15-11-2014
SISTEMAS DE SEGURANÇA DA INFORMAÇÃO
EM SAÚDE
UMA ABORDAGEM SISTÉMICA
Paulo Borges
13 NOVEMBRO 2014
1
BSI ISO/IEC Accredited ISMS Implementer
BSI ISO/IEC 27001 Lead Auditor
PECB ISO/IEC 22301 Lead Auditor
PECB ISO/IEC 20000 Lead Auditor
Auditor do Gabinete Nacional de Segurança
Auditor Qualificado pela APCER para ISO 27001
Accredited Tier Specialist 233 pelo UpTime Institute
Consultor/Auditor em Segurança da Informação
Consultor/Auditor em Análise do Risco
Consultor/Auditor de Continuidade de Negócio
Consultor/Auditor em Gestão de Serviços IT
Consultor/Auditor de Datacenters
2
1
15-11-2014
TÓPICOS A ABORDAR
3
PONTOS CHAVE
1) Impacto de incidentes de saúde na segurança das organizações
2) O que é “informação”?
3) Que “informação” se deve proteger?
4) Quais os critérios a usar para selecionar o que se protege?
5) Como se deve proteger a “informação”?
6) Significado de “Segurança da Informação” e a norma ISO 27001
7) Qual o significado de “Sistema de Segurança da Informação”?
8) Conformidade com HIPAA
9) Como se implementa um SGSI?
10) Como se certifica um SGSI?
11) Caso de sucesso de SGSI na Saúde
12) Próximos passos
4
2
15-11-2014
PANDEMIAS E O SEU IMPACTO NAS EMPRESAS
World Health Organization (WHO)
Chapter 3 Approaches to risk management
5
ASPETOS RELEVANTES DAS PRÁTICAS VIGENTES
6
3
15-11-2014
ASPETOS RELEVANTES DAS PRÁTICAS VIGENTES
7
Relatório CNPD 2004
O QUE É “INFORMAÇÃO”?
Informação
Acústica
Desastres Naturais
(inundação, relâmpagos,
sismo , pandemias...)
Falhas Técnicas
(falha de comunicações,
falta de energia,
falha de equipamento, ...)
Falhas Humanas
(erros de manutenção,
erros de utilizadores,
falta de pessoal, ...)
(conversações
telefónicas, em público,
em reuniões, ...)
Informação
Lógica
(registos electrónicos,
Bases de dados, ...)
(Faxes, contratos,
relatórios, manuais,
salas técnicas, ...)
ORGANIZAÇÃO
Informação
Visual
(Vídeo, fotografia,
video-conferência, ...)
Questões Sociais
(greves,
atentados,
ação política,
legislação...)
Informação
Física
Informação
Intelectual
(conhecimento)
8
4
15-11-2014
QUE “INFORMAÇÃO” SE DEVE PROTEGER?
9
QUE “INFORMAÇÃO” SE DEVE PROTEGER?
10
5
15-11-2014
QUAIS OS CRITÉRIOS A USAR PARA
SELECIONAR O QUE SE DEVE PROTEGER?
•
•
•
•
•
•
•
Valor da informação
Valor dos recursos usados para a sua utilização
Relevância da informação para a atividade
Impacto da perda ou danos na informação
Probabilidade de ocorrer perdas ou danos na informação
Tempo disponível para proteger a informação
Nível de investimento disponível para proteger a informação
11
GESTÃO DO RISCO DA SEGURANÇA DA
INFORMAÇÃO
•
•
•
•
•
•
•
•
Identificar fontes de risco
Definir critérios para tratamento e aceitação de risco
Qualificar os riscos aplicáveis às atividades de negócio
Quantificar os níveis de risco
Criar Plano de Tratamento de risco
Auditar a implementação e gestão de eficácia da mitigação
Gerir o RISCO RESIDUAL
Promover a melhoria contínua da gestão do risco
12
6
15-11-2014
COMO SE DEVE PROTEGER A INFORMAÇÃO?
13
NORMA ISO 27001:2013
14
7
15-11-2014
SIGNIFICADO DE SEGURANÇA DA INFORMAÇÃO
O sistema de gestão da segurança da informação preserva a
confidencialidade, integridade e disponibilidade da informação
através da aplicação de um processo de gestão do risco e dá
confiança às partes interessada de que os riscos são geridos
adequadamente.
… a segurança da informação seja considerada na conceção de
processos, sistemas de informação e controlos.
Fonte: NP ISO/IEC 27001: 2013
15
SIGNIFICADO DE SEGURANÇA DA INFORMAÇÃO
16
Fonte: NP ISO/IEC 27001: 2013
8
15-11-2014
VETORES DE SEGURANÇA DA INFORMAÇÃO
Assegurar que a
informação é
acessível sómente
por aqueles
devidamente
autorizados a
utiliza-la.
17
VETORES DE SEGURANÇA DA INFORMAÇÃO
Salvaguardar a
veracidade e
complementaridade
da informação bem
como os seus
métodos de
processamento.
