Monografia

ASPECTOS DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO. UM

ESTUDO DE CASO DE UM AMBIENTE HOSPITALAR.

por

JOSÉ DIOGENES RODRIGUES ACCIOLY

Monografia de Conclusão de MBA em Gestão de Tecnologia da Informação

UNIVERSIDADE FEDERAL DE PERNAMBUCO

CIN - CENTRO DE INFORMÁTICA

PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO

[email protected]

www.cin.ufpe.br/~posgraduacao

RECIFE, 11 DE 2012.

mailto:[email protected]


ii

UFPE - UNIVERSIDADE FEDERAL DE PERNAMBUCO

CIn - CENTRO DE INFORMÁTICA

PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO


ASPECTOS DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO. UM

ESTUDO DE CASO DE UM AMBIENTE HOSPITALAR.

Monografia apresentada como requisito parcial à

obtenção do grau de Especialista, área de

concentração em Segurança da Informação, do

Programa de Pós-graduação em Ciência da

Computação do Centro de Informática da

Universidade Federal de Pernambuco.

ORIENTADOR: Evandro Curvelo Hora.

RECIFE, 11 DE 2012.


iv

FICHA CATALOGRÁFICA

[JOSE DIOGENES R. ACCIOLY “ACCIOLY, JOSE”]

[ASPECTOS DA GESTÃO DE SEGURANÇA DA

INFORMAÇÃO. UM ESTUDO DE CASO DE UM AMBIENTE

HOSPITALAR] /[JOSÉ ACCIOLY]. – Recife: Accioly, 2012.

Monografia (Especialização) – Universidade Federal de

Pernambuco. CIn – Ciência da Computação, 2012.

Inclui bibliografia.


v

Dedico este trabalho à MINHA FAMÍLIA

Agradecimentos

A Deus, por ter me dado forças e iluminando meu caminho para que pudesse

concluir mais uma etapa da minha vida.

À minha mãe, Maria da Paz, que sempre me deu força e me incentivou a nunca

desistir, e por todo amor e dedicação.

Ao meu pai, Dorgival, em que sempre me espelhei, por ter sido peça fundamental

para que eu tenha me tornado a pessoa que hoje sou.

Ao meu filho, Joaquim, pelas noites de sonos que passei acordado cuidando dele e

pelo seu sorriso toda manhã que me mantém cada vez mais motivado.

À minha esposa, Suzy, pelo carinho e apoio nos momentos que precisei.

Ao meu orientador, professor Evandro Curvelo Hora, pelo ensinamento e dedicação

dispensados no auxilio à concretização dessa monografia.

A todos da empresa em que trabalho e alguns outros amigos que me ajudaram, de

um jeito ou de outro, durante a elaboração desta monografia.

Emfim, aos meus familiares, pelo carinho e pela compreensão nos momentos em

que a dedicação aos estudos foi exclusiva.

E a todos que contribuíram, direta ou indiretamente, para que esse trabalho fosse

realizado: meu eterno AGRADECIMENTO.


vii

“Aprender sem pensar é tempo perdido.”

Confúcio

Resumo

O alto investimento das empresas de TI, no que se refere à segurança, está

relacionado à preocupação em proteger a informação da organização contra ataques

de invasores. Na área da saúde a informação é um ativo essencial para procedimentos

médicos em geral e deve ser protegida. A informação pode existir de muitas formas,

por meio físico ou meio digital, independente do meio de armazenamento ou a forma

apresentada, é recomendado que ela esteja sempre protegida adequadamente. No

hospital um ativo muito importante para a regra de negócio deste tipo de organização é

o prontuário médico do paciente, que contempla inúmeras informações referentes a

esse e é protegido por lei. Sendo assim, a segurança da informação vem sendo tema

de grande debate neste novo milênio e é contemplado neste estudo de caso. Este

trabalho faz um diagnóstico da segurança da informação sobre o prontuário médico do

paciente no que se refere à conformidade com as regulamentações definidas pelo

Conselho Federal de Medicina e a conformidade com a norma ABNT NBR ISO/IEC

27001 (2006) que trata de sistema de gestão da segurança da informação.

Palavras-chave: Informação; Prontuário Médico do Paciente; Segurança da

Informação; Legislação do Prontuário Médico; ISO/IEC 27001 (2006).


ix

Abstract

The high investment of IT companies, with regard to safety, the concern is

related to protecting an organization's information against attacks from invaders. In

health information is an asset that is essential to medical procedures in general and

must be protected. The information can exist in many ways by physical or digital means,

independent of the storage medium or the form shown, it is recommended that it is

always protected properly. At the hospital an asset that is very important for the

business rule this type of organization is the patient's medical record that includes

numerous information regarding the patient and is protected by law. Thus, information

security has been the subject of great debate in the new millennium and is considered

in this case study. This work makes a diagnosis of information security on the patient's

medical record as regards compliance with the regulations set by the Federal Council of

Medicine and compliance with the standard ISO / IEC 27001 (2006) which handles

management system information security.

Keywords: Information, Patient Medical Record; Information Security Legislation

Medical Record, ISO / IEC 27001.


x

Índice

1. INTRODUÇÃO ............................................................................................................................ 16

1.1 JUSTIFICATIVA ....................................................................................................................... 18

1.2 DEFINIÇÃO DO PROBLEMA .................................................................................................... 18

1.3 OBJETIVOS ............................................................................................................................. 19

1.3.1 OBJETIVOS GERAIS ............................................................................................................ 19

1.3.2 OBJETIVOS ESPECÍFICOS ................................................................................................... 19

1.4 ESTRUTURA DO TRABALHO ................................................................................................... 19

2. REFERENCIAL TEÓRICO .............................................................................................................. 21

2.1 INFORMAÇÃO E PRONTUÁRIO MÉDICO ............................................................................................ 21

2.2 GOVERNANÇA DE TI E A GESTÃO DE TI ........................................................................................... 26

2.3 SEGURANÇA DA INFORMAÇÃO ...................................................................................................... 28

2.4 AMEAÇAS .............................................................................................................................. 32

2.5 VULNERABILIDADES .............................................................................................................. 35

2.6 RISCO ..................................................................................................................................... 37

2.7 REQUISITOS DA INFORMAÇÃO .............................................................................................. 37

2.7.1 CONFIDENCIALIDADE........................................................................................................ 38

2.7.2 INTEGRIDADE ................................................................................................................... 38

2.7.3 DISPONIBILIDADE ............................................................................................................. 39


xi

2.8 LEGISLAÇÃO .......................................................................................................................... 39

2.9 ABNT NBR ISO/IEC 27001:2006 ............................................................................................. 45

2.10 O AMBIENTE ORGANIZACIONAL ........................................................................................... 48

3. METODOLOGIA ......................................................................................................................... 50

4. ANÁLISE DOS RESULTADOS ....................................................................................................... 52

4.1 SISTEMA DE GESTÃO DO PRONTUÁRIO MÉDICO DO PACIENTE .............................................................. 53

4.2 QUADRO DE VULNERABILIDADES ................................................................................................... 56

4.3 CONFORMIDADE COM A NORMA ABNT ISO/IEC 27001:2006 ......................................................... 63

5. CONSIDERAÇÕES FINAIS ........................................................................................................... 77

5.1 RESULTADOS OBTIDOS ................................................................................................................ 78

5.2 TRABALHOS FUTUROS ................................................................................................................. 79

5.3 LIMITAÇÕES DO ESTUDO .............................................................................................................. 79

5.4 CONCLUSÕES ............................................................................................................................ 79

6. REFERÊNCIAS ............................................................................................................................ 81


xii

Lista de Figuras

FIGURA 1 - CICLO DE VIDA DA INFORMAÇÃO [ADAPTADA DE SÊMOLA (2003)] .......................................................................... 23

FIGURA 2 - VAZAMENTO DE DADOS NAS COOPORAÇÕES (VERIZON, 2010) ................................................................................. 29

FIGURA 3 - COMO OS VAZAMENTOS OCORREM (VERIZON, 2010) ............................................................................................. 30

FIGURA 4 - MODELO PDCA APLICADO AOS PROCESSOS DO SGSI (ABNT NBR ISO/IEC 27001:2006) .......................................... 47

FIGURA 5 - SISTEMA DE GESTÃO DO PRONTUÁRIO MÉDICO DO PACIENTE (FONTE: PRÓPRIO AUTOR) ................................................. 53


xiii

Lista de Tabelas

TABELA 1 - NÚMERO MENSAL DE EVENTOS POR AMEAÇA, EM PERCENTUAL DE RESPONDENTES (ADAPTADA DE WHITMAN, 2003) ...... 35

TABELA 2 - DEFINIÇÃO DO PDCA DA ABNT NBR ISO/IEC 27001:2006 ................................................................................. 48

TABELA 3 - ITENS DO SISTEMA DE GESTÃO DO PRONTUÁRIO MÉDICO DO PACIENTE ........................................................................ 54

TABELA 4 - QUADRO DE VULNERABILIDADES DO CICLO DE VIDA SOBRE O PRONTUÁRIO MÉDICO DO PACIENTE ..................................... 63

TABELA 5 - OBJETIVO DE CONTROLE E CONTROLES DA POLÍTICA DE SEGURANÇA, APLICÁVEIS DA NORMA ABNT NBR ISO/IEC

27001:2006. ....................................................................................................................................................... 64

TABELA 6 - OBJETIVOS DE CONTROLE E CONTROLES DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO, APLICÁVEIS DA NORMA ABNT

NBR ISO/IEC 27001:2006. .................................................................................................................................. 68

TABELA 7 - OBJETIVOS DE CONTROLE E CONTROLES DA GESTÃO DE ATIVOS, APLICÁVEIS DA NORMA ABNT NBR ISO/IEC 27001:2006 70

TABELA 8 - OBJETIVOS DE CONTROLE E CONTROLES DA SEGURANÇA FÍSICA E DO AMBIENTE, APLICÁVEIS DA NORMA ABNT NBR ISO/IEC

27001:2006. ....................................................................................................................................................... 71

TABELA 9 – OBJETIVOS DE CONTROLE E CONTROLE DO CONTROLE DE ACESSOS, APLICÁVEIS DA NORMA ABNT NBR ISO/IEC

27001:2006. ....................................................................................................................................................... 72

TABELA 10 – OBJETIVOS DE CONTROLE E CONTROLES DA GESTÃO DE INCIDENTES DA SEGURANÇA DA INFORMAÇÃO, APLICÁVEIS DA NORMA

ABNT NBR ISO/IEC 27001:2006. ......................................................................................................................... 73

TABELA 11 - OBJETIVOS DE CONTROLE E CONTROLES DA GESTÃO DE CONTINUIDADE DO NEGÓCIO, APLICÁVEIS DA NORMA ABNT NBR

ISO/IEC 27001:2006. .......................................................................................................................................... 74

TABELA 12 – OBJETIVOS DE CONTROLES E CONTROLES DA GESTÃO DE COMFORMIDADE APLICÁVEIS DA NORMA ABNT NBR ISO/IEC

27001:2006 ........................................................................................................................................................ 75


xiv


xv

Principais Abreviações

TI Tecnologia da Informação

CFM Conselho Federal de Medicina

SAME Serviço de Arquivo Médico e Estatística

SWOT Strenghts (Forças), Weakness (Fraquezas), Opportunities (Oportunidades) e

Threats (Ameaças)

CRM Conselho Federal de Medicia

RH Recursos Humanos

16


Capítulo

1

1. Introdução

Este capítulo relata as principais motivações para realização deste trabalho,

sua justificativa, questão de pesquisa, lista os objetivos de pesquisa almejados e,

finalmente, mostra como está estruturado o restante da presente dissertação.

