Your SlideShare is downloading. ×

Saude governance rg

359

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
359
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. G overno das Tecnologias e dos Sistemas de Informação na Saúde 28/11/2011Rui Gomes Curso de Engenharia Biomédica - Departamento deHospital Fernando Fonseca E.P.E. Engenharia Informática –Universidade de Coimbra
  • 2.  Ciclo eterno (Onde estamos) O que não queremos O que podemos cultivar Retorno expectável Conclusões
  • 3. Ciclo eterno (onde estamos) Árvore
  • 4. Ciclo eterno (onde estamos) Floresta
  • 5. Ciclo eterno (onde estamos) Infra-estruturas 10 anos Maturidade 10 anos
  • 6. Ciclo eterno (onde estamos) Nível de risco pela exposição de um sistema de informação por sector de actividade
  • 7. O que não queremosEstado de “sítio” hospitais? ? ? ? ? controlo TI comité políticas Outsourcing procedimentos reduzido segurança ? ? ? ? ? ? gestão controlo gestão identificação gestão serviços de informação pessoas identidades (ITIL) acessos ? ? ? ? ? ? definição gestão protecção aspectos zonas auditoria de incêndios legais críticas incidências ? ? ? ? ? workflow ? gestão plano gestão electronic backups de continuidade risco negócio & assets hardcopy ? ? ? ? ? ? políticas hardening plano disaster recover conformidades credenciais SGRH … ? ? ? ?
  • 8. O que podemos cultivar Para evitar o Estado de Sítio a organização deve implementar um modelo de governo no qual seja estabelecida uma estrutura organizacional onde estejam bem definidas os papéis e as responsabilidades pela informação, os processos de negócio, aplicações, infra- estrutura, etc.
  • 9. O que podemos cultivarQual o alinhamento da Gestão dos hospitais com osSI/TI? CA Direcção Direcção Direcção Direcção Direcção Logística Produção RH Financeira SI/TI
  • 10. O que podemos cultivar Adopção de uma estratégia que permita fazer crescer a componente de SI/TI ao nível do IT Governance  Pensar no futuro  Orientada ao negócio
  • 11. O que podemos cultivarQual o alinhamento da Gestão dos hospitais com osSI/TI?
  • 12. O que podemos cultivarQual o alinhamento dos profissionais de saúdecom a introdução dos SI/TI? Rogers Innovation Adopters Curve
  • 13. O que podemos cultivar Aplicação do IT Governance garante pelo menos…  Assegurar que os investimentos em TI geram valor de negócio;  Atenuar os riscos associados à introdução das TI. O “segredo” está nas pessoas e nas suas responsabilidades
  • 14. O que podemos cultivar(In)Segurança actualmente aumento da exposição ao risco complexidade dos riscos complexidade na protecção riscos Significa que os mecanismos de protecção não são suficientes i)é preciso vigiar os riscos ii)e melhorar mecanismos de protecção hint: É necessário gerir a segurança!
  • 15. O que podemos cultivarMetodologia a utilizar Quais as melhores práticas para a gestão da segurança?  Qual o melhor processo de avaliação de riscos? Quais as melhores práticas de protecção? Quais as formas de comparar com melhor da indústria? hint: procurar uma certificação é uma boa opção pois dá visibilidade que sustenta o investimento
  • 16. O que podemos cultivarGestão da Mudança
  • 17. O que podemos cultivarMetodologia a utilizar
  • 18. O que podemos cultivarMetodologia a utilizarCompreender o papel dos frameworksdisponíveis nota: ISO 27001 é a unica certificação de gestão da segurança da informação para organismos
  • 19. O que podemos cultivarMetodologia a utilizar Por exemplo ISO 27799:2008 Health informatics — Information security management in health using ISO/IEC 27002
  • 20. O que podemos cultivarMetodologia a utilizar
  • 21. O que podemos cultivarMetodologia a utilizar
  • 22. O que podemos cultivarMetodologia a utilizar
  • 23. O que podemos cultivarMetodologia a utilizar
  • 24. O que podemos cultivar Evitar as más práticas e gerir o RISCO
  • 25. O que podemos cultivarMetodologia a utilizar O Risco é a relação entre a probabilidade e o impacto. É a base para a identificação dos pontos que necessitam de “investimento” em Segurança da Informação. hint: É necessário gerir a segurança!
