1. G overno das Tecnologias e
dos Sistemas de Informação na Saúde
28/11/2011
Rui Gomes Curso de Engenharia Biomédica - Departamento de
Hospital Fernando Fonseca E.P.E. Engenharia Informática –Universidade de Coimbra
2. Ciclo eterno (Onde estamos)
O que não queremos
O que podemos cultivar
Retorno expectável
Conclusões
7. Ciclo eterno (onde estamos)
Nível de risco pela exposição de um sistema de informação
por sector de actividade
8. O que não queremos
Estado de “sítio” hospitais?
? ? ? ?
controlo
TI comité
políticas Outsourcing procedimentos
reduzido segurança
? ? ? ? ? ?
gestão controlo
gestão identificação gestão
serviços de informação
pessoas identidades
(ITIL) acessos
? ? ? ? ? ?
definição gestão
protecção aspectos
zonas auditoria de
incêndios legais
críticas incidências
? ? ? ? ? workflow
?
gestão plano
gestão electronic
backups de continuidade
risco negócio
&
assets
hardcopy
? ? ? ? ? ?
políticas
hardening
plano
disaster
recover
conformidades
credenciais
SGRH
…
? ? ? ?
9. O que podemos cultivar
Para evitar o Estado de Sítio a organização deve
implementar um modelo de governo no qual seja
estabelecida uma estrutura organizacional onde estejam
bem definidas os papéis e as responsabilidades pela
informação, os processos de negócio, aplicações, infra-
estrutura, etc.
10. O que podemos cultivar
Qual o alinhamento da Gestão dos hospitais com os
SI/TI?
CA
Direcção Direcção Direcção Direcção Direcção
Logística Produção RH Financeira SI/TI
11. O que podemos cultivar
Adopção de uma estratégia
que permita fazer crescer a
componente de SI/TI ao nível
do IT Governance
Pensar no futuro
Orientada ao negócio
12. O que podemos cultivar
Qual o alinhamento da Gestão dos hospitais com os
SI/TI?
13. O que podemos cultivar
Qual o alinhamento dos profissionais de saúde
com a introdução dos SI/TI?
Rogers Innovation Adopters Curve
14. O que podemos cultivar
Aplicação do IT Governance garante pelo menos…
Assegurar que os investimentos em TI geram valor de negócio;
Atenuar os riscos associados à introdução das TI.
O “segredo” está nas pessoas e nas suas responsabilidades
15. O que podemos cultivar
(In)Segurança actualmente
aumento da exposição ao risco
complexidade dos riscos
complexidade na protecção riscos
Significa que os mecanismos de protecção não são suficientes
i)é preciso vigiar os riscos
ii)e melhorar mecanismos de protecção
hint: É necessário gerir a segurança!
16. O que podemos cultivar
Metodologia a utilizar
Quais as melhores práticas para a gestão da segurança?
Qual o melhor processo de avaliação de riscos?
Quais as melhores práticas de protecção?
Quais as formas de comparar com melhor da indústria?
hint: procurar uma certificação é uma boa opção pois dá
visibilidade que sustenta o investimento
19. O que podemos cultivar
Metodologia a utilizar
Compreender o papel dos frameworks
disponíveis
nota: ISO 27001 é a unica certificação de gestão da segurança
da informação para organismos
20. O que podemos cultivar
Metodologia a utilizar
Por exemplo
ISO 27799:2008
Health informatics — Information security
management in health using ISO/IEC 27002
25. O que podemos cultivar
Evitar as más práticas e gerir o RISCO
26. O que podemos cultivar
Metodologia a utilizar
O Risco é a relação entre a probabilidade e o impacto. É a
base para a identificação dos pontos que necessitam de
“investimento” em Segurança da Informação.
hint: É necessário gerir a segurança!
29. O que podemos cultivar
Controlo do Risco
Ex.
Comprar igual Ex.
aos outros Decidir NÃO
Ex. Ex.
