SlideShare ist ein Scribd-Unternehmen logo

Provas de Mestrado em Informática Médica

Rui Gomes
Rui Gomes
1 von 33
Downloaden Sie, um offline zu lesen
Provas de Mestrado - Informática Médica Orientação: Doutor Luís Miguel Velez Lapão Co-orientação: Doutor Luís Filipe Coelho Antunes 12 de Novembro de 2010 Constituição do Júri: Presidente: Doutor Altamiro Manuel Rodrigues da Costa Pereira, professor catedrático, Faculdade de Medicina da Universidade do Porto; Vogal: Doutor Luís Miguel Velez Lapão, professor auxiliar convidado, Instituto de Higiene e Medicina Tropical, Universidade Nova de Lisboa (orientador); Vogal: Doutor Ricardo João Cruz Correia, professor auxiliar, Faculdade de Medicina da Universidade do Porto; Vogal: Doutor André Ventura da Cruz Marnoto Zúquete, professor auxiliar, Departamento de Electrónica, Telecomunicações e Informática, Universidade de Aveiro.
INTRODUÇÃO OBJECTIVOS 2003 METODOLOGIA INVESTIGAÇÃO ESTUDO DE CASO E RESULTADOS ENSAIO DE RESPOSTA A QUESTÕES CONCLUSÕES E PERSPECTIVAS FUTURO 1 2
INTRODUÇÃO A (In) Segurança No Acesso À Informação Ambiente Físico Processos Privacidade Organização e Acesso à Tecnologias Informação Clínica Políticas Pessoas 2001 Segundo dados da UMIC já em 2004 97% dos hospitais tinham acesso interno à internet generalizado a grande número de colaboradores. O aumento de utilização das VPN para colaboradores e empresas e a emulação e as sistemas de simulação de extranet. 3 4
INTRODUÇÃO INTRODUÇÃO A Gestão Da Segurança Da Informação O Elo Mais Fraco Segurança Informação  Gestão  Privacidade Problema  Cultura  Integridade de  Incidentes Segurança Gestão  Confidencialidade  Propriedade intelectual Segurança Tecnologias  Anti-virus  Intrusão  Detecção Não é um  Encriptação  Firewall Problema  Certificados de Tecnologias 2001  Vigilância Muitas vezes as Segurança para as empresas é só ajudar • Negligência dos colaboradores; os clientes a protegerem-se das ameaças externas ao • Falta de capacidades compatíveis funções; nível da circulação de informação electrónica (anti-virus, • Desconhecimento ou ignorância; certificados digitais, firewall, etc…) • Crime premeditado ou por conveniência; 5 6
INTRODUÇÃO INTRODUÇÃO Exemplo Motivações As equipas dos Departamentos de Sistemas de Informação têm pouca participação ou motivação em grupos… Qualidade, Gestão de Proxy Risco, Segurança, etc.. Seg. Física Patchs  “Comité Olímpico” Firewall Seg. Lógica Os Departamentos de Sistemas de Informação Anti-Virus asset ? vivem sujeitos a imensa adversidade e Riscos contantes, que algures no tempo, senão forem Políticas Cultura Acesso tratados criam impacto.  “Teoria do Caos” ? Organização Política ? Utilização 2001 Exemplo de uma paragem por completo num hospital publico durante aproximadamente 24 horas devido a uma alteração de denominação de rede de um equipamento que posteriormente não foi possível identificar no meio. 7 8
INTRODUÇÃO Objectivos Gerais Objectivos Específicos Mostrar a importância de sensibilizar gestores  Desmistificar a complexidade aparente das DSI e Executivos para os aspectos que são da multiplicidade de normas existentes; críticos na ausência de uma infraestrutura segura e as oportunidades perdidas pelo facto  Apresentar indicadores de benefícios de não se possuirem modelos de boas existentes numa infraestrutura segura; práticas.  Apurar as vantagens da determinação do Risco na altura do planeamento estratégico;  Apoiar efectivamente no preenchimento de uma gap analysis 2001 para apuramento do estado de arte; 9 10
OBJECTIVOS METODOLOGIA INVESTIGAÇÃO CAP 4: Definição e Exposição do Problema Base de trabalho Proteger Informação Maturidade Actores de Saúde Apuramento dedutivo Elaboração de Estratégias para a resolução dos problemas comuns 11 12
METODOLOGIA INVESTIGAÇÃO Definição de asset no ambiente Gestão Cultura Incidentes Segurança Asset Ambiente Bem (Bem) Privacidade Físico (Asset) Propriedade Confidencialidade Intelectual 2001  Aumento da exposição ao Risco  Complexidade dos Riscos  Complexidade na Protecção Riscos 13 14
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Níves de maturidade da informação Os mecanismos de protecção não são suficientes. clínica e a sua relação com o RISCO  é necessário vigiar os Riscos  e melhorar mecanismos de protecção Ou seja, é necessário… Gerir a Segurança 15 16
METODOLOGIA INVESTIGAÇÃO CAP 3: Estrutura e Governo das TI Corporate Governance Necessidade de alinhamento entre os interesses dos gestores, auditores e stakeholders. Subjacente numa gestão consistente e políticas organizadas. Deve conduzir e estabelecer um governo para as Tecnologias da Informação (IT-Governance). IT Governance Tal como o termo governance está associado 2001 aos actos de controlar, dirigir ou regular as acções de uma entidade, o IT-Governance, será o acto de regular os processos das TI dessa entidade. 17 18
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Gestão do Risco Orientação Negócio  Em consequência destas necessidades IT existem implementações de frameworks de Governance gestão: IT  Enterprise Risk Management da COSO Interno Management (Committee of Sponsoring Organizations of The Treadway Commission), orientado para o Presente Futuro Orientação Corporate Governance, Temporal Potenciar o negócio  Risk IT da COBIT (Control Objectives for Information and Related Technology), Eficiência Habilitador centrado no IT Governance Operacional Negócio (redução de custos, automatização (satisfação cliente, apoio a novas de processos, aumento da oportunidades de negócio, melhorar produtividade) cadeia valor) Compliance & Mitigação do Risco (melhorar a segurança, controlo de Auditoria acessos, reduzir probabilidade de (assegurar a privacidade do utente, 1 quebras seg.) mais facil compliance, permitir auditabilidade) 19 20
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Gestão do Risco Formas de abordar do Risco Mitigar o risco Evitar o risco Implementar controlos Decidir não avançar ou Avaliação de Riscos técnicos de mitigação de não implementar risco (por exemplo uma firewall) Avaliar Identificar Controlar Aceitar o Risco Transferir o risco Gestão de Risco Decidir que o nível de Aquisição de seguros ou risco identificado está outsourcing Planear Implementar Monitorizar dentro do limiar de tolerância das capacidades da organização A implementação de mitigação de riscos envolve tipicamente as Pessoas, os Processos e as Tecnologias. 21 22
METODOLOGIA INVESTIGAÇÃO CAP 5: Arquitectura Empresarial e Social Claúsulas de abrangência Táctico Aspectos técnicos Políticas Aspectos Físicos Segurança Aspectos Tácticos Organização Segurança Gestão Controlo Bens Acesso Conformidades Segurança Pessoas Segurança Física & Operacional Ambiental Desenvolvimento Comunicações & Gestão Sistemas& Manutenção Gestão de Operações Continuidade Negócio 23 24
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO  Do Caos à Estrutura  Lidar com a Complexidade  Papel do CEO, CIO, CISO e CTO Gestão Governança SI/TI SI/TI Operacional Estratégia Engenharia Arquitectura Só a existência de uma arquitectura pode responder às questões da complexidade e da mudança. É a única forma que a Humanidade tem de lidar com elas. Ao INCERTEZA CEPTICISMO ACEITAÇÃO CONFIANÇA RESPEITO t caos opõe-se à estrutura. Zachman CTO CIO 25 26
