Monografia

ASPECTOS DA GESTO DE SEGURANA DA INFORMAO. UM ESTUDO DE CASO DE UM AMBIENTE HOSPITALAR.
por JOS DIOGENES RODRIGUES ACCIOLY Monografia de Concluso de MBA em Gesto de Tecnologia da Informao
UNIVERSIDADE FEDERAL DE PERNAMBUCO

CIN - CENTRO DE INFORMTICA PS-GRADUAO EM CINCIA DA COMPUTAO posgraduacao@cin.ufpe.br www.cin.ufpe.br/~posgraduacao
RECIFE, 11 DE 2012.
ii
JOS DIOGENES RODRIGUES ACCIOLY
UFPE - UNIVERSIDADE FEDERAL DE PERNAMBUCO CIn - CENTRO DE INFORMTICA PS-GRADUAO EM CINCIA DA COMPUTAO
ASPECTOS DA GESTO DE SEGURANA DA INFORMAO. UM ESTUDO DE CASO DE UM AMBIENTE HOSPITALAR.
Monografia apresentada como requisito parcial obteno do grau de Especialista, rea de
concentrao em Segurana da Informao, do Programa Computao de Ps-graduao do Centro de em Cincia da da
Informtica
Universidade Federal de Pernambuco. ORIENTADOR: Evandro Curvelo Hora.
RECIFE, 11 DE 2012.
iv
FICHA CATALOGRFICA
[JOSE DIOGENES R. ACCIOLY ACCIOLY, JOSE] [ASPECTOS DA GESTO DE SEGURANA DA
INFORMAO. UM ESTUDO DE CASO DE UM AMBIENTE HOSPITALAR] /[JOS ACCIOLY]. Recife: Accioly, 2012.
Monografia (Especializao) Universidade Federal de Pernambuco. CIn Cincia da Computao, 2012.
Inclui bibliografia.
Dedico este trabalho MINHA FAMLIA
Agradecimentos
A Deus, por ter me dado foras e iluminando meu caminho para que pudesse concluir mais uma etapa da minha vida.
minha me, Maria da Paz, que sempre me deu fora e me incentivou a nunca desistir, e por todo amor e dedicao.
Ao meu pai, Dorgival, em que sempre me espelhei, por ter sido pea fundamental para que eu tenha me tornado a pessoa que hoje sou.
Ao meu filho, Joaquim, pelas noites de sonos que passei acordado cuidando dele e pelo seu sorriso toda manh que me mantm cada vez mais motivado.
minha esposa, Suzy, pelo carinho e apoio nos momentos que precisei.
Ao meu orientador, professor Evandro Curvelo Hora, pelo ensinamento e dedicao dispensados no auxilio concretizao dessa monografia.
A todos da empresa em que trabalho e alguns outros amigos que me ajudaram, de um jeito ou de outro, durante a elaborao desta monografia.
Emfim, aos meus familiares, pelo carinho e pela compreenso nos momentos em que a dedicao aos estudos foi exclusiva.
E a todos que contriburam, direta ou indiretamente, para que esse trabalho fosse realizado: meu eterno AGRADECIMENTO.
vii
Aprender sem pensar tempo perdido.

Confcio
Resumo
O alto investimento das empresas de TI, no que se refere segurana, est relacionado preocupao em proteger a informao da organizao contra ataques de invasores. Na rea da sade a informao um ativo essencial para procedimentos mdicos em geral e deve ser protegida. A informao pode existir de muitas formas, por meio fsico ou meio digital, independente do meio de armazenamento ou a forma apresentada, recomendado que ela esteja sempre protegida adequadamente. No hospital um ativo muito importante para a regra de negcio deste tipo de organizao o pronturio mdico do paciente, que contempla inmeras informaes referentes a esse e protegido por lei. Sendo assim, a segurana da informao vem sendo tema de grande debate neste novo milnio e contemplado neste estudo de caso. Este trabalho faz um diagnstico da segurana da informao sobre o pronturio mdico do paciente no que se refere conformidade com as regulamentaes definidas pelo Conselho Federal de Medicina e a conformidade com a norma ABNT NBR ISO/IEC 27001 (2006) que trata de sistema de gesto da segurana da informao. Palavras-chave: Informao; Pronturio Mdico do Paciente; Segurana da
Informao; Legislao do Pronturio Mdico; ISO/IEC 27001 (2006).
ix
Abstract
The high investment of IT companies, with regard to safety, the concern is related to protecting an organization's information against attacks from invaders. In health information is an asset that is essential to medical procedures in general and must be protected. The information can exist in many ways by physical or digital means, independent of the storage medium or the form shown, it is recommended that it is always protected properly. At the hospital an asset that is very important for the business rule this type of organization is the patient's medical record that includes numerous information regarding the patient and is protected by law. Thus, information security has been the subject of great debate in the new millennium and is considered in this case study. This work makes a diagnosis of information security on the patient's medical record as regards compliance with the regulations set by the Federal Council of Medicine and compliance with the standard ISO / IEC 27001 (2006) which handles management system information security. Keywords: Information, Patient Medical Record; Information Security Legislation Medical Record, ISO / IEC 27001.
ndice
1.
INTRODUO............................................................................................................................16 1.1 1.2 1.3 JUSTIFICATIVA ....................................................................................................................... 18 DEFINIO DO PROBLEMA .................................................................................................... 18 OBJETIVOS ............................................................................................................................. 19 OBJETIVOS GERAIS............................................................................................................ 19 OBJETIVOS ESPECFICOS ................................................................................................... 19
1.3.1 1.3.2 1.4 2.
ESTRUTURA DO TRABALHO ................................................................................................... 19
REFERENCIAL TERICO ..............................................................................................................21 2.1 2.2 2.3 2.4 2.5 2.6 2.7 INFORMAO E PRONTURIO MDICO ............................................................................................ 21 GOVERNANA DE TI E A GESTO DE TI ........................................................................................... 26 SEGURANA DA INFORMAO ...................................................................................................... 28 AMEAAS .............................................................................................................................. 32 VULNERABILIDADES .............................................................................................................. 35 RISCO..................................................................................................................................... 37 REQUISITOS DA INFORMAO .............................................................................................. 37 CONFIDENCIALIDADE........................................................................................................ 38 INTEGRIDADE ................................................................................................................... 38 DISPONIBILIDADE ............................................................................................................. 39
2.7.1 2.7.2 2.7.3
xi
2.8 2.9 2.10 3. 4. LEGISLAO .......................................................................................................................... 39 ABNT NBR ISO/IEC 27001:2006 ............................................................................................. 45 O AMBIENTE ORGANIZACIONAL ........................................................................................... 48
METODOLOGIA .........................................................................................................................50 ANLISE DOS RESULTADOS .......................................................................................................52 4.1 4.2 4.3 SISTEMA DE GESTO DO PRONTURIO MDICO DO PACIENTE .............................................................. 53 QUADRO DE VULNERABILIDADES ................................................................................................... 56 CONFORMIDADE COM A NORMA ABNT ISO/IEC 27001:2006 ......................................................... 63
5.
CONSIDERAES FINAIS ...........................................................................................................77 5.1 5.2 5.3 5.4 RESULTADOS OBTIDOS ................................................................................................................ 78 TRABALHOS FUTUROS ................................................................................................................. 79 LIMITAES DO ESTUDO .............................................................................................................. 79 CONCLUSES ............................................................................................................................ 79
6.
REFERNCIAS ............................................................................................................................81
xii
Lista de Figuras
FIGURA 1 - CICLO DE VIDA DA INFORMAO [ADAPTADA DE SMOLA (2003)] .......................................................................... 23 FIGURA 2 - VAZAMENTO DE DADOS NAS COOPORAES (VERIZON, 2010) ................................................................................. 29 FIGURA 3 - COMO OS VAZAMENTOS OCORREM (VERIZON, 2010) ............................................................................................. 30 FIGURA 4 - MODELO PDCA APLICADO AOS PROCESSOS DO SGSI (ABNT NBR ISO/IEC 27001:2006) .......................................... 47 FIGURA 5 - SISTEMA DE GESTO DO PRONTURIO MDICO DO PACIENTE (FONTE: PRPRIO AUTOR) ................................................. 53
xiii
Lista de Tabelas
TABELA 1 - NMERO MENSAL DE EVENTOS POR AMEAA, EM PERCENTUAL DE RESPONDENTES (ADAPTADA DE WHITMAN, 2003) ...... 35 TABELA 2 - DEFINIO DO PDCA DA ABNT NBR ISO/IEC 27001:2006 ................................................................................. 48 TABELA 3 - ITENS DO SISTEMA DE GESTO DO PRONTURIO MDICO DO PACIENTE ........................................................................ 54 TABELA 4 - QUADRO DE VULNERABILIDADES DO CICLO DE VIDA SOBRE O PRONTURIO MDICO DO PACIENTE ..................................... 63 TABELA 5 - OBJETIVO DE CONTROLE E CONTROLES DA POLTICA DE SEGURANA, APLICVEIS DA NORMA ABNT NBR ISO/IEC 27001:2006. ....................................................................................................................................................... 64 TABELA 6 - OBJETIVOS DE CONTROLE E CONTROLES DA ORGANIZAO DA SEGURANA DA INFORMAO, APLICVEIS DA NORMA ABNT NBR ISO/IEC 27001:2006. .................................................................................................................................. 68 TABELA 7 - OBJETIVOS DE CONTROLE E CONTROLES DA GESTO DE ATIVOS, APLICVEIS DA NORMA ABNT NBR ISO/IEC 27001:2006 70 TABELA 8 - OBJETIVOS DE CONTROLE E CONTROLES DA SEGURANA FSICA E DO AMBIENTE, APLICVEIS DA NORMA ABNT NBR ISO/IEC 27001:2006. ....................................................................................................................................................... 71 TABELA 9 OBJETIVOS DE CONTROLE E CONTROLE DO CONTROLE DE ACESSOS, APLICVEIS DA NORMA ABNT NBR ISO/IEC 27001:2006. ....................................................................................................................................................... 72 TABELA 10 OBJETIVOS DE CONTROLE E CONTROLES DA GESTO DE INCIDENTES DA SEGURANA DA INFORMAO, APLICVEIS DA NORMA ABNT NBR ISO/IEC 27001:2006. ......................................................................................................................... 73 TABELA 11 - OBJETIVOS DE CONTROLE E CONTROLES DA GESTO DE CONTINUIDADE DO NEGCIO, APLICVEIS DA NORMA ABNT NBR ISO/IEC 27001:2006. .......................................................................................................................................... 74 TABELA 12 OBJETIVOS DE CONTROLES E CONTROLES DA GESTO DE COMFORMIDADE APLICVEIS DA NORMA ABNT NBR ISO/IEC 27001:2006 ........................................................................................................................................................ 75
xiv
xv
Principais Abreviaes
TI Tecnologia da Informao
CFM
Conselho Federal de Medicina
SAME
Servio de Arquivo Mdico e Estatstica
SWOT Strenghts (Foras), Weakness (Fraquezas), Opportunities (Oportunidades) e Threats (Ameaas)
CRM
Conselho Federal de Medicia
RH
Recursos Humanos
16
Captulo
1
1. Introduo
Este captulo relata as principais motivaes para realizao deste trabalho, sua justificativa, questo de pesquisa, lista os objetivos de pesquisa almejados e, finalmente, mostra como est estruturado o restante da presente dissertao.
Nesta era digital a informao passou a ser algo de suma importncia para as organizaes dentro de um mercado competitivo. Porm, manter a informao no uma tarefa fcil, pois as empresas esto sempre sendo alvo de ataques por invasores que desejam furtar as informaes da organizao para tirar proveito financeiro da empresa invadida, derrubar uma companhia concorrente, realizar ataque terrorista contra determinada organizao ou pelo simples prazer de realizar uma interveno ousada contra uma companhia e ter o seu nickname no hall da fama.
17
A informao nesta era digital assume diferentes aspectos de segurana da informao na rea da sade. A maior importncia dentro da sade est no manuseio de informaes mdicas, tanto em meios eletrnicos quanto fsicos, visto a crescente quantidade de informaes que so armazenadas sobre sade do paciente nos diversos provedores de servios de sade (hospitais, clnicas, etc.) A informao em sade um ativo essencial para procedimentos mdicos em geral e precisa ser adequadamente protegido. A segurana da informao tem como objetivo proteger as informaes de diversos tipos de ameaas, a fim de minimizar os danos ocasionados por vazamento ou furto de informao por invasores. A informao pode existir de muitas formas. Ela pode ser escrita em papel ou impressa, armazenada atravs de meios eletrnicos, mostrado por imagens, etc. Seja qual for o meio de armazenamento ou a forma apresentada, recomendado que ela esteja sempre protegida adequadamente. Nos hospitais uma das informaes essenciais para bom funcionamento o pronturio do paciente, que um conjunto documental que contm toda a vida clnica ou hospitalar de um indivduo. As informaes so guardadas pelas clnicas, postos de sade ou hospitais e tem carter sigiloso, portanto s mdicos e pacientes podem ter acesso a essas informaes. A guarda permanente deste documento, assim como a qualidade das suas informaes tem por objetivo garantir ao paciente ou aos seus familiares, a qualquer tempo prova e testemunho em processo judicial para o paciente e para o mdico. Nesse cenrio a segurana da informao pode ser usada para proteger essas informaes que, segundo a norma ABNT NBR ISO/IEC 27002 (2005), definida como a proteo contra um grande nmero de ameaas s informaes, de forma a assegurar a continuidade do negcio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. Ainda segundo a ABNT NBR ISO/IEC 27002
18
(2005) a segurana da informao caracterizada pela preservao dos trs atributos bsicos da informao: confidencialidade, integridade e disponibilidade. Confidencialidade: Tem o objetivo garantir a privacidade do usurio prevenindo o roubo de informaes pessoais ou empresariais. Integridade: Tem como objetivo garantir que as transaes e recursos de dados no sero interceptados em qualquer ponto do percurso dos dados, de forma acidental ou maliciosa. Disponibilidade: Visa garantir que o servio esteja online de forma ininterrupta para os clientes autorizados. A interrupo dos servios pode ocorrer de forma acidental ou maliciosa, como um ataque DoS, extravio de um pronturio mdico, por exemplo.
1.1 JUSTIFICATIVA
A motivao deste trabalho se d pela necessidade de analisar a segurana da informao sobre o ativo essencial do hospital pblico, que o pronturio mdico do paciente. A apresentao de uma anlise da segurana da informao na instituio abordando os trs pilares da informao alinhados com o dispositivo legal definido pelo Conselho Federal de Medicina, que so as resolues n. 1638/2002, 1605/2000 e a conformidade com a norma ABNT NBR ISO/IEC 27001 (2006).
1.2 DEFINIO DO PROBLEMA

