Upload
rui-gomes
View
382
Download
4
Embed Size (px)
DESCRIPTION
Citation preview
Orientação: Doutor Luís Miguel Velez Lapão Co-orientação: Doutor Luís Filipe Coelho Antunes 12 de Novembro de 2010
Constituição do Júri:
Presidente: Doutor Altamiro Manuel Rodrigues da Costa Pereira, professor catedrático, Faculdade de Medicina da Universidade do Porto;
Vogal: Doutor Luís Miguel Velez Lapão, professor auxiliar convidado, Instituto de Higiene e Medicina Tropical, Universidade Nova de Lisboa (orientador);
Vogal: Doutor Ricardo João Cruz Correia, professor auxiliar, Faculdade de Medicina da Universidade do Porto;
Vogal: Doutor André Ventura da Cruz Marnoto Zúquete, professor auxiliar, Departamento de Electrónica, Telecomunicações e Informática, Universidade de Aveiro.
Provas de Mestrado - Informática Médica
2003
INTRODUÇÃO
METODOLOGIA INVESTIGAÇÃO
CONCLUSÕES E PERSPECTIVAS FUTURO
ESTUDO DE CASO E RESULTADOS
OBJECTIVOS
ENSAIO DE RESPOSTA A QUESTÕES
1 2
2001
A (In) Segurança No Acesso À Informação
Segundo dados da UMIC já em 2004 97% dos hospitais tinham
acesso interno à internet generalizado a grande número de
colaboradores. O aumento de utilização das VPN para
colaboradores e empresas e a emulação e as sistemas de
simulação de extranet.
Processos Ambiente Físico
Tecnologias
Pessoas
Organização
Políticas
Privacidade e Acesso à
Informação Clínica
INTRODUÇÃO
3 4
Muitas vezes as Segurança para as empresas é só ajudar
os clientes a protegerem-se das ameaças externas ao
nível da circulação de informação electrónica (anti-virus,
certificados digitais, firewall, etc…)
2001
A Gestão Da Segurança Da Informação
Segurança Tecnologias Anti-virus Intrusão Detecção Encriptação Firewall Certificados Vigilância
Segurança Informação Gestão Privacidade Cultura Integridade Incidentes Segurança Confidencialidade Propriedade intelectual
Problema de
Gestão
Não é um Problema
de Tecnologias
• Negligência dos colaboradores;
• Falta de capacidades compatíveis funções;
• Desconhecimento ou ignorância;
• Crime premeditado ou por conveniência;
O Elo Mais Fraco
INTRODUÇÃO INTRODUÇÃO
5 6
INTRODUÇÃO
2001
Motivações As equipas dos Departamentos de Sistemas de Informação têm pouca participação ou motivação em grupos… Qualidade, Gestão de Risco, Segurança, etc..
“Comité Olímpico”
Os Departamentos de Sistemas de Informação vivem sujeitos a imensa adversidade e Riscos contantes, que algures no tempo, senão forem tratados criam impacto.
“Teoria do Caos”
Anti-Virus
Firewall
Patchs
Proxy
Política Utilização
Políticas Acesso
Organização
Cultura
INTRODUÇÃO
Exemplo
Seg. Física
Seg. Lógica
asset ?
? ?
7 8
Exemplo de uma paragem por completo num hospital publico durante aproximadamente 24 horas devido a uma alteração de denominação de rede de um equipamento que posteriormente não foi possível identificar no meio.
Objectivos Gerais
Mostrar a importância de sensibilizar gestores
das DSI e Executivos para os aspectos que são
críticos na ausência de uma infraestrutura
segura e as oportunidades perdidas pelo facto
de não se possuirem modelos de boas
práticas.
