14 CAPSI/2014

-Artigos-

Prticas de Segurana da Informao num Centro Hospitalar

Sabina Mota Santos 1, Lus Silva Rodrigues 2, Domingos Silva Pereira3.
1) ISCAP/IPP, Portugal
sabina.mota.santos@gmail.com

2) ISCAP/IPP, Portugal
lsr@iscap.ipp.pt

3) Portugal
dmspdlf@gmail.com

Resumo
As Tecnologias e Sistemas de Informao (TSI) esto presentes em vrios domnios da rede
organizacional do mundo inteiro, sendo o desenvolvimento de um bom sistema de gesto
da informao crucial para o funcionamento de qualquer organizao. , portanto,
necessrio garantir que a informao est protegida e que o sistema de informao est em
conformidade com o conjunto de normas da rea de segurana da informao seguido pela
organizao. Este artigo pretende elaborar uma avaliao do sistema de gesto em termos
de segurana da informao de um centro hospitalar, seguindo os requisitos e
recomendaes de um framework utilizado a nvel mundial na rea de auditoria de sistemas
de informao.

Palavras chave: Segurana da Informao, ISO27001, ITIL, COBIT

1. Introduo
Na era em que nos encontramos, o poder da informao adquiriu um papel muito importante no
mundo organizacional. Todas as organizaes lidam com informao respeitante ao negcio,
aos seus colaboradores, parceiros, utilizadores, etc., e precisam de garantir que a mesma
fidedigna e est protegida para que possam us-la como base no seu negcio.
Nos ltimos anos, tem-se assistido a um desenvolvimento nas normas que visam apoiar as
organizaes na implementao de um sistema de gesto de segurana da informao. Esta
necessidade surge num cenrio em que as organizaes tm que estar constantemente a
melhorar a sua forma de gerir e governar para conseguir dar resposta s novas tendncias em
tecnologia e s necessidades que vo surgindo nas organizaes.
Para apoiar no processo de gesto da segurana da informao existem vrias normas, sendo
que os trs mais utilizados a nvel mundial so a ISO27001 (Norma internacional que apresenta

254

14 CAPSI/2014
-Artigos-

os requisitos para um sistema de gesto da segurana da informao), a ITIL (Information

Technology Infrastructure Library) e o COBIT (Control Objectives for Information and related
Technology). O facto de apresentarem requisitos ou recomendaes que visam ajudar na gesto
da segurana da informao, permite s organizaes implementar mtodos, princpios,
polticas, entre outros, que j se encontram descritos e compreendidos, e surgem tendo por base
um estudo do universo organizacional ao longo dos ltimos anos.
Quando uma dessas organizaes se trata de um hospital pblico, os dados adquiridos
diariamente esto diretamente ligados sade e bem-estar dos seus utentes. Este tipo de
informao apresenta um teor confidencial e uma importncia vital, que torna necessrio gerir e
proteger essa informao, de modo a garantir que o tratamento prestado ao utente no posto
em causa devido a um mau funcionamento dos sistemas de informao em vigor na
organizao.

2. Segurana da Informao
Segurana trata-se de garantir a proteo contra adversidades, quer estas aconteam de forma
intencional ou no. Segurana da informao estabelece que o foco dessa proteo se encontra
na informao e nos seus elementos mais crticos, tais como os seus sistemas e hardware que
usam, armazenam e processam essa mesma informao [Whitman and Mattord 2008].
O ISACA (Information Systems Audit and Control Association) define segurana da informao
como algo que "garante, dentro da organizao, que a informao protegida da divulgao a
utilizadores no autorizados (confidencialidade), das modificaes inapropriadas (integridade)
e da ausncia de acesso quando requerido (disponibilidade)" [ISACA 2012].
Essa proteo e preveno dos SI tm em vista garantir os elementos bsicos da informao
[NIST 2002]: Confidencialidade s as partes autorizadas que tm acesso informao, e
esse acesso est sujeito definio da forma como acedem e definio do perodo de tempo
em que o mesmo vlido. importante proteger a informao privada tanto do pessoal como da
entidade; Integridade evitar a modificao ou a destruio imprpria da informao,
garantindo que estes atos s so efetuados pelas pessoas autorizadas, por forma a garantir a
autenticidade da informao; e Disponibilidade O acesso e o uso da informao deve ser
atempado e de confiana.
Um dos fatores mais importantes na proteo da informao e seus elementos bsicos, reside na
determinao e constituio de boas bases para uma gesto eficaz da segurana da informao
[ISACA 2010]. Essa gesto est concentrada na prtica de reunir, monitorizar e analisar dados
relacionados com a segurana da informao, enfatizando estratgias de monitorizao contnua

255

14 CAPSI/2014
-Artigos-

ou de avaliaes independentes de controlos de segurana, com o intuito de medir a eficcia que

os controlos implementados e mantidos pelas organizaes tm [Gantz 2014, Rouse 2009].
Um Sistema de Gesto de Segurana da Informao (SGSI) ir ajudar na especificao de quais
os instrumentos e quais os mtodos que a gesto deve utilizar no seu exerccio, conseguindo
dessa forma planear, adotar, implementar, supervisionar e melhorar as tarefas e atividades que
visam alcanar a segurana da informao [BSI 2008]. A projeo e implementao do SGSI
segue uma abordagem de processo e deve ter em ateno as necessidades e objetivos da
organizao, o seu tamanho e estrutura, os seus requisitos de segurana e os processos que se
encontram em funcionamento na mesma [Kouns and Kouns 2011]. Com o apoio do SGSI, todas
as pessoas envolvidas no uso e gesto da informao da organizao podero compreender a um
nvel aceitvel as polticas, normas, procedimentos ou outros requisitos de segurana da
informao que sejam aplicados dentro da organizao [Wright 2005]. Consegue-se desta forma
garantir a confidencialidade, integridade e disponibilidade da informao [Cannon 2008].

