15-11-2014 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO EM SAÚDE UMA ABORDAGEM SISTÉMICA Paulo Borges 13 NOVEMBRO 2014 1 BSI ISO/IEC Accredited ISMS Implementer BSI ISO/IEC 27001 Lead Auditor PECB ISO/IEC 22301 Lead Auditor PECB ISO/IEC 20000 Lead Auditor Auditor do Gabinete Nacional de Segurança Auditor Qualificado pela APCER para ISO 27001 Accredited Tier Specialist 233 pelo UpTime Institute Consultor/Auditor em Segurança da Informação Consultor/Auditor em Análise do Risco Consultor/Auditor de Continuidade de Negócio Consultor/Auditor em Gestão de Serviços IT Consultor/Auditor de Datacenters 2 1 15-11-2014 TÓPICOS A ABORDAR 3 PONTOS CHAVE 1) Impacto de incidentes de saúde na segurança das organizações 2) O que é “informação”? 3) Que “informação” se deve proteger? 4) Quais os critérios a usar para selecionar o que se protege? 5) Como se deve proteger a “informação”? 6) Significado de “Segurança da Informação” e a norma ISO 27001 7) Qual o significado de “Sistema de Segurança da Informação”? 8) Conformidade com HIPAA 9) Como se implementa um SGSI? 10) Como se certifica um SGSI? 11) Caso de sucesso de SGSI na Saúde 12) Próximos passos 4 2 15-11-2014 PANDEMIAS E O SEU IMPACTO NAS EMPRESAS World Health Organization (WHO) Chapter 3 Approaches to risk management 5 ASPETOS RELEVANTES DAS PRÁTICAS VIGENTES 6 3 15-11-2014 ASPETOS RELEVANTES DAS PRÁTICAS VIGENTES 7 Relatório CNPD 2004 O QUE É “INFORMAÇÃO”? Informação Acústica Desastres Naturais (inundação, relâmpagos, sismo , pandemias...) Falhas Técnicas (falha de comunicações, falta de energia, falha de equipamento, ...) Falhas Humanas (erros de manutenção, erros de utilizadores, falta de pessoal, ...) (conversações telefónicas, em público, em reuniões, ...) Informação Lógica (registos electrónicos, Bases de dados, ...) (Faxes, contratos, relatórios, manuais, salas técnicas, ...) ORGANIZAÇÃO Informação Visual (Vídeo, fotografia, video-conferência, ...) Questões Sociais (greves, atentados, ação política, legislação...) Informação Física Informação Intelectual (conhecimento) 8 4 15-11-2014 QUE “INFORMAÇÃO” SE DEVE PROTEGER? 9 QUE “INFORMAÇÃO” SE DEVE PROTEGER? 10 5 15-11-2014 QUAIS OS CRITÉRIOS A USAR PARA SELECIONAR O QUE SE DEVE PROTEGER? • • • • • • • Valor da informação Valor dos recursos usados para a sua utilização Relevância da informação para a atividade Impacto da perda ou danos na informação Probabilidade de ocorrer perdas ou danos na informação Tempo disponível para proteger a informação Nível de investimento disponível para proteger a informação 11 GESTÃO DO RISCO DA SEGURANÇA DA INFORMAÇÃO • • • • • • • • Identificar fontes de risco Definir critérios para tratamento e aceitação de risco Qualificar os riscos aplicáveis às atividades de negócio Quantificar os níveis de risco Criar Plano de Tratamento de risco Auditar a implementação e gestão de eficácia da mitigação Gerir o RISCO RESIDUAL Promover a melhoria contínua da gestão do risco 12 6 15-11-2014 COMO SE DEVE PROTEGER A INFORMAÇÃO? 13 NORMA ISO 27001:2013 14 7 15-11-2014 SIGNIFICADO DE SEGURANÇA DA INFORMAÇÃO O sistema de gestão da segurança da informação preserva a confidencialidade, integridade e disponibilidade da informação através da aplicação de um processo de gestão do risco e dá confiança às partes interessada de que os riscos são geridos adequadamente. … a segurança da informação seja considerada na conceção de processos, sistemas de informação e controlos. Fonte: NP ISO/IEC 27001: 2013 15 SIGNIFICADO DE SEGURANÇA DA INFORMAÇÃO 16 Fonte: NP ISO/IEC 27001: 2013 8 15-11-2014 VETORES DE SEGURANÇA DA INFORMAÇÃO Assegurar que a informação é acessível sómente por aqueles devidamente autorizados a utiliza-la. 17 VETORES DE SEGURANÇA DA INFORMAÇÃO Salvaguardar a veracidade e complementaridade da informação bem como os seus métodos de processamento. 18 9 15-11-2014 VETORES DE SEGURANÇA DA INFORMAÇÃO Assegurar que aqueles devidamente autorizados têm acesso à informação e bens associados sempre que necessário. 