Diversos sistemas de gestão (como a ISO 9001) dão grande ênfase no controle de documentos, também chamados de informação documentada. Isso acontece porque milhares de informações circulam dentro das empresas diariamente. Então é preciso gerenciá-las de forma a ajudar a empresa a continuar focada nos objetivos estratégicos. E isso tudo, é claro, sem ferir os três pilares da segurança da informação.

Por meio de um controle de documentos eficiente, é possível apoiar os processos, ajudando as pessoas a executar mais e melhor. Entretanto, para isso, é preciso garantir alguns fatores que são essenciais na hora de as pessoas utilizarem os documentos. Por isso, neste artigo, vou falar um pouco sobre os três pilares da segurança da informação. Sobre como eles são a base para um controle de documentos realmente útil.

1ª pilar: Disponibilidade
Esse pilar faz sentido especialmente quando pensamos nas pessoas! Pois ele determina que os documentos estejam disponíveis para uso quando e onde forem necessários. Ele também é muito aderente à própria ISO 9001:2015, que diz no item 7.5.3.1 (alínea A) que a informação deve estar “disponível e adequada para uso, onde e quando ela for necessária”. Isso é muito importante porque, muitas vezes, os documentos são ferramentas de trabalho das pessoas. O trabalho das pessoas flui quando elas não têm as ferramentas adequadas para o que precisam fazer?

Os documentos precisam estar perto das pessoas e processos que eles apoiam. Então não pode ser requisito do seu controle de documentos que as pessoas andem pela empresa inteira atrás de algo que necessitam. Você precisa conseguir controlá-los onde quer que eles estejam e a qualquer momento da sua gestão. Isso não é só um dos três pilares da segurança da informação, é fator decisivo para sua empresa funcionar direito!

Para ilustrar melhor, imagine uma enfermeira que precise ministrar um medicamento em um paciente que está convulsionando. Ela precisa consultar o prontuário do paciente e ver o que o médico indicou em caso de convulsão. Se ela não tiver esse documento em mãos no momento em que o paciente precisa, isso pode causar sérios danos e até mesmo leva-lo à morte.

2º pilar: Integridade
Continuando o exemplo, imagine que a enfermeira pegue o prontuário do paciente na parte inferior da cama. Porém, ao tentar ler, ela percebe que alguém derrubou água no documento. As anotações escritas à mão pelo médico estão todas borradas e ela não consegue ler o nome dos medicamentos que devia ministrar. Nesse caso, o documento está onde deveria estar, no momento em que deveria estar, mas ainda assim fere um dos três pilares da segurança da informação: a integridade.

Segundo esse pilar, além de estar disponível, o documento tem de ter sua integridade garantida. Não pode conter rasuras, amassados ou outros danos que impossibilitem sua leitura. No caso de um arquivo digital, por exemplo, os arquivos não podem estar corrompidos.

Mas calma que não é só isso. Outro aspecto importante é garantir que os documentos não sofram nenhum tipo de alteração indevida, seja intencional ou não. Então, seu controle de documentos tem de garantir que os documentos da sua empresa só sejam modificados:

• por quem tem competência para isso;
• por quem pode ter acesso a eles (vamos falar mais disso no próximo tópico), e;
• de forma intencional e planejada.

Neste pilar, há outro ponto de convergência com a ISO 9001:2015 que, ainda no item 7.5.3.1 (alínea B), diz que empresa deve assegurar que a informação documentada “esteja protegida suficientemente (por exemplo, contra perda de confidencialidade, uso impróprio ou perda de integridade)”. Além disso, no final do requisito 7.5, a ISO 9001:2015 diz ainda que a “Informação documentada retida como evidência de conformidade deve ser protegida contra alterações não intencionais”.

3º pilar: Confidencialidade
Existem centenas (talvez milhares) de documentos circulando na sua empresa nesse exato momento. Do mesmo modo, existem diversas pessoas acessando esses documentos o tempo todo. A pergunta que o controle de documentos deve responder é: quem exatamente pode ter permissão para acessá-los? Afinal, como vimos no tópico anterior, a própria ISO 9001:2015 exige que a empresa tome medidas para proteger os documentos contra a perda de confidencialidade e o uso impróprio.

No caso da nossa enfermeira, com o dilema do prontuário médico. Suponhamos que o documento estivesse na cabeceira do leito, intacto e legível. Ela com certeza tem permissão para acessá-lo, mas e as pessoas que trabalham na limpeza e manutenção? E se o quarto for compartilhado. Os familiares de outras famílias, ou até outros pacientes, todos eles podem ter acesso a esse documento?

Se a resposta a essas perguntas for negativa, se ninguém além dos médicos e enfermeiros pode ter acesso a esse prontuário, o simples fato de o documento estar sob a cabeceira da cama fere o último dos três pilares da segurança da informação. Isso acontece porque a informação não está protegida de quem não pode ter acesso a ela e provavelmente será visualizada por quem não tem permissão. E isso é um erro bastante grave.

Fonte: Blog da Qualidade

Fonte da imagem: Projetado pelo Freepik