Post on 03-Jul-2015
Rui GomesHospital Fernando Fonseca E.P.E.
28/11/2011Curso de Engenharia Biomédica - Departamento de Engenharia Informática –Universidade de Coimbra
Governo das Tecnologias e
dos Sistemas de Informação na Saúde
Ciclo eterno (Onde estamos)
O que não queremos
O que podemos cultivar
Conclusões
Retorno expectável
Ciclo eterno (onde estamos)
Árvore
Floresta
Ciclo eterno (onde estamos)
Infra-estruturas
Mat
uri
dad
e
10 anos
10 anos
Ciclo eterno (onde estamos)
Nível de risco pela exposição de um sistema de informaçãopor sector de actividade
Ciclo eterno (onde estamos)
Estado de “sítio” hospitais?
backupsgestãode
assets
gestãorisco
planocontinuidade
negócio
workflowelectronic
&hardcopy
? ? ? ? ??
definiçãozonas críticas
protecçãoincêndios
aspectos legais
auditoriagestão
deincidências
? ? ? ?? ?
gestãopessoas
gestãoserviços(ITIL)
controlode
acessos
identificaçãoinformação
gestãoidentidades
? ? ? ? ??
…políticashardening
planodisasterrecover
conformidadescredenciais
SGRH
? ? ? ? ?
? ? ?
políticasTI
reduzido
controloOutsourcing
comitésegurança
procedimentos
? ? ? ?
O que não queremos
?
?
O que podemos cultivar
Para evitar o Estado de Sítio a organização deveimplementar um modelo de governo no qual sejaestabelecida uma estrutura organizacional onde estejambem definidas os papéis e as responsabilidades pelainformação, os processos de negócio, aplicações, infra-estrutura, etc.
O que podemos cultivar
CA
Direcção
Logística
Direcção
Produção
Direcção
RH
Direcção
Financeira
Direcção
SI/TI
Qual o alinhamento da Gestão dos hospitais com os SI/TI?
Adopção de uma estratégia que permita fazer crescer a componente de SI/TI ao nível do IT Governance
Pensar no futuro Orientada ao negócio
O que podemos cultivar
O que podemos cultivar
Qual o alinhamento da Gestão dos hospitais com os SI/TI?
O que podemos cultivar
Qual o alinhamento dos profissionais de saúde com a introdução dos SI/TI?
Rogers Innovation Adopters Curve
O que podemos cultivar
Aplicação do IT Governance garante pelo menos…
Assegurar que os investimentos em TI geram valor de negócio;
Atenuar os riscos associados à introdução das TI.
O “segredo” está nas pessoas e nas suas responsabilidades
(In)Segurança actualmente
aumento da exposição ao risco
complexidade dos riscos
complexidade na protecção riscos
Significa que os mecanismos de protecção não são suficientes
i)é preciso vigiar os riscos
ii)e melhorar mecanismos de protecção
hint: É necessário gerir a segurança!
O que podemos cultivar
hint: procurar uma certificação é uma boa opção pois dá visibilidade que sustenta o investimento
Quais as melhores práticas para a gestão da segurança?
Qual o melhor processo de avaliação de riscos?
Quais as melhores práticas de protecção?
Quais as formas de comparar com melhor da indústria?
Metodologia a utilizar
O que podemos cultivar
O que podemos cultivar
Gestão da Mudança
O que podemos cultivar
Metodologia a utilizar
nota: ISO 27001 é a unica certificação de gestão da segurança da informação para organismos
O que podemos cultivar
Compreender o papel dos frameworks disponíveis
Metodologia a utilizar
Por exemplo
ISO 27799:2008
Health informatics — Information security
management in health using ISO/IEC 27002
O que podemos cultivar
Metodologia a utilizar
O que podemos cultivar
Metodologia a utilizar
Metodologia a utilizar
O que podemos cultivar
Metodologia a utilizar
O que podemos cultivar
Metodologia a utilizar
O que podemos cultivar
Evitar as más práticas e gerir o RISCO
O que podemos cultivar
hint: É necessário gerir a segurança!
O Risco é a relação entre a probabilidade e o impacto. É abase para a identificação dos pontos que necessitam de“investimento” em Segurança da Informação.
