SlideShare una empresa de Scribd logo

Gestão de Sistemas de Informação na Saúde

Descargar como PPTX, PDF
Rui Gomes
Rui Gomes
Tecnología
1 de 50
G overno das Tecnologias e dos Sistemas de Informação na Saúde 28/11/2011 Rui Gomes Curso de Engenharia Biomédica - Departamento de Hospital Fernando Fonseca E.P.E. Engenharia Informática –Universidade de Coimbra
 Ciclo eterno (Onde estamos)  O que não queremos  O que podemos cultivar  Retorno expectável  Conclusões
Ciclo eterno (onde estamos) Árvore
Ciclo eterno (onde estamos) Floresta
Ciclo eterno (onde estamos) Infra-estruturas 10 anos Maturidade 10 anos
Ciclo eterno (onde estamos) Nível de risco pela exposição de um sistema de informação por sector de actividade
O que não queremos Estado de “sítio” hospitais? ? ? ? ? controlo TI comité políticas Outsourcing procedimentos reduzido segurança ? ? ? ? ? ? gestão controlo gestão identificação gestão serviços de informação pessoas identidades (ITIL) acessos ? ? ? ? ? ? definição gestão protecção aspectos zonas auditoria de incêndios legais críticas incidências ? ? ? ? ? workflow ? gestão plano gestão electronic backups de continuidade risco negócio & assets hardcopy ? ? ? ? ? ? políticas hardening plano disaster recover conformidades credenciais SGRH … ? ? ? ?
O que podemos cultivar Para evitar o Estado de Sítio a organização deve implementar um modelo de governo no qual seja estabelecida uma estrutura organizacional onde estejam bem definidas os papéis e as responsabilidades pela informação, os processos de negócio, aplicações, infra- estrutura, etc.
O que podemos cultivar Qual o alinhamento da Gestão dos hospitais com os SI/TI? CA Direcção Direcção Direcção Direcção Direcção Logística Produção RH Financeira SI/TI
O que podemos cultivar Adopção de uma estratégia que permita fazer crescer a componente de SI/TI ao nível do IT Governance  Pensar no futuro  Orientada ao negócio
O que podemos cultivar Qual o alinhamento da Gestão dos hospitais com os SI/TI?
O que podemos cultivar Qual o alinhamento dos profissionais de saúde com a introdução dos SI/TI? Rogers Innovation Adopters Curve
O que podemos cultivar Aplicação do IT Governance garante pelo menos…  Assegurar que os investimentos em TI geram valor de negócio;  Atenuar os riscos associados à introdução das TI. O “segredo” está nas pessoas e nas suas responsabilidades
O que podemos cultivar (In)Segurança actualmente aumento da exposição ao risco complexidade dos riscos complexidade na protecção riscos Significa que os mecanismos de protecção não são suficientes i)é preciso vigiar os riscos ii)e melhorar mecanismos de protecção hint: É necessário gerir a segurança!
O que podemos cultivar Metodologia a utilizar Quais as melhores práticas para a gestão da segurança?  Qual o melhor processo de avaliação de riscos? Quais as melhores práticas de protecção? Quais as formas de comparar com melhor da indústria? hint: procurar uma certificação é uma boa opção pois dá visibilidade que sustenta o investimento
O que podemos cultivar Gestão da Mudança
O que podemos cultivar Metodologia a utilizar
O que podemos cultivar Metodologia a utilizar Compreender o papel dos frameworks disponíveis nota: ISO 27001 é a unica certificação de gestão da segurança da informação para organismos
O que podemos cultivar Metodologia a utilizar Por exemplo ISO 27799:2008 Health informatics — Information security management in health using ISO/IEC 27002
O que podemos cultivar Metodologia a utilizar
O que podemos cultivar Metodologia a utilizar
O que podemos cultivar Metodologia a utilizar
O que podemos cultivar Metodologia a utilizar
O que podemos cultivar Evitar as más práticas e gerir o RISCO
O que podemos cultivar Metodologia a utilizar O Risco é a relação entre a probabilidade e o impacto. É a base para a identificação dos pontos que necessitam de “investimento” em Segurança da Informação. hint: É necessário gerir a segurança!
O que podemos cultivar Controlo do Risco
