0
Provas de Mestrado - Informática MédicaOrientação: Doutor Luís Miguel Velez LapãoCo-orientação: Doutor Luís Filipe Coelho ...
INTRODUÇÃOOBJECTIVOS                 2003METODOLOGIA INVESTIGAÇÃOESTUDO DE CASO E RESULTADOSENSAIO DE RESPOSTA A QUESTÕESC...
INTRODUÇÃO           A (In) Segurança No Acesso À Informação                  Ambiente Físico                 Processos   ...
INTRODUÇÃO                                                   INTRODUÇÃOA Gestão Da Segurança Da Informação                ...
INTRODUÇÃO                                          INTRODUÇÃO                                                    ExemploM...
INTRODUÇÃOObjectivos Gerais                                    Objectivos EspecíficosMostrar a importância de sensibilizar...
OBJECTIVOS         METODOLOGIA INVESTIGAÇÃO                  CAP 4: Definição e Exposição do Problema                     ...
METODOLOGIA INVESTIGAÇÃO            Definição de asset no ambiente                                       Gestão           ...
METODOLOGIA INVESTIGAÇÃO                METODOLOGIA INVESTIGAÇÃONíves de maturidade da informação      Os mecanismos de pr...
METODOLOGIA INVESTIGAÇÃO            CAP 3: Estrutura e Governo das TI            Corporate Governance            Necessida...
METODOLOGIA INVESTIGAÇÃO                                                               METODOLOGIA INVESTIGAÇÃO           ...
METODOLOGIA INVESTIGAÇÃO                                               METODOLOGIA INVESTIGAÇÃOGestão do Risco            ...
METODOLOGIA INVESTIGAÇÃO        CAP 5: Arquitectura Empresarial e Social        Claúsulas de abrangência                  ...
METODOLOGIA INVESTIGAÇÃO                                                   METODOLOGIA INVESTIGAÇÃO Do Caos à Estrutura ...
METODOLOGIA INVESTIGAÇÃO     CAP 6: Infraestruturas/Problemas Comuns      Baseado em Evidências      Observações      C...
METODOLOGIA INVESTIGAÇÃO                                                                                                  ...
METODOLOGIA INVESTIGAÇÃO     CAP 7: Elaboração de Estratégias para a     resolução dos problemas comuns     Disponibilizar...
METODOLOGIA INVESTIGAÇÃO                      METODOLOGIA INVESTIGAÇÃO Quais as melhores práticas para                   ...
METODOLOGIA INVESTIGAÇÃO                                      METODOLOGIA INVESTIGAÇÃODenominador comum                   ...
METODOLOGIA INVESTIGAÇÃO              METODOLOGIA INVESTIGAÇÃOA origem da norma certificadora da    Cláusulas da ISO/IEC 2...
METODOLOGIA INVESTIGAÇÃO     CAP 8: Aplicação de um SGSI     Estrutura de um SGSI          ISO/IEC 27000 - vocabulário e d...
METODOLOGIA INVESTIGAÇÃO                                  METODOLOGIA INVESTIGAÇÃOImplementação de um SGSI                ...
ESTUDO DE CASO     CAP 09: Estudo de Caso Hospital     (CS1) Gestão da Segurança     (CS2) Gestão Serviços de TI          ...
ESTUDO DE CASO                                                 ESTUDO DE CASO(CS1) Gestão da Segurança                    ...
ESTUDO DE CASO                                                                        ESTUDO DE CASOResultados:           ...
ESTUDO DE CASO                                                                                 ESTUDO DE CASO   Capacidad...
ESTUDO DE CASO                                                             ESTUDO DE CASO    Maturidade Suporte ao Serviç...
ESTUDO DE CASOVista em detalhe, segundo Steinberg, do                                   O esforço a realizar terá de ser n...
ENSAIO DE RESPOSTA A QUESTÕES     CAP 10: Ensaio de Resposta a Problemas     •    Quais serão as melhores práticas para   ...
ENSAIO DE RESPOSTA A QUESTÕES                         ENSAIO DE RESPOSTA A QUESTÕESQuais serão as melhores práticas para  ...