3. Normas para a Segurana da Informao nas TSI

Quando se trata de realizar a gesto da segurana da informao, as organizaes comearam a
perceber que era prefervel implementar um conjunto de normas ou procedimentos que fossem
reconhecidos internacionalmente, do que desenvolverem por si s normas ou procedimentos que
se aplicassem exclusivamente sua prpria organizao [Solms 2005].
No mbito de segurana da informao, existem diversas opes tais como: normas da srie
ISO27000 - famlia de normas que ajuda as organizaes a manter os ativos de informao
seguros; lei SOX (Sarbanes-Oxley); COBIT; COSO (Committee of Sponsoring Organizations of
the Treadway Commission); ITIL; etc [Arora 2010]. Estas definem os principais conceitos,
princpios e componentes de gesto de segurana da informao, e oferecem importantes
referncias s organizaes para a aplicao apropriada dessa mesma gesto [Kajava et al.
2006]. Constata-se que as normas mais evidenciadas para uma boa implementao da gesto da
segurana da informao numa organizao so a ISO27001, a ITIL e o COBIT [Susanto et al.
2011, Turner et al. 2008]

3.1 ISO27001
A ISO27001 foi publicada inicialmente em Outubro de 2005 pela ISO (International
Organization for Standardization) e pela IEC (International Electrotechnical Commission)
sendo uma das normas da srie ISO27000, a qual junta um conjunto de normas focado na gesto
dos SGSI [FFIEC 2006; Pelnekar 2011]. A sua verso mais recente data a 2013 e visa

256

14 CAPSI/2014
-Artigos-

providenciar requisitos para estabelecer, implementar, manter e melhorar de forma continuada

um SGSI [ISO 2013]. No entanto, os requisitos apresentados descrevem qual o comportamento
esperado para um SGSI, depois de este estar completamente operacional, no se tratando de
uma norma que enumera passo a passo a definio e construo de um SGSI [BSIgroup 2014].
Segundo esta norma, um SGSI est planeado para preservar a confidencialidade, integridade e
disponibilidade da informao atravs da aplicao de um processo de gesto de risco, e para
garantir a confiana s partes interessadas da organizao de que os riscos esto a ser
devidamente geridos [ISO 2013].
A ISO27001 prev que os objetivos de controlo e os controlos sejam diretamente derivados da
ISO27002 (Norma internacional que apresenta o cdigo de boas prticas para os controlos de
segurana da informao), na qual se encontram 114 controlos de segurana [BSIgroup 2014].
tambm referido que, ao contrrio da verso anterior, o modelo Plan-Do-Check-Act (PDCA)
no o modelo base e que outras metodologias podero ser utilizadas pelas organizaes para a
estruturao dos processos do SGSI, uma vez que um dos requisitos a melhoria contnua e o
modelo PDCA s uma das diferentes abordagens que permitem atingir esse fim [BSIgroup
2014]
A ISO faz ainda aluso necessidade de cumprir os requisitos especificados nas seces da
ISO27001, para que seja verdade que a organizao se encontra em conformidade com esta
norma internacional [ISO 2013]. Esta certificao potencia a forma como visto o compromisso
das empresas em cumprir com as obrigaes perante clientes e parceiros. O crescente interesse
na certificao ISO27001 deve-se proliferao de ameaas informao e ao aumento das
exigncias regulatrias e legais que se relacionam com a proteo da informao. O facto de
esta ter sido construda com a garantia de compatibilidade com outras normas de gesto, tais
como a ISO9001 (norma internacional que apresenta critrios para um sistema de gesto da
qualidade adequado), a ISO14001 (norma internacional que apresenta critrios para um sistema
de gesto ambiental adequado) e a srie ISO20000 (famlia de normas internacionais que tratam
sistemas de gesto de servios), ajuda bastante no aumento do interesse em obter esta
certificao por parte das empresas [Calder 2013].
Ao implementar a ISO27001, as organizaes podem usar esta norma como um referencial
quando se trata da comparao com os seus concorrentes, para alm de permitir providenciar
informao relevante sobre a segurana de TSI a fornecedores e a clientes. Esta norma pode
contribuir para aumentar a conscincia de segurana entre a comunidade da organizao e
incentivar o alinhamento entre o negcio e as tecnologias de informao. Fornece uma
estrutura processual para a implementao de segurana de TSI, o que permite determinar o

257

14 CAPSI/2014
-Artigos-

estado da segurana da informao e o grau de cumprimento das polticas, diretrizes e normas

de segurana, ajudando na promoo de uma gesto de custos de segurana eficiente e na
conformidade com leis e regulamentos [Pelnekar 2011].
Resumidamente, a ISO27001, como norma internacional de segurana da informao, que
requer o cumprimento de requisitos para a obteno da certificao, apresenta clusulas e
controlos de segurana especficos que dever-se-o pr em prtica na organizao aquando a
definio, implementao, manuteno e melhoria contnua de um SGSI.
3.2 ITIL
Publicado entre 1989 e 1995 pela CCTA (Central Computer and Telecommunications Agency)
[ITGI 2005], fornece orientaes aos prestadores de servios de TSI, garantindo que o valor do
negcio seja protegido [Meijer et al. 2011]. A sua ltima verso de 2007 sofreu pequenas
melhorias no ano de 2011, e concentra-se em cinco seces fundamentais do ciclo de vida de
um servio (figura 1). Este ciclo de vida parte da definio e anlise dos requisitos do negcio
nas fases de estratgia e de conceo de servio (Service Strategy e Service Design), dando
ateno tambm ao ambiente da organizao na fase da transio do servio (Service
Transition), e visando o funcionamento e a melhoria nas fases de operao do servio e
melhoria continuada do servio (Service Operation e Continual Service Improvement)
[Cartlidge et al. 2007].

