O estudo de caso se passa na Empresa IBH com sede em Brasília, que é associada à uma rede de 40 Hospitais espalhados

pelo território nacional e que prestam serviços gratuitos. Como os hospitais foram criados de forma independente e antes
da fundação da empresa IBH, existem diversos problemas de padronização no escopo da rede de tecnologia da informação
e de estrutura de seus equipamentos. Por essa razão, terceiros interceptaram dados de pacientes dos hospitais e passaram
a cobrar o pagamento das despesas de seus tratamentos. Outro incidente foi o acesso indevido às informações da folha de
pagamento e divulgadas na imprensa. Cabe ressaltar, que esses fatos ocorreram em razão da falta de classificação dos
perfis de acesso e o registro do LOG para o rastreamento e auditoria.

Diante do exposto, a solução para essas questões é a implementar as melhores práticas de segurança da informação, cujos
princípios fundamentais estão norteados na Confidencialidade, Autenticidade, Integridade e Disponibilidade. Cada um
desses princípios deve ser compreendido pelos usuários em todos os níveis da organização, já que as informações geradas
passaram a ser um item de grande valor nas instituições. Estabelecer as Políticas de Segurança da informação baseadas nas
Normas ISO NBR/IEC 27001 e ISO NBR/IEC 27002, cujo objetivo é aumentar a segurança na rede de Hospitais, pois tais
políticas são requisitos fundamentais para conscientizar todos os envolvidos, minimizar os incidentes de ataques à
infraestrutura tecnológica, bem como, evitar o vazamento de dados sigilosos. Essas políticas devem ser formalizadas e
adaptadas à realidade do negócio da organização, através do levantamento de dos processos mais críticos, as informações
de seus usuários devem ser classificadas considerando todas as funções e setores. Tais políticas devem ser padronizadas e
unificadas em toda rede de hospitais, além de elaboradas com clareza e objetividade, os usuários devem ser treinados a
respeito de seus tópicos.

Elaborar a padronização dos meios digitais, como uso de Sistema de Gestão específico e adequado ao negócio da Rede de
Hospitais, evitando assim, a utilização de sistemas diferentes em cada um dos hospitais. O software deve permitir a
implantação de criptografia de categoria assimétrica em arquivos e banco de dados, links e mensagens de e-mail, de forma
que a segurança seja reforçada. O Sistema de gestão deve oferecer a padronização e segregação dos perfis de acesso dos
usuários, o mesmo deve ser capas de permitir o monitoramento e a geração do histórico do LOG de acesso para fins de
auditoria.

Os responsáveis devem ainda, estabelecer um processo de Gestão de Risco para identificar e monitorar eventos capazes de
destruir as informações geradas.

Contudo, não basta somente que o software de gestão ofereça mecanismos de segurança e que os riscos do negócio
estejam controlados, é preciso que os hospitais padronizem toda a sua estrutura de tecnologia, ou seja, seus hadwares
devem ser compatíveis com os mecanismos de segurança oferecidos pelo Sistema de gestão, permitindo que os gestores
configurem corretamente todo o Sistema de Segurança da rede de hospitais.