INTRODUÇÃO
2001
9 10
Objectivos Específicos
Desmistificar a complexidade aparente da multiplicidade de normas existentes;
Apresentar indicadores de benefícios existentes numa infraestrutura segura;
Apurar as vantagens da determinação do Risco na altura do planeamento estratégico;
Apoiar efectivamente no preenchimento de uma gap analysis para apuramento do estado de arte;
OBJECTIVOS
Elaboração de Estratégias para a resolução dos problemas comuns
METODOLOGIA INVESTIGAÇÃO
Proteger Informação de Saúde
Apuramento dedutivo
Maturidade Actores
Base de trabalho
CAP 4: Definição e Exposição do Problema
11 12
2001 Aumento da exposição ao Risco
Complexidade dos Riscos
Complexidade na Protecção Riscos
Bem (Asset)
Cultura
Ambiente Físico
Confidencialidade Propriedade Intelectual
Gestão
Privacidade
Asset (Bem)
Incidentes Segurança
METODOLOGIA INVESTIGAÇÃO
Definição de asset no ambiente
13 14
Gerir a Segurança
Níves de maturidade da informação clínica e a sua relação com o RISCO
é necessário vigiar os Riscos
e melhorar mecanismos de protecção
Os mecanismos de protecção não são suficientes.
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
15 16
Ou seja, é necessário…
2001
CAP 3: Estrutura e Governo das TI
Corporate Governance Necessidade de alinhamento entre os interesses dos gestores, auditores e stakeholders. Subjacente numa gestão consistente e políticas organizadas. Deve conduzir e estabelecer um governo para as Tecnologias da Informação (IT-Governance).
METODOLOGIA INVESTIGAÇÃO
Tal como o termo governance está associado aos actos de controlar, dirigir ou regular as acções de uma entidade, o IT-Governance, será o acto de regular os processos das TI dessa entidade.
IT Governance
17 18
Presente Futuro Orientação
Temporal
Orientação
Negócio
Interno
IT
Management
IT
Governance
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Potenciar o negócio
Eficiência Operacional
(redução de custos, automatização de processos, aumento da
produtividade)
Habilitador Negócio
(satisfação cliente, apoio a novas oportunidades de negócio, melhorar
cadeia valor)
Mitigação do Risco (melhorar a segurança, controlo de acessos, reduzir probabilidade de
quebras seg.)
Compliance & Auditoria
(assegurar a privacidade do utente, mais facil compliance, permitir
auditabilidade)
Em consequência destas necessidades existem implementações de frameworks de gestão:
Enterprise Risk Management da COSO (Committee of Sponsoring Organizations of The Treadway Commission), orientado para o Corporate Governance,
Risk IT da COBIT (Control Objectives for Information and Related Technology), centrado no IT Governance
Gestão do Risco
1
19 20
Ava
liaçã
o d
e R
isco
s
Gestão de Risco
Identificar Controlar
Monitorizar Implementar Planear
Avaliar
Mitigar o risco
Implementar controlos técnicos de mitigação de risco (por exemplo uma
firewall)
Evitar o risco
Decidir não avançar ou não implementar
Aceitar o Risco
Decidir que o nível de risco identificado está
dentro do limiar de tolerância das
capacidades da organização
Transferir o risco
Aquisição de seguros ou outsourcing
Gestão do Risco Formas de abordar do Risco
A implementação de mitigação de riscos envolve tipicamente as Pessoas, os Processos e as Tecnologias.
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
21 22
CAP 5: Arquitectura Empresarial e Social
Claúsulas de abrangência
METODOLOGIA INVESTIGAÇÃO
Aspectos Físico s
Aspec tos técnicos
Operacional
Políticas Segurança
Organização Segurança
Gestão Bens
Conformidades
Segurança Pessoas
Gestão Continuidade Negócio
Controlo Acesso
Comunicações & Gestão de Operações
Segurança Física & Ambiental
Aspectos Tácticos
Táctico
Desenvolvimento
Sistemas & Manutenção
23 24
Do Caos à Estrutura
Lidar com a Complexidade
Papel do CEO, CIO, CISO e CTO
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
CTO
CIO
INCERTEZA
CEPTICISMO ACEITAÇÃO
CONFIANÇA
RESPEITO
t
Gestão
SI/TI
Governança
SI/TI
Operacional Estratégia
Engenharia Arquitectura
25 26
Só a existência de uma arquitectura pode responder às
questões da complexidade e da mudança. É a única
forma que a Humanidade tem de lidar com elas. Ao
caos opõe-se à estrutura. Zachman
METODOLOGIA INVESTIGAÇÃO
CAP 6: Infraestruturas/Problemas Comuns
Baseado em Evidências
Observações
Conhecimento
Os problemas mais comuns são apresentados em 19
tópicos que denunciam a maior parte das
vulnerabilidades encontradas nos hospitais no âmbito
da Segurança da Informação.