Figura 1 Ciclo de Vida de um Servio - ITIL verso 3 [TSO 2007]

258

14 CAPSI/2014
-Artigos-

Mais detalhadamente, nessas cinco etapas, o framework explicita como: determinar requisitos e
quais os servios TSI que devem ser providenciados - Estratgia do Servio; projetar, criar ou
alterar os servios e os processos de gesto dos servios por forma a atingir os requisitos do
negcio - Conceo do Servio; validar a utilidade e o fundamento dos servios e tratar da
transio dos mesmos para a vida real - Transio do Servio; providenciar os servios e
garantir um apoio eficaz e eficiente - Operao do Servio; e garantir que os servios tratam de
forma continuada as necessidades futuras - Melhoria Contnua do Servio. Dentro de cada etapa
existem processos que suportam as diferentes fases enumeradas. Juntamente aos processos,
esto definidas funes, responsabilidades e atividades que se traduzem em recursos, que por
sua vez sero utilizados para fornecer uma estrutura s diferentes etapas do ciclo de vida do
servio [Meijer et al. 2011].
Os tpicos relacionados com a gesto da segurana da informao vo sendo discutidos ao
longo do ciclo de vida do servio, nas cinco diferentes publicaes da ITIL, tendo uma maior
referncia na publicao da Conceo do Servio (Service Design), na sua seco 4.6 [Clinch
2009]. A ITIL prev um processo de gesto da segurana da informao (ISM information
security management) que, por definio, garante a confidencialidade, integridade e
disponibilidade dos ativos, dados e informao de uma organizao. Foca-se em aumentar a
consciencializao dos riscos e problemas de segurana e a forma como estes so tidos em
conta, por forma a garantir o sucesso em cada passo dado na gesto dos servios de TSI [Clinch
2009]. O processo de gesto de segurana usado para a implementao da segurana da
informao dentro de uma organizao e tem como objetivo alinhar a segurana de TSI com a
segurana do negcio no geral, e garantir que a segurana da informao est a ser gerida de
forma eficaz em todos os servios e em todas as atividades de gesto de servios de TSI
[Sheikhpour and Modiri 2012].
Ao referir-se ao SGSI, o framework refere a necessidade do envolvimento dos 4P's - Pessoas,
Processos, Produtos e Parceiros - para que o programa de segurana da informao suporte os
objetivos da organizao. O SGSI apresentado, baseia-se na ISO27001, e est estruturado em 5
elementos base: Controlo, Planeamento, Implementao, Avaliao e Manuteno. Cada um
destes elementos do SGSI tem objetivos a atingir. Com o elemento controlo pretende-se
estabelecer uma estrutura de gesto para definir e gerir a segurana da informao da
organizao, e uma estrutura de organizao que permita preparar, aprovar e implementar a
poltica de segurana da informao. Pretende-se tambm alocar responsabilidades e estabelecer
e documentar os diferentes controlos. Atravs do planeamento, a organizao conseguir
desenvolver e recomendar medidas de segurana adequadas, tendo por base os diferentes
requisitos da organizao. Em termos de implementao, assegura-se que os procedimentos,

259

14 CAPSI/2014
-Artigos-

ferramentas e controlos apropriados esto disponveis e sustentam a poltica de segurana da

informao. Relativamente avaliao, prev-se que seja efetuada uma superviso e verificao
do cumprimento da poltica de segurana, e que sejam realizadas auditorias regulares
segurana dos sistemas de TSI. Por fim, referente ao elemento manuteno, a ITIL apresenta
como objetivos a melhoria dos acordos de segurana especificados, e da implementao de
medidas e controlos de segurana [ITGI 2005].
Apurou-se, ento, que a ITIL apresenta um processo focado na estruturao de um SGSI
adequado, que tem como elementos base o controlo, o planeamento, a implementao, a
avaliao e a manuteno da segurana da informao, e que envolve pessoas, processos,
produtos e parceiros, assegurando que a gesto da segurana da informao est a ser executada
em todos os servios e em todas as atividades de gesto de servios.

3.3 COBIT
O ISACA, juntamente com o ITGI (IT Governance Institute), publicou em 1996, a primeira
verso do COBIT [Susanto et al. 2011]. Atualmente, o COBIT tem como principal objetivo ser
um framework de controlo que apoia as organizaes a garantirem o alinhamento do uso de TSI
com os objetivos de negcio, tendo os seus processos orientados para responder s necessidades
do negcio [Ridley et al. 2004].
O COBIT apresenta 5 princpios bsicos: atender s necessidades das partes interessadas; cobrir
a empresa de ponta a ponta; aplicar um nico framework integrado; possibilitar uma abordagem
holstica; e diferenciar governana e gesto. A orientao e especificao dos princpios so
feitas de forma detalhada atravs de facilitadores de governana e gesto da parte TSI da
organizao. Esses facilitadores esto divididos por 7 categorias: polticas, princpios e
frameworks; processos; estrutura organizacional; cultura, tica e comportamentos; informao;
servios, infraestruturas e aplicaes; e pessoas, e suas habilidades e competncias. Estes foram
definidos com o intuito de apoiar a implementao dos sistemas de governana e gesto de TSI,
tendo em vista o alcance dos objetivos da organizao.
Para alm dos 5 princpios e dos 7 facilitadores, o COBIT apresenta um conjunto de 37
processos (figura 2). Cinco desses processos esto associados ao domnio avaliar, dirigir e
monitorizar (EDM - Evaluate, Direct and Monitor) da rea de governana. Os restantes esto
adjacentes rea de gesto e dividem-se pelos domnios alinhar, planear e organizar (APO Align, Plan and Organize), construir, adquirir e implementar (BAI - Build, Acquire and

260

14 CAPSI/2014
-Artigos-

Implement), entrega, servio e suporte (DSS - Deliver, Service and Support) e monitorizar,
avaliar e aferir (MEA - Monitor, Evaluate and Assess) [ISACA 2012].