Metodologia a utilizar
O que podemos cultivar
Controlo do Risco
O que podemos cultivar
Controlo do Risco
Ex. Comprar igual aos outros
Ex. Funciona mal mas não é caso de vida ou morte!
Ex. Decidir NÃO
Ex. Implementar& gerir o risco
O que podemos cultivar
O que podemos cultivar
O que podemos cultivar
nota: o Código não recomenda tecnologias mas unicamente estratégias a serem adaptadas à organização
Código de Boas Práticas ISO 27002
Controlos de segurança da informação (11 areas)
1 Política de Segurança da Informação ISO/IEC-17799:2000
2 Organização da Segurança da Informação ISO/IEC-17799:2000
3 Gestão de Recursos (classificação de assets) ISO/IEC-17799:2000
4 Gestão de Recursos Humanos ISO/IEC-17799:2000
5 Gestão da segurança física e ambiental ISO/IEC-17799:2000
6 Gestão das Comunicações e Operações ISO/IEC-17799:2000
7 Controlo de acessos ISO/IEC-17799:2000
8 Aquisições, manutenções e desenvolvimento de sistemas ISO/IEC-17799:2000
9 Gestão de incidentes de segurança da informação ISO/IEC-17799:2005
10 Plano de gestão da continuidade de negócio ISO/IEC-17799:2000
11 Conformidade com os aspectos legais ISO/IEC-17799:2000
O que podemos cultivar
1 - Política de segurança da informação
Definição da segurança da informação aprovada pelo CA
(objectos, abrangência e importância)
Definição príncipios, normas e conformidades de relevo
Referências a documentos ou processos externos
Comunicação a TODA a organização e responsabilização
O que podemos cultivar
2 - Organização da Segurança
Coordenação da segurança (forum)
Alocação das responsabilidades
Classificação da informação
Acordos confidencialidade
Revisão da segurança (entidade isenta)
Identificação dos riscos externos
Acordos com partes terceiras
Gerir a segurança da informação na organização
O que podemos cultivar
nota: assets são todos aqueles que pela sua ausência ou degradação podem ter impacto na entrega de produtos ou serviços na organização ou causar danos com a perda da confidencialidade ou integridade
3 - Classificação e controlo de recursos(hardware, software, informação, pessoas)
Inventário de recursos (informaçãoelectrónica, papel, registosvideo, som, software, físicos, elementos humanos, serviçoscontratados, etc..)
Responsabilidade pelos recursos (elemento humano é o elo mais fraco)
Classificação de recursos(regras, etiquetagem, manuseamento)
Manter um nível de protecção apropriado dos activos da organização e garantir que os activos de informação são alvo de um grau de protecção apropriado.
O que podemos cultivar
Nota: A engenharia social é a forma mais comum de ataque por este activo. Processo de mudar o comportamento das pessoas
4 – Gestão de recursos humanos
Verificação de credenciais(habilitações, curriculo, competências, acordosconfidencialidade, etc.);
Término das responsabilidades devolução de recursos e dos direitos de acesso), processos disciplinares;
Reduzir os riscos de erro humano, roubo, fraude ou má utilização das instalações;
Garantir que os utilizadores estão cientes dos cuidados a ter e das ameaças existentes à segurança da informação, e que os mesmos dispõem de equipamentos que lhes permitam dar suporte à política de segurança da organização no curso do seu trabalho;
Elo mais fraco
O que podemos cultivar
5 - Segurança física e ambiental
Perímetro da segurança, controlos de entrada e saída, protecção contra ameaças externas e ambiente;
Manutenção, protecção e acondicionamento dos equipamentos;
Areas de acesso público, cargas e descargas;
Segurança da cablagem;
Destruição e re-utilização segura do equipamento;
Prevenir o acesso não autorizado, danos ou interferência na informação e nas instalações físicas do negócio;
Prevenir a perda, danos ou comprometimento dos activos e a interrupção nas actividades do negócio;
O que podemos cultivar
6 - Gestão das operações e comunicações(computadores e redes)
Monitorização e revisão serviço terceiros
Gestão das operações em redes e transmissões;
Salvaguarda da informação (backups) e protecçãoinfraestrutura suporte, antivirus, etc..;
Políticas e procedimentos escritos e aprovados paratroca/partilha de informação
Minimizar o risco de falhas nos sistemas;
Proteger a integridade das aplicações e da informação e comunicação;
Prevenir a perda, modificação ou má utilização da informação trocada entre organizações.