  • 26. O que podemos cultivarControlo do Risco
  • 27. O que podemos cultivarControlo do Risco Ex. Comprar igual Ex. aos outros Decidir NÃO Ex. Ex. Funciona mal mas Implementar não é caso de vida & gerir o risco ou morte!
  • 28. O que podemos cultivar
  • 29. O que podemos cultivar
  • 30. O que podemos cultivarCódigo de Boas Práticas ISO 27002Controlos de segurança da informação (11 areas) 1 Política de Segurança da Informação ISO/IEC-17799:2000 2 Organização da Segurança da Informação ISO/IEC-17799:2000 3 Gestão de Recursos (classificação de assets) ISO/IEC-17799:2000 4 Gestão de Recursos Humanos ISO/IEC-17799:2000 5 Gestão da segurança física e ambiental ISO/IEC-17799:2000 6 Gestão das Comunicações e Operações ISO/IEC-17799:2000 7 Controlo de acessos ISO/IEC-17799:2000 8 Aquisições, manutenções e desenvolvimento de sistemas ISO/IEC-17799:2000 9 Gestão de incidentes de segurança da informação ISO/IEC-17799:2005 10 Plano de gestão da continuidade de negócio ISO/IEC-17799:2000 11 Conformidade com os aspectos legais ISO/IEC-17799:2000 nota: o Código não recomenda tecnologias mas unicamente estratégias a serem adaptadas à organização
  • 31. O que podemos cultivar 1 - Política de segurança da informação  Definição da segurança da informação aprovada pelo CA (objectos, abrangência e importância)  Definição príncipios, normas e conformidades de relevo  Referências a documentos ou processos externos  Comunicação a TODA a organização e responsabilização
  • 32. O que podemos cultivar 2 - Organização da Segurança  Coordenação da segurança (forum)  Alocação das responsabilidades  Classificação da informação  Acordos confidencialidade  Revisão da segurança (entidade isenta)  Identificação dos riscos externos  Acordos com partes terceiras Gerir a segurança da informação na organização
  • 33. O que podemos cultivar 3 - Classificação e controlo de recursos (hardware, software, informação, pessoas)  Inventário de recursos (informação electrónica, papel, registos video, som, software, físicos, elementos humanos, serviços contratados, etc..)  Responsabilidade pelos recursos (elemento humano é o elo mais fraco)  Classificação de recursos (regras, etiquetagem, manuseamento) Manter um nível de protecção apropriado dos activos da organização e garantir que os activos de informação são alvo de um grau de protecção apropriado. nota: assets são todos aqueles que pela sua ausência ou degradação podem ter impacto na entrega de produtos ou serviços na organização ou causar danos com a perda da confidencialidade ou integridade
  • 34. O que podemos cultivar 4 – Gestão de recursos humanos  Verificação de credenciais (habilitações, curriculo, competências, acordos confidencialidade, etc.); Término das responsabilidades devolução de recursos e dos direitos de acesso), processos disciplinares; Elo mais fraco Reduzir os riscos de erro humano, roubo, fraude ou má utilização das instalações;  Garantir que os utilizadores estão cientes dos cuidados a ter e das ameaças existentes à segurança da informação, e que os mesmos dispõem de equipamentos que lhes permitam dar suporte à política de segurança da organização no curso do é a forma mais comum de ataque por Nota: A engenharia social seu trabalho; este activo. Processo de mudar o comportamento das pessoas
  • 35. O que podemos cultivar 5 - Segurança física e ambiental  Perímetro da segurança, controlos de entrada e saída, protecção contra ameaças externas e ambiente;  Manutenção, protecção e acondicionamento dos equipamentos;  Areas de acesso público, cargas e descargas;  Segurança da cablagem;  Destruição e re-utilização segura do equipamento; Prevenir o acesso não autorizado, danos ou interferência na informação e nas instalações físicas do negócio; Prevenir a perda, danos ou comprometimento dos activos e a interrupção nas actividades do negócio;
  • 36. O que podemos cultivar 6 - Gestão das operações e comunicações (computadores e redes) Monitorização e revisão serviço terceiros  Gestão das operações em redes e transmissões;  Salvaguarda da informação (backups) e protecção infraestrutura suporte, antivirus, etc..;  Políticas e procedimentos escritos e aprovados para troca/partilha de informação Minimizar o risco de falhas nos sistemas; Proteger a integridade das aplicações e da informação e comunicação; Prevenir a perda, modificação ou má utilização da informação trocada entre organizações.
