Saude governance rg

  • Published on
    03-Jul-2015

  • View
    373

  • Download
    0

Embed Size (px)

Transcript

<ul><li> 1. G overno das Tecnologias e dos Sistemas de Informao na Sade 28/11/2011Rui GomesCurso de Engenharia Biomdica - Departamento deHospital Fernando Fonseca E.P.E. Engenharia Informtica Universidade de Coimbra</li></ul> <p> 2. Ciclo eterno (Onde estamos) O que no queremos O que podemos cultivar Retorno expectvel Concluses 3. Ciclo eterno (onde estamos)rvore 4. Ciclo eterno (onde estamos)Floresta 5. Ciclo eterno (onde estamos) Infra-estruturas10 anosMaturidade10 anos 6. Ciclo eterno (onde estamos) Nvel de risco pela exposio de um sistema de informao por sector de actividade 7. O que no queremosEstado de stio hospitais?? ??? controlo TIcomitpolticas Outsourcing procedimentosreduzidosegurana? ? ???? gesto controlo gesto identificao gestoserviosdeinformaopessoas identidades (ITIL) acessos? ? ????definio gestoproteco aspectos zonasauditoria deincndios legaiscrticasincidncias? ? ??? workflow ? gestoplano gestoelectronicbackups decontinuidade risconegcio &amp; assetshardcopy? ? ??? ?polticashardening planodisasterrecoverconformidadescredenciais SGRH? ? ? ? 8. O que podemos cultivarPara evitar o Estado de Stio a organizao deveimplementar um modelo de governo no qual sejaestabelecida uma estrutura organizacional onde estejambem definidas os papis e as responsabilidades pelainformao, os processos de negcio, aplicaes, infra-estrutura, etc. 9. O que podemos cultivarQual o alinhamento da Gesto dos hospitais com osSI/TI? CA DirecoDireco DirecoDirecoDireco Logstica ProduoRHFinanceira SI/TI 10. O que podemos cultivar Adopo de uma estratgia que permita fazer crescer a componente de SI/TI ao nvel do IT Governance Pensar no futuro Orientada ao negcio 11. O que podemos cultivarQual o alinhamento da Gesto dos hospitais com osSI/TI? 12. O que podemos cultivarQual o alinhamento dos profissionais de sadecom a introduo dos SI/TI? Rogers Innovation Adopters Curve 13. O que podemos cultivar Aplicao do IT Governance garante pelo menos Assegurar que os investimentos em TI geram valor de negcio; Atenuar os riscos associados introduo das TI. O segredo est nas pessoas e nas suas responsabilidades 14. O que podemos cultivar(In)Segurana actualmente aumento da exposio ao risco complexidade dos riscos complexidade na proteco riscosSignifica que os mecanismos de proteco no so suficientesi) preciso vigiar os riscosii)e melhorar mecanismos de protecohint: necessrio gerir a segurana! 15. O que podemos cultivarMetodologia a utilizarQuais as melhores prticas para a gesto da segurana? Qual o melhor processo de avaliao de riscos?Quais as melhores prticas de proteco?Quais as formas de comparar com melhor da indstria? hint: procurar uma certificao uma boa opo pois d visibilidade que sustenta o investimento 16. O que podemos cultivarGesto da Mudana 17. O que podemos cultivarMetodologia a utilizar 18. O que podemos cultivarMetodologia a utilizarCompreender o papel dos frameworksdisponveis nota: ISO 27001 a unica certificao de gesto da segurana da informao para organismos 19. O que podemos cultivarMetodologia a utilizar Por exemplo ISO 27799:2008 Health informatics Information security management in health using ISO/IEC 27002 20. O que podemos cultivarMetodologia a utilizar 21. O que podemos cultivarMetodologia a utilizar 22. O que podemos cultivarMetodologia a utilizar 23. O que podemos cultivarMetodologia a utilizar 24. O que podemos cultivarEvitar as ms prticas e gerir o RISCO 25. O que podemos cultivarMetodologia a utilizarO Risco a relao entre a probabilidade e o impacto. abase para a identificao dos pontos que necessitam deinvestimento em Segurana da Informao. hint: necessrio gerir a segurana! 