19 VETORES DE SEGURANÇA DA INFORMAÇÃO Assegurar que a informação confidencial é utilizada de acordo com as respetivas autorizações formais 20 10 15-11-2014 VETORES DE SEGURANÇA DA INFORMAÇÃO Assegurar que a identificação do emissor e recetor da informação é fidedigna e confirmada por uma terceira parte 21 “SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO” - SGSI 22 11 15-11-2014 “SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO” - SGSI 23 CONSTITUIÇÃO DE UM SGSI Políticas – Processos - Procedimentos Conformidade Legal, Contratual e Regulamentação Gestão de Recursos de Informação (Pessoas) (Tecnologia) (Fluxos) Gestão do Risco Gestão de Incidentes Gestão da Continuidade do Negócio Monitorização de Conformidade e Eficácia - Auditoria 24 12 15-11-2014 CONFORMIDADE DO SGSI • Informações pessoais de saúde • Pseudónimos derivados de informações pessoais de saúde • Dados estatísticos e de pesquisa, incluindo dados anónimos derivados de dados de identificação pessoal • Conhecimento clínico / médico não relacionado a pacientes específicos (por exemplo, dados sobre reações adversas a medicamentos) • Dados sobre a saúde profissionais e equipes • Informações relacionadas com a vigilância da saúde pública • Dados de auditoria de saúde pública que são produzidos por informações de saúde contendo informações pessoais de saúde ou dados sobre os utentes no que diz respeito às informações pessoais de saúde • Dados de segurança do sistema, por exemplo: dados de controle de acesso e outros relacionados com a segurança dados de configuração do sistema para sistemas de informação de saúde 25 CONFORMIDADE DO SGSI • A norma ISO/IEC 27001:2013 proporciona uma metodologia para a implementação conjunta com a HIPAA • As 41 cláusulas da HIPAA são cobertas por mais de 90% dos controlos da norma ISO/IEC 27001:2013 • As (boas) práticas da norma ISO/IEC 27999:2008 estão alinhadas com os requisites das clausulas da HIPAA • A ISO/IEC 27001:2013 proporciona certificação internacional, não disponível na HIPAA 26 13 15-11-2014 IMPLEMENTAÇÃO DE UM SGSI • Definir um projecto para Segurança da Informação • Definir um ÂMBITO DE PROTECÇÃO • Formalizar a Liderança e o Coordenador do SGSI • Definir a Política de Segurança da Informação • Identificação da Conformidade Legal • Plano de Implementação do SGSI • Cobertura de controlos e excepções - SOA • Análise de Risco e Tratamento de Risco • Política para Gestão do Risco • Modelo para Continuidade de Negócio e Gestão de Incidentes • Política e Plano de Continuidade de Negócio • Ensaios de PCN • Maturidade do ISMS • Auditoria externa de preparação • Pedido de certificação 27 CERTIFICAÇÃO DE UM SGSI • • • • • • Regulamentação e legislação Incentivos de Marketing Requisitos de parceria ou área de negócio Credibilidade no sector de atividade Demonstração de capacidade da organização Auditoria externa periódica Ou… • Porque algum incidente já aconteceu…. 28 14 15-11-2014 CERTIFICAÇÃO DE UM SGSI 29 CERTIFICAÇÃO DE UM SGSI 30 15 15-11-2014 CASO DE SUCESSO - GRÉCIA Empresa e tecnologia portuguesa Segurança digital e Certificação eletrónica (PKI) Desmaterialização total do processo Legislação local foi adaptada para a implementação do projeto Alcance de 300.000 prescrições diárias Abrangidos 40 mil médicos Utilização de assinaturas digitais e criptografia Está já em fase de produção 31 PENSAMENTOS PARA PRÓXIMOS PASSOS Não “inventar a roda” em matérias de Segurança da Informação, Gestão de Privacidade e de Continuidade de Negócio Mais normas se anunciam, cada vez com maior integração Implementar um Sistema de Gestão da Segurança da Informação é uma demonstração de maturidade de uma organização Existem custos financeiros, de mudança e de serviços externos Certificar o Sistema de Gestão da Segurança da Informação é uma decisão de estratégia empresarial para o desenvolvimento de negócio 32 16 15-11-2014 33 34 17