Upload
henrique-arruda
View
89
Download
2
Embed Size (px)
DESCRIPTION
Monografia sobre Segurança da Informação
Citation preview
ASPECTOS DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO. UM
ESTUDO DE CASO DE UM AMBIENTE HOSPITALAR.
por
JOSÉ DIOGENES RODRIGUES ACCIOLY
Monografia de Conclusão de MBA em Gestão de Tecnologia da Informação
UNIVERSIDADE FEDERAL DE PERNAMBUCO
CIN - CENTRO DE INFORMÁTICA
PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
www.cin.ufpe.br/~posgraduacao
RECIFE, 11 DE 2012.
JOSÉ DIOGENES RODRIGUES ACCIOLY
ii
UFPE - UNIVERSIDADE FEDERAL DE PERNAMBUCO
CIn - CENTRO DE INFORMÁTICA
PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
JOSÉ DIOGENES RODRIGUES ACCIOLY
ASPECTOS DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO. UM
ESTUDO DE CASO DE UM AMBIENTE HOSPITALAR.
Monografia apresentada como requisito parcial à
obtenção do grau de Especialista, área de
concentração em Segurança da Informação, do
Programa de Pós-graduação em Ciência da
Computação do Centro de Informática da
Universidade Federal de Pernambuco.
ORIENTADOR: Evandro Curvelo Hora.
RECIFE, 11 DE 2012.
JOSÉ DIOGENES RODRIGUES ACCIOLY
iv
FICHA CATALOGRÁFICA
[JOSE DIOGENES R. ACCIOLY “ACCIOLY, JOSE”]
[ASPECTOS DA GESTÃO DE SEGURANÇA DA
INFORMAÇÃO. UM ESTUDO DE CASO DE UM AMBIENTE
HOSPITALAR] /[JOSÉ ACCIOLY]. – Recife: Accioly, 2012.
Monografia (Especialização) – Universidade Federal de
Pernambuco. CIn – Ciência da Computação, 2012.
Inclui bibliografia.
JOSÉ DIOGENES RODRIGUES ACCIOLY
v
Dedico este trabalho à MINHA FAMÍLIA
Agradecimentos
A Deus, por ter me dado forças e iluminando meu caminho para que pudesse
concluir mais uma etapa da minha vida.
À minha mãe, Maria da Paz, que sempre me deu força e me incentivou a nunca
desistir, e por todo amor e dedicação.
Ao meu pai, Dorgival, em que sempre me espelhei, por ter sido peça fundamental
para que eu tenha me tornado a pessoa que hoje sou.
Ao meu filho, Joaquim, pelas noites de sonos que passei acordado cuidando dele e
pelo seu sorriso toda manhã que me mantém cada vez mais motivado.
À minha esposa, Suzy, pelo carinho e apoio nos momentos que precisei.
Ao meu orientador, professor Evandro Curvelo Hora, pelo ensinamento e dedicação
dispensados no auxilio à concretização dessa monografia.
A todos da empresa em que trabalho e alguns outros amigos que me ajudaram, de
um jeito ou de outro, durante a elaboração desta monografia.
Emfim, aos meus familiares, pelo carinho e pela compreensão nos momentos em
que a dedicação aos estudos foi exclusiva.
E a todos que contribuíram, direta ou indiretamente, para que esse trabalho fosse
realizado: meu eterno AGRADECIMENTO.
JOSÉ DIOGENES RODRIGUES ACCIOLY
vii
“Aprender sem pensar é tempo perdido.”
Confúcio
Resumo
O alto investimento das empresas de TI, no que se refere à segurança, está
relacionado à preocupação em proteger a informação da organização contra ataques
de invasores. Na área da saúde a informação é um ativo essencial para procedimentos
médicos em geral e deve ser protegida. A informação pode existir de muitas formas,
por meio físico ou meio digital, independente do meio de armazenamento ou a forma
apresentada, é recomendado que ela esteja sempre protegida adequadamente. No
hospital um ativo muito importante para a regra de negócio deste tipo de organização é
o prontuário médico do paciente, que contempla inúmeras informações referentes a
esse e é protegido por lei. Sendo assim, a segurança da informação vem sendo tema
de grande debate neste novo milênio e é contemplado neste estudo de caso. Este
trabalho faz um diagnóstico da segurança da informação sobre o prontuário médico do
paciente no que se refere à conformidade com as regulamentações definidas pelo
Conselho Federal de Medicina e a conformidade com a norma ABNT NBR ISO/IEC
27001 (2006) que trata de sistema de gestão da segurança da informação.
Palavras-chave: Informação; Prontuário Médico do Paciente; Segurança da
Informação; Legislação do Prontuário Médico; ISO/IEC 27001 (2006).
JOSÉ DIOGENES RODRIGUES ACCIOLY
ix
Abstract
The high investment of IT companies, with regard to safety, the concern is
related to protecting an organization's information against attacks from invaders. In
health information is an asset that is essential to medical procedures in general and
must be protected. The information can exist in many ways by physical or digital means,
independent of the storage medium or the form shown, it is recommended that it is
always protected properly. At the hospital an asset that is very important for the
business rule this type of organization is the patient's medical record that includes
numerous information regarding the patient and is protected by law. Thus, information
security has been the subject of great debate in the new millennium and is considered
in this case study. This work makes a diagnosis of information security on the patient's
medical record as regards compliance with the regulations set by the Federal Council of
Medicine and compliance with the standard ISO / IEC 27001 (2006) which handles
management system information security.
Keywords: Information, Patient Medical Record; Information Security Legislation
Medical Record, ISO / IEC 27001.
JOSÉ DIOGENES RODRIGUES ACCIOLY
x
Índice
1. INTRODUÇÃO ............................................................................................................................ 16
1.1 JUSTIFICATIVA ....................................................................................................................... 18
1.2 DEFINIÇÃO DO PROBLEMA .................................................................................................... 18
1.3 OBJETIVOS ............................................................................................................................. 19
1.3.1 OBJETIVOS GERAIS ............................................................................................................ 19
1.3.2 OBJETIVOS ESPECÍFICOS ................................................................................................... 19
1.4 ESTRUTURA DO TRABALHO ................................................................................................... 19
2. REFERENCIAL TEÓRICO .............................................................................................................. 21
2.1 INFORMAÇÃO E PRONTUÁRIO MÉDICO ............................................................................................ 21
2.2 GOVERNANÇA DE TI E A GESTÃO DE TI ........................................................................................... 26
2.3 SEGURANÇA DA INFORMAÇÃO ...................................................................................................... 28
2.4 AMEAÇAS .............................................................................................................................. 32
2.5 VULNERABILIDADES .............................................................................................................. 35
2.6 RISCO ..................................................................................................................................... 37
2.7 REQUISITOS DA INFORMAÇÃO .............................................................................................. 37
2.7.1 CONFIDENCIALIDADE........................................................................................................ 38
2.7.2 INTEGRIDADE ................................................................................................................... 38
2.7.3 DISPONIBILIDADE ............................................................................................................. 39
JOSÉ DIOGENES RODRIGUES ACCIOLY
xi
2.8 LEGISLAÇÃO .......................................................................................................................... 39
2.9 ABNT NBR ISO/IEC 27001:2006 ............................................................................................. 45
2.10 O AMBIENTE ORGANIZACIONAL ........................................................................................... 48
3. METODOLOGIA ......................................................................................................................... 50
4. ANÁLISE DOS RESULTADOS ....................................................................................................... 52
4.1 SISTEMA DE GESTÃO DO PRONTUÁRIO MÉDICO DO PACIENTE .............................................................. 53
4.2 QUADRO DE VULNERABILIDADES ................................................................................................... 56
4.3 CONFORMIDADE COM A NORMA ABNT ISO/IEC 27001:2006 ......................................................... 63
5. CONSIDERAÇÕES FINAIS ........................................................................................................... 77
5.1 RESULTADOS OBTIDOS ................................................................................................................ 78
5.2 TRABALHOS FUTUROS ................................................................................................................. 79
5.3 LIMITAÇÕES DO ESTUDO .............................................................................................................. 79
5.4 CONCLUSÕES ............................................................................................................................ 79
6. REFERÊNCIAS ............................................................................................................................ 81
JOSÉ DIOGENES RODRIGUES ACCIOLY
xii
Lista de Figuras
FIGURA 1 - CICLO DE VIDA DA INFORMAÇÃO [ADAPTADA DE SÊMOLA (2003)] .......................................................................... 23
FIGURA 2 - VAZAMENTO DE DADOS NAS COOPORAÇÕES (VERIZON, 2010) ................................................................................. 29
FIGURA 3 - COMO OS VAZAMENTOS OCORREM (VERIZON, 2010) ............................................................................................. 30
FIGURA 4 - MODELO PDCA APLICADO AOS PROCESSOS DO SGSI (ABNT NBR ISO/IEC 27001:2006) .......................................... 47
FIGURA 5 - SISTEMA DE GESTÃO DO PRONTUÁRIO MÉDICO DO PACIENTE (FONTE: PRÓPRIO AUTOR) ................................................. 53
JOSÉ DIOGENES RODRIGUES ACCIOLY
xiii
Lista de Tabelas
TABELA 1 - NÚMERO MENSAL DE EVENTOS POR AMEAÇA, EM PERCENTUAL DE RESPONDENTES (ADAPTADA DE WHITMAN, 2003) ...... 35
TABELA 2 - DEFINIÇÃO DO PDCA DA ABNT NBR ISO/IEC 27001:2006 ................................................................................. 48
TABELA 3 - ITENS DO SISTEMA DE GESTÃO DO PRONTUÁRIO MÉDICO DO PACIENTE ........................................................................ 54
TABELA 4 - QUADRO DE VULNERABILIDADES DO CICLO DE VIDA SOBRE O PRONTUÁRIO MÉDICO DO PACIENTE ..................................... 63
TABELA 5 - OBJETIVO DE CONTROLE E CONTROLES DA POLÍTICA DE SEGURANÇA, APLICÁVEIS DA NORMA ABNT NBR ISO/IEC
27001:2006. ....................................................................................................................................................... 64
TABELA 6 - OBJETIVOS DE CONTROLE E CONTROLES DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO, APLICÁVEIS DA NORMA ABNT
NBR ISO/IEC 27001:2006. .................................................................................................................................. 68
TABELA 7 - OBJETIVOS DE CONTROLE E CONTROLES DA GESTÃO DE ATIVOS, APLICÁVEIS DA NORMA ABNT NBR ISO/IEC 27001:2006 70
TABELA 8 - OBJETIVOS DE CONTROLE E CONTROLES DA SEGURANÇA FÍSICA E DO AMBIENTE, APLICÁVEIS DA NORMA ABNT NBR ISO/IEC
27001:2006. ....................................................................................................................................................... 71
TABELA 9 – OBJETIVOS DE CONTROLE E CONTROLE DO CONTROLE DE ACESSOS, APLICÁVEIS DA NORMA ABNT NBR ISO/IEC
27001:2006. ....................................................................................................................................................... 72
TABELA 10 – OBJETIVOS DE CONTROLE E CONTROLES DA GESTÃO DE INCIDENTES DA SEGURANÇA DA INFORMAÇÃO, APLICÁVEIS DA NORMA
ABNT NBR ISO/IEC 27001:2006. ......................................................................................................................... 73
TABELA 11 - OBJETIVOS DE CONTROLE E CONTROLES DA GESTÃO DE CONTINUIDADE DO NEGÓCIO, APLICÁVEIS DA NORMA ABNT NBR
ISO/IEC 27001:2006. .......................................................................................................................................... 74
TABELA 12 – OBJETIVOS DE CONTROLES E CONTROLES DA GESTÃO DE COMFORMIDADE APLICÁVEIS DA NORMA ABNT NBR ISO/IEC
27001:2006 ........................................................................................................................................................ 75
JOSÉ DIOGENES RODRIGUES ACCIOLY
xiv
JOSÉ DIOGENES RODRIGUES ACCIOLY
xv
Principais Abreviações
TI Tecnologia da Informação
CFM Conselho Federal de Medicina
SAME Serviço de Arquivo Médico e Estatística
SWOT Strenghts (Forças), Weakness (Fraquezas), Opportunities (Oportunidades) e
Threats (Ameaças)
CRM Conselho Federal de Medicia
RH Recursos Humanos
16
JOSÉ DIOGENES RODRIGUES ACCIOLY
Capítulo
1
1. Introdução
Este capítulo relata as principais motivações para realização deste trabalho,
sua justificativa, questão de pesquisa, lista os objetivos de pesquisa almejados e,
finalmente, mostra como está estruturado o restante da presente dissertação.