METODOLOGIA INVESTIGAÇÃO CAP 6: Infraestruturas/Problemas Comuns  Baseado em Evidências  Observações  Conhecimento Os problemas mais comuns são apresentados em 19 tópicos que denunciam a maior parte das vulnerabilidades encontradas nos hospitais no âmbito da Segurança da Informação. 27 28
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Arquitectura típica de um ambiente Problemas generalizados rudimentar de informação hospitalar Gestão Políticas Contratos/ Acesso físico, infraestrutura de rede e comunicações Outsourcing ? Ambiente utilizador Soluções baseadas em web, cliente/servidor, terminal, stand alone Gestão Acesso físico, infraestrutura de rede e comunicações Acesso físico, infraestrutura de rede e comunicações Credenciais Admissão, Altas, Recursos Humanos, de SGRH assets Suporte Transferências, Facturação, Contabilidade, Agendamento Aprovisionamento ? Ambiente aplicacional SI(s) Laboratório, Clínicos, SI(s) Cardiologia, Negócio Farmacia, Nutrição, Imuno, Oftalmologia, Oncologia, Gestão Gestão de Imagiologia, etc. Medicina, Fisiatria, etc. identidades incidências ? Ligadas Isoladas Plano Plano disaster continuidade base de dados Ambiente de recover negócio Sistema de Gestão de Doentes ? Gestão Acesso físico, infra-estrutura de rede e comunicações Políticas serviços hardening (ITIL) ? 29 30
METODOLOGIA INVESTIGAÇÃO CAP 7: Elaboração de Estratégias para a resolução dos problemas comuns Disponibilizar e proteger informação de saúde requer um modelo de operação que permita assegurar:  Como deve ser disponibilizada essa informação;  A quem deve ser disponibilizada a informação;  Quem deve ter acesso a essa informação;  Durante quanto tempo deve ser disponibilizada essa informação. 31 32
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO  Quais as melhores práticas para A importância e significado das normas implementar a gestão da segurança?  Qual o melhor processo de avaliação de riscos? O Organismo Nacional de Normalização (ONN) : IPQ, ONS, NP  Quais as melhores práticas de protecção?  Os organismos Regionais (Europeus) de Normalização são o : CEN,  Como utilizar o melhor da indústria? CENELEC, ETSI.  Os organismos Internacionais de O melhor é seguir com base em… Normalização são: ISO, IEC Normas 33 34
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Denominador comum Expectativas da implementação de um modelo de gestão baseado em ISO/IEC Industria Outras Modelo Governo 27002 Saúde Industrias Gestão Electrónico 1 Implementação de boas práticas ISO 27799 ISO/IEC 27001 ISO/IEC 27001 COBIT 2 Avaliação do estado dos controlos (ISO/TC 215) ISO/IEC 20000 Grande impacto 3 Definir metas para a segurança da informação ISO/IEC 27001 4 Redução da frequência e impacto de incidentes 5 Conformidade com as políticas internas 6 Intregração do sistema com o programa ISRM Médio impacto 7 Ir ao encontro dos requisitos de regulamentação 8 Maximizar o investimento realizado 9 Obtenção de vantagens competitivas 10 Ir ao encontro dos requisitos da tutela De convergência 11 Adaptar-se às alterações do mercado 12 Controlo e redução de custos Benefícios mais comuns associados à ISO/IEC 27002 (ISF) ISO/IEC 27002 ISO/IEC 20000 ISO 27799, TC 215 WG4 35 36
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO A origem da norma certificadora da Cláusulas da ISO/IEC 27002:2005 segurança 1 Política de Segurança da Informação 2 Organização da Segurança da Informação 3 Gestão de Recursos 4 Gestão de Recursos Humanos 5 Gestão da segurança física e ambiental 6 Gestão das Comunicações e Operações 7 Controlo de acessos 8 Aquisições, manutenções e desenv. de sistemas 9 Gestão de incidentes de segurança da informação 10 Plano de gestão da continuidade de negócio 11 Conformidade com os aspectos legais 37 38
METODOLOGIA INVESTIGAÇÃO CAP 8: Aplicação de um SGSI Estrutura de um SGSI ISO/IEC 27000 - vocabulário e definições utilizadas 27001 - requisitos para um SGSI 27005 27002 - Boas Práticas para um SGSI Gestão de Risco 27003 - Guia de Implementação SGSI (ISO 13335) 27004 - Métricas e Medidas avaliar SGSI Família TC 215 - ISO 27000 também conhecida como ISO 27k 39 40
METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Implementação de um SGSI Avaliação de um SGSI «Manutenção e melhoria Onde «Estabelecer SGSI» Visão e Objectivos gostariamos ISO 27002 do SGSI» de estar? Onde Avaliações estamos? ISO 27004 Como Desenho de TI podemos ISO 27003 chegar? «Verificação, «Implementar e operar Como Monitorização, Revisão Métricas sabemos se ISO 27004 do SGSI» SGSI» chegámos? 41 42
ESTUDO DE CASO CAP 09: Estudo de Caso Hospital (CS1) Gestão da Segurança (CS2) Gestão Serviços de TI Governo Electrónico Governo SI/TI (COBIT) Gestão da Segurança Boas Práticas SI/TI ISO 27002 (ISO 20000/ ITIL) RESULTADOS CIENTÍFICOS (ANEXO C): Gomes, R. J., Lapão, L.V. et al. (2008). "The Adoption of IT Security Standards in a Healthcare Environment." eHealth Beyond the Horizon – Get IT There S.K. Andersen et l. (Eds.) IOS Press, MIE 2008 (ANEXO D): Lapão, L. V., Rebuge, A., Silva,M.S., Gomes, R. J. “ ITIL Assessment in a Healthcare Environment: The Role of IT Governance at Hospital São Sebastião”. Medical Informatics in a United and Healthy Europe K.-P. Adlassnig et al. (Eds.). IOS Press 43 44
ESTUDO DE CASO ESTUDO DE CASO (CS1) Gestão da Segurança As 11 cláusulas que compõem a ISO/IEC 27002 Local: Hospital possuem um conjunto de subsets baseados nas Ano: 2008 estruturas da ISO/EIC 27002 e de acordo com Scope: Âmbito reduzido no Datacenter uma escala de níveis de risco que foram especificados (H-M-L): Produção de um documento de Statement of Applicability, no âmbito de um Centro de Dados (documentação dos riscos e a forma H: 76-100% hipótese de ocorrer uma ameaça como devem ser mitigados) durante o período de um ano. M: 26-75% hipótese de ocorrer uma ameaça •Avaliação inicial de dados e documentos 1 durante o período de um ano. •Auditoria preliminar às infra-estruturas 2 L: 0-25% hipótese de ocorrer uma ameaça durante o período de um ano. •Análise de documentação da organização 3 •Entrevistas a elementos da organização 4 •Mapeamento e confrontação com os 11 5 controlos da norma ISO/IEC 27002:2005 •Produção de relatórios de Gap Analysis 6 45 46
ESTUDO DE CASO ESTUDO DE CASO Resultados: (CS2) Gestão de Serviços de TI Local: Hospital Processos críticos e níveis de risco. Ano: 2008 Scope: Ambito da DSI Risk Level # ISO 27002 Section (control objective) O objectivo do assessment ITIL foi ajudar a H M L encontrar lacunas/fraquezas relacionadas com 1 Security Policy 0 1 0 2 Organizing Information Security 0 1 1 a utilização das TI e a que distância estava o 3 Asset Management 2 0 0 hospital de as superar. 4 Human Resources Security 0 1 2 5 Physical and Environmental Security 1 1 0 6 Communications & Operations Management 8 2 0 A que nível o hospital consegue suportará 7 Access Control 5 2 0 8 Information Systems Acquisition, Development and Maintenance 0 4 2 iniciativas de mudança de melhoria nos 9 Information Security Incident Management 0 2 0 processos? 10 Business Continuity Management 0 0 1 11 Compliance 0 1 2  Capacidade e papéis dos colaboradores Foram implementados controlos de  Maturidade na Entrega de Serviço segurança para os processos críticos H.  Maturidade Suporte de Serviço. 47 48