CONCLUSÕES E PERSPECTIVAS FUTUROConclusões                                      Futuro Não é possível manter a segurança ...
CONCLUSÕES E PERSPECTIVAS FUTURO                                              A estruturação desses dados, numa formaFrame...
OBRIGADO                                                         Provas de Mestrado - Informática Médica                  ...
Upcoming SlideShare
Loading in...5
×

Dis defesa abordagem relacional modelo seguranca

414

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
414
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Dis defesa abordagem relacional modelo seguranca"

  1. 1. Provas de Mestrado - Informática MédicaOrientação: Doutor Luís Miguel Velez LapãoCo-orientação: Doutor Luís Filipe Coelho Antunes12 de Novembro de 2010 Constituição do Júri: Presidente: Doutor Altamiro Manuel Rodrigues da Costa Pereira, professor catedrático, Faculdade de Medicina da Universidade do Porto; Vogal: Doutor Luís Miguel Velez Lapão, professor auxiliar convidado, Instituto de Higiene e Medicina Tropical, Universidade Nova de Lisboa (orientador); Vogal: Doutor Ricardo João Cruz Correia, professor auxiliar, Faculdade de Medicina da Universidade do Porto; Vogal: Doutor André Ventura da Cruz Marnoto Zúquete, professor auxiliar, Departamento de Electrónica, Telecomunicações e Informática, Universidade de Aveiro.
  2. 2. INTRODUÇÃOOBJECTIVOS 2003METODOLOGIA INVESTIGAÇÃOESTUDO DE CASO E RESULTADOSENSAIO DE RESPOSTA A QUESTÕESCONCLUSÕES E PERSPECTIVAS FUTURO 1 2
  3. 3. INTRODUÇÃO A (In) Segurança No Acesso À Informação Ambiente Físico Processos Privacidade Organização e Acesso à Tecnologias Informação Clínica Políticas Pessoas2001 Segundo dados da UMIC já em 2004 97% dos hospitais tinham acesso interno à internet generalizado a grande número de colaboradores. O aumento de utilização das VPN para colaboradores e empresas e a emulação e as sistemas de simulação de extranet. 3 4
  4. 4. INTRODUÇÃO INTRODUÇÃOA Gestão Da Segurança Da Informação O Elo Mais FracoSegurança Informação Gestão Privacidade Problema Cultura Integridade de Incidentes Segurança Gestão Confidencialidade Propriedade intelectualSegurança Tecnologias Anti-virus Intrusão Detecção Não é um Encriptação Firewall Problema Certificados de Tecnologias 2001 VigilânciaMuitas vezes as Segurança para as empresas é só ajudar • Negligência dos colaboradores;os clientes a protegerem-se das ameaças externas ao • Falta de capacidades compatíveis funções;nível da circulação de informação electrónica (anti-virus, • Desconhecimento ou ignorância;certificados digitais, firewall, etc…) • Crime premeditado ou por conveniência; 5 6
  5. 5. INTRODUÇÃO INTRODUÇÃO ExemploMotivaçõesAs equipas dos Departamentos de Sistemas deInformação têm pouca participação oumotivação em grupos… Qualidade, Gestão de ProxyRisco, Segurança, etc.. Seg. Física Patchs  “Comité Olímpico” Firewall Seg. LógicaOs Departamentos de Sistemas de Informação Anti-Virus asset ?vivem sujeitos a imensa adversidade e Riscoscontantes, que algures no tempo, senão forem Políticas Cultura Acessotratados criam impacto.  “Teoria do Caos” ? Organização Política ? Utilização 2001Exemplo de uma paragem por completo num hospitalpublico durante aproximadamente 24 horas devido auma alteração de denominação de rede de umequipamento que posteriormente não foi possívelidentificar no meio. 7 8
  6. 6. INTRODUÇÃOObjectivos Gerais Objectivos EspecíficosMostrar a importância de sensibilizar gestores  Desmistificar a complexidade aparentedas DSI e Executivos para os aspectos que são da multiplicidade de normas existentes;críticos na ausência de uma infraestruturasegura e as oportunidades perdidas pelo facto  Apresentar indicadores de benefíciosde não se possuirem modelos de boas existentes numa infraestrutura segura;práticas.  Apurar as vantagens da determinação do Risco na altura do planeamento estratégico;  Apoiar efectivamente no preenchimento de uma gap analysis 2001 para apuramento do estado de arte; 9 10
