sistemas de seguranÇa da informaÇÃo em saÚde - sdi... · 15-11-2014 1 sistemas de seguranÇa da...

17
15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014 2 BSI ISO/IEC Accredited ISMS Implementer BSI ISO/IEC 27001 Lead Auditor PECB ISO/IEC 22301 Lead Auditor PECB ISO/IEC 20000 Lead Auditor Auditor do Gabinete Nacional de Segurança Auditor Qualificado pela APCER para ISO 27001 Accredited Tier Specialist 233 pelo UpTime Institute Consultor/Auditor em Segurança da Informação Consultor/Auditor em Análise do Risco Consultor/Auditor de Continuidade de Negócio Consultor/Auditor em Gestão de Serviços IT Consultor/Auditor de Datacenters

Upload: ngotruc

Post on 08-Nov-2018

216 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

1

SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE

U M A A B O R D A G E M S I S T É M I C A

1

Paulo Borges13 NOVEMBRO 2014

2

BSI ISO/IEC Accredited ISMS ImplementerBSI ISO/IEC 27001 Lead AuditorPECB ISO/IEC 22301 Lead AuditorPECB ISO/IEC 20000 Lead Auditor

Auditor do Gabinete Nacional de SegurançaAuditor Qualificado pela APCER para ISO 27001Accredited Tier Specialist 233 pelo UpTime Institute

Consultor/Auditor em Segurança da InformaçãoConsultor/Auditor em Análise do RiscoConsultor/Auditor de Continuidade de NegócioConsultor/Auditor em Gestão de Serviços ITConsultor/Auditor de Datacenters

Page 2: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

2

3

TÓPICOS A ABORDAR

PONTOS CHAVE

1) Impacto de incidentes de saúde na segurança das organizações

2) O que é “informação”?

3) Que “informação” se deve proteger?

4) Quais os critérios a usar para selecionar o que se protege?

5) Como se deve proteger a “informação”?

6) Significado de “Segurança da Informação” e a norma ISO 27001

7) Qual o significado de “Sistema de Segurança da Informação”?

8) Conformidade com HIPAA

9) Como se implementa um SGSI?

10) Como se certifica um SGSI?

11) Caso de sucesso de SGSI na Saúde

12) Próximos passos4

Page 3: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

3

PANDEMIAS E O SEU IMPACTO NAS EMPRESAS

5World Health Organization (WHO)Chapter 3 Approaches to risk management

ASPETOS RELEVANTES DAS PRÁTICAS VIGENTES

6

Page 4: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

4

7

ASPETOS RELEVANTES DAS PRÁTICAS VIGENTES

Relatório CNPD 2004

O QUE É “INFORMAÇÃO”?

8

Questões Sociais(greves,

atentados, ação política, legislação...)

Desastres Naturais(inundação, relâmpagos,

sismo , pandemias...)

ORGANIZAÇÃO

Informação Intelectual(conhecimento)

Informação Física

(Faxes, contratos, relatórios, manuais, salas técnicas, ...)

Informação Acústica

(conversações telefónicas, em público,

em reuniões, ...)

Informação Lógica

(registos electrónicos,Bases de dados, ...)

Informação Visual

(Vídeo, fotografia, video-conferência, ...)

Falhas Humanas(erros de manutenção,erros de utilizadores,falta de pessoal, ...)

Falhas Técnicas(falha de comunicações,

falta de energia, falha de equipamento, ...)

Page 5: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

5

QUE “INFORMAÇÃO” SE DEVE PROTEGER?

9

QUE “INFORMAÇÃO” SE DEVE PROTEGER?

10

Page 6: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

6

QUAIS OS CRITÉRIOS A USAR PARA SELECIONAR O QUE SE DEVE PROTEGER?

11

• Valor da informação

• Valor dos recursos usados para a sua utilização

• Relevância da informação para a atividade

• Impacto da perda ou danos na informação

• Probabilidade de ocorrer perdas ou danos na informação

• Tempo disponível para proteger a informação

• Nível de investimento disponível para proteger a informação

GESTÃO DO RISCO DA SEGURANÇA DA INFORMAÇÃO

12

• Identificar fontes de risco

• Definir critérios para tratamento e aceitação de risco

• Qualificar os riscos aplicáveis às atividades de negócio

• Quantificar os níveis de risco

• Criar Plano de Tratamento de risco

• Auditar a implementação e gestão de eficácia da mitigação

• Gerir o RISCO RESIDUAL

• Promover a melhoria contínua da gestão do risco

Page 7: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

7

COMO SE DEVE PROTEGER A INFORMAÇÃO?

13

NORMA ISO 27001:2013

14

Page 8: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

8

SIGNIFICADO DE SEGURANÇA DA INFORMAÇÃO

15Fonte: NP ISO/IEC 27001: 2013

O sistema de gestão da segurança da informação preserva a

confidencialidade, integridade e disponibilidade da informação

através da aplicação de um processo de gestão do risco e dá

confiança às partes interessada de que os riscos são geridos

adequadamente.

… a segurança da informação seja considerada na conceção de

processos, sistemas de informação e controlos.