O que podemos cultivar Controlo do Risco Ex. Comprar igual Ex. aos outros Decidir NÃO Ex. Ex. Funciona mal mas Implementar não é caso de vida & gerir o risco ou morte!
O que podemos cultivar
O que podemos cultivar
O que podemos cultivar Código de Boas Práticas ISO 27002 Controlos de segurança da informação (11 areas) 1 Política de Segurança da Informação ISO/IEC-17799:2000 2 Organização da Segurança da Informação ISO/IEC-17799:2000 3 Gestão de Recursos (classificação de assets) ISO/IEC-17799:2000 4 Gestão de Recursos Humanos ISO/IEC-17799:2000 5 Gestão da segurança física e ambiental ISO/IEC-17799:2000 6 Gestão das Comunicações e Operações ISO/IEC-17799:2000 7 Controlo de acessos ISO/IEC-17799:2000 8 Aquisições, manutenções e desenvolvimento de sistemas ISO/IEC-17799:2000 9 Gestão de incidentes de segurança da informação ISO/IEC-17799:2005 10 Plano de gestão da continuidade de negócio ISO/IEC-17799:2000 11 Conformidade com os aspectos legais ISO/IEC-17799:2000 nota: o Código não recomenda tecnologias mas unicamente estratégias a serem adaptadas à organização
O que podemos cultivar 1 - Política de segurança da informação  Definição da segurança da informação aprovada pelo CA (objectos, abrangência e importância)  Definição príncipios, normas e conformidades de relevo  Referências a documentos ou processos externos  Comunicação a TODA a organização e responsabilização
O que podemos cultivar 2 - Organização da Segurança  Coordenação da segurança (forum)  Alocação das responsabilidades  Classificação da informação  Acordos confidencialidade  Revisão da segurança (entidade isenta)  Identificação dos riscos externos  Acordos com partes terceiras Gerir a segurança da informação na organização
O que podemos cultivar 3 - Classificação e controlo de recursos (hardware, software, informação, pessoas)  Inventário de recursos (informação electrónica, papel, registos video, som, software, físicos, elementos humanos, serviços contratados, etc..)  Responsabilidade pelos recursos (elemento humano é o elo mais fraco)  Classificação de recursos (regras, etiquetagem, manuseamento) Manter um nível de protecção apropriado dos activos da organização e garantir que os activos de informação são alvo de um grau de protecção apropriado. nota: assets são todos aqueles que pela sua ausência ou degradação podem ter impacto na entrega de produtos ou serviços na organização ou causar danos com a perda da confidencialidade ou integridade
O que podemos cultivar 4 – Gestão de recursos humanos  Verificação de credenciais (habilitações, curriculo, competências, acordos confidencialidade, etc.); Término das responsabilidades devolução de recursos e dos direitos de acesso), processos disciplinares; Elo mais fraco Reduzir os riscos de erro humano, roubo, fraude ou má utilização das instalações;  Garantir que os utilizadores estão cientes dos cuidados a ter e das ameaças existentes à segurança da informação, e que os mesmos dispõem de equipamentos que lhes permitam dar suporte à política de segurança da organização no curso do é a forma mais comum de ataque por Nota: A engenharia social seu trabalho; este activo. Processo de mudar o comportamento das pessoas
O que podemos cultivar 5 - Segurança física e ambiental  Perímetro da segurança, controlos de entrada e saída, protecção contra ameaças externas e ambiente;  Manutenção, protecção e acondicionamento dos equipamentos;  Areas de acesso público, cargas e descargas;  Segurança da cablagem;  Destruição e re-utilização segura do equipamento; Prevenir o acesso não autorizado, danos ou interferência na informação e nas instalações físicas do negócio; Prevenir a perda, danos ou comprometimento dos activos e a interrupção nas actividades do negócio;
O que podemos cultivar 6 - Gestão das operações e comunicações (computadores e redes) Monitorização e revisão serviço terceiros  Gestão das operações em redes e transmissões;  Salvaguarda da informação (backups) e protecção infraestrutura suporte, antivirus, etc..;  Políticas e procedimentos escritos e aprovados para troca/partilha de informação Minimizar o risco de falhas nos sistemas; Proteger a integridade das aplicações e da informação e comunicação; Prevenir a perda, modificação ou má utilização da informação trocada entre organizações.