Nesta era digital a informação passou a ser algo de suma importância para as

organizações dentro de um mercado competitivo. Porém, manter a informação não é

uma tarefa fácil, pois as empresas estão sempre sendo alvo de ataques por invasores

que desejam furtar as informações da organização para tirar proveito financeiro da

empresa invadida, derrubar uma companhia concorrente, realizar ataque terrorista

contra determinada organização ou pelo simples prazer de realizar uma intervenção

ousada contra uma companhia e ter o seu nickname no hall da fama.

17


A informação nesta era digital assume diferentes aspectos de segurança da

informação na área da saúde. A maior importância dentro da saúde está no manuseio

de informações médicas, tanto em meios eletrônicos quanto físicos, visto a crescente

quantidade de informações que são armazenadas sobre saúde do paciente nos

diversos provedores de serviços de saúde (hospitais, clínicas, etc.)

A informação em saúde é um ativo essencial para procedimentos médicos em

geral e precisa ser adequadamente protegido. A segurança da informação tem como

objetivo proteger as informações de diversos tipos de ameaças, a fim de minimizar os

danos ocasionados por vazamento ou furto de informação por invasores.

A informação pode existir de muitas formas. Ela pode ser escrita em papel ou

impressa, armazenada através de meios eletrônicos, mostrado por imagens, etc. Seja

qual for o meio de armazenamento ou a forma apresentada, é recomendado que ela

esteja sempre protegida adequadamente.

Nos hospitais uma das informações essenciais para bom funcionamento é o

prontuário do paciente, que é um conjunto documental que contém toda a vida clínica

ou hospitalar de um indivíduo. As informações são guardadas pelas clínicas, postos de

saúde ou hospitais e tem caráter sigiloso, portanto só médicos e pacientes podem ter

acesso a essas informações. A guarda permanente deste documento, assim como a

qualidade das suas informações tem por objetivo garantir ao paciente ou aos seus

familiares, a qualquer tempo prova e testemunho em processo judicial para o paciente

e para o médico.

Nesse cenário a segurança da informação pode ser usada para proteger essas

informações que, segundo a norma ABNT NBR ISO/IEC 27002 (2005), é definida como

a proteção contra um grande número de ameaças às informações, de forma a

assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o

retorno de possibilidades e investimentos. Ainda segundo a ABNT NBR ISO/IEC 27002

18


(2005) a segurança da informação é caracterizada pela preservação dos três atributos

básicos da informação: confidencialidade, integridade e disponibilidade.

Confidencialidade: Tem o objetivo garantir a privacidade do usuário

prevenindo o roubo de informações pessoais ou empresariais.

Integridade: Tem como objetivo garantir que as transações e recursos

de dados não serão interceptados em qualquer ponto do percurso dos

dados, de forma acidental ou maliciosa.

Disponibilidade: Visa garantir que o serviço esteja online de forma

ininterrupta para os clientes autorizados. A interrupção dos serviços

pode ocorrer de forma acidental ou maliciosa, como um ataque DoS,

extravio de um prontuário médico, por exemplo.

1.1 JUSTIFICATIVA

A motivação deste trabalho se dá pela necessidade de analisar a segurança da

informação sobre o ativo essencial do hospital público, que é o prontuário médico do

paciente. A apresentação de uma análise da segurança da informação na instituição

abordando os três pilares da informação alinhados com o dispositivo legal definido pelo

Conselho Federal de Medicina, que são as resoluções n. 1638/2002, 1605/2000 e a

conformidade com a norma ABNT NBR ISO/IEC 27001 (2006).

1.2 DEFINIÇÃO DO PROBLEMA

Este trabalho, desenvolvido na MBA de gestão de tecnologia da informação, tem

como objetivo identificar as possíveis vulnerabilidades no ciclo de vida do prontuário

médico do paciente, que não esta em conformidade com as Resoluções do CFM n.

1638/2002, 1605/2000 e a norma ABNT NBR ISO/IEC 27001 (2006).

19


1.3 OBJETIVOS

1.3.1 OBJETIVOS GERAIS

Esse trabalho tem como objetivo principal diagnosticar a segurança da

informação tendo como objeto de estudo o prontuário médico do paciente no âmbito de

um Hospital Público. O diagnóstico utilizará os três pilares da segurança da informação:

confidencialidade, integridade e disponibilidade.

1.3.2 OBJETIVOS ESPECÍFICOS

Os seguintes pontos abaixo são entendidos como objetivos específicos:

Expor o ciclo de vida do prontuário médico do paciente.

Avaliar a confidencialidade, integridade e disponibilidade do prontuário

médico e de acordo com a legislação do Conselho Federal de Medicina n.

1638/2002, 1605/2000 e a conformidade com a norma ABNT NBR ISO/IEC

270001:2006.

1.4 ESTRUTURA DO TRABALHO

O restante deste trabalho está organizado da seguinte forma:

No segundo capítulo, são apresentados os conceitos de informação,

prontuário médico do paciente, gestão de tecnologia da informação,

segurança da informação, os três pilares da informação e a legislação

definida pelo Conselho Federal de Medicina que trata sobre o prontuário

médico, ISO/ IEC 27001 (2006) e o ambiente empresarial em que foi

realizado o estudo.

No terceiro capítulo é apresentada a metodologia usada na pesquisa.

20


No quarto capítulo, são apresentados os resultados referentes à segurança

da informação no ciclo de vida do prontuário médico, sobre os três pilares da

informação alinhados com a regulamentação do Conselho Federal de

Medicina n. 1638/2002, 1605/2000 e a norma ABNT NBR ISO/IEC

270001:2006.

O quinto capítulo discute os resultados encontrados e apresenta a conclusão

dos objetivos previamente definidos bem como a apresentação de propostas

de trabalhos futuros.

21


Capítulo

2

2. Referencial Teórico

Neste capítulo serão abordados conceitos-chave para uma melhor

compreensão por parte do leitor.

2.1 Informação e prontuário médico

Segundo Dias (2000), na sociedade da informação, a informação é o principal

patrimônio da empresa e está sob constante risco. A informação é a inteligência

competitiva das organizações e é de suma importância que a empresa seja capaz de

manter essa informação segura.

22


A informação é considerada um ativo, que tem caráter estratégico e

competitivo, assim como qualquer outro ativo que agrega valor para o negócio,

necessita ser adequadamente protegido (ABNT NBR ISO/IEC 27002, 2005).

No conceito do dicionário Contemporâneo da Língua Portuguesa, informação

é um termo que tem origem no latim, denominado informatio onis, (“conceber ideia,

delinear”), ou seja, dar forma ou moldar a mente, instrução ou treinamento. É um

conjunto de fatos ou outros dados fornecidos a uma máquina, a fim de se obter um

processamento.

Existem inúmeras definições acerca do conceito de informação. Uma delas, é

que as informações são o resultado de dados devidamente tratados, comparados,

clasificados, relacionáveis entre outros dados que auxilia na tomada de decisões

(AZEVEDO, 2006).

Dentro da organização, a informação permeia todos os setores da

companhia, segundo SÊMOLA (2003), a informação é muito valiosa para o negócio de

empresa e funciona basicamente como um sangue que alimenta a organização, assim

como, o ser humano apresenta um ciclo de vida, a informação também apresenta um,

no entanto este ciclo de vida é influenciado por três propriedades principais:

confidencialidade, integridade e disponibilidade, além de aspectos de autenticidade e

legalidade que são essenciais para preservar e proteger a informação.

Na figura 1 abaixo são apresentados quatro momentos chaves do ciclo de

vida da informação.

23


No ciclo de vida da informação, as quatro grandes etapas são:

Manuseio: Momento em que a informação é concebida e manipulada, mesmo

que a informação encontre-se em papel ou em meio digital.

Armazenamento: Etapa em que a informação é armazenada, momento em

que ela pode estar contida em um banco de dados compartilhado, em papéis

ou armazenado em arquivo de ferro, em mídias digitais etc..

Transporte: Momento em que a informação é transportada, etapa na qual

uma informação pode ser enviada por e-mail, via fax, trafegar com

informação de um setor para outro ou de uma empresa para outra etc.

Descarte: Etapa em que a informação é descartada, como ao depositar em

lixeira da empresa um material impresso, arquivo digital, CDROM, DVD, etc.

Figura 1 - Ciclo de Vida da Informação [adaptada de

SÊMOLA (2003)]

24


Em uma organização nem toda informação é essencial ou crucial que

necessite de cuidados essenciais. Por outro lado, manter a integridade de uma

informação vital pode exigir um grande custo, ainda assim será menor que o custo de

não dispor a informação adequada. A informação pode ser classificada como:

(BORAN, 1996; WADLOW, 2000).

Pública: São informações que podem vir a público sem maiores riscos para o

funcionamento da organização, ou seja, os dados não são confidenciais. Sua

integridade é importante, mesmo que não seja vital.

Interna: São informações às quais o livre acesso deve ser evitado e o uso por

pessoas não autorizadas não acarreta consequências críticas. Sua

integridade é importante, mesmo que não seja vital.

Confidencial: São informações restritas aos limites da empresa, a divulgação

ou perda pode influenciar a eficácia da organização, e eventualmente, a

perdas de confiabilidade referente à imagem da organização, ao cliente ou

perdas financeiras.

Secreta: São informações críticas para o funcionamento da companhia na

qual a integridade deve ser preservada a qualquer custo e o acesso deve ser

restrito a uma quantidade pequena de pessoas. A segurança desse tipo de

informação é vital para a organização.

É fato que algumas informações são imprescindíveis para a empresa e o

vazamento dessas informações na sua parcialidade ou totalidade pode trazer

repercussões incalculáveis para a administração da organização. Logo, a divulgação

de informações secretas ou confidencias por funcionários das empresas é uma

realidade.

Um hospital público não é diferente das demais organizações, ele está repleto

de informações e entre essas informações existe um ativo que é essencial para

organização e é protegido por regulamentação, denominado prontuário médico do

25


paciente. O prontuário médico é um conjunto documental que contém todas as

informações sobre a vida hospitalar e clínica de um indivíduo. As informações devem

ser guardadas pelos hospitais, clínicas ou postos de saúde de modo a assegurar ao

paciente, a qualquer tempo prova e testemunho. O prontuário possui caráter sigiloso,

apenas o paciente e o médico devem ter acesso a essas informações. O uso

inadequado ou preenchimento do prontuário com irregularidades pode acarretar graves

problemas para o paciente e para o médico. A ilegibilidade de uma prescrição pode

induzir a troca de um medicamento por outro e assim comprometer a vida do paciente

levando o médico a longas ações judiciais.

O Conselho Federal de Medicina (CFM), pela Resolução n. 1638/2002, define

prontuário como:

“Documento único, constituído de um conjunto de informações, sinais e

imagens registrados, gerados a partir de fatos, acontecimentos e situações

sobre a saúde do paciente e a assistência a ele prestada, de caráter legal,

sigiloso e científico, que possibilita a comunicação entre membros da equipe

multiprofissional e a continuidade da assistência prestada ao indivíduo”.