Este trabalho, desenvolvido na MBA de gesto de tecnologia da informao, tem como objetivo identificar as possveis vulnerabilidades no ciclo de vida do pronturio mdico do paciente, que no esta em conformidade com as Resolues do CFM n. 1638/2002, 1605/2000 e a norma ABNT NBR ISO/IEC 27001 (2006).
19
1.3 OBJETIVOS
1.3.1 OBJETIVOS GERAIS Esse trabalho tem como objetivo principal diagnosticar a segurana da informao tendo como objeto de estudo o pronturio mdico do paciente no mbito de um Hospital Pblico. O diagnstico utilizar os trs pilares da segurana da informao: confidencialidade, integridade e disponibilidade.
1.3.2 OBJETIVOS ESPECFICOS Os seguintes pontos abaixo so entendidos como objetivos especficos: Expor o ciclo de vida do pronturio mdico do paciente. Avaliar a confidencialidade, integridade e disponibilidade do pronturio mdico e de acordo com a legislao do Conselho Federal de Medicina n. 1638/2002, 1605/2000 e a conformidade com a norma ABNT NBR ISO/IEC 270001:2006.
1.4 ESTRUTURA DO TRABALHO

O restante deste trabalho est organizado da seguinte forma: No segundo captulo, so apresentados os conceitos de informao, pronturio mdico do paciente, gesto de tecnologia da informao, segurana da informao, os trs pilares da informao e a legislao definida pelo Conselho Federal de Medicina que trata sobre o pronturio mdico, ISO/ IEC 27001 (2006) e o ambiente empresarial em que foi realizado o estudo. No terceiro captulo apresentada a metodologia usada na pesquisa.
20
No quarto captulo, so apresentados os resultados referentes segurana da informao no ciclo de vida do pronturio mdico, sobre os trs pilares da informao alinhados com a regulamentao do Conselho Federal de Medicina n. 1638/2002, 1605/2000 e a norma ABNT NBR ISO/IEC 270001:2006.
O quinto captulo discute os resultados encontrados e apresenta a concluso dos objetivos previamente definidos bem como a apresentao de propostas de trabalhos futuros.
21
Captulo
2
2. Referencial Terico
Neste captulo sero compreenso por parte do leitor.
abordados conceitos-chave para uma melhor
2.1 Informao e pronturio mdico

Segundo Dias (2000), na sociedade da informao, a informao o principal patrimnio da empresa e est sob constante risco. A informao a inteligncia competitiva das organizaes e de suma importncia que a empresa seja capaz de manter essa informao segura.
22
A informao considerada um ativo, que tem carter estratgico e competitivo, assim como qualquer outro ativo que agrega valor para o negcio, necessita ser adequadamente protegido (ABNT NBR ISO/IEC 27002, 2005). No conceito do dicionrio Contemporneo da Lngua Portuguesa, informao um termo que tem origem no latim, denominado informatio onis, (conceber ideia, delinear), ou seja, dar forma ou moldar a mente, instruo ou treinamento. um conjunto de fatos ou outros dados fornecidos a uma mquina, a fim de se obter um processamento. Existem inmeras definies acerca do conceito de informao. Uma delas, que as informaes so o resultado de dados devidamente tratados, comparados, clasificados, relacionveis entre outros dados que auxilia na tomada de decises (AZEVEDO, 2006). Dentro da organizao, a informao permeia todos os setores da companhia, segundo SMOLA (2003), a informao muito valiosa para o negcio de empresa e funciona basicamente como um sangue que alimenta a organizao, assim como, o ser humano apresenta um ciclo de vida, a informao tambm apresenta um, no entanto este ciclo de vida influenciado por trs propriedades principais: confidencialidade, integridade e disponibilidade, alm de aspectos de autenticidade e legalidade que so essenciais para preservar e proteger a informao. Na figura 1 abaixo so apresentados quatro momentos chaves do ciclo de vida da informao.
23
Figura 1 - Ciclo de Vida da Informao [adaptada de SMOLA (2003)]
No ciclo de vida da informao, as quatro grandes etapas so: Manuseio: Momento em que a informao concebida e manipulada, mesmo que a informao encontre-se em papel ou em meio digital. Armazenamento: Etapa em que a informao armazenada, momento em que ela pode estar contida em um banco de dados compartilhado, em papis ou armazenado em arquivo de ferro, em mdias digitais etc.. Transporte: Momento em que a informao transportada, etapa na qual uma informao pode ser enviada por e-mail, via fax, trafegar com informao de um setor para outro ou de uma empresa para outra etc. Descarte: Etapa em que a informao descartada, como ao depositar em lixeira da empresa um material impresso, arquivo digital, CDROM, DVD, etc.
24
Em uma organizao nem toda informao essencial ou crucial que necessite de cuidados essenciais. Por outro lado, manter a integridade de uma informao vital pode exigir um grande custo, ainda assim ser menor que o custo de no dispor a informao adequada. (BORAN, 1996; WADLOW, 2000). Pblica: So informaes que podem vir a pblico sem maiores riscos para o funcionamento da organizao, ou seja, os dados no so confidenciais. Sua integridade importante, mesmo que no seja vital. Interna: So informaes s quais o livre acesso deve ser evitado e o uso por pessoas no autorizadas no acarreta consequncias crticas. Sua integridade importante, mesmo que no seja vital. Confidencial: So informaes restritas aos limites da empresa, a divulgao ou perda pode influenciar a eficcia da organizao, e eventualmente, a perdas de confiabilidade referente imagem da organizao, ao cliente ou perdas financeiras. Secreta: So informaes crticas para o funcionamento da companhia na qual a integridade deve ser preservada a qualquer custo e o acesso deve ser restrito a uma quantidade pequena de pessoas. A segurana desse tipo de informao vital para a organizao. fato que algumas informaes so imprescindveis para a empresa e o vazamento dessas informaes na sua parcialidade ou totalidade pode trazer repercusses incalculveis para a administrao da organizao. Logo, a divulgao de informaes secretas ou confidencias por funcionrios das empresas uma realidade. Um hospital pblico no diferente das demais organizaes, ele est repleto de informaes e entre essas informaes existe um ativo que essencial para organizao e protegido por regulamentao, denominado pronturio mdico do A informao pode ser classificada como:
25
paciente. O pronturio mdico um conjunto documental que contm todas as informaes sobre a vida hospitalar e clnica de um indivduo. As informaes devem ser guardadas pelos hospitais, clnicas ou postos de sade de modo a assegurar ao paciente, a qualquer tempo prova e testemunho. O pronturio possui carter sigiloso, apenas o paciente e o mdico devem ter acesso a essas informaes. O uso inadequado ou preenchimento do pronturio com irregularidades pode acarretar graves problemas para o paciente e para o mdico. A ilegibilidade de uma prescrio pode induzir a troca de um medicamento por outro e assim comprometer a vida do paciente levando o mdico a longas aes judiciais. O Conselho Federal de Medicina (CFM), pela Resoluo n. 1638/2002, define pronturio como:
Documento nico, constitudo de um conjunto de informaes, sinais e imagens registrados, gerados a partir de fatos, acontecimentos e situaes sobre a sade do paciente e a assistncia a ele prestada, de carter legal, sigiloso e cientfico, que possibilita a comunicao entre membros da equipe multiprofissional e a continuidade da assistncia prestada ao indivdu o.
O pronturio serve como um instrumento de consulta, ensino, pesquisa, auditoria, avaliaes, estatstica mdico-hospitalar, prova de que o paciente est sendo tratado, investigao epidemiolgica, processos ticos e legais, comunicao entre os profissionais de assistncia ao paciente, defesa ou acusao. Para o mdico o pronturio serve de defesa legal como prova em aes judiciais, facilita o diagnstico, permite comparaes de diagnsticos, permite que outro mdico possa assumir o caso clnico e permite ao mdico-legista a emisso de pareceres com mais segurana. Para o paciente possibilita um tratamento mais rpido e eficiente, simplifica ou dispensa interrogatrios clnicos e serve como uma garantia em aes judiciais sobre erros mdicos. Para as instituies, constitui defesa legal referente ao tipo de atendimento
26
oferecido e ferramenta essencial para sindicncias administrativas, judiciais, e processo no conselho federal da classe. No ensino e pesquisa, o pronturio permite uma anlise para os estudiosos sobre casos especiais e atpicos, para casos de estudo para os acadmicos ele oferece dados que permitem observar vrios indicadores sobre bitos, doenas, epidemias, etc. Para a equipe assistencial, permite mais interaes entre os profissionais. As anotaes realizadas no pronturio ou ficha clnica devem ser feitas de forma legvel, permitindo, inclusive, identificar os profissionais de sade envolvidos no cuidado ao paciente. Alm disso, o mdico est obrigado a assinar e carimbar ou assinar, escrever seu nome legvel e sua respectiva inscrio no CRM. No pronturio do paciente so inmeras as fichas e documentos, entre eles esto: atendimento ambulatorial, atendimento de urgncia, evoluo mdica, evoluo de enfermagem e de outros profissionais assistentes, partograma (em obstetrcia), prescrio mdica, prescrio de enfermagem e de outros profissionais assistentes, exames complementares (laboratoriais, radiolgicos, ultra-sonogrficos e outros) e seus respectivos resultados, descrio cirrgica, anestesia, dbito do centro cirrgico ou obsttrico (gasto de sala), resumo de alta, boletins mdicos, documentos gerados no pronto-socorro e no ambulatrio devero ser arquivados junto com o pronturio, em caso de internao hospitalar. Alguns itens so obrigatrios como: identificao da paciente, anamnese, exame fsico, hipteses diagnsticas, diagnstico(s) definitivo(s), tratamento(s) efetuado(s) CREMESP (CONSELHO REGIONAL DE MEDICINA DO ESTADO DE SO PAULO, 2012).
2.2 Governana de TI e a Gesto de TI