27 28
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Problemas generalizados
29 30
Acesso físico, infraestrutura de rede e comunicações
Ace
sso
fís
ico
, in
frae
stru
tura
de
red
e e
com
un
icaç
ões
Am
bie
nte
uti
lizad
or
Soluções baseadas em web, cliente/servidor, terminal, stand alone
Ace
sso
fís
ico
, in
frae
stru
tura
de
red
e e
com
un
icaç
ões
Am
bie
nte
ap
licac
ion
al
Sup
ort
e
Admissão, Altas,
Transferências, Facturação,
Agendamento
Recursos Humanos,
Contabilidade,
Aprovisionamento
Ne
góci
o
SI(s) Laboratório, Clínicos,
Farmacia, Nutrição, Imuno,
Imagiologia, etc.
SI(s) Cardiologia,
Oftalmologia, Oncologia,
Medicina, Fisiatria, etc.
Ligadas
Isoladas
Am
bie
nte
de
bas
e d
e d
ado
s
Acesso físico, infra-estrutura de rede e comunicações
Sistema de Gestão de Doentes
Arquitectura típica de um ambiente rudimentar de informação hospitalar
Gestão de
assets
Plano continuidade
negócio
Gestão de
incidências
Gestão serviços
(ITIL)
Gestão identidades
Políticas hardening
Plano disaster recover
Credenciais
SGRH
Políticas
Gestão Contratos/
Outsourcing
?
?
?
?
?
METODOLOGIA INVESTIGAÇÃO
CAP 7: Elaboração de Estratégias para a resolução dos problemas comuns
Disponibilizar e proteger informação de saúde requer um modelo de operação que permita assegurar:
Como deve ser disponibilizada essa informação;
A quem deve ser disponibilizada a informação;
Quem deve ter acesso a essa informação;
Durante quanto tempo deve ser disponibilizada essa informação.
31 32
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Quais as melhores práticas para implementar a gestão da segurança?
Qual o melhor processo de avaliação de riscos?
Quais as melhores práticas de protecção?
Como utilizar o melhor da indústria?
Normas
A importância e significado das normas
O Organismo Nacional de Normalização (ONN) : IPQ, ONS, NP
Os organismos Regionais (Europeus) de Normalização são o : CEN, CENELEC, ETSI.
Os organismos Internacionais de Normalização são: ISO, IEC
33 34
O melhor é seguir com base em…
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Governo Electrónico
Outras Industrias
Industria Saúde
Modelo Gestão
ISO 27799 (ISO/TC 215)
ISO/IEC 27001 ISO/IEC 27001 COBIT ISO/IEC 20000 ISO/IEC 27001
Denominador comum
ISO/IEC 27002
Expectativas da implementação de um modelo de gestão baseado em ISO/IEC 27002
Grande impacto
1 Implementação de boas práticas
2 Avaliação do estado dos controlos
3 Definir metas para a segurança da informação
4 Redução da frequência e impacto de incidentes
Médio impacto
5 Conformidade com as políticas internas
6 Intregração do sistema com o programa ISRM
7 Ir ao encontro dos requisitos de regulamentação
8 Maximizar o investimento realizado
De convergência
9 Obtenção de vantagens competitivas
10 Ir ao encontro dos requisitos da tutela
11 Adaptar-se às alterações do mercado
12 Controlo e redução de custos
Benefícios mais comuns associados à ISO/IEC 27002 (ISF)
35 36
ISO/IEC 20000
ISO 27799, TC 215 WG4
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
1 Política de Segurança da Informação
2 Organização da Segurança da Informação
3 Gestão de Recursos
4 Gestão de Recursos Humanos
5 Gestão da segurança física e ambiental
6 Gestão das Comunicações e Operações
7 Controlo de acessos
8 Aquisições, manutenções e desenv. de sistemas
9 Gestão de incidentes de segurança da informação
10 Plano de gestão da continuidade de negócio
11 Conformidade com os aspectos legais
Cláusulas da ISO/IEC 27002:2005
37 38
A origem da norma certificadora da segurança
METODOLOGIA INVESTIGAÇÃO
CAP 8: Aplicação de um SGSI
Estrutura de um SGSI
Família TC 215 - ISO 27000 também conhecida como ISO 27k
ISO/IEC 27000 - vocabulário e definições utilizadas
27005
Gestão de Risco
(ISO 13335)
27001 - requisitos para um SGSI
27002 - Boas Práticas para um SGSI
27003 - Guia de Implementação SGSI
27004 - Métricas e Medidas avaliar SGSI
39 40
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Implementação de um SGSI
«Estabelecer SGSI»
«Implementar e operar
SGSI»
«Verificação, Monitorização, Revisão
do SGSI»
«Manutenção e melhoria
do SGSI»
41 42
Visão e Objectivos Onde
gostariamos de estar?