O prontuário serve como um instrumento de consulta, ensino, pesquisa,

auditoria, avaliações, estatística médico-hospitalar, prova de que o paciente está sendo

tratado, investigação epidemiológica, processos éticos e legais, comunicação entre os

profissionais de assistência ao paciente, defesa ou acusação. Para o médico o

prontuário serve de defesa legal como prova em ações judiciais, facilita o diagnóstico,

permite comparações de diagnósticos, permite que outro médico possa assumir o caso

clínico e permite ao médico-legista a emissão de pareceres com mais segurança. Para

o paciente possibilita um tratamento mais rápido e eficiente, simplifica ou dispensa

interrogatórios clínicos e serve como uma garantia em ações judiciais sobre erros

médicos. Para as instituições, constitui defesa legal referente ao tipo de atendimento

26


oferecido e é ferramenta essencial para sindicâncias administrativas, judiciais, e

processo no conselho federal da classe. No ensino e pesquisa, o prontuário permite

uma análise para os estudiosos sobre casos especiais e atípicos, para casos de estudo

para os acadêmicos ele oferece dados que permitem observar vários indicadores sobre

óbitos, doenças, epidemias, etc. Para a equipe assistencial, permite mais interações

entre os profissionais.

As anotações realizadas no prontuário ou ficha clínica devem ser feitas de forma

legível, permitindo, inclusive, identificar os profissionais de saúde envolvidos no

cuidado ao paciente. Além disso, o médico está obrigado a assinar e carimbar ou

assinar, escrever seu nome legível e sua respectiva inscrição no CRM.

No prontuário do paciente são inúmeras as fichas e documentos, entre eles

estão: atendimento ambulatorial, atendimento de urgência, evolução médica, evolução

de enfermagem e de outros profissionais assistentes, partograma (em obstetrícia),

prescrição médica, prescrição de enfermagem e de outros profissionais assistentes,

exames complementares (laboratoriais, radiológicos, ultra-sonográficos e outros) e

seus respectivos resultados, descrição cirúrgica, anestesia, débito do centro cirúrgico

ou obstétrico (gasto de sala), resumo de alta, boletins médicos, documentos gerados

no pronto-socorro e no ambulatório deverão ser arquivados junto com o prontuário, em

caso de internação hospitalar. Alguns itens são obrigatórios como: identificação da

paciente, anamnese, exame físico, hipóteses diagnósticas, diagnóstico(s) definitivo(s),

tratamento(s) efetuado(s) CREMESP (CONSELHO REGIONAL DE MEDICINA DO

ESTADO DE SÃO PAULO, 2012).

2.2 Governança de TI e a Gestão de TI

A complexidade trazida pelas demandas que são requisitadas às instituições

requer um aumento proporcional dos investimentos em todas as áreas de apoio ao

negócio. Dentre elas a que vem mostrando ser fator crítico de sucesso de uma

27


organização é a tecnologia da informação. Ter um ambiente de negócios integrado

pode ser um diferencial estratégico de sucesso de qualquer empresa. Para isso, o

mercado tem se esforçado bastante criando padrões, normas, legislações e processos

para alcançar esse alinhamento. Para alcançar o alinhamento de TI aos objetivos

estratégicos da organização é necessária a implantação da governança de TI.

Segundo a ABNT NBR ISO/IEC 38.500:2009 a governança de TI:

"É o sistema pelo qual o uso atual e futuro da TI são dirigidos e

controlados. Significa avaliar e direcionar o uso da TI para dar suporte à

organização e monitorar o uso para realizar planos. Inclui a estratégia e as

políticas de uso da TI dentro da organização".

Já o IT Governance Institute afirma que "A governança de TI é de

responsabilidade da alta administração, na liderança, nas estruturas organizacionais e

nos processos que garantem que a TI da empresa sustente e estenda as estratégias e

objetivos da organização". Dentre suas responsabilidades está o suporte no

alinhamento estratégico da TI ao negócio, implantar mecanismos que garantam a

continuidade, disponibilidade e contingência dos serviços de apoio ao negócio e auxiliar

na implementação e gestão das áreas de controle interno, compliance, gestão de riscos

e marcos de regulamentação externa.

O processo de alinhamento estratégico passa pela definição de regras de nível

empresarial que devem ser desdobradas subsidiando a tomada de decisão formando

um baseline onde são definidas arquiteturas, infraestruturas, padrões e etc. Deve-se

observar, também, tanto a demanda, que fornecerá novas perspectivas de espaços de

mercado, quanto à necessidade por aplicações que venham a suportar a estratégia do

negócio e a sua continuidade.

É preciso definir objetivos de desempenho e níveis de serviço. O primeiro foca

definir, executar e manter o desempenho requerido pelas metas e alcançar os objetivos

traçados. O segundo busca definir um acordo firmado entre a área de TI e seu cliente

28


interno. Nele são definidos metas, papeis e responsabilidades das partes envolvidas.

Nele são definidos metas, papeis e responsabilidades das partes envolvidas.

Visando estruturar todo esse processo e vincular seus players às atividades da

secretaria do comércio do governo inglês, a partir de pesquisas realizadas por

consultores, especialistas e doutores decidiu criar a ITIL. O ITIL (Information

Technology Infrastructure Library) é o modelo de referência para gerenciamento de

processos de TI mais aceito mundialmente. É uma metodologia para desenvolver as

melhores práticas para a gestão da área de TI nas empresas privadas e públicas.

Partindo da ótica da segurança da informação, o ITIL pode auxiliar no

gerenciamento e atendimento dos requisitos de segurança para o serviço de TI, ditados

pelos clientes. Isso é alcançado através do alinhamento entre as necessidades

dos negócios (necessidades dos clientes) e com o que a área de TI oferece de

serviços. Com o apoio dos processos de Gerenciamento de Mudanças, Gerenciamento

de Incidentes e outros fica possível organizar melhor as intervenções e manter a

segurança da informação efetiva e eficaz e também o planejamento de uma política de

segurança da informação, bem como a implantação baseada em indicadores e metas

ajuda a evitar implantações divergentes em serviços distintos. Em última análise, isso

aumenta a eficiência, diminui as contradições, economiza tempo e dinheiro.

A definição da capacidade de TI, planos de segurança da informação,

estratégias de sourcing e implantação e gestão de processos são requisitos chave para

um alinhamento estratégico de TI de sucesso.

A principal saída desse processo é o plano de tecnologia da informação.

(ARAGON, A. 2012)

29


2.3 Segurança da Informação

A segurança da informação é uma área que esta em constante crescimento no

mercado mundial, segundo Blog SegInfo (2011) um estudo realizado pela empresa

ESG Research identificou a carência de profissionais nesta área. O estudo mostra que

as organizações estão investindo cada vez mais em segurança. Em 2009 apenas 36%

foi investido, já em 2010 o investimento teve um aumento de mais 9% atingindo 45% e

em 2011 empresas de médio porte e grandes empresa estão investindo cerca de 58%

mais em segurança da informação.

Segundo a pesquisa realizada pela empresa Verizon em 2010, que trata do

vazamento de dados das corporações, a figura 2 a seguir mostra quem esta por trás

dos vazamentos de dados.

Figura 2 - Vazamento de dados nas cooporações (Verizon, 2010)

70

48

11

27

0

10

20

30

40

50

60

70

80

Resultaram de agentesexternos

Causado porempregados

Afetaram parceiroscomerciais

Envolveram multiplasempresas

Quem esta por trás dos vazamentos de dados na organização?

30


No decorrer da pesquisa a empresa Verizon se preocupou em responder

também a seguinte pergunta “Como é que os vazamentos de informações ocorrem na

organização?”, na figura 3 abaixo é apresentado o resultado a esta pergunta.

Figura 3 - Como os vazamentos ocorrem (Verizon, 2010)

A pesquisa demonstra que as organizações estão sujeitas a vazamento de

informações. Dessa forma, segundo a ABNT NBR ISO/IEC 27002 (2005), a segurança

da informação é a proteção da informação contra diferentes tipos de ameaças, de

modo a garantir a continuidade do negócio, minimizar o risco para o negócio,

maximizar o retorno sobre o investimento e as oportunidades de negócio.

Esta norma define a segurança da informação como “Preservação da

confidencialidade, da integridade e da disponibilidade da informação; adicionalmente,

outras propriedades, tais como autenticidade, responsabilidade, não repúdio e

confiabilidade, podem também estar envolvidas.”.

48

40 38

28

15

0

10

20

30

40

50

60

Envolvem abuso deprivlégios

Foram resultadode crackers

Utilizarammalware

Envolveramengenharia social

Foram o resultadode ataques físicos

Como os vazamentos ocorrem?

31


Para SANS (2012), a segurança da informação refere-se à metodologia e

processo que foram concebidos e implementados para proteger qualquer tipo de

informação. A área de concentração de segurança da informação está preocupada com

a confidencialidade, a integridade e a disponibilidade dos dados, independentemente

da forma que os dados podem tomar: impressa, eletrônica ou outras formas.

Na perspectiva de Bruce Schneier apud Simons Mitnick (2003, p.4)

“A segurança não é um produto, ela é um processo”.

Uma empresa pode gastar fortuna em tecnologia através de software e

equipamentos, porém mesmo assim pode estar vulnerável, pois existe o fator humano

que é o fator mais frágil da segurança. Para evitar essa fragilidade é necessário treinar

as pessoas em técnicas para evitar que o elemento humano repasse informações da

empresa para intrusos que fingem ser o que não são, esses intrusos podem ser

definidos como engenheiro social, que é alguém que usa a fraude, a persuasão e a

influência contra as empresas visando obter informações.

A ideia de segurança para muitas pessoas às vezes é uma mera utopia criada

por alguns profissionais da área de tecnologia da informação, que conservam ideias

erradas de que conseguiram manter a empresa imune ao ataque porque utilizam

produtos que são padrão para a segurança como firewall, sistemas de detecção de

intrusão, dispositivos avançados de autenticação através de biometrias inteligentes.

Aqueles que acreditam que produtos de segurança sozinhos oferecem a verdadeira

segurança estado fadados ao fracasso da ilusão da segurança.

Deve-se lembrar de que a segurança não é um problema apenas para

tecnologia, mas um problema para pessoas e para a direção. Lembre-se que enquanto

inúmeros especialistas procuram aprimorar novas tecnologias, os atacantes visam o

“firewall humano” que é quase sempre fácil. Segundo o cientista Albert Einstein (1990

32


apud MITNICK, 2003, p.3), “Apenas duas coisas são infinitas: o universo e a estupidez

humana, e eu não tenho certeza sobre a primeira”.

Na segurança da informação alguns conceitos são fundamentais para uma maior

compreensão dentro da área, esses conceitos são: ameaça, vulnerabilidade e risco.

Além dos três pilares básicos da informação que são a confidencialidade, integridade e

disponibilidade.

2.4 AMEAÇAS

Uma das definições apresentadas para ameaça é “evento ou atitude indesejável

(roubo, incêndio, vírus, etc.) que potencialmente remove, desabilita, danifica ou destrói

um recurso” (DIAS, 2000, p. 55). Para SÊMOLA (2003), a ameaça trata-se de

condições ou agentes que causam danos à informação e seus ativos através da

exploração de vulnerabilidade gerando impactos negativos ao negócio da instituição

ocasionado pela quebra da confidencialidade, integridade e disponibilidade.

As ameaças podem ser dividas quanto a sua intencionalidade que são:

● Naturais: São ameaças decorrentes de fenômenos da natureza como

tempestade, terremotos, enchentes, poluição, etc.