ESTUDO DE CASO ESTUDO DE CASO  Capacidade e papéis dos colaboradores  Maturidade na entrega de Serviço Foi realizado um levantamento dos papeis dos (Service Delivery) colaboradores e das suas responsabilidades utilizando uma Matriz ARCI (Accountable, Responsible, Consulted, and Informed) que Service Delivery permitiu clarificar e cruzar as funções com as Service Level responsabilidades. Management 5,0 4,0 3,0 2,0 Availability Management Financial Management 1,0 0,0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 IT Service Continuity CIO A/R R A/R I A/I C/I C/I A/R A/R A/R A/R A/R A/R A/R Capacity Management Management Network Manager C/I R R R R R R R R Project Manager C/I R R R R A A R A/R/I R R R R Technician 1 C/I R R C/I Programmer 1 C/I R C/I R R R Database Manager C/I R R A/R R R R R R/C/I R R R R Support DB Manager C/I R R R R R R/C/I R Programmer 2 Programmer 3 C/I C/I R R C R R R R R R R R R C/I R R R R R R Podemos verificar que o nível de maturidade Programmer 4 Technician 2 C/I C/I R R R R R R R C/I C/I R do Service Level Management é < a 1 o que significa que os processos seriam realizados Esta matriz revelou que existe um grande nível de numa forma had-hoc sem definição e funções em overlap entre os colaboradores que planeamento. apontam para ineficiências nas questões de IT Service Management. 49 50
ESTUDO DE CASO ESTUDO DE CASO  Maturidade Suporte ao Serviço Service Support (Incident Management) (Service Support) O principal objectivo da gestão de Service Support incidentes é garantir a reposição desse Service Desk serviço o mais rapidamente possível 5,0 4,0 mitigando os riscos associados a esse Release Management 3,0 Incident Management restabelecimento e eliminando o mais 2,0 1,0 possível os efeitos colaterais. 0,0 Change Management Problem Management Foi adoptado o método de Steinberg que considera no processo de analise de Configuration maturidade a visão, a tecnologia, os Management processos, cultura e as pessoas. O nível de maturidade no serviço incident management é < a 1, e o que não se considera aceitável para um hospital. Foi necessário realizar um estudo mais detalhado Steinberg, R.A. (2008) Implementing ITIL: Adapting Your IT Service Support ( Indicent management) Organization to the Coming Revolution in IT Service Management. 51 52
ESTUDO DE CASO Vista em detalhe, segundo Steinberg, do O esforço a realizar terá de ser no âmbito nível de maturidade Incident Management da relação com as pessoas, e com a organização em geral, gestão das expectativas, acompanhamento dos Vision and Steering 5 processos, promovendo uma cultura de 4 prestador de serviço ou através de outras 3 formas de gestão. 2 Technology Process 1 0 Conclusões do Estudo de Caso Culture People SGSTI SGSI Orientado ao Serviço Orientada ao Risco Garantir a entrega de Garantir a segurança da Serviço de acordo com os informação relativamente requisitos e os níveis de ao seus requisitos de: Tecnologia e os Processos: 2 serviço acordados com base em:  confidencialidade, Vision & Steering, Pessoas e Cultura: 1  disponibilidade  integridade  disponibilidade  performance Dentro das TI Transversal à organização 53 54
ENSAIO DE RESPOSTA A QUESTÕES CAP 10: Ensaio de Resposta a Problemas • Quais serão as melhores práticas para implementar a Gestão da Segurança na minha organização? • Qual é o melhor processo de avaliação dos riscos e como se pode e deve implementar? • Quais as melhores práticas de protecção dos recursos de informação da empresa? • Como podemos comparar os esforços de protecção da informação na organização com o melhor que a indústria tem para oferecer? • Como se pode extrair visibilidade dos investimentos aplicados em segurança e qual o retorno para a minha organização? 55 56
ENSAIO DE RESPOSTA A QUESTÕES ENSAIO DE RESPOSTA A QUESTÕES Quais serão as melhores práticas para Como podemos comparar os esforços de implementar a Gestão da Segurança na minha protecção da informação na organização com o organização? melhor que a indústria tem para oferecer? A ISO/IEC 27001 é a única norma de gestão de A ISO 27799:2008 está focada na saúde e é baseada na segurança da informação. Foi revista de forma a ISO 27001 que está sustentada nas práticas do modelo alinhar Plan-Do-Check-Act. A implementação da norma ISO 27002, amplamente adoptado em qualquer 27001 constitui per si um SGSI. É independente da indústria. tecnologia, abrangente e flexível. Qual é o melhor processo de avaliação dos Como se pode extrair visibilidade dos riscos e como se pode e deve implementar? investimentos aplicados em segurança e qual o A ISO 27005 é focada no risco de IT, no entanto a retorno para a minha organização? ENISA publica 12 ferramentas com 22 atributos A adopção e comprometimento de uma organização distintos que permite fazer comparações com outros para qualquer modelo de gestão de segurança da métodos e ferramentas existentes. http://rm- informação, expõe de uma forma clara o interesse da inv.enisa.europa.eu/comparison.html. instituição em proteger os seus bens de negócio e assim dar credibilidade interna e externa. A adopção de Quais as melhores práticas de protecção dos boas práticas exige que os ambientes tenham os bens recursos de informação da empresa? inventariados, valorizados e controlados e a identificação das ameaças e os valores de perda a que Basear numa framework. O modelo ISO/IEC 27002 e as podem estar sujeitos. Todo o desenvolvimento de um cláusulas que a compõem são uma boa ferramenta SGSI induz a uma redução de desperdícios, optimização para assegurar efectiva gestão de segurança da de processos de trabalho com ambientes de trabalho informação (mesmo que não exista qualquer interesse controlados. da organização em certificar o âmbito escolhido) 57 58
CONCLUSÕES E PERSPECTIVAS FUTURO Conclusões Futuro  Não é possível manter a segurança sem planear a sua gestão  A adesão em Portugal é muito pouca pois exige algum investimento e  Nenhuma organização vai estar um dia comprometimento e que implica grandes totalmente protegida das ameaças que põem mudanças estruturais no âmbito das em risco a sua Informação de negócio. tecnologias e nos comportamentos.  Investir num nível de protecção que se  A norma nos próximos anos será considere próximo do ideal atingiria custos implicitamente de carácter obrigatório pois é muito elevados ou bloquearia de forma não a única que certifica a segurança, e porque a aceitável os processos desenvolvidos pelo complexidade e a insegurança crescem hospital. exponencialmente sendo cada vez mais difícil manter a segurança tendo em vista a No entanto…. diversidade de sistemas e utilizadores. As utilização do modelo de boas práticas  E por isso.. possibilitaria uma abordagem sistemática dos riscos, que pode ser realizada numa forma gradual e custos controlados, a implementação de controlos com o objectivo de os minimizar. 59 60
CONCLUSÕES E PERSPECTIVAS FUTURO A estruturação desses dados, numa forma Framework de Avaliação Inicial sistematizada, ajudaria a retratar o estado do hospital em matéria de Segurança da O estudo promoveu a adaptação de uma Informação e seria como uma ferramenta framework para uma Gap Analysis que de check up, e modelo de actuação, com pudesse apoiar numa gestão das TI, numa vista à melhor preservação da informação avaliação inicial do estado de saúde dos crítica do hospital. seus recursos, com vista a procurar níveis de riscos associados, e poder-se activar medidas de gestão para o controlo eficaz dos processos críticos. 61 62
OBRIGADO Provas de Mestrado - Informática Médica Rui@Gomes.com Os objectos de clipart são fotos livres de direito em: www.fotofolia.com