  7. 7. OBJECTIVOS METODOLOGIA INVESTIGAÇÃO CAP 4: Definição e Exposição do Problema Base de trabalho Proteger Informação Maturidade Actores de Saúde Apuramento dedutivo Elaboração de Estratégias para a resolução dos problemas comuns 11 12
  8. 8. METODOLOGIA INVESTIGAÇÃO Definição de asset no ambiente Gestão Cultura Incidentes Segurança Asset Ambiente Bem (Bem) Privacidade Físico (Asset) Propriedade Confidencialidade Intelectual2001  Aumento da exposição ao Risco  Complexidade dos Riscos  Complexidade na Protecção Riscos 13 14
  9. 9. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃONíves de maturidade da informação Os mecanismos de protecção não são suficientes.clínica e a sua relação com o RISCO  é necessário vigiar os Riscos  e melhorar mecanismos de protecção Ou seja, é necessário… Gerir a Segurança 15 16
  10. 10. METODOLOGIA INVESTIGAÇÃO CAP 3: Estrutura e Governo das TI Corporate Governance Necessidade de alinhamento entre os interesses dos gestores, auditores e stakeholders. Subjacente numa gestão consistente e políticas organizadas. Deve conduzir e estabelecer um governo para as Tecnologias da Informação (IT-Governance). IT Governance Tal como o termo governance está associado2001 aos actos de controlar, dirigir ou regular as acções de uma entidade, o IT-Governance, será o acto de regular os processos das TI dessa entidade. 17 18
  11. 11. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Gestão do Risco Orientação Negócio  Em consequência destas necessidades IT existem implementações de frameworks de Governance gestão: IT  Enterprise Risk Management da COSO Interno Management (Committee of Sponsoring Organizations of The Treadway Commission), orientado para o Presente Futuro Orientação Corporate Governance, Temporal Potenciar o negócio  Risk IT da COBIT (Control Objectives for Information and Related Technology), Eficiência Habilitador centrado no IT Governance Operacional Negócio (redução de custos, automatização (satisfação cliente, apoio a novas de processos, aumento da oportunidades de negócio, melhorar produtividade) cadeia valor) Compliance & Mitigação do Risco (melhorar a segurança, controlo de Auditoria acessos, reduzir probabilidade de (assegurar a privacidade do utente, 1 quebras seg.) mais facil compliance, permitir auditabilidade) 19 20
  12. 12. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃOGestão do Risco Formas de abordar do Risco Mitigar o risco Evitar o risco Implementar controlos Decidir não avançar ou Avaliação de Riscos técnicos de mitigação de não implementar risco (por exemplo uma firewall) Avaliar Identificar Controlar Aceitar o Risco Transferir o risco Gestão de Risco Decidir que o nível de Aquisição de seguros ou risco identificado está outsourcing Planear Implementar Monitorizar dentro do limiar de tolerância das capacidades da organização A implementação de mitigação de riscos envolve tipicamente as Pessoas, os Processos e as Tecnologias. 21 22
  13. 13. METODOLOGIA INVESTIGAÇÃO CAP 5: Arquitectura Empresarial e Social Claúsulas de abrangência Táctico Aspectos técnicos Políticas Aspectos Físicos Segurança Aspectos Tácticos Organização Segurança Gestão Controlo Bens Acesso Conformidades Segurança Pessoas Segurança Física & Operacional Ambiental Desenvolvimento Comunicações & Gestão Sistemas& Manutenção Gestão de Operações Continuidade Negócio23 24
  14. 14. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Do Caos à Estrutura Lidar com a Complexidade Papel do CEO, CIO, CISO e CTO Gestão Governança SI/TI SI/TI Operacional Estratégia Engenharia Arquitectura Só a existência de uma arquitectura pode responder às questões da complexidade e da mudança. É a única forma que a Humanidade tem de lidar com elas. Ao INCERTEZA CEPTICISMO ACEITAÇÃO CONFIANÇA RESPEITO t caos opõe-se à estrutura. Zachman CTO CIO 25 26