ISO 27002
Avaliações Onde
estamos? ISO 27004
Desenho de TI Como
podemos chegar?
ISO 27003
Métricas Como
sabemos se chegámos?
ISO 27004
Avaliação de um SGSI
ESTUDO DE CASO
CAP 09: Estudo de Caso Hospital
(CS1) Gestão da Segurança
(CS2) Gestão Serviços de TI
Governo Electrónico
Governo SI/TI
(COBIT)
Gestão da Segurança
ISO 27002
Boas Práticas SI/TI
(ISO 20000/ ITIL)
43 44
RESULTADOS CIENTÍFICOS (ANEXO C): Gomes, R. J., Lapão, L.V. et al. (2008). "The Adoption of IT Security Standards in a Healthcare Environment." eHealth Beyond the Horizon – Get IT There S.K. Andersen et l. (Eds.) IOS Press, MIE 2008 (ANEXO D): Lapão, L. V., Rebuge, A., Silva,M.S., Gomes, R. J. “ ITIL Assessment in a Healthcare Environment: The Role of IT Governance at Hospital São Sebastião”. Medical Informatics in a United and Healthy Europe K.-P.
Adlassnig et al. (Eds.). IOS Press
ESTUDO DE CASO
(CS1) Gestão da Segurança Local: Hospital Ano: 2008 Scope: Âmbito reduzido no Datacenter
Produção de um documento de Statement of Applicability, no âmbito de um Centro de Dados (documentação dos riscos e a forma como devem ser mitigados)
1 •Avaliação inicial de dados e documentos
2 •Auditoria preliminar às infra-estruturas
3 •Análise de documentação da organização
4 •Entrevistas a elementos da organização
5
•Mapeamento e confrontação com os 11 controlos da norma ISO/IEC 27002:2005
6 •Produção de relatórios de Gap Analysis
ESTUDO DE CASO
As 11 cláusulas que compõem a ISO/IEC 27002 possuem um conjunto de subsets baseados nas estruturas da ISO/EIC 27002 e de acordo com uma escala de níveis de risco que foram especificados (H-M-L):
H: 76-100% hipótese de ocorrer uma ameaça durante o período de um ano. M: 26-75% hipótese de ocorrer uma ameaça durante o período de um ano. L: 0-25% hipótese de ocorrer uma ameaça durante o período de um ano.
45 46
ESTUDO DE CASO
Resultados:
Processos críticos e níveis de risco.
Foram implementados controlos de segurança para os processos críticos H.
# ISO 27002 Section Risk Level
(control objective)
H M L
1 Security Policy 0 1 0
2 Organizing Information Security 0 1 1
3 Asset Management 2 0 0
4 Human Resources Security 0 1 2
5 Physical and Environmental Security 1 1 0
6 Communications & Operations Management 8 2 0
7 Access Control 5 2 0
8 Information Systems Acquisition, Development and Maintenance 0 4 2
9 Information Security Incident Management 0 2 0
10 Business Continuity Management 0 0 1
11 Compliance 0 1 2
ESTUDO DE CASO
(CS2) Gestão de Serviços de TI Local: Hospital Ano: 2008 Scope: Ambito da DSI
O objectivo do assessment ITIL foi ajudar a encontrar lacunas/fraquezas relacionadas com a utilização das TI e a que distância estava o hospital de as superar.