O que podemos cultivar 7 - Controlo de acesso lógico  Políticas e regras para controlo de acesso (previlégios minimos, separação das responsabilidades)  Gestão dos utilizadores  Controlo acesso (rede, S.O., aplicações, etc..)  Monitorização de acessos e de utilização  Clear Desk e Clear Screen (hardening)  Computação móvel e ligações remotas Controlar o acesso à informação; Impedir o acesso não autorizado aos sistemas de informação; Assegurar a protecção dos serviços ligados em rede;
Metodologia a utilizar 8 - Aquisição, desenvolvimento e manutenção de Sistemas de Informação  Vulnerabilidades na aquisição de sistemas (especificação de requisitos) ; Restrições a impor ao desenvolvimento e manutenção de software em outsourcing; Garantir a inclusão de mecanismos de segurança nos sistemas operativos; Códigos abertos !! Prevenir a perda, modificação ou má utilização dos dados dos utilizadores em aplicações dos sistemas; Proteger a confidencialidade, autenticidade e integridade da informação; Assegurar que os projectos informáticos e actividades de suporte são levados a cabo de forma segura;
O que podemos cultivar 9 - Gestão de incidentes de segurança da informação  Comunicação de eventos de segurança da informação  Comunicação de falhas de segurança  Registos de incidentes de segurança  Responsabilidades e procedimentos  Colecção de evidências para melhorar  Monitorização e reavaliar os controlos
O que podemos cultivar 10 - Gestão da continuidade de negócio (PCN) Deve ser elaborado um plano (política) para salvaguardar que o negócio da instituição não é interrompido por incidentes de segurança  Iniciação e gestão projecto  Análise de impacto para o negócio  Estratégias de recuperação  Elaboração de planos  Testes, manutenção e formação Reagir no caso de se verificarem interrupções nas actividades ou processos críticos do negócio, provocados por falhas graves ou desastres. nota: É neste capítulo que cabe por exemplo as práticas de disaster recovery
O que podemos cultivar 11 – Conformidades com aspectos legais  Legislação aplicável e conformidade com políticas e normas  Direitos de propriedade intelectual, protecção dos dados e privacidade de informação pessoal  Protecção e arquivo de registos da organização (virus, erro humano, ataques, violação acessos, desastres, anomalias hardware, software, etc..) Assegurar a adequação dos sistemas aos “standards” ou políticas de segurança organizacionais; Maximizar a eficácia e minimizar a interferência com/do processo de auditoria de sistemas.
“Sem uma gestão formal da segurança da informação, a segurança vai ser quebrada algures no tempo” Visão adaptada do ISO/IEC-17799 para a Saúde (actual ISO/IEC 27799)
Resultados expectáveis  Organização Processos,  Mitigação do Risco  Visibilidade Qualidade  Confiança stakeholders
Resultados expectáveis
Conclusões  Não é possível manter a segurança sem planear a sua gestão;  Os organismos estão muito atrasados neste sector;  Não existe such thing segurança total;  Implementar controlos permite minimizar riscos;  Só o ISO 27001 permite certificar a gestão da segurança;  Implementar a norma exige grandes mudanças estruturais no âmbito das tecnologias e dos comportamentos;  Pode ter custos de investimentos elevados mas com retorno visível.
Método para desenvolvimento de um relatório de avaliação inicial Resposta a um framework (Gap Analysis)  Saber em que estágio se encontra o hospital em matéria de segurança da informação  Reconhecer algumas das vulnerabilidades, ameaças e riscos mais relevantes;  Delinear um roadmap que poderia ser estabelecido para um projecto de certificação  Determinar que recursos e que Project Plan consegue ter associados
Método para desenvolvimento de um relatório de avaliação inicial Resposta a um framework (Gap Analysis)
Rui@Gomes.com Obrigado!

