50
Rui Gomes Hospital Fernando Fonseca E.P.E. 28/11/2011 Curso de Engenharia Biomédica - Departamento de Engenharia Informática Universidade de Coimbra Governo das Tecnologias e dos Sistemas de Informação na Saúde

Saude governance rg

Embed Size (px)

Citation preview

Page 1: Saude governance rg

Rui GomesHospital Fernando Fonseca E.P.E.

28/11/2011Curso de Engenharia Biomédica - Departamento de Engenharia Informática –Universidade de Coimbra

Governo das Tecnologias e

dos Sistemas de Informação na Saúde

Page 2: Saude governance rg

Ciclo eterno (Onde estamos)

O que não queremos

O que podemos cultivar

Conclusões

Retorno expectável

Page 3: Saude governance rg

Ciclo eterno (onde estamos)

Árvore

Page 4: Saude governance rg

Floresta

Ciclo eterno (onde estamos)

Page 5: Saude governance rg

Infra-estruturas

Mat

uri

dad

e

10 anos

10 anos

Ciclo eterno (onde estamos)

Page 6: Saude governance rg
Page 7: Saude governance rg

Nível de risco pela exposição de um sistema de informaçãopor sector de actividade

Ciclo eterno (onde estamos)

Page 8: Saude governance rg

Estado de “sítio” hospitais?

backupsgestãode

assets

gestãorisco

planocontinuidade

negócio

workflowelectronic

&hardcopy

? ? ? ? ??

definiçãozonas críticas

protecçãoincêndios

aspectos legais

auditoriagestão

deincidências

? ? ? ?? ?

gestãopessoas

gestãoserviços(ITIL)

controlode

acessos

identificaçãoinformação

gestãoidentidades

? ? ? ? ??

…políticashardening

planodisasterrecover

conformidadescredenciais

SGRH

? ? ? ? ?

? ? ?

políticasTI

reduzido

controloOutsourcing

comitésegurança

procedimentos

? ? ? ?

O que não queremos

?

?

Page 9: Saude governance rg

O que podemos cultivar

Para evitar o Estado de Sítio a organização deveimplementar um modelo de governo no qual sejaestabelecida uma estrutura organizacional onde estejambem definidas os papéis e as responsabilidades pelainformação, os processos de negócio, aplicações, infra-estrutura, etc.

Page 10: Saude governance rg

O que podemos cultivar

CA

Direcção

Logística

Direcção

Produção

Direcção

RH

Direcção

Financeira

Direcção

SI/TI

Qual o alinhamento da Gestão dos hospitais com os SI/TI?

Page 11: Saude governance rg

Adopção de uma estratégia que permita fazer crescer a componente de SI/TI ao nível do IT Governance

Pensar no futuro Orientada ao negócio

O que podemos cultivar

Page 12: Saude governance rg

O que podemos cultivar

Qual o alinhamento da Gestão dos hospitais com os SI/TI?

Page 13: Saude governance rg

O que podemos cultivar

Qual o alinhamento dos profissionais de saúde com a introdução dos SI/TI?

Rogers Innovation Adopters Curve

Page 14: Saude governance rg

O que podemos cultivar

Aplicação do IT Governance garante pelo menos…

Assegurar que os investimentos em TI geram valor de negócio;

Atenuar os riscos associados à introdução das TI.

O “segredo” está nas pessoas e nas suas responsabilidades

Page 15: Saude governance rg

(In)Segurança actualmente

aumento da exposição ao risco

complexidade dos riscos

complexidade na protecção riscos

Significa que os mecanismos de protecção não são suficientes

i)é preciso vigiar os riscos

ii)e melhorar mecanismos de protecção

hint: É necessário gerir a segurança!

O que podemos cultivar

Page 16: Saude governance rg

hint: procurar uma certificação é uma boa opção pois dá visibilidade que sustenta o investimento

Quais as melhores práticas para a gestão da segurança?

Qual o melhor processo de avaliação de riscos?

Quais as melhores práticas de protecção?

Quais as formas de comparar com melhor da indústria?

Metodologia a utilizar

O que podemos cultivar

Page 17: Saude governance rg

O que podemos cultivar

Gestão da Mudança

Page 18: Saude governance rg

O que podemos cultivar

Metodologia a utilizar

Page 19: Saude governance rg

nota: ISO 27001 é a unica certificação de gestão da segurança da informação para organismos

O que podemos cultivar

Compreender o papel dos frameworks disponíveis

Metodologia a utilizar

Page 20: Saude governance rg

Por exemplo

ISO 27799:2008

Health informatics — Information security

management in health using ISO/IEC 27002

O que podemos cultivar

Metodologia a utilizar

Page 21: Saude governance rg

O que podemos cultivar

Metodologia a utilizar

Page 22: Saude governance rg

Metodologia a utilizar

O que podemos cultivar

Page 23: Saude governance rg

Metodologia a utilizar

O que podemos cultivar

Page 24: Saude governance rg

Metodologia a utilizar

O que podemos cultivar

Page 25: Saude governance rg

Evitar as más práticas e gerir o RISCO

O que podemos cultivar

Page 26: Saude governance rg

hint: É necessário gerir a segurança!