26. O que podemos cultivarControlo do Risco 27. O que podemos cultivarControlo do Risco Ex. Comprar igualEx. aos outros Decidir NO Ex.Ex. Funciona mal mas Implementar no caso de vida &amp; gerir o risco ou morte! 28. O que podemos cultivar 29. O que podemos cultivar 30. O que podemos cultivarCdigo de Boas Prticas ISO 27002Controlos de segurana da informao (11 areas)1 Poltica de Segurana da Informao ISO/IEC-17799:20002 Organizao da Segurana da InformaoISO/IEC-17799:20003 Gesto de Recursos (classificao de assets)ISO/IEC-17799:20004 Gesto de Recursos HumanosISO/IEC-17799:20005 Gesto da segurana fsica e ambientalISO/IEC-17799:20006 Gesto das Comunicaes e Operaes ISO/IEC-17799:20007 Controlo de acessos ISO/IEC-17799:20008 Aquisies, manutenes e desenvolvimento de sistemas ISO/IEC-17799:20009 Gesto de incidentes de segurana da informao ISO/IEC-17799:2005 10 Plano de gesto da continuidade de negcioISO/IEC-17799:2000 11 Conformidade com os aspectos legais ISO/IEC-17799:2000 nota: o Cdigo no recomenda tecnologias mas unicamente estratgias a serem adaptadas organizao 31. O que podemos cultivar1 - Poltica de segurana da informao Definio da segurana da informao aprovada pelo CA(objectos, abrangncia e importncia) Definio prncipios, normas e conformidades de relevo Referncias a documentos ou processos externos Comunicao a TODA a organizao e responsabilizao 32. O que podemos cultivar 2 - Organizao da Segurana Coordenao da segurana (forum) Alocao das responsabilidades Classificao da informao Acordos confidencialidade Reviso da segurana (entidade isenta) Identificao dos riscos externos Acordos com partes terceiras Gerir a segurana da informao na organizao 33. O que podemos cultivar 3 - Classificao e controlo de recursos (hardware, software, informao, pessoas) Inventrio de recursos (informao electrnica, papel, registos video, som, software, fsicos, elementos humanos, servios contratados, etc..) Responsabilidade pelos recursos (elemento humano o elo mais fraco) Classificao de recursos (regras, etiquetagem, manuseamento) Manter um nvel de proteco apropriado dos activos da organizao e garantir que os activos de informao so alvo de um grau de proteco apropriado.nota: assets so todos aqueles que pela sua ausncia ou degradaopodem ter impacto na entrega de produtos ou servios na organizaoou causar danos com a perda da confidencialidade ou integridade 34. O que podemos cultivar 4 Gesto de recursos humanos Verificao de credenciais (habilitaes, curriculo, competncias, acordos confidencialidade, etc.); Trmino das responsabilidades devoluo de recursos e dos direitos de acesso), processos disciplinares;Elo maisfracoReduzir os riscos de erro humano, roubo, fraude ou m utilizao das instalaes; Garantir que os utilizadores esto cientes dos cuidados a ter e das ameaas existentes segurana da informao, e que os mesmos dispem de equipamentos que lhes permitam dar suporte poltica de segurana da organizao no curso do a forma mais comum de ataque porNota: A engenharia socialseu trabalho;este activo. Processo de mudar o comportamento das pessoas 35. O que podemos cultivar5 - Segurana fsica e ambiental Permetro da segurana, controlos de entrada esada, proteco contra ameaas externas e ambiente; Manuteno, proteco e acondicionamento dosequipamentos; Areas de acesso pblico, cargas e descargas; Segurana da cablagem; Destruio e re-utilizao segura do equipamento;Prevenir o acesso no autorizado, danos ouinterferncia na informao e nas instalaes fsicas donegcio;Prevenir a perda, danos ou comprometimento dosactivos e a interrupo nas actividades do negcio; 36. O que podemos cultivar6 - Gesto das operaes e comunicaes(computadores e redes)Monitorizao e reviso servio terceiros Gesto das operaes em redes e transmisses; Salvaguarda da informao (backups) e protecoinfraestrutura suporte, antivirus, etc..; Polticas e procedimentos escritos e aprovados paratroca/partilha de informaoMinimizar o risco de falhas nos sistemas;Proteger a integridade das aplicaes e da informao ecomunicao;Prevenir a perda, modificao ou m utilizao dainformao trocada entre organizaes. 