Recomendados

Palestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosPalestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosDaryus Strategic Risk Consulting
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoRui Gomes
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewJairo Willian Pereira
 
Mod01 introdução
Mod01 introduçãoMod01 introdução
Mod01 introduçãoFernando Palma
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 

Recomendados

Palestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosPalestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosDaryus Strategic Risk Consulting
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoRui Gomes
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewJairo Willian Pereira
 
Mod01 introdução
Mod01 introduçãoMod01 introdução
Mod01 introduçãoFernando Palma
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Governança de TI
Governança de TIGovernança de TI
Governança de TIHealthMinds Academy
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Fernando Palma
 
Gestãorisco
GestãoriscoGestãorisco
GestãoriscoCelia Mascarenhas
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Robson Peixoto
 
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcElo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcEloGroup
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcEloGroup
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Trabalho De SASI
Trabalho De SASITrabalho De SASI
Trabalho De SASICristiano Garcia
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoFernando Palma
 
Governança de TI
Governança de TIGovernança de TI
Governança de TIRildo (@rildosan) Santos
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012
Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012
Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012Rogerio Peres
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasCompanyWeb
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoEfrain Saavedra
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Ricardo Urbina Miranda
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 

Más contenido relacionado

La actualidad más candente

Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Fernando Palma
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Robson Peixoto
 
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcElo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcEloGroup
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcEloGroup
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoFernando Palma
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012
Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012
Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012Rogerio Peres
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasCompanyWeb
 

La actualidad más candente (17)

Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
 
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcElo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Trabalho De SASI
Trabalho De SASITrabalho De SASI
Trabalho De SASI
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da Informação
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012
Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012
Apresentação sobre fábrica de software para o COGEF (SEFAZ) em 12-11-2012
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
 

Destacado

Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoEfrain Saavedra
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Ricardo Urbina Miranda
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Fernando Palma
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 

Destacado (12)

Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
 

Similar a Gestão de Sistemas de Informação na Saúde

iscte_palestra_SI
iscte_palestra_SIiscte_palestra_SI
iscte_palestra_SIRui Gomes
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - OverviewData Security
 
Software overview portuguese
Software overview portugueseSoftware overview portuguese
Software overview portugueseLilian Schaffer
 
Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomAndracom Solutions
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª Edição[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª EdiçãoAlessandro Almeida
 
CV Giuliano Caranante
CV Giuliano CarananteCV Giuliano Caranante
CV Giuliano Caranantemultipel
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Governança e Gestão - 7ª Aula
Governança e Gestão - 7ª AulaGovernança e Gestão - 7ª Aula
Governança e Gestão - 7ª AulaAlessandro Almeida
 
Resumo abnt nbr_iso_27002_2005
Resumo abnt nbr_iso_27002_2005Resumo abnt nbr_iso_27002_2005
Resumo abnt nbr_iso_27002_2005Vanderson Vawell
 
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...elliando dias
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 

Similar a Gestão de Sistemas de Informação na Saúde (20)

iscte_palestra_SI
iscte_palestra_SIiscte_palestra_SI
iscte_palestra_SI
 
GD ou GICC ?
GD ou GICC ?GD ou GICC ?
GD ou GICC ?
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
4h Consulting
4h Consulting4h Consulting
4h Consulting
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
 
Software overview portuguese
Software overview portugueseSoftware overview portuguese
Software overview portuguese
 
Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | Andracom
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Cobit 2
Cobit 2Cobit 2
Cobit 2
 
[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª Edição[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª Edição
 
CV Giuliano Caranante
CV Giuliano CarananteCV Giuliano Caranante
CV Giuliano Caranante
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009
 
Governança e Gestão - 7ª Aula
Governança e Gestão - 7ª AulaGovernança e Gestão - 7ª Aula
Governança e Gestão - 7ª Aula
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação Corporativa
 
Resumo abnt nbr_iso_27002_2005
Resumo abnt nbr_iso_27002_2005Resumo abnt nbr_iso_27002_2005
Resumo abnt nbr_iso_27002_2005
 
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 

Más de Rui Gomes

Louvor n 178 2015
Louvor n 178 2015 Louvor n 178 2015
Louvor n 178 2015 Rui Gomes
 
Louvor n 178 2015
Louvor n 178 2015 Louvor n 178 2015
Louvor n 178 2015 Rui Gomes
 
Si deconomico
Si deconomicoSi deconomico
Si deconomicoRui Gomes
 
Nota biográfica rg up
Nota biográfica rg upNota biográfica rg up
Nota biográfica rg upRui Gomes
 
Heroes happen here book 2008
Heroes happen here book 2008Heroes happen here book 2008
Heroes happen here book 2008Rui Gomes
 