Nesta era digital a informação passou a ser algo de suma importância para as
organizações dentro de um mercado competitivo. Porém, manter a informação não é
uma tarefa fácil, pois as empresas estão sempre sendo alvo de ataques por invasores
que desejam furtar as informações da organização para tirar proveito financeiro da
empresa invadida, derrubar uma companhia concorrente, realizar ataque terrorista
contra determinada organização ou pelo simples prazer de realizar uma intervenção
ousada contra uma companhia e ter o seu nickname no hall da fama.
17
JOSÉ DIOGENES RODRIGUES ACCIOLY
A informação nesta era digital assume diferentes aspectos de segurança da
informação na área da saúde. A maior importância dentro da saúde está no manuseio
de informações médicas, tanto em meios eletrônicos quanto físicos, visto a crescente
quantidade de informações que são armazenadas sobre saúde do paciente nos
diversos provedores de serviços de saúde (hospitais, clínicas, etc.)
A informação em saúde é um ativo essencial para procedimentos médicos em
geral e precisa ser adequadamente protegido. A segurança da informação tem como
objetivo proteger as informações de diversos tipos de ameaças, a fim de minimizar os
danos ocasionados por vazamento ou furto de informação por invasores.
A informação pode existir de muitas formas. Ela pode ser escrita em papel ou
impressa, armazenada através de meios eletrônicos, mostrado por imagens, etc. Seja
qual for o meio de armazenamento ou a forma apresentada, é recomendado que ela
esteja sempre protegida adequadamente.
Nos hospitais uma das informações essenciais para bom funcionamento é o
prontuário do paciente, que é um conjunto documental que contém toda a vida clínica
ou hospitalar de um indivíduo. As informações são guardadas pelas clínicas, postos de
saúde ou hospitais e tem caráter sigiloso, portanto só médicos e pacientes podem ter
acesso a essas informações. A guarda permanente deste documento, assim como a
qualidade das suas informações tem por objetivo garantir ao paciente ou aos seus
familiares, a qualquer tempo prova e testemunho em processo judicial para o paciente
e para o médico.
Nesse cenário a segurança da informação pode ser usada para proteger essas
informações que, segundo a norma ABNT NBR ISO/IEC 27002 (2005), é definida como
a proteção contra um grande número de ameaças às informações, de forma a
assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o
retorno de possibilidades e investimentos. Ainda segundo a ABNT NBR ISO/IEC 27002
18
JOSÉ DIOGENES RODRIGUES ACCIOLY
(2005) a segurança da informação é caracterizada pela preservação dos três atributos
básicos da informação: confidencialidade, integridade e disponibilidade.
Confidencialidade: Tem o objetivo garantir a privacidade do usuário
prevenindo o roubo de informações pessoais ou empresariais.
Integridade: Tem como objetivo garantir que as transações e recursos
de dados não serão interceptados em qualquer ponto do percurso dos
dados, de forma acidental ou maliciosa.
Disponibilidade: Visa garantir que o serviço esteja online de forma
ininterrupta para os clientes autorizados. A interrupção dos serviços
pode ocorrer de forma acidental ou maliciosa, como um ataque DoS,
extravio de um prontuário médico, por exemplo.
1.1 JUSTIFICATIVA
A motivação deste trabalho se dá pela necessidade de analisar a segurança da
informação sobre o ativo essencial do hospital público, que é o prontuário médico do
paciente. A apresentação de uma análise da segurança da informação na instituição
abordando os três pilares da informação alinhados com o dispositivo legal definido pelo
Conselho Federal de Medicina, que são as resoluções n. 1638/2002, 1605/2000 e a
conformidade com a norma ABNT NBR ISO/IEC 27001 (2006).
1.2 DEFINIÇÃO DO PROBLEMA
Este trabalho, desenvolvido na MBA de gestão de tecnologia da informação, tem
como objetivo identificar as possíveis vulnerabilidades no ciclo de vida do prontuário
médico do paciente, que não esta em conformidade com as Resoluções do CFM n.
1638/2002, 1605/2000 e a norma ABNT NBR ISO/IEC 27001 (2006).
19
JOSÉ DIOGENES RODRIGUES ACCIOLY
1.3 OBJETIVOS
1.3.1 OBJETIVOS GERAIS
Esse trabalho tem como objetivo principal diagnosticar a segurança da
informação tendo como objeto de estudo o prontuário médico do paciente no âmbito de
um Hospital Público. O diagnóstico utilizará os três pilares da segurança da informação:
confidencialidade, integridade e disponibilidade.
1.3.2 OBJETIVOS ESPECÍFICOS
Os seguintes pontos abaixo são entendidos como objetivos específicos:
Expor o ciclo de vida do prontuário médico do paciente.
Avaliar a confidencialidade, integridade e disponibilidade do prontuário
médico e de acordo com a legislação do Conselho Federal de Medicina n.
1638/2002, 1605/2000 e a conformidade com a norma ABNT NBR ISO/IEC
270001:2006.
1.4 ESTRUTURA DO TRABALHO
O restante deste trabalho está organizado da seguinte forma:
No segundo capítulo, são apresentados os conceitos de informação,
prontuário médico do paciente, gestão de tecnologia da informação,
segurança da informação, os três pilares da informação e a legislação
definida pelo Conselho Federal de Medicina que trata sobre o prontuário
médico, ISO/ IEC 27001 (2006) e o ambiente empresarial em que foi
realizado o estudo.
No terceiro capítulo é apresentada a metodologia usada na pesquisa.
20
JOSÉ DIOGENES RODRIGUES ACCIOLY
No quarto capítulo, são apresentados os resultados referentes à segurança
da informação no ciclo de vida do prontuário médico, sobre os três pilares da
informação alinhados com a regulamentação do Conselho Federal de
Medicina n. 1638/2002, 1605/2000 e a norma ABNT NBR ISO/IEC
270001:2006.
O quinto capítulo discute os resultados encontrados e apresenta a conclusão
dos objetivos previamente definidos bem como a apresentação de propostas
de trabalhos futuros.
21
JOSÉ DIOGENES RODRIGUES ACCIOLY
Capítulo
2
2. Referencial Teórico
Neste capítulo serão abordados conceitos-chave para uma melhor
compreensão por parte do leitor.
2.1 Informação e prontuário médico
Segundo Dias (2000), na sociedade da informação, a informação é o principal
patrimônio da empresa e está sob constante risco. A informação é a inteligência
competitiva das organizações e é de suma importância que a empresa seja capaz de
manter essa informação segura.
22
JOSÉ DIOGENES RODRIGUES ACCIOLY
A informação é considerada um ativo, que tem caráter estratégico e
competitivo, assim como qualquer outro ativo que agrega valor para o negócio,
necessita ser adequadamente protegido (ABNT NBR ISO/IEC 27002, 2005).
No conceito do dicionário Contemporâneo da Língua Portuguesa, informação
é um termo que tem origem no latim, denominado informatio onis, (“conceber ideia,
delinear”), ou seja, dar forma ou moldar a mente, instrução ou treinamento. É um
conjunto de fatos ou outros dados fornecidos a uma máquina, a fim de se obter um
processamento.
Existem inúmeras definições acerca do conceito de informação. Uma delas, é
que as informações são o resultado de dados devidamente tratados, comparados,
clasificados, relacionáveis entre outros dados que auxilia na tomada de decisões
(AZEVEDO, 2006).
Dentro da organização, a informação permeia todos os setores da
companhia, segundo SÊMOLA (2003), a informação é muito valiosa para o negócio de
empresa e funciona basicamente como um sangue que alimenta a organização, assim
como, o ser humano apresenta um ciclo de vida, a informação também apresenta um,
no entanto este ciclo de vida é influenciado por três propriedades principais:
confidencialidade, integridade e disponibilidade, além de aspectos de autenticidade e
legalidade que são essenciais para preservar e proteger a informação.
Na figura 1 abaixo são apresentados quatro momentos chaves do ciclo de
vida da informação.
23
JOSÉ DIOGENES RODRIGUES ACCIOLY
No ciclo de vida da informação, as quatro grandes etapas são:
Manuseio: Momento em que a informação é concebida e manipulada, mesmo
que a informação encontre-se em papel ou em meio digital.
Armazenamento: Etapa em que a informação é armazenada, momento em
que ela pode estar contida em um banco de dados compartilhado, em papéis
ou armazenado em arquivo de ferro, em mídias digitais etc..
Transporte: Momento em que a informação é transportada, etapa na qual
uma informação pode ser enviada por e-mail, via fax, trafegar com
informação de um setor para outro ou de uma empresa para outra etc.
Descarte: Etapa em que a informação é descartada, como ao depositar em
lixeira da empresa um material impresso, arquivo digital, CDROM, DVD, etc.
Figura 1 - Ciclo de Vida da Informação [adaptada de
SÊMOLA (2003)]
24
JOSÉ DIOGENES RODRIGUES ACCIOLY
Em uma organização nem toda informação é essencial ou crucial que
necessite de cuidados essenciais. Por outro lado, manter a integridade de uma
informação vital pode exigir um grande custo, ainda assim será menor que o custo de
não dispor a informação adequada. A informação pode ser classificada como:
(BORAN, 1996; WADLOW, 2000).
Pública: São informações que podem vir a público sem maiores riscos para o
funcionamento da organização, ou seja, os dados não são confidenciais. Sua
integridade é importante, mesmo que não seja vital.
Interna: São informações às quais o livre acesso deve ser evitado e o uso por
pessoas não autorizadas não acarreta consequências críticas. Sua
integridade é importante, mesmo que não seja vital.
Confidencial: São informações restritas aos limites da empresa, a divulgação
ou perda pode influenciar a eficácia da organização, e eventualmente, a
perdas de confiabilidade referente à imagem da organização, ao cliente ou
perdas financeiras.
Secreta: São informações críticas para o funcionamento da companhia na
qual a integridade deve ser preservada a qualquer custo e o acesso deve ser
restrito a uma quantidade pequena de pessoas. A segurança desse tipo de
informação é vital para a organização.
É fato que algumas informações são imprescindíveis para a empresa e o
vazamento dessas informações na sua parcialidade ou totalidade pode trazer
repercussões incalculáveis para a administração da organização. Logo, a divulgação
de informações secretas ou confidencias por funcionários das empresas é uma
realidade.
Um hospital público não é diferente das demais organizações, ele está repleto
de informações e entre essas informações existe um ativo que é essencial para
organização e é protegido por regulamentação, denominado prontuário médico do
25
JOSÉ DIOGENES RODRIGUES ACCIOLY
paciente. O prontuário médico é um conjunto documental que contém todas as
informações sobre a vida hospitalar e clínica de um indivíduo. As informações devem
ser guardadas pelos hospitais, clínicas ou postos de saúde de modo a assegurar ao
paciente, a qualquer tempo prova e testemunho. O prontuário possui caráter sigiloso,
apenas o paciente e o médico devem ter acesso a essas informações. O uso
inadequado ou preenchimento do prontuário com irregularidades pode acarretar graves
problemas para o paciente e para o médico. A ilegibilidade de uma prescrição pode
induzir a troca de um medicamento por outro e assim comprometer a vida do paciente
levando o médico a longas ações judiciais.
O Conselho Federal de Medicina (CFM), pela Resolução n. 1638/2002, define
prontuário como:
“Documento único, constituído de um conjunto de informações, sinais e
imagens registrados, gerados a partir de fatos, acontecimentos e situações
sobre a saúde do paciente e a assistência a ele prestada, de caráter legal,
sigiloso e científico, que possibilita a comunicação entre membros da equipe
multiprofissional e a continuidade da assistência prestada ao indivíduo”.
