G

overno das Tecnologias e

dos Sistemas de Informao na Sade

Rui Gomes Hospital Fernando Fonseca E.P.E.

28/11/2011 Curso de Engenharia Biomdica - Departamento de Engenharia Informtica Universidade de Coimbra

 Ciclo eterno (Onde estamos) O que no queremos

O que podemos cultivar

Retorno expectvel

Concluses

Ciclo eterno (onde estamos)

rvore

Ciclo eterno (onde estamos)

Floresta

Ciclo eterno (onde estamos)

Infra-estruturas

10 anos

Maturidade

10 anos

Ciclo eterno (onde estamos)

Nvel de risco pela exposio de um sistema de informao por sector de actividade

O que no queremos
Estado de stio hospitais?
?
polticas TI reduzido

?
comit segurana

?
procedimentos

controlo Outsourcing

?
gesto pessoas

?
gesto servios (ITIL)

?
controlo de acessos

? ?
auditoria

identificao informao

gesto identidades

?
definio zonas crticas

?
proteco incndios

?
aspectos legais

gesto de incidncias

?
backups

?
gesto de assets

?
gesto risco

? ?

plano electronic continuidade & negcio

workflow

?
polticas hardening

?
plano disaster recover

hardcopy

conformidades

credenciais SGRH

O que podemos cultivar

Para evitar o Estado de Stio a organizao deve implementar um modelo de governo no qual seja estabelecida uma estrutura organizacional onde estejam bem definidas os papis e as responsabilidades pela informao, os processos de negcio, aplicaes, infraestrutura, etc.

O que podemos cultivar

Qual o alinhamento da Gesto dos hospitais com os SI/TI?

CA
Direco Logstica Direco Produo Direco RH Direco Financeira Direco SI/TI

O que podemos cultivar

Adopo de uma estratgia que permita fazer crescer a componente de SI/TI ao nvel do IT Governance

Pensar no futuro Orientada ao negcio

O que podemos cultivar

Qual o alinhamento da Gesto dos hospitais com os SI/TI?

O que podemos cultivar

Qual o alinhamento dos profissionais de sade com a introduo dos SI/TI?

Rogers Innovation Adopters Curve

O que podemos cultivar

Aplicao do IT Governance garante pelo menos
Assegurar que os investimentos em TI geram valor de negcio; Atenuar os riscos associados introduo das TI. O segredo est nas pessoas e nas suas responsabilidades

O que podemos cultivar

(In)Segurana actualmente
aumento da exposio ao risco complexidade dos riscos complexidade na proteco riscos Significa que os mecanismos de proteco no so suficientes i) preciso vigiar os riscos ii)e melhorar mecanismos de proteco

hint: necessrio gerir a segurana!

O que podemos cultivar

Metodologia a utilizar
Quais as melhores prticas para a gesto da segurana? Qual o melhor processo de avaliao de riscos?

Quais as melhores prticas de proteco?

Quais as formas de comparar com melhor da indstria?

hint: procurar uma certificao uma boa opo pois d visibilidade que sustenta o investimento

O que podemos cultivar

Gesto da Mudana

O que podemos cultivar

Metodologia a utilizar

O que podemos cultivar

Metodologia a utilizar
Compreender o papel dos frameworks disponveis

nota: ISO 27001 a unica certificao de gesto da segurana da informao para organismos

O que podemos cultivar

Metodologia a utilizar
Por exemplo

ISO 27799:2008
Health informatics Information security management in health using ISO/IEC 27002

O que podemos cultivar

Metodologia a utilizar

O que podemos cultivar

Metodologia a utilizar

O que podemos cultivar

Metodologia a utilizar

O que podemos cultivar

Metodologia a utilizar

O que podemos cultivar

Evitar as ms prticas e gerir o RISCO

O que podemos cultivar

Metodologia a utilizar

O Risco a relao entre a probabilidade e o impacto. a base para a identificao dos pontos que necessitam de investimento em Segurana da Informao.

hint: necessrio gerir a segurana!