● Involuntárias: São ameaças causadas quase sempre pelo desconhecimento,

tem sua origem em erros, ausência de energia, acidentes, etc.

● Voluntárias: Trata-se de ameaças ocasionados por agentes humanos que

tem o interesse de provocar danos à organização. Esses agentes são

hackers, invasores, ladrões, criadores e disseminadores de vírus de

computador e incendiários.

Um estudo realizado em 2002 por WHITMAN (2003) procurou entender as ameaças

que enfrentam as organizações, através de três questões primordiais:

1 Quais são as ameaças à segurança da informação?

33


2 Quais são as mais sérias para a organização?

3 Qual a frequência com que os eventos baseados nelas são observados?

Em resposta à primeira pergunta, a pesquisa revelou doze categorias de ameaças

obtidas através de trabalhos anteriores e da entrevista com três security officers

(responsável pela segurança da informação). A lista das categorias das ameaças está

organizada em ordem decrescente de severidade das ameaças à segurança da

informação, respondendo também a segunda questão da pesquisa. As categorias de

ameaças são:

1 Ações deliberadas através do uso de software (vírus, vermes, macros,

negação de serviço);

2 Erros e falhas técnicas de software (falhas na codificação, bugs, brechas que

levam o software ao loop);

3 Falhas ou Erros humanos (acidentes, erros por parte do empregado);

4 Atos deliberados de espionagem ou invasão (acesso não autorizado, coleta

de informação);

5 Atos de sabotagem ou vandalismo (destruição de sistemas ou informação);

6 Erros ou falhas técnicas de hardware (falhas de equipamentos);

7 Atos deliberados de furto (de equipamentos ou de informação);

8 Força da natureza (terremotos, enchentes, incêndios não intencionais,

relâmpagos);

9 Comprometimento à propriedade intelectual (pirataria, infração a direitos

autorais);

10 Variação da qualidade de serviço (Qos) por provedores (como energia

elétrica e serviços de redes remotas de telecomunicação);

11 Técnicas obsoletas (tecnologia antiga ou obsoleta);

12 Atos deliberados de extorsão de informação (chantagem ou revelação

indevida de informação).

34


Em relação à frequência, WHITMAN (2003) apresenta os resultados listados na

tabela 1 a seguir.

Número de eventos por

mês

>100 51-100 10-50 <10 Nenhum Sem

Resposta

1.Eventos por Software 11,5% 9,4% 14,6% 47,9% 16,7% -

2.Erros ou falhas

técnicas de software

- 5,2% 18,8% 45,8% 30,2% -

3.Falhas ou erros

humanos

5,2% 2,1% 14,6% 41,7% 24,0% 15,5%

4.Espionagem ou

invasão

4,2% 3,1% 3,1% 20,8% 68,8% -

5.Sabotagem ou

vandalismo

1,0% - 3,1% 31,3% 64,6% -

6.Erros ou falhas

técnicas de hardware

- 3,1% 11,5% 51,0% 34,4% -

7.Furto - - 7,3% 38,5% 54,2% -

35


8.Forças da natureza 1,0% - 2,1% 34,4% 62,5% -

9.Comprometimento à

propriedade intelectual

1,0% 2,1% 3,1% 25,0% 61,5% -

10. Variação do QoS - 1,0% 8,3% 43,8% 46,9% -

11.Técnicas obsoletas - 1,0% 15,6% 21,9% 60,4% 1,0%

12.Extorsão de

informação

- - 1,0% 8,3% 90,6% -

Tabela 1 - Número mensal de eventos por ameaça, em percentual de respondentes

(adaptada de WHITMAN, 2003)

2.5 VULNERABILIDADES

A vulnerabilidade pode ser definida como a incapacidade de resistir a uma

situação de perigo ou a de responder quando o desastre ocorre. Imagine o seguinte

cenário para compreender melhor o que é uma vulnerabilidade: pode-se dizer que os

moradores que vivem em planícies estão mais vulneráveis a enchentes do que

pessoas que moram no planalto. Segundo SÊMOLA (2003), vulnerabilidade é uma

fraqueza que quando explorada por uma ameaça produz um incidente de segurança da

informação, comprometendo os princípios da segurança da informação. A

vulnerabilidade por si só não provoca nenhum dano a segurança da informação, é

necessária a existência de uma ameaça. As vulnerabilidades podem ser classificadas

da seguinte forma:

36


Físicas: Falta de alarmes de combate a incêndio, extintores de incêndio ou

recursos de combate ao fogo para o local no qual são armazenados

equipamentos estratégicos para a organização, detectores de fumaça,

instalações prediais fora do padrão, risco de explosão, incêndio ou

vazamento;

Naturais: Os computadores e servidores estão suscetíveis a desastres

naturais, como incêndio, enchente, terremotos, ausência de energia, etc.;

Hardware: Falhas em equipamentos por conta de desgaste, má utilização ou

erros durante a instalação;

Software: Erros na instalação ou configuração podem ocasionar vazamento

de informação, acesso não autorizado, perda de dados ou indisponibilidade

de recursos quando necessário;

Mídias: Fitas, discos, relatórios gerenciais impressos podem ser perdidos ou

danificados. A radiação eletromagnética pode comprometer diferentes tipos

de mídias magnéticas.

Humanas: Ausência de treinamentos, rotinas de segurança, erros ou

omissões; vandalismo, roubo, destruição de propriedade ou dados, invasões

ou guerras;

Comunicação: Acesso não autorizado ou perda de comunicação.

A relação entre ameaça e vulnerabilidade é bem próxima, imagine o seguinte

cenário: em um edifício existe uma pessoa doente que depende de um equipamento

que está ligado na energia elétrica e o edifício não possui gerador de energia. Logo, se

faltar energia o impacto pode ser fatal. Diante deste cenário, a vulnerabilidade é o fato

do edifício não possuir gerador de energia e a ameaça é a possibilidade de faltar

energia.

37


2.6 RISCO

Segundo o moderno dicionário da língua portuguesa Michaelis uma das

definições da palavra risco é a possibilidade de perigo, incerto, mas previsível, que

ameaça de dano à pessoa ou a coisa.

Para PMBOK (2008) o risco pode ser definido como um evento ou condição de

incerteza que, se ocorrer, terá um efeito positivo ou negativo sobre pelo menos um

objetivo do projeto. Na visão de SÊMOLA (2003), risco é a probabilidade de ameaças

explorarem vulnerabilidades, de modo a provocar perdas na confidencialidade,

integridade e disponibilidade, provocando possivelmente, impactos nos negócios.

Assim sendo, pode-se definir que existe risco quando uma ameaça, com potencial para

causar algum dano, possui uma vulnerabilidade correspondente com alto nível de

probabilidade de ocorrência no ambiente computacional e um baixo nível de proteção.

Na prática os riscos surgem em decorrência da presença de fraquezas e

vulnerabilidades. Isto ocorre pelo fato de que todos os ativos da empresa estão sujeitos

a vulnerabilidades em maior ou menor escala e, neste caso, estas vulnerabilidades

proporcionam riscos para a empresa e são causadas muitas vezes por falhas nos seus

controles.

2.7 REQUISITOS DA INFORMAÇÃO

A informação é poder nos dias atuais, mas desde o Egito antigo os faraós já

sabiam da importância da informação como elemento estratégico para colocar uma

sociedade em posição privilegiada, eles monitoravam as condições climáticas e

metereológicas a fim de prever quando haveria as cheias do rio Nilo de modo a

aproveitar ao máximo a fertilidade que as planícies traziam durante as cheias.

38


Enquanto o restante da população não tinha conhecimentos da natureza, os faraós

conseguiam calcular quando a estação das chuvas viria.

Com tanta importância, a informação para ser utilizada deve seguir três

princípios básicos: confidencialidade, integridade e disponibilidade.

2.7.1 CONFIDENCIALIDADE

Segundo ABNT NBR ISO/IEC 27002 (2005) a confidencialidade significa que a

informação deve ser protegida contra acesso não autorizado de indivíduos. Consiste

em proibir cópias e distribuição não autorizada da informação. Sendo assim, toda e

qualquer informação deve ser tratada como confidencial e sua utilização deverá ser

feito por pessoas com prévia autorização.

Ainda segundo a ABNT NBR ISO/IEC 27002 (2005) a confidencialidade tem o

objetivo de garantir a privacidade do usuário prevenindo o roubo de informações

pessoais ou empresariais.

Na pespectiva de SÊMOLA (2003), toda informação deve ser protegida de

acordo com importância do seu conteúdo, sendo o seu acesso limitado e acessado

apenas pelas pessoas destinas a aquela informação.

2.7.2 INTEGRIDADE

Segundo SÊMOLA (2003), a informação deve ter o seu conteúdo íntegro na

condição em que foi disponibilizada pelo seu proprietário, objetivando protege-la de

alterações indevidas, acidentais ou intencionais.

De acordo com a ABNT NBR ISO/IEC 27002 (2005) a integridade consiste no

fato em que apenas pessoas responsáveis pela informação são autorizadas a modificar

39


o seu conteúdo impedindo que a informação original sofra qualquer tipo de violação por

parte de alguém não autorizado.

2.7.3 DISPONIBILIDADE

Segundo a ABNT NBR ISO/IEC 27002 (2005) a disponibilidade garante que a

informação sempre esteja disponível para o acesso de pessoas autorizadas com plena

integridade.

De acordo com a ABNT NBR ISO/IEC 27001 (2006) uma melhor definição para

disponibilidade é que se trata da propriedade da informação estar acessível e utilizável

por uma entidade autorizada.

2.8 LEGISLAÇÃO

Segundo a legislação do prontuário médico, em qualquer meio de

armazenamento, é propriedade física da instituição onde o paciente é assistido, seja

uma unidade de saúde ou um consultório, a quem cabe o dever de guarda do

documento. Ao paciente pertencem os dados ali contidos, os quais só podem ser

divulgados com autorização do paciente ou dever legal. É direito do paciente a

disponibilidade permanente das informações, como é do médico e da instituição o

dever de guarda do prontuário. Este é o entendimento que esta contido na Resolução

CFM n. 1.605/2000:

RESOLVE:

“Art. 1º - O médico não pode, sem o consentimento do paciente,

revelar o conteúdo do prontuário ou ficha médica.

40


Art. 2º - Nos casos do art. 269 do Código Penal, onde a

comunicação de doença é compulsória, o dever do médico restringe-se

exclusivamente a comunicar tal fato à autoridade competente, sendo proibida a

remessa do prontuário médico do paciente.

Art. 3º - Na investigação da hipótese de cometimento de crime o

médico está impedido de revelar segredo que possa expor o paciente a

processo criminal.

Art. 4º - Se na instrução de processo criminal for requisitada, por

autoridade judiciária competente, a apresentação do conteúdo do prontuário ou

da ficha médica, o médico disponibilizará os documentos ao perito nomeado

pelo juiz, para que neles seja realizada perícia restrita aos fatos em

questionamento.

Art. 5º - Se houver autorização expressa do paciente, tanto na

solicitação como em documento diverso, o médico poderá encaminhar a ficha

ou prontuário médico diretamente à autoridade requisitante.

Art. 6º - O médico deverá fornecer cópia da ficha ou do prontuário

médico desde que solicitado pelo paciente ou requisitado pelos Conselhos

Federal ou Regional de Medicina.