A que nível o hospital consegue suportará iniciativas de mudança de melhoria nos processos?
Capacidade e papéis dos colaboradores
Maturidade na Entrega de Serviço
Maturidade Suporte de Serviço.
47 48
ESTUDO DE CASO
Foi realizado um levantamento dos papeis dos colaboradores e das suas responsabilidades utilizando uma Matriz ARCI (Accountable, Responsible, Consulted, and Informed) que permitiu clarificar e cruzar as funções com as responsabilidades.
ESTUDO DE CASO
Capacidade e papéis dos colaboradores
1 2 3 4 5 6 7 8 9 10 11 12 13 14
CIO A/R R A/R I A/I C/I C/I A/R A/R A/R A/R A/R A/R A/R
Network Manager C/I R R R R R R R R
Project Manager C/I R R R R A A R A/R/I R R R R
Technician 1 C/I R R C/I
Programmer 1 C/I R C/I R R R
Database Manager C/I R R A/R R R R R R/C/I R R R R
Support DB Manager C/I R R R R R R/C/I R
Programmer 2 C/I R C R R R R R R R R R R
Programmer 3 C/I R R R R R C/I R
Programmer 4 C/I R R R R R C/I R
Technician 2 C/I R R C/I
Esta matriz revelou que existe um grande nível de funções em overlap entre os colaboradores que apontam para ineficiências nas questões de IT Service Management.
Maturidade na entrega de Serviço (Service Delivery)
Podemos verificar que o nível de maturidade do Service Level Management é < a 1 o que significa que os processos seriam realizados numa forma had-hoc sem definição e planeamento.
0,0
1,0
2,0
3,0
4,0
5,0
Service LevelManagement
Financial Management
Capacity ManagementIT Service Continuity
Management
Availability Management
Service Delivery
49 50
ESTUDO DE CASO ESTUDO DE CASO
Maturidade Suporte ao Serviço (Service Support)
O nível de maturidade no serviço incident management é < a 1, e o que não se considera aceitável para um hospital.
0,0
1,0
2,0
3,0
4,0
5,0Service Desk
Incident Management
Problem Management
ConfigurationManagement
Change Management
Release Management
Service Support
Foi necessário realizar um estudo mais detalhado Service Support ( Indicent management)
O principal objectivo da gestão de incidentes é garantir a reposição desse serviço o mais rapidamente possível mitigando os riscos associados a esse restabelecimento e eliminando o mais possível os efeitos colaterais.
Foi adoptado o método de Steinberg que considera no processo de analise de maturidade a visão, a tecnologia, os processos, cultura e as pessoas.
Steinberg, R.A. (2008) Implementing ITIL: Adapting Your IT
Organization to the Coming Revolution in IT Service Management.
Service Support (Incident Management)
51 52
ESTUDO DE CASO
0
1
2
3
4
5Vision and Steering
Process
PeopleCulture
Technology
Tecnologia e os Processos: 2
Vision & Steering, Pessoas e Cultura: 1
Vista em detalhe, segundo Steinberg, do nível de maturidade Incident Management
53 54
O esforço a realizar terá de ser no âmbito da relação com as pessoas, e com a organização em geral, gestão das expectativas, acompanhamento dos processos, promovendo uma cultura de prestador de serviço ou através de outras formas de gestão.
SGSTI SGSI
Orientado ao Serviço Orientada ao Risco
Garantir a entrega de Serviço de acordo com os requisitos e os níveis de serviço acordados com base em:
disponibilidade performance
Garantir a segurança da informação relativamente ao seus requisitos de:
confidencialidade, integridade disponibilidade
Dentro das TI Transversal à organização
Conclusões do Estudo de Caso
ENSAIO DE RESPOSTA A QUESTÕES
CAP 10: Ensaio de Resposta a Problemas
• Quais serão as melhores práticas para implementar a Gestão da Segurança na minha organização?
• Qual é o melhor processo de avaliação dos riscos e como se pode e deve implementar?
• Quais as melhores práticas de protecção dos recursos de informação da empresa?
