Estudo de caso
Construindo um programa de segurança
usando ISO 27001
American Imaging Management
Perfis da empresa e da Consultoria
A AIM, fundada em 1989, em
Deerfield, Illinois, é líder em
serviços de diagnóstico por
imagem, atendendo mais de 20
milhões de clientes.
A Hallock é uma empresa de
consultoria em Gerenciamento de
Risco, com foco na recomendação
de boas práticas e aderência à ISO
27001.
AAIM garante que o teste certo é
executado no momento certo,
que os clientes são atendidos no
endereço mais apropriado e que o
pagamento correto seja feito pelo
plano de saúde.
Fundada em 1996, sua carteira de
clientes é composta por empresas
de saúde, financeiras e varejo.
Declarações
“Como parte do compromisso da AIM com a segurança da
informações sobre saúde que temos de nossos clientes, nós
queremos ser uma referência em segurança da informação.”
Rick Gergman, CISO, AIM
“Halock nos ajudou a identificar as ameaças e os gaps em relação à
ISO 27001, além de nos ajudar a remediar nossas vulnerabilidades.”
Inna Berkovich, CIO, AIM
“A AIM se diferencia pela inovação, tecnologia e serviços; segurança
é um pré-requisito para todos esses valores.”
Brandon Cady, President, AIM
Etapas do projeto
Parte I
Levantamento dos gaps em relação à ISO 27001
•
•
•
Quantificar o posicionamento geral da AIM
Identificar áreas pouco controladas
Recomendar ações detalhadas para evitar ou
mitigar riscos
Etapas do projeto
Parte II
Plan – Do – Check - Act
•
•
•
•
•
•
•
Papéis e responsabilidades
Requerimentos legais, regulatórios e contratuais
Políticas, normas e procedimentos
Programas de tratamento de ameaças e
vulnerabilidades
Equipe de Resposta a Incidentes de S.I.
Programa de auditoria interna
Alinhamento com o Comitê de Governança
Etapas do projeto
Parte III
Refinamento e certificação ISO 27001
•
•
•
Programa operacional de Segurança
Máximo alinhamento possível
Completar o processo de certificação
Roadmap
2003
2006
2007
2008
AIM aderente às normas
do HIPAA - Privacidade
AIM contrata
a Halock
2005
Auditor independente
verifica conformidade
com a ISO 27001
AIM e Halock firmam
contrato de 18 meses
AIM aderente às normas
do HIPAA - Segurança
Auditor reporta evidências
de conformidade
com a ISO 27001
Conquista grandes
contratos , cresce 15%
Completa o registro de
certificação
HIPAA - Health Insurance Portability and Accountability Act of 1996
Inicia processo de
certificação
Resultados
• Reconhecimento de processos maduros de segurança
• Expansão nos negócios: conquista de novos contratos
totaliazando 3 milhões de vidas
• Flexibilidade para adotar medidas em resposta à
rigorosa regulamentação da área de saúde
• Implantação de processos e controles de S.I.
• Formalização da aderência à ISO 27001: certificação
• Harmonia das necessidades de segurança com a
legislação, as regulamentações e os negócios
• Maturidade em Governança