  15. 15. METODOLOGIA INVESTIGAÇÃO CAP 6: Infraestruturas/Problemas Comuns  Baseado em Evidências  Observações  Conhecimento Os problemas mais comuns são apresentados em 19 tópicos que denunciam a maior parte das vulnerabilidades encontradas nos hospitais no âmbito da Segurança da Informação.27 28
  16. 16. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Arquitectura típica de um ambiente Problemas generalizados rudimentar de informação hospitalar Gestão Políticas Contratos/ Acesso físico, infraestrutura de rede e comunicações Outsourcing ? Ambiente utilizador Soluções baseadas em web, cliente/servidor, terminal, stand alone GestãoAcesso físico, infraestrutura de rede e comunicações Acesso físico, infraestrutura de rede e comunicações Credenciais Admissão, Altas, Recursos Humanos, de SGRH assets Suporte Transferências, Facturação, Contabilidade, Agendamento Aprovisionamento ? Ambiente aplicacional SI(s) Laboratório, Clínicos, SI(s) Cardiologia, Negócio Farmacia, Nutrição, Imuno, Oftalmologia, Oncologia, Gestão Gestão de Imagiologia, etc. Medicina, Fisiatria, etc. identidades incidências ? Ligadas Isoladas Plano Plano disaster continuidade base de dados Ambiente de recover negócio Sistema de Gestão de Doentes ? Gestão Acesso físico, infra-estrutura de rede e comunicações Políticas serviços hardening (ITIL) ? 29 30
  17. 17. METODOLOGIA INVESTIGAÇÃO CAP 7: Elaboração de Estratégias para a resolução dos problemas comuns Disponibilizar e proteger informação de saúde requer um modelo de operação que permita assegurar:  Como deve ser disponibilizada essa informação;  A quem deve ser disponibilizada a informação;  Quem deve ter acesso a essa informação;  Durante quanto tempo deve ser disponibilizada essa informação.31 32
  18. 18. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Quais as melhores práticas para A importância e significado das normas implementar a gestão da segurança? Qual o melhor processo de avaliação de riscos? O Organismo Nacional de Normalização (ONN) : IPQ, ONS, NP Quais as melhores práticas de protecção?  Os organismos Regionais (Europeus) de Normalização são o : CEN, Como utilizar o melhor da indústria? CENELEC, ETSI.  Os organismos Internacionais de O melhor é seguir com base em… Normalização são: ISO, IEC Normas 33 34
  19. 19. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃODenominador comum Expectativas da implementação de um modelo de gestão baseado em ISO/IECIndustria Outras Modelo Governo 27002 Saúde Industrias Gestão Electrónico 1 Implementação de boas práticas ISO 27799 ISO/IEC 27001 ISO/IEC 27001 COBIT 2 Avaliação do estado dos controlos(ISO/TC 215) ISO/IEC 20000 Grande impacto 3 Definir metas para a segurança da informação ISO/IEC 27001 4 Redução da frequência e impacto de incidentes 5 Conformidade com as políticas internas 6 Intregração do sistema com o programa ISRM Médio impacto 7 Ir ao encontro dos requisitos de regulamentação 8 Maximizar o investimento realizado 9 Obtenção de vantagens competitivas 10 Ir ao encontro dos requisitos da tutela De convergência 11 Adaptar-se às alterações do mercado 12 Controlo e redução de custos Benefícios mais comuns associados à ISO/IEC 27002 (ISF) ISO/IEC 27002 ISO/IEC 20000 ISO 27799, TC 215 WG4 35 36
  20. 20. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃOA origem da norma certificadora da Cláusulas da ISO/IEC 27002:2005segurança 1 Política de Segurança da Informação 2 Organização da Segurança da Informação 3 Gestão de Recursos 4 Gestão de Recursos Humanos 5 Gestão da segurança física e ambiental 6 Gestão das Comunicações e Operações 7 Controlo de acessos 8 Aquisições, manutenções e desenv. de sistemas 9 Gestão de incidentes de segurança da informação 10 Plano de gestão da continuidade de negócio 11 Conformidade com os aspectos legais 37 38