A complexidade trazida pelas demandas que so requisitadas s instituies requer um aumento proporcional dos investimentos em todas as reas de apoio ao negcio. Dentre elas a que vem mostrando ser fator crtico de sucesso de uma
27
organizao a tecnologia da informao. Ter um ambiente de negcios integrado pode ser um diferencial estratgico de sucesso de qualquer empresa. Para isso, o mercado tem se esforado bastante criando padres, normas, legislaes e processos para alcanar esse alinhamento. Para alcanar o alinhamento de TI aos objetivos estratgicos da organizao necessria a implantao da governana de TI. Segundo a ABNT NBR ISO/IEC 38.500:2009 a governana de TI:
" o sistema pelo qual o uso atual e futuro da TI so dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte organizao e monitorar o uso para realizar planos. Inclui a estratgia e as polticas de uso da TI dentro da organizao".
J o IT Governance Institute afirma que "A governana de TI de responsabilidade da alta administrao, na liderana, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratgias e objetivos da organizao". Dentre suas responsabilidades est o suporte no alinhamento estratgico da TI ao negcio, implantar mecanismos que garantam a continuidade, disponibilidade e contingncia dos servios de apoio ao negcio e auxiliar na implementao e gesto das reas de controle interno, compliance, gesto de riscos e marcos de regulamentao externa. O processo de alinhamento estratgico passa pela definio de regras de nvel empresarial que devem ser desdobradas subsidiando a tomada de deciso formando um baseline onde so definidas arquiteturas, infraestruturas, padres e etc. Deve-se observar, tambm, tanto a demanda, que fornecer novas perspectivas de espaos de mercado, quanto necessidade por aplicaes que venham a suportar a estratgia do negcio e a sua continuidade. preciso definir objetivos de desempenho e nveis de servio. O primeiro foca definir, executar e manter o desempenho requerido pelas metas e alcanar os objetivos traados. O segundo busca definir um acordo firmado entre a rea de TI e seu cliente
28
interno. Nele so definidos metas, papeis e responsabilidades das partes envolvidas. Nele so definidos metas, papeis e responsabilidades das partes envolvidas. Visando estruturar todo esse processo e vincular seus players s atividades da secretaria do comrcio do governo ingls, a partir de pesquisas realizadas por consultores, especialistas e doutores decidiu criar a ITIL. O ITIL (Information Technology Infrastructure Library) o modelo de referncia para gerenciamento de processos de TI mais aceito mundialmente. uma metodologia para desenvolver as melhores prticas para a gesto da rea de TI nas empresas privadas e pblicas. Partindo da tica da segurana da informao, o ITIL pode auxiliar no gerenciamento e atendimento dos requisitos de segurana para o servio de TI, ditados pelos clientes. Isso alcanado atravs do alinhamento entre as necessidades dos negcios (necessidades dos clientes) e com o que a rea de TI oferece de servios. Com o apoio dos processos de Gerenciamento de Mudanas, Gerenciamento de Incidentes e outros fica possvel organizar melhor as intervenes e manter a segurana da informao efetiva e eficaz e tambm o planejamento de uma poltica de segurana da informao, bem como a implantao baseada em indicadores e metas ajuda a evitar implantaes divergentes em servios distintos. Em ltima anlise, isso aumenta a eficincia, diminui as contradies, economiza tempo e dinheiro. A definio da capacidade de TI, planos de segurana da informao, estratgias de sourcing e implantao e gesto de processos so requisitos chave para um alinhamento estratgico de TI de sucesso. A principal sada desse processo o plano de tecnologia da informao. (ARAGON, A. 2012)
29
2.3 Segurana da Informao

A segurana da informao uma rea que esta em constante crescimento no mercado mundial, segundo Blog SegInfo (2011) um estudo realizado pela empresa ESG Research identificou a carncia de profissionais nesta rea. O estudo mostra que as organizaes esto investindo cada vez mais em segurana. Em 2009 apenas 36% foi investido, j em 2010 o investimento teve um aumento de mais 9% atingindo 45% e em 2011 empresas de mdio porte e grandes empresa esto investindo cerca de 58% mais em segurana da informao. Segundo a pesquisa realizada pela empresa Verizon em 2010, que trata do vazamento de dados das corporaes, a figura 2 a seguir mostra quem esta por trs dos vazamentos de dados.
Quem esta por trs dos vazamentos de dados na organizao?

80 70 60 50 40 30 20 10 0 Resultaram de agentes externos Causado por empregados Afetaram parceiros comerciais Envolveram multiplas empresas 11 27 48 70
Figura 2 - Vazamento de dados nas cooporaes (Verizon, 2010)
30
No decorrer da pesquisa a empresa Verizon se preocupou em responder tambm a seguinte pergunta Como que os vazamentos de informaes ocorrem na organizao?, na figura 3 abaixo apresentado o resultado a esta pergunta.
Como os vazamentos ocorrem?

60 50 40 30 20 10 0 Envolvem abuso de Foram resultado privlgios de crackers Utilizaram malware Envolveram Foram o resultado engenharia social de ataques fsicos 48 40 38 28
15
Figura 3 - Como os vazamentos ocorrem (Verizon, 2010)
A pesquisa demonstra que as organizaes esto sujeitas a vazamento de informaes. Dessa forma, segundo a ABNT NBR ISO/IEC 27002 (2005), a segurana da informao a proteo da informao contra diferentes tipos de ameaas, de modo a garantir a continuidade do negcio, minimizar o risco para o negcio, maximizar o retorno sobre o investimento e as oportunidades de negcio. Esta norma define a segurana da informao como Preservao da confidencialidade, da integridade e da disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas..
31
Para SANS (2012), a segurana da informao refere-se metodologia e processo que foram concebidos e implementados para proteger qualquer tipo de informao. A rea de concentrao de segurana da informao est preocupada com a confidencialidade, a integridade e a disponibilidade dos dados, independentemente da forma que os dados podem tomar: impressa, eletrnica ou outras formas. Na perspectiva de Bruce Schneier apud Simons Mitnick (2003, p.4)
A segurana no um produto, ela um processo.
Uma empresa pode gastar fortuna em tecnologia atravs de software e equipamentos, porm mesmo assim pode estar vulnervel, pois existe o fator humano que o fator mais frgil da segurana. Para evitar essa fragilidade necessrio treinar as pessoas em tcnicas para evitar que o elemento humano repasse informaes da empresa para intrusos que fingem ser o que no so, esses intrusos podem ser definidos como engenheiro social, que algum que usa a fraude, a persuaso e a influncia contra as empresas visando obter informaes. A ideia de segurana para muitas pessoas s vezes uma mera utopia criada por alguns profissionais da rea de tecnologia da informao, que conservam ideias erradas de que conseguiram manter a empresa imune ao ataque porque utilizam produtos que so padro para a segurana como firewall, sistemas de deteco de intruso, dispositivos avanados de autenticao atravs de biometrias inteligentes. Aqueles que acreditam que produtos de segurana sozinhos oferecem a verdadeira segurana estado fadados ao fracasso da iluso da segurana. Deve-se lembrar de que a segurana no um problema apenas para tecnologia, mas um problema para pessoas e para a direo. Lembre-se que enquanto inmeros especialistas procuram aprimorar novas tecnologias, os atacantes visam o firewall humano que quase sempre fcil. Segundo o cientista Albert Einstein (1990
32
apud MITNICK, 2003, p.3), Apenas duas coisas so infinitas: o universo e a estupidez humana, e eu no tenho certeza sobre a primeira. Na segurana da informao alguns conceitos so fundamentais para uma maior compreenso dentro da rea, esses conceitos so: ameaa, vulnerabilidade e risco. Alm dos trs pilares bsicos da informao que so a confidencialidade, integridade e disponibilidade.
2.4 AMEAAS
Uma das definies apresentadas para ameaa evento ou atitude indesejvel (roubo, incndio, vrus, etc.) que potencialmente remove, desabilita, danifica ou destri um recurso (DIAS, 2000, p. 55). Para SMOLA (2003), a ameaa trata-se de condies ou agentes que causam danos informao e seus ativos atravs da explorao de vulnerabilidade gerando impactos negativos ao negcio da instituio ocasionado pela quebra da confidencialidade, integridade e disponibilidade. As ameaas podem ser dividas quanto a sua intencionalidade que so:
Naturais: So ameaas decorrentes de fenmenos da natureza como tempestade, terremotos, enchentes, poluio, etc.
Involuntrias: So ameaas causadas quase sempre pelo desconhecimento, tem sua origem em erros, ausncia de energia, acidentes, etc.
Voluntrias: Trata-se de ameaas ocasionados por agentes humanos que tem o interesse de provocar danos organizao. Esses agentes so hackers, invasores, ladres, criadores e disseminadores de vrus de computador e incendirios.
Um estudo realizado em 2002 por WHITMAN (2003) procurou entender as ameaas que enfrentam as organizaes, atravs de trs questes primordiais:
1
Quais so as ameaas segurana da informao?
33
2 3
Quais so as mais srias para a organizao? Qual a frequncia com que os eventos baseados nelas so observados?
Em resposta primeira pergunta, a pesquisa revelou doze categorias de ameaas obtidas atravs de trabalhos anteriores e da entrevista com trs security officers (responsvel pela segurana da informao). A lista das categorias das ameaas est organizada em ordem decrescente de severidade das ameaas segurana da informao, respondendo tambm a segunda questo da pesquisa. As categorias de ameaas so:
1
Aes deliberadas atravs do uso de software (vrus, vermes, macros, negao de servio);
Erros e falhas tcnicas de software (falhas na codificao, bugs, brechas que levam o software ao loop);
3 4
Falhas ou Erros humanos (acidentes, erros por parte do empregado); Atos deliberados de espionagem ou invaso (acesso no autorizado, coleta de informao);
5 6 7 8
Atos de sabotagem ou vandalismo (destruio de sistemas ou informao); Erros ou falhas tcnicas de hardware (falhas de equipamentos); Atos deliberados de furto (de equipamentos ou de informao); Fora da natureza (terremotos, enchentes, incndios no intencionais, relmpagos);
Comprometimento propriedade intelectual (pirataria, infrao a direitos autorais);
10 Variao da qualidade de servio (Qos) por provedores (como energia
eltrica e servios de redes remotas de telecomunicao);