O prontuário serve como um instrumento de consulta, ensino, pesquisa,
auditoria, avaliações, estatística médico-hospitalar, prova de que o paciente está sendo
tratado, investigação epidemiológica, processos éticos e legais, comunicação entre os
profissionais de assistência ao paciente, defesa ou acusação. Para o médico o
prontuário serve de defesa legal como prova em ações judiciais, facilita o diagnóstico,
permite comparações de diagnósticos, permite que outro médico possa assumir o caso
clínico e permite ao médico-legista a emissão de pareceres com mais segurança. Para
o paciente possibilita um tratamento mais rápido e eficiente, simplifica ou dispensa
interrogatórios clínicos e serve como uma garantia em ações judiciais sobre erros
médicos. Para as instituições, constitui defesa legal referente ao tipo de atendimento
26
JOSÉ DIOGENES RODRIGUES ACCIOLY
oferecido e é ferramenta essencial para sindicâncias administrativas, judiciais, e
processo no conselho federal da classe. No ensino e pesquisa, o prontuário permite
uma análise para os estudiosos sobre casos especiais e atípicos, para casos de estudo
para os acadêmicos ele oferece dados que permitem observar vários indicadores sobre
óbitos, doenças, epidemias, etc. Para a equipe assistencial, permite mais interações
entre os profissionais.
As anotações realizadas no prontuário ou ficha clínica devem ser feitas de forma
legível, permitindo, inclusive, identificar os profissionais de saúde envolvidos no
cuidado ao paciente. Além disso, o médico está obrigado a assinar e carimbar ou
assinar, escrever seu nome legível e sua respectiva inscrição no CRM.
No prontuário do paciente são inúmeras as fichas e documentos, entre eles
estão: atendimento ambulatorial, atendimento de urgência, evolução médica, evolução
de enfermagem e de outros profissionais assistentes, partograma (em obstetrícia),
prescrição médica, prescrição de enfermagem e de outros profissionais assistentes,
exames complementares (laboratoriais, radiológicos, ultra-sonográficos e outros) e
seus respectivos resultados, descrição cirúrgica, anestesia, débito do centro cirúrgico
ou obstétrico (gasto de sala), resumo de alta, boletins médicos, documentos gerados
no pronto-socorro e no ambulatório deverão ser arquivados junto com o prontuário, em
caso de internação hospitalar. Alguns itens são obrigatórios como: identificação da
paciente, anamnese, exame físico, hipóteses diagnósticas, diagnóstico(s) definitivo(s),
tratamento(s) efetuado(s) CREMESP (CONSELHO REGIONAL DE MEDICINA DO
ESTADO DE SÃO PAULO, 2012).
2.2 Governança de TI e a Gestão de TI
A complexidade trazida pelas demandas que são requisitadas às instituições
requer um aumento proporcional dos investimentos em todas as áreas de apoio ao
negócio. Dentre elas a que vem mostrando ser fator crítico de sucesso de uma
27
JOSÉ DIOGENES RODRIGUES ACCIOLY
organização é a tecnologia da informação. Ter um ambiente de negócios integrado
pode ser um diferencial estratégico de sucesso de qualquer empresa. Para isso, o
mercado tem se esforçado bastante criando padrões, normas, legislações e processos
para alcançar esse alinhamento. Para alcançar o alinhamento de TI aos objetivos
estratégicos da organização é necessária a implantação da governança de TI.
Segundo a ABNT NBR ISO/IEC 38.500:2009 a governança de TI:
"É o sistema pelo qual o uso atual e futuro da TI são dirigidos e
controlados. Significa avaliar e direcionar o uso da TI para dar suporte à
organização e monitorar o uso para realizar planos. Inclui a estratégia e as
políticas de uso da TI dentro da organização".
Já o IT Governance Institute afirma que "A governança de TI é de
responsabilidade da alta administração, na liderança, nas estruturas organizacionais e
nos processos que garantem que a TI da empresa sustente e estenda as estratégias e
objetivos da organização". Dentre suas responsabilidades está o suporte no
alinhamento estratégico da TI ao negócio, implantar mecanismos que garantam a
continuidade, disponibilidade e contingência dos serviços de apoio ao negócio e auxiliar
na implementação e gestão das áreas de controle interno, compliance, gestão de riscos
e marcos de regulamentação externa.
O processo de alinhamento estratégico passa pela definição de regras de nível
empresarial que devem ser desdobradas subsidiando a tomada de decisão formando
um baseline onde são definidas arquiteturas, infraestruturas, padrões e etc. Deve-se
observar, também, tanto a demanda, que fornecerá novas perspectivas de espaços de
mercado, quanto à necessidade por aplicações que venham a suportar a estratégia do
negócio e a sua continuidade.
É preciso definir objetivos de desempenho e níveis de serviço. O primeiro foca
definir, executar e manter o desempenho requerido pelas metas e alcançar os objetivos
traçados. O segundo busca definir um acordo firmado entre a área de TI e seu cliente
28
JOSÉ DIOGENES RODRIGUES ACCIOLY
interno. Nele são definidos metas, papeis e responsabilidades das partes envolvidas.
Nele são definidos metas, papeis e responsabilidades das partes envolvidas.
Visando estruturar todo esse processo e vincular seus players às atividades da
secretaria do comércio do governo inglês, a partir de pesquisas realizadas por
consultores, especialistas e doutores decidiu criar a ITIL. O ITIL (Information
Technology Infrastructure Library) é o modelo de referência para gerenciamento de
processos de TI mais aceito mundialmente. É uma metodologia para desenvolver as
melhores práticas para a gestão da área de TI nas empresas privadas e públicas.
Partindo da ótica da segurança da informação, o ITIL pode auxiliar no
gerenciamento e atendimento dos requisitos de segurança para o serviço de TI, ditados
pelos clientes. Isso é alcançado através do alinhamento entre as necessidades
dos negócios (necessidades dos clientes) e com o que a área de TI oferece de
serviços. Com o apoio dos processos de Gerenciamento de Mudanças, Gerenciamento
de Incidentes e outros fica possível organizar melhor as intervenções e manter a
segurança da informação efetiva e eficaz e também o planejamento de uma política de
segurança da informação, bem como a implantação baseada em indicadores e metas
ajuda a evitar implantações divergentes em serviços distintos. Em última análise, isso
aumenta a eficiência, diminui as contradições, economiza tempo e dinheiro.
A definição da capacidade de TI, planos de segurança da informação,
estratégias de sourcing e implantação e gestão de processos são requisitos chave para
um alinhamento estratégico de TI de sucesso.
A principal saída desse processo é o plano de tecnologia da informação.
(ARAGON, A. 2012)
29
JOSÉ DIOGENES RODRIGUES ACCIOLY
2.3 Segurança da Informação
A segurança da informação é uma área que esta em constante crescimento no
mercado mundial, segundo Blog SegInfo (2011) um estudo realizado pela empresa
ESG Research identificou a carência de profissionais nesta área. O estudo mostra que
as organizações estão investindo cada vez mais em segurança. Em 2009 apenas 36%
foi investido, já em 2010 o investimento teve um aumento de mais 9% atingindo 45% e
em 2011 empresas de médio porte e grandes empresa estão investindo cerca de 58%
mais em segurança da informação.
Segundo a pesquisa realizada pela empresa Verizon em 2010, que trata do
vazamento de dados das corporações, a figura 2 a seguir mostra quem esta por trás
dos vazamentos de dados.
Figura 2 - Vazamento de dados nas cooporações (Verizon, 2010)
70
48
11
27
0
10
20
30
40
50
60
70
80
Resultaram de agentesexternos
Causado porempregados
Afetaram parceiroscomerciais
Envolveram multiplasempresas
Quem esta por trás dos vazamentos de dados na organização?
30
JOSÉ DIOGENES RODRIGUES ACCIOLY
No decorrer da pesquisa a empresa Verizon se preocupou em responder
também a seguinte pergunta “Como é que os vazamentos de informações ocorrem na
organização?”, na figura 3 abaixo é apresentado o resultado a esta pergunta.
Figura 3 - Como os vazamentos ocorrem (Verizon, 2010)
A pesquisa demonstra que as organizações estão sujeitas a vazamento de
informações. Dessa forma, segundo a ABNT NBR ISO/IEC 27002 (2005), a segurança
da informação é a proteção da informação contra diferentes tipos de ameaças, de
modo a garantir a continuidade do negócio, minimizar o risco para o negócio,
maximizar o retorno sobre o investimento e as oportunidades de negócio.
Esta norma define a segurança da informação como “Preservação da
confidencialidade, da integridade e da disponibilidade da informação; adicionalmente,
outras propriedades, tais como autenticidade, responsabilidade, não repúdio e
confiabilidade, podem também estar envolvidas.”.
48
40 38
28
15
0
10
20
30
40
50
60
Envolvem abuso deprivlégios
Foram resultadode crackers
Utilizarammalware
Envolveramengenharia social
Foram o resultadode ataques físicos
Como os vazamentos ocorrem?
31
JOSÉ DIOGENES RODRIGUES ACCIOLY
Para SANS (2012), a segurança da informação refere-se à metodologia e
processo que foram concebidos e implementados para proteger qualquer tipo de
informação. A área de concentração de segurança da informação está preocupada com
a confidencialidade, a integridade e a disponibilidade dos dados, independentemente
da forma que os dados podem tomar: impressa, eletrônica ou outras formas.
Na perspectiva de Bruce Schneier apud Simons Mitnick (2003, p.4)
“A segurança não é um produto, ela é um processo”.
Uma empresa pode gastar fortuna em tecnologia através de software e
equipamentos, porém mesmo assim pode estar vulnerável, pois existe o fator humano
que é o fator mais frágil da segurança. Para evitar essa fragilidade é necessário treinar
as pessoas em técnicas para evitar que o elemento humano repasse informações da
empresa para intrusos que fingem ser o que não são, esses intrusos podem ser
definidos como engenheiro social, que é alguém que usa a fraude, a persuasão e a
influência contra as empresas visando obter informações.
A ideia de segurança para muitas pessoas às vezes é uma mera utopia criada
por alguns profissionais da área de tecnologia da informação, que conservam ideias
erradas de que conseguiram manter a empresa imune ao ataque porque utilizam
produtos que são padrão para a segurança como firewall, sistemas de detecção de
intrusão, dispositivos avançados de autenticação através de biometrias inteligentes.
Aqueles que acreditam que produtos de segurança sozinhos oferecem a verdadeira
segurança estado fadados ao fracasso da ilusão da segurança.
Deve-se lembrar de que a segurança não é um problema apenas para
tecnologia, mas um problema para pessoas e para a direção. Lembre-se que enquanto
inúmeros especialistas procuram aprimorar novas tecnologias, os atacantes visam o
“firewall humano” que é quase sempre fácil. Segundo o cientista Albert Einstein (1990
32
JOSÉ DIOGENES RODRIGUES ACCIOLY
apud MITNICK, 2003, p.3), “Apenas duas coisas são infinitas: o universo e a estupidez
humana, e eu não tenho certeza sobre a primeira”.
Na segurança da informação alguns conceitos são fundamentais para uma maior
compreensão dentro da área, esses conceitos são: ameaça, vulnerabilidade e risco.
Além dos três pilares básicos da informação que são a confidencialidade, integridade e
disponibilidade.
2.4 AMEAÇAS
Uma das definições apresentadas para ameaça é “evento ou atitude indesejável
(roubo, incêndio, vírus, etc.) que potencialmente remove, desabilita, danifica ou destrói
um recurso” (DIAS, 2000, p. 55). Para SÊMOLA (2003), a ameaça trata-se de
condições ou agentes que causam danos à informação e seus ativos através da
exploração de vulnerabilidade gerando impactos negativos ao negócio da instituição
ocasionado pela quebra da confidencialidade, integridade e disponibilidade.
As ameaças podem ser dividas quanto a sua intencionalidade que são:
● Naturais: São ameaças decorrentes de fenômenos da natureza como
tempestade, terremotos, enchentes, poluição, etc.