  21. 21. METODOLOGIA INVESTIGAÇÃO CAP 8: Aplicação de um SGSI Estrutura de um SGSI ISO/IEC 27000 - vocabulário e definições utilizadas 27001 - requisitos para um SGSI 27005 27002 - Boas Práticas para um SGSI Gestão de Risco 27003 - Guia de Implementação SGSI (ISO 13335) 27004 - Métricas e Medidas avaliar SGSI Família TC 215 - ISO 27000 também conhecida como ISO 27k39 40
  22. 22. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃOImplementação de um SGSI Avaliação de um SGSI «Manutenção e melhoria Onde «Estabelecer SGSI» Visão e Objectivos gostariamos ISO 27002 do SGSI» de estar? Onde Avaliações estamos? ISO 27004 Como Desenho de TI podemos ISO 27003 chegar? «Verificação, «Implementar e operar Como Monitorização, Revisão Métricas sabemos se ISO 27004 do SGSI» SGSI» chegámos? 41 42
  23. 23. ESTUDO DE CASO CAP 09: Estudo de Caso Hospital (CS1) Gestão da Segurança (CS2) Gestão Serviços de TI Governo Electrónico Governo SI/TI (COBIT) Gestão da Segurança Boas Práticas SI/TI ISO 27002 (ISO 20000/ ITIL) RESULTADOS CIENTÍFICOS (ANEXO C): Gomes, R. J., Lapão, L.V. et al. (2008). "The Adoption of IT Security Standards in a Healthcare Environment." eHealth Beyond the Horizon – Get IT There S.K. Andersen et l. (Eds.) IOS Press, MIE 2008 (ANEXO D): Lapão, L. V., Rebuge, A., Silva,M.S., Gomes, R. J. “ ITIL Assessment in a Healthcare Environment: The Role of IT Governance at Hospital São Sebastião”. Medical Informatics in a United and Healthy Europe K.-P. Adlassnig et al. (Eds.). IOS Press43 44
  24. 24. ESTUDO DE CASO ESTUDO DE CASO(CS1) Gestão da Segurança As 11 cláusulas que compõem a ISO/IEC 27002Local: Hospital possuem um conjunto de subsets baseados nasAno: 2008 estruturas da ISO/EIC 27002 e de acordo comScope: Âmbito reduzido no Datacenter uma escala de níveis de risco que foram especificados (H-M-L):Produção de um documento de Statement ofApplicability, no âmbito de um Centro deDados (documentação dos riscos e a forma H: 76-100% hipótese de ocorrer uma ameaçacomo devem ser mitigados) durante o período de um ano. M: 26-75% hipótese de ocorrer uma ameaça •Avaliação inicial de dados e documentos 1 durante o período de um ano. •Auditoria preliminar às infra-estruturas 2 L: 0-25% hipótese de ocorrer uma ameaça durante o período de um ano. •Análise de documentação da organização 3 •Entrevistas a elementos da organização 4 •Mapeamento e confrontação com os 11 5 controlos da norma ISO/IEC 27002:2005 •Produção de relatórios de Gap Analysis 6 45 46
  25. 25. ESTUDO DE CASO ESTUDO DE CASOResultados: (CS2) Gestão de Serviços de TI Local: HospitalProcessos críticos e níveis de risco. Ano: 2008 Scope: Ambito da DSI Risk Level# ISO 27002 Section (control objective) O objectivo do assessment ITIL foi ajudar a H M L encontrar lacunas/fraquezas relacionadas com1 Security Policy 0 1 02 Organizing Information Security 0 1 1 a utilização das TI e a que distância estava o3 Asset Management 2 0 0 hospital de as superar.4 Human Resources Security 0 1 25 Physical and Environmental Security 1 1 06 Communications & Operations Management 8 2 0 A que nível o hospital consegue suportará7 Access Control 5 2 08 Information Systems Acquisition, Development and Maintenance 0 4 2 iniciativas de mudança de melhoria nos9 Information Security Incident Management 0 2 0 processos?10 Business Continuity Management 0 0 111 Compliance 0 1 2  Capacidade e papéis dos colaboradoresForam implementados controlos de  Maturidade na Entrega de Serviçosegurança para os processos críticos H.  Maturidade Suporte de Serviço. 47 48