Empfohlen

Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Filipe Rolo
 
Vale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference
 
Cap5e6
Cap5e6Cap5e6
Cap5e6Shirley Oliveira
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Robson Silva Espig
 
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcElo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcEloGroup
 
Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Robson Silva Espig
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Robson Silva Espig
 

Empfohlen

Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Filipe Rolo
 
Vale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference
 
Cap5e6
Cap5e6Cap5e6
Cap5e6Shirley Oliveira
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Robson Silva Espig
 
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcElo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcEloGroup
 
Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Robson Silva Espig
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Robson Silva Espig
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1Robson Silva Espig
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Robson Silva Espig
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewData Security
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcEloGroup
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Curso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - OverviewCurso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - OverviewData Security
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - OverviewData Security
 
Curso Security Officer Foundation - Overview
Curso Security Officer Foundation - OverviewCurso Security Officer Foundation - Overview
Curso Security Officer Foundation - OverviewData Security
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaTechBiz Forense Digital
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Robson Peixoto
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação danilopv
 
Introduction to Hardening: A Short Course
Introduction to Hardening: A Short CourseIntroduction to Hardening: A Short Course
Introduction to Hardening: A Short CourseMichel Alves
 
Curriculum xkt 2012
Curriculum xkt 2012Curriculum xkt 2012
Curriculum xkt 2012Alexandre Chamusca
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rgRui Gomes
 
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014Cláudio Dodt
 
Livro cap01
Livro cap01Livro cap01
Livro cap01higson
 
Curso Ethical Hacking - Overview
Curso Ethical Hacking - OverviewCurso Ethical Hacking - Overview
Curso Ethical Hacking - OverviewData Security
 
mise_guia_curso
mise_guia_cursomise_guia_curso
mise_guia_cursoTiago Sousa
 
Defesa dissertação
Defesa dissertaçãoDefesa dissertação
Defesa dissertaçãocelina.lajoso
 
Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...
Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...
Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...Sergio Pinho
 

Weitere ähnliche Inhalte

Was ist angesagt?

Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewData Security
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcEloGroup
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Curso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - OverviewCurso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - OverviewData Security
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - OverviewData Security
 
Curso Security Officer Foundation - Overview
Curso Security Officer Foundation - OverviewCurso Security Officer Foundation - Overview
Curso Security Officer Foundation - OverviewData Security
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Robson Peixoto
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação danilopv
 
Introduction to Hardening: A Short Course
Introduction to Hardening: A Short CourseIntroduction to Hardening: A Short Course
Introduction to Hardening: A Short CourseMichel Alves
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rgRui Gomes
 
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014Cláudio Dodt
 
Livro cap01
Livro cap01Livro cap01
Livro cap01higson
 
Curso Ethical Hacking - Overview
Curso Ethical Hacking - OverviewCurso Ethical Hacking - Overview
Curso Ethical Hacking - OverviewData Security
 

Was ist angesagt? (19)

Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - Overview
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
 
Curso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - OverviewCurso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - Overview
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
 
Curso Security Officer Foundation - Overview
Curso Security Officer Foundation - OverviewCurso Security Officer Foundation - Overview
Curso Security Officer Foundation - Overview
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souza
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação
 
Introduction to Hardening: A Short Course
Introduction to Hardening: A Short CourseIntroduction to Hardening: A Short Course
Introduction to Hardening: A Short Course
 
Curriculum xkt 2012
Curriculum xkt 2012Curriculum xkt 2012
Curriculum xkt 2012
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rg
 
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
 
Livro cap01
Livro cap01Livro cap01
Livro cap01
 
Curso Ethical Hacking - Overview
Curso Ethical Hacking - OverviewCurso Ethical Hacking - Overview
Curso Ethical Hacking - Overview
 

Andere mochten auch

Defesa dissertação
Defesa dissertaçãoDefesa dissertação
Defesa dissertaçãocelina.lajoso
 
Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...
Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...
Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...Sergio Pinho
 
Desenvolvimento de Interfaces Tridimensionais para Aplicações Móveis a Partir...
Desenvolvimento de Interfaces Tridimensionais para Aplicações Móveis a Partir...Desenvolvimento de Interfaces Tridimensionais para Aplicações Móveis a Partir...
Desenvolvimento de Interfaces Tridimensionais para Aplicações Móveis a Partir...Joao Rio
 
Novas Abordagens no Ensino da Programação - Ensino Básico
Novas Abordagens no Ensino da Programação - Ensino BásicoNovas Abordagens no Ensino da Programação - Ensino Básico
Novas Abordagens no Ensino da Programação - Ensino BásicoUniversidade de Lisboa
 
Teses e dissertações: como cumprir as normas de apresentação da Universidade ...
Teses e dissertações: como cumprir as normas de apresentação da Universidade ...Teses e dissertações: como cumprir as normas de apresentação da Universidade ...
Teses e dissertações: como cumprir as normas de apresentação da Universidade ...Bibliotecas da Universidade de Aveiro
 
Apresentação Tese Mestrado (14_10_2011)
Apresentação Tese Mestrado (14_10_2011)Apresentação Tese Mestrado (14_10_2011)
Apresentação Tese Mestrado (14_10_2011)Susana Lemos
 

Andere mochten auch (8)

mise_guia_curso
mise_guia_cursomise_guia_curso
mise_guia_curso
 
Defesa dissertação
Defesa dissertaçãoDefesa dissertação
Defesa dissertação
 
Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...
Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...
Apresentação Dissertação - Sérgio Pinho - O modelo IFC como agente de interop...
 