O que podemos cultivar
7 - Controlo de acesso lógico
Políticas e regras para controlo de acesso (previlégiosminimos, separação das responsabilidades)
Gestão dos utilizadores
Controlo acesso (rede, S.O., aplicações, etc..)
Monitorização de acessos e de utilização
Clear Desk e Clear Screen (hardening)
Computação móvel e ligações remotas
Controlar o acesso à informação;
Impedir o acesso não autorizado aos sistemas de informação;
Assegurar a protecção dos serviços ligados em rede;
O que podemos cultivar
8 - Aquisição, desenvolvimento e manutenção de Sistemas de Informação
Vulnerabilidades na aquisição de sistemas(especificação de requisitos) ;
Restrições a impor ao desenvolvimento e manutençãode software em outsourcing;
Garantir a inclusão de mecanismos de segurança nos sistemas operativos; Códigos abertos !!
Prevenir a perda, modificação ou má utilização dos dados dos utilizadores em aplicações dos sistemas;
Proteger a confidencialidade, autenticidade e integridade da informação;
Assegurar que os projectos informáticos e actividades de suporte são levados a cabo de forma segura;
Metodologia a utilizar
9 - Gestão de incidentes de segurança da informação
Comunicação de eventos de segurança da informação
Comunicação de falhas de segurança
Registos de incidentes de segurança
Responsabilidades e procedimentos
Colecção de evidências para melhorar
Monitorização e reavaliar os controlos
O que podemos cultivar
nota: É neste capítulo que cabe por exemplo as práticas de disaster recovery
10 - Gestão da continuidade de negócio (PCN)
Deve ser elaborado um plano (política) para salvaguardarque o negócio da instituição não é interrompido porincidentes de segurança
Iniciação e gestão projecto
Análise de impacto para o negócio
Estratégias de recuperação
Elaboração de planos
Testes, manutenção e formação
Reagir no caso de se verificarem interrupções nas actividades ou processos críticos do negócio, provocados por falhas graves ou desastres.
O que podemos cultivar
11 – Conformidades com aspectos legais
Legislação aplicável e conformidade com políticas e normas
Direitos de propriedade intelectual, protecção dos dados e privacidade de informação pessoal
Protecção e arquivo de registos da organização(virus, erro humano, ataques, violaçãoacessos, desastres, anomalias hardware, software, etc..)
Assegurar a adequação dos sistemas aos “standards” ou políticas de segurança organizacionais;
Maximizar a eficácia e minimizar a interferência com/do processo de auditoria de sistemas.
O que podemos cultivar
“Sem uma gestão formal da segurança da informação, a segurança vai ser quebrada algures no
tempo”
Visão adaptada do ISO/IEC-17799para a Saúde
(actual ISO/IEC 27799)
Resultados expectáveis
Organização Processos,
Mitigação do Risco
Visibilidade
Qualidade
Confiança stakeholders
Resultados expectáveis
Conclusões
Não é possível manter a segurança sem planear a sua gestão;
Os organismos estão muito atrasados neste sector;
Não existe such thing segurança total;
Implementar controlos permite minimizar riscos;
Só o ISO 27001 permite certificar a gestão da segurança;
Implementar a norma exige grandes mudanças estruturais no âmbito das
tecnologias e dos comportamentos;
Pode ter custos de investimentos elevados mas com retorno visível.
Método para desenvolvimento de um relatório de avaliação inicial
Resposta a um framework (Gap Analysis)
Saber em que estágio se encontra o hospital em matéria de segurança da informação
Reconhecer algumas das vulnerabilidades, ameaças e riscos mais relevantes;
Delinear um roadmap que poderia ser estabelecido para um projecto de certificação
Determinar que recursos e que Project Plan consegue ter associados
Método para desenvolvimento de um relatório de avaliação inicial
Resposta a um framework (Gap Analysis)
Rui@Gomes.com
Obrigado!