Hff 1e psos_visit
Hff 1e psos_visitHff 1e psos_visit
Hff 1e psos_visitRui Gomes
 
Compliance poster
Compliance posterCompliance poster
Compliance posterRui Gomes
 
Healthcare IT Governance
Healthcare IT GovernanceHealthcare IT Governance
Healthcare IT GovernanceRui Gomes
 
Heroes happen
Heroes happenHeroes happen
Heroes happenRui Gomes
 
Ruigomes thesis
Ruigomes thesisRuigomes thesis
Ruigomes thesisRui Gomes
 
Sacyl symposium 2013_30092013
Sacyl symposium 2013_30092013Sacyl symposium 2013_30092013
Sacyl symposium 2013_30092013Rui Gomes
 
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGES
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGESIDC TECHDATA PUBLIC ADMINISTRATION CHALLENGES
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGESRui Gomes
 
Presentation barroso european council 25 october 2013
Presentation barroso european council 25 october 2013Presentation barroso european council 25 october 2013
Presentation barroso european council 25 october 2013Rui Gomes
 
Pr ieee f ed rg-iechair
Pr ieee f ed rg-iechairPr ieee f ed rg-iechair
Pr ieee f ed rg-iechairRui Gomes
 
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13Ieee healthcom convite organizacoes de saude_diretores_v14_09_13
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13Rui Gomes
 
Healthcom 2013 invite_s
Healthcom 2013 invite_sHealthcom 2013 invite_s
Healthcom 2013 invite_sRui Gomes
 
Healthcom 2013 invite_s
Healthcom 2013 invite_sHealthcom 2013 invite_s
Healthcom 2013 invite_sRui Gomes
 
Herzig preview
Herzig previewHerzig preview
Herzig previewRui Gomes
 
Apdsi gestao equipamentos_moveis_2
Apdsi gestao equipamentos_moveis_2Apdsi gestao equipamentos_moveis_2
Apdsi gestao equipamentos_moveis_2Rui Gomes
 

Más de Rui Gomes (20)

Louvor n 178 2015
Louvor n 178 2015 Louvor n 178 2015
Louvor n 178 2015
 
Louvor n 178 2015
Louvor n 178 2015 Louvor n 178 2015
Louvor n 178 2015
 
Si deconomico
Si deconomicoSi deconomico
Si deconomico
 
Nota biográfica rg up
Nota biográfica rg upNota biográfica rg up
Nota biográfica rg up
 
Heroes happen here book 2008
Heroes happen here book 2008Heroes happen here book 2008
Heroes happen here book 2008
 
Hff 1e psos_visit
Hff 1e psos_visitHff 1e psos_visit
Hff 1e psos_visit
 
Compliance poster
Compliance posterCompliance poster
Compliance poster
 
Healthcare IT Governance
Healthcare IT GovernanceHealthcare IT Governance
Healthcare IT Governance
 
Heroes happen
Heroes happenHeroes happen
Heroes happen
 
Ruigomes thesis
Ruigomes thesisRuigomes thesis
Ruigomes thesis
 
Articulate
ArticulateArticulate
Articulate
 
Sacyl symposium 2013_30092013
Sacyl symposium 2013_30092013Sacyl symposium 2013_30092013
Sacyl symposium 2013_30092013
 
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGES
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGESIDC TECHDATA PUBLIC ADMINISTRATION CHALLENGES
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGES
 
Presentation barroso european council 25 october 2013
Presentation barroso european council 25 october 2013Presentation barroso european council 25 october 2013
Presentation barroso european council 25 october 2013
 
Pr ieee f ed rg-iechair
Pr ieee f ed rg-iechairPr ieee f ed rg-iechair
Pr ieee f ed rg-iechair
 
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13Ieee healthcom convite organizacoes de saude_diretores_v14_09_13
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13
 
Healthcom 2013 invite_s
Healthcom 2013 invite_sHealthcom 2013 invite_s
Healthcom 2013 invite_s
 
Healthcom 2013 invite_s
Healthcom 2013 invite_sHealthcom 2013 invite_s
Healthcom 2013 invite_s
 
Herzig preview
Herzig previewHerzig preview
Herzig preview
 
Apdsi gestao equipamentos_moveis_2
Apdsi gestao equipamentos_moveis_2Apdsi gestao equipamentos_moveis_2
Apdsi gestao equipamentos_moveis_2
 