Desenvolvimento de Interfaces Tridimensionais para Aplicações Móveis a Partir...
Desenvolvimento de Interfaces Tridimensionais para Aplicações Móveis a Partir...Desenvolvimento de Interfaces Tridimensionais para Aplicações Móveis a Partir...
Desenvolvimento de Interfaces Tridimensionais para Aplicações Móveis a Partir...
 
Novas Abordagens no Ensino da Programação - Ensino Básico
Novas Abordagens no Ensino da Programação - Ensino BásicoNovas Abordagens no Ensino da Programação - Ensino Básico
Novas Abordagens no Ensino da Programação - Ensino Básico
 
MSc presentation
MSc presentationMSc presentation
MSc presentation
 
Teses e dissertações: como cumprir as normas de apresentação da Universidade ...
Teses e dissertações: como cumprir as normas de apresentação da Universidade ...Teses e dissertações: como cumprir as normas de apresentação da Universidade ...
Teses e dissertações: como cumprir as normas de apresentação da Universidade ...
 
Apresentação Tese Mestrado (14_10_2011)
Apresentação Tese Mestrado (14_10_2011)Apresentação Tese Mestrado (14_10_2011)
Apresentação Tese Mestrado (14_10_2011)
 

Ähnlich wie Provas de Mestrado em Informática Médica

Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Jairo Willian Pereira
 
Seguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationSeguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationDenilson Barbosa ®
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoArtur Nascimento
 
[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em HospitaisArthur Paixão
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUPREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUibliss-seguranca
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Curso de Contra Inteligencia
Curso de Contra InteligenciaCurso de Contra Inteligencia
Curso de Contra InteligenciaGrupo Treinar
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia socialRicardo Cavalcante
 

Ähnlich wie Provas de Mestrado em Informática Médica (20)

Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 
Seguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationSeguranca da Informaçao - Security Information
Seguranca da Informaçao - Security Information
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Jose
JoseJose
Jose
 
[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em Hospitais
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUPREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
 
PREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOU
PREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOUPREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOU
PREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOU
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Curso de Contra Inteligencia
Curso de Contra InteligenciaCurso de Contra Inteligencia
Curso de Contra Inteligencia
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia social
 
Palestra
PalestraPalestra
Palestra
 

Mehr von Rui Gomes

Louvor n 178 2015
Louvor n 178 2015 Louvor n 178 2015
Louvor n 178 2015 Rui Gomes
 
Louvor n 178 2015
Louvor n 178 2015 Louvor n 178 2015
Louvor n 178 2015 Rui Gomes
 
Si deconomico
Si deconomicoSi deconomico
Si deconomicoRui Gomes
 
Nota biográfica rg up
Nota biográfica rg upNota biográfica rg up
Nota biográfica rg upRui Gomes
 
Heroes happen here book 2008
Heroes happen here book 2008Heroes happen here book 2008
Heroes happen here book 2008Rui Gomes
 
Hff 1e psos_visit
Hff 1e psos_visitHff 1e psos_visit
Hff 1e psos_visitRui Gomes
 
Compliance poster
Compliance posterCompliance poster
Compliance posterRui Gomes
 
Healthcare IT Governance
Healthcare IT GovernanceHealthcare IT Governance
Healthcare IT GovernanceRui Gomes
 
Heroes happen
Heroes happenHeroes happen
Heroes happenRui Gomes
 
Ruigomes thesis
Ruigomes thesisRuigomes thesis
Ruigomes thesisRui Gomes
 
Sacyl symposium 2013_30092013
Sacyl symposium 2013_30092013Sacyl symposium 2013_30092013
Sacyl symposium 2013_30092013Rui Gomes
 
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGES
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGESIDC TECHDATA PUBLIC ADMINISTRATION CHALLENGES
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGESRui Gomes
 
Presentation barroso european council 25 october 2013
Presentation barroso european council 25 october 2013Presentation barroso european council 25 october 2013
Presentation barroso european council 25 october 2013Rui Gomes
 
Pr ieee f ed rg-iechair
Pr ieee f ed rg-iechairPr ieee f ed rg-iechair
Pr ieee f ed rg-iechairRui Gomes
 
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13Ieee healthcom convite organizacoes de saude_diretores_v14_09_13
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13Rui Gomes
 
Healthcom 2013 invite_s
Healthcom 2013 invite_sHealthcom 2013 invite_s
Healthcom 2013 invite_sRui Gomes
 
Healthcom 2013 invite_s
Healthcom 2013 invite_sHealthcom 2013 invite_s
Healthcom 2013 invite_sRui Gomes
 
Herzig preview
Herzig previewHerzig preview
Herzig previewRui Gomes
 
iscte_palestra_SI
iscte_palestra_SIiscte_palestra_SI
iscte_palestra_SIRui Gomes
 

Mehr von Rui Gomes (20)

Louvor n 178 2015
Louvor n 178 2015 Louvor n 178 2015
Louvor n 178 2015
 
Louvor n 178 2015
Louvor n 178 2015 Louvor n 178 2015
Louvor n 178 2015
 
Si deconomico
Si deconomicoSi deconomico
Si deconomico
 
Nota biográfica rg up
Nota biográfica rg upNota biográfica rg up
Nota biográfica rg up
 
Heroes happen here book 2008
Heroes happen here book 2008Heroes happen here book 2008
Heroes happen here book 2008
 
Hff 1e psos_visit
Hff 1e psos_visitHff 1e psos_visit
Hff 1e psos_visit
 
Compliance poster
Compliance posterCompliance poster
Compliance poster
 
Healthcare IT Governance
Healthcare IT GovernanceHealthcare IT Governance
Healthcare IT Governance
 
Heroes happen
Heroes happenHeroes happen
Heroes happen
 
Ruigomes thesis
Ruigomes thesisRuigomes thesis
Ruigomes thesis
 
Articulate
ArticulateArticulate
Articulate
 
Sacyl symposium 2013_30092013
Sacyl symposium 2013_30092013Sacyl symposium 2013_30092013
Sacyl symposium 2013_30092013
 
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGES
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGESIDC TECHDATA PUBLIC ADMINISTRATION CHALLENGES
IDC TECHDATA PUBLIC ADMINISTRATION CHALLENGES
 
Presentation barroso european council 25 october 2013
Presentation barroso european council 25 october 2013Presentation barroso european council 25 october 2013
Presentation barroso european council 25 october 2013
 
Pr ieee f ed rg-iechair
Pr ieee f ed rg-iechairPr ieee f ed rg-iechair
Pr ieee f ed rg-iechair
 
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13Ieee healthcom convite organizacoes de saude_diretores_v14_09_13
Ieee healthcom convite organizacoes de saude_diretores_v14_09_13
 
Healthcom 2013 invite_s
Healthcom 2013 invite_sHealthcom 2013 invite_s
Healthcom 2013 invite_s
 
Healthcom 2013 invite_s
Healthcom 2013 invite_sHealthcom 2013 invite_s
Healthcom 2013 invite_s
 