Figura 2 Domnios e processos do COBIT entre as reas de governana e gesto [ISACA 2012]

Trata-se de uma boa soluo em circunstncias onde os gestores procuram uma estrutura que
apresente uma soluo integrada por si s, sem que haja necessidade de implementar juntamente
outros frameworks de governana de TSI [Arora 2010], pois, perante a existncia de vrias
normas e boas prticas relacionadas com TSI, o COBIT apresenta na sua documentao um
alinhamento com outras normas e estruturas, sendo, ento, possvel ser utilizado como um
framework de referncia para a governana e gesto de TSI [ISACA 2012].
Numa perspetiva de segurana da informao, o COBIT apresenta uma publicao mais focada
nesta rea, o COBIT 5 para a Segurana da Informao (COBIT5SI) no qual apresenta de forma
mais detalhada a aplicao dos diferentes facilitadores na rea de segurana. Esta publicao
segue os mesmos princpios do COBIT j referidos anteriormente, e descreve como os
facilitadores podem ser postos em prtica de forma a implementar uma governana e gesto de
segurana da informao eficaz e eficiente.
Para tal, apresenta no facilitador Polticas, Princpios e Frameworks de segurana da informao
sugestes de mecanismos de comunicao utilizados para transmitir as instrues da direo e
dos rgos sociais restante organizao no que respeita a segurana da informao. Os
princpios de segurana comunicam as regras a seguir dentro da empresa que servem de apoio
ao alcance dos objetivos de governana definidos pelo conselho de administrao e pela gesto

261

14 CAPSI/2014
-Artigos-

executiva. Esses princpios esto divididos em trs mdulos: suporte ao negcio; defesa do
negcio; e promoo de um comportamento de responsabilidade de segurana da informao.
As polticas, por sua vez, fornecem orientaes mais detalhadas relativamente forma como se
deve pr em prtica os princpios seguidos pela organizao. O COBIT5SI sugere a existncia
de polticas no mbito das funes de segurana da informao e das restantes funes
existentes na organizao.
No que se refere ao facilitador Processos, o COBIT5SI descreve um conjunto de prticas e
atividades para atingir os objetivos da organizao. Esse conjunto constitudo pelos 37
processos j referidos anteriormente, sendo que dois deles, no mbito geral do COBIT, esto
associados segurana da informao: APO13 Gesto da Segurana (no domnio alinhar,
planear e organizar, APO - Align, Plan and Organize), e DSS05 Gesto de Servios de
Segurana (no domnio entrega, servio e suporte, DSS - Deliver, Service and Support). No
mbito da publicao COBIT5SI, apresentada informao especfica de segurana relacionada
com os todos os processos, tanto os de governana e como os de gesto apresentados no
COBIT.
No que toca ao facilitador Estrutura Organizacional, de referir que as estruturas
organizacionais so consideradas as entidades chave para a tomada de deciso dentro da
organizao. Este facilitador apresenta um conjunto de funes diretamente relacionadas com
segurana da informao e pretende que seja executado um conjunto de prticas associadas a
cada uma delas, que ofeream como resultado organizao a tomada de boas decises.
Na rea de Cultura, tica e Comportamento, o ISACA [ISACA 2012] prende a sua ateno no
ciclo de vida cultural, na liderana, assim como no ambiente desejado. Este facilitador visa que
os comportamentos devem ser medidos ao longo do tempo para se conseguir, desta forma, aferir
a cultura de segurana na organizao. Pode-se tambm encontrar uma lista de comportamentos
sugeridos que influenciam positivamente a cultura de segurana da informao.
No COBIT5SI, so analisados tambm os diferentes tipos de informao considerados
relevantes para que a segurana seja garantida, e aconselhada a realizao de uma avaliao da
relao entre os diferentes tipos de informao e os stakeholders, por forma a perceber quais os
colaboradores dentro da organizao que originam, aprovam, so informados ou utilizam
determinada informao. Para alm disso, o COBIT5SI identifica uma lista de servios
relacionados com a segurana que tm um grande potencial de aparecer num catlogo de
servios de segurana e apresenta sugestes de competncias que devem ser cobertas pelos
colaborados da organizao. Desta forma, aborda os restantes facilitadores do COBIT:
Informao; Servios, Infraestruturas e Aplicaes; e Pessoas, Skills e Competncias.

262

14 CAPSI/2014
-Artigos-

Conclui-se que, juntamente com a sua publicao COBIT5SI, o COBIT apresenta os processos,
estrutura organizacional, polticas e informao de TSI, entre outros, que iro permitir uma
adequada gesto e governana da segurana da informao, que estejam alinhadas com os
objetivos de negcio da organizao.