O Risco é a relação entre a probabilidade e o impacto. É abase para a identificação dos pontos que necessitam de“investimento” em Segurança da Informação.

Metodologia a utilizar

O que podemos cultivar

Page 27: Saude governance rg
Page 28: Saude governance rg

Controlo do Risco

O que podemos cultivar

Page 29: Saude governance rg

Controlo do Risco

Ex. Comprar igual aos outros

Ex. Funciona mal mas não é caso de vida ou morte!

Ex. Decidir NÃO

Ex. Implementar& gerir o risco

O que podemos cultivar

Page 30: Saude governance rg

O que podemos cultivar

Page 31: Saude governance rg

O que podemos cultivar

Page 32: Saude governance rg

nota: o Código não recomenda tecnologias mas unicamente estratégias a serem adaptadas à organização

Código de Boas Práticas ISO 27002

Controlos de segurança da informação (11 areas)

1 Política de Segurança da Informação ISO/IEC-17799:2000

2 Organização da Segurança da Informação ISO/IEC-17799:2000

3 Gestão de Recursos (classificação de assets) ISO/IEC-17799:2000

4 Gestão de Recursos Humanos ISO/IEC-17799:2000

5 Gestão da segurança física e ambiental ISO/IEC-17799:2000

6 Gestão das Comunicações e Operações ISO/IEC-17799:2000

7 Controlo de acessos ISO/IEC-17799:2000

8 Aquisições, manutenções e desenvolvimento de sistemas ISO/IEC-17799:2000

9 Gestão de incidentes de segurança da informação ISO/IEC-17799:2005

10 Plano de gestão da continuidade de negócio ISO/IEC-17799:2000

11 Conformidade com os aspectos legais ISO/IEC-17799:2000

O que podemos cultivar

Page 33: Saude governance rg

1 - Política de segurança da informação

Definição da segurança da informação aprovada pelo CA

(objectos, abrangência e importância)

Definição príncipios, normas e conformidades de relevo

Referências a documentos ou processos externos

Comunicação a TODA a organização e responsabilização

O que podemos cultivar

Page 34: Saude governance rg

2 - Organização da Segurança

Coordenação da segurança (forum)

Alocação das responsabilidades

Classificação da informação

Acordos confidencialidade

Revisão da segurança (entidade isenta)

Identificação dos riscos externos

Acordos com partes terceiras

Gerir a segurança da informação na organização

O que podemos cultivar

Page 35: Saude governance rg

nota: assets são todos aqueles que pela sua ausência ou degradação podem ter impacto na entrega de produtos ou serviços na organização ou causar danos com a perda da confidencialidade ou integridade

3 - Classificação e controlo de recursos(hardware, software, informação, pessoas)

Inventário de recursos (informaçãoelectrónica, papel, registosvideo, som, software, físicos, elementos humanos, serviçoscontratados, etc..)

Responsabilidade pelos recursos (elemento humano é o elo mais fraco)

Classificação de recursos(regras, etiquetagem, manuseamento)

Manter um nível de protecção apropriado dos activos da organização e garantir que os activos de informação são alvo de um grau de protecção apropriado.

O que podemos cultivar

Page 36: Saude governance rg

Nota: A engenharia social é a forma mais comum de ataque por este activo. Processo de mudar o comportamento das pessoas

4 – Gestão de recursos humanos

Verificação de credenciais(habilitações, curriculo, competências, acordosconfidencialidade, etc.);

Término das responsabilidades devolução de recursos e dos direitos de acesso), processos disciplinares;

Reduzir os riscos de erro humano, roubo, fraude ou má utilização das instalações;

Garantir que os utilizadores estão cientes dos cuidados a ter e das ameaças existentes à segurança da informação, e que os mesmos dispõem de equipamentos que lhes permitam dar suporte à política de segurança da organização no curso do seu trabalho;

Elo mais fraco

O que podemos cultivar

Page 37: Saude governance rg

5 - Segurança física e ambiental

Perímetro da segurança, controlos de entrada e saída, protecção contra ameaças externas e ambiente;

Manutenção, protecção e acondicionamento dos equipamentos;

Areas de acesso público, cargas e descargas;

Segurança da cablagem;

Destruição e re-utilização segura do equipamento;

Prevenir o acesso não autorizado, danos ou interferência na informação e nas instalações físicas do negócio;

Prevenir a perda, danos ou comprometimento dos activos e a interrupção nas actividades do negócio;

O que podemos cultivar

Page 38: Saude governance rg

6 - Gestão das operações e comunicações(computadores e redes)

Monitorização e revisão serviço terceiros

Gestão das operações em redes e transmissões;

Salvaguarda da informação (backups) e protecçãoinfraestrutura suporte, antivirus, etc..;

Políticas e procedimentos escritos e aprovados paratroca/partilha de informação

Minimizar o risco de falhas nos sistemas;

Proteger a integridade das aplicações e da informação e comunicação;

Prevenir a perda, modificação ou má utilização da informação trocada entre organizações.

