sistemas de seguranÇa da informaÇÃo em saÚde - sdi... · 15-11-2014 1 sistemas de seguranÇa da...
Post on 08-Nov-2018
216 Views
Preview:
TRANSCRIPT
15-11-2014
1
SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE
U M A A B O R D A G E M S I S T É M I C A
1
Paulo Borges13 NOVEMBRO 2014
2
BSI ISO/IEC Accredited ISMS ImplementerBSI ISO/IEC 27001 Lead AuditorPECB ISO/IEC 22301 Lead AuditorPECB ISO/IEC 20000 Lead Auditor
Auditor do Gabinete Nacional de SegurançaAuditor Qualificado pela APCER para ISO 27001Accredited Tier Specialist 233 pelo UpTime Institute
Consultor/Auditor em Segurança da InformaçãoConsultor/Auditor em Análise do RiscoConsultor/Auditor de Continuidade de NegócioConsultor/Auditor em Gestão de Serviços ITConsultor/Auditor de Datacenters
15-11-2014
2
3
TÓPICOS A ABORDAR
PONTOS CHAVE
1) Impacto de incidentes de saúde na segurança das organizações
2) O que é “informação”?
3) Que “informação” se deve proteger?
4) Quais os critérios a usar para selecionar o que se protege?
5) Como se deve proteger a “informação”?
6) Significado de “Segurança da Informação” e a norma ISO 27001
7) Qual o significado de “Sistema de Segurança da Informação”?
8) Conformidade com HIPAA
9) Como se implementa um SGSI?
10) Como se certifica um SGSI?
11) Caso de sucesso de SGSI na Saúde
12) Próximos passos4
15-11-2014
3
PANDEMIAS E O SEU IMPACTO NAS EMPRESAS
5World Health Organization (WHO)Chapter 3 Approaches to risk management
ASPETOS RELEVANTES DAS PRÁTICAS VIGENTES
6
15-11-2014
4
7
ASPETOS RELEVANTES DAS PRÁTICAS VIGENTES
Relatório CNPD 2004
O QUE É “INFORMAÇÃO”?
8
Questões Sociais(greves,
atentados, ação política, legislação...)
Desastres Naturais(inundação, relâmpagos,
sismo , pandemias...)
ORGANIZAÇÃO
Informação Intelectual(conhecimento)
Informação Física
(Faxes, contratos, relatórios, manuais, salas técnicas, ...)
Informação Acústica
(conversações telefónicas, em público,
em reuniões, ...)
Informação Lógica
(registos electrónicos,Bases de dados, ...)
Informação Visual
(Vídeo, fotografia, video-conferência, ...)
Falhas Humanas(erros de manutenção,erros de utilizadores,falta de pessoal, ...)
Falhas Técnicas(falha de comunicações,
falta de energia, falha de equipamento, ...)
15-11-2014
5
QUE “INFORMAÇÃO” SE DEVE PROTEGER?
9
QUE “INFORMAÇÃO” SE DEVE PROTEGER?
10
15-11-2014
6
QUAIS OS CRITÉRIOS A USAR PARA SELECIONAR O QUE SE DEVE PROTEGER?
11
• Valor da informação
• Valor dos recursos usados para a sua utilização
• Relevância da informação para a atividade
• Impacto da perda ou danos na informação
• Probabilidade de ocorrer perdas ou danos na informação
• Tempo disponível para proteger a informação
• Nível de investimento disponível para proteger a informação
GESTÃO DO RISCO DA SEGURANÇA DA INFORMAÇÃO
12
• Identificar fontes de risco
• Definir critérios para tratamento e aceitação de risco
• Qualificar os riscos aplicáveis às atividades de negócio
• Quantificar os níveis de risco
• Criar Plano de Tratamento de risco
• Auditar a implementação e gestão de eficácia da mitigação
• Gerir o RISCO RESIDUAL
• Promover a melhoria contínua da gestão do risco
15-11-2014
7
COMO SE DEVE PROTEGER A INFORMAÇÃO?
13
NORMA ISO 27001:2013
14
15-11-2014
8
SIGNIFICADO DE SEGURANÇA DA INFORMAÇÃO
15Fonte: NP ISO/IEC 27001: 2013
O sistema de gestão da segurança da informação preserva a
confidencialidade, integridade e disponibilidade da informação
através da aplicação de um processo de gestão do risco e dá
confiança às partes interessada de que os riscos são geridos
adequadamente.
… a segurança da informação seja considerada na conceção de
processos, sistemas de informação e controlos.
SIGNIFICADO DE SEGURANÇA DA INFORMAÇÃO
16
Fonte: NP ISO/IEC 27001: 2013
15-11-2014
9
VETORES DE SEGURANÇA DA INFORMAÇÃO
17
Assegurar que a informação é
acessível sómente por aqueles
devidamente autorizados a
utiliza-la.