Funciona mal mas Implementar
não é caso de vida & gerir o risco
ou morte!
32. O que podemos cultivar
Código de Boas Práticas ISO 27002
Controlos de segurança da informação (11 areas)
1 Política de Segurança da Informação ISO/IEC-17799:2000
2 Organização da Segurança da Informação ISO/IEC-17799:2000
3 Gestão de Recursos (classificação de assets) ISO/IEC-17799:2000
4 Gestão de Recursos Humanos ISO/IEC-17799:2000
5 Gestão da segurança física e ambiental ISO/IEC-17799:2000
6 Gestão das Comunicações e Operações ISO/IEC-17799:2000
7 Controlo de acessos ISO/IEC-17799:2000
8 Aquisições, manutenções e desenvolvimento de sistemas ISO/IEC-17799:2000
9 Gestão de incidentes de segurança da informação ISO/IEC-17799:2005
10 Plano de gestão da continuidade de negócio ISO/IEC-17799:2000
11 Conformidade com os aspectos legais ISO/IEC-17799:2000
nota: o Código não recomenda tecnologias mas unicamente
estratégias a serem adaptadas à organização
33. O que podemos cultivar
1 - Política de segurança da informação
Definição da segurança da informação aprovada pelo CA
(objectos, abrangência e importância)
Definição príncipios, normas e conformidades de relevo
Referências a documentos ou processos externos
Comunicação a TODA a organização e responsabilização
34. O que podemos cultivar
2 - Organização da Segurança
Coordenação da segurança (forum)
Alocação das responsabilidades
Classificação da informação
Acordos confidencialidade
Revisão da segurança (entidade isenta)
Identificação dos riscos externos
Acordos com partes terceiras
Gerir a segurança da informação na organização
35. O que podemos cultivar
3 - Classificação e controlo de recursos
(hardware, software, informação, pessoas)
Inventário de recursos (informação
electrónica, papel, registos
video, som, software, físicos, elementos humanos, serviços
contratados, etc..)
Responsabilidade pelos recursos (elemento humano é o
elo mais fraco)
Classificação de recursos
(regras, etiquetagem, manuseamento)
Manter um nível de protecção apropriado dos activos da
organização e garantir que os activos de informação são alvo
de um grau de protecção apropriado.
nota: assets são todos aqueles que pela sua ausência ou degradação
podem ter impacto na entrega de produtos ou serviços na organização
ou causar danos com a perda da confidencialidade ou integridade
36. O que podemos cultivar
4 – Gestão de recursos humanos
Verificação de credenciais
(habilitações, curriculo, competências, acordos
confidencialidade, etc.);
Término das responsabilidades devolução de recursos e
dos direitos de acesso), processos disciplinares;
Elo mais
fraco Reduzir os riscos de erro humano, roubo, fraude ou má
utilização das instalações;
Garantir que os utilizadores estão cientes dos cuidados a
ter e das ameaças existentes à segurança da informação, e
que os mesmos dispõem de equipamentos que lhes
permitam dar suporte à política de segurança da
organização no curso do é a forma mais comum de ataque por
Nota: A engenharia social
seu trabalho;
este activo. Processo de mudar o comportamento das pessoas
37. O que podemos cultivar
5 - Segurança física e ambiental
Perímetro da segurança, controlos de entrada e
saída, protecção contra ameaças externas e ambiente;
Manutenção, protecção e acondicionamento dos
equipamentos;
Areas de acesso público, cargas e descargas;
Segurança da cablagem;
Destruição e re-utilização segura do equipamento;
Prevenir o acesso não autorizado, danos ou
interferência na informação e nas instalações físicas do
negócio;
Prevenir a perda, danos ou comprometimento dos
activos e a interrupção nas actividades do negócio;
38. O que podemos cultivar
6 - Gestão das operações e comunicações
(computadores e redes)
Monitorização e revisão serviço terceiros
Gestão das operações em redes e transmissões;
Salvaguarda da informação (backups) e protecção
infraestrutura suporte, antivirus, etc..;
Políticas e procedimentos escritos e aprovados para
troca/partilha de informação
Minimizar o risco de falhas nos sistemas;
Proteger a integridade das aplicações e da informação e
comunicação;
Prevenir a perda, modificação ou má utilização da
informação trocada entre organizações.