  26. 26. ESTUDO DE CASO ESTUDO DE CASO  Capacidade e papéis dos colaboradores  Maturidade na entrega de Serviço Foi realizado um levantamento dos papeis dos (Service Delivery) colaboradores e das suas responsabilidades utilizando uma Matriz ARCI (Accountable, Responsible, Consulted, and Informed) que Service Delivery permitiu clarificar e cruzar as funções com as Service Level responsabilidades. Management 5,0 4,0 3,0 2,0 Availability Management Financial Management 1,0 0,0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 IT Service ContinuityCIO A/R R A/R I A/I C/I C/I A/R A/R A/R A/R A/R A/R A/R Capacity Management ManagementNetwork Manager C/I R R R R R R R RProject Manager C/I R R R R A A R A/R/I R R R RTechnician 1 C/I R R C/IProgrammer 1 C/I R C/I R R RDatabase Manager C/I R R A/R R R R R R/C/I R R R RSupport DB Manager C/I R R R R R R/C/I RProgrammer 2Programmer 3 C/I C/I R R C R R R R R R R R R C/I R R R R R R Podemos verificar que o nível de maturidadeProgrammer 4Technician 2 C/I C/I R R R R R R R C/I C/I R do Service Level Management é < a 1 o que significa que os processos seriam realizadosEsta matriz revelou que existe um grande nível de numa forma had-hoc sem definição efunções em overlap entre os colaboradores que planeamento.apontam para ineficiências nas questões de ITService Management. 49 50
  27. 27. ESTUDO DE CASO ESTUDO DE CASO  Maturidade Suporte ao Serviço Service Support (Incident Management) (Service Support) O principal objectivo da gestão de Service Support incidentes é garantir a reposição desse Service Desk serviço o mais rapidamente possível 5,0 4,0 mitigando os riscos associados a esse Release Management 3,0 Incident Management restabelecimento e eliminando o mais 2,0 1,0 possível os efeitos colaterais. 0,0 Change Management Problem Management Foi adoptado o método de Steinberg que considera no processo de analise de Configuration maturidade a visão, a tecnologia, os Management processos, cultura e as pessoas.O nível de maturidade no serviço incidentmanagement é < a 1, e o que não se consideraaceitável para um hospital.Foi necessário realizar um estudo mais detalhado Steinberg, R.A. (2008) Implementing ITIL: Adapting Your ITService Support ( Indicent management) Organization to the Coming Revolution in IT Service Management. 51 52
  28. 28. ESTUDO DE CASOVista em detalhe, segundo Steinberg, do O esforço a realizar terá de ser no âmbitonível de maturidade Incident Management da relação com as pessoas, e com a organização em geral, gestão das expectativas, acompanhamento dos Vision and Steering 5 processos, promovendo uma cultura de 4 prestador de serviço ou através de outras 3 formas de gestão. 2 Technology Process 1 0 Conclusões do Estudo de Caso Culture People SGSTI SGSI Orientado ao Serviço Orientada ao Risco Garantir a entrega de Garantir a segurança da Serviço de acordo com os informação relativamente requisitos e os níveis de ao seus requisitos de:Tecnologia e os Processos: 2 serviço acordados com base em:  confidencialidade,Vision & Steering, Pessoas e Cultura: 1  disponibilidade  integridade  disponibilidade  performance Dentro das TI Transversal à organização 53 54
  29. 29. ENSAIO DE RESPOSTA A QUESTÕES CAP 10: Ensaio de Resposta a Problemas • Quais serão as melhores práticas para implementar a Gestão da Segurança na minha organização? • Qual é o melhor processo de avaliação dos riscos e como se pode e deve implementar? • Quais as melhores práticas de protecção dos recursos de informação da empresa? • Como podemos comparar os esforços de protecção da informação na organização com o melhor que a indústria tem para oferecer? • Como se pode extrair visibilidade dos investimentos aplicados em segurança e qual o retorno para a minha organização?55 56
