NORMAS E PADRÕES

Considerando a Governança de T.I., citaremos a seguir as normas e padrões para o modelo

dotáxi aéreo (Electric Vertical Takeoff and Landing), há várias normas e padrões importantes
que podem ser implementados para garantir a segurança, eficiência e conformidade das
operações de tecnologia da informação afim de garantir a boa experiência do usuário. Aqui
algumas delas:

ISO 27001 (SEGURANÇA DA INFORMAÇÃO): A norma ISO 27001 é o padrão e a referência

Internacional para a gestão da Segurança da informação, assim como a ISO 9001 é a referência
Internacional para a certificação de gestão em Qualidade. A sua origem remota na realidade a
um documento publicado em 1992 por um departamento do governo britânico que
estabelecia um código de práticas relativas à gestão da Segurança da Informação. A norma tem
como princípio geral a adoção pela organização de um conjunto de requisitos, processos e
controles com o objetivo de mitigarem e gerirem adequadamente o risco da organização.

Milhões de entidades no mundo utilizam as práticas documentadas no Standard e usufruem

dos benefícios da sua adoção, sendo que, as entidades que assim o desejem podem também
certificarem-se, demonstrando assim de forma idônea que cumprem os requisitos e os
processos constantes na norma. Essa norma estabelece requisitos para um sistema de gestão
da segurança de informação, algo completamente indispensável para garantir a devida
proteção de dados e dos sistemas usados na operação dos usuários do táxi aéreo.

ISO 20000 (GESTÃO DE SERVIÇOS DE TI): A ISO/IEC 20000 é uma norma técnica reconhecida
em todo o mundo. Ela define uma série de requisitos obrigatórios baseados em um conjunto
de boas práticas para que as empresas executem uma gestão dos serviços de TI de qualidade.

Em outras palavras, ela aborda os requisitos obrigatórios que um provedor de serviços de TI

deve atender para desenvolver e manter um Sistema de Gestão de Serviços (SGS). A
certificação é obtida após uma entidade certificada pelos órgãos ISO/IEC realizar uma auditoria
independente e recomendar a certificação.

Essa ISO foi desenvolvida com base na BS 15000 (British Standard) e possui definições claras de
objetivos, políticas e procedimentos, afim de garantir a efetividade e eficácia na prestação de
soluções de serviços de T.I., assim, quando falamos de estruturação, existem alguns processos
para que a ISO 20000 seja executada, sendo eles:

- Processos de Relacionamento: Trabalham com a relação entre os clientes e o prestador de

serviços de T.I., para a verificação das necessidades dos clientes e a gestão das modificações
delas;

- Processos de Planejamento e Implementação de Serviços: por meio da metodologia PDCA

(Plan, Do, Check, Act) para definir os propósitos e processos necessários, colocar em prática,
monitorar os resultados e tomar novas ações e mais eficazes;

- Processos de Entrega de Serviços: Relacionados aos acordos de níveis de serviço (SLA)

realizados entre a área de gestão de serviços de TI e os setores solicitantes;
- Processos de Solução, Liberação e Controle: Tem como base o tratamento eficaz de incidentes
e problemas ocorridos na gestão dos serviços de TI.
ISO 9001 (GESTÃO DA QUALIDADE): Apesar de não ser uma ISO especificamente dedicada a
tecnologia da informação, essa ISO deve ser levada em consideração já que garantir o controle
de qualidade dentro de uma organização deve ser uma das suas prioridades quando se trata
dos seus processos, incluindo operações relacionadas à tecnologia.

Assim, a ISO 9001 serve para melhorar a gestão da sua empresa e aumentar a satisfação dos
seus clientes. É por isso que a adoção de um sistema de gestão é uma decisão estratégica da
empresa.

A melhoria da gestão da empresa acontece quando:

• Identificamos o contexto que a empresa está inserida;

• Obtemos uma visão holística da organização utilizando a abordagem de processos;

• Identificamos riscos que podem prejudicar o andamento das atividades;

• Medimos e avaliamos os resultados do desempenho e eficácia do processo;

• Asseguramos a melhoria contínua do processo;

• Monitorar continuamente a satisfação dos clientes.