  • 37. O que podemos cultivar 7 - Controlo de acesso lógico  Políticas e regras para controlo de acesso (previlégios minimos, separação das responsabilidades)  Gestão dos utilizadores  Controlo acesso (rede, S.O., aplicações, etc..)  Monitorização de acessos e de utilização  Clear Desk e Clear Screen (hardening)  Computação móvel e ligações remotas Controlar o acesso à informação; Impedir o acesso não autorizado aos sistemas de informação; Assegurar a protecção dos serviços ligados em rede;
  • 38. Metodologia a utilizar 8 - Aquisição, desenvolvimento e manutenção de Sistemas de Informação  Vulnerabilidades na aquisição de sistemas (especificação de requisitos) ; Restrições a impor ao desenvolvimento e manutenção de software em outsourcing; Garantir a inclusão de mecanismos de segurança nos sistemas operativos; Códigos abertos !! Prevenir a perda, modificação ou má utilização dos dados dos utilizadores em aplicações dos sistemas; Proteger a confidencialidade, autenticidade e integridade da informação; Assegurar que os projectos informáticos e actividades de suporte são levados a cabo de forma segura;
  • 39. O que podemos cultivar 9 - Gestão de incidentes de segurança da informação  Comunicação de eventos de segurança da informação  Comunicação de falhas de segurança  Registos de incidentes de segurança  Responsabilidades e procedimentos  Colecção de evidências para melhorar  Monitorização e reavaliar os controlos
  • 40. O que podemos cultivar 10 - Gestão da continuidade de negócio (PCN) Deve ser elaborado um plano (política) para salvaguardar que o negócio da instituição não é interrompido por incidentes de segurança  Iniciação e gestão projecto  Análise de impacto para o negócio  Estratégias de recuperação  Elaboração de planos  Testes, manutenção e formação Reagir no caso de se verificarem interrupções nas actividades ou processos críticos do negócio, provocados por falhas graves ou desastres. nota: É neste capítulo que cabe por exemplo as práticas de disaster recovery
  • 41. O que podemos cultivar 11 – Conformidades com aspectos legais  Legislação aplicável e conformidade com políticas e normas  Direitos de propriedade intelectual, protecção dos dados e privacidade de informação pessoal  Protecção e arquivo de registos da organização (virus, erro humano, ataques, violação acessos, desastres, anomalias hardware, software, etc..) Assegurar a adequação dos sistemas aos “standards” ou políticas de segurança organizacionais; Maximizar a eficácia e minimizar a interferência com/do processo de auditoria de sistemas.
  • 42. “Sem uma gestão formal da segurança dainformação, a segurança vai ser quebrada algures no tempo” Visão adaptada do ISO/IEC-17799 para a Saúde (actual ISO/IEC 27799)
  • 43. Resultados expectáveis Organização Processos, Mitigação do Risco VisibilidadeQualidade Confiança stakeholders
  • 44. Resultados expectáveis
  • 45. Conclusões Não é possível manter a segurança sem planear a sua gestão; Os organismos estão muito atrasados neste sector; Não existe such thing segurança total; Implementar controlos permite minimizar riscos; Só o ISO 27001 permite certificar a gestão da segurança; Implementar a norma exige grandes mudanças estruturais no âmbito das tecnologias e dos comportamentos; Pode ter custos de investimentos elevados mas com retorno visível.
  • 46. Método para desenvolvimento de umrelatório de avaliação inicialResposta a um framework (Gap Analysis)  Saber em que estágio se encontra o hospital em matéria de segurança da informação  Reconhecer algumas das vulnerabilidades, ameaças e riscos mais relevantes;  Delinear um roadmap que poderia ser estabelecido para um projecto de certificação  Determinar que recursos e que Project Plan consegue ter associados
  • 47. Método para desenvolvimento de umrelatório de avaliação inicialResposta a um framework (Gap Analysis)
  • 48. Rui@Gomes.comObrigado!

×