Image //softwaredecalibracao.com.br/app/uploads/2020/10/aee.jpg

A relação entre segurança da informação e ISO 17025

Autor: Categoria: Gestão
Postado em:

Imprimir artigo
Com o passar do tempo, tornou-se comum ter diversos documentos armazenados em nuvem ou em softwares e, apesar das vantagens dessa tendência, surgiram também novas preocupações relacionadas à segurança da informação. Mas, já parou para imaginar qual a relação da segurança da informação e da ISO 17025?

Quando pensamos em dados e documentos armazenados em nuvem provavelmente muitos pensam logo em super ataques de hackers, no entanto muitos não percebem que o cuidado com as informações está muito mais relacionada a atividades do dia a dia do que com um esporádico “super ataque”.

No Blog da Qualidade já existe um artigo falando mais detalhadamente sobre os três pilares da segurança da informação, por isso minha intenção neste artigo é relacionar os pilares com o cotidiano de laboratórios de calibração e ensaio. 

Entendendo os três pilares 

Antes de começar a relacionar os itens da 17025 com o as atividades de um laboratório, preciso falar brevemente sobre esses tais pilares. Afinal, não adiantaria fazer diversos links e não ter uma base para os exemplos, um passo de cada vez! 

Enfim, os três pilares da segurança da informação:

  1. Disponibilidade: Os documentos precisam estar disponíveis para o uso de forma assertiva, ou seja, no lugar e momento necessários
  2. Integridade: Independente do trâmite que esse documento passe, ele não pode sofrer alterações indevidas 
  3. Confidencialidade: Apenas pessoas autorizadas devem ter acesso aos respectivos documentos 

Mas então, como os pilares se relacionam ao cotidiano de um laboratório?

A ISO 17025 cita diversas vezes a necessidade de documentação, de responsabilidade de pessoal, métodos documentados, entre outras situações. Acontece que grande parte da documentação é ferramenta de trabalho para os colaboradores. 

Um bom exemplo é o item 5.5, alínea ‘c’, que diz que:

O laboratório deve documentar seus procedimentos na extensão necessária para assegurar a aplicação consistente de suas atividades de laboratório e a validade dos resultados

Ou seja, o procedimento deve estar disponível ao técnico que irá realizar o determinado trabalho, para que o resultado seja consistente. 

Outro exemplo claro é o item 6.2.2, no qual é especificado que:

O laboratório deve documentar os requisitos de competência para cada função que influencie os resultados das atividades de laboratório, incluindo os requisitos de formação, qualificação, treinamento, conhecimento técnico, habilidades e experiência.

Com isso, entende-se que não basta ter um documento disponível, ele deve estar disponível para o colaborador competente para a realização daquela atividade.

Vamos simular exemplos mais concretos? 

Imagine um laboratório com escopo de calibração em pressão, em que um técnico irá calibrar um manômetro. 

Na primeira situação, o laboratório não disponibiliza o método correto para realizar os cálculos para calibração daquele manômetro. Existem duas opções: ou o técnico irá registrar informações que ele considera importante, ou irá aumentar o tempo de trabalho até que ele encontre esse documento e nenhuma das opções é eficiente para o dia a dia de um laboratório.

Na segunda, o laboratório disponibiliza o documento com o cálculo que precisa ser feito, mas em uma folha sulfite de forma manuscrita. Por alguma razão, houve rasuras nesse documento, interferindo sua integridade e, por isso, o técnico não consegue distinguir os sinais, comprometendo a confiabilidade do resultado final que irá para o certificado daquela calibração.

No terceiro caso, o laboratório decide usar planilhas em excel para suas calibrações e acaba dando acesso a todos os colaboradores. Alguém de outro setor, leigo na metrologia, não vê problemas em compartilhar aquela planilha com os cálculos e dados de clientes totalmente a mostra. Perceba, o colaborador não teve a intenção de prejudicar o laboratório, mas acabou divulgando algo que a 17025 deixa claro ser confidencial (item 4.2), porque o documento em questão não tinha critério de confidencialidade.

Segurança da Informação na prática

Os exemplos que eu trouxe são bem simples e citei apenas três itens da 17025 para começar a desmitificar a ideia de Segurança da Informação, ela não é um “super ataque de hackers” como muitos imaginam.

Em suma, espero que tenha ficado mais claro como os três pilares estão presentes em atividades do dia a dia de todos os colaboradores de um laboratório e não apenas sob a responsabilidade de um gestor, por exemplo. Acredito que, quanto mais colaboradores conscientes sobre as aplicações diárias, mais fácil ficará de manter a confiabilidade em seus processos

E aí, o pessoal no seu laboratório já sabe sobre Segurança da Informação na prática?