O que podemos cultivar

Page 39: Saude governance rg

7 - Controlo de acesso lógico

Políticas e regras para controlo de acesso (previlégiosminimos, separação das responsabilidades)

Gestão dos utilizadores

Controlo acesso (rede, S.O., aplicações, etc..)

Monitorização de acessos e de utilização

Clear Desk e Clear Screen (hardening)

Computação móvel e ligações remotas

Controlar o acesso à informação;

Impedir o acesso não autorizado aos sistemas de informação;

Assegurar a protecção dos serviços ligados em rede;

O que podemos cultivar

Page 40: Saude governance rg

8 - Aquisição, desenvolvimento e manutenção de Sistemas de Informação

Vulnerabilidades na aquisição de sistemas(especificação de requisitos) ;

Restrições a impor ao desenvolvimento e manutençãode software em outsourcing;

Garantir a inclusão de mecanismos de segurança nos sistemas operativos; Códigos abertos !!

Prevenir a perda, modificação ou má utilização dos dados dos utilizadores em aplicações dos sistemas;

Proteger a confidencialidade, autenticidade e integridade da informação;

Assegurar que os projectos informáticos e actividades de suporte são levados a cabo de forma segura;

Metodologia a utilizar

Page 41: Saude governance rg

9 - Gestão de incidentes de segurança da informação

Comunicação de eventos de segurança da informação

Comunicação de falhas de segurança

Registos de incidentes de segurança

Responsabilidades e procedimentos

Colecção de evidências para melhorar

Monitorização e reavaliar os controlos

O que podemos cultivar

Page 42: Saude governance rg

nota: É neste capítulo que cabe por exemplo as práticas de disaster recovery

10 - Gestão da continuidade de negócio (PCN)

Deve ser elaborado um plano (política) para salvaguardarque o negócio da instituição não é interrompido porincidentes de segurança

Iniciação e gestão projecto

Análise de impacto para o negócio

Estratégias de recuperação

Elaboração de planos

Testes, manutenção e formação

Reagir no caso de se verificarem interrupções nas actividades ou processos críticos do negócio, provocados por falhas graves ou desastres.

O que podemos cultivar

Page 43: Saude governance rg

11 – Conformidades com aspectos legais

Legislação aplicável e conformidade com políticas e normas

Direitos de propriedade intelectual, protecção dos dados e privacidade de informação pessoal

Protecção e arquivo de registos da organização(virus, erro humano, ataques, violaçãoacessos, desastres, anomalias hardware, software, etc..)

Assegurar a adequação dos sistemas aos “standards” ou políticas de segurança organizacionais;

Maximizar a eficácia e minimizar a interferência com/do processo de auditoria de sistemas.

O que podemos cultivar

Page 44: Saude governance rg

“Sem uma gestão formal da segurança da informação, a segurança vai ser quebrada algures no

tempo”

Visão adaptada do ISO/IEC-17799para a Saúde

(actual ISO/IEC 27799)

Page 45: Saude governance rg

Resultados expectáveis

Organização Processos,

Mitigação do Risco

Visibilidade

Qualidade

Confiança stakeholders

Page 46: Saude governance rg

Resultados expectáveis

Page 47: Saude governance rg

Conclusões

Não é possível manter a segurança sem planear a sua gestão;

Os organismos estão muito atrasados neste sector;

Não existe such thing segurança total;

Implementar controlos permite minimizar riscos;

Só o ISO 27001 permite certificar a gestão da segurança;

Implementar a norma exige grandes mudanças estruturais no âmbito das

tecnologias e dos comportamentos;

Pode ter custos de investimentos elevados mas com retorno visível.

Page 48: Saude governance rg

Método para desenvolvimento de um relatório de avaliação inicial

Resposta a um framework (Gap Analysis)

Saber em que estágio se encontra o hospital em matéria de segurança da informação

Reconhecer algumas das vulnerabilidades, ameaças e riscos mais relevantes;

Delinear um roadmap que poderia ser estabelecido para um projecto de certificação

Determinar que recursos e que Project Plan consegue ter associados

Page 49: Saude governance rg

Método para desenvolvimento de um relatório de avaliação inicial

Resposta a um framework (Gap Analysis)

Page 50: Saude governance rg

[email protected]

Obrigado!