● Involuntárias: São ameaças causadas quase sempre pelo desconhecimento,
tem sua origem em erros, ausência de energia, acidentes, etc.
● Voluntárias: Trata-se de ameaças ocasionados por agentes humanos que
tem o interesse de provocar danos à organização. Esses agentes são
hackers, invasores, ladrões, criadores e disseminadores de vírus de
computador e incendiários.
Um estudo realizado em 2002 por WHITMAN (2003) procurou entender as ameaças
que enfrentam as organizações, através de três questões primordiais:
1 Quais são as ameaças à segurança da informação?
33
JOSÉ DIOGENES RODRIGUES ACCIOLY
2 Quais são as mais sérias para a organização?
3 Qual a frequência com que os eventos baseados nelas são observados?
Em resposta à primeira pergunta, a pesquisa revelou doze categorias de ameaças
obtidas através de trabalhos anteriores e da entrevista com três security officers
(responsável pela segurança da informação). A lista das categorias das ameaças está
organizada em ordem decrescente de severidade das ameaças à segurança da
informação, respondendo também a segunda questão da pesquisa. As categorias de
ameaças são:
1 Ações deliberadas através do uso de software (vírus, vermes, macros,
negação de serviço);
2 Erros e falhas técnicas de software (falhas na codificação, bugs, brechas que
levam o software ao loop);
3 Falhas ou Erros humanos (acidentes, erros por parte do empregado);
4 Atos deliberados de espionagem ou invasão (acesso não autorizado, coleta
de informação);
5 Atos de sabotagem ou vandalismo (destruição de sistemas ou informação);
6 Erros ou falhas técnicas de hardware (falhas de equipamentos);
7 Atos deliberados de furto (de equipamentos ou de informação);
8 Força da natureza (terremotos, enchentes, incêndios não intencionais,
relâmpagos);
9 Comprometimento à propriedade intelectual (pirataria, infração a direitos
autorais);
10 Variação da qualidade de serviço (Qos) por provedores (como energia
elétrica e serviços de redes remotas de telecomunicação);
11 Técnicas obsoletas (tecnologia antiga ou obsoleta);
12 Atos deliberados de extorsão de informação (chantagem ou revelação
indevida de informação).
34
JOSÉ DIOGENES RODRIGUES ACCIOLY
Em relação à frequência, WHITMAN (2003) apresenta os resultados listados na
tabela 1 a seguir.
Número de eventos por
mês
>100 51-100 10-50 <10 Nenhum Sem
Resposta
1.Eventos por Software 11,5% 9,4% 14,6% 47,9% 16,7% -
2.Erros ou falhas
técnicas de software
- 5,2% 18,8% 45,8% 30,2% -
3.Falhas ou erros
humanos
5,2% 2,1% 14,6% 41,7% 24,0% 15,5%
4.Espionagem ou
invasão
4,2% 3,1% 3,1% 20,8% 68,8% -
5.Sabotagem ou
vandalismo
1,0% - 3,1% 31,3% 64,6% -
6.Erros ou falhas
técnicas de hardware
- 3,1% 11,5% 51,0% 34,4% -
7.Furto - - 7,3% 38,5% 54,2% -
35
JOSÉ DIOGENES RODRIGUES ACCIOLY
8.Forças da natureza 1,0% - 2,1% 34,4% 62,5% -
9.Comprometimento à
propriedade intelectual
1,0% 2,1% 3,1% 25,0% 61,5% -
10. Variação do QoS - 1,0% 8,3% 43,8% 46,9% -
11.Técnicas obsoletas - 1,0% 15,6% 21,9% 60,4% 1,0%
12.Extorsão de
informação
- - 1,0% 8,3% 90,6% -
Tabela 1 - Número mensal de eventos por ameaça, em percentual de respondentes
(adaptada de WHITMAN, 2003)
2.5 VULNERABILIDADES
A vulnerabilidade pode ser definida como a incapacidade de resistir a uma
situação de perigo ou a de responder quando o desastre ocorre. Imagine o seguinte
cenário para compreender melhor o que é uma vulnerabilidade: pode-se dizer que os
moradores que vivem em planícies estão mais vulneráveis a enchentes do que
pessoas que moram no planalto. Segundo SÊMOLA (2003), vulnerabilidade é uma
fraqueza que quando explorada por uma ameaça produz um incidente de segurança da
informação, comprometendo os princípios da segurança da informação. A
vulnerabilidade por si só não provoca nenhum dano a segurança da informação, é
necessária a existência de uma ameaça. As vulnerabilidades podem ser classificadas
da seguinte forma:
36
JOSÉ DIOGENES RODRIGUES ACCIOLY
Físicas: Falta de alarmes de combate a incêndio, extintores de incêndio ou
recursos de combate ao fogo para o local no qual são armazenados
equipamentos estratégicos para a organização, detectores de fumaça,
instalações prediais fora do padrão, risco de explosão, incêndio ou
vazamento;
Naturais: Os computadores e servidores estão suscetíveis a desastres
naturais, como incêndio, enchente, terremotos, ausência de energia, etc.;
Hardware: Falhas em equipamentos por conta de desgaste, má utilização ou
erros durante a instalação;
Software: Erros na instalação ou configuração podem ocasionar vazamento
de informação, acesso não autorizado, perda de dados ou indisponibilidade
de recursos quando necessário;
Mídias: Fitas, discos, relatórios gerenciais impressos podem ser perdidos ou
danificados. A radiação eletromagnética pode comprometer diferentes tipos
de mídias magnéticas.
Humanas: Ausência de treinamentos, rotinas de segurança, erros ou
omissões; vandalismo, roubo, destruição de propriedade ou dados, invasões
ou guerras;
Comunicação: Acesso não autorizado ou perda de comunicação.
A relação entre ameaça e vulnerabilidade é bem próxima, imagine o seguinte
cenário: em um edifício existe uma pessoa doente que depende de um equipamento
que está ligado na energia elétrica e o edifício não possui gerador de energia. Logo, se
faltar energia o impacto pode ser fatal. Diante deste cenário, a vulnerabilidade é o fato
do edifício não possuir gerador de energia e a ameaça é a possibilidade de faltar
energia.
37
JOSÉ DIOGENES RODRIGUES ACCIOLY
2.6 RISCO
Segundo o moderno dicionário da língua portuguesa Michaelis uma das
definições da palavra risco é a possibilidade de perigo, incerto, mas previsível, que
ameaça de dano à pessoa ou a coisa.
Para PMBOK (2008) o risco pode ser definido como um evento ou condição de
incerteza que, se ocorrer, terá um efeito positivo ou negativo sobre pelo menos um
objetivo do projeto. Na visão de SÊMOLA (2003), risco é a probabilidade de ameaças
explorarem vulnerabilidades, de modo a provocar perdas na confidencialidade,
integridade e disponibilidade, provocando possivelmente, impactos nos negócios.
Assim sendo, pode-se definir que existe risco quando uma ameaça, com potencial para
causar algum dano, possui uma vulnerabilidade correspondente com alto nível de
probabilidade de ocorrência no ambiente computacional e um baixo nível de proteção.
Na prática os riscos surgem em decorrência da presença de fraquezas e
vulnerabilidades. Isto ocorre pelo fato de que todos os ativos da empresa estão sujeitos
a vulnerabilidades em maior ou menor escala e, neste caso, estas vulnerabilidades
proporcionam riscos para a empresa e são causadas muitas vezes por falhas nos seus
controles.
2.7 REQUISITOS DA INFORMAÇÃO
A informação é poder nos dias atuais, mas desde o Egito antigo os faraós já
sabiam da importância da informação como elemento estratégico para colocar uma
sociedade em posição privilegiada, eles monitoravam as condições climáticas e
metereológicas a fim de prever quando haveria as cheias do rio Nilo de modo a
aproveitar ao máximo a fertilidade que as planícies traziam durante as cheias.
38
JOSÉ DIOGENES RODRIGUES ACCIOLY
Enquanto o restante da população não tinha conhecimentos da natureza, os faraós
conseguiam calcular quando a estação das chuvas viria.
Com tanta importância, a informação para ser utilizada deve seguir três
princípios básicos: confidencialidade, integridade e disponibilidade.
2.7.1 CONFIDENCIALIDADE
Segundo ABNT NBR ISO/IEC 27002 (2005) a confidencialidade significa que a
informação deve ser protegida contra acesso não autorizado de indivíduos. Consiste
em proibir cópias e distribuição não autorizada da informação. Sendo assim, toda e
qualquer informação deve ser tratada como confidencial e sua utilização deverá ser
feito por pessoas com prévia autorização.
Ainda segundo a ABNT NBR ISO/IEC 27002 (2005) a confidencialidade tem o
objetivo de garantir a privacidade do usuário prevenindo o roubo de informações
pessoais ou empresariais.
Na pespectiva de SÊMOLA (2003), toda informação deve ser protegida de
acordo com importância do seu conteúdo, sendo o seu acesso limitado e acessado
apenas pelas pessoas destinas a aquela informação.
2.7.2 INTEGRIDADE
Segundo SÊMOLA (2003), a informação deve ter o seu conteúdo íntegro na
condição em que foi disponibilizada pelo seu proprietário, objetivando protege-la de
alterações indevidas, acidentais ou intencionais.
De acordo com a ABNT NBR ISO/IEC 27002 (2005) a integridade consiste no
fato em que apenas pessoas responsáveis pela informação são autorizadas a modificar
39
JOSÉ DIOGENES RODRIGUES ACCIOLY
o seu conteúdo impedindo que a informação original sofra qualquer tipo de violação por
parte de alguém não autorizado.
2.7.3 DISPONIBILIDADE
Segundo a ABNT NBR ISO/IEC 27002 (2005) a disponibilidade garante que a
informação sempre esteja disponível para o acesso de pessoas autorizadas com plena
integridade.
De acordo com a ABNT NBR ISO/IEC 27001 (2006) uma melhor definição para
disponibilidade é que se trata da propriedade da informação estar acessível e utilizável
por uma entidade autorizada.
2.8 LEGISLAÇÃO
Segundo a legislação do prontuário médico, em qualquer meio de
armazenamento, é propriedade física da instituição onde o paciente é assistido, seja
uma unidade de saúde ou um consultório, a quem cabe o dever de guarda do
documento. Ao paciente pertencem os dados ali contidos, os quais só podem ser
divulgados com autorização do paciente ou dever legal. É direito do paciente a
disponibilidade permanente das informações, como é do médico e da instituição o
dever de guarda do prontuário. Este é o entendimento que esta contido na Resolução
CFM n. 1.605/2000:
RESOLVE:
“Art. 1º - O médico não pode, sem o consentimento do paciente,
revelar o conteúdo do prontuário ou ficha médica.
40
JOSÉ DIOGENES RODRIGUES ACCIOLY
Art. 2º - Nos casos do art. 269 do Código Penal, onde a
comunicação de doença é compulsória, o dever do médico restringe-se
exclusivamente a comunicar tal fato à autoridade competente, sendo proibida a
remessa do prontuário médico do paciente.
Art. 3º - Na investigação da hipótese de cometimento de crime o
médico está impedido de revelar segredo que possa expor o paciente a
processo criminal.
Art. 4º - Se na instrução de processo criminal for requisitada, por
autoridade judiciária competente, a apresentação do conteúdo do prontuário ou
da ficha médica, o médico disponibilizará os documentos ao perito nomeado
pelo juiz, para que neles seja realizada perícia restrita aos fatos em
questionamento.
Art. 5º - Se houver autorização expressa do paciente, tanto na
solicitação como em documento diverso, o médico poderá encaminhar a ficha
ou prontuário médico diretamente à autoridade requisitante.
Art. 6º - O médico deverá fornecer cópia da ficha ou do prontuário
médico desde que solicitado pelo paciente ou requisitado pelos Conselhos
Federal ou Regional de Medicina.
Art. 7º - Para sua defesa judicial, o médico poderá apresentar a
ficha ou prontuário médico à autoridade competente, solicitando que a matéria
seja mantida em segredo de justiça.