Herzig preview
Herzig previewHerzig preview
Herzig preview
 
iscte_palestra_SI
iscte_palestra_SIiscte_palestra_SI
iscte_palestra_SI
 

Provas de Mestrado em Informática Médica

  • 1. Provas de Mestrado - Informática Médica Orientação: Doutor Luís Miguel Velez Lapão Co-orientação: Doutor Luís Filipe Coelho Antunes 12 de Novembro de 2010 Constituição do Júri: Presidente: Doutor Altamiro Manuel Rodrigues da Costa Pereira, professor catedrático, Faculdade de Medicina da Universidade do Porto; Vogal: Doutor Luís Miguel Velez Lapão, professor auxiliar convidado, Instituto de Higiene e Medicina Tropical, Universidade Nova de Lisboa (orientador); Vogal: Doutor Ricardo João Cruz Correia, professor auxiliar, Faculdade de Medicina da Universidade do Porto; Vogal: Doutor André Ventura da Cruz Marnoto Zúquete, professor auxiliar, Departamento de Electrónica, Telecomunicações e Informática, Universidade de Aveiro.
  • 2. INTRODUÇÃO OBJECTIVOS 2003 METODOLOGIA INVESTIGAÇÃO ESTUDO DE CASO E RESULTADOS ENSAIO DE RESPOSTA A QUESTÕES CONCLUSÕES E PERSPECTIVAS FUTURO 1 2
  • 3. INTRODUÇÃO A (In) Segurança No Acesso À Informação Ambiente Físico Processos Privacidade Organização e Acesso à Tecnologias Informação Clínica Políticas Pessoas 2001 Segundo dados da UMIC já em 2004 97% dos hospitais tinham acesso interno à internet generalizado a grande número de colaboradores. O aumento de utilização das VPN para colaboradores e empresas e a emulação e as sistemas de simulação de extranet. 3 4
  • 4. INTRODUÇÃO INTRODUÇÃO A Gestão Da Segurança Da Informação O Elo Mais Fraco Segurança Informação  Gestão  Privacidade Problema  Cultura  Integridade de  Incidentes Segurança Gestão  Confidencialidade  Propriedade intelectual Segurança Tecnologias  Anti-virus  Intrusão  Detecção Não é um  Encriptação  Firewall Problema  Certificados de Tecnologias 2001  Vigilância Muitas vezes as Segurança para as empresas é só ajudar • Negligência dos colaboradores; os clientes a protegerem-se das ameaças externas ao • Falta de capacidades compatíveis funções; nível da circulação de informação electrónica (anti-virus, • Desconhecimento ou ignorância; certificados digitais, firewall, etc…) • Crime premeditado ou por conveniência; 5 6
  • 5. INTRODUÇÃO INTRODUÇÃO Exemplo Motivações As equipas dos Departamentos de Sistemas de Informação têm pouca participação ou motivação em grupos… Qualidade, Gestão de Proxy Risco, Segurança, etc.. Seg. Física Patchs  “Comité Olímpico” Firewall Seg. Lógica Os Departamentos de Sistemas de Informação Anti-Virus asset ? vivem sujeitos a imensa adversidade e Riscos contantes, que algures no tempo, senão forem Políticas Cultura Acesso tratados criam impacto.  “Teoria do Caos” ? Organização Política ? Utilização 2001 Exemplo de uma paragem por completo num hospital publico durante aproximadamente 24 horas devido a uma alteração de denominação de rede de um equipamento que posteriormente não foi possível identificar no meio. 7 8
  • 6. INTRODUÇÃO Objectivos Gerais Objectivos Específicos Mostrar a importância de sensibilizar gestores  Desmistificar a complexidade aparente das DSI e Executivos para os aspectos que são da multiplicidade de normas existentes; críticos na ausência de uma infraestrutura segura e as oportunidades perdidas pelo facto  Apresentar indicadores de benefícios de não se possuirem modelos de boas existentes numa infraestrutura segura; práticas.  Apurar as vantagens da determinação do Risco na altura do planeamento estratégico;  Apoiar efectivamente no preenchimento de uma gap analysis 2001 para apuramento do estado de arte; 9 10
  • 7. OBJECTIVOS METODOLOGIA INVESTIGAÇÃO CAP 4: Definição e Exposição do Problema Base de trabalho Proteger Informação Maturidade Actores de Saúde Apuramento dedutivo Elaboração de Estratégias para a resolução dos problemas comuns 11 12
  • 8. METODOLOGIA INVESTIGAÇÃO Definição de asset no ambiente Gestão Cultura Incidentes Segurança Asset Ambiente Bem (Bem) Privacidade Físico (Asset) Propriedade Confidencialidade Intelectual 2001  Aumento da exposição ao Risco  Complexidade dos Riscos  Complexidade na Protecção Riscos 13 14
  • 9. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Níves de maturidade da informação Os mecanismos de protecção não são suficientes. clínica e a sua relação com o RISCO  é necessário vigiar os Riscos  e melhorar mecanismos de protecção Ou seja, é necessário… Gerir a Segurança 15 16
  • 10. METODOLOGIA INVESTIGAÇÃO CAP 3: Estrutura e Governo das TI Corporate Governance Necessidade de alinhamento entre os interesses dos gestores, auditores e stakeholders. Subjacente numa gestão consistente e políticas organizadas. Deve conduzir e estabelecer um governo para as Tecnologias da Informação (IT-Governance). IT Governance Tal como o termo governance está associado 2001 aos actos de controlar, dirigir ou regular as acções de uma entidade, o IT-Governance, será o acto de regular os processos das TI dessa entidade. 17 18
  • 11. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Gestão do Risco Orientação Negócio  Em consequência destas necessidades IT existem implementações de frameworks de Governance gestão: IT  Enterprise Risk Management da COSO Interno Management (Committee of Sponsoring Organizations of The Treadway Commission), orientado para o Presente Futuro Orientação Corporate Governance, Temporal Potenciar o negócio  Risk IT da COBIT (Control Objectives for Information and Related Technology), Eficiência Habilitador centrado no IT Governance Operacional Negócio (redução de custos, automatização (satisfação cliente, apoio a novas de processos, aumento da oportunidades de negócio, melhorar produtividade) cadeia valor) Compliance & Mitigação do Risco (melhorar a segurança, controlo de Auditoria acessos, reduzir probabilidade de (assegurar a privacidade do utente, 1 quebras seg.) mais facil compliance, permitir auditabilidade) 19 20
  • 12. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Gestão do Risco Formas de abordar do Risco Mitigar o risco Evitar o risco Implementar controlos Decidir não avançar ou Avaliação de Riscos técnicos de mitigação de não implementar risco (por exemplo uma firewall) Avaliar Identificar Controlar Aceitar o Risco Transferir o risco Gestão de Risco Decidir que o nível de Aquisição de seguros ou risco identificado está outsourcing Planear Implementar Monitorizar dentro do limiar de tolerância das capacidades da organização A implementação de mitigação de riscos envolve tipicamente as Pessoas, os Processos e as Tecnologias. 21 22
  • 13. METODOLOGIA INVESTIGAÇÃO CAP 5: Arquitectura Empresarial e Social Claúsulas de abrangência Táctico Aspectos técnicos Políticas Aspectos Físicos Segurança Aspectos Tácticos Organização Segurança Gestão Controlo Bens Acesso Conformidades Segurança Pessoas Segurança Física & Operacional Ambiental Desenvolvimento Comunicações & Gestão Sistemas& Manutenção Gestão de Operações Continuidade Negócio 23 24