11 Tcnicas obsoletas (tecnologia antiga ou obsoleta); 12 Atos deliberados de extorso de informao (chantagem ou revelao
indevida de informao).
34
Em relao frequncia, WHITMAN (2003) apresenta os resultados listados na tabela 1 a seguir.
Nmero de eventos por >100 ms
51-100
10-50
<10
Nenhum
Sem Resposta
1.Eventos por Software
11,5%
9,4%
14,6%
47,9%
16,7%
2.Erros ou falhas tcnicas de software
5,2%
18,8%
45,8%
30,2%
3.Falhas ou erros humanos
5,2%
2,1%
14,6%
41,7%
24,0%
15,5%
4.Espionagem ou invaso
4,2%
3,1%
3,1%
20,8%
68,8%
5.Sabotagem ou vandalismo
1,0%
3,1%
31,3%
64,6%
6.Erros ou falhas tcnicas de hardware
3,1%
11,5%
51,0%
34,4%
7.Furto
7,3%
38,5%
54,2%
35
8.Foras da natureza
1,0%
2,1%
34,4%
62,5%
9.Comprometimento propriedade intelectual
1,0%
2,1%
3,1%
25,0%
61,5%
10. Variao do QoS
1,0%
8,3%
43,8%
46,9%
11.Tcnicas obsoletas
1,0%
15,6%
21,9%
60,4%
1,0%
12.Extorso de informao
1,0%
8,3%
90,6%
Tabela 1 - Nmero mensal de eventos por ameaa, em percentual de respondentes (adaptada de WHITMAN, 2003)
2.5 VULNERABILIDADES
A vulnerabilidade pode ser definida como a incapacidade de resistir a uma situao de perigo ou a de responder quando o desastre ocorre. Imagine o seguinte cenrio para compreender melhor o que uma vulnerabilidade: pode-se dizer que os moradores que vivem em plancies esto mais vulnerveis a enchentes do que pessoas que moram no planalto. Segundo SMOLA (2003), vulnerabilidade uma fraqueza que quando explorada por uma ameaa produz um incidente de segurana da informao, comprometendo os princpios da segurana da informao. A
vulnerabilidade por si s no provoca nenhum dano a segurana da informao, necessria a existncia de uma ameaa. As vulnerabilidades podem ser classificadas da seguinte forma:
36
Fsicas: Falta de alarmes de combate a incndio, extintores de incndio ou recursos de combate ao fogo para o local no qual so armazenados equipamentos estratgicos para a organizao, detectores de fumaa, instalaes prediais fora do padro, risco de exploso, incndio ou vazamento;
Naturais: Os computadores e servidores esto suscetveis a desastres naturais, como incndio, enchente, terremotos, ausncia de energia, etc.; Hardware: Falhas em equipamentos por conta de desgaste, m utilizao ou erros durante a instalao; Software: Erros na instalao ou configurao podem ocasionar vazamento de informao, acesso no autorizado, perda de dados ou indisponibilidade de recursos quando necessrio;
Mdias: Fitas, discos, relatrios gerenciais impressos podem ser perdidos ou danificados. A radiao eletromagntica pode comprometer diferentes tipos de mdias magnticas.
Humanas: Ausncia de treinamentos, rotinas de segurana, erros ou omisses; vandalismo, roubo, destruio de propriedade ou dados, invases ou guerras;
Comunicao: Acesso no autorizado ou perda de comunicao.
A relao entre ameaa e vulnerabilidade bem prxima, imagine o seguinte cenrio: em um edifcio existe uma pessoa doente que depende de um equipamento que est ligado na energia eltrica e o edifcio no possui gerador de energia. Logo, se faltar energia o impacto pode ser fatal. Diante deste cenrio, a vulnerabilidade o fato do edifcio no possuir gerador de energia e a ameaa a possibilidade de faltar energia.
37
2.6 RISCO
Segundo o moderno dicionrio da lngua portuguesa Michaelis uma das definies da palavra risco a possibilidade de perigo, incerto, mas previsvel, que ameaa de dano pessoa ou a coisa. Para PMBOK (2008) o risco pode ser definido como um evento ou condio de incerteza que, se ocorrer, ter um efeito positivo ou negativo sobre pelo menos um objetivo do projeto. Na viso de SMOLA (2003), risco a probabilidade de ameaas explorarem vulnerabilidades, de modo a provocar perdas na confidencialidade, integridade e disponibilidade, provocando possivelmente, impactos nos negcios. Assim sendo, pode-se definir que existe risco quando uma ameaa, com potencial para causar algum dano, possui uma vulnerabilidade correspondente com alto nvel de probabilidade de ocorrncia no ambiente computacional e um baixo nvel de proteo. Na prtica os riscos surgem em decorrncia da presena de fraquezas e vulnerabilidades. Isto ocorre pelo fato de que todos os ativos da empresa esto sujeitos a vulnerabilidades em maior ou menor escala e, neste caso, estas vulnerabilidades proporcionam riscos para a empresa e so causadas muitas vezes por falhas nos seus controles.
2.7 REQUISITOS DA INFORMAO