Art. 8º - Nos casos não previstos nesta resolução e sempre que
houver conflito no tocante à remessa ou não dos documentos à autoridade
requisitante, o médico deverá consultar o Conselho de Medicina, onde mantém
sua inscrição, quanto ao procedimento a ser adotado.”
A legislação rege o prontuário médico do paciente, define formalmente o que
é prontuário médico do paciente e torna obrigatória a criação da Comissão de Revisão
de Prontuários nas instituições de saúde. A resolução do CFM n. 1638/2002:
41
JOSÉ DIOGENES RODRIGUES ACCIOLY
RESOLVE:
“Art. 1º - Definir prontuário médico como o documento único
constituído de um conjunto de informações, sinais e imagens registradas,
geradas a partir de fatos, acontecimentos e situações sobre a saúde do
paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico,
que possibilita a comunicação entre membros da equipe multiprofissional e a
continuidade da assistência prestada ao indivíduo.
Art. 2º - Determinar que a responsabilidade pelo prontuário médico
cabe:
I. Ao médico assistente e aos demais
profissionais que compartilham do atendimento;
II. À hierarquia médica da instituição, nas
suas respectivas áreas de atuação, que tem como dever zelar pela qualidade
da prática médica ali desenvolvida;
III. À hierarquia médica constituída pelas
chefias de equipe, chefias da Clínica, do setor até o diretor da Divisão Médica
e/ou diretor técnico.
Art. 3º - Tornar obrigatória a criação das Comissões de Revisão de
Prontuários nos estabelecimentos e/ou instituições de saúde onde se presta
assistência médica.
Art. 4º - A Comissão de que trata o artigo anterior será criada por
designação da Direção do estabelecimento, por eleição do Corpo Clínico ou
por qualquer outro método que a instituição julgar adequado, devendo ser
coordenada por um médico.
Art. 5º - Compete à Comissão de Revisão de Prontuários:
I. Observar os itens que deverão constar
obrigatoriamente do prontuário confeccionado em qualquer suporte, eletrônico
ou papel:
42
JOSÉ DIOGENES RODRIGUES ACCIOLY
a. Identificação do paciente – nome completo, data de nascimento
(dia, mês e ano com quatro dígitos), sexo, nome da mãe, naturalidade
(indicando o município e o estado de nascimento), endereço completo (nome
da via pública, número, complemento, bairro/distrito, município, estado e CEP);
b. Anamnese, exame físico, exames complementares solicitados e
seus respectivos resultados, hipóteses diagnósticas, diagnóstico definitivo e
tratamento efetuado;
c. Evolução diária do paciente, com data e hora, discriminação de
todos os procedimentos aos quais o mesmo foi submetido e identificação dos
profissionais que os realizaram, assinados eletronicamente quando elaborados
e/ou armazenados em meio eletrônico;
d. Nos prontuários em suporte de papel é obrigatória a legibilidade
da letra do profissional que atendeu o paciente, bem como a identificação dos
profissionais prestadores do atendimento. São também obrigatórias a
assinatura e o respectivo número do CRM;
e. Nos casos emergenciais, nos quais seja impossível a colheita
de história clínica do paciente, deverá constar relato médico completo de todos
os procedimentos realizados e que tenham possibilitado o diagnóstico e/ou a
remoção para outra unidade.
I. Assegurar a responsabilidade do
preenchimento, guarda e manuseio dos prontuários, que cabem ao médico
assistente, à chefia da equipe, à chefia da Clínica e à Direção técnica da
unidade.
Art. 6º - A Comissão de Revisão de Prontuários deverá manter
estreita relação com a Comissão de Ética Médica da unidade, com a qual
deverão ser discutidos os resultados das avaliações realizadas.”.
Devido a grande evolução dos sistemas de informação, o Conselho Federal
de Medicina define uma resolução que trata da digitalização dos prontuários e/ou
microfilmagem. Esses são os únicos meios que permitem a eliminação do suporte de
43
JOSÉ DIOGENES RODRIGUES ACCIOLY
papel, entretanto são poucos os hospitais que digitalizam os prontuários e que estão de
conformidade com as normas técnicas que regulamentam o uso de sistemas
informatizados para guarda e manuseio do prontuário médico. A resolução do CFM n.
1821/2007:
RESOLVE:
“Art. 1º Aprovar o Manual de Certificação para Sistemas de
Registro Eletrônico em Saúde, versão 3.0 e/ou outra versão aprovada pelo
Conselho Federal de Medicina, anexo e também disponível nos sites do
Conselho Federal de Medicina e Sociedade Brasileira de Informática em Saúde
(SBIS), respectivamente, www.portalmedico.org.br e www.sbis.org.br.
Art. 2º Autorizar a digitalização dos prontuários dos pacientes,
desde que o modo de armazenamento dos documentos digitalizados obedeça
a norma específica de digitalização contida nos parágrafos abaixo e, após
análise obrigatória da Comissão de Revisão de Prontuários, as normas da
Comissão Permanente de Avaliação de Documentos da unidade médico-
hospitalar geradora do arquivo.
§ 1º Os métodos de digitalização devem reproduzir todas as
informações dos documentos originais.
§ 2º Os arquivos digitais oriundos da digitalização dos documentos
do prontuário dos pacientes deverão ser controlados por sistema especializado
(Gerenciamento eletrônico de documentos - GED), que possua, minimamente,
as seguintes características:
a) Capacidade de utilizar base de dados adequada para o
armazenamento dos arquivos digitalizados;
b) Método de indexação que permita criar um arquivamento
organizado, possibilitando a pesquisa de maneira simples e eficiente;
44
JOSÉ DIOGENES RODRIGUES ACCIOLY
c) Obediência aos requisitos do "Nível de garantia de segurança 2
(NGS2)", estabelecidos no Manual de Certificação para Sistemas de Registro
Eletrônico em Saúde;
Art. 3º Autorizar o uso de sistemas informatizados para a guarda e
manuseio de prontuários de pacientes e para a troca de informação identificada
em saúde, eliminando a obrigatoriedade do registro em papel, desde que esses
sistemas atendam integralmente aos requisitos do "Nível de garantia de
segurança 2 (NGS2)", estabelecidos no Manual de Certificação para Sistemas
de Registro Eletrônico em Saúde;
Art. 4º Não autorizar a eliminação do papel quando da utilização
somente do "Nível de garantia de segurança 1 (NGS1)", por falta de amparo
legal.
Art. 5º Como o "Nível de garantia de segurança 2 (NGS2)", exige o
uso de assinatura digital, e conforme os artigos 2º e 3º desta resolução, está
autorizada a utilização de certificado digital padrão ICP-Brasil, até a
implantação do CRM Digital pelo CFM, quando então será dado um prazo de
360 (trezentos e sessenta) dias para que os sistemas informatizados
incorporem este novo certificado.
Art. 6º No caso de microfilmagem, os prontuários microfilmados
poderão ser eliminados de acordo com a legislação específica que regulamenta
essa área e após análise obrigatória da Comissão de Revisão de Prontuários
da unidade médico-hospitalar geradora do arquivo.
Art. 7º Estabelecer a guarda permanente, considerando a evolução
tecnológica, para os prontuários dos pacientes arquivados eletronicamente em
meio óptico, microfilmado ou digitalizado.
Art. 8º Estabelecer o prazo mínimo de 20 (vinte) anos, a partir do
último registro, para a preservação dos prontuários dos pacientes em suporte
de papel, que não foram arquivados eletronicamente em meio óptico,
microfilmado ou digitalizado.
45
JOSÉ DIOGENES RODRIGUES ACCIOLY
Art. 9º As atribuições da Comissão Permanente de Avaliação de
Documentos em todas as unidades que prestam assistência médica e são
detentoras de arquivos de prontuários de pacientes, tomando como base as
atribuições estabelecidas na legislação arquivística brasileira, podem ser
exercidas pela Comissão de Revisão de Prontuários.
Art. 10º Estabelecer que o Conselho Federal de Medicina (CFM) e
a Sociedade Brasileira de Informática em Saúde (SBIS), mediante convênio
específico, expedirão selo de qualidade dos sistemas informatizados que
estejam de acordo com o Manual de Certificação para Sistemas de Registro
Eletrônico em Saúde, aprovado nesta resolução.
Art. 11º Ficam revogadas as Resoluções CFM nos 1.331/89 e
1.639/02, e demais disposições em contrário.”.
2.9 ABNT NBR ISO/IEC 27001:2006
Ao falar em Sistemas de Gestão de Segurança da Informação, o padrão
reconhecido internacionalmente é o padrão ISO que é definido pelas normas ABNT
NBR ISO/IEC 27001 e 27002. Entretanto, neste contexto de estudo é abordada apenas
a norma 27001 (2006).
A norma ABNT NBR ISO/IEC 27001 (2006), especifica os requisitos
obrigatórios para uma Sistema de Gestão de Segurança da Informação para
estabelecer, implementar, operar, monitorar, revisar, manter, e melhorar um Sistema de
Gestão da Segurança da Informação. Essa norma especifica objetivos de controles e
controles de segurança personalizados para as necessidades de organizações ou suas
partes. A norma basicamente esta dividida em oito seções, que são:
1- Objetivo;
2- Referência normativa;
3- Termos e definições;
46
JOSÉ DIOGENES RODRIGUES ACCIOLY
4- Sistema de gestão de segurança da informação;
5- Responsabilidades da direção;
6- Auditorias Internas do Sistema de Gestão da Segurança da Informação;
7- Revisão que trata da análise crítica por parte da direção;
8- Melhoria Contínua sobre o Sistema de Gestão da Segurança da Informação.
É importante ressaltar que a norma possui um anexo que apresenta uma lista de
objetivos de controle e os controles mínimos que um Sistema de Gestão de Segurança
da Informação deve possuir. Lembrando que esses controles podem ser expandidos
através de controles adicionais estabelecidos pela organização.
É importante uma organização estar em conformidade com a norma ABNT NBR
ISO/IEC 27001 (2006), pois assim ela passa a ter um sistema de segurança baseado
em um padrão internacional; O processo a ser abordado é através de um PDCA; A
organização passa a ter uma política de segurança estabelecida para a segurança da
informação; Identificação dos ativos; Definição dos proprietários com suas
responsabilidades específicas sobre segurança da informação para um determinado
ativo; Realização de auditorias; Ações corretivas e preventivas; Melhoria contínua,
dentre outros.
A norma promove a adoção de uma abordagem por processo para estabelecer,
implementar, operar, monitorar, revisar, manter e melhorar o Sistema de Gestão da
Segurança da Informação, e adota o modelo PDCA para estruturar todos os processos
desse sistema. A figura 4 abaixo mostra o modelo PDCA aplicado:
47
JOSÉ DIOGENES RODRIGUES ACCIOLY
Figura 4 - Modelo PDCA aplicado aos processos do SGSI (ABNT NBR ISO/IEC
27001:2006)
A tabela abaixo resume as fases desses modelos:
Plan (planejar) (estabelecer o
SGSI)
Estabelecer a política, objetivos, processos e
procedimentos do SGSI, relevantes para a gestão
de riscos e a melhoria da segurança da informação
para produzir resultados de acordocom as políticas
e objetivos globais de uma organização.
Do (fazer) (implementar e
operar o SGSI)
Implementar e operar a política, controles,
processos e procedimentos do SGSI.
Check (checar) (monitorar e
analisar criticamente o SGSI)
Avaliar e, quando aplicável, medir o desempenho de
um processo frente à política, objetivos e
48
JOSÉ DIOGENES RODRIGUES ACCIOLY
experiência prática do SGSI e apresentar os
resultados para a análise crítica pela direção.
Act (agir) (manter e melhorar
o SGSI)
Executar as ações corretivas e preventivas, com
base nos resultados da auditoria interna do SGSI e
da análise crítica pela direção ou outra informação
pertinente, para alcançar a melhoria contínua do
SGSI.
Tabela 2 - Definição do PDCA da ABNT NBR ISO/IEC 27001:2006
No quadro acima é possível ver que para que seja configurado um SGSI em
conformidade com a norma ABNT NBR ISO/IEC 27001 (2006), é necessário adoção do
modelo PDCA proposto pela norma.