37. O que podemos cultivar7 - Controlo de acesso lgico Polticas e regras para controlo de acesso (previlgiosminimos, separao das responsabilidades) Gesto dos utilizadores Controlo acesso (rede, S.O., aplicaes, etc..) Monitorizao de acessos e de utilizao Clear Desk e Clear Screen (hardening) Computao mvel e ligaes remotasControlar o acesso informao;Impedir o acesso no autorizado aos sistemas deinformao;Assegurar a proteco dos servios ligados em rede; 38. Metodologia a utilizar8 - Aquisio, desenvolvimento emanuteno de Sistemas de Informao Vulnerabilidades na aquisio de sistemas(especificao de requisitos) ;Restries a impor ao desenvolvimento e manutenode software em outsourcing;Garantir a incluso de mecanismos de segurana nossistemas operativos; Cdigos abertos !!Prevenir a perda, modificao ou m utilizao dosdados dos utilizadores em aplicaes dos sistemas;Proteger a confidencialidade, autenticidade eintegridade da informao;Assegurar que os projectos informticos e actividadesde suporte so levados a cabo de forma segura; 39. O que podemos cultivar9 - Gesto de incidentes de segurana dainformao Comunicao de eventos de segurana da informao Comunicao de falhas de segurana Registos de incidentes de segurana Responsabilidades e procedimentos Coleco de evidncias para melhorar Monitorizao e reavaliar os controlos 40. O que podemos cultivar 10 - Gesto da continuidade de negcio (PCN) Deve ser elaborado um plano (poltica) para salvaguardar que o negcio da instituio no interrompido por incidentes de segurana Iniciao e gesto projecto Anlise de impacto para o negcio Estratgias de recuperao Elaborao de planos Testes, manuteno e formao Reagir no caso de se verificarem interrupes nas actividades ou processos crticos do negcio, provocados por falhas graves ou desastres.nota: neste captulo que cabe por exemplo as prticasde disaster recovery 41. O que podemos cultivar 11 Conformidades com aspectos legais Legislao aplicvel e conformidade com polticas e normas Direitos de propriedade intelectual, proteco dos dados e privacidade de informao pessoal Proteco e arquivo de registos da organizao (virus, erro humano, ataques, violao acessos, desastres, anomalias hardware, software, etc..) Assegurar a adequao dos sistemas aos standards ou polticas de segurana organizacionais; Maximizar a eficcia e minimizar a interferncia com/do processo de auditoria de sistemas. 42. Sem uma gesto formal da segurana dainformao, a segurana vai ser quebrada algures no tempo Viso adaptada do ISO/IEC-17799 para a Sade(actual ISO/IEC 27799) 43. Resultados expectveis Organizao Processos, Mitigao do Risco VisibilidadeQualidade Confiana stakeholders 44. Resultados expectveis 45. Concluses No possvel manter a segurana sem planear a sua gesto; Os organismos esto muito atrasados neste sector; No existe such thing segurana total; Implementar controlos permite minimizar riscos; S o ISO 27001 permite certificar a gesto da segurana; Implementar a norma exige grandes mudanas estruturais no mbito das tecnologias e dos comportamentos; Pode ter custos de investimentos elevados mas com retorno visvel. 46. Mtodo para desenvolvimento de umrelatrio de avaliao inicialResposta a um framework (Gap Analysis) Saber em que estgio se encontra o hospital em matria de segurana da informao Reconhecer algumas das vulnerabilidades, ameaas e riscos mais relevantes; Delinear um roadmap que poderia ser estabelecido para um projecto de certificao Determinar que recursos e que Project Plan consegue ter associados 47. Mtodo para desenvolvimento de umrelatrio de avaliao inicialResposta a um framework (Gap Analysis) 48. Rui@Gomes.comObrigado!</p>