39. O que podemos cultivar
7 - Controlo de acesso lógico
Políticas e regras para controlo de acesso (previlégios
minimos, separação das responsabilidades)
Gestão dos utilizadores
Controlo acesso (rede, S.O., aplicações, etc..)
Monitorização de acessos e de utilização
Clear Desk e Clear Screen (hardening)
Computação móvel e ligações remotas
Controlar o acesso à informação;
Impedir o acesso não autorizado aos sistemas de
informação;
Assegurar a protecção dos serviços ligados em rede;
40. Metodologia a utilizar
8 - Aquisição, desenvolvimento e
manutenção de Sistemas de Informação
Vulnerabilidades na aquisição de sistemas
(especificação de requisitos) ;
Restrições a impor ao desenvolvimento e manutenção
de software em outsourcing;
Garantir a inclusão de mecanismos de segurança nos
sistemas operativos; Códigos abertos !!
Prevenir a perda, modificação ou má utilização dos
dados dos utilizadores em aplicações dos sistemas;
Proteger a confidencialidade, autenticidade e
integridade da informação;
Assegurar que os projectos informáticos e actividades
de suporte são levados a cabo de forma segura;
41. O que podemos cultivar
9 - Gestão de incidentes de segurança da
informação
Comunicação de eventos de segurança da informação
Comunicação de falhas de segurança
Registos de incidentes de segurança
Responsabilidades e procedimentos
Colecção de evidências para melhorar
Monitorização e reavaliar os controlos
42. O que podemos cultivar
10 - Gestão da continuidade de negócio (PCN)
Deve ser elaborado um plano (política) para salvaguardar
que o negócio da instituição não é interrompido por
incidentes de segurança
Iniciação e gestão projecto
Análise de impacto para o negócio
Estratégias de recuperação
Elaboração de planos
Testes, manutenção e formação
Reagir no caso de se verificarem interrupções nas
actividades ou processos críticos do negócio, provocados
por falhas graves ou desastres.
nota: É neste capítulo que cabe por exemplo as práticas
de disaster recovery
43. O que podemos cultivar
11 – Conformidades com aspectos legais
Legislação aplicável e conformidade com políticas e
normas
Direitos de propriedade intelectual, protecção dos
dados e privacidade de informação pessoal
Protecção e arquivo de registos da organização
(virus, erro humano, ataques, violação
acessos, desastres, anomalias hardware, software, etc..)
Assegurar a adequação dos sistemas aos “standards”
ou políticas de segurança organizacionais;
Maximizar a eficácia e minimizar a interferência
com/do processo de auditoria de sistemas.
44. “Sem uma gestão formal da segurança da
informação, a segurança vai ser quebrada algures no
tempo”
Visão adaptada do ISO/IEC-17799
para a Saúde
(actual ISO/IEC 27799)
47. Conclusões
Não é possível manter a segurança sem planear a sua gestão;
Os organismos estão muito atrasados neste sector;
Não existe such thing segurança total;
Implementar controlos permite minimizar riscos;
Só o ISO 27001 permite certificar a gestão da segurança;
Implementar a norma exige grandes mudanças estruturais no âmbito das
tecnologias e dos comportamentos;
Pode ter custos de investimentos elevados mas com retorno visível.
48. Método para desenvolvimento de um
relatório de avaliação inicial
Resposta a um framework (Gap Analysis)
Saber em que estágio se encontra o hospital em matéria de segurança
da informação
Reconhecer algumas das vulnerabilidades, ameaças e riscos mais
relevantes;
Delinear um roadmap que poderia ser estabelecido para um projecto de
certificação
Determinar que recursos e que Project Plan consegue ter associados