2.10 O AMBIENTE ORGANIZACIONAL
Esse estudo de caso foi realizado em uma empresa do ramo de saúde
pública em Recife/PE, Brasil. O nome da empresa será tratado como empresa X1. A
empresa X tem como objetivo oferecer atendimento médico e hospitalar à população
nas mais diversas áreas. A empresa X é considerada um hospital modelo entre as
unidades de saúde, ela reúne profissionais renomados e serve de campo de atuação
de Medicina, Enfermagem, Terapia Ocupacional, Fisioterapia, Psicologia, Odontologia
e Serviço Social.
1 X – A organização não autorizou a divulgação do nome da empresa
49
JOSÉ DIOGENES RODRIGUES ACCIOLY
O hospital público estudado possui um número relevante de ambulatórios nas
mais diversas áreas de saúde, em sua infraestrutura possui consultórios de
atendimento ambulatorial, leitos na Unidade de Tratamento Intensivo (adulto e
neonatal), salas de centro cirúrgico, salas no centro cirúrgico ambulatorial e três salas
no centro obstétrico. O número de atendimentos realizado atinge a média de 30.000 mil
atendimentos ambulatóriais por mês.
50
JOSÉ DIOGENES RODRIGUES ACCIOLY
Capítulo
3
3. Metodologia
Este capítulo descreve a teoria onde se baseia o estudo e os seus principais
conceitos relacionados com o presente trabalho.
Este trabalho tem por objetivo apresentar estudo exploratório, com vista a
avaliar a confidencialidade, integridade e disponibilidade do prontuário médico do
paciente de um hospital público em conformidade com as resoluções 1638/2002 e
1605/2000 do Conselho Federal de Medicina e com a norma ABNT NBR ISO/IEC
27001 (2006), que trata do sistema de gestão de segurança da informação.
O desenvolvimento da pesquisa seguiu as seguintes etapas:
51
JOSÉ DIOGENES RODRIGUES ACCIOLY
Etapa 1: Entrevistas
O trabalho foi enriquecido com entrevista concedida por três profissionais da
área de saúde, o primeiro entrevistado coordena o departamento do SAME -
Serviço de Arquivo Médico e Estatística do hospital. A segunda pessoa a ser
entrevistada foi um ex-funcionário do SAME que atualmente trabalha em outro
setor dentro da organização e tem um experiência no hospital de cerca de 25
anos. Por fim o terceiro entrevistado foi um médico com alguns anos de atuação
no hospital público estudado e que exerceu o cargo de chefe do departamento
de contas médica e atuou como médico plantonista, mas atualmente se encontra
a disposição em outro orgão. Todos contribuíram para esclarecer sobre a
organização, a guarda e o rastreamento dos prontuários entre os setores.
Etapa 2: Estruturação do ciclo de vida do prontuário médico dentro da
organização estudada.
Etapa 3: Diagnosticar a conformidade com as resoluções 1638/2002 e
1605/2000 do Conselho federal de Medicina e com a norma ISO 27001 (2006).
Após o cumprimento das etapas descritas passamos à consecução dos
seguintes objetivos específicos, a saber:
Analisar a fragilidade da segurança da informação sobre o prontuário médico.
Analisar o ciclo de vida do prontuário médico do paciente.
Avaliar a confidencialidade, integridade e disponibilidade do prontuário
médico de acordo com a legislação do Conselho Federal de Medicina e a
conformidade com a norma ISO 270001 (2006), através de um diagnóstico
preliminar.
52
JOSÉ DIOGENES RODRIGUES ACCIOLY
Capítulo
4
4. Análise dos Resultados
Neste capítulo foi feito um diagnóstico da situação atual do sistema de
gestão do prontuário médico do paciente com a finalidade de detectar problemas
existentes que possam impactar em questões como: confidencialidade, integridade e
disponibilidade, além de analisar quais a vulnerabilidades existentes no processo do
ativo estudo e a conformidade do ativo com a lei e norma ABNT ISSO/IEC 27001
(2006).
53
JOSÉ DIOGENES RODRIGUES ACCIOLY
4.1 Sistema de Gestão do prontuário médico do paciente
Na figura 4 acima mostra o funcionamento do ciclo de vida do prontuário
médico do paciente que será adiante.
Na tabela 3 a seguir é mostrado os itens que fazem parte de todo o processo
de funcionamento do prontuário médico do paciente.
Figura 5 - Sistema de gestão do prontuário médico do paciente
(Fonte: próprio autor)
54
JOSÉ DIOGENES RODRIGUES ACCIOLY
ITEM DEFINIÇÃO
Ativo: Prontuário médico do paciente
Stakeholders: - Funcionários do SAME e Cetral de marcação
- Médicos
- Enfermeiros
Sistema de gestão: Corresponde a todo o processo de funcionamento do
prontuário médico do paciente. É importante salientar que
não existe software para apoio ao sistema de gestão
proposto.
Meio: O meio físico utilizado pelo ativo é apenas através do papel,
não existe informação digitalizada ou software de apoio.
Regulamentação: Devido à informação apresentar-se apenas em meio físico a
resolução que rege o prontuário médico do paciente é o n.º
1638/20022 e 1605/20003 do CFM.
Tabela 3 - Itens do sistema de gestão do prontuário médico do paciente
2 http://www.portalmedico.org.br/resolucoes/cfm/2002/1638_2002.htm
3 http://www.portalmedico.org.br/resolucoes/cfm/2000/1605_2000.htm
55
JOSÉ DIOGENES RODRIGUES ACCIOLY
Descrevendo o fluxo representado na figura 5 acima, o processo funciona da
seguinte forma: Inicialmente a concepção do prontuário médico do paciente tem sua
origem no departamento denominado central de marcação, local no qual os pacientes
realizam o cadastro básico em que são preenchidas as seguintes informações: nome
completo, data de nascimento (dia, mês e ano com quatro dígitos), sexo, nome da mãe,
naturalidade (indicando o município e o estado de nascimento) e endereço completo
(nome da via pública, número, complemento, bairro/distrito, município, estado e CEP)
com base nos dados coletados do paciente. Posteriormente a central de marcação
emite a folha de rosto do prontuário médico do paciente contendo as informações de
cadastro básico e anexa na frente do prontuário físico dando origem realmente ao
ativo. Em seguida esse prontuário é encaminhando para o SAME (Serviço de Arquivo
Médico e Estatístico) que ficará responsável por sua guarda.
Quando ocorrer a consulta para um paciente, já previamente agendada pela
central de marcação, o SAME encaminha para os ambulatórios de acordo com a
especialidade médica que o paciente agendou, para que o médico possa preencher
com informações e consultar o prontuário médico do paciente caso esse já possua
histórico de consultas e exames. No final do dia um representante do SAME é
responsável por recolher o prontuário médico e guarda-ló novamente no SAME.
Porém, quando o paciente esta em processo de internação o SAME envia o prontuário
para a enfermaria que ficará responsável por seu acompanhamento, alimentará e
consultará o prontuário. Sendo assim, quando o paciente receber alta o prontuário
médico do paciente é enviado de volta para o SAME para ser arquivado. No SAME
existe ainda consultas a prontuário por parte de docentes, médicos, residentes e
comissão de revisão de prontuários.
O processo de descarte dentro da organização não ocorre porque todos os
prontuários são arquivados no SAME, para que sejam utilizados para estudo por parte
56
JOSÉ DIOGENES RODRIGUES ACCIOLY
de alguns residentes da área de medicina, nutrição e dietética, enfermeiro, docentes e
etc.
4.2 Quadro de Vulnerabilidades
Na tabela a seguir é mostrado o quadro de vulnerabilidades envolvidas no
sistema de gestão estudado, com base na utilização da noção de SWOT, que é a
avaliação dos pontos fortes (Strenghts) e dos pontos fracos (Weaknesses) da
organização à luz das oportunidades (Opportunities) e das ameaças (Threats) em seu
ambiente. Esta é uma estratégia que busca atingir a adequação entre as capacidades
internas e as possibilidades externas (MINTZBERG, AHLSTRAND e LAMPEL, 2000). A
adaptação dessa técnica para ter visão das vulnerabilidades que estão contidas no
ciclo de vida do ativo permite mostrar que existe uma grande ameaça à informação.
57
JOSÉ DIOGENES RODRIGUES ACCIOLY
ONDE HÁ A
VULNERABILIDADE
QUANDO
OCORRE A
VULNERA-
BILIDADE
AGENTES
EXTERNOS OU
AMEAÇAS
CONSEQÜÊNCIAS MEDIDAS DE
PROTEÇÃO
INTELIGENTE
Prontuário médico do
paciente
Produção/
Manuseio
Funcionário - Divulgar a
informação;
- Quebra da
confidencialidade, ou
seja, da privacidade;
- Não conformidade
com o art 1 da
resolução n.
1605/2000 e
1638/2002 do CFM.
- Cuidados em
Geral;
- Auditorias fre-
quentes.
Prontuário médico do
paciente
Produção/
Manuseio
Funcionário não
realizar o cadas-
tro completo de
acordo com o
artigo 5 alínea a
da resolução n.
1638/2002.
- Quebra da integri-
dade;
- Não conformidade
com o artigo 5 alinea a
da resolução n.
1638/2002 do CFM.
- A comissão de
revisão de
prontuários deve
realizar auditorias
frequentes;
- Criação de
sistema para
permitir o cadastro
na central de
marcação com os
campos
obrigatórios;
- O SAME só
receber prontuário
58
JOSÉ DIOGENES RODRIGUES ACCIOLY
que Prontuário
médico do
paciente tenha a
identificação do
paciente
preenchida por
completo.
Prontuário médico do
paciente
Manuseio Acesso do prontu-
ário médico do
paciente por falso
médico.
- Dano ao paciente
(por uma prescrição
errada) ou à
organização com a
divulgação da
informação;
- Quebra da confiden-
cialidade e integri-
dade, pois o falso
médico pode prescre-
ver algo ao paciente
no prontuário médico;
- Não conformidade
com o artigo 1 da
resolução n. 1605/200
e 1638/2002 do CFM;
- O SAME solicitar
identificação do
médico,
confirmação com o
RH.
Prontuário médico do
paciente
Manuseio Acesso do
prontuário médico
do paciente por
falsos médicos do
paciente
residentes
- Dano ao paciente
(por uma prescrição
errada) ou a
organização com a
divulgação da
informação;
- O SAME solicitar
identificação do
residente, solicitar
autorização do
médico
responsável pelo
aluno e
59
JOSÉ DIOGENES RODRIGUES ACCIOLY
- Quebra da
confidencialidade e
integridade, pois o
falso médico pode
prescrever algo ao
paciente no prontuário
médico;
- Não conformidade
com o artigo 1 da
resolução n.
1605/2000 e
1638/2002 do CFM.
confirmação com o
RH;
Prontuário médico do
paciente
Manuseio Paciente ou falso
paciente roubar o
prontuário
durante uma
consulta;
- Divulgação de
informações sigilosas
do paciente;
- Quebra da confiden-
cialidade e disponi-
bilidade;
- Não conformidade
com o artigo 1 da
resolução n. 1605/200
e 1638/2002 do CFM.
- A organização
deve prover
segurança efetiva
na entrada e saída
do hospital para
mitigar a
probabilidade de
acontecer tal
incidente.
Prontuário médico do
paciente
Manuseio Roubo de infor-
mações através
de câmeras por
residentes ou
estudantes de
medicina;
- Divulgação de
informações sigilosas
do paciente;
- Quebra da
confidencialidade;
- Não conformidade
- SAME deve
permitir apenas a
consulta em sala
monitorada por
câmeras e revista
para evitar entrada
de equipamento
60
JOSÉ DIOGENES RODRIGUES ACCIOLY
com o artigo 1 da
resolução n. 1605/200
e 1638/2002 do CFM.
eletrônico de
captura de
imagens durante a
consulta ao
prontuário.
Prontuário médico do
paciente
Manuseio Extravio de algum
conteúdo do
prontuário que
comprometa o
médico que está
em ação judicial.
- Quebra da integri-
dade da in-formação
do prontu-ário;
- Eliminação de evi-
dências criminais;
- Não conformidade
com os artigos 2 e 3
da resolução n
1605/2000.