A informao poder nos dias atuais, mas desde o Egito antigo os faras j sabiam da importncia da informao como elemento estratgico para colocar uma sociedade em posio privilegiada, eles monitoravam as condies climticas e metereolgicas a fim de prever quando haveria as cheias do rio Nilo de modo a aproveitar ao mximo a fertilidade que as plancies traziam durante as cheias.
38
Enquanto o restante da populao no tinha conhecimentos da natureza, os faras conseguiam calcular quando a estao das chuvas viria. Com tanta importncia, a informao para ser utilizada deve seguir trs princpios bsicos: confidencialidade, integridade e disponibilidade.
2.7.1 CONFIDENCIALIDADE Segundo ABNT NBR ISO/IEC 27002 (2005) a confidencialidade significa que a informao deve ser protegida contra acesso no autorizado de indivduos. Consiste em proibir cpias e distribuio no autorizada da informao. Sendo assim, toda e qualquer informao deve ser tratada como confidencial e sua utilizao dever ser feito por pessoas com prvia autorizao. Ainda segundo a ABNT NBR ISO/IEC 27002 (2005) a confidencialidade tem o objetivo de garantir a privacidade do usurio prevenindo o roubo de informaes pessoais ou empresariais. Na pespectiva de SMOLA (2003), toda informao deve ser protegida de acordo com importncia do seu contedo, sendo o seu acesso limitado e acessado apenas pelas pessoas destinas a aquela informao.
2.7.2 INTEGRIDADE Segundo SMOLA (2003), a informao deve ter o seu contedo ntegro na condio em que foi disponibilizada pelo seu proprietrio, objetivando protege-la de alteraes indevidas, acidentais ou intencionais. De acordo com a ABNT NBR ISO/IEC 27002 (2005) a integridade consiste no fato em que apenas pessoas responsveis pela informao so autorizadas a modificar
39
o seu contedo impedindo que a informao original sofra qualquer tipo de violao por parte de algum no autorizado.
2.7.3 DISPONIBILIDADE Segundo a ABNT NBR ISO/IEC 27002 (2005) a disponibilidade garante que a informao sempre esteja disponvel para o acesso de pessoas autorizadas com plena integridade. De acordo com a ABNT NBR ISO/IEC 27001 (2006) uma melhor definio para disponibilidade que se trata da propriedade da informao estar acessvel e utilizvel por uma entidade autorizada.
2.8 LEGISLAO
Segundo a legislao do pronturio mdico, em qualquer meio de armazenamento, propriedade fsica da instituio onde o paciente assistido, seja uma unidade de sade ou um consultrio, a quem cabe o dever de guarda do documento. Ao paciente pertencem os dados ali contidos, os quais s podem ser divulgados com autorizao do paciente ou dever legal. direito do paciente a disponibilidade permanente das informaes, como do mdico e da instituio o dever de guarda do pronturio. Este o entendimento que esta contido na Resoluo CFM n. 1.605/2000:
RESOLVE:
Art. 1 - O mdico no pode, sem o consentimento do paciente, revelar o contedo do pronturio ou ficha mdica.
40
Art. 2 - Nos casos do art. 269 do Cdigo Penal, onde a comunicao de doena compulsria, o dever do mdico restringe-se exclusivamente a comunicar tal fato autoridade competente, sendo proibida a remessa do pronturio mdico do paciente. Art. 3 - Na investigao da hiptese de cometimento de crime o mdico est impedido de revelar segredo que possa expor o paciente a processo criminal. Art. 4 - Se na instruo de processo criminal for requisitada, por autoridade judiciria competente, a apresentao do contedo do pronturio ou da ficha mdica, o mdico disponibilizar os documentos ao perito nomeado pelo juiz, para que neles seja realizada percia restrita aos fatos em questionamento. Art. 5 - Se houver autorizao expressa do paciente, tanto na solicitao como em documento diverso, o mdico poder encaminhar a ficha ou pronturio mdico diretamente autoridade requisitante. Art. 6 - O mdico dever fornecer cpia da ficha ou do pronturio mdico desde que solicitado pelo paciente ou requisitado pelos Conselhos Federal ou Regional de Medicina. Art. 7 - Para sua defesa judicial, o mdico poder apresentar a ficha ou pronturio mdico autoridade competente, solicitando que a matria seja mantida em segredo de justia. Art. 8 - Nos casos no previstos nesta resoluo e sempre que houver conflito no tocante remessa ou no dos documentos autoridade requisitante, o mdico dever consultar o Conselho de Medicina, onde mantm sua inscrio, quanto ao procedimento a ser adotado.
A legislao rege o pronturio mdico do paciente, define formalmente o que pronturio mdico do paciente e torna obrigatria a criao da Comisso de Reviso de Pronturios nas instituies de sade. A resoluo do CFM n. 1638/2002:
41
RESOLVE:
Art. 1 - Definir pronturio mdico como o documento nico constitudo de um conjunto de informaes, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situaes sobre a sade do paciente e a assistncia a ele prestada, de carter legal, sigiloso e cientfico, que possibilita a comunicao entre membros da equipe multiprofissional e a continuidade da assistncia prestada ao indivduo. Art. 2 - Determinar que a responsabilidade pelo pronturio mdico cabe: I. Ao mdico assistente e aos demais
profissionais que compartilham do atendimento; II. hierarquia mdica da instituio, nas
suas respectivas reas de atuao, que tem como dever zelar pela qualidade da prtica mdica ali desenvolvida; III. hierarquia mdica constituda pelas
chefias de equipe, chefias da Clnica, do setor at o diretor da Diviso Mdica e/ou diretor tcnico. Art. 3 - Tornar obrigatria a criao das Comisses de Reviso de Pronturios nos estabelecimentos e/ou instituies de sade onde se presta assistncia mdica. Art. 4 - A Comisso de que trata o artigo anterior ser criada por designao da Direo do estabelecimento, por eleio do Corpo Clnico ou por qualquer outro mtodo que a instituio julgar adequado, devendo ser coordenada por um mdico. Art. 5 - Compete Comisso de Reviso de Pronturios: I. Observar os itens que devero constar
obrigatoriamente do pronturio confeccionado em qualquer suporte, eletrnico ou papel:
42
a. Identificao do paciente nome completo, data de nascimento (dia, ms e ano com quatro dgitos), sexo, nome da me, naturalidade (indicando o municpio e o estado de nascimento), endereo completo (nome da via pblica, nmero, complemento, bairro/distrito, municpio, estado e CEP); b. Anamnese, exame fsico, exames complementares solicitados e seus respectivos resultados, hipteses diagnsticas, diagnstico definitivo e tratamento efetuado; c. Evoluo diria do paciente, com data e hora, discriminao de
todos os procedimentos aos quais o mesmo foi submetido e identificao dos profissionais que os realizaram, assinados eletronicamente quando elaborados e/ou armazenados em meio eletrnico; d. Nos pronturios em suporte de papel obrigatria a legibilidade da letra do profissional que atendeu o paciente, bem como a identificao dos profissionais prestadores do atendimento. So tambm obrigatrias a assinatura e o respectivo nmero do CRM; e. Nos casos emergenciais, nos quais seja impossvel a colheita de histria clnica do paciente, dever constar relato mdico completo de todos os procedimentos realizados e que tenham possibilitado o diagnstico e/ou a remoo para outra unidade. I. Assegurar a responsabilidade do
preenchimento, guarda e manuseio dos pronturios, que cabem ao mdico assistente, chefia da equipe, chefia da Clnica e Direo tcnica da unidade. Art. 6 - A Comisso de Reviso de Pronturios dever manter estreita relao com a Comisso de tica Mdica da unidade, com a qual devero ser discutidos os resultados das avaliaes realizadas ..
Devido a grande evoluo dos sistemas de informao, o Conselho Federal de Medicina define uma resoluo que trata da digitalizao dos pronturios e/ou microfilmagem. Esses so os nicos meios que permitem a eliminao do suporte de
43
papel, entretanto so poucos os hospitais que digitalizam os pronturios e que esto de conformidade com as normas tcnicas que regulamentam o uso de sistemas informatizados para guarda e manuseio do pronturio mdico. A resoluo do CFM n. 1821/2007: RESOLVE:
Art. 1 Aprovar o Manual de Certificao para Sistemas de Registro Eletrnico em Sade, verso 3.0 e/ou outra verso aprovada pelo Conselho Federal de Medicina, anexo e tambm disponvel nos sites do Conselho Federal de Medicina e Sociedade Brasileira de Informtica em Sade (SBIS), respectivamente, www.portalmedico.org.br e www.sbis.org.br. Art. 2 Autorizar a digitalizao dos pronturios dos pacientes, desde que o modo de armazenamento dos documentos digitalizados obedea a norma especfica de digitalizao contida nos pargrafos abaixo e, aps anlise obrigatria da Comisso de Reviso de Pronturios, as normas da Comisso Permanente de Avaliao de Documentos da unidade mdicohospitalar geradora do arquivo. 1 Os mtodos de digitalizao devem reproduzir todas as informaes dos documentos originais. 2 Os arquivos digitais oriundos da digitalizao dos documentos do pronturio dos pacientes devero ser controlados por sistema especializado (Gerenciamento eletrnico de documentos - GED), que possua, minimamente, as seguintes caractersticas: a) Capacidade de utilizar base de dados adequada para o armazenamento dos arquivos digitalizados; b) Mtodo de indexao que permita criar um arquivamento organizado, possibilitando a pesquisa de maneira simples e eficiente;
44
c) Obedincia aos requisitos do "Nvel de garantia de segurana 2 (NGS2)", estabelecidos no Manual de Certificao para Sistemas de Registro Eletrnico em Sade; Art. 3 Autorizar o uso de sistemas informatizados para a guarda e manuseio de pronturios de pacientes e para a troca de informao identificada em sade, eliminando a obrigatoriedade do registro em papel, desde que esses sistemas atendam integralmente aos requisitos do "Nvel de garantia de segurana 2 (NGS2)", estabelecidos no Manual de Certificao para Sistemas de Registro Eletrnico em Sade; Art. 4 No autorizar a eliminao do papel quando da utilizao somente do "Nvel de garantia de segurana 1 (NGS1)", por falta de amparo legal. Art. 5 Como o "Nvel de garantia de segurana 2 (NGS2)", exige o uso de assinatura digital, e conforme os artigos 2 e 3 desta resoluo, est autorizada a utilizao de certificado digital padro ICP-Brasil, at a implantao do CRM Digital pelo CFM, quando ento ser dado um prazo de 360 (trezentos e sessenta) dias para que os sistemas informatizados incorporem este novo certificado. Art. 6 No caso de microfilmagem, os pronturios microfilmados podero ser eliminados de acordo com a legislao especfica que regulamenta essa rea e aps anlise obrigatria da Comisso de Reviso de Pronturios da unidade mdico-hospitalar geradora do arquivo. Art. 7 Estabelecer a guarda permanente, considerando a evoluo tecnolgica, para os pronturios dos pacientes arquivados eletronicamente em meio ptico, microfilmado ou digitalizado. Art. 8 Estabelecer o prazo mnimo de 20 (vinte) anos, a partir do ltimo registro, para a preservao dos pronturios dos pacientes em suporte de papel, que no foram arquivados eletronicamente em meio ptico, microfilmado ou digitalizado.
45
Art. 9 As atribuies da Comisso Permanente de Avaliao de Documentos em todas as unidades que prestam assistncia mdica e so detentoras de arquivos de pronturios de pacientes, tomando como base as atribuies estabelecidas na legislao arquivstica brasileira, podem ser exercidas pela Comisso de Reviso de Pronturios. Art. 10 Estabelecer que o Conselho Federal de Medicina (CFM) e a Sociedade Brasileira de Informtica em Sade (SBIS), mediante convnio especfico, expediro selo de qualidade dos sistemas informatizados que estejam de acordo com o Manual de Certificao para Sistemas de Registro Eletrnico em Sade, aprovado nesta resoluo. Art. 11 Ficam revogadas as Resolues CFM nos 1.331/89 e 1.639/02, e demais disposies em contrrio..
2.9 ABNT NBR ISO/IEC 27001:2006

Ao falar em Sistemas de Gesto de Segurana da Informao, o padro reconhecido internacionalmente o padro ISO que definido pelas normas ABNT NBR ISO/IEC 27001 e 27002. Entretanto, neste contexto de estudo abordada apenas a norma 27001 (2006). A norma ABNT NBR ISO/IEC 27001 (2006), especifica os requisitos obrigatrios para uma Sistema de Gesto de Segurana da Informao para estabelecer, implementar, operar, monitorar, revisar, manter, e melhorar um Sistema de Gesto da Segurana da Informao. Essa norma especifica objetivos de controles e controles de segurana personalizados para as necessidades de organizaes ou suas partes. A norma basicamente esta dividida em oito sees, que so: 1- Objetivo; 2- Referncia normativa; 3- Termos e definies;
46
4- Sistema de gesto de segurana da informao; 5- Responsabilidades da direo; 6- Auditorias Internas do Sistema de Gesto da Segurana da Informao; 7- Reviso que trata da anlise crtica por parte da direo; 8- Melhoria Contnua sobre o Sistema de Gesto da Segurana da Informao. importante ressaltar que a norma possui um anexo que apresenta uma lista de objetivos de controle e os controles mnimos que um Sistema de Gesto de Segurana da Informao deve possuir. Lembrando que esses controles podem ser expandidos atravs de controles adicionais estabelecidos pela organizao. importante uma organizao estar em conformidade com a norma ABNT NBR ISO/IEC 27001 (2006), pois assim ela passa a ter um sistema de segurana baseado em um padro internacional; O processo a ser abordado atravs de um PDCA; A organizao passa a ter uma poltica de segurana estabelecida para a segurana da informao; Identificao dos ativos; Definio dos proprietrios com suas
responsabilidades especficas sobre segurana da informao para um determinado ativo; Realizao de auditorias; Aes corretivas e preventivas; Melhoria contnua, dentre outros. A norma promove a adoo de uma abordagem por processo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar o Sistema de Gesto da Segurana da Informao, e adota o modelo PDCA para estruturar todos os processos desse sistema. A figura 4 abaixo mostra o modelo PDCA aplicado:
47
Figura 4 - Modelo PDCA aplicado aos processos do SGSI (ABNT NBR ISO/IEC 27001:2006)
A tabela abaixo resume as fases desses modelos:
Plan (planejar) (estabelecer o Estabelecer a poltica, objetivos, processos e SGSI) procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordocom as polticas e objetivos globais de uma organizao.
Do
(fazer)
(implementar
e Implementar
operar
poltica,
controles,
operar o SGSI)
processos e procedimentos do SGSI.
Check (checar) (monitorar e Avaliar e, quando aplicvel, medir o desempenho de analisar criticamente o SGSI) um processo frente poltica, objetivos e
48
experincia prtica do SGSI e apresentar os resultados para a anlise crtica pela direo.
Act (agir) (manter e melhorar Executar as aes corretivas e preventivas, com o SGSI) base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI.
Tabela 2 - Definio do PDCA da ABNT NBR ISO/IEC 27001:2006
No quadro acima possvel ver que para que seja configurado um SGSI em conformidade com a norma ABNT NBR ISO/IEC 27001 (2006), necessrio adoo do modelo PDCA proposto pela norma.
2.10 O AMBIENTE ORGANIZACIONAL

