Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Saude governance rg

549 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Saude governance rg

  1. 1. G overno das Tecnologias e dos Sistemas de Informação na Saúde 28/11/2011Rui Gomes Curso de Engenharia Biomédica - Departamento deHospital Fernando Fonseca E.P.E. Engenharia Informática –Universidade de Coimbra
  2. 2.  Ciclo eterno (Onde estamos) O que não queremos O que podemos cultivar Retorno expectável Conclusões
  3. 3. Ciclo eterno (onde estamos) Árvore
  4. 4. Ciclo eterno (onde estamos) Floresta
  5. 5. Ciclo eterno (onde estamos) Infra-estruturas 10 anos Maturidade 10 anos
  6. 6. Ciclo eterno (onde estamos) Nível de risco pela exposição de um sistema de informação por sector de actividade
  7. 7. O que não queremosEstado de “sítio” hospitais? ? ? ? ? controlo TI comité políticas Outsourcing procedimentos reduzido segurança ? ? ? ? ? ? gestão controlo gestão identificação gestão serviços de informação pessoas identidades (ITIL) acessos ? ? ? ? ? ? definição gestão protecção aspectos zonas auditoria de incêndios legais críticas incidências ? ? ? ? ? workflow ? gestão plano gestão electronic backups de continuidade risco negócio & assets hardcopy ? ? ? ? ? ? políticas hardening plano disaster recover conformidades credenciais SGRH … ? ? ? ?
  8. 8. O que podemos cultivar Para evitar o Estado de Sítio a organização deve implementar um modelo de governo no qual seja estabelecida uma estrutura organizacional onde estejam bem definidas os papéis e as responsabilidades pela informação, os processos de negócio, aplicações, infra- estrutura, etc.
  9. 9. O que podemos cultivarQual o alinhamento da Gestão dos hospitais com osSI/TI? CA Direcção Direcção Direcção Direcção Direcção Logística Produção RH Financeira SI/TI
  10. 10. O que podemos cultivar Adopção de uma estratégia que permita fazer crescer a componente de SI/TI ao nível do IT Governance  Pensar no futuro  Orientada ao negócio
  11. 11. O que podemos cultivarQual o alinhamento da Gestão dos hospitais com osSI/TI?
  12. 12. O que podemos cultivarQual o alinhamento dos profissionais de saúdecom a introdução dos SI/TI? Rogers Innovation Adopters Curve
  13. 13. O que podemos cultivar Aplicação do IT Governance garante pelo menos…  Assegurar que os investimentos em TI geram valor de negócio;  Atenuar os riscos associados à introdução das TI. O “segredo” está nas pessoas e nas suas responsabilidades
  14. 14. O que podemos cultivar(In)Segurança actualmente aumento da exposição ao risco complexidade dos riscos complexidade na protecção riscos Significa que os mecanismos de protecção não são suficientes i)é preciso vigiar os riscos ii)e melhorar mecanismos de protecção hint: É necessário gerir a segurança!
  15. 15. O que podemos cultivarMetodologia a utilizar Quais as melhores práticas para a gestão da segurança?  Qual o melhor processo de avaliação de riscos? Quais as melhores práticas de protecção? Quais as formas de comparar com melhor da indústria? hint: procurar uma certificação é uma boa opção pois dá visibilidade que sustenta o investimento
  16. 16. O que podemos cultivarGestão da Mudança
  17. 17. O que podemos cultivarMetodologia a utilizar
  18. 18. O que podemos cultivarMetodologia a utilizarCompreender o papel dos frameworksdisponíveis nota: ISO 27001 é a unica certificação de gestão da segurança da informação para organismos
  19. 19. O que podemos cultivarMetodologia a utilizar Por exemplo ISO 27799:2008 Health informatics — Information security management in health using ISO/IEC 27002
  20. 20. O que podemos cultivarMetodologia a utilizar
  21. 21. O que podemos cultivarMetodologia a utilizar
  22. 22. O que podemos cultivarMetodologia a utilizar
  23. 23. O que podemos cultivarMetodologia a utilizar
  24. 24. O que podemos cultivar Evitar as más práticas e gerir o RISCO
  25. 25. O que podemos cultivarMetodologia a utilizar O Risco é a relação entre a probabilidade e o impacto. É a base para a identificação dos pontos que necessitam de “investimento” em Segurança da Informação. hint: É necessário gerir a segurança!