Art. 7º - Para sua defesa judicial, o médico poderá apresentar a

ficha ou prontuário médico à autoridade competente, solicitando que a matéria

seja mantida em segredo de justiça.

Art. 8º - Nos casos não previstos nesta resolução e sempre que

houver conflito no tocante à remessa ou não dos documentos à autoridade

requisitante, o médico deverá consultar o Conselho de Medicina, onde mantém

sua inscrição, quanto ao procedimento a ser adotado.”

A legislação rege o prontuário médico do paciente, define formalmente o que

é prontuário médico do paciente e torna obrigatória a criação da Comissão de Revisão

de Prontuários nas instituições de saúde. A resolução do CFM n. 1638/2002:

41


RESOLVE:

“Art. 1º - Definir prontuário médico como o documento único

constituído de um conjunto de informações, sinais e imagens registradas,

geradas a partir de fatos, acontecimentos e situações sobre a saúde do

paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico,

que possibilita a comunicação entre membros da equipe multiprofissional e a

continuidade da assistência prestada ao indivíduo.

Art. 2º - Determinar que a responsabilidade pelo prontuário médico

cabe:

I. Ao médico assistente e aos demais

profissionais que compartilham do atendimento;

II. À hierarquia médica da instituição, nas

suas respectivas áreas de atuação, que tem como dever zelar pela qualidade

da prática médica ali desenvolvida;

III. À hierarquia médica constituída pelas

chefias de equipe, chefias da Clínica, do setor até o diretor da Divisão Médica

e/ou diretor técnico.

Art. 3º - Tornar obrigatória a criação das Comissões de Revisão de

Prontuários nos estabelecimentos e/ou instituições de saúde onde se presta

assistência médica.

Art. 4º - A Comissão de que trata o artigo anterior será criada por

designação da Direção do estabelecimento, por eleição do Corpo Clínico ou

por qualquer outro método que a instituição julgar adequado, devendo ser

coordenada por um médico.

Art. 5º - Compete à Comissão de Revisão de Prontuários:

I. Observar os itens que deverão constar

obrigatoriamente do prontuário confeccionado em qualquer suporte, eletrônico

ou papel:

42


a. Identificação do paciente – nome completo, data de nascimento

(dia, mês e ano com quatro dígitos), sexo, nome da mãe, naturalidade

(indicando o município e o estado de nascimento), endereço completo (nome

da via pública, número, complemento, bairro/distrito, município, estado e CEP);

b. Anamnese, exame físico, exames complementares solicitados e

seus respectivos resultados, hipóteses diagnósticas, diagnóstico definitivo e

tratamento efetuado;

c. Evolução diária do paciente, com data e hora, discriminação de

todos os procedimentos aos quais o mesmo foi submetido e identificação dos

profissionais que os realizaram, assinados eletronicamente quando elaborados

e/ou armazenados em meio eletrônico;

d. Nos prontuários em suporte de papel é obrigatória a legibilidade

da letra do profissional que atendeu o paciente, bem como a identificação dos

profissionais prestadores do atendimento. São também obrigatórias a

assinatura e o respectivo número do CRM;

e. Nos casos emergenciais, nos quais seja impossível a colheita

de história clínica do paciente, deverá constar relato médico completo de todos

os procedimentos realizados e que tenham possibilitado o diagnóstico e/ou a

remoção para outra unidade.

I. Assegurar a responsabilidade do

preenchimento, guarda e manuseio dos prontuários, que cabem ao médico

assistente, à chefia da equipe, à chefia da Clínica e à Direção técnica da

unidade.

Art. 6º - A Comissão de Revisão de Prontuários deverá manter

estreita relação com a Comissão de Ética Médica da unidade, com a qual

deverão ser discutidos os resultados das avaliações realizadas.”.

Devido a grande evolução dos sistemas de informação, o Conselho Federal

de Medicina define uma resolução que trata da digitalização dos prontuários e/ou

microfilmagem. Esses são os únicos meios que permitem a eliminação do suporte de

43


papel, entretanto são poucos os hospitais que digitalizam os prontuários e que estão de

conformidade com as normas técnicas que regulamentam o uso de sistemas

informatizados para guarda e manuseio do prontuário médico. A resolução do CFM n.

1821/2007:

RESOLVE:

“Art. 1º Aprovar o Manual de Certificação para Sistemas de

Registro Eletrônico em Saúde, versão 3.0 e/ou outra versão aprovada pelo

Conselho Federal de Medicina, anexo e também disponível nos sites do

Conselho Federal de Medicina e Sociedade Brasileira de Informática em Saúde

(SBIS), respectivamente, www.portalmedico.org.br e www.sbis.org.br.

Art. 2º Autorizar a digitalização dos prontuários dos pacientes,

desde que o modo de armazenamento dos documentos digitalizados obedeça

a norma específica de digitalização contida nos parágrafos abaixo e, após

análise obrigatória da Comissão de Revisão de Prontuários, as normas da

Comissão Permanente de Avaliação de Documentos da unidade médico-

hospitalar geradora do arquivo.

§ 1º Os métodos de digitalização devem reproduzir todas as

informações dos documentos originais.

§ 2º Os arquivos digitais oriundos da digitalização dos documentos

do prontuário dos pacientes deverão ser controlados por sistema especializado

(Gerenciamento eletrônico de documentos - GED), que possua, minimamente,

as seguintes características:

a) Capacidade de utilizar base de dados adequada para o

armazenamento dos arquivos digitalizados;

b) Método de indexação que permita criar um arquivamento

organizado, possibilitando a pesquisa de maneira simples e eficiente;

http://www.portalmedico.org.br/

http://www.sbis.org.br/

44


c) Obediência aos requisitos do "Nível de garantia de segurança 2

(NGS2)", estabelecidos no Manual de Certificação para Sistemas de Registro

Eletrônico em Saúde;

Art. 3º Autorizar o uso de sistemas informatizados para a guarda e

manuseio de prontuários de pacientes e para a troca de informação identificada

em saúde, eliminando a obrigatoriedade do registro em papel, desde que esses

sistemas atendam integralmente aos requisitos do "Nível de garantia de

segurança 2 (NGS2)", estabelecidos no Manual de Certificação para Sistemas

de Registro Eletrônico em Saúde;

Art. 4º Não autorizar a eliminação do papel quando da utilização

somente do "Nível de garantia de segurança 1 (NGS1)", por falta de amparo

legal.

Art. 5º Como o "Nível de garantia de segurança 2 (NGS2)", exige o

uso de assinatura digital, e conforme os artigos 2º e 3º desta resolução, está

autorizada a utilização de certificado digital padrão ICP-Brasil, até a

implantação do CRM Digital pelo CFM, quando então será dado um prazo de

360 (trezentos e sessenta) dias para que os sistemas informatizados

incorporem este novo certificado.

Art. 6º No caso de microfilmagem, os prontuários microfilmados

poderão ser eliminados de acordo com a legislação específica que regulamenta

essa área e após análise obrigatória da Comissão de Revisão de Prontuários

da unidade médico-hospitalar geradora do arquivo.

Art. 7º Estabelecer a guarda permanente, considerando a evolução

tecnológica, para os prontuários dos pacientes arquivados eletronicamente em

meio óptico, microfilmado ou digitalizado.

Art. 8º Estabelecer o prazo mínimo de 20 (vinte) anos, a partir do

último registro, para a preservação dos prontuários dos pacientes em suporte

de papel, que não foram arquivados eletronicamente em meio óptico,

microfilmado ou digitalizado.

45


Art. 9º As atribuições da Comissão Permanente de Avaliação de

Documentos em todas as unidades que prestam assistência médica e são

detentoras de arquivos de prontuários de pacientes, tomando como base as

atribuições estabelecidas na legislação arquivística brasileira, podem ser

exercidas pela Comissão de Revisão de Prontuários.

Art. 10º Estabelecer que o Conselho Federal de Medicina (CFM) e

a Sociedade Brasileira de Informática em Saúde (SBIS), mediante convênio

específico, expedirão selo de qualidade dos sistemas informatizados que

estejam de acordo com o Manual de Certificação para Sistemas de Registro

Eletrônico em Saúde, aprovado nesta resolução.

Art. 11º Ficam revogadas as Resoluções CFM nos 1.331/89 e

1.639/02, e demais disposições em contrário.”.

2.9 ABNT NBR ISO/IEC 27001:2006

Ao falar em Sistemas de Gestão de Segurança da Informação, o padrão

reconhecido internacionalmente é o padrão ISO que é definido pelas normas ABNT

NBR ISO/IEC 27001 e 27002. Entretanto, neste contexto de estudo é abordada apenas

a norma 27001 (2006).

A norma ABNT NBR ISO/IEC 27001 (2006), especifica os requisitos

obrigatórios para uma Sistema de Gestão de Segurança da Informação para

estabelecer, implementar, operar, monitorar, revisar, manter, e melhorar um Sistema de

Gestão da Segurança da Informação. Essa norma especifica objetivos de controles e

controles de segurança personalizados para as necessidades de organizações ou suas

partes. A norma basicamente esta dividida em oito seções, que são:

1- Objetivo;

2- Referência normativa;

3- Termos e definições;

http://www.cremesp.org.br/library/modulos/legislacao/versao_impressao.php?id=2958

http://www.cremesp.org.br/library/modulos/legislacao/versao_impressao.php?id=3102

46


4- Sistema de gestão de segurança da informação;

5- Responsabilidades da direção;

6- Auditorias Internas do Sistema de Gestão da Segurança da Informação;

7- Revisão que trata da análise crítica por parte da direção;

8- Melhoria Contínua sobre o Sistema de Gestão da Segurança da Informação.

É importante ressaltar que a norma possui um anexo que apresenta uma lista de

objetivos de controle e os controles mínimos que um Sistema de Gestão de Segurança

da Informação deve possuir. Lembrando que esses controles podem ser expandidos

através de controles adicionais estabelecidos pela organização.

É importante uma organização estar em conformidade com a norma ABNT NBR

ISO/IEC 27001 (2006), pois assim ela passa a ter um sistema de segurança baseado

em um padrão internacional; O processo a ser abordado é através de um PDCA; A

organização passa a ter uma política de segurança estabelecida para a segurança da

informação; Identificação dos ativos; Definição dos proprietários com suas

responsabilidades específicas sobre segurança da informação para um determinado

ativo; Realização de auditorias; Ações corretivas e preventivas; Melhoria contínua,

dentre outros.

A norma promove a adoção de uma abordagem por processo para estabelecer,

implementar, operar, monitorar, revisar, manter e melhorar o Sistema de Gestão da

Segurança da Informação, e adota o modelo PDCA para estruturar todos os processos

desse sistema. A figura 4 abaixo mostra o modelo PDCA aplicado:

47


Figura 4 - Modelo PDCA aplicado aos processos do SGSI (ABNT NBR ISO/IEC

27001:2006)

A tabela abaixo resume as fases desses modelos:

Plan (planejar) (estabelecer o

SGSI)

Estabelecer a política, objetivos, processos e

procedimentos do SGSI, relevantes para a gestão

de riscos e a melhoria da segurança da informação

para produzir resultados de acordocom as políticas

e objetivos globais de uma organização.

Do (fazer) (implementar e

operar o SGSI)

Implementar e operar a política, controles,

processos e procedimentos do SGSI.

Check (checar) (monitorar e

analisar criticamente o SGSI)

Avaliar e, quando aplicável, medir o desempenho de

um processo frente à política, objetivos e

48


experiência prática do SGSI e apresentar os

resultados para a análise crítica pela direção.