Esse estudo de caso foi realizado em uma empresa do ramo de sade pblica em Recife/PE, Brasil. O nome da empresa ser tratado como empresa X 1. A empresa X tem como objetivo oferecer atendimento mdico e hospitalar populao nas mais diversas reas. A empresa X considerada um hospital modelo entre as unidades de sade, ela rene profissionais renomados e serve de campo de atuao de Medicina, Enfermagem, Terapia Ocupacional, Fisioterapia, Psicologia, Odontologia e Servio Social.
X A organizao no autorizou a divulgao do nome da empresa
49
O hospital pblico estudado possui um nmero relevante de ambulatrios nas mais diversas reas de sade, em sua infraestrutura possui consultrios de atendimento ambulatorial, leitos na Unidade de Tratamento Intensivo (adulto e neonatal), salas de centro cirrgico, salas no centro cirrgico ambulatorial e trs salas no centro obsttrico. O nmero de atendimentos realizado atinge a mdia de 30.000 mil atendimentos ambulatriais por ms.
50
Captulo
3
3. Metodologia
Este captulo descreve a teoria onde se baseia o estudo e os seus principais conceitos relacionados com o presente trabalho.
Este trabalho tem por objetivo apresentar estudo exploratrio, com vista a avaliar a confidencialidade, integridade e disponibilidade do pronturio mdico do paciente de um hospital pblico em conformidade com as resolues 1638/2002 e 1605/2000 do Conselho Federal de Medicina e com a norma ABNT NBR ISO/IEC 27001 (2006), que trata do sistema de gesto de segurana da informao.
O desenvolvimento da pesquisa seguiu as seguintes etapas:
51
Etapa 1: Entrevistas O trabalho foi enriquecido com entrevista concedida por trs profissionais da rea de sade, o primeiro entrevistado coordena o departamento do SAME Servio de Arquivo Mdico e Estatstica do hospital. A segunda pessoa a ser entrevistada foi um ex-funcionrio do SAME que atualmente trabalha em outro setor dentro da organizao e tem um experincia no hospital de cerca de 25 anos. Por fim o terceiro entrevistado foi um mdico com alguns anos de atuao no hospital pblico estudado e que exerceu o cargo de chefe do departamento de contas mdica e atuou como mdico plantonista, mas atualmente se encontra a disposio em outro orgo. Todos contriburam para esclarecer sobre a organizao, a guarda e o rastreamento dos pronturios entre os setores.
Etapa 2: Estruturao do ciclo de vida do pronturio mdico dentro da organizao estudada. Etapa 3: Diagnosticar a conformidade com as resolues 1638/2002 e 1605/2000 do Conselho federal de Medicina e com a norma ISO 27001 (2006). Aps o cumprimento das etapas descritas passamos consecuo dos seguintes objetivos especficos, a saber: Analisar a fragilidade da segurana da informao sobre o pronturio mdico. Analisar o ciclo de vida do pronturio mdico do paciente. Avaliar a confidencialidade, integridade e disponibilidade do pronturio mdico de acordo com a legislao do Conselho Federal de Medicina e a conformidade com a norma ISO 270001 (2006), atravs de um diagnstico preliminar.
52
Captulo
4
4. Anlise dos Resultados
Neste captulo foi feito um diagnstico da situao atual do sistema de gesto do pronturio mdico do paciente com a finalidade de detectar problemas existentes que possam impactar em questes como: confidencialidade, integridade e disponibilidade, alm de analisar quais a vulnerabilidades existentes no processo do ativo estudo e a conformidade do ativo com a lei e norma ABNT ISSO/IEC 27001 (2006).
53
4.1 Sistema de Gesto do pronturio mdico do paciente

Na figura 4 acima mostra o funcionamento do ciclo de vida do pronturio mdico do paciente que ser adiante.
Figura 5 - Sistema de gesto do pronturio mdico do paciente (Fonte: prprio autor)
Na tabela 3 a seguir mostrado os itens que fazem parte de todo o processo de funcionamento do pronturio mdico do paciente.
54
ITEM
DEFINIO
Ativo:
Pronturio mdico do paciente
Stakeholders:
- Funcionrios do SAME e Cetral de marcao - Mdicos - Enfermeiros
Sistema de gesto:
Corresponde a todo o processo de funcionamento do pronturio mdico do paciente. importante salientar que no existe software para apoio ao sistema de gesto proposto.
Meio:
O meio fsico utilizado pelo ativo apenas atravs do papel, no existe informao digitalizada ou software de apoio.
Regulamentao:
Devido informao apresentar-se apenas em meio fsico a resoluo que rege o pronturio mdico do paciente o n. 1638/20022 e 1605/20003 do CFM.
Tabela 3 - Itens do sistema de gesto do pronturio mdico do paciente
http://www.portalmedico.org.br/resolucoes/cfm/2002/1638_2002.htm http://www.portalmedico.org.br/resolucoes/cfm/2000/1605_2000.htm
55
Descrevendo o fluxo representado na figura 5 acima, o processo funciona da seguinte forma: Inicialmente a concepo do pronturio mdico do paciente tem sua origem no departamento denominado central de marcao, local no qual os pacientes realizam o cadastro bsico em que so preenchidas as seguintes informaes: nome completo, data de nascimento (dia, ms e ano com quatro dgitos), sexo, nome da me, naturalidade (indicando o municpio e o estado de nascimento) e endereo completo (nome da via pblica, nmero, complemento, bairro/distrito, municpio, estado e CEP) com base nos dados coletados do paciente. Posteriormente a central de marcao emite a folha de rosto do pronturio mdico do paciente contendo as informaes de cadastro bsico e anexa na frente do pronturio fsico dando origem realmente ao ativo. Em seguida esse pronturio encaminhando para o SAME (Servio de Arquivo Mdico e Estatstico) que ficar responsvel por sua guarda. Quando ocorrer a consulta para um paciente, j previamente agendada pela central de marcao, o SAME encaminha para os ambulatrios de acordo com a especialidade mdica que o paciente agendou, para que o mdico possa preencher com informaes e consultar o pronturio mdico do paciente caso esse j possua histrico de consultas e exames. No final do dia um representante do SAME responsvel por recolher o pronturio mdico e guarda-l novamente no SAME. Porm, quando o paciente esta em processo de internao o SAME envia o pronturio para a enfermaria que ficar responsvel por seu acompanhamento, alimentar e consultar o pronturio. Sendo assim, quando o paciente receber alta o pronturio mdico do paciente enviado de volta para o SAME para ser arquivado. No SAME existe ainda consultas a pronturio por parte de docentes, mdicos, residentes e comisso de reviso de pronturios. O processo de descarte dentro da organizao no ocorre porque todos os pronturios so arquivados no SAME, para que sejam utilizados para estudo por parte
56
de alguns residentes da rea de medicina, nutrio e diettica, enfermeiro, docentes e etc.
4.2 Quadro de Vulnerabilidades

Na tabela a seguir mostrado o quadro de vulnerabilidades envolvidas no sistema de gesto estudado, com base na utilizao da noo de SWOT, que a avaliao dos pontos fortes (Strenghts) e dos pontos fracos (Weaknesses) da organizao luz das oportunidades (Opportunities) e das ameaas (Threats) em seu ambiente. Esta uma estratgia que busca atingir a adequao entre as capacidades internas e as possibilidades externas (MINTZBERG, AHLSTRAND e LAMPEL, 2000). A adaptao dessa tcnica para ter viso das vulnerabilidades que esto contidas no ciclo de vida do ativo permite mostrar que existe uma grande ameaa informao.
57
ONDE H A VULNERABILIDADE
QUANDO OCORRE A VULNERABILIDADE
AGENTES EXTERNOS OU AMEAAS
CONSEQNCIAS
MEDIDAS DE PROTEO INTELIGENTE
Produo/ Manuseio
Funcionrio
- Divulgar a informao; - Quebra da confidencialidade, ou seja, da privacidade; No o conformidade art 1 da n. e
Cuidados
em
Geral; Auditorias fre-
quentes.
com
resoluo 1605/2000 1638/2002 do CFM.
Produo/ Manuseio
Funcionrio no realizar o cadastro completo de acordo com o artigo 5 alnea a da resoluo n. 1638/2002.
- Quebra da integridade; - No conformidade com o artigo 5 alinea a da resoluo n. 1638/2002 do CFM.
- A comisso de reviso pronturios realizar de deve
auditorias
frequentes; Criao de para
sistema
permitir o cadastro na central de
marcao com os campos obrigatrios; O SAME s
receber pronturio
58
que mdico
Pronturio do
paciente tenha a identificao paciente preenchida completo. por do
Manuseio
Acesso do pronturio mdico do
- Dano ao paciente (por uma prescrio errada) organizao divulgao informao; - Quebra da confidencialidade dade, e o integrifalso ou com a da
- O SAME solicitar identificao mdico, confirmao com o RH. do
paciente por falso mdico.
pois
mdico pode prescrever algo ao paciente no pronturio mdico; No conformidade
com o artigo 1 da resoluo n. 1605/200 e 1638/2002 do CFM;
Manuseio
Acesso
do
- Dano ao paciente (por uma prescrio errada) organizao divulgao informao; ou com a a da
- O SAME solicitar identificao do
pronturio mdico do paciente por falsos mdicos do paciente residentes
residente, solicitar autorizao mdico responsvel aluno pelo e do
59
Quebra
da e o
confirmao com o RH;
confidencialidade integridade, falso pois
mdico algo
pode ao
prescrever
paciente no pronturio mdico; No conformidade
com o artigo 1 da resoluo 1605/2000 1638/2002 do CFM. n. e
Manuseio
Paciente ou falso paciente roubar o pronturio durante consulta; uma
Divulgao
de
organizao prover efetiva
informaes sigilosas do paciente; - Quebra da confidencialidade bilidade; No conformidade e disponi-
deve segurana
na entrada e sada do hospital para a de tal
mitigar probabilidade acontecer incidente.
com o artigo 1 da resoluo n. 1605/200 e 1638/2002 do CFM.
Manuseio
Roubo de informaes atravs
Divulgao
de
SAME
deve
informaes sigilosas do paciente; Quebra da
permitir apenas a consulta em sala monitorada por
de cmeras por residentes estudantes medicina; ou de
cmeras e revista para evitar entrada de equipamento
confidencialidade; No conformidade
60
eletrnico captura
de de
imagens durante a consulta pronturio. ao
Manuseio
Extravio de algum contedo pronturio comprometa do que o
- Quebra da integridade da in-formao do prontu-rio; - Eliminao de evidncias criminais; No conformidade
- Deve-se definir uma poltica de
acesso ao pronturio para esses
mdico que est em ao judicial.
casos especficos. Alm da auditoria da comisso de
com os artigos 2 e 3 da resoluo n
reviso de pronturio definida na
1605/2000.
resoluo 1638/2002.
Manuseio
Mdico
escrever
Quebra
da
organizao criar a de de como
no pronturio de forma ilegvel
integridade e disponibilidade; - A informao ilegvel pode estado levar at ao um
deve
comisso reviso pronturio
define a resoluo 1638/2002 auditar pronturios mdicos. para os
terminal
paciente. Alm da no conformidade com a resoluo 1638/2002. n.
Pronturio mdico do
Manuseio
Mdico repotar
no as
- Quebra da integri-
organizao criar a
deve
61
paciente
informaes para o pronturio.
dade; A omisso da
comisso reviso pronturio
de de como
informao pode levar at ao estado terminal um paciente. Alm da no conformidade com a 1638/2002. resoluo
define a resoluo 1638/2002 auditar pronturios mdicos. para os
Manuseio
Extravio pronturio mdico.
do pelo
- Quebra da disponibilidade mente cialidade a e indiretaconfidenda
SAME
deve
realizar frequentes
auditoria e
comunicar a direo da
informao, perda de todo registro do
organizao sobre o ocorrido;
paciente; No a conformidade resoluo e a
- A comisso de reviso de pronturios deve realizar auditorias.
com
1638/2002 1605/2000.
Manuseio
Extravio pronturio
do
- Quebra da disponibilidade mente a e indiretaconfiden-
SAME
deve
realizar
auditorias
durante o perodo de internao do paciente.
frequentes e comunicar a direo da organizao sobre o ocorrido; - A comisso de reviso de pronturio auditorias. realizar
cialidade da informao, perda de todo registro do paciente; No a conformidade resoluo e a
com
1638/2002 1605/2000.
62
Transporte
Extravio pronturio
do
Quebra
da e a da
SAME
deve
disponibilidade indiretamente confidencialidade
realizar
auditorias e
durante o transporte
frequentes
comunicar a direo da organizao sobre o
informao, perda de todo registro do
paciente; No a conformidade resoluo e a
ocorrido.
com
1638/2002 1605/2000.
Transporte
Instruso pronturio funcionrio
roubar de
Divulgao
de
organizao prover efetiva
informaes sigilosas (exe: AIDS, cncer,
deve segurana
durante o transporte.
etc) do paciente; Quebra da e
na entrada e sada do hospital para
mitigar a probabilidade de acontecer tal incidente.
confidencialidade disponibilidade; No
conformidade
Armazenamento
Funcionrio realizar mento pronturio forma errada. arquivade de
Quebra
da da
- O SAME deve realizar auditoria e treinamento frequentes com
disponibilidade informao.
seus funcionrios;
63
Armazenamento
Extravio
de
- Quebra da disponibilidade da informao e indiretamente da
SAME
deve
pronturio dentro do prprio SAME.
realizar auditoria e treinamento fre-
confidencialidade; No conformidade
quentes com seus funcionrios.
com o artigo 1 da resoluo n. 1605/200 e 1638/2002.
Armazenamento
Incndio SAME
no
Quebra
da da
A deve SAME
organizao prover ao infraadequa-
disponibilidade informao; No a
estrutura conformidade resoluo com
da para conteo do fogo em caso de incndio;
1638/2002.
Tabela 4 - Quadro de vulnerabilidades do ciclo de vida sobre o pronturio mdico do paciente
4.3 Conformidade com a norma ABNT ISO/IEC 27001:2006