O que podemos cultivar

Controlo do Risco

O que podemos cultivar

Controlo do Risco
Ex. Comprar igual aos outros

Ex. Decidir NO

Ex. Funciona mal mas no caso de vida ou morte!

Ex. Implementar & gerir o risco

O que podemos cultivar

O que podemos cultivar

O que podemos cultivar

Cdigo de Boas Prticas ISO 27002
Controlos de segurana da informao (11 areas)
1
2 3

Poltica de Segurana da Informao

Organizao da Segurana da Informao Gesto de Recursos (classificao de assets)

ISO/IEC-17799:2000
ISO/IEC-17799:2000 ISO/IEC-17799:2000

4
5 6 7 8 9 10 11

Gesto de Recursos Humanos

Gesto da segurana fsica e ambiental Gesto das Comunicaes e Operaes Controlo de acessos Aquisies, manutenes e desenvolvimento de sistemas Gesto de incidentes de segurana da informao Plano de gesto da continuidade de negcio Conformidade com os aspectos legais

ISO/IEC-17799:2000
ISO/IEC-17799:2000 ISO/IEC-17799:2000 ISO/IEC-17799:2000 ISO/IEC-17799:2000 ISO/IEC-17799:2005 ISO/IEC-17799:2000 ISO/IEC-17799:2000

nota: o Cdigo no recomenda tecnologias mas unicamente estratgias a serem adaptadas organizao

O que podemos cultivar

1 - Poltica de segurana da informao
Definio da segurana da informao aprovada pelo CA (objectos, abrangncia e importncia) Definio prncipios, normas e conformidades de relevo

Referncias a documentos ou processos externos

Comunicao a TODA a organizao e responsabilizao

O que podemos cultivar

2 - Organizao da Segurana
Coordenao da segurana (forum) Alocao das responsabilidades Classificao da informao

Acordos confidencialidade
Reviso da segurana (entidade isenta) Identificao dos riscos externos Acordos com partes terceiras Gerir a segurana da informao na organizao

O que podemos cultivar

3 - Classificao e controlo de recursos (hardware, software, informao, pessoas)
Inventrio de recursos (informao electrnica, papel, registos video, som, software, fsicos, elementos humanos, servios contratados, etc..) Responsabilidade pelos recursos (elemento humano o elo mais fraco) Classificao de recursos (regras, etiquetagem, manuseamento) Manter um nvel de proteco apropriado dos activos da organizao e garantir que os activos de informao so alvo de um grau de proteco apropriado.
nota: assets so todos aqueles que pela sua ausncia ou degradao
podem ter impacto na entrega de produtos ou servios na organizao ou causar danos com a perda da confidencialidade ou integridade

O que podemos cultivar

4 Gesto de recursos humanos
Verificao de credenciais (habilitaes, curriculo, competncias, acordos confidencialidade, etc.); Trmino das responsabilidades devoluo de recursos e dos direitos de acesso), processos disciplinares;
Elo mais fraco

Reduzir os riscos de erro humano, roubo, fraude ou m utilizao das instalaes; Garantir que os utilizadores esto cientes dos cuidados a ter e das ameaas existentes segurana da informao, e que os mesmos dispem de equipamentos que lhes permitam dar suporte poltica de segurana da organizao no curso do seu trabalho;
Nota: A engenharia social a forma mais comum de ataque por este activo. Processo de mudar o comportamento das pessoas

O que podemos cultivar

5 - Segurana fsica e ambiental
Permetro da segurana, controlos de entrada e sada, proteco contra ameaas externas e ambiente; Manuteno, proteco e acondicionamento dos equipamentos; Areas de acesso pblico, cargas e descargas; Segurana da cablagem; Destruio e re-utilizao segura do equipamento; Prevenir o acesso no autorizado, danos ou interferncia na informao e nas instalaes fsicas do negcio; Prevenir a perda, danos ou comprometimento dos activos e a interrupo nas actividades do negcio;

O que podemos cultivar

6 - Gesto das operaes e comunicaes (computadores e redes)
Monitorizao e reviso servio terceiros

Gesto das operaes em redes e transmisses;

Salvaguarda da informao (backups) e proteco infraestrutura suporte, antivirus, etc..; Polticas e procedimentos escritos e aprovados para troca/partilha de informao Minimizar o risco de falhas nos sistemas; Proteger a integridade das aplicaes e da informao e comunicao; Prevenir a perda, modificao ou m utilizao da informao trocada entre organizaes.