  26. 26. O que podemos cultivarControlo do Risco
  27. 27. O que podemos cultivarControlo do Risco Ex. Comprar igual Ex. aos outros Decidir NÃO Ex. Ex. Funciona mal mas Implementar não é caso de vida & gerir o risco ou morte!
  28. 28. O que podemos cultivar
  29. 29. O que podemos cultivar
  30. 30. O que podemos cultivarCódigo de Boas Práticas ISO 27002Controlos de segurança da informação (11 areas) 1 Política de Segurança da Informação ISO/IEC-17799:2000 2 Organização da Segurança da Informação ISO/IEC-17799:2000 3 Gestão de Recursos (classificação de assets) ISO/IEC-17799:2000 4 Gestão de Recursos Humanos ISO/IEC-17799:2000 5 Gestão da segurança física e ambiental ISO/IEC-17799:2000 6 Gestão das Comunicações e Operações ISO/IEC-17799:2000 7 Controlo de acessos ISO/IEC-17799:2000 8 Aquisições, manutenções e desenvolvimento de sistemas ISO/IEC-17799:2000 9 Gestão de incidentes de segurança da informação ISO/IEC-17799:2005 10 Plano de gestão da continuidade de negócio ISO/IEC-17799:2000 11 Conformidade com os aspectos legais ISO/IEC-17799:2000 nota: o Código não recomenda tecnologias mas unicamente estratégias a serem adaptadas à organização
  31. 31. O que podemos cultivar 1 - Política de segurança da informação  Definição da segurança da informação aprovada pelo CA (objectos, abrangência e importância)  Definição príncipios, normas e conformidades de relevo  Referências a documentos ou processos externos  Comunicação a TODA a organização e responsabilização
  32. 32. O que podemos cultivar 2 - Organização da Segurança  Coordenação da segurança (forum)  Alocação das responsabilidades  Classificação da informação  Acordos confidencialidade  Revisão da segurança (entidade isenta)  Identificação dos riscos externos  Acordos com partes terceiras Gerir a segurança da informação na organização
  33. 33. O que podemos cultivar 3 - Classificação e controlo de recursos (hardware, software, informação, pessoas)  Inventário de recursos (informação electrónica, papel, registos video, som, software, físicos, elementos humanos, serviços contratados, etc..)  Responsabilidade pelos recursos (elemento humano é o elo mais fraco)  Classificação de recursos (regras, etiquetagem, manuseamento) Manter um nível de protecção apropriado dos activos da organização e garantir que os activos de informação são alvo de um grau de protecção apropriado. nota: assets são todos aqueles que pela sua ausência ou degradação podem ter impacto na entrega de produtos ou serviços na organização ou causar danos com a perda da confidencialidade ou integridade
  34. 34. O que podemos cultivar 4 – Gestão de recursos humanos  Verificação de credenciais (habilitações, curriculo, competências, acordos confidencialidade, etc.); Término das responsabilidades devolução de recursos e dos direitos de acesso), processos disciplinares; Elo mais fraco Reduzir os riscos de erro humano, roubo, fraude ou má utilização das instalações;  Garantir que os utilizadores estão cientes dos cuidados a ter e das ameaças existentes à segurança da informação, e que os mesmos dispõem de equipamentos que lhes permitam dar suporte à política de segurança da organização no curso do é a forma mais comum de ataque por Nota: A engenharia social seu trabalho; este activo. Processo de mudar o comportamento das pessoas
  35. 35. O que podemos cultivar 5 - Segurança física e ambiental  Perímetro da segurança, controlos de entrada e saída, protecção contra ameaças externas e ambiente;  Manutenção, protecção e acondicionamento dos equipamentos;  Areas de acesso público, cargas e descargas;  Segurança da cablagem;  Destruição e re-utilização segura do equipamento; Prevenir o acesso não autorizado, danos ou interferência na informação e nas instalações físicas do negócio; Prevenir a perda, danos ou comprometimento dos activos e a interrupção nas actividades do negócio;
  36. 36. O que podemos cultivar 6 - Gestão das operações e comunicações (computadores e redes) Monitorização e revisão serviço terceiros  Gestão das operações em redes e transmissões;  Salvaguarda da informação (backups) e protecção infraestrutura suporte, antivirus, etc..;  Políticas e procedimentos escritos e aprovados para troca/partilha de informação Minimizar o risco de falhas nos sistemas; Proteger a integridade das aplicações e da informação e comunicação; Prevenir a perda, modificação ou má utilização da informação trocada entre organizações.