A norma ABNT ISO/IEC 27001 (2006) trata dos requisitos para que a organizao consiga estruturar um sistema de gesto da segurana da informao objetivando estabelecer, implementar, operar, monitorar, manter e melhorar um SGSI documento. Esta norma est sendo usada dentro deste estudo de caso como um meio de realizar um diagnstico preliminar de como est o sistema de gesto da segurana da informao sobre sistema de gesto do pronturio mdico do paciente.
64
Dentro do contexto estudado verificada a conformidade com a ABNT ISO/IEC 27001 (2006), atravs de um diagnstico preliminar para os seguintes objetivos de controles aplicveis, que so listados nas tabelas abaixo.
A.5 Poltica de segurana
A.5.1 Poltica de segurana da informao
A.5.1.1
Documento da poltica de segurana da informao
No
No sistema de gesto do mdico o ativo no do a
Conforme pronturio paciente
contemplado, organizao
pois no
possui
documento da poltica de segurana homologado. da informao
A.5.1.2
Anlise crtica da poltica de segurana da informao
No
A organizao no possui
Conforme documento da poltica de segurana para que da informao possa ser
analisando criticamente.
Tabela 5 - Objetivo de controle e controles da poltica de segurana, aplicveis da norma ABNT NBR ISO/IEC 27001:2006.
65
A.6 Organizao da segurana da informao
A.6.1 - Infraestrutura da segurana da informao
A.6.1.1
Comprometimento da direo com a segurana
No
Dentro do cenrio atual a
da Conforme organizao no tem um direcionamento sobre a definido da a
informao
segurana Sendo da
informao. segurana
informao
tratada de forma ad hoc pela direo da organizao.
A.6.1.2
Coordenao da segurana da informao
No
Na
organizao
Conforme coordenao da segurana da informao no existe ainda at o presente
momento, a formao da coordenao da segurana da informao est em de
processo concepo.
embrionrio
A.6.1.3
Atribuio responsabilidades para
de
No
No
existe da
poltica
de
a Conforme segurana homologada, forma ad
informao funciona de
segurana da informao
hoc.
Logo,
66
impossvel controle.
atender
este
A.6.1.4
Processo de autorizao para os recursos
No
No existe processo para
de Conforme gesto de autorizao. da
processamento informao
A.6.1.5
Acordos de confidencialidade
No
No existe nenhum acordo confidencialidade ou
Conforme de
acordos de no divulgao que reflitam as necessidades da organizao da para a
proteo Estes
informao. ser
devem e
identificados criticamente, regular.
analisados de forma
A.6.1.6
Contato com autoridades
No
No
existem
contatos
Conforme apropriados com autoridades relevantes, que devem ser mantidos.
A.6.1.7
Contato especiais
com
grupos
No
A organizao no mantm apropriados de com
Conforme contatos grupos
interesses
especiais ou outros fruns
67
especializados de segurana da informao e associaes profissionais. Estes contatos devem ser mantidos.
A.6.1.8
Anlise crtica independente de segurana da informao
No
No existe enfoque por parte organizao para
Conforme da
gerenciar a segurana da informao e a sua (por
implementao
exemplo: controles, objetivo dos controles, polticas,
processos e procedimentos para a segurana deve da ser
informao),
analisado criticamente, de forma intervalos quando mudanas independente, planejados, a ou
ocorrerem significativas
relativas implementao da segurana da informao; A.6.2 Partes Externas A.6.2.1 Identificao relacionados externas dos com riscos No No existe identificao dos
partes Conforme riscos para os recursos de processamento informao e para da a
68
informao da organizao oriundos de processos do negcio que envolvam as partes externas devem ser identificados apropriados e controles ser
devem
implementados antes de se conceder o acesso.
A.6.2.2
Identificando a segurana da informao quando tratando com os clientes.
No
No existe identificao dos
Conforme requisitos de segurana da informao devem antes ser de identificados considerados conceder aos
clientes o acesso aos ativos ou s informaes da
organizao.
A.6.2.3
Identificando segurana da informao nos acordos com terceiros
No
No existe identificao da da informao
Conforme segurana
nos acordos com terceiros
Tabela 6 - Objetivos de controle e controles da organizao da segurana da informao, aplicveis da norma ABNT NBR ISO/IEC 27001:2006.
A.7 Gesto de Ativos
69
A.7.1 Responsabilidade pelos ativos O SAME mantm todos os A.7.1.1 Inventrio dos ativos Conforme ativos devem ser claramente identificados atravs de uma numerao especifica.
A.7.1.2
Proprietrio dos ativos
Conforme A organizao contm as informaes e ativos
associados com os recursos de processamento para o da ativo
informao
estudado no contexto no tocante ao pronturio mdico do paciente.
A.7.1.3
Uso aceitvel dos ativos
No
Diante do contexto estudado
Conforme este controle realizado de forma ad hoc.
A.7.2 Classificao da Informao Recomendaes para A.7.2.1 classificao Conforme A informao tem seu valor com legais base nos requisitos pela
definidos
resoluo do CFM.
70
Rtulos e tratamento da A.7.2.2 informao Conforme A informao est de acordo com a legislao e
identificao especfica para o pronturio e procedimento operacionais adotado pela organizao.
Tabela 7 - Objetivos de controle e controles da gesto de ativos, aplicveis da norma ABNT NBR ISO/IEC 27001:2006
A.9 Segurana fsica e do ambiente
A.9.1 reas seguras
A.9.1.1
Permetro fsica
de
segurana Conforme A sala de proteo do SAME possui certo nvel de controle de acesso por meio de
recepcionista.
A.9.1.2
Controles de entrada fsica
No
No
possui
controles
de
Conforme acesso para entrada fsica Segurana em escritrios A.9.1.3 salas e instalaes No Este controle atendido em Conforme partes por meio do SAME, porm as salas no dos so
ambulatrios contempladas.
71
Proteo contra ameaas A.9.1.4 externas e do meio ambiente No O SAME possui no recurso a Conforme apenas incndio. Trabalhando em reas A.9.1.5 seguras No Conforme Acesso do pblico, reas de A.9.1.6 entrega e de carregamento No Dentro do contexto apenas o Conforme SAME possui certo nvel de segurana. tocante
Tabela 8 - Objetivos de controle e controles da segurana fsica e do ambiente, aplicveis da norma ABNT NBR ISO/IEC 27001:2006.
A.11 Controle de acessos
A.11.1 Requisitos de negcio para controle de acesso
A.11.1.1
Poltica de controle de acesso
No
No
existe este
uma
poltica
Conforme oficial,
controle
realizado de forma ad hoc.
A.11.2 Gerenciamento de acesso do usurio
A.11.2.1
Registro de usurio
No
Existe o processo, porm
72
Conforme realizado de forma ad hoc, no um processo formal.
A.11.2.2
Gerenciamento de privilgios
Conforme Existe um processo que realizado de forma ad hoc
Anlise crtica dos direitos de A.11.2.4 acesso de usurio No No existe nenhum Conforme processo formal para este controle, funciona de forma ad hoc.
Tabela 9 Objetivos de controle e controle do controle de acessos, aplicveis da norma ABNT NBR ISO/IEC 27001:2006.
A.13 - Gesto de incidentes de segurana da informao
A.13.1 - Notificao de fragilidades e eventos de segurana da informao Notificao de eventos de A.13.1.1 segurana da informao No A organizao no possui Conforme nada oficial realizado ad hoc Notificando fragilidades de A.13.1.2 segurana da informao No Conforme A organizao no possui.
A.13.2 - Gesto de incidentes de segurana da informao e melhorias Responsabilidades e A.13.2.1 procedimentos No No possui.
73
Conforme Aprendendo com os A.13.2.2 incidentes de segurana da informao A.13.2.3 Coleta de evidncias No Conforme No possui
No Conforme
No possui
Tabela 10 Objetivos de controle e controles da gesto de incidentes da segurana da informao, aplicveis da norma ABNT NBR ISO/IEC 27001:2006.
A.14 - Gesto da continuidade do negcio
A.14.1 - Aspectos da gesto da continuidade do negcio, relativos segurana da informao Incluindo segurana da A.14.1.1 informao no processo de gesto da continuidade de negcio Continuidade de negcios e A.14.1.2 anlise/avaliao de risco No Conforme Desenvolvimento e A.14.1.3 implementao de planos de continuidade relativos segurana da informao No Conforme No possui No possui No Conforme No possui
74
Estrutura do plano de A.14.1.4 continuidade do negcio No Conforme Testes, manuteno e A.14.1.5 reavaliao dos planos de continuidade do negcio No Conforme No possui No possui
Tabela 11 - Objetivos de controle e controles da gesto de continuidade do negcio, aplicveis da norma ABNT NBR ISO/IEC 27001:2006.
A.15 Conformidade
A.15.1- Conformidade com requisitos legais Identificao da legislao A.15.1.1 vigente Conforme A legislao que rege o ativo estudado pronturio no caso do do
mdico
paciente existe e mantido atualizado. Direitos de propriedade A.15.1.2 intelectual Conforme Embora no exista o uso do software os procedimentos apropriados so
implementados de modo a garantir o alinhamento com legislao.
75
Proteo de registros A.15.1.3 organizacionais No Conforme Existem procedimentos definidos que, apesar de no to eficazes funcionam
diante do cenrio atual. Proteo de dados e A.15.1.4 privacidade da informao pessoal No Conforme Os mecanismos disponveis so aplicados dentro do
cenrio
estudado,
porm
quebra de privacidade pode acontecer. Preveno de mau uso de A.15.1.5 recursos de processamento da informao No Conforme Os implementados organizao casos falham. Regulamentao de controles A.15.1.6 de criptografia No Conforme No possui em dispositivos pela alguns
Tabela 12 Objetivos de controles e controles da gesto de comformidade aplicveis da norma ABNT NBR ISO/IEC 27001:2006
76
77
Captulo
5
5. Consideraes Finais
O ltimo captulo deste trabalho apresenta as consideraes finais, os resultados obtidos relacionados com os objetivos iniciais da pesquisa, as possibilidades para realizao de trabalhos futuros e a concluso final do trabalho.
Este trabalho possibilitou adquirir novas experincias no campo terico da segurana da informao e no ambiente prtico de modo a verificar a conformidade do sistema de gesto do ativo estudado que de essencial importncia para o funcionamento da organizao de um grande rgo governamental.
78
Primeiramente
devido
ao
tamanho
da organizao, que acarreta uma
complexidade maior para o projeto e depois pelos procedimentos administrativos que devem ser seguidos para que o trabalho possa continuar. No campo prtico da elaborao deste projeto foi possvel avaliar como est a organizao no aspecto da segurana, visando diagnosticar o cenrio atual e sensibilizar os gestores da organizao sobre a importncia desta rea estratgica. As experincias das disciplinas ministradas durante todo curso, sobretudo a de Segurana da informao, foram de fundamental importncia para elaborao, desenvolvimento e concluso deste projeto.
5.1
Resultados Obtidos
Os resultados obtidos atravs da anlise dos resultados foram: O ciclo de vida da informao do artefato estudado mostrou que embora exista legislao vigente sobre o determinado ativo estudado, e a organizao esteja trabalhando para permanecer em conformidade com a legislao, o cenrio de ameaas e vulnerabilidades existentes sobre o ativo so inmeras e necessrio realizar auditorias frequentes para corrigir as vulnerabilidades existentes. No tocante conformidade do sistema de gesto do pronturio mdico do paciente com a norma ABNT NBR ISO/IEC 27001 (2006), o sistema de gesto estudado no contexto do hospital pblico realmente no apresentou muitas conformidades com os objetivos de controles e controles aplicveis ao sistema de gesto do pronturio mdico definido pela norma, mostrando que no ramo da segurana de informao o sistema de gesto estudado e a organizao esto caminhando em passos lentos para atingir o que recomenda o mercado e a ISO/IEC 27001 (2006).
79
5.2
Trabalhos Futuros
Um estudo para trabalho futuro pode ser a aplicao de melhores prticas
encontradas na norma ABNT ISO/IEC 27002 para que a organizao possa alcanar os objetivos e controles recomendados pela normativa ISO/IEC 270001:2006 sobre sistema de gesto da segurana da informao para o sistema de gesto do pronturio mdico do paciente. Outra possibilidade seria um estudo mais amplo envolvendo a criao de uma poltica de segurana para toda organizao como proposta incluindo o ativo estudado.
5.3
Limitaes do estudo
O estudo teve como limitao apenas o cenrio de um ativo essencial para
organizao, mas a organizao composta por vrios ativos que no foram contemplados nesse estudo caso.
5.4 Concluses
Este trabalho realizou um estudo sobre o funcionamento do ativo denominado pronturio mdico do paciente de um hospital pblico com o intuito de compreender o ciclo de vida do ativo estudado, no qual foi possvel identificar o ciclo da informao desde a sua concepo at o seu descarte. Posteriormente foi realizada uma anlise para verificar a conformidade das resolues de nmero 1605/2000 e 1638/2002 definidas pelo Conselho Federal de Medica. Por fim foi feito um diagnstico do sistema de gesto da segurana da informao definido pela ABNT NBR ISO/IEC 27001 (2006), sobre o sistema de gesto do pronturio mdico do paciente.
80
Assim sendo, atravs do estudo realizado possvel concluir: A informao essencial do hospital pblico deve ser protegida no apenas por causa da existncia de regulamentao especfcias, mas tambm por causa de normas de segurana e melhores prticas; A implantao de softwares para auxiliar na otimizao do processo e segurana da informao fundamental para o melhor funcionamento organizacional; A organizao estudada ainda muito embrionria na rea de segurana da informao, assim como muitas organizaes; A alta gesto pode ser sensibilizada atravs deste estudo para que passe a encarar a segurana da informao como aliada e no como impeclio; O trabalho pode contribuir para concepo de uma poltica de segurana para da organizao.
81
Captulo
6
6. Referncias
ABNT NBR ISO/IEC 27001. 2006. Tecnologia da Informao. Sistema de gesto da segurana da informao. Janeiro. ABNT NBR ISO/IEC 27002. 2005. Cdigo de Prtica para a Gesto de Segurana da Informao. Associao Brasileira de Normas Tcnicas. Rio de Janeiro. ABNT NBR ISO/IEC 38500. 2009. Governana corporativa de tecnologia da informao. Associao Brasileira de Normas Tcnicas. Rio de Janeiro. ARAGON, A.; ABREU, V. Implantando a Governana de TI - da Estratgia Gesto dos Processos e Servios. 3 ed. So Paulo, Editora Brasport: 2012. AZEVEDO, H.R.T.; SOUZA, S.P.S.; MARTINS, F.R.S., Sistemas para diagnstico automtico de folhas; Dificuldades e solues para obteno de resultados. (2006). Associao Brasileira de Normas Tcnicas. Rio de
82
BlogSegInfo. Faltam pofissionais qualificados na rea de segurana da informao?, 2011. Disponvel em: http://www.seginfo.com.br/faltam-profissionaisqualificados-na-area-de-seguranca-da-informacao/. Acesso em: 18/09/2012. BORAN, Sean. IT Security Cookbook, 1996. Disponvel em:
http://www.boran.com/security/. Acesso em: 18/09/2012. Conselho Federal de Medicina. Resoluo CFM n. 1605/2000 . Define que o mdico no pode, sem o consentimento do paciente, revelar o contedo do pronturio ou a ficha mdica. Disponvel Acesso em: em:
http://www.portalmedico.org.br/resolucoes/cfm/2000/1605_2000.htm 20/09/2012.
Conselho Federal de Medicina. Resoluo CFM n. 1638/2002. Define pronturio mdico e torna obrigatria a criao da Comisso e Reviso de Pronturios nas instituies de sade. Disponvel Acesso em: em:
http://www.portalmedico.org.br/resolucoes/cfm/2002/1638_2002.htm. 20/09/2012.
Conselho Federal de Medicina. Resoluo CFM n. 1821/2007. Aprova as "Normas Tcnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Pronturio Mdico", dispe sobre tempo de guarda dos pronturios, estabelece cirtrios para certificao dos sistemas de informao e d outras providncias. Disponvel em: http://www.portalmedico.org.br/resolucoes/cfm/2007/1821_2007.htm.
Acesso em: 20/09/2012. CONSELHO REGIONAL DE MEDICINA DO ESTADO DE SO PAULO (CREMESP). Pronturio e segredo mdico. Disponvel em: Acesso
http://www.cremesp.org.br/?siteAcao=PublicacoesConteudoSumario&id=57. em: 19/09/2012.
83
DIAS, C. Segurana e Auditoria da Tecnologia da Informao. Rio de Janeiro: Axcel Books, 2000. MINTZBERG, H; AHLSTRAND, B; LAMPEL, J. Safri de estratgia: um roteiro pela selva do planejamento estratgico. Porto Alegre: Bookman, 2000. MITNICK, K.D.S., William L. A Arte de Enganar - Ataques de hackers: controlando o fator humano na segurana da informao So Paulo: Pearson Education, 2003. Moderno Dicionrio da Lngua Portuguesa
http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portuguesportugues&palavra=Risco. Acessado em:18/09/2012. PMI. PMBOK - Um guia do Conjunto de Conhecimentos em Gerenciamento deProjetos - 4 Edio - Pensilvnia: PMI, 2008. SANS. Sans Information Security Resources, 2012. Disponvel em:
http://www.sans.org/information_security.php. Acessado em:18/09/2012. SMOLA, M. Gesto da Segurana da Informao: Uma viso Executiva. Rio de Janeiro: Campus, 2003. VERIZON. Data Breach Investigations Report: A study conducted the Verizon Risk Team in cooperation with the United States Secret Service. Estados Unidos, 2010. WADLOW, T.. Segurana de Redes. Rio de Janeiro: Editora Campus, 2000. WHITMAN, M. E. Enemy at the gate: threats to information security. Communications of the ACM, v. 46, n. 8, p. 9195, 2003.