4. Objetivo e Abordagem de Investigao

O principal objetivo passou por analisar uma organizao cuja atividade se relacionasse com a
rea de sade, relativamente sua rea de segurana da informao, apostando numa avaliao
ao sistema de gesto e no tanto numa avaliao mais tcnica. Pretendeu-se perceber se numa
organizao, onde a informao existente est muitas vezes relacionada com assuntos
confidenciais dos seus utentes, existem preocupaes e processos que garantam que essa mesma
informao se encontra protegida e gerida da melhor forma possvel. Assim, e aps a escolha de
uma norma para utilizar como base na estruturao da anlise referida, preparou-se a realizao
de uma comparao entre as orientaes providenciadas por essa norma e aquilo que se punha
em prtica na organizao em anlise, sendo que esta ltima informao seria adquirida atravs
do contacto com um colaborador, pertencente organizao em estudo, que fosse de interesse
para a rea.
Para tal, comeou-se por desenvolver-se uma pesquisa que nos indicasse quais as normas que as
organizaes mais implementavam em termos de segurana da informao. Aps identificar-se
trs normas e desenvolver-se uma anlise comparativa entre as trs, optou-se pela utilizao do
COBIT.
Esta opo baseia-se na reviso da literatura efetuada. Tendo por base uma perspetiva de
utilizao das normas e boas prticas referias dentro de uma organizao, Arora [Arora 2010] ao
realizar uma comparao entre o COBIT e a ISO27001, afirma que o COBIT apresenta uma
soluo de gesto de segurana de informao completa ao contrrio do que acontece com a
norma ISO27001, pois o COBIT apresenta uma boa soluo para combinar no s a rea de
gesto de SGSI mas tambm a de governana de TSI. Por sua vez, Stroud [Stroud 2010]
compara os frameworks ITIL e COBIT, e afirma que o COBIT um framework de governana
de TSI que nos apresenta o que deve ser feito para garantir uma governana adequada dos
processos de TSI, incluindo os de gesto de servios, e que a ITIL complementa o COBIT
apresentando a forma como devem ser planeados, projetados e implementados recursos de
gesto de servios de TSI eficazes. Greenfield [Greenfield 2007] resume a aplicao desta
norma e destes frameworks referindo que o COBIT diz-nos o que monitorizar e controlar, sendo
que a ITIL descreve como proceder para implementar os processos que permitem atingir essa

263

14 CAPSI/2014
-Artigos-

monitorizao e controlo. A ISO27001, por sua vez, estabelece processos que asseguram esses
objetivos e que garantem o alinhamento com requisitos legais.
Optou-se, portanto, pelo framework COBIT, por este apresentar uma viso mais ampla da
gesto e governana da organizao, realizando um conexo com as diferentes reas e a
segurana da informao, e mantendo um alinhamento no s com os objetivos do negcio da
organizao, mas tambm com as outras duas normas analisadas. No entanto, devido extenso
que o COBIT apresenta, reduziu-se o campo de anlise a quatro dos facilitadores enunciados na
seco 3.3: Processos; Princpios, Polticas e Frameworks; Estrutura Organizacional; e
Informao.
O facilitador Processos foi um dos que se considerou na comparao realizada entre a norma e
organizao, e a base desta anlise prende-se na necessidade de obter uma perceo relativa
implementao dos processos, pois estes permitem a obteno dos objetivos traados pela
organizao. Porm, na reviso literria apurou-se que o COBIT, numa perspetiva geral,
apresenta dois processos adjacentes segurana da informao, sendo que a relao dos
restantes processos com esta mesma rea, est especificada na publicao COBIT5SI atravs da
apresentao de objetivos, mtricas e prticas a aplicar em cada um deles. Assim, ao avaliar
todos estes objetivos, mtricas e prticas, o foco da anlise estaria na parte tcnica dos
processos. Optou-se, ento, por avaliar, de uma forma mais generalizada, a implementao de
todos os processos recomendados no COBIT, obtendo assim uma viso mais ampla da gesto e
governana da organizao, permitindo analisar quais os processos que a organizao
implementa tendo em vista o alcance dos seus objetivos.
No que se refere opo de incluir o facilitador Princpios, Polticas e Frameworks na anlise a
desenvolver, com grande nfase nos princpios e polticas recomendados, a mesma centra-se no
facto de estes serem os principais mecanismos que permitem aos rgos administrativos
comunicar as regras a aplicar que iro servir de apoio obteno dos objetivos e as orientaes
mais detalhadas acerca de como se deve pr em prtica essas mesmas regras. Por isso mesmo,
focou-se uma parte da anlise na perceo de que tipo de regras e orientaes se encontram
documentadas na organizao.
Relativamente ao facilitador Estruturas Organizacionais, considerou-se um ponto-chave de
anlise pois as diferentes funes e prticas adjacentes executadas permitem organizao obter
um bom resultado no que toca tomada de boas decises. Assim, pretendeu-se perceber qual a
estrutura organizacional do centro hospitalar por forma a avaliar, tendo por base as
recomendaes do COBIT5SI, se a mesma se encontra otimizada.