Gestão de Sistemas de Informação na Saúde

  • 1. G overno das Tecnologias e dos Sistemas de Informação na Saúde 28/11/2011 Rui Gomes Curso de Engenharia Biomédica - Departamento de Hospital Fernando Fonseca E.P.E. Engenharia Informática –Universidade de Coimbra
  • 2.  Ciclo eterno (Onde estamos)  O que não queremos  O que podemos cultivar  Retorno expectável  Conclusões
  • 3. Ciclo eterno (onde estamos) Árvore
  • 4. Ciclo eterno (onde estamos) Floresta
  • 5. Ciclo eterno (onde estamos) Infra-estruturas 10 anos Maturidade 10 anos
  • 6.
  • 7. Ciclo eterno (onde estamos) Nível de risco pela exposição de um sistema de informação por sector de actividade
  • 8. O que não queremos Estado de “sítio” hospitais? ? ? ? ? controlo TI comité políticas Outsourcing procedimentos reduzido segurança ? ? ? ? ? ? gestão controlo gestão identificação gestão serviços de informação pessoas identidades (ITIL) acessos ? ? ? ? ? ? definição gestão protecção aspectos zonas auditoria de incêndios legais críticas incidências ? ? ? ? ? workflow ? gestão plano gestão electronic backups de continuidade risco negócio & assets hardcopy ? ? ? ? ? ? políticas hardening plano disaster recover conformidades credenciais SGRH … ? ? ? ?
  • 9. O que podemos cultivar Para evitar o Estado de Sítio a organização deve implementar um modelo de governo no qual seja estabelecida uma estrutura organizacional onde estejam bem definidas os papéis e as responsabilidades pela informação, os processos de negócio, aplicações, infra- estrutura, etc.
  • 10. O que podemos cultivar Qual o alinhamento da Gestão dos hospitais com os SI/TI? CA Direcção Direcção Direcção Direcção Direcção Logística Produção RH Financeira SI/TI
  • 11. O que podemos cultivar Adopção de uma estratégia que permita fazer crescer a componente de SI/TI ao nível do IT Governance  Pensar no futuro  Orientada ao negócio
  • 12. O que podemos cultivar Qual o alinhamento da Gestão dos hospitais com os SI/TI?
  • 13. O que podemos cultivar Qual o alinhamento dos profissionais de saúde com a introdução dos SI/TI? Rogers Innovation Adopters Curve
  • 14. O que podemos cultivar Aplicação do IT Governance garante pelo menos…  Assegurar que os investimentos em TI geram valor de negócio;  Atenuar os riscos associados à introdução das TI. O “segredo” está nas pessoas e nas suas responsabilidades
  • 15. O que podemos cultivar (In)Segurança actualmente aumento da exposição ao risco complexidade dos riscos complexidade na protecção riscos Significa que os mecanismos de protecção não são suficientes i)é preciso vigiar os riscos ii)e melhorar mecanismos de protecção hint: É necessário gerir a segurança!
  • 16. O que podemos cultivar Metodologia a utilizar Quais as melhores práticas para a gestão da segurança?  Qual o melhor processo de avaliação de riscos? Quais as melhores práticas de protecção? Quais as formas de comparar com melhor da indústria? hint: procurar uma certificação é uma boa opção pois dá visibilidade que sustenta o investimento
  • 17. O que podemos cultivar Gestão da Mudança
  • 18. O que podemos cultivar Metodologia a utilizar
  • 19. O que podemos cultivar Metodologia a utilizar Compreender o papel dos frameworks disponíveis nota: ISO 27001 é a unica certificação de gestão da segurança da informação para organismos
  • 20. O que podemos cultivar Metodologia a utilizar Por exemplo ISO 27799:2008 Health informatics — Information security management in health using ISO/IEC 27002
  • 21. O que podemos cultivar Metodologia a utilizar
  • 22. O que podemos cultivar Metodologia a utilizar
  • 23. O que podemos cultivar Metodologia a utilizar
  • 24. O que podemos cultivar Metodologia a utilizar
  • 25. O que podemos cultivar Evitar as más práticas e gerir o RISCO
  • 26. O que podemos cultivar Metodologia a utilizar O Risco é a relação entre a probabilidade e o impacto. É a base para a identificação dos pontos que necessitam de “investimento” em Segurança da Informação. hint: É necessário gerir a segurança!
  • 27.
  • 28. O que podemos cultivar Controlo do Risco