  • 14. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO  Do Caos à Estrutura  Lidar com a Complexidade  Papel do CEO, CIO, CISO e CTO Gestão Governança SI/TI SI/TI Operacional Estratégia Engenharia Arquitectura Só a existência de uma arquitectura pode responder às questões da complexidade e da mudança. É a única forma que a Humanidade tem de lidar com elas. Ao INCERTEZA CEPTICISMO ACEITAÇÃO CONFIANÇA RESPEITO t caos opõe-se à estrutura. Zachman CTO CIO 25 26
  • 15. METODOLOGIA INVESTIGAÇÃO CAP 6: Infraestruturas/Problemas Comuns  Baseado em Evidências  Observações  Conhecimento Os problemas mais comuns são apresentados em 19 tópicos que denunciam a maior parte das vulnerabilidades encontradas nos hospitais no âmbito da Segurança da Informação. 27 28
  • 16. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Arquitectura típica de um ambiente Problemas generalizados rudimentar de informação hospitalar Gestão Políticas Contratos/ Acesso físico, infraestrutura de rede e comunicações Outsourcing ? Ambiente utilizador Soluções baseadas em web, cliente/servidor, terminal, stand alone Gestão Acesso físico, infraestrutura de rede e comunicações Acesso físico, infraestrutura de rede e comunicações Credenciais Admissão, Altas, Recursos Humanos, de SGRH assets Suporte Transferências, Facturação, Contabilidade, Agendamento Aprovisionamento ? Ambiente aplicacional SI(s) Laboratório, Clínicos, SI(s) Cardiologia, Negócio Farmacia, Nutrição, Imuno, Oftalmologia, Oncologia, Gestão Gestão de Imagiologia, etc. Medicina, Fisiatria, etc. identidades incidências ? Ligadas Isoladas Plano Plano disaster continuidade base de dados Ambiente de recover negócio Sistema de Gestão de Doentes ? Gestão Acesso físico, infra-estrutura de rede e comunicações Políticas serviços hardening (ITIL) ? 29 30
  • 17. METODOLOGIA INVESTIGAÇÃO CAP 7: Elaboração de Estratégias para a resolução dos problemas comuns Disponibilizar e proteger informação de saúde requer um modelo de operação que permita assegurar:  Como deve ser disponibilizada essa informação;  A quem deve ser disponibilizada a informação;  Quem deve ter acesso a essa informação;  Durante quanto tempo deve ser disponibilizada essa informação. 31 32
  • 18. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO  Quais as melhores práticas para A importância e significado das normas implementar a gestão da segurança?  Qual o melhor processo de avaliação de riscos? O Organismo Nacional de Normalização (ONN) : IPQ, ONS, NP  Quais as melhores práticas de protecção?  Os organismos Regionais (Europeus) de Normalização são o : CEN,  Como utilizar o melhor da indústria? CENELEC, ETSI.  Os organismos Internacionais de O melhor é seguir com base em… Normalização são: ISO, IEC Normas 33 34
  • 19. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Denominador comum Expectativas da implementação de um modelo de gestão baseado em ISO/IEC Industria Outras Modelo Governo 27002 Saúde Industrias Gestão Electrónico 1 Implementação de boas práticas ISO 27799 ISO/IEC 27001 ISO/IEC 27001 COBIT 2 Avaliação do estado dos controlos (ISO/TC 215) ISO/IEC 20000 Grande impacto 3 Definir metas para a segurança da informação ISO/IEC 27001 4 Redução da frequência e impacto de incidentes 5 Conformidade com as políticas internas 6 Intregração do sistema com o programa ISRM Médio impacto 7 Ir ao encontro dos requisitos de regulamentação 8 Maximizar o investimento realizado 9 Obtenção de vantagens competitivas 10 Ir ao encontro dos requisitos da tutela De convergência 11 Adaptar-se às alterações do mercado 12 Controlo e redução de custos Benefícios mais comuns associados à ISO/IEC 27002 (ISF) ISO/IEC 27002 ISO/IEC 20000 ISO 27799, TC 215 WG4 35 36
  • 20. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO A origem da norma certificadora da Cláusulas da ISO/IEC 27002:2005 segurança 1 Política de Segurança da Informação 2 Organização da Segurança da Informação 3 Gestão de Recursos 4 Gestão de Recursos Humanos 5 Gestão da segurança física e ambiental 6 Gestão das Comunicações e Operações 7 Controlo de acessos 8 Aquisições, manutenções e desenv. de sistemas 9 Gestão de incidentes de segurança da informação 10 Plano de gestão da continuidade de negócio 11 Conformidade com os aspectos legais 37 38
  • 21. METODOLOGIA INVESTIGAÇÃO CAP 8: Aplicação de um SGSI Estrutura de um SGSI ISO/IEC 27000 - vocabulário e definições utilizadas 27001 - requisitos para um SGSI 27005 27002 - Boas Práticas para um SGSI Gestão de Risco 27003 - Guia de Implementação SGSI (ISO 13335) 27004 - Métricas e Medidas avaliar SGSI Família TC 215 - ISO 27000 também conhecida como ISO 27k 39 40
  • 22. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO Implementação de um SGSI Avaliação de um SGSI «Manutenção e melhoria Onde «Estabelecer SGSI» Visão e Objectivos gostariamos ISO 27002 do SGSI» de estar? Onde Avaliações estamos? ISO 27004 Como Desenho de TI podemos ISO 27003 chegar? «Verificação, «Implementar e operar Como Monitorização, Revisão Métricas sabemos se ISO 27004 do SGSI» SGSI» chegámos? 41 42
  • 23. ESTUDO DE CASO CAP 09: Estudo de Caso Hospital (CS1) Gestão da Segurança (CS2) Gestão Serviços de TI Governo Electrónico Governo SI/TI (COBIT) Gestão da Segurança Boas Práticas SI/TI ISO 27002 (ISO 20000/ ITIL) RESULTADOS CIENTÍFICOS (ANEXO C): Gomes, R. J., Lapão, L.V. et al. (2008). "The Adoption of IT Security Standards in a Healthcare Environment." eHealth Beyond the Horizon – Get IT There S.K. Andersen et l. (Eds.) IOS Press, MIE 2008 (ANEXO D): Lapão, L. V., Rebuge, A., Silva,M.S., Gomes, R. J. “ ITIL Assessment in a Healthcare Environment: The Role of IT Governance at Hospital São Sebastião”. Medical Informatics in a United and Healthy Europe K.-P. Adlassnig et al. (Eds.). IOS Press 43 44
  • 24. ESTUDO DE CASO ESTUDO DE CASO (CS1) Gestão da Segurança As 11 cláusulas que compõem a ISO/IEC 27002 Local: Hospital possuem um conjunto de subsets baseados nas Ano: 2008 estruturas da ISO/EIC 27002 e de acordo com Scope: Âmbito reduzido no Datacenter uma escala de níveis de risco que foram especificados (H-M-L): Produção de um documento de Statement of Applicability, no âmbito de um Centro de Dados (documentação dos riscos e a forma H: 76-100% hipótese de ocorrer uma ameaça como devem ser mitigados) durante o período de um ano. M: 26-75% hipótese de ocorrer uma ameaça •Avaliação inicial de dados e documentos 1 durante o período de um ano. •Auditoria preliminar às infra-estruturas 2 L: 0-25% hipótese de ocorrer uma ameaça durante o período de um ano. •Análise de documentação da organização 3 •Entrevistas a elementos da organização 4 •Mapeamento e confrontação com os 11 5 controlos da norma ISO/IEC 27002:2005 •Produção de relatórios de Gap Analysis 6 45 46