VETORES DE SEGURANÇA DA INFORMAÇÃO
18
Salvaguardar a veracidade e
complementaridade da informação bem
como os seus métodos de
processamento.
15-11-2014
10
VETORES DE SEGURANÇA DA INFORMAÇÃO
19
Assegurar que aqueles
devidamente
autorizados têm
acesso à informação
e bens associados
sempre que
necessário.
VETORES DE SEGURANÇA DA INFORMAÇÃO
20
Assegurar que a informação
confidencial é utilizada de acordo com as respetivas
autorizações formais
15-11-2014
11
VETORES DE SEGURANÇA DA INFORMAÇÃO
21
Assegurar que a identificação do
emissor e recetor da informação é fidedigna e
confirmada por uma terceira parte
“SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO” - SGSI
22
15-11-2014
12
“SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO” - SGSI
23
CONSTITUIÇÃO DE UM SGSI
24
Políticas – Processos - Procedimentos
Conformidade Legal, Contratual e Regulamentação
Gestão deRecursos de Informação
(Pessoas)(Tecnologia)(Fluxos)
Gestão do Risco
Gestão da
Continuidadedo
Negócio
Gestão de
Incidentes
Monitorização de Conformidade e Eficácia - Auditoria
15-11-2014
13
CONFORMIDADE DO SGSI
25
• Informações pessoais de saúde• Pseudónimos derivados de informações pessoais de saúde• Dados estatísticos e de pesquisa, incluindo dados anónimos derivados de dados de
identificação pessoal• Conhecimento clínico / médico não relacionado a pacientes específicos (por exemplo,
dados sobre reações adversas a medicamentos)• Dados sobre a saúde profissionais e equipes• Informações relacionadas com a vigilância da saúde pública• Dados de auditoria de saúde pública que são produzidos por informações de saúde
contendo informações pessoais de saúde ou dados sobre os utentes no que dizrespeito às informações pessoais de saúde
• Dados de segurança do sistema, por exemplo: dados de controle de acesso e outrosrelacionados com a segurança dados de configuração do sistema para sistemas deinformação de saúde
CONFORMIDADE DO SGSI
26
• A norma ISO/IEC 27001:2013 proporciona uma metodologia par a aimplementação conjunta com a HIPAA
• As 41 cláusulas da HIPAA são cobertas por mais de 90% dos contr olos danorma ISO/IEC 27001:2013
• As (boas) práticas da norma ISO/IEC 27999:2008 estão alinha das com osrequisites das clausulas da HIPAA
• A ISO/IEC 27001:2013 proporciona certificação internacio nal, nãodisponível na HIPAA
15-11-2014
14
IMPLEMENTAÇÃO DE UM SGSI
27
• Definir um projecto para Segurança da Informação• Definir um ÂMBITO DE PROTECÇÃO• Formalizar a Liderança e o Coordenador do SGSI• Definir a Política de Segurança da Informação• Identificação da Conformidade Legal
• Plano de Implementação do SGSI• Cobertura de controlos e excepções - SOA• Análise de Risco e Tratamento de Risco• Política para Gestão do Risco
• Modelo para Continuidade de Negócio e Gestão de Incidentes• Política e Plano de Continuidade de Negócio• Ensaios de PCN
• Maturidade do ISMS
• Auditoria externa de preparação• Pedido de certificação
CERTIFICAÇÃO DE UM SGSI
28
• Regulamentação e legislação• Incentivos de Marketing• Requisitos de parceria ou área de negócio• Credibilidade no sector de atividade• Demonstração de capacidade da organização• Auditoria externa periódica
Ou…
• Porque algum incidente já aconteceu….
15-11-2014
15
CERTIFICAÇÃO DE UM SGSI
29
CERTIFICAÇÃO DE UM SGSI
30
15-11-2014
16
CASO DE SUCESSO - GRÉCIA
31
� Empresa e tecnologia portuguesa
� Segurança digital e Certificação eletrónica (PKI)
� Desmaterialização total do processo
� Legislação local foi adaptada para a implementação do projeto
� Alcance de 300.000 prescrições diárias
� Abrangidos 40 mil médicos
� Utilização de assinaturas digitais e criptografia
� Está já em fase de produção
PENSAMENTOS PARA PRÓXIMOS PASSOS
32
� Não “inventar a roda” em matérias de Segurança da Informação, Gestão de Privacidade e de Continuidade de Negócio
� Mais normas se anunciam, cada vez com maior integração
� Implementar um Sistema de Gestão da Segurança da Informação é uma demonstração de maturidade de uma organização
� Existem custos financeiros, de mudança e de serviços externos
� Certificar o Sistema de Gestão da Segurança da Informação é uma decisãode estratégia empresarial para o desenvolvimento de negócio
15-11-2014
17
33
34
top related