Quais os benefícios da ISO 9001 para as empresas?

São os inúmeros os benefícios da implementação do sistema de gestão da qualidade em uma

organização. O principal deles é o diferencial competitivo que uma empresa que implementou
e obteve a certificação passa a ter.

Portanto, conquistar a certificação representa um atestado de reconhecimento nacional e

internacional à qualidade do trabalho, pois a norma assegura boas práticas de gestão e
relacionamento entre clientes e fornecedores. Além disso, possibilita maior desenvolvimento
dos colaboradores, serve como alavanca na busca pela qualidade total, propicia condições para
maior competitividade no mercado, otimização de processo e a redução de custos.

Mas por que falamos tanto em “diferencial competitivo”? Com a implementação e a

certificação, uma empresa consegue:

- Melhoria da qualidade: A implementação de uma norma ISO pode ajudar a identificar e

corrigir falhas no processo de produção ou prestação de serviços, o que pode levar a uma
melhoria da qualidade.

- Aumento da eficiência: As normas ISO promovem a implementação de processos

padronizados e eficientes, o que pode resultar em redução de custos e aumento da
produtividade.

- Maior confiabilidade: O certificado ISO pode aumentar a confiança dos clientes na empresa e
seus produtos ou serviços, já que demonstra que a empresa segue padrões de qualidade
rigorosos.

- Facilitação de relacionamentos comerciais: Muitas empresas exigem que seus fornecedores

tenham um certificado ISO, portanto, a obtenção de um pode abrir novas oportunidades de
negócio.
- Melhoria da imagem da empresa: O certificado ISO pode melhorar a imagem da empresa
perante o público em geral e aumentar sua reputação.

- Facilitação da conformidade com regulamentações: Algumas normas ISO são requisitos legais
em certos setores, portanto, a obtenção de um certificado pode ajudar a empresa a se manter
em conformidade com esses requisitos.

REGULAMENTAÇÕES ESPECÍFICAS DA AVIAÇÃO: Dependendo do país, existem

regulamentações específicas para a aviação civil que devem ser estritamente seguidas,
garantindo conformidade e segurança das operações aéreas. Isso pode incluir padrões como os
estabelecidos pela Federal Aviation Administration (FAA) nos Estados Unidos ou pela European
Union Aviation Safety Agency (EASA) na União Europeia, no Brasil, a agência especializada é a
Agência Nacional de Aviação Civil (ANAC), que é responsável pela regularização, supervisão e
fiscalização das atividades do setor de aviação civil e da infraestrutura aeronáutica e
aeroportuária no Brasil, assim, todas as regras e protocolos que as companhias aéreas devem
seguir são criadas por esse órgão federal.

PCI DSS (PAYMENT CARD INDUSTRY DATA SECURITY STANDARD): Se a organização lida com
transações financeiras, essa norma é indispensável para ela, visto que é crucial garantir a
segurança dos dados de pagamento dos usuários.

O PCI DSS é composto por um conjunto de requerimentos e procedimentos de segurança cujo

objetivo é proteger as informações pessoais dos titulares de cartão e, portanto, reduzir o risco
de roubo de dados de cartão ou fraude. O padrão foi criado no ano de 2004 pela iniciativa
conjunta das bandeiras de cartão Visa, MasterCard, American Express, Discover e JCB. As
bandeiras também são as fundadoras do Payment Card Industry Security Standards Council
(Conselho dos Padrões de Segurança da Indústria de Pagamento com Cartão), descrito por eles
mesmo como um “órgão mundial aberto e formado para desenvolver, melhorar, divulgar e
ajudar na compreensão dos padrões de segurança para as contas de pagamento”.

O Conselho mantém, desenvolve e promove o PCI DSS e ajuda na implementação do padrão

através de avaliações e qualificações ou, também, autoavaliações de conformidade. No
entanto, o banco emissor ou a adquirente dos cartões são os responsáveis de cumprir as regras
estabelecidas e punir qualquer violação de dados. Assim, cabe mencionar que o PCI DSS é
aplicado a qualquer negócio que processe ou transmita dados dos portadores de cartões.