Act (agir) (manter e melhorar

o SGSI)

Executar as ações corretivas e preventivas, com

base nos resultados da auditoria interna do SGSI e

da análise crítica pela direção ou outra informação

pertinente, para alcançar a melhoria contínua do

SGSI.

Tabela 2 - Definição do PDCA da ABNT NBR ISO/IEC 27001:2006

No quadro acima é possível ver que para que seja configurado um SGSI em

conformidade com a norma ABNT NBR ISO/IEC 27001 (2006), é necessário adoção do

modelo PDCA proposto pela norma.

2.10 O AMBIENTE ORGANIZACIONAL

Esse estudo de caso foi realizado em uma empresa do ramo de saúde

pública em Recife/PE, Brasil. O nome da empresa será tratado como empresa X1. A

empresa X tem como objetivo oferecer atendimento médico e hospitalar à população

nas mais diversas áreas. A empresa X é considerada um hospital modelo entre as

unidades de saúde, ela reúne profissionais renomados e serve de campo de atuação

de Medicina, Enfermagem, Terapia Ocupacional, Fisioterapia, Psicologia, Odontologia

e Serviço Social.

1 X – A organização não autorizou a divulgação do nome da empresa

49


O hospital público estudado possui um número relevante de ambulatórios nas

mais diversas áreas de saúde, em sua infraestrutura possui consultórios de

atendimento ambulatorial, leitos na Unidade de Tratamento Intensivo (adulto e

neonatal), salas de centro cirúrgico, salas no centro cirúrgico ambulatorial e três salas

no centro obstétrico. O número de atendimentos realizado atinge a média de 30.000 mil

atendimentos ambulatóriais por mês.

50


Capítulo

3

3. Metodologia

Este capítulo descreve a teoria onde se baseia o estudo e os seus principais

conceitos relacionados com o presente trabalho.

Este trabalho tem por objetivo apresentar estudo exploratório, com vista a

avaliar a confidencialidade, integridade e disponibilidade do prontuário médico do

paciente de um hospital público em conformidade com as resoluções 1638/2002 e

1605/2000 do Conselho Federal de Medicina e com a norma ABNT NBR ISO/IEC

27001 (2006), que trata do sistema de gestão de segurança da informação.

O desenvolvimento da pesquisa seguiu as seguintes etapas:

51


Etapa 1: Entrevistas

O trabalho foi enriquecido com entrevista concedida por três profissionais da

área de saúde, o primeiro entrevistado coordena o departamento do SAME -

Serviço de Arquivo Médico e Estatística do hospital. A segunda pessoa a ser

entrevistada foi um ex-funcionário do SAME que atualmente trabalha em outro

setor dentro da organização e tem um experiência no hospital de cerca de 25

anos. Por fim o terceiro entrevistado foi um médico com alguns anos de atuação

no hospital público estudado e que exerceu o cargo de chefe do departamento

de contas médica e atuou como médico plantonista, mas atualmente se encontra

a disposição em outro orgão. Todos contribuíram para esclarecer sobre a

organização, a guarda e o rastreamento dos prontuários entre os setores.

Etapa 2: Estruturação do ciclo de vida do prontuário médico dentro da

organização estudada.

Etapa 3: Diagnosticar a conformidade com as resoluções 1638/2002 e

1605/2000 do Conselho federal de Medicina e com a norma ISO 27001 (2006).

Após o cumprimento das etapas descritas passamos à consecução dos

seguintes objetivos específicos, a saber:

Analisar a fragilidade da segurança da informação sobre o prontuário médico.

Analisar o ciclo de vida do prontuário médico do paciente.

Avaliar a confidencialidade, integridade e disponibilidade do prontuário

médico de acordo com a legislação do Conselho Federal de Medicina e a

conformidade com a norma ISO 270001 (2006), através de um diagnóstico

preliminar.

52


Capítulo

4

4. Análise dos Resultados

Neste capítulo foi feito um diagnóstico da situação atual do sistema de

gestão do prontuário médico do paciente com a finalidade de detectar problemas

existentes que possam impactar em questões como: confidencialidade, integridade e

disponibilidade, além de analisar quais a vulnerabilidades existentes no processo do

ativo estudo e a conformidade do ativo com a lei e norma ABNT ISSO/IEC 27001

(2006).

53


4.1 Sistema de Gestão do prontuário médico do paciente

Na figura 4 acima mostra o funcionamento do ciclo de vida do prontuário

médico do paciente que será adiante.

Na tabela 3 a seguir é mostrado os itens que fazem parte de todo o processo

de funcionamento do prontuário médico do paciente.

Figura 5 - Sistema de gestão do prontuário médico do paciente

(Fonte: próprio autor)

54


ITEM DEFINIÇÃO

Ativo: Prontuário médico do paciente

Stakeholders: - Funcionários do SAME e Cetral de marcação

- Médicos

- Enfermeiros

Sistema de gestão: Corresponde a todo o processo de funcionamento do

prontuário médico do paciente. É importante salientar que

não existe software para apoio ao sistema de gestão

proposto.

Meio: O meio físico utilizado pelo ativo é apenas através do papel,

não existe informação digitalizada ou software de apoio.

Regulamentação: Devido à informação apresentar-se apenas em meio físico a

resolução que rege o prontuário médico do paciente é o n.º

1638/20022 e 1605/20003 do CFM.

Tabela 3 - Itens do sistema de gestão do prontuário médico do paciente

2 http://www.portalmedico.org.br/resolucoes/cfm/2002/1638_2002.htm

3 http://www.portalmedico.org.br/resolucoes/cfm/2000/1605_2000.htm

55


Descrevendo o fluxo representado na figura 5 acima, o processo funciona da

seguinte forma: Inicialmente a concepção do prontuário médico do paciente tem sua

origem no departamento denominado central de marcação, local no qual os pacientes

realizam o cadastro básico em que são preenchidas as seguintes informações: nome

completo, data de nascimento (dia, mês e ano com quatro dígitos), sexo, nome da mãe,

naturalidade (indicando o município e o estado de nascimento) e endereço completo

(nome da via pública, número, complemento, bairro/distrito, município, estado e CEP)

com base nos dados coletados do paciente. Posteriormente a central de marcação

emite a folha de rosto do prontuário médico do paciente contendo as informações de

cadastro básico e anexa na frente do prontuário físico dando origem realmente ao

ativo. Em seguida esse prontuário é encaminhando para o SAME (Serviço de Arquivo

Médico e Estatístico) que ficará responsável por sua guarda.

Quando ocorrer a consulta para um paciente, já previamente agendada pela

central de marcação, o SAME encaminha para os ambulatórios de acordo com a

especialidade médica que o paciente agendou, para que o médico possa preencher

com informações e consultar o prontuário médico do paciente caso esse já possua

histórico de consultas e exames. No final do dia um representante do SAME é

responsável por recolher o prontuário médico e guarda-ló novamente no SAME.

Porém, quando o paciente esta em processo de internação o SAME envia o prontuário

para a enfermaria que ficará responsável por seu acompanhamento, alimentará e

consultará o prontuário. Sendo assim, quando o paciente receber alta o prontuário

médico do paciente é enviado de volta para o SAME para ser arquivado. No SAME

existe ainda consultas a prontuário por parte de docentes, médicos, residentes e

comissão de revisão de prontuários.

O processo de descarte dentro da organização não ocorre porque todos os

prontuários são arquivados no SAME, para que sejam utilizados para estudo por parte

56


de alguns residentes da área de medicina, nutrição e dietética, enfermeiro, docentes e

etc.

4.2 Quadro de Vulnerabilidades

Na tabela a seguir é mostrado o quadro de vulnerabilidades envolvidas no

sistema de gestão estudado, com base na utilização da noção de SWOT, que é a

avaliação dos pontos fortes (Strenghts) e dos pontos fracos (Weaknesses) da

organização à luz das oportunidades (Opportunities) e das ameaças (Threats) em seu

ambiente. Esta é uma estratégia que busca atingir a adequação entre as capacidades

internas e as possibilidades externas (MINTZBERG, AHLSTRAND e LAMPEL, 2000). A

adaptação dessa técnica para ter visão das vulnerabilidades que estão contidas no

ciclo de vida do ativo permite mostrar que existe uma grande ameaça à informação.

57


ONDE HÁ A

VULNERABILIDADE

QUANDO

OCORRE A

VULNERA-

BILIDADE

AGENTES

EXTERNOS OU

AMEAÇAS

CONSEQÜÊNCIAS MEDIDAS DE

PROTEÇÃO

INTELIGENTE

Prontuário médico do

paciente

Produção/

Manuseio

Funcionário - Divulgar a

informação;

- Quebra da

confidencialidade, ou

seja, da privacidade;

- Não conformidade

com o art 1 da

resolução n.

1605/2000 e

1638/2002 do CFM.

- Cuidados em

Geral;

- Auditorias fre-

quentes.


paciente

Produção/

Manuseio

Funcionário não

realizar o cadas-

tro completo de

acordo com o

artigo 5 alínea a

da resolução n.

1638/2002.

- Quebra da integri-

dade;

- Não conformidade

com o artigo 5 alinea a

da resolução n.

1638/2002 do CFM.

- A comissão de

revisão de

prontuários deve

realizar auditorias

frequentes;

- Criação de

sistema para

permitir o cadastro

na central de

marcação com os

campos

obrigatórios;

- O SAME só

receber prontuário

58


que Prontuário

médico do

paciente tenha a

identificação do

paciente

preenchida por

completo.


paciente

Manuseio Acesso do prontu-

ário médico do

paciente por falso

médico.

- Dano ao paciente

(por uma prescrição

errada) ou à

organização com a

divulgação da

informação;

- Quebra da confiden-

cialidade e integri-

dade, pois o falso

médico pode prescre-

ver algo ao paciente

no prontuário médico;

- Não conformidade

com o artigo 1 da

resolução n. 1605/200

e 1638/2002 do CFM;

- O SAME solicitar

identificação do

médico,

confirmação com o

RH.


paciente

Manuseio Acesso do

prontuário médico

do paciente por

falsos médicos do

paciente

residentes

- Dano ao paciente

(por uma prescrição

errada) ou a

organização com a

divulgação da

informação;

- O SAME solicitar

identificação do

residente, solicitar

autorização do

médico

responsável pelo

aluno e

59


- Quebra da

confidencialidade e

integridade, pois o

falso médico pode

prescrever algo ao

paciente no prontuário

médico;

- Não conformidade

com o artigo 1 da

resolução n.

1605/2000 e

1638/2002 do CFM.

confirmação com o

RH;


paciente

Manuseio Paciente ou falso

paciente roubar o

prontuário

durante uma

consulta;

- Divulgação de

informações sigilosas

do paciente;

- Quebra da confiden-

cialidade e disponi-

bilidade;

- Não conformidade

com o artigo 1 da


e 1638/2002 do CFM.

- A organização

deve prover

segurança efetiva

na entrada e saída

do hospital para

mitigar a

probabilidade de

acontecer tal

incidente.


paciente

Manuseio Roubo de infor-

mações através

de câmeras por

residentes ou

estudantes de

medicina;

- Divulgação de


do paciente;

- Quebra da

confidencialidade;

- Não conformidade

- SAME deve

permitir apenas a

consulta em sala

monitorada por

câmeras e revista

para evitar entrada

de equipamento

60


com o artigo 1 da


e 1638/2002 do CFM.

eletrônico de

captura de

imagens durante a

consulta ao

prontuário.


paciente

Manuseio Extravio de algum

conteúdo do

prontuário que

comprometa o

médico que está

em ação judicial.