O que podemos cultivar

7 - Controlo de acesso lgico
Polticas e regras para controlo de acesso (previlgios minimos, separao das responsabilidades)

Gesto dos utilizadores

Controlo acesso (rede, S.O., aplicaes, etc..) Monitorizao de acessos e de utilizao

Clear Desk e Clear Screen (hardening)

Computao mvel e ligaes remotas Controlar o acesso informao; Impedir o acesso no autorizado aos sistemas de informao; Assegurar a proteco dos servios ligados em rede;

Metodologia a utilizar
8 - Aquisio, desenvolvimento e manuteno de Sistemas de Informao
Vulnerabilidades na aquisio de sistemas (especificao de requisitos) ; Restries a impor ao desenvolvimento e manuteno de software em outsourcing; Garantir a incluso de mecanismos de segurana nos sistemas operativos; Cdigos abertos !! Prevenir a perda, modificao ou m utilizao dos dados dos utilizadores em aplicaes dos sistemas; Proteger a confidencialidade, autenticidade e integridade da informao; Assegurar que os projectos informticos e actividades de suporte so levados a cabo de forma segura;

O que podemos cultivar

9 - Gesto de incidentes de segurana da informao
Comunicao de eventos de segurana da informao
Comunicao de falhas de segurana Registos de incidentes de segurana

Responsabilidades e procedimentos
Coleco de evidncias para melhorar Monitorizao e reavaliar os controlos

O que podemos cultivar

10 - Gesto da continuidade de negcio (PCN)
Deve ser elaborado um plano (poltica) para salvaguardar que o negcio da instituio no interrompido por incidentes de segurana

Iniciao e gesto projecto

Anlise de impacto para o negcio Estratgias de recuperao

Elaborao de planos
Testes, manuteno e formao Reagir no caso de se verificarem interrupes nas actividades ou processos crticos do negcio, provocados por falhas graves ou desastres.
nota: neste captulo que cabe por exemplo as prticas de disaster recovery

O que podemos cultivar

11 Conformidades com aspectos legais
Legislao aplicvel e conformidade com polticas e normas Direitos de propriedade intelectual, proteco dos dados e privacidade de informao pessoal Proteco e arquivo de registos da organizao (virus, erro humano, ataques, violao acessos, desastres, anomalias hardware, software, etc..) Assegurar a adequao dos sistemas aos standards ou polticas de segurana organizacionais; Maximizar a eficcia e minimizar a interferncia com/do processo de auditoria de sistemas.

Sem uma gesto formal da segurana da informao, a segurana vai ser quebrada algures no tempo
Viso adaptada do ISO/IEC-17799 para a Sade (actual ISO/IEC 27799)

Resultados expectveis
Organizao Processos,
Mitigao do Risco Visibilidade Qualidade Confiana stakeholders

Resultados expectveis

Concluses
No possvel manter a segurana sem planear a sua gesto; Os organismos esto muito atrasados neste sector; No existe such thing segurana total; Implementar controlos permite minimizar riscos;

S o ISO 27001 permite certificar a gesto da segurana;

Implementar a norma exige grandes mudanas estruturais no mbito das tecnologias e dos comportamentos; Pode ter custos de investimentos elevados mas com retorno visvel.

Mtodo para desenvolvimento de um relatrio de avaliao inicial

Resposta a um framework (Gap Analysis) Saber em que estgio se encontra o hospital em matria de segurana da informao Reconhecer algumas das vulnerabilidades, ameaas e riscos mais relevantes; Delinear um roadmap que poderia ser estabelecido para um projecto de certificao Determinar que recursos e que Project Plan consegue ter associados

Mtodo para desenvolvimento de um relatrio de avaliao inicial

Resposta a um framework (Gap Analysis)

Rui@Gomes.com

Obrigado!