Monografia

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Monografia

Transféré par

Droits d'auteur :

Formats disponibles

ASPECTOS DA GESTO DE SEGURANA DA INFORMAO. UM ESTUDO DE CASO DE UM AMBIENTE HOSPITALAR.

UNIVERSIDADE FEDERAL DE PERNAMBUCO

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

ASPECTOS DA GESTO DE SEGURANA DA INFORMAO. UM ESTUDO DE CASO DE UM AMBIENTE HOSPITALAR.

Monografia apresentada como requisito parcial obteno do grau de Especialista, rea de

concentrao em Segurana da Informao, do Programa Computao de Ps-graduao do Centro de em Cincia da da

Universidade Federal de Pernambuco. ORIENTADOR: Evandro Curvelo Hora.

[JOSE DIOGENES R. ACCIOLY ACCIOLY, JOSE] [ASPECTOS DA GESTO DE SEGURANA DA

Monografia (Especializao) Universidade Federal de Pernambuco. CIn Cincia da Computao, 2012.

JOS DIOGENES RODRIGUES ACCIOLY

Dedico este trabalho MINHA FAMLIA

JOS DIOGENES RODRIGUES ACCIOLY

Aprender sem pensar tempo perdido.

JOS DIOGENES RODRIGUES ACCIOLY

Informao; Legislao do Pronturio Mdico; ISO/IEC 27001 (2006).

JOS DIOGENES RODRIGUES ACCIOLY

1.3.1 1.3.2 1.4 2.

ESTRUTURA DO TRABALHO ................................................................................................... 19

2.7.1 2.7.2 2.7.3

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

Conselho Federal de Medicina

Servio de Arquivo Mdico e Estatstica

SWOT Strenghts (Foras), Weakness (Fraquezas), Opportunities (Oportunidades) e Threats (Ameaas)

Conselho Federal de Medicia

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

1.2 DEFINIO DO PROBLEMA

JOS DIOGENES RODRIGUES ACCIOLY

1.4 ESTRUTURA DO TRABALHO

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

Neste captulo sero compreenso por parte do leitor.

abordados conceitos-chave para uma melhor

2.1 Informao e pronturio mdico

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

Figura 1 - Ciclo de Vida da Informao [adaptada de SMOLA (2003)]

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

2.2 Governana de TI e a Gesto de TI

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

2.3 Segurana da Informao

Quem esta por trs dos vazamentos de dados na organizao?

Figura 2 - Vazamento de dados nas cooporaes (Verizon, 2010)

JOS DIOGENES RODRIGUES ACCIOLY

Como os vazamentos ocorrem?

Figura 3 - Como os vazamentos ocorrem (Verizon, 2010)

JOS DIOGENES RODRIGUES ACCIOLY

JOS DIOGENES RODRIGUES ACCIOLY

Quais so as ameaas segurana da informao?

JOS DIOGENES RODRIGUES ACCIOLY

Comprometimento propriedade intelectual (pirataria, infrao a direitos autorais);

10 Variao da qualidade de servio (Qos) por provedores (como energia

eltrica e servios de redes remotas de telecomunicao);

JOS DIOGENES RODRIGUES ACCIOLY