264

14 CAPSI/2014
-Artigos-

Por ltimo, e sendo a informao um recurso valioso para todas as organizaes, optou-se pelo
facilitador Informao, com o intuito de verificar qual a informao de segurana da informao
que a organizao detm neste momento, e quais os stakeholders que esto direta ou
indiretamente relacionados com a mesma.
Assim, aps a escolha do foco admitido na nossa anlise, iniciou-se o contacto com o centro
hospitalar para posteriormente se recolher a informao para implementar-se a avaliao
planeada. Para a recolha da informao, o objetivo passou por perceber a perspetiva de um dos
colaboradores com forte presena na rea da gesto da informao da organizao. Com isto em
mente, escolheu-se a entrevista como mtodo que permitiria obter essa informao para futuro
tratamento de dados. Na preparao da entrevista, para alm de se desenvolver uma listagem das
diferentes recomendaes adjacentes aos quatro facilitadores, juntou-se tambm a descrio dos
diferentes princpios, polticas, processos, funes, prticas e tipos de informao que se
pretendia avaliar durante a realizao da mesma. Preparou-se ento estas seces com o objetivo
de obter uma espcie de checklist que mostrasse quais as recomendaes do COBIT na rea da
segurana da informao que estariam a ser aplicadas na organizao.
No centro hospitalar, iniciou-se o contacto com o departamento de sistemas de informao, por
este ser o departamento que habitualmente trata da gesto da segurana da informao. Assim,
direcionou-se o contacto para o diretor do departamento em causa, pois para alm de este
apresentar uma viso geral do departamento de sistemas de informao e de todos os processos,
prticas, etc., que so implementados na rea de sistemas de informao, e consequentemente,
na rea de segurana da informao, apresenta tambm um conhecimento global da
organizao. Conseguiu-se, ento, a colaborao do diretor do departamento de sistemas de
informao, que aceitou participar na realizao do nosso caso de estudo participando, para tal,
numa entrevista de apuramento de dados que permitissem realizar o objetivo enunciado
anteriormente.

5. Resultados Obtidos
Foi, ento, desenvolvido um caso de estudo junto de um centro hospitalar da zona norte, sendo o
mesmo considerado como uma empresa pblica empresarial cuja classificao de atividades
econmicas a 86100, a qual est associada s atividades dos estabelecimentos de sade com
internamento. Como j referido, o COBIT apresenta uma maior abrangncia em termos de
gesto e governana, e como tal foi a norma base utilizada na realizao deste caso de estudo.
As questes realizadas permitiram-nos analisar quais as recomendaes que estavam a ser
implementadas na organizao em anlise, permitindo dessa forma perceber em que nvel de
conformidade a mesma estaria com o framework COBIT, nos pontos analisados.

265

14 CAPSI/2014
-Artigos-

Verificou-se ento que a grande maioria (11 dos 12) dos princpios independentes sugeridos
pelo COBIT5SI, que visam ajudar os profissionais de segurana da informao a adicionar valor
s suas organizaes, se tratam de preocupaes da organizao e se encontram includos na sua
documentao, cobrindo os trs mdulos apresentados no COBIT5SI de suporte ao negcio, de
defesa do negcio e de promoo de um comportamento responsvel de segurana da
informao. No entanto, esto dispersos por vrios documentos e este cruzamento de dados em
diferentes documentos, embora faa sentido para os rgos diretivos e de gesto, pode ser um
impeditivo rpida perceo, por parte dos colaboradores da organizao, de quais os princpios
de segurana a serem seguidos pela organizao, sendo considerado este um ponto de melhoria.
O mesmo se verifica relativamente s polticas sugeridas pelo COBIT5SI. Estas tratam-se de
preocupaes presentes no dia-a-dia da organizao, focando-se nos controlos de acesso, nas
respostas a incidentes, no pessoal de segurana da informao e no meio fsico e ambiental de
segurana da informao. Contudo, mais uma vez, em termos de documentao no se verifica,
em todos os casos, a existncia de documentos concretos acerca de cada poltica. Segundo o
COBIT5SI, os diferentes princpios, polticas e frameworks devem estar definidos e
devidamente documentados, estando portanto muito bem definido onde cada um deles poder
ser encontrado. Verifica-se o mesmo ponto de melhoria relativamente a princpios e polticas,
sendo que essa melhoria poder trazer o benefcio organizao de conseguir evitar problemas
de segurana causados por alguma falha na informao adquirida pelos seus colaboradores.
Numa segunda instncia, e ainda acerca de polticas recomendadas, verifica-se que o
entrevistado tem conhecimento de outras polticas, no tanto associadas funo de segurana
da informao, mas que ajudam numa boa implementao da segurana da informao,
havendo, portanto, indcios de uma boa comunicao interna na organizao.
Relativamente a processos, para alm de verificar-se se os mesmos existiam e eram
implementados na organizao, avaliou-se tambm em que etapa de implementao os mesmos
se encontrariam (figura 3). Para isso, utilizou-se por base a escala utilizada no modelo de CMMI
(Capability Maturity Model Integration), uma vez que este se aplica melhoria de processos de
desenvolvimento e manuteno de produtos e servios. Neste modelo, apresentam-se 5 nveis de
maturidade: inicial, no qual os processos so projetados consoantes os problemas que surgem;
intuitivo, onde existe uma poltica por base para a implementao do projeto; definido, com
processos bem caracterizados, descritos e compreendidos; gerido quantitativamente, quando a
organizao tem definido objetivos quantitativos a serem alcanados e os usam como critrios
na gesto dos processos; e em otimizao, fase na qual a organizao se concentra na melhoria
contnua do processo [CMMIInstitute 2006].

