Escolar Documentos
Profissional Documentos
Cultura Documentos
Concluses
rvore
Floresta
10 anos
Maturidade
10 anos
O que no queremos
Estado de stio hospitais?
?
polticas TI reduzido
?
comit segurana
?
procedimentos
controlo Outsourcing
?
gesto pessoas
?
gesto servios (ITIL)
?
controlo de acessos
? ?
auditoria
identificao informao
gesto identidades
?
definio zonas crticas
?
proteco incndios
?
aspectos legais
gesto de incidncias
?
backups
?
gesto de assets
?
gesto risco
? ?
workflow
?
polticas hardening
?
plano disaster recover
hardcopy
conformidades
credenciais SGRH
CA
Direco Logstica Direco Produo Direco RH Direco Financeira Direco SI/TI
hint: procurar uma certificao uma boa opo pois d visibilidade que sustenta o investimento
nota: ISO 27001 a unica certificao de gesto da segurana da informao para organismos
ISO 27799:2008
Health informatics Information security management in health using ISO/IEC 27002
O Risco a relao entre a probabilidade e o impacto. a base para a identificao dos pontos que necessitam de investimento em Segurana da Informao.
Ex. Decidir NO
ISO/IEC-17799:2000
ISO/IEC-17799:2000 ISO/IEC-17799:2000
4
5 6 7 8 9 10 11
ISO/IEC-17799:2000
ISO/IEC-17799:2000 ISO/IEC-17799:2000 ISO/IEC-17799:2000 ISO/IEC-17799:2000 ISO/IEC-17799:2005 ISO/IEC-17799:2000 ISO/IEC-17799:2000
nota: o Cdigo no recomenda tecnologias mas unicamente estratgias a serem adaptadas organizao
Acordos confidencialidade
Reviso da segurana (entidade isenta) Identificao dos riscos externos Acordos com partes terceiras Gerir a segurana da informao na organizao
Reduzir os riscos de erro humano, roubo, fraude ou m utilizao das instalaes; Garantir que os utilizadores esto cientes dos cuidados a ter e das ameaas existentes segurana da informao, e que os mesmos dispem de equipamentos que lhes permitam dar suporte poltica de segurana da organizao no curso do seu trabalho;
Nota: A engenharia social a forma mais comum de ataque por este activo. Processo de mudar o comportamento das pessoas
Metodologia a utilizar
8 - Aquisio, desenvolvimento e manuteno de Sistemas de Informao
Vulnerabilidades na aquisio de sistemas (especificao de requisitos) ; Restries a impor ao desenvolvimento e manuteno de software em outsourcing; Garantir a incluso de mecanismos de segurana nos sistemas operativos; Cdigos abertos !! Prevenir a perda, modificao ou m utilizao dos dados dos utilizadores em aplicaes dos sistemas; Proteger a confidencialidade, autenticidade e integridade da informao; Assegurar que os projectos informticos e actividades de suporte so levados a cabo de forma segura;
Responsabilidades e procedimentos
Coleco de evidncias para melhorar Monitorizao e reavaliar os controlos
Elaborao de planos
Testes, manuteno e formao Reagir no caso de se verificarem interrupes nas actividades ou processos crticos do negcio, provocados por falhas graves ou desastres.
nota: neste captulo que cabe por exemplo as prticas de disaster recovery
Sem uma gesto formal da segurana da informao, a segurana vai ser quebrada algures no tempo
Viso adaptada do ISO/IEC-17799 para a Sade (actual ISO/IEC 27799)
Resultados expectveis
Organizao Processos,
Mitigao do Risco Visibilidade Qualidade Confiana stakeholders
Resultados expectveis
Concluses
No possvel manter a segurana sem planear a sua gesto; Os organismos esto muito atrasados neste sector; No existe such thing segurana total; Implementar controlos permite minimizar riscos;
Rui@Gomes.com
Obrigado!