  30. 30. ENSAIO DE RESPOSTA A QUESTÕES ENSAIO DE RESPOSTA A QUESTÕESQuais serão as melhores práticas para Como podemos comparar os esforços deimplementar a Gestão da Segurança na minha protecção da informação na organização com oorganização? melhor que a indústria tem para oferecer?A ISO/IEC 27001 é a única norma de gestão de A ISO 27799:2008 está focada na saúde e é baseada nasegurança da informação. Foi revista de forma a ISO 27001 que está sustentada nas práticas do modeloalinhar Plan-Do-Check-Act. A implementação da norma ISO 27002, amplamente adoptado em qualquer27001 constitui per si um SGSI. É independente da indústria.tecnologia, abrangente e flexível.Qual é o melhor processo de avaliação dos Como se pode extrair visibilidade dosriscos e como se pode e deve implementar? investimentos aplicados em segurança e qual oA ISO 27005 é focada no risco de IT, no entanto a retorno para a minha organização?ENISA publica 12 ferramentas com 22 atributos A adopção e comprometimento de uma organizaçãodistintos que permite fazer comparações com outros para qualquer modelo de gestão de segurança damétodos e ferramentas existentes. http://rm- informação, expõe de uma forma clara o interesse dainv.enisa.europa.eu/comparison.html. instituição em proteger os seus bens de negócio e assim dar credibilidade interna e externa. A adopção deQuais as melhores práticas de protecção dos boas práticas exige que os ambientes tenham os bensrecursos de informação da empresa? inventariados, valorizados e controlados e a identificação das ameaças e os valores de perda a queBasear numa framework. O modelo ISO/IEC 27002 e as podem estar sujeitos. Todo o desenvolvimento de umcláusulas que a compõem são uma boa ferramenta SGSI induz a uma redução de desperdícios, optimizaçãopara assegurar efectiva gestão de segurança da de processos de trabalho com ambientes de trabalhoinformação (mesmo que não exista qualquer interesse controlados.da organização em certificar o âmbito escolhido) 57 58
  31. 31. CONCLUSÕES E PERSPECTIVAS FUTUROConclusões Futuro Não é possível manter a segurança sem planear a sua gestão  A adesão em Portugal é muito pouca pois exige algum investimento e Nenhuma organização vai estar um dia comprometimento e que implica grandes totalmente protegida das ameaças que põem mudanças estruturais no âmbito das em risco a sua Informação de negócio. tecnologias e nos comportamentos. Investir num nível de protecção que se  A norma nos próximos anos será considere próximo do ideal atingiria custos implicitamente de carácter obrigatório pois é muito elevados ou bloquearia de forma não a única que certifica a segurança, e porque a aceitável os processos desenvolvidos pelo complexidade e a insegurança crescem hospital. exponencialmente sendo cada vez mais difícil manter a segurança tendo em vista aNo entanto…. diversidade de sistemas e utilizadores.As utilização do modelo de boas práticas  E por isso..possibilitaria uma abordagem sistemática dosriscos, que pode ser realizada numa formagradual e custos controlados, a implementaçãode controlos com o objectivo de os minimizar. 59 60
  32. 32. CONCLUSÕES E PERSPECTIVAS FUTURO A estruturação desses dados, numa formaFramework de Avaliação Inicial sistematizada, ajudaria a retratar o estado do hospital em matéria de Segurança daO estudo promoveu a adaptação de uma Informação e seria como uma ferramentaframework para uma Gap Analysis que de check up, e modelo de actuação, compudesse apoiar numa gestão das TI, numa vista à melhor preservação da informaçãoavaliação inicial do estado de saúde dos crítica do hospital.seus recursos, com vista a procurar níveisde riscos associados, e poder-se activarmedidas de gestão para o controlo eficazdos processos críticos. 61 62
  33. 33. OBRIGADO Provas de Mestrado - Informática Médica Rui@Gomes.comOs objectos de clipart são fotos livres de direito em:www.fotofolia.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×