Para obter um certificado de conformidade com o PCI, todos os comerciantes devem

demonstrar ter suficientes sistemas e processos que garantam a segurança da informação do
cartão de maneira efetiva, independentemente do volume de negócio.

LEIS E APLICAÇÕES PARA A PROTEÇÃO DE DADOS: Se a empresa opera na União Europeia, ou

lida com dados de cidadãos europeus, a General Data Protection Regulation impõe regras
estritas para a proteção de dados dos usuários que utilizam os serviços das organizações, no
Brasil, existe a Lei Geral de Proteção de Dados Pessoais, que foi promulgada em 2018 para
atender um direito fundamental de liberdade e privacidade civil, a LGPD fala sobre o
tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou
jurídica de direito público ou privado, englobando um amplo conjunto de operações que
podem ocorrer em meios manuais ou digitais.
CMMI (CAPABILITY MATURITY MODEL INTEGRATION): O “Capability Maturity Model
Integration” é uma abordagem de melhoria de processos que fornece às organizações
elementos essenciais de processos eficazes. Pode ser usado para guiar a melhoria de processo
em um projeto, divisão ou em uma organização inteira.

O modelo visa ajudar organizações envolvidas com o desenvolvimento de produtos, prestação

de serviços e aquisição a melhorar a capacidade de seus processos, por meio de um caminho
evolucionário que considera desde processos com resultados imprevisíveis e até mesmo
caóticos para processos disciplinados e definidos, com resultados previsíveis e com
possibilidade de melhoria contínua.

O CMMI organiza as práticas que já foram provadas como sendo efetivas, em uma estrutura
que ajuda a organização a estabelecer metas e prioridades para melhoria e fornece um guia na
implementação destas melhorias.

Os modelos que constituem a suíte de produtos CMMI são referenciados como constelações:
CMMI-DEV, CMMI-SVC e CMMI-ACQ. Por exemplo, o CMMI para desenvolvimento de produtos
é chamado CMMI-DEV.

Fonte: ISDBrasil.com.br

ISO 31000 (GESTÃO DE RISCOS): A ISO 31000 descreve os princípios, estrutura e o processo da
gestão de riscos, para auxiliar as empresas a fazê-la de maneira eficaz, eficiente e coerente.

A norma tem uma abordagem genérica. Com isso, garante a abrangência necessária para ser
aplicada por potencialmente qualquer organização, independentemente de porte ou de setor,
e para qualquer tipo de risco.
Ela é útil inclusive para quem já tem um processo formal de gestão de riscos. Com o estudo da
norma, as organizações podem analisar criticamente e avaliá-lo, determinando sua completude
e eficácia.

No entanto, a ISO 31000 não é destinada à certificação. Ela é uma norma de apoio para facilitar
a harmonização da gestão de riscos às normas atuais que tratam de riscos, como a ISO 9001.

Princípios da gestão de risco: seção 4 da ISO 31000:2018

O conteúdo propriamente dito da ISO 31000 começa na seção 4, que trata dos 8 princípios da
gestão de riscos. São eles que norteiam a estruturação e, depois, o processo de gestão de
riscos propriamente dito. Eles tornam a gestão de riscos coerente e pertinente dentro da
organização. Daí a importância de compreendê-los e praticá-los.

Vamos com mais detalhes cada um deles. A gestão de riscos deve ser:

 Integrada: a gestão de riscos não se dá separada das atividades de uma empresa, mas
sim integrada.
 Estruturada e abrangente: ela é feita de maneira sistemática, de acordo com a
criticidade do objeto.
 Personalizada: leva em consideração as especificidades dos objetivos, processos e
ferramentas da organização.
 Inclusiva: leva em consideração partes interessadas.
 Dinâmica: está atenta a mudanças de contexto, a fim de aprender e responder
apropriada e oportunamente a elas.
 Bem informada: toma como entrada de seu processo informações históricas, atuais e
futuras de maeira criteriosa e crítica.
 Atenta a fatores humanos e culturais: envolve colaboradores e se alinha à cultura da
empresa.
 Voltada à melhoria contínua: o clico de gestão de riscos de retroalimenta com base em
experiências e aprendizados a fim de melhorar.