SIGNIFICADO DE SEGURANÇA DA INFORMAÇÃO

16

Fonte: NP ISO/IEC 27001: 2013

Page 9: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

9

VETORES DE SEGURANÇA DA INFORMAÇÃO

17

Assegurar que a informação é

acessível sómente por aqueles

devidamente autorizados a

utiliza-la.

VETORES DE SEGURANÇA DA INFORMAÇÃO

18

Salvaguardar a veracidade e

complementaridade da informação bem

como os seus métodos de

processamento.

Page 10: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

10

VETORES DE SEGURANÇA DA INFORMAÇÃO

19

Assegurar que aqueles

devidamente

autorizados têm

acesso à informação

e bens associados

sempre que

necessário.

VETORES DE SEGURANÇA DA INFORMAÇÃO

20

Assegurar que a informação

confidencial é utilizada de acordo com as respetivas

autorizações formais

Page 11: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

11

VETORES DE SEGURANÇA DA INFORMAÇÃO

21

Assegurar que a identificação do

emissor e recetor da informação é fidedigna e

confirmada por uma terceira parte

“SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO” - SGSI

22

Page 12: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

12

“SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO” - SGSI

23

CONSTITUIÇÃO DE UM SGSI

24

Políticas – Processos - Procedimentos

Conformidade Legal, Contratual e Regulamentação

Gestão deRecursos de Informação

(Pessoas)(Tecnologia)(Fluxos)

Gestão do Risco

Gestão da

Continuidadedo

Negócio

Gestão de

Incidentes

Monitorização de Conformidade e Eficácia - Auditoria

Page 13: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

13

CONFORMIDADE DO SGSI

25

• Informações pessoais de saúde• Pseudónimos derivados de informações pessoais de saúde• Dados estatísticos e de pesquisa, incluindo dados anónimos derivados de dados de

identificação pessoal• Conhecimento clínico / médico não relacionado a pacientes específicos (por exemplo,

dados sobre reações adversas a medicamentos)• Dados sobre a saúde profissionais e equipes• Informações relacionadas com a vigilância da saúde pública• Dados de auditoria de saúde pública que são produzidos por informações de saúde

contendo informações pessoais de saúde ou dados sobre os utentes no que dizrespeito às informações pessoais de saúde

• Dados de segurança do sistema, por exemplo: dados de controle de acesso e outrosrelacionados com a segurança dados de configuração do sistema para sistemas deinformação de saúde

CONFORMIDADE DO SGSI

26

• A norma ISO/IEC 27001:2013 proporciona uma metodologia par a aimplementação conjunta com a HIPAA

• As 41 cláusulas da HIPAA são cobertas por mais de 90% dos contr olos danorma ISO/IEC 27001:2013

• As (boas) práticas da norma ISO/IEC 27999:2008 estão alinha das com osrequisites das clausulas da HIPAA

• A ISO/IEC 27001:2013 proporciona certificação internacio nal, nãodisponível na HIPAA

Page 14: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

14

IMPLEMENTAÇÃO DE UM SGSI

27

• Definir um projecto para Segurança da Informação• Definir um ÂMBITO DE PROTECÇÃO• Formalizar a Liderança e o Coordenador do SGSI• Definir a Política de Segurança da Informação• Identificação da Conformidade Legal

• Plano de Implementação do SGSI• Cobertura de controlos e excepções - SOA• Análise de Risco e Tratamento de Risco• Política para Gestão do Risco

• Modelo para Continuidade de Negócio e Gestão de Incidentes• Política e Plano de Continuidade de Negócio• Ensaios de PCN

• Maturidade do ISMS

• Auditoria externa de preparação• Pedido de certificação

CERTIFICAÇÃO DE UM SGSI

28

• Regulamentação e legislação• Incentivos de Marketing• Requisitos de parceria ou área de negócio• Credibilidade no sector de atividade• Demonstração de capacidade da organização• Auditoria externa periódica

Ou…

• Porque algum incidente já aconteceu….

Page 15: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

15

CERTIFICAÇÃO DE UM SGSI

29

CERTIFICAÇÃO DE UM SGSI

30

Page 16: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

16

CASO DE SUCESSO - GRÉCIA

31

� Empresa e tecnologia portuguesa

� Segurança digital e Certificação eletrónica (PKI)

� Desmaterialização total do processo

� Legislação local foi adaptada para a implementação do projeto

� Alcance de 300.000 prescrições diárias

� Abrangidos 40 mil médicos

� Utilização de assinaturas digitais e criptografia

� Está já em fase de produção

PENSAMENTOS PARA PRÓXIMOS PASSOS

32

� Não “inventar a roda” em matérias de Segurança da Informação, Gestão de Privacidade e de Continuidade de Negócio

� Mais normas se anunciam, cada vez com maior integração

� Implementar um Sistema de Gestão da Segurança da Informação é uma demonstração de maturidade de uma organização

� Existem custos financeiros, de mudança e de serviços externos

� Certificar o Sistema de Gestão da Segurança da Informação é uma decisãode estratégia empresarial para o desenvolvimento de negócio

Page 17: SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE - SDI... · 15-11-2014 1 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA 1 Paulo Borges 13 NOVEMBRO 2014

15-11-2014

17

33

34