- Quebra da integri-

dade da in-formação

do prontu-ário;

- Eliminação de evi-

dências criminais;

- Não conformidade

com os artigos 2 e 3

da resolução n

1605/2000.

- Deve-se definir

uma política de

acesso ao prontu-

ário para esses

casos específicos.

Além da auditoria

da comissão de

revisão de prontu-

ário definida na

resolução

1638/2002.


paciente

Manuseio Médico escrever

no prontuário de

forma ilegível

- Quebra da

integridade e disponi-

bilidade;

- A informação ilegível

pode levar até ao

estado terminal um

paciente. Além da não

conformidade com a

resolução n.

1638/2002.

- A organização

deve criar a

comissão de

revisão de

prontuário como

define a resolução

1638/2002 para

auditar os

prontuários

médicos.

Prontuário médico do Manuseio Médico não

repotar as

- Quebra da integri- - A organização

deve criar a

61


paciente informações para

o prontuário.

dade;

- A omissão da

informação pode levar

até ao estado terminal

um paciente. Além da

não conformidade com

a resolução

1638/2002.

comissão de

revisão de

prontuário como

define a resolução

1638/2002 para

auditar os

prontuários

médicos.


paciente

Manuseio Extravio do

prontuário pelo

médico.

- Quebra da disponi-

bilidade e indireta-

mente a confiden-

cialidade da

informação, perda de

todo registro do

paciente;

- Não conformidade

com a resolução

1638/2002 e a

1605/2000.

- SAME deve

realizar auditoria

frequentes e

comunicar a dire-

ção da

organização sobre

o ocorrido;

- A comissão de

revisão de prontu-

ários deve realizar

auditorias.


paciente

Manuseio Extravio do

prontuário

durante o perío-

do de internação

do paciente.


bilidade e indireta-

mente a confiden-

cialidade da informa-

ção, perda de todo

registro do paciente;

- Não conformidade

com a resolução

1638/2002 e a

1605/2000.

- SAME deve

realizar auditorias

frequentes e comu-

nicar a direção da

organização sobre

o ocorrido;

- A comissão de

revisão de prontu-

ário realizar

auditorias.

62



paciente

Transporte Extravio do

prontuário

durante o trans-

porte

- Quebra da

disponibilidade e

indiretamente a

confidencialidade da

informação, perda de

todo registro do

paciente;

- Não conformidade

com a resolução

1638/2002 e a

1605/2000.

- SAME deve

realizar auditorias

frequentes e

comunicar a dire-

ção da organiza-

ção sobre o

ocorrido.


paciente

Transporte Instruso roubar

prontuário de

funcionário

durante o trans-

porte.

- Divulgação de


(exe: AIDS, câncer,

etc) do paciente;

- Quebra da

confidencialidade e

disponibilidade;

- Não conformidade

com o artigo 1 da


e 1638/2002 do CFM.

- A organização

deve prover

segurança efetiva

na entrada e saída

do hospital para

mitigar a probabi-

lidade de aconte-

cer tal incidente.


paciente

Armazena-

mento

Funcionário

realizar arquiva-

mento de

prontuário de

forma errada.

- Quebra da

disponibilidade da

informação.

- O SAME deve

realizar auditoria e

treinamento

frequentes com

seus funcionários;

63



paciente

Armazena-

mento

Extravio de

prontuário dentro

do próprio SAME.


bilidade da informação

e indiretamente da

confidencialidade;

- Não conformidade

com o artigo 1 da


e 1638/2002.

O SAME deve

realizar auditoria e

treinamento fre-

quentes com seus

funcionários.


paciente

Armazena-

mento

Incêndio no

SAME

- Quebra da

disponibilidade da

informação;

- Não conformidade

com a resolução

1638/2002.

A organização

deve prover ao

SAME infra-

estrutura adequa-

da para conteção

do fogo em caso

de incêndio;

Tabela 4 - Quadro de vulnerabilidades do ciclo de vida sobre o prontuário médico do

paciente

4.3 Conformidade com a norma ABNT ISO/IEC 27001:2006

A norma ABNT ISO/IEC 27001 (2006) trata dos requisitos para que a organização

consiga estruturar um sistema de gestão da segurança da informação objetivando

estabelecer, implementar, operar, monitorar, manter e melhorar um SGSI documento.

Esta norma está sendo usada dentro deste estudo de caso como um meio de realizar

um diagnóstico preliminar de como está o sistema de gestão da segurança da

informação sobre sistema de gestão do prontuário médico do paciente.

64


Dentro do contexto estudado é verificada a conformidade com a ABNT ISO/IEC

27001 (2006), através de um diagnóstico preliminar para os seguintes objetivos de

controles aplicáveis, que são listados nas tabelas abaixo.

A.5 – Política de segurança

A.5.1 – Política de segurança da informação

A.5.1.1 Documento da política de

segurança da informação

Não

Conforme

No sistema de gestão do

prontuário médico do

paciente o ativo não é

contemplado, pois a

organização não possui

documento da política de


homologado.

A.5.1.2 Análise crítica da política de


Não

Conforme

A organização não possui

documento da política de


para que possa ser

analisando criticamente.

Tabela 5 - Objetivo de controle e controles da política de segurança, aplicáveis da

norma ABNT NBR ISO/IEC 27001:2006.

65


A.6 – Organização da segurança da informação

A.6.1 - Infraestrutura da segurança da informação

A.6.1.1 Comprometimento da direção

com a segurança da

informação

Não

Conforme

Dentro do cenário atual a

organização não tem um

direcionamento definido

sobre a segurança da

informação. Sendo a


tratada de forma ad hoc pela

direção da organização.

A.6.1.2 Coordenação da segurança

da informação

Não

Conforme

Na organização a

coordenação da segurança

da informação não existe

ainda até o presente

momento, a formação da

coordenação da segurança

da informação está em

processo embrionário de

concepção.

A.6.1.3 Atribuição de

responsabilidades para a


Não

Conforme

Não existe política de


homologada, funciona de

forma ad hoc. Logo, é

66


impossível atender este

controle.

A.6.1.4 Processo de autorização para

os recursos de

processamento da

informação

Não

Conforme

Não existe processo para

gestão de autorização.

A.6.1.5 Acordos de confidencialidade Não

Conforme

Não existe nenhum acordo

de confidencialidade ou

acordos de não divulgação

que reflitam as necessidades

da organização para a

proteção da informação.

Estes devem ser

identificados e analisados

criticamente, de forma

regular.

A.6.1.6 Contato com autoridades Não

Conforme

Não existem contatos

apropriados com autoridades

relevantes, que devem ser

mantidos.

A.6.1.7 Contato com grupos

especiais

Não

Conforme

A organização não mantém

contatos apropriados com

grupos de interesses

especiais ou outros fóruns

67


especializados de segurança

da informação e associações

profissionais. Estes contatos

devem ser mantidos.

A.6.1.8 Análise crítica independente

de segurança da informação

Não

Conforme

Não existe enfoque por parte

da organização para

gerenciar a segurança da

informação e a sua

implementação (por

exemplo: controles, objetivo

dos controles, políticas,

processos e procedimentos

para a segurança da

informação), deve ser

analisado criticamente, de

forma independente, a

intervalos planejados, ou

quando ocorrerem

mudanças significativas

relativas à implementação da

segurança da informação;

A.6.2 – Partes Externas

A.6.2.1 Identificação dos riscos

relacionados com partes

externas

Não

Conforme

Não existe identificação dos

riscos para os recursos de

processamento da

informação e para a

68


informação da organização

oriundos de processos do

negócio que envolvam as

partes externas devem ser

identificados e controles

apropriados devem ser

implementados antes de se

conceder o acesso.

A.6.2.2 Identificando a segurança da

informação quando tratando

com os clientes.

Não

Conforme

Não existe identificação dos

requisitos de segurança da

informação identificados

devem ser considerados

antes de conceder aos

clientes o acesso aos ativos

ou às informações da

organização.

A.6.2.3 Identificando segurança da

informação nos acordos com

terceiros

Não

Conforme

Não existe identificação da


nos acordos com terceiros

Tabela 6 - Objetivos de controle e controles da organização da segurança da

informação, aplicáveis da norma ABNT NBR ISO/IEC 27001:2006.

A.7 – Gestão de Ativos

69


A.7.1 – Responsabilidade pelos ativos

A.7.1.1 Inventário dos ativos Conforme O SAME mantém todos os

ativos devem ser claramente

identificados através de uma

numeração especifica.

A.7.1.2 Proprietário dos ativos Conforme A organização contém as

informações e ativos

associados com os recursos

de processamento da

informação para o ativo

estudado no contexto no

tocante ao prontuário médico

do paciente.

A.7.1.3 Uso aceitável dos ativos Não

Conforme

Diante do contexto estudado

este controle é realizado de

forma ad hoc.

A.7.2 – Classificação da Informação

A.7.2.1 Recomendações para

classificação Conforme A informação tem seu valor

com base nos requisitos

legais definidos pela

resolução do CFM.

70


A.7.2.2 Rótulos e tratamento da

informação Conforme A informação está de acordo

com a legislação e

identificação específica para

o prontuário e procedimento

operacionais adotado pela

organização.

Tabela 7 - Objetivos de controle e controles da gestão de ativos, aplicáveis da norma

ABNT NBR ISO/IEC 27001:2006

A.9 – Segurança física e do ambiente

A.9.1 – Áreas seguras

A.9.1.1 Perímetro de segurança

física

Conforme A sala de proteção do SAME

possui certo nível de controle

de acesso por meio de

recepcionista.

A.9.1.2 Controles de entrada física Não

Conforme

Não possui controles de

acesso para entrada física

A.9.1.3 Segurança em escritórios

salas e instalações Não

Conforme

Este controle é atendido em

partes por meio do SAME,

porém as salas dos

ambulatórios não são

contempladas.

71


A.9.1.4 Proteção contra ameaças

externas e do meio ambiente Não

Conforme

O SAME possui recurso

apenas no tocante a

incêndio.

A.9.1.5 Trabalhando em áreas

seguras Não

Conforme

A.9.1.6 Acesso do público, áreas de

entrega e de carregamento Não

Conforme

Dentro do contexto apenas o

SAME possui certo nível de

segurança.

Tabela 8 - Objetivos de controle e controles da segurança física e do ambiente,

aplicáveis da norma ABNT NBR ISO/IEC 27001:2006.

A.11 – Controle de acessos

A.11.1 – Requisitos de negócio para controle de acesso

A.11.1.1 Política de controle de acesso Não

Conforme

Não existe uma política

oficial, este controle é

realizado de forma ad hoc.

A.11.2 – Gerenciamento de acesso do usuário

A.11.2.1 Registro de usuário Não Existe o processo, porém é

72


Conforme realizado de forma ad hoc,

não é um processo formal.

A.11.2.2 Gerenciamento de privilégios Conforme Existe um processo que é

realizado de forma ad hoc

A.11.2.4 Análise crítica dos direitos de

acesso de usuário Não

Conforme

Não existe nenhum

processo formal para este

controle, funciona de forma

ad hoc.