• Como podemos comparar os esforços de protecção da informação na organização com o melhor que a indústria tem para oferecer?
• Como se pode extrair visibilidade dos investimentos aplicados em segurança e qual o retorno para a minha organização?
55 56
ENSAIO DE RESPOSTA A QUESTÕES
Quais serão as melhores práticas para implementar a Gestão da Segurança na minha organização?
A ISO/IEC 27001 é a única norma de gestão de segurança da informação. Foi revista de forma a alinhar Plan-Do-Check-Act. A implementação da norma 27001 constitui per si um SGSI. É independente da tecnologia, abrangente e flexível.
Qual é o melhor processo de avaliação dos riscos e como se pode e deve implementar?
A ISO 27005 é focada no risco de IT, no entanto a ENISA publica 12 ferramentas com 22 atributos distintos que permite fazer comparações com outros métodos e ferramentas existentes. http://rm-inv.enisa.europa.eu/comparison.html.
Quais as melhores práticas de protecção dos recursos de informação da empresa?
Basear numa framework. O modelo ISO/IEC 27002 e as cláusulas que a compõem são uma boa ferramenta para assegurar efectiva gestão de segurança da informação (mesmo que não exista qualquer interesse da organização em certificar o âmbito escolhido)
ENSAIO DE RESPOSTA A QUESTÕES
Como podemos comparar os esforços de protecção da informação na organização com o melhor que a indústria tem para oferecer?
A ISO 27799:2008 está focada na saúde e é baseada na ISO 27001 que está sustentada nas práticas do modelo ISO 27002, amplamente adoptado em qualquer indústria.
Como se pode extrair visibilidade dos investimentos aplicados em segurança e qual o retorno para a minha organização?
A adopção e comprometimento de uma organização para qualquer modelo de gestão de segurança da informação, expõe de uma forma clara o interesse da instituição em proteger os seus bens de negócio e assim dar credibilidade interna e externa. A adopção de boas práticas exige que os ambientes tenham os bens inventariados, valorizados e controlados e a identificação das ameaças e os valores de perda a que podem estar sujeitos. Todo o desenvolvimento de um SGSI induz a uma redução de desperdícios, optimização de processos de trabalho com ambientes de trabalho controlados.
57 58
CONCLUSÕES E PERSPECTIVAS FUTURO
Não é possível manter a segurança sem
planear a sua gestão
Nenhuma organização vai estar um dia totalmente protegida das ameaças que põem em risco a sua Informação de negócio.
Investir num nível de protecção que se considere próximo do ideal atingiria custos muito elevados ou bloquearia de forma não aceitável os processos desenvolvidos pelo hospital.
No entanto…. As utilização do modelo de boas práticas possibilitaria uma abordagem sistemática dos riscos, que pode ser realizada numa forma gradual e custos controlados, a implementação de controlos com o objectivo de os minimizar.
A adesão em Portugal é muito pouca pois
exige algum investimento e comprometimento e que implica grandes mudanças estruturais no âmbito das tecnologias e nos comportamentos.
A norma nos próximos anos será implicitamente de carácter obrigatório pois é a única que certifica a segurança, e porque a complexidade e a insegurança crescem exponencialmente sendo cada vez mais difícil manter a segurança tendo em vista a diversidade de sistemas e utilizadores.
E por isso..
Conclusões Futuro
59 60
CONCLUSÕES E PERSPECTIVAS FUTURO
O estudo promoveu a adaptação de uma framework para uma Gap Analysis que pudesse apoiar numa gestão das TI, numa avaliação inicial do estado de saúde dos seus recursos, com vista a procurar níveis de riscos associados, e poder-se activar medidas de gestão para o controlo eficaz dos processos críticos.
Framework de Avaliação Inicial A estruturação desses dados, numa forma sistematizada, ajudaria a retratar o estado do hospital em matéria de Segurança da Informação e seria como uma ferramenta de check up, e modelo de actuação, com vista à melhor preservação da informação crítica do hospital.
61 62
OBRIGADO
Provas de Mestrado - Informática Médica [email protected]
Os objectos de clipart são fotos livres de direito em: www.fotofolia.com