  • 29. O que podemos cultivar Controlo do Risco Ex. Comprar igual Ex. aos outros Decidir NÃO Ex. Ex. Funciona mal mas Implementar não é caso de vida & gerir o risco ou morte!
  • 30. O que podemos cultivar
  • 31. O que podemos cultivar
  • 32. O que podemos cultivar Código de Boas Práticas ISO 27002 Controlos de segurança da informação (11 areas) 1 Política de Segurança da Informação ISO/IEC-17799:2000 2 Organização da Segurança da Informação ISO/IEC-17799:2000 3 Gestão de Recursos (classificação de assets) ISO/IEC-17799:2000 4 Gestão de Recursos Humanos ISO/IEC-17799:2000 5 Gestão da segurança física e ambiental ISO/IEC-17799:2000 6 Gestão das Comunicações e Operações ISO/IEC-17799:2000 7 Controlo de acessos ISO/IEC-17799:2000 8 Aquisições, manutenções e desenvolvimento de sistemas ISO/IEC-17799:2000 9 Gestão de incidentes de segurança da informação ISO/IEC-17799:2005 10 Plano de gestão da continuidade de negócio ISO/IEC-17799:2000 11 Conformidade com os aspectos legais ISO/IEC-17799:2000 nota: o Código não recomenda tecnologias mas unicamente estratégias a serem adaptadas à organização
  • 33. O que podemos cultivar 1 - Política de segurança da informação  Definição da segurança da informação aprovada pelo CA (objectos, abrangência e importância)  Definição príncipios, normas e conformidades de relevo  Referências a documentos ou processos externos  Comunicação a TODA a organização e responsabilização
  • 34. O que podemos cultivar 2 - Organização da Segurança  Coordenação da segurança (forum)  Alocação das responsabilidades  Classificação da informação  Acordos confidencialidade  Revisão da segurança (entidade isenta)  Identificação dos riscos externos  Acordos com partes terceiras Gerir a segurança da informação na organização
  • 35. O que podemos cultivar 3 - Classificação e controlo de recursos (hardware, software, informação, pessoas)  Inventário de recursos (informação electrónica, papel, registos video, som, software, físicos, elementos humanos, serviços contratados, etc..)  Responsabilidade pelos recursos (elemento humano é o elo mais fraco)  Classificação de recursos (regras, etiquetagem, manuseamento) Manter um nível de protecção apropriado dos activos da organização e garantir que os activos de informação são alvo de um grau de protecção apropriado. nota: assets são todos aqueles que pela sua ausência ou degradação podem ter impacto na entrega de produtos ou serviços na organização ou causar danos com a perda da confidencialidade ou integridade
  • 36. O que podemos cultivar 4 – Gestão de recursos humanos  Verificação de credenciais (habilitações, curriculo, competências, acordos confidencialidade, etc.); Término das responsabilidades devolução de recursos e dos direitos de acesso), processos disciplinares; Elo mais fraco Reduzir os riscos de erro humano, roubo, fraude ou má utilização das instalações;  Garantir que os utilizadores estão cientes dos cuidados a ter e das ameaças existentes à segurança da informação, e que os mesmos dispõem de equipamentos que lhes permitam dar suporte à política de segurança da organização no curso do é a forma mais comum de ataque por Nota: A engenharia social seu trabalho; este activo. Processo de mudar o comportamento das pessoas
  • 37. O que podemos cultivar 5 - Segurança física e ambiental  Perímetro da segurança, controlos de entrada e saída, protecção contra ameaças externas e ambiente;  Manutenção, protecção e acondicionamento dos equipamentos;  Areas de acesso público, cargas e descargas;  Segurança da cablagem;  Destruição e re-utilização segura do equipamento; Prevenir o acesso não autorizado, danos ou interferência na informação e nas instalações físicas do negócio; Prevenir a perda, danos ou comprometimento dos activos e a interrupção nas actividades do negócio;
  • 38. O que podemos cultivar 6 - Gestão das operações e comunicações (computadores e redes) Monitorização e revisão serviço terceiros  Gestão das operações em redes e transmissões;  Salvaguarda da informação (backups) e protecção infraestrutura suporte, antivirus, etc..;  Políticas e procedimentos escritos e aprovados para troca/partilha de informação Minimizar o risco de falhas nos sistemas; Proteger a integridade das aplicações e da informação e comunicação; Prevenir a perda, modificação ou má utilização da informação trocada entre organizações.