- Deve-se definir
uma política de
acesso ao prontu-
ário para esses
casos específicos.
Além da auditoria
da comissão de
revisão de prontu-
ário definida na
resolução
1638/2002.
Prontuário médico do
paciente
Manuseio Médico escrever
no prontuário de
forma ilegível
- Quebra da
integridade e disponi-
bilidade;
- A informação ilegível
pode levar até ao
estado terminal um
paciente. Além da não
conformidade com a
resolução n.
1638/2002.
- A organização
deve criar a
comissão de
revisão de
prontuário como
define a resolução
1638/2002 para
auditar os
prontuários
médicos.
Prontuário médico do Manuseio Médico não
repotar as
- Quebra da integri- - A organização
deve criar a
61
JOSÉ DIOGENES RODRIGUES ACCIOLY
paciente informações para
o prontuário.
dade;
- A omissão da
informação pode levar
até ao estado terminal
um paciente. Além da
não conformidade com
a resolução
1638/2002.
comissão de
revisão de
prontuário como
define a resolução
1638/2002 para
auditar os
prontuários
médicos.
Prontuário médico do
paciente
Manuseio Extravio do
prontuário pelo
médico.
- Quebra da disponi-
bilidade e indireta-
mente a confiden-
cialidade da
informação, perda de
todo registro do
paciente;
- Não conformidade
com a resolução
1638/2002 e a
1605/2000.
- SAME deve
realizar auditoria
frequentes e
comunicar a dire-
ção da
organização sobre
o ocorrido;
- A comissão de
revisão de prontu-
ários deve realizar
auditorias.
Prontuário médico do
paciente
Manuseio Extravio do
prontuário
durante o perío-
do de internação
do paciente.
- Quebra da disponi-
bilidade e indireta-
mente a confiden-
cialidade da informa-
ção, perda de todo
registro do paciente;
- Não conformidade
com a resolução
1638/2002 e a
1605/2000.
- SAME deve
realizar auditorias
frequentes e comu-
nicar a direção da
organização sobre
o ocorrido;
- A comissão de
revisão de prontu-
ário realizar
auditorias.
62
JOSÉ DIOGENES RODRIGUES ACCIOLY
Prontuário médico do
paciente
Transporte Extravio do
prontuário
durante o trans-
porte
- Quebra da
disponibilidade e
indiretamente a
confidencialidade da
informação, perda de
todo registro do
paciente;
- Não conformidade
com a resolução
1638/2002 e a
1605/2000.
- SAME deve
realizar auditorias
frequentes e
comunicar a dire-
ção da organiza-
ção sobre o
ocorrido.
Prontuário médico do
paciente
Transporte Instruso roubar
prontuário de
funcionário
durante o trans-
porte.
- Divulgação de
informações sigilosas
(exe: AIDS, câncer,
etc) do paciente;
- Quebra da
confidencialidade e
disponibilidade;
- Não conformidade
com o artigo 1 da
resolução n. 1605/200
e 1638/2002 do CFM.
- A organização
deve prover
segurança efetiva
na entrada e saída
do hospital para
mitigar a probabi-
lidade de aconte-
cer tal incidente.
Prontuário médico do
paciente
Armazena-
mento
Funcionário
realizar arquiva-
mento de
prontuário de
forma errada.
- Quebra da
disponibilidade da
informação.
- O SAME deve
realizar auditoria e
treinamento
frequentes com
seus funcionários;
63
JOSÉ DIOGENES RODRIGUES ACCIOLY
Prontuário médico do
paciente
Armazena-
mento
Extravio de
prontuário dentro
do próprio SAME.
- Quebra da disponi-
bilidade da informação
e indiretamente da
confidencialidade;
- Não conformidade
com o artigo 1 da
resolução n. 1605/200
e 1638/2002.
O SAME deve
realizar auditoria e
treinamento fre-
quentes com seus
funcionários.
Prontuário médico do
paciente
Armazena-
mento
Incêndio no
SAME
- Quebra da
disponibilidade da
informação;
- Não conformidade
com a resolução
1638/2002.
A organização
deve prover ao
SAME infra-
estrutura adequa-
da para conteção
do fogo em caso
de incêndio;
Tabela 4 - Quadro de vulnerabilidades do ciclo de vida sobre o prontuário médico do
paciente
4.3 Conformidade com a norma ABNT ISO/IEC 27001:2006
A norma ABNT ISO/IEC 27001 (2006) trata dos requisitos para que a organização
consiga estruturar um sistema de gestão da segurança da informação objetivando
estabelecer, implementar, operar, monitorar, manter e melhorar um SGSI documento.
Esta norma está sendo usada dentro deste estudo de caso como um meio de realizar
um diagnóstico preliminar de como está o sistema de gestão da segurança da
informação sobre sistema de gestão do prontuário médico do paciente.
64
JOSÉ DIOGENES RODRIGUES ACCIOLY
Dentro do contexto estudado é verificada a conformidade com a ABNT ISO/IEC
27001 (2006), através de um diagnóstico preliminar para os seguintes objetivos de
controles aplicáveis, que são listados nas tabelas abaixo.
A.5 – Política de segurança
A.5.1 – Política de segurança da informação
A.5.1.1 Documento da política de
segurança da informação
Não
Conforme
No sistema de gestão do
prontuário médico do
paciente o ativo não é
contemplado, pois a
organização não possui
documento da política de
segurança da informação
homologado.
A.5.1.2 Análise crítica da política de
segurança da informação
Não
Conforme
A organização não possui
documento da política de
segurança da informação
para que possa ser
analisando criticamente.
Tabela 5 - Objetivo de controle e controles da política de segurança, aplicáveis da
norma ABNT NBR ISO/IEC 27001:2006.
65
JOSÉ DIOGENES RODRIGUES ACCIOLY
A.6 – Organização da segurança da informação
A.6.1 - Infraestrutura da segurança da informação
A.6.1.1 Comprometimento da direção
com a segurança da
informação
Não
Conforme
Dentro do cenário atual a
organização não tem um
direcionamento definido
sobre a segurança da
informação. Sendo a
segurança da informação
tratada de forma ad hoc pela
direção da organização.
A.6.1.2 Coordenação da segurança
da informação
Não
Conforme
Na organização a
coordenação da segurança
da informação não existe
ainda até o presente
momento, a formação da
coordenação da segurança
da informação está em
processo embrionário de
concepção.
A.6.1.3 Atribuição de
responsabilidades para a
segurança da informação
Não
Conforme
Não existe política de
segurança da informação
homologada, funciona de
forma ad hoc. Logo, é
66
JOSÉ DIOGENES RODRIGUES ACCIOLY
impossível atender este
controle.
A.6.1.4 Processo de autorização para
os recursos de
processamento da
informação
Não
Conforme
Não existe processo para
gestão de autorização.
A.6.1.5 Acordos de confidencialidade Não
Conforme
Não existe nenhum acordo
de confidencialidade ou
acordos de não divulgação
que reflitam as necessidades
da organização para a
proteção da informação.
Estes devem ser
identificados e analisados
criticamente, de forma
regular.
A.6.1.6 Contato com autoridades Não
Conforme
Não existem contatos
apropriados com autoridades
relevantes, que devem ser
mantidos.
A.6.1.7 Contato com grupos
especiais
Não
Conforme
A organização não mantém
contatos apropriados com
grupos de interesses
especiais ou outros fóruns
67
JOSÉ DIOGENES RODRIGUES ACCIOLY
especializados de segurança
da informação e associações
profissionais. Estes contatos
devem ser mantidos.
A.6.1.8 Análise crítica independente
de segurança da informação
Não
Conforme
Não existe enfoque por parte
da organização para
gerenciar a segurança da
informação e a sua
implementação (por
exemplo: controles, objetivo
dos controles, políticas,
processos e procedimentos
para a segurança da
informação), deve ser
analisado criticamente, de
forma independente, a
intervalos planejados, ou
quando ocorrerem
mudanças significativas
relativas à implementação da
segurança da informação;
A.6.2 – Partes Externas
A.6.2.1 Identificação dos riscos
relacionados com partes
externas
Não
Conforme
Não existe identificação dos
riscos para os recursos de
processamento da
informação e para a
68
JOSÉ DIOGENES RODRIGUES ACCIOLY
informação da organização
oriundos de processos do
negócio que envolvam as
partes externas devem ser
identificados e controles
apropriados devem ser
implementados antes de se
conceder o acesso.
A.6.2.2 Identificando a segurança da
informação quando tratando
com os clientes.
Não
Conforme
Não existe identificação dos
requisitos de segurança da
informação identificados
devem ser considerados
antes de conceder aos
clientes o acesso aos ativos
ou às informações da
organização.
A.6.2.3 Identificando segurança da
informação nos acordos com
terceiros
Não
Conforme
Não existe identificação da
segurança da informação
nos acordos com terceiros
Tabela 6 - Objetivos de controle e controles da organização da segurança da
informação, aplicáveis da norma ABNT NBR ISO/IEC 27001:2006.
A.7 – Gestão de Ativos
69
JOSÉ DIOGENES RODRIGUES ACCIOLY
A.7.1 – Responsabilidade pelos ativos
A.7.1.1 Inventário dos ativos Conforme O SAME mantém todos os
ativos devem ser claramente
identificados através de uma
numeração especifica.
A.7.1.2 Proprietário dos ativos Conforme A organização contém as
informações e ativos
associados com os recursos
de processamento da
informação para o ativo
estudado no contexto no
tocante ao prontuário médico
do paciente.
A.7.1.3 Uso aceitável dos ativos Não
Conforme
Diante do contexto estudado
este controle é realizado de
forma ad hoc.
A.7.2 – Classificação da Informação
A.7.2.1 Recomendações para
classificação Conforme A informação tem seu valor
com base nos requisitos
legais definidos pela
resolução do CFM.
70
JOSÉ DIOGENES RODRIGUES ACCIOLY
A.7.2.2 Rótulos e tratamento da
informação Conforme A informação está de acordo
com a legislação e
identificação específica para
o prontuário e procedimento
operacionais adotado pela
organização.
Tabela 7 - Objetivos de controle e controles da gestão de ativos, aplicáveis da norma
ABNT NBR ISO/IEC 27001:2006
A.9 – Segurança física e do ambiente
A.9.1 – Áreas seguras
A.9.1.1 Perímetro de segurança
física
Conforme A sala de proteção do SAME
possui certo nível de controle
de acesso por meio de
recepcionista.
A.9.1.2 Controles de entrada física Não
Conforme
Não possui controles de
acesso para entrada física
A.9.1.3 Segurança em escritórios
salas e instalações Não
Conforme
Este controle é atendido em
partes por meio do SAME,
porém as salas dos
ambulatórios não são
contempladas.
71
JOSÉ DIOGENES RODRIGUES ACCIOLY
A.9.1.4 Proteção contra ameaças
externas e do meio ambiente Não
Conforme
O SAME possui recurso
apenas no tocante a
incêndio.
A.9.1.5 Trabalhando em áreas
seguras Não
Conforme
A.9.1.6 Acesso do público, áreas de
entrega e de carregamento Não
Conforme
Dentro do contexto apenas o
SAME possui certo nível de
segurança.
Tabela 8 - Objetivos de controle e controles da segurança física e do ambiente,
aplicáveis da norma ABNT NBR ISO/IEC 27001:2006.
A.11 – Controle de acessos
A.11.1 – Requisitos de negócio para controle de acesso
A.11.1.1 Política de controle de acesso Não
Conforme
Não existe uma política
oficial, este controle é
realizado de forma ad hoc.
A.11.2 – Gerenciamento de acesso do usuário
A.11.2.1 Registro de usuário Não Existe o processo, porém é
72
JOSÉ DIOGENES RODRIGUES ACCIOLY
Conforme realizado de forma ad hoc,
não é um processo formal.
A.11.2.2 Gerenciamento de privilégios Conforme Existe um processo que é
realizado de forma ad hoc
A.11.2.4 Análise crítica dos direitos de
acesso de usuário Não
Conforme
Não existe nenhum
processo formal para este
controle, funciona de forma
ad hoc.