266

14 CAPSI/2014
-Artigos-

Figura 3 Fases de implementao dos processos recomendados pelo COBIT [ISACA 2012]

Numa avaliao geral, nenhum dos processos se encontra em fase otimizada, havendo somente
doze deles considerados como geridos e mensurados, quatro em fase de intuio e os restantes
vinte e um numa fase onde j se encontram definidos. Em termos de mdia, os processos
encontram-se numa fase definida, ficando unicamente quatro processos abaixo da mdia. No
houve nenhum processo que no tenha sido reconhecido pelo responsvel do departamento de
SI como uma preocupao ou prtica seguida pela organizao. Sendo que a nossa anlise no
se focou nas mtricas associadas aos diferentes processos, o facto de existir dentro do
departamento de SI um conhecimento acerca dos processos que o COBIT5SI recomenda de
extrema importncia, uma vez que estes visam pr em prtica os princpios e objetivos
adjacentes rea da segurana da informao. Esta anlise poder tambm ser utilizada pela
organizao para identificar quais os processos que necessitam ser melhorados ou que j se
encontram numa etapa de desenvolvimento adequada.
No que respeita s estruturas organizacionais recomendadas, verificou-se que grande parte das
prticas de segurana, adjacentes s diferentes estruturas organizacionais ou funes, acaba por
passar pelas mos do CISO, mesmo existindo na estrutura da organizao uma funo preparada
para a execuo dessas prticas em anlise (figura 4).

267

14 CAPSI/2014
-Artigos-

Em termos das prticas recomendadas para a funo do CISO, somente uma das 17 que no se
trata de uma responsabilidade do CISO no centro hospitalar em anlise. Para alm disso, uma
vez que a funo do gestor de segurana da informao (ISM Information Security Manager)
operacionalizada na organizao pela mesma pessoa que responde funo de CISO, acresce
mais 6 prticas, das 9 recomendadas para esta funo, s responsabilidades do colaborador a
ocupar o cargo de CISO. Apurou-se ainda que a organizao em anlise ainda no tem nomeado
uma comisso de segurana da informao (ISSC Information Security Steering Committee),
sendo que 50% das prticas recomendadas pelo COBIT5SI para esta funo (ou seja, 5 das 10)
caem novamente no cargo do CISO. O mesmo verifica-se relativamente s prticas adjacentes
comisso de risco (ERMC Enterprise Risk Management Committee), nas quais o CISO est
responsvel na organizao por metade (2 de 4). Em termos das prticas associadas aos
responsveis pela informao ou proprietrios da empresa, o COBIT5SI apresenta-nos uma
listagem de 3 prticas das quais uma no se aplica na organizao, outra est associada funo
que recomenda, e uma terceira recai sob a alada do CISO, mais uma vez.
verdade que a funo do CISO tem associada uma grande responsabilidade na rea da
segurana da informao. No entanto, para uma maior garantia de que as prticas de segurana
esto, de facto, a serem cumpridas, deveria existir uma maior segregao das funes. Deste
modo, a mesma pessoa no ficaria responsvel por demasiadas prticas de segurana evitando
que esteja sobrecarregada e no consiga prestar o mesmo nvel de ateno s diferentes reas da
segurana e evitando, tambm, que uma s pessoa tenha um determinado poder relativamente
segurana da informao da organizao. A organizao poder organizar uma listagem das
diferentes prticas a realizar em termos de segurana da informao, e associar s funes
existentes na estrutura da organizao. Poder utilizar como base a listagem do COBIT5SI, pois
verificou-se a existncia de todas as prticas na organizao, mas a listagem dever, acima de
tudo, ser adequada realidade da organizao e baseada numa viso macro com o objetivo de
garantir que todas as reas e prticas de segurana so cobertas e distribudas pelas funes
existentes.

268

14 CAPSI/2014
-Artigos-

FUNES

Funo na Organizao

Comparao com o
COBIT5SI

Sim

94% - CISO

No

50% - CISO
50% - Chefes dos
Projetos

Associada ao CISO

67% - CISO
33% - Chefes dos
Projeto

Sim

50% - ERMC
50% do CISO

Aplicvel quando necessrio

33% - RI / PE
33% - CISO
33% - no aplicvel na
organizao

(Chief Information Security Officer)

CISO

Prticas recomendadas ao CISO

Information Security Steering Committee

ISSC
Prticas recomendadas ao ISSC

Information Security Manager

ISM
Prticas recomendadas ao ISM

Enterprise Risk Management Committee

ERMC
Prticas recomendadas ao ERMC

Responsveis pela Informao / Proprietrios da Empresa

RI / PE

Prticas recomendadas aos RI/PE

Figura 4 Resumo dos resultados obtidos da avaliao realizada ao centro hospitalar

Por fim, em termos do facilitador Informao, verificou-se que, embora os diferentes tipos de
informao, tais como estratgia de segurana da informao, material de consciencializao,
oramento de segurana, entre outros, no se encontrem documentados individualmente, existe
uma melhor definio de onde podero ser encontradas os diferentes tipos de informao de
segurana da informao, e que essa informao j se encontra intrnseca no dia-a-dia das
atividades realizadas, ao contrrio do que acontece com os princpios e as polticas. Embora no
seja da mesma forma que o COBIT5SI recomenda, a forma como a organizao opera em
termos de tratamento dos diferentes tipos de informao relevante rea de segurana da
informao no evidencia carecer de tratamento.
Realizou-se tambm uma matriz que permite o relacionamento dos diferentes tipos de
informao com os stakeholders existentes na organizao (figura 5). No existindo uma
soluo para esta matriz, a mesma importante para permitir ter conhecimento de onde atuam
os stakeholders da organizao podendo perceber-se se a alocao dos mesmos est a ser bem
efetuada ou no. Em anlise, voltou a verificar-se que a funo do CISO a que est mais
sobrecarregada no que toca a originar e aprovar informao de segurana, tendo uma presena
ativa em todo o tipo de informao de segurana. Esta informao pode ser uma mais-valia para
a organizao utilizar na distribuio de tarefas pela sua estrutura organizacional.

