O estudo de caso se passa em ruma rede de 40 Hospitais associados à Empresa IBH que presta serviços

gratuitos de Assistência Média Hospitalar. A empresa IBH possui sede em Brasília e os hospitais
associados estão espalhados em todo o território nacional, sendo que ambos possuem um núcleo de TI
que é a principal área responsável pela implementação e gestão da Tecnologia da Informação. Como os
hospitais foram criados de forma independente e antes da fundação da empresa IBH, existem diversos
problemas de padronização no escopo da rede de tecnologia da informação e de estrutura de seus
equipamentos, uma vez que cada hospital possui seus próprios padrões de tecnologia e processos. Além
disso, como as informações dos meios digitais não são criptografadas, terceiros conseguiram interceptar
os dados de pacientes internados nos Hospitais e passaram a cobrar o pagamento dos valores das
despesas referentes ao tratamento médico. Diante desses e de outros problemas expostos, a solução
para essas questões é a implementação das melhores práticas de segurança da informação, cujos
princípios fundamentais para nortear esse processo são: Confidencialidade, Autenticidade, Integridade,
Conformidade, Disponibilidade e Irretratabilidade. Cada um desses princípios deve ser estudado e
compreendido pelos gestores e responsáveis em cada um dos níveis da organização, uma vez que as
informações geradas passaram a ser um item de grande valor para as instituições. Sugerimos a adoção e
o estabelecimento de Políticas de Segurança da informação baseadas nas Normas ISO NBR/IEC 27001 e
ISO NBR/IEC 27002, cujo objetivo é aumentar a segurança da informação na rede de Hospitais ou em
uma organização, pois tais políticas são requisitos fundamentais para orientar e conscientizar todos os
envolvidos da organização, minimizar os incidentes de ataques à infraestrutura tecnológica, bem como,
evitar o vazamento de dados sigilosos. Essas políticas devem ser formalizadas e adaptadas à realidade
do negócio da organização, através do levantamento de seus processos (operacionais, administrativos e
técnicos) mais críticos, as informações e seus usuários devem ser classificados considerando todas as
funções e setores. As políticas devem ser elaboradas com clareza e objetividade, sancionadas e
apresentadas a todos os membros da organização. Além disso, as políticas devem ser revisadas e
atualizadas periodicamente. Outra adequação na rede de hospitais é a unificação e padronização dessa
política de segurança, por meio da divulgação, treinamento e conscientização de seus usuários. Elaborar
a padronização dos meios digitais, tais como: O uso de Sistema de Gestão específico e adequado ao
negócio da Rede de Hospitais, evitando assim, a utilização de sistemas diferentes em cada um dos
hospitais. O software deve permitir a implantação de criptografia de categoria assimétrica em arquivos e
banco de dados, links e mensagens de e-mail, de forma que a segurança seja reforçada. O Sistema de
gestão deve oferecer a padronização e segregação dos perfis de acesso dos usuários, o mesmo deve ser
capas de permitir o monitoramento e a geração do histórico do LOG de acesso dos usuários para fins de
auditoria, bem como, estabelecer que os usuários criem senhas fortes, que sejam formadas por letras,
números e caracteres especiais, e que essas senhas sejam trocadas periodicamente. Contudo, não basta
somente que o software de gestão ofereça mecanismos de segurança e gestão do negócio para resolver
o problema, é preciso que os hospitais padronizem toda a sua estrutura de tecnologia, ou seja, seus
hadwares (Desktops, Servidores, Backup, Roteadores, Switches de rede, Concentradores, Repetidores,
modens, pontos de acesso, etc) devem ser compatíveis com os mecanismos de segurança oferecidos
pelo Sistema de gestão, permitindo que os gestores configurem e definam corretamente todo o Sistema
de Segurança da informação da rede de Hospitais