Tabela 9 – Objetivos de controle e controle do controle de acessos, aplicáveis da
norma ABNT NBR ISO/IEC 27001:2006.
A.13 - Gestão de incidentes de segurança da informação
A.13.1 - Notificação de fragilidades e eventos de segurança da informação
A.13.1.1 Notificação de eventos de
segurança da informação Não
Conforme
A organização não possui
nada oficial realizado ad hoc
A.13.1.2 Notificando fragilidades de
segurança da informação Não
Conforme
A organização não possui.
A.13.2 - Gestão de incidentes de segurança da informação e melhorias
A.13.2.1 Responsabilidades e
procedimentos Não Não possui.
73
JOSÉ DIOGENES RODRIGUES ACCIOLY
Conforme
A.13.2.2 Aprendendo com os
incidentes de segurança da
informação
Não
Conforme
Não possui
A.13.2.3 Coleta de evidências Não
Conforme
Não possui
Tabela 10 – Objetivos de controle e controles da gestão de incidentes da segurança da
informação, aplicáveis da norma ABNT NBR ISO/IEC 27001:2006.
A.14 - Gestão da continuidade do negócio
A.14.1 - Aspectos da gestão da continuidade do negócio, relativos à segurança
da informação
A.14.1.1 Incluindo segurança da
informação no processo de
gestão da continuidade de
negócio
Não
Conforme
Não possui
A.14.1.2 Continuidade de negócios e
análise/avaliação de risco Não
Conforme
Não possui
A.14.1.3 Desenvolvimento e
implementação de planos de
continuidade relativos à
segurança da informação
Não
Conforme
Não possui
74
JOSÉ DIOGENES RODRIGUES ACCIOLY
A.14.1.4 Estrutura do plano de
continuidade do negócio Não
Conforme
Não possui
A.14.1.5 Testes, manutenção e
reavaliação dos planos de
continuidade do negócio
Não
Conforme
Não possui
Tabela 11 - Objetivos de controle e controles da gestão de continuidade do negócio,
aplicáveis da norma ABNT NBR ISO/IEC 27001:2006.
A.15 – Conformidade
A.15.1- Conformidade com requisitos legais
A.15.1.1 Identificação da legislação
vigente Conforme A legislação que rege o ativo
estudado no caso do
prontuário médico do
paciente existe e é mantido
atualizado.
A.15.1.2 Direitos de propriedade
intelectual Conforme Embora não exista o uso do
software os procedimentos
apropriados são
implementados de modo a
garantir o alinhamento com
legislação.
75
JOSÉ DIOGENES RODRIGUES ACCIOLY
A.15.1.3 Proteção de registros
organizacionais Não
Conforme
Existem procedimentos
definidos que, apesar de não
tão eficazes funcionam
diante do cenário atual.
A.15.1.4 Proteção de dados e
privacidade da informação
pessoal
Não
Conforme
Os mecanismos disponíveis
são aplicados dentro do
cenário estudado, porém
quebra de privacidade pode
acontecer.
A.15.1.5 Prevenção de mau uso de
recursos de processamento
da informação
Não
Conforme
Os dispositivos
implementados pela
organização em alguns
casos falham.
A.15.1.6 Regulamentação de controles
de criptografia Não
Conforme
Não possui
Tabela 12 – Objetivos de controles e controles da gestão de comformidade aplicáveis
da norma ABNT NBR ISO/IEC 27001:2006
76
JOSÉ DIOGENES RODRIGUES ACCIOLY
77
JOSÉ DIOGENES RODRIGUES ACCIOLY
Capítulo
5
5. Considerações Finais
O último capítulo deste trabalho apresenta as considerações finais, os
resultados obtidos relacionados com os objetivos iniciais da pesquisa, as possibilidades
para realização de trabalhos futuros e a conclusão final do trabalho.
Este trabalho possibilitou adquirir novas experiências no campo teórico da
segurança da informação e no ambiente prático de modo a verificar a conformidade do
sistema de gestão do ativo estudado que é de essencial importância para o
funcionamento da organização de um grande órgão governamental.
78
JOSÉ DIOGENES RODRIGUES ACCIOLY
Primeiramente devido ao tamanho da organização, que acarreta uma
complexidade maior para o projeto e depois pelos procedimentos administrativos que
devem ser seguidos para que o trabalho possa continuar. No campo prático da
elaboração deste projeto foi possível avaliar como está a organização no aspecto da
segurança, visando diagnosticar o cenário atual e sensibilizar os gestores da
organização sobre a importância desta área estratégica. As experiências das
disciplinas ministradas durante todo curso, sobretudo a de Segurança da informação,
foram de fundamental importância para elaboração, desenvolvimento e conclusão
deste projeto.
5.1 Resultados Obtidos
Os resultados obtidos através da análise dos resultados foram:
O ciclo de vida da informação do artefato estudado mostrou que embora
exista legislação vigente sobre o determinado ativo estudado, e a
organização esteja trabalhando para permanecer em conformidade com a
legislação, o cenário de ameaças e vulnerabilidades existentes sobre o ativo
são inúmeras e é necessário realizar auditorias frequentes para corrigir as
vulnerabilidades existentes.
No tocante à conformidade do sistema de gestão do prontuário médico do
paciente com a norma ABNT NBR ISO/IEC 27001 (2006), o sistema de
gestão estudado no contexto do hospital público realmente não apresentou
muitas conformidades com os objetivos de controles e controles aplicáveis ao
sistema de gestão do prontuário médico definido pela norma, mostrando que
no ramo da segurança de informação o sistema de gestão estudado e a
organização estão caminhando em passos lentos para atingir o que
recomenda o mercado e a ISO/IEC 27001 (2006).
79
JOSÉ DIOGENES RODRIGUES ACCIOLY
5.2 Trabalhos Futuros
Um estudo para trabalho futuro pode ser a aplicação de melhores práticas
encontradas na norma ABNT ISO/IEC 27002 para que a organização possa alcançar
os objetivos e controles recomendados pela normativa ISO/IEC 270001:2006 sobre
sistema de gestão da segurança da informação para o sistema de gestão do prontuário
médico do paciente. Outra possibilidade seria um estudo mais amplo envolvendo a
criação de uma política de segurança para toda organização como proposta incluindo o
ativo estudado.
5.3 Limitações do estudo
O estudo teve como limitação apenas o cenário de um ativo essencial para
organização, mas a organização é composta por vários ativos que não foram
contemplados nesse estudo caso.
5.4 Conclusões
Este trabalho realizou um estudo sobre o funcionamento do ativo denominado
prontuário médico do paciente de um hospital público com o intuito de compreender o
ciclo de vida do ativo estudado, no qual foi possível identificar o ciclo da informação
desde a sua concepção até o seu descarte. Posteriormente foi realizada uma análise
para verificar a conformidade das resoluções de número 1605/2000 e 1638/2002
definidas pelo Conselho Federal de Medica. Por fim foi feito um diagnóstico do sistema
de gestão da segurança da informação definido pela ABNT NBR ISO/IEC 27001
(2006), sobre o sistema de gestão do prontuário médico do paciente.
80
JOSÉ DIOGENES RODRIGUES ACCIOLY
Assim sendo, através do estudo realizado é possível concluir:
A informação essencial do hospital público deve ser protegida não apenas
por causa da existência de regulamentação específcias, mas também por
causa de normas de segurança e melhores práticas;
A implantação de softwares para auxiliar na otimização do processo e
segurança da informação é fundamental para o melhor funcionamento
organizacional;
A organização estudada ainda é muito embrionária na área de segurança da
informação, assim como muitas organizações;
A alta gestão pode ser sensibilizada através deste estudo para que passe a
encarar a segurança da informação como aliada e não como impecílio;
O trabalho pode contribuir para concepção de uma política de segurança
para da organização.
81
JOSÉ DIOGENES RODRIGUES ACCIOLY
Capítulo
6
6. Referências
ABNT NBR ISO/IEC 27001. 2006. Tecnologia da Informação. Sistema de gestão da
segurança da informação. Associação Brasileira de Normas Técnicas. Rio de
Janeiro.
ABNT NBR ISO/IEC 27002. 2005. Código de Prática para a Gestão de Segurança
da Informação. Associação Brasileira de Normas Técnicas. Rio de Janeiro.
ABNT NBR ISO/IEC 38500. 2009. Governança corporativa de tecnologia da
informação. Associação Brasileira de Normas Técnicas. Rio de Janeiro.
ARAGON, A.; ABREU, V. Implantando a Governança de TI - da Estratégia à Gestão
dos Processos e Serviços. 3 ed. São Paulo, Editora Brasport: 2012.
AZEVEDO, H.R.T.; SOUZA, S.P.S.; MARTINS, F.R.S., Sistemas para diagnóstico
automático de folhas; Dificuldades e soluções para obtenção de resultados.
(2006).
82
JOSÉ DIOGENES RODRIGUES ACCIOLY
BlogSegInfo. Faltam pofissionais qualificados na área de segurança da
informação?, 2011. Disponível em: http://www.seginfo.com.br/faltam-profissionais-
qualificados-na-area-de-seguranca-da-informacao/. Acesso em: 18/09/2012.
BORAN, Sean. IT Security Cookbook, 1996. Disponível em:
http://www.boran.com/security/. Acesso em: 18/09/2012.
Conselho Federal de Medicina. Resolução CFM n. 1605/2000. Define que o médico
não pode, sem o consentimento do paciente, revelar o conteúdo do prontuário ou
a ficha médica. Disponível em:
http://www.portalmedico.org.br/resolucoes/cfm/2000/1605_2000.htm Acesso em:
20/09/2012.
Conselho Federal de Medicina. Resolução CFM n. 1638/2002. Define prontuário
médico e torna obrigatória a criação da Comissão e Revisão de Prontuários nas
instituições de saúde. Disponível em:
http://www.portalmedico.org.br/resolucoes/cfm/2002/1638_2002.htm. Acesso em:
20/09/2012.
Conselho Federal de Medicina. Resolução CFM n. 1821/2007. Aprova as "Normas
Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do
Prontuário Médico", dispõe sobre tempo de guarda dos prontuários, estabelece
cirtérios para certificação dos sistemas de informação e dá outras providências.
Disponível em: http://www.portalmedico.org.br/resolucoes/cfm/2007/1821_2007.htm.
Acesso em: 20/09/2012.
CONSELHO REGIONAL DE MEDICINA DO ESTADO DE SÃO PAULO (CREMESP).
Prontuário e segredo médico. Disponível em:
http://www.cremesp.org.br/?siteAcao=PublicacoesConteudoSumario&id=57. Acesso
em: 19/09/2012.
83
JOSÉ DIOGENES RODRIGUES ACCIOLY
DIAS, C. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro: Axcel
Books, 2000.
MINTZBERG, H; AHLSTRAND, B; LAMPEL, J. Safári de estratégia: um roteiro pela
selva do planejamento estratégico. Porto Alegre: Bookman, 2000.
MITNICK, K.D.S., William L. A Arte de Enganar - Ataques de hackers: controlando o
fator humano na segurança da informação – São Paulo: Pearson Education, 2003.
Moderno Dicionário da Língua Portuguesa
http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portugues-
portugues&palavra=Risco. Acessado em:18/09/2012.
PMI. PMBOK - Um guia do Conjunto de Conhecimentos em Gerenciamento
deProjetos - 4ª Edição - Pensilvânia: PMI, 2008.
SANS. Sans Information Security Resources, 2012. Disponível em:
http://www.sans.org/information_security.php. Acessado em:18/09/2012.
SÊMOLA, M. Gestão da Segurança da Informação: Uma visão Executiva. Rio de
Janeiro: Campus, 2003.
VERIZON. Data Breach Investigations Report: A study conducted the Verizon Risk
Team in cooperation with the United States Secret Service. Estados Unidos, 2010.
WADLOW, T.. Segurança de Redes. Rio de Janeiro: Editora Campus, 2000.
WHITMAN, M. E. Enemy at the gate: threats to information security.
Communications of the ACM, v. 46, n. 8, p. 91–95, 2003.