Tabela 9 – Objetivos de controle e controle do controle de acessos, aplicáveis da

norma ABNT NBR ISO/IEC 27001:2006.

A.13 - Gestão de incidentes de segurança da informação

A.13.1 - Notificação de fragilidades e eventos de segurança da informação

A.13.1.1 Notificação de eventos de

segurança da informação Não

Conforme

A organização não possui

nada oficial realizado ad hoc

A.13.1.2 Notificando fragilidades de

segurança da informação Não

Conforme

A organização não possui.

A.13.2 - Gestão de incidentes de segurança da informação e melhorias

A.13.2.1 Responsabilidades e

procedimentos Não Não possui.

73


Conforme

A.13.2.2 Aprendendo com os

incidentes de segurança da

informação

Não

Conforme

Não possui

A.13.2.3 Coleta de evidências Não

Conforme

Não possui

Tabela 10 – Objetivos de controle e controles da gestão de incidentes da segurança da

informação, aplicáveis da norma ABNT NBR ISO/IEC 27001:2006.

A.14 - Gestão da continuidade do negócio

A.14.1 - Aspectos da gestão da continuidade do negócio, relativos à segurança

da informação

A.14.1.1 Incluindo segurança da

informação no processo de

gestão da continuidade de

negócio

Não

Conforme

Não possui

A.14.1.2 Continuidade de negócios e

análise/avaliação de risco Não

Conforme

Não possui

A.14.1.3 Desenvolvimento e

implementação de planos de

continuidade relativos à


Não

Conforme

Não possui

74


A.14.1.4 Estrutura do plano de

continuidade do negócio Não

Conforme

Não possui

A.14.1.5 Testes, manutenção e

reavaliação dos planos de

continuidade do negócio

Não

Conforme

Não possui

Tabela 11 - Objetivos de controle e controles da gestão de continuidade do negócio,

aplicáveis da norma ABNT NBR ISO/IEC 27001:2006.

A.15 – Conformidade

A.15.1- Conformidade com requisitos legais

A.15.1.1 Identificação da legislação

vigente Conforme A legislação que rege o ativo

estudado no caso do

prontuário médico do

paciente existe e é mantido

atualizado.

A.15.1.2 Direitos de propriedade

intelectual Conforme Embora não exista o uso do

software os procedimentos

apropriados são

implementados de modo a

garantir o alinhamento com

legislação.

75


A.15.1.3 Proteção de registros

organizacionais Não

Conforme

Existem procedimentos

definidos que, apesar de não

tão eficazes funcionam

diante do cenário atual.

A.15.1.4 Proteção de dados e

privacidade da informação

pessoal

Não

Conforme

Os mecanismos disponíveis

são aplicados dentro do

cenário estudado, porém

quebra de privacidade pode

acontecer.

A.15.1.5 Prevenção de mau uso de

recursos de processamento

da informação

Não

Conforme

Os dispositivos

implementados pela

organização em alguns

casos falham.

A.15.1.6 Regulamentação de controles

de criptografia Não

Conforme

Não possui

Tabela 12 – Objetivos de controles e controles da gestão de comformidade aplicáveis

da norma ABNT NBR ISO/IEC 27001:2006

76


77


Capítulo

5

5. Considerações Finais

O último capítulo deste trabalho apresenta as considerações finais, os

resultados obtidos relacionados com os objetivos iniciais da pesquisa, as possibilidades

para realização de trabalhos futuros e a conclusão final do trabalho.

Este trabalho possibilitou adquirir novas experiências no campo teórico da

segurança da informação e no ambiente prático de modo a verificar a conformidade do

sistema de gestão do ativo estudado que é de essencial importância para o

funcionamento da organização de um grande órgão governamental.

78


Primeiramente devido ao tamanho da organização, que acarreta uma

complexidade maior para o projeto e depois pelos procedimentos administrativos que

devem ser seguidos para que o trabalho possa continuar. No campo prático da

elaboração deste projeto foi possível avaliar como está a organização no aspecto da

segurança, visando diagnosticar o cenário atual e sensibilizar os gestores da

organização sobre a importância desta área estratégica. As experiências das

disciplinas ministradas durante todo curso, sobretudo a de Segurança da informação,

foram de fundamental importância para elaboração, desenvolvimento e conclusão

deste projeto.

5.1 Resultados Obtidos

Os resultados obtidos através da análise dos resultados foram:

O ciclo de vida da informação do artefato estudado mostrou que embora

exista legislação vigente sobre o determinado ativo estudado, e a

organização esteja trabalhando para permanecer em conformidade com a

legislação, o cenário de ameaças e vulnerabilidades existentes sobre o ativo

são inúmeras e é necessário realizar auditorias frequentes para corrigir as

vulnerabilidades existentes.

No tocante à conformidade do sistema de gestão do prontuário médico do

paciente com a norma ABNT NBR ISO/IEC 27001 (2006), o sistema de

gestão estudado no contexto do hospital público realmente não apresentou

muitas conformidades com os objetivos de controles e controles aplicáveis ao

sistema de gestão do prontuário médico definido pela norma, mostrando que

no ramo da segurança de informação o sistema de gestão estudado e a

organização estão caminhando em passos lentos para atingir o que

recomenda o mercado e a ISO/IEC 27001 (2006).

79


5.2 Trabalhos Futuros

Um estudo para trabalho futuro pode ser a aplicação de melhores práticas

encontradas na norma ABNT ISO/IEC 27002 para que a organização possa alcançar

os objetivos e controles recomendados pela normativa ISO/IEC 270001:2006 sobre

sistema de gestão da segurança da informação para o sistema de gestão do prontuário

médico do paciente. Outra possibilidade seria um estudo mais amplo envolvendo a

criação de uma política de segurança para toda organização como proposta incluindo o

ativo estudado.

5.3 Limitações do estudo

O estudo teve como limitação apenas o cenário de um ativo essencial para

organização, mas a organização é composta por vários ativos que não foram

contemplados nesse estudo caso.

5.4 Conclusões

Este trabalho realizou um estudo sobre o funcionamento do ativo denominado

prontuário médico do paciente de um hospital público com o intuito de compreender o

ciclo de vida do ativo estudado, no qual foi possível identificar o ciclo da informação

desde a sua concepção até o seu descarte. Posteriormente foi realizada uma análise

para verificar a conformidade das resoluções de número 1605/2000 e 1638/2002

definidas pelo Conselho Federal de Medica. Por fim foi feito um diagnóstico do sistema

de gestão da segurança da informação definido pela ABNT NBR ISO/IEC 27001

(2006), sobre o sistema de gestão do prontuário médico do paciente.

80


Assim sendo, através do estudo realizado é possível concluir:

A informação essencial do hospital público deve ser protegida não apenas

por causa da existência de regulamentação específcias, mas também por

causa de normas de segurança e melhores práticas;

A implantação de softwares para auxiliar na otimização do processo e

segurança da informação é fundamental para o melhor funcionamento

organizacional;

A organização estudada ainda é muito embrionária na área de segurança da

informação, assim como muitas organizações;

A alta gestão pode ser sensibilizada através deste estudo para que passe a

encarar a segurança da informação como aliada e não como impecílio;

O trabalho pode contribuir para concepção de uma política de segurança

para da organização.

81


Capítulo

6

6. Referências

ABNT NBR ISO/IEC 27001. 2006. Tecnologia da Informação. Sistema de gestão da

segurança da informação. Associação Brasileira de Normas Técnicas. Rio de

Janeiro.

ABNT NBR ISO/IEC 27002. 2005. Código de Prática para a Gestão de Segurança

da Informação. Associação Brasileira de Normas Técnicas. Rio de Janeiro.

ABNT NBR ISO/IEC 38500. 2009. Governança corporativa de tecnologia da

informação. Associação Brasileira de Normas Técnicas. Rio de Janeiro.

ARAGON, A.; ABREU, V. Implantando a Governança de TI - da Estratégia à Gestão

dos Processos e Serviços. 3 ed. São Paulo, Editora Brasport: 2012.

AZEVEDO, H.R.T.; SOUZA, S.P.S.; MARTINS, F.R.S., Sistemas para diagnóstico

automático de folhas; Dificuldades e soluções para obtenção de resultados.

(2006).

82


BlogSegInfo. Faltam pofissionais qualificados na área de segurança da

informação?, 2011. Disponível em: http://www.seginfo.com.br/faltam-profissionais-

qualificados-na-area-de-seguranca-da-informacao/. Acesso em: 18/09/2012.

BORAN, Sean. IT Security Cookbook, 1996. Disponível em:

http://www.boran.com/security/. Acesso em: 18/09/2012.

Conselho Federal de Medicina. Resolução CFM n. 1605/2000. Define que o médico

não pode, sem o consentimento do paciente, revelar o conteúdo do prontuário ou

a ficha médica. Disponível em:

http://www.portalmedico.org.br/resolucoes/cfm/2000/1605_2000.htm Acesso em:

20/09/2012.

Conselho Federal de Medicina. Resolução CFM n. 1638/2002. Define prontuário

médico e torna obrigatória a criação da Comissão e Revisão de Prontuários nas

instituições de saúde. Disponível em:

http://www.portalmedico.org.br/resolucoes/cfm/2002/1638_2002.htm. Acesso em:

20/09/2012.

Conselho Federal de Medicina. Resolução CFM n. 1821/2007. Aprova as "Normas

Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do

Prontuário Médico", dispõe sobre tempo de guarda dos prontuários, estabelece

cirtérios para certificação dos sistemas de informação e dá outras providências.

Disponível em: http://www.portalmedico.org.br/resolucoes/cfm/2007/1821_2007.htm.

Acesso em: 20/09/2012.

CONSELHO REGIONAL DE MEDICINA DO ESTADO DE SÃO PAULO (CREMESP).

Prontuário e segredo médico. Disponível em:

http://www.cremesp.org.br/?siteAcao=PublicacoesConteudoSumario&id=57. Acesso

em: 19/09/2012.

83


DIAS, C. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro: Axcel

Books, 2000.

MINTZBERG, H; AHLSTRAND, B; LAMPEL, J. Safári de estratégia: um roteiro pela

selva do planejamento estratégico. Porto Alegre: Bookman, 2000.

MITNICK, K.D.S., William L. A Arte de Enganar - Ataques de hackers: controlando o

fator humano na segurança da informação – São Paulo: Pearson Education, 2003.

Moderno Dicionário da Língua Portuguesa

http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portugues-

portugues&palavra=Risco. Acessado em:18/09/2012.

PMI. PMBOK - Um guia do Conjunto de Conhecimentos em Gerenciamento

deProjetos - 4ª Edição - Pensilvânia: PMI, 2008.

SANS. Sans Information Security Resources, 2012. Disponível em:

http://www.sans.org/information_security.php. Acessado em:18/09/2012.

SÊMOLA, M. Gestão da Segurança da Informação: Uma visão Executiva. Rio de

Janeiro: Campus, 2003.

VERIZON. Data Breach Investigations Report: A study conducted the Verizon Risk

Team in cooperation with the United States Secret Service. Estados Unidos, 2010.

WADLOW, T.. Segurança de Redes. Rio de Janeiro: Editora Campus, 2000.

WHITMAN, M. E. Enemy at the gate: threats to information security.

Communications of the ACM, v. 46, n. 8, p. 91–95, 2003.

http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portugues-portugues&palavra=Risco

http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portugues-portugues&palavra=Risco

http://www.sans.org/information_security.php.

Monografia

Documents

Transcript of Monografia