18
9
15-11-2014
VETORES DE SEGURANÇA DA INFORMAÇÃO
Assegurar que aqueles
devidamente
autorizados têm
acesso à informação
e bens associados
sempre que
necessário.
19
VETORES DE SEGURANÇA DA INFORMAÇÃO
Assegurar que a
informação
confidencial é
utilizada de acordo
com as respetivas
autorizações formais
20
10
15-11-2014
VETORES DE SEGURANÇA DA INFORMAÇÃO
Assegurar que a
identificação do
emissor e recetor da
informação é
fidedigna e
confirmada por uma
terceira parte
21
“SISTEMA DE GESTÃO DA
SEGURANÇA DA INFORMAÇÃO” - SGSI
22
11
15-11-2014
“SISTEMA DE GESTÃO DA
SEGURANÇA DA INFORMAÇÃO” - SGSI
23
CONSTITUIÇÃO DE UM SGSI
Políticas – Processos - Procedimentos
Conformidade Legal, Contratual e Regulamentação
Gestão de
Recursos de
Informação
(Pessoas)
(Tecnologia)
(Fluxos)
Gestão
do Risco
Gestão
de
Incidentes
Gestão
da
Continuidade
do
Negócio
Monitorização de Conformidade e Eficácia - Auditoria
24
12
15-11-2014
CONFORMIDADE DO SGSI
• Informações pessoais de saúde
• Pseudónimos derivados de informações pessoais de saúde
• Dados estatísticos e de pesquisa, incluindo dados anónimos derivados de dados de
identificação pessoal
• Conhecimento clínico / médico não relacionado a pacientes específicos (por exemplo,
dados sobre reações adversas a medicamentos)
• Dados sobre a saúde profissionais e equipes
• Informações relacionadas com a vigilância da saúde pública
• Dados de auditoria de saúde pública que são produzidos por informações de saúde
contendo informações pessoais de saúde ou dados sobre os utentes no que diz
respeito às informações pessoais de saúde
• Dados de segurança do sistema, por exemplo: dados de controle de acesso e outros
relacionados com a segurança dados de configuração do sistema para sistemas de
informação de saúde
25
CONFORMIDADE DO SGSI
• A norma ISO/IEC 27001:2013 proporciona uma metodologia para a
implementação conjunta com a HIPAA
• As 41 cláusulas da HIPAA são cobertas por mais de 90% dos controlos da
norma ISO/IEC 27001:2013
• As (boas) práticas da norma ISO/IEC 27999:2008 estão alinhadas com os
requisites das clausulas da HIPAA
• A ISO/IEC 27001:2013 proporciona certificação internacional, não
disponível na HIPAA
26
13
15-11-2014
IMPLEMENTAÇÃO DE UM SGSI
• Definir um projecto para Segurança da Informação
• Definir um ÂMBITO DE PROTECÇÃO
• Formalizar a Liderança e o Coordenador do SGSI
• Definir a Política de Segurança da Informação
• Identificação da Conformidade Legal
• Plano de Implementação do SGSI
• Cobertura de controlos e excepções - SOA
• Análise de Risco e Tratamento de Risco
• Política para Gestão do Risco
• Modelo para Continuidade de Negócio e Gestão de Incidentes
• Política e Plano de Continuidade de Negócio
• Ensaios de PCN
• Maturidade do ISMS
• Auditoria externa de preparação
• Pedido de certificação
27
CERTIFICAÇÃO DE UM SGSI
•
•
•
•
•
•
Regulamentação e legislação
Incentivos de Marketing
Requisitos de parceria ou área de negócio
Credibilidade no sector de atividade
Demonstração de capacidade da organização
Auditoria externa periódica
Ou…
• Porque algum incidente já aconteceu….
28
14
15-11-2014
CERTIFICAÇÃO DE UM SGSI
29
CERTIFICAÇÃO DE UM SGSI
30
15
15-11-2014
CASO DE SUCESSO - GRÉCIA
Empresa e tecnologia portuguesa
Segurança digital e Certificação eletrónica (PKI)
Desmaterialização total do processo
Legislação local foi adaptada para a implementação do projeto
Alcance de 300.000 prescrições diárias
Abrangidos 40 mil médicos
Utilização de assinaturas digitais e criptografia
Está já em fase de produção
31
PENSAMENTOS PARA PRÓXIMOS PASSOS
Não “inventar a roda” em matérias de Segurança da Informação,
Gestão de Privacidade e de Continuidade de Negócio
Mais normas se anunciam, cada vez com maior integração
Implementar um Sistema de Gestão da Segurança da Informação é uma
demonstração de maturidade de uma organização
Existem custos financeiros, de mudança e de serviços externos
Certificar o Sistema de Gestão da Segurança da Informação é uma decisão
de estratégia empresarial para o desenvolvimento de negócio
32
16
15-11-2014
33
34
17
Download

APCER - SDI na Saude - 13 NOV 2014