  • 25. ESTUDO DE CASO ESTUDO DE CASO Resultados: (CS2) Gestão de Serviços de TI Local: Hospital Processos críticos e níveis de risco. Ano: 2008 Scope: Ambito da DSI Risk Level # ISO 27002 Section (control objective) O objectivo do assessment ITIL foi ajudar a H M L encontrar lacunas/fraquezas relacionadas com 1 Security Policy 0 1 0 2 Organizing Information Security 0 1 1 a utilização das TI e a que distância estava o 3 Asset Management 2 0 0 hospital de as superar. 4 Human Resources Security 0 1 2 5 Physical and Environmental Security 1 1 0 6 Communications & Operations Management 8 2 0 A que nível o hospital consegue suportará 7 Access Control 5 2 0 8 Information Systems Acquisition, Development and Maintenance 0 4 2 iniciativas de mudança de melhoria nos 9 Information Security Incident Management 0 2 0 processos? 10 Business Continuity Management 0 0 1 11 Compliance 0 1 2  Capacidade e papéis dos colaboradores Foram implementados controlos de  Maturidade na Entrega de Serviço segurança para os processos críticos H.  Maturidade Suporte de Serviço. 47 48
  • 26. ESTUDO DE CASO ESTUDO DE CASO  Capacidade e papéis dos colaboradores  Maturidade na entrega de Serviço Foi realizado um levantamento dos papeis dos (Service Delivery) colaboradores e das suas responsabilidades utilizando uma Matriz ARCI (Accountable, Responsible, Consulted, and Informed) que Service Delivery permitiu clarificar e cruzar as funções com as Service Level responsabilidades. Management 5,0 4,0 3,0 2,0 Availability Management Financial Management 1,0 0,0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 IT Service Continuity CIO A/R R A/R I A/I C/I C/I A/R A/R A/R A/R A/R A/R A/R Capacity Management Management Network Manager C/I R R R R R R R R Project Manager C/I R R R R A A R A/R/I R R R R Technician 1 C/I R R C/I Programmer 1 C/I R C/I R R R Database Manager C/I R R A/R R R R R R/C/I R R R R Support DB Manager C/I R R R R R R/C/I R Programmer 2 Programmer 3 C/I C/I R R C R R R R R R R R R C/I R R R R R R Podemos verificar que o nível de maturidade Programmer 4 Technician 2 C/I C/I R R R R R R R C/I C/I R do Service Level Management é < a 1 o que significa que os processos seriam realizados Esta matriz revelou que existe um grande nível de numa forma had-hoc sem definição e funções em overlap entre os colaboradores que planeamento. apontam para ineficiências nas questões de IT Service Management. 49 50
  • 27. ESTUDO DE CASO ESTUDO DE CASO  Maturidade Suporte ao Serviço Service Support (Incident Management) (Service Support) O principal objectivo da gestão de Service Support incidentes é garantir a reposição desse Service Desk serviço o mais rapidamente possível 5,0 4,0 mitigando os riscos associados a esse Release Management 3,0 Incident Management restabelecimento e eliminando o mais 2,0 1,0 possível os efeitos colaterais. 0,0 Change Management Problem Management Foi adoptado o método de Steinberg que considera no processo de analise de Configuration maturidade a visão, a tecnologia, os Management processos, cultura e as pessoas. O nível de maturidade no serviço incident management é < a 1, e o que não se considera aceitável para um hospital. Foi necessário realizar um estudo mais detalhado Steinberg, R.A. (2008) Implementing ITIL: Adapting Your IT Service Support ( Indicent management) Organization to the Coming Revolution in IT Service Management. 51 52
  • 28. ESTUDO DE CASO Vista em detalhe, segundo Steinberg, do O esforço a realizar terá de ser no âmbito nível de maturidade Incident Management da relação com as pessoas, e com a organização em geral, gestão das expectativas, acompanhamento dos Vision and Steering 5 processos, promovendo uma cultura de 4 prestador de serviço ou através de outras 3 formas de gestão. 2 Technology Process 1 0 Conclusões do Estudo de Caso Culture People SGSTI SGSI Orientado ao Serviço Orientada ao Risco Garantir a entrega de Garantir a segurança da Serviço de acordo com os informação relativamente requisitos e os níveis de ao seus requisitos de: Tecnologia e os Processos: 2 serviço acordados com base em:  confidencialidade, Vision & Steering, Pessoas e Cultura: 1  disponibilidade  integridade  disponibilidade  performance Dentro das TI Transversal à organização 53 54
  • 29. ENSAIO DE RESPOSTA A QUESTÕES CAP 10: Ensaio de Resposta a Problemas • Quais serão as melhores práticas para implementar a Gestão da Segurança na minha organização? • Qual é o melhor processo de avaliação dos riscos e como se pode e deve implementar? • Quais as melhores práticas de protecção dos recursos de informação da empresa? • Como podemos comparar os esforços de protecção da informação na organização com o melhor que a indústria tem para oferecer? • Como se pode extrair visibilidade dos investimentos aplicados em segurança e qual o retorno para a minha organização? 55 56
  • 30. ENSAIO DE RESPOSTA A QUESTÕES ENSAIO DE RESPOSTA A QUESTÕES Quais serão as melhores práticas para Como podemos comparar os esforços de implementar a Gestão da Segurança na minha protecção da informação na organização com o organização? melhor que a indústria tem para oferecer? A ISO/IEC 27001 é a única norma de gestão de A ISO 27799:2008 está focada na saúde e é baseada na segurança da informação. Foi revista de forma a ISO 27001 que está sustentada nas práticas do modelo alinhar Plan-Do-Check-Act. A implementação da norma ISO 27002, amplamente adoptado em qualquer 27001 constitui per si um SGSI. É independente da indústria. tecnologia, abrangente e flexível. Qual é o melhor processo de avaliação dos Como se pode extrair visibilidade dos riscos e como se pode e deve implementar? investimentos aplicados em segurança e qual o A ISO 27005 é focada no risco de IT, no entanto a retorno para a minha organização? ENISA publica 12 ferramentas com 22 atributos A adopção e comprometimento de uma organização distintos que permite fazer comparações com outros para qualquer modelo de gestão de segurança da métodos e ferramentas existentes. http://rm- informação, expõe de uma forma clara o interesse da inv.enisa.europa.eu/comparison.html. instituição em proteger os seus bens de negócio e assim dar credibilidade interna e externa. A adopção de Quais as melhores práticas de protecção dos boas práticas exige que os ambientes tenham os bens recursos de informação da empresa? inventariados, valorizados e controlados e a identificação das ameaças e os valores de perda a que Basear numa framework. O modelo ISO/IEC 27002 e as podem estar sujeitos. Todo o desenvolvimento de um cláusulas que a compõem são uma boa ferