo de tratamento de reclamações”. Ou seja, a organização deve estabelecer uma classificação quanto às urgências de reclamações, um exemplo seria as reclamações sobre saúde ou segurança tendo prioridade em relação às demais. Sobre o tratamento dispensado para o reclamante, este deve ser cortês e atencioso, além de mantê-lo informado sobre o tratamento da reclamação.

No aspecto da confidencialidade, a Norma orienta que a identificação do reclamante esteja disponível somente para os trâmites internos da organização e para os setores envolvidos, mantendo a confidencialidade do cliente.

Sobre o treinamento das pessoas no tratamento de reclamações de clientes, isso proporciona a eficácia do processo, pois estas pessoas podem coletar, comparar, analisar e fazer o levantamento de procedência da reclamação.

Assim, a busca incessante da satisfação dos clientes e melhoria contínua passa a ser a tônica da atualidade. As organizações que se preocupam com a satisfação do cliente e atuam num mercado competitivo, podem adotar como estratégia competitiva as normas ISO 9000 e 10002 para aprimorar a sua relação com o cliente e sair na frente dos seus concorrentes e na cadeia de valor, as empresas são dependentes dos clientes, podendo estes contribuir com prejuízo ou alavancar a lucratividade.

Fontes consultadas:
ABNT.  NBR ISO 9001:2000 – Sistema de Gestão da Qualidade – Requisitos
ABNT. NRB ISO 10002:2005 – Gestão da Qualidade – Satisfação do Cliente – Diretrizes para o tratamento de reclamações nas organizações.
FGV, Gestão da qualidade. 3ª. edição, 2010.
Site consultado: http://www.philipcrosby.com.br/pca/artigos/Em%20busca.html, horário 16:00h. 13/05/2011.
Fonte de Imagem: http://www.fabrico.com.br/

Quando se pensa em segurança da informação o que lembramos de imediato é a segurança dos dados e informações em rede de computadores e internet. Não obstante, devemos lembrar que os computadores de grande porte (Mainframes) estão localizados em prédios e que estes podem ser acessados fisicamente por pessoas não autorizadas, que transportam equipamentos com grande capacidade de armazenamento e de pequeno porte, tais como: pen drive, DVD, CD, HD, relógios, máquina fotográfica digital, e podem conseguir armazenar dados e informações sigilosos e valiosos para a organização.

Um breve histórico de controle de acesso físico:

Desde os primórdios o homem se preocupou em defender-se do intemperismo e dos animais ferozes, abrigando-se em cavernas. Com essa atitude, a caverna representou a delimitação de uma área de acesso (perímetro), ou seja, ele poderia selecionar e controlar quem poderia acessar aquele ambiente, desde animais até outros indivíduos do grupo ou comunidade.

Na Idade média, surgiram a construção das fortalezas ou dos castelos para abrigar certa comunidade ou reinado. Como havia invasões constantes entre os reinos motivado pelas conquistas, para se denfender-se, o rei contruia um fosso ao redor do castelo, onde havia uma ponte movediça para acessá-lo. Desta maneira, mantinha o controle de acesso e servia como barreira às invações.

Durante o século XVIII, as indústrias eram protegidas contra invasores que eram contra o sistema de produção em larga escala e a longas horas de trabalho, colocando muros altos, cercas de arames e seguranças armados.

No mundo moderno, na era da informação e do conhecimento,  as ameaças físicas em ambiente protegidos continuam, porém aliadas a estratégias mais apuradas como a engenharia social e tecnologia de ponta, como armazenamento de dados e informações de tamanho diminuto.

Mas o que é controle de acesso físico?

É um conjunto de medidas de segurança que controla o acesso das pessoas nos ambientes, com ou sem equipamentos. Esse controle é realizado por restrições de acesso e registros que servem como barreira adicional ao acesso lógico.

Atualmente o controle de acesso em ambientes empresarias são realizados através portarias que contam com sistemas informatizados que geram registros de imagem e som. Desta forma, temos as mais variadas opções de controle e barreiras físicas de aceso disponíveis no mercado, tais como: portas blindadas, detectores de metais, cancelas, catracas com leitura biométricas, fechaduras com senhas, com leitura de cartão e/ou leitura biométrias, fechaduras eletro-magnéticas, portões elétricos, cerca elétrica, guaritas e como apoio, sensores e câmeras que geram registros dos acessos.

Com a motivação dos invasores em burlar os sistema de acesso, há a evolução da tecnologia. Nos dias atuais, os sistemas mais sofisticados é a leitura biométrica, ou seja, utilizar os traços singulares do corpo humano como chave de acesso. Assim, surgiu a biometria, com leitura de voz, face, digitais, íris e vasos sangüíneos das mãos.

Controle de acesso nas empresas de TI

Nas empresas de TI os ativos são representados pelas pessoas, tecnologias e ambiente, além dos processos internos. O principal alvo ou o maior desafio é a acessibilidade física não autorizada a sala do Mainframe. É possível instalar diversas barreiras de acesso a sala do mainframe, a começar pelo estabelecimento do perímetro em relação a sala, controle de acesso dos visitantes, fornecedores e colaboradores.

A regra é simplres, quanto menor a quantidade de acesso ao prédio, melhor e mais fácil será o controle de acesso, com menos dispêndio de capital de investimento em tecnologias. É possível adotar catracas com leitura de biométria digital para colaboradores, fornecedores e visitantes; caso haja possibilidade de investimentos, a criação um banco de imagens dos visitantes e fornecedores pode ser desenvolvido na portaria, gerando maior controle e rastreabilidade dos acessos, inclusive sendo integrado aos relatórios facilita a rastreabilidade.

Portas com fechaduras biométrias e/ou leitura de cartão por proximidade, para ter acesso as dependências onde está localizado a sala do Mainframe, é uma boa solução.

E finalmente, para se ter acesso a sala do Mainframe, fechadura com leitura biométria de digitais e íris, com a instalação de câmeras e sensores, e software compatível para gerar relatório.

Compatibilizar disponibilidade financeira com a disponibilidade de tecnologia no mercado, é o segredo de se obter a melhor relação custo/benefício para controle de acesso numa empresa de TI.

É bom lembrar que deve ter um estudo prévio do histórico de acesso sem permissão na empresa, com ou sem intenção de ter acesso a informações. Divulgar o máximo possível a importância da segurança da informação para os colaboradores (treinamento de conscientização), inclusive com ênfase na engenharia social. E lembre-se do velho ditado popular: “o seguro morreu de velho!”.

No mundo inteiro as empresas de todos os segmentos de mercado estão se preocupando em produzir produtos e serviços que impactem menos o meio ambiente, contribuindo com o desenvolvimento sustentável e responsabilidade social.

Atualmente, as empresas estão se convencendo que ser sustentável não é mais modismo, mas uma preocupação básica e constante exigida pelos clientes e pela sociedade em geral. Desenvolver produtos e serviços compatíveis com a conservação e a preservação do meio ambiente, melhorando a vida das pessoas, é responsabilidade socioambiental.

Mas, o que é desenvolvimento sustentável?

É utilizar os recursos naturais de maneira racional, atendendo as necessidades das pessoas nos dias atuais, sem comprometer o atendimento das necessidades das gerações futuras.

E, o que é responsabilidade socioambiental?

É a empresa atuar no mercado de maneira a impactar o menos possível o meio ambiente e simultaneamente, desenvolver projetos para minimizar a desigualdade social ou mesmo gerar emprego e renda para os cidadãos ou comunidade do entorno.

Desta forma, em projetos de TI, além das avaliações de viabilidade econômica, inspeções, testes finais, riscos e incertezas; as avaliações de projetos devem se preocupar com algo a mais: com os impactos ambientais, pois, quanto menor o impacto, mais inteligente e econômico será o projeto, e por conseguinte, viável.

Assim, nos projetos de TI a preocupação não se restringe somente em fazer o serviço, mas se essa atividade está contribuindo ou não com o impacto ambiental. Esses impactos podem ser positivos ou negativos, grande parte dos impactos são negativos, tais como produção de sucatas a curto prazo, aumento de consumo de energia, dentre outros. Sendo necessário fazer a relação entre custo e benefício.

Não obstante, há projetos de TI que promovem impactos positivos, tais como: redução de energia, redução do uso da água, redução do uso do papel, maior durabilidade de equipamentos ou vida útil, uso de tecnologias atualizadas virtualmente, realidade aumentada, auxílio no diagnóstico de doenças, e muitas delas, geram mais emprego e renda para os cidadãos.

Muitos dos projetos de TI que impactam positivamente, não são mensurados. Mas, qual a razão dessa falta de mensuração?

É simples: os profissionais de TI estão preocupados em desenvolver o produto ou serviço com a melhor perfeição possível, não estão preocupados em calcular a economia do meio ambiente. Esse trabalho é do economista que esteja voltado para esse tipo de mensuração.

Mas, mesmo os economistas que podem calcular a relação custo e benefício de um projeto, e comprovar os resultados positivos de uma implantação de um projeto TI, encontram dificuldades de mensurar essa economia, pois, tem que coletar dados em diversos locais diferentes; os dados e informações, muitas vezes, não são completos ou até mesmo são inconsistentes, sendo necessário estimá-los para obtenção dos cálculos finais.

Desta forma, o trabalho em conjunto entre os profissionais de TI e economistas de meio ambiente se complementam quando a questão é sobre impacto ambiental e social.

Assim, TI verde e economia devem andar de mãos dadas nas próximas décadas, pois há um apelo global para minimizar os impactos negativos ao meio ambiente e, que as empresas sejam mais atuantes em suas responsabilidades socioambientais.

Qual a relação entre o Programa 5S da qualidade e o Sistema ISO 9000?

Os 5S´s é um programa que surgiu no Japão e que tem como objetivo propiciar um ambiente agradável para o trabalho e a harmonia nas relações sociais nas diversas organizações. A ISO série 9000 surgiu em Genebra, na Suíça, é um sistema da qualidade que tem como objetivo a normatização de processos para atingir a qualidade dos produtos e serviços nas empresas.

Na prática, o ideal para uma organização é implantar num primeiro momento o Programa 5S preparando o ambiente empresarial para a implantação da ISO 9000. Com a implantação dos 5S, como: Descarte, Organização, Limpeza, Higiene e Ordem Mantida; os colaboradores estariam conscientes da importância de um programa de qualidade, e ao mesmo tempo motivados por alcançarem os êxitos nos 5S, em especial o da Ordem Mantida, que é o cumprimento de normas e regras da empresa.

Num segundo momento, com a implantação dos 5S´s consolidados nas empresas pelas práticas das auditorias, mudanças de hábitos e costumes dos colaboradores, a organização poderia planejar a implantação do Sistema ISO 9000, que é a procedimentação das rotinas dos colaboradores e a manutenção do sistema através de auditorias sistemáticas. Inclusive os próprios avaliadores do Programa 5S podem ser treinados para serem auditores internos do sistema da qualidade.

A avaliação (auditoria) do Programa 5S é realizada através de um chek-list e utilização de registros de filmagem ou fotografias, além dos relatórios que devem ser analisados criticamente pelo comitê do Programa. Os 5S podem ser mantidos através de eventos sociais que busquem a participação e o comprometimento da alta direção, tais como: torneios, gincanas e avaliações periódicas nos setores. As avaliações são mensuradas com adoção de fórmulas matemáticas e conceitos que podem ser expostos nos setores auditados.

A ISO 9000 é mantida através de auditorias internas e externas, planejadas e realizadas periodicamente por auditores formados em cursos específicos. Normalmente, as auditorias são realizadas através da constatação comparativas, ou seja, verificar se o colaborador está realizando suas atividades de acordo com o que está escrito em seu procedimento ou instrução de trabalho

O Programa 5S e o Sistema ISO 9000 podem ser mantidos em harmonia nas organizações, pois são complementares: enquanto os 5S atuam no ambiente e no comportamento das pessoas, mudando hábitos e costumes; a ISO 9000 descreve a rotina e padroniza as atividades. Assim, Programa e Sistema da Qualidade podem ser praticados simultaneamente na empresa melhorando a gestão e a produção de produtos e serviços.

A informação é um ativo para a empresa como qualquer outro ativo importante para os negócios, tem valor para a organização e conseqüentemente deve ser protegido contra usos indevidos, intencional ou não intencional.

Mas o que é um ativo? Um ativo é algo que a empresa atribui um valor, tais como: documentos em papel, software, pessoas, imagem, marca, reputação da empresa, dentre outros.

A informação pode ser criada, armazenada, processada e transmitida, perdida, corrompida ou destruída, além de ter sua importância no tempo, ou seja, por quanto tempo a informação é útil para quem vai usá-la.

Atualmente, as informações significativas para o negócio, podem ser corrompidas: alvo de fraudes ou alterações de exposições por pessoas interessadas em obter vantagens para si ou para outrem, e estas pessoas são passíveis de serem apenas pelo código penal brasileiro.

As principais ameaças às informações singnificativas de uma organização podem estar dentro de “casa”, podem ser: funcionários descontentes ou desmotivados por alguma razão; baixa ou falta de conscientização sobre segurança da informação, muito comum para as pessoas que “acham” que segurança não tem importância ou “isso nunca vai acontecer”, falta de política e procedimentos de segurança; já no ambiente externo da empresa, há o aumento quantitativo e qualitativo das ferramentas “hacking” e dos vírus, atuação de terrorismo, uso indevido de e-mails e MSN (principal meio de entrada dos vírus).

Os impactos de vazamento ou furto de informações, em especial os “segredos industriais”, são os mais diversos possíveis no mundo dos negócios. Impactos negativos à marca ou à reputação da empresa são os mais comuns com resultados desastrosos no mercado, comprometendo muitas vezes a credibilidade e a  sobrevivência da organização frente aos concorrentes e sua clientela.

Apesar de haver vários tipos de ameaças, as mais conhecidas e freqüentes são os ataques cibernéticos, sendo vítimas: empresas de TI, bancos, empresas de cartão de crédito e indústrias que tem como negócio a tecnologia.

De acordo com a 10ª.  Pesquisa Anual de Segurança da Informação, realizada pela Módulo (Tecnology for Risk Mangement) em 2006, os problemas que mais geram perdas financeiras em relação a ataques, ameaças e invasões são vírus (15%), spam (10%), fraudes (8%) e roubos de notebooks (8%). Muitas das empresas que sofreram alguma perda financeira, não se preocupam em identificar as ameaças e/ou invasores, mas tomam uma atitude como o reforço do firewall e conscientização dos funcionários.

Com a acessibilidade e facilidade de uso das tecnologias móveis, tais como: notebook, netbook e smartphones, nas empresas, estas viraram alvos fáceis de hacker ou mesmo de simples furtos, não obstante, com o conteúdo dessas máquinas pertencentes podem conter informações sigilosas, que talvez seja de interesse aos concorrentes.

Dando um enfoque jurídico, os cibercrimes estão cada dia mais inusitados, o último que chamou a atenção da mídia foi o golpe virtual de 4,1 milhões em crédito de carbono ocorrido no dia 04/02/2010, sendo vítimas, em especial de empresas alemãs no mercado de carbono.

Algumas infrações, no Brasil, são cometidas sem muita repercussão nos canais de comunicação, porém, infringem-se as leis quando cometidas, as mais freqüentes são as do Código Penal: art. 184 – violar direitos do autor e os que lhe são conexos; art. 163 – destruir, inutilizar ou deteriorar coisa alheia; art. 155 – subtrair para si ou para outrem, coisa alheia móvel, dentre outros. Ressaltando que todos estes artigos supracitados, quando infrigidos, os autores podem ser apenados.

A segurança da informação, também abrange uma área de segurança física. Um bom exemplo é a Apple e os seus lançamentos tecnológicos: ipod e o ipad.  A Apple é considerada uma fortaleza, em Longhua, Sul da China, pois os seguranças da guarita identificam os ocupantes dos veículos por meio de leitores portáteis de impressões digitais. A Foxconn, fornecedora da Apple, também mantém um padrão de segurança semelhante, inclusive mantendo dentro da empresa, dormitórios, refeitórios, centro de recreação, agências de bancos, padarias e agências dos correios, tudo isso para o funcionário ter poucos motivos para sair.

Mas, diante de várias informações sobre segurança da informação e barreiras para resguardar as informações de uma empresa, há um bom senso para se adotar regras de segurança eficaz e eficiente?

Primeiro a empresa deve identificar os seus ativos e realizar uma avaliação de risco. Em seguida, valorar os ativos e os possíveis impactos potenciais, e identificar suas vulnerabilidade e ameaças, e depois estabelecer investimento nos tipos de  proteções escolhidas. Após avaliar e priorizar a proteção dos ativos, a empresa pode estabelecer a sua Política de Segurança e estabelecer o nível de orçamento (investimento) na Segurança da Informação.

Tivemos a era da agricultura, da indústria (revolução industrial), da informação e atualmente estamos vivenciando a era do conhecimento.

Na era do Conhecimento e com o desenvolvimento da informática, a informação é um patrimônio cobiçado das empresas e por isso deve ser preservado e mantido. Com a evolução da comunicação de dados e informações em alta velocidade aliada a facilidade de acesso das pessoas a informática e a internet, surgiu a preocupação das organizações pela segurança da informação nas empresas de Tecnologia da Informação – TI.

Mas o que é Tecnologia da Informação? pode ser definida como atividades e soluções providas por recursos de computação. A primeira norma que estabelecia requisitos para segurança da informação era a Norma Britânica – BS 15000, posteriormente, com base nesta norma, foi elaborada a Norma Internacional ISO 20000; e com base na BS 7799, foi elaborada a norma ISO 27001.

A ISO 20000 apresenta um conjunto de requisitos certificáveis para a gestão de serviços em TI, além disso, está alinhada com a ITIL (Infrastruture Library) que é uma biblioteca de infra-estrutura de Tecnologia da Informação que serve como pré-requisito para a implantação da ISO de segurança da informação.

O processo de certificação da ISO 20000 é semelhante aos de outras normas internacionais, tais como: a ISO 9000 – gestão de processos e ISO 14000 -  gestão ambiental.

A ISO 20000 é recente, foi elaborada em 2005 e é composta das seguintes partes:

Parte -1: ISO 20000-1: Information Tecnology Service Management – Specification – fornece requisitos de gestão de serviços e é relevante para responsáveis  pela preparação, implementação ou gestão continuada dos serviços de TI.

Parte -2: ISO 20000-1: Information Tecnology Service Management – Code of practice – Fornece orientações aos auditores internos ou empresas de consultoria na área de qualidade que realizam auditorias nas organizações e assistência aos prestadores de serviços que planejam melhorias no serviço e preparação para a busca da certificação.

A ISO 27001, também foi elaborada em 2005, é a norma que Certifica um Sistema de Gestão da Informação – Information Security Management System – ISMS. Nesta norma, estão definidos os requisitos para estabelecimento, implementação, operação, monitoramento, revisão, manutenção e melhoria de um sistema de documentação de gestão da informação numa empresa. Pode ser aplicada em diferentes situações:

1. Definição de exigências e objetivos da segurança;

2. Meios de assegurar os riscos de segurança;

3. Conformidade com as leis e regulamentos;

4. Gestão de controle para assegurar os objetivos específicos de segurança;

5. Definição de novos processos de gestão de segurança da informação;

6. Auditorias internas e externas na determinação do grau de conformidade com políticas, diretrizes, normas e procedimentos.

7. Meios de como a empresa fornece informações relevantes do sistema de gestão da informação aos parceiros de negócios e a outras organizações.

A ISO 27001 está alinhada com o modelo ou ferramenta da qualidade PDCA que promove a melhoria contínua: Plan = Planejar; Do = fazer ou executar; Check = Checar; e Act = Aprimorar.