  37. 37. O que podemos cultivar 7 - Controlo de acesso lógico  Políticas e regras para controlo de acesso (previlégios minimos, separação das responsabilidades)  Gestão dos utilizadores  Controlo acesso (rede, S.O., aplicações, etc..)  Monitorização de acessos e de utilização  Clear Desk e Clear Screen (hardening)  Computação móvel e ligações remotas Controlar o acesso à informação; Impedir o acesso não autorizado aos sistemas de informação; Assegurar a protecção dos serviços ligados em rede;
  38. 38. Metodologia a utilizar 8 - Aquisição, desenvolvimento e manutenção de Sistemas de Informação  Vulnerabilidades na aquisição de sistemas (especificação de requisitos) ; Restrições a impor ao desenvolvimento e manutenção de software em outsourcing; Garantir a inclusão de mecanismos de segurança nos sistemas operativos; Códigos abertos !! Prevenir a perda, modificação ou má utilização dos dados dos utilizadores em aplicações dos sistemas; Proteger a confidencialidade, autenticidade e integridade da informação; Assegurar que os projectos informáticos e actividades de suporte são levados a cabo de forma segura;
  39. 39. O que podemos cultivar 9 - Gestão de incidentes de segurança da informação  Comunicação de eventos de segurança da informação  Comunicação de falhas de segurança  Registos de incidentes de segurança  Responsabilidades e procedimentos  Colecção de evidências para melhorar  Monitorização e reavaliar os controlos
  40. 40. O que podemos cultivar 10 - Gestão da continuidade de negócio (PCN) Deve ser elaborado um plano (política) para salvaguardar que o negócio da instituição não é interrompido por incidentes de segurança  Iniciação e gestão projecto  Análise de impacto para o negócio  Estratégias de recuperação  Elaboração de planos  Testes, manutenção e formação Reagir no caso de se verificarem interrupções nas actividades ou processos críticos do negócio, provocados por falhas graves ou desastres. nota: É neste capítulo que cabe por exemplo as práticas de disaster recovery
  41. 41. O que podemos cultivar 11 – Conformidades com aspectos legais  Legislação aplicável e conformidade com políticas e normas  Direitos de propriedade intelectual, protecção dos dados e privacidade de informação pessoal  Protecção e arquivo de registos da organização (virus, erro humano, ataques, violação acessos, desastres, anomalias hardware, software, etc..) Assegurar a adequação dos sistemas aos “standards” ou políticas de segurança organizacionais; Maximizar a eficácia e minimizar a interferência com/do processo de auditoria de sistemas.
  42. 42. “Sem uma gestão formal da segurança dainformação, a segurança vai ser quebrada algures no tempo” Visão adaptada do ISO/IEC-17799 para a Saúde (actual ISO/IEC 27799)
  43. 43. Resultados expectáveis Organização Processos, Mitigação do Risco VisibilidadeQualidade Confiança stakeholders
  44. 44. Resultados expectáveis
  45. 45. Conclusões Não é possível manter a segurança sem planear a sua gestão; Os organismos estão muito atrasados neste sector; Não existe such thing segurança total; Implementar controlos permite minimizar riscos; Só o ISO 27001 permite certificar a gestão da segurança; Implementar a norma exige grandes mudanças estruturais no âmbito das tecnologias e dos comportamentos; Pode ter custos de investimentos elevados mas com retorno visível.
  46. 46. Método para desenvolvimento de umrelatório de avaliação inicialResposta a um framework (Gap Analysis)  Saber em que estágio se encontra o hospital em matéria de segurança da informação  Reconhecer algumas das vulnerabilidades, ameaças e riscos mais relevantes;  Delinear um roadmap que poderia ser estabelecido para um projecto de certificação  Determinar que recursos e que Project Plan consegue ter associados
  47. 47. Método para desenvolvimento de umrelatório de avaliação inicialResposta a um framework (Gap Analysis)
  48. 48. Rui@Gomes.comObrigado!

×