269

14 CAPSI/2014
-Artigos-

Figura 6 Matriz Stakeholders vs. Tipos de Informao de Segurana da Informao da organizao em

anlise baseada nas recomendaes do COBIT5SI [ISACA 2012]

6. Concluso
A informao adquiriu um papel essencial na nossa sociedade, e com o passar do tempo, a
importncia deste recurso acresce cada vez mais. Numa perspetiva de organizaes que se
envolvam diretamente com dados relacionados com um assunto to confidencial como o a
sade de cada um de ns, ainda mais necessrio garantir a proteo da informao para que se
garanta que a mesma fidedigna, protegendo assim a reputao da organizao aos olhos dos
seus clientes e parceiros.
Foi possvel apurar que, no centro hospitalar da zona norte em anlise, existem preocupaes
que pretendem garantir o mximo de segurana da informao que possuem. No s este centro
hospitalar j se encontrava a implementar controlos previstos na norma ISO27001, como se
verifica que em termos de COBIT, um framework mais amplo em termos de gesto e
governana e que permite a ponte entre a segurana da informao e os objetivos de negcio

270

14 CAPSI/2014
-Artigos-

com a sua publicao COBIT5SI, este centro hospitalar reconhece a aplicao de grande parte
das recomendaes avaliadas. Demonstra, de facto, que a segurana da informao uma
temtica de elevada importncia para a organizao em anlise, e que a mesma se encontra a
implementar controlos, prticas, processos, entre outros, que permitem que a segurana da sua
informao esteja garantida.
Verifica-se, tanto em termos de anlise do caso de estudo como em termos de avaliao da
reviso bibliogrfica realizada, que a utilizao de diferentes normas numa organizao uma
mais-valia, pelo menos quando a temtica se trata de segurana da informao, visto que, como
cada norma apresenta o seu mbito e objetivos especficos, a utilizao de outro, de forma
alinhada, permite s organizaes cobrirem uma maior rea de atuao na organizao, obtendo
assim melhores resultados na gesto da segurana da informao.

7. Referncias
Arora, V. (2010) "Comparing different information security standards: COBIT vs. ISO 27001"
BSI (2008). BSI-Standard 100-1 Information Security Management Systems (ISMS), Federal
Office for Information Security (BSI)
BSIgroup (2014). Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013 - The new
international standard for information security management systems. B. S. I. Group.
Calder, A. (2013). Information Security & ISO 27001 - An Introduction. IT Governance Green
Paper.
Cannon, D. L. (2008). Certified Information Systems Auditor - Study Guide, Wiley Publishing.
Cartlidge, A., A. Hanna, C. Rudd, I. Macfarlane, J. Windebank and S. Rance (2007). An
Introductory Overview of ITIL, The IT Service Management Forum.
Clinch, J. (2009). ITIL V3 and Information Security - White Paper, Best Management Practice.
CMMIInstitute (2006). CMMI for Development. v1.2.
FFIEC (2006). IT Examination Handbook. Information Security Booklet. F. F. I. E. Council.
Gantz, S. (2014). The Basis of IT Audits - Purposes, Processes, and Practical Information.
Greenfield, D. (2007) "Standards For IT Governance - ITIL, COBIT, and ISO 17799 provide a
blueprint for managing IT services.".
ISACA (2012). CoBIT 5 - A Business Framework for the Governance and Management of
Enterprise IT.
ISACA (2012). CoBIT 5 for Information Security.
ISO (2013). ISO/IEC 27001:2013 [Information technology Security techniques
Information security management systems Requirements].
ITGI (2005). Aligning COBIT, ITIL and ISO17799 for Business Benefit: Management
Summary (with OGC and itSMF).
Kajava, J., J. Anttila, R. Varonen, R. Savola and J. Rning (2006) "Information Security
Standards and Global Business."

271

14 CAPSI/2014
-Artigos-

Kouns, B. L. and J. Kouns (2011). The Chief Information Security Officer - Insights, tools and
survival skills, IT Governance Publishing.
Meijer, M., M. Smalley, S. Taylor and C. Dunwoodie (2011). ITIL V3 and BiSL: Sound
guidance for business IT alignment from a business perspective. B. M. Practice.
NIST (2002). Federal Information Security Management Act of 2002 (Title III of E-Gov),
National Institute of Standards and Technology 48-63.
Pelnekar, C. (2011). Planning for and Implementing ISO 27001. ISACA Journal.
Ridley, G., J. Young and P. Carroll (2004). COBIT and its Utilization: A framework from the
literature. Hawaii International Conference on System Sciences.
Rouse, M. (2009). "Security Information Management (SIM)." Search Security - TechTarget.
Sheikhpour, R. and N. Modiri (2012). "A best practice approach for integration of ITIL and
ISO/IEC 27001 services forinformation security management." Indian Journal of Science and
Technology 5.
Solms, B. v. (2005). "Information Security governance: COBIT or ISO 17799 or both?"
Computers & Security 24: 99-104.
Stroud, R. (2010) "Like Peanut Butter & Jelly: Pairing COBIT and ITIL for Better Service
Management and Governance ".
Susanto, H., M. N. Almunawarand and Y. C. Tuan (2011). "Information Security Management
TSO (2007). The Official Introduction to the ITIL Service Lifecycle. O. o. G. Commerce, The
Stationery Office (TSO)
Turner, M. J., J. Oltsik and J. McKnight (2008). ISO, ITIL and COBIT triple play fosters
optimal security management execution. SC Magazine for IT Security Professionals.
Whitman, M. and H. Mattord (2008). Principles of Information Security.
Wright, C. S. (2005). Implementing an Information Security Management System (ISMS) Training process.

272