  • 39. O que podemos cultivar 7 - Controlo de acesso lógico  Políticas e regras para controlo de acesso (previlégios minimos, separação das responsabilidades)  Gestão dos utilizadores  Controlo acesso (rede, S.O., aplicações, etc..)  Monitorização de acessos e de utilização  Clear Desk e Clear Screen (hardening)  Computação móvel e ligações remotas Controlar o acesso à informação; Impedir o acesso não autorizado aos sistemas de informação; Assegurar a protecção dos serviços ligados em rede;
  • 40. Metodologia a utilizar 8 - Aquisição, desenvolvimento e manutenção de Sistemas de Informação  Vulnerabilidades na aquisição de sistemas (especificação de requisitos) ; Restrições a impor ao desenvolvimento e manutenção de software em outsourcing; Garantir a inclusão de mecanismos de segurança nos sistemas operativos; Códigos abertos !! Prevenir a perda, modificação ou má utilização dos dados dos utilizadores em aplicações dos sistemas; Proteger a confidencialidade, autenticidade e integridade da informação; Assegurar que os projectos informáticos e actividades de suporte são levados a cabo de forma segura;
  • 41. O que podemos cultivar 9 - Gestão de incidentes de segurança da informação  Comunicação de eventos de segurança da informação  Comunicação de falhas de segurança  Registos de incidentes de segurança  Responsabilidades e procedimentos  Colecção de evidências para melhorar  Monitorização e reavaliar os controlos
  • 42. O que podemos cultivar 10 - Gestão da continuidade de negócio (PCN) Deve ser elaborado um plano (política) para salvaguardar que o negócio da instituição não é interrompido por incidentes de segurança  Iniciação e gestão projecto  Análise de impacto para o negócio  Estratégias de recuperação  Elaboração de planos  Testes, manutenção e formação Reagir no caso de se verificarem interrupções nas actividades ou processos críticos do negócio, provocados por falhas graves ou desastres. nota: É neste capítulo que cabe por exemplo as práticas de disaster recovery
  • 43. O que podemos cultivar 11 – Conformidades com aspectos legais  Legislação aplicável e conformidade com políticas e normas  Direitos de propriedade intelectual, protecção dos dados e privacidade de informação pessoal  Protecção e arquivo de registos da organização (virus, erro humano, ataques, violação acessos, desastres, anomalias hardware, software, etc..) Assegurar a adequação dos sistemas aos “standards” ou políticas de segurança organizacionais; Maximizar a eficácia e minimizar a interferência com/do processo de auditoria de sistemas.
  • 44. “Sem uma gestão formal da segurança da informação, a segurança vai ser quebrada algures no tempo” Visão adaptada do ISO/IEC-17799 para a Saúde (actual ISO/IEC 27799)
  • 45. Resultados expectáveis  Organização Processos,  Mitigação do Risco  Visibilidade Qualidade  Confiança stakeholders
  • 47. Conclusões  Não é possível manter a segurança sem planear a sua gestão;  Os organismos estão muito atrasados neste sector;  Não existe such thing segurança total;  Implementar controlos permite minimizar riscos;  Só o ISO 27001 permite certificar a gestão da segurança;  Implementar a norma exige grandes mudanças estruturais no âmbito das tecnologias e dos comportamentos;  Pode ter custos de investimentos elevados mas com retorno visível.
  • 48. Método para desenvolvimento de um relatório de avaliação inicial Resposta a um framework (Gap Analysis)  Saber em que estágio se encontra o hospital em matéria de segurança da informação  Reconhecer algumas das vulnerabilidades, ameaças e riscos mais relevantes;  Delinear um roadmap que poderia ser estabelecido para um projecto de certificação  Determinar que recursos e que Project Plan consegue ter associados
  • 49. Método para desenvolvimento de um relatório de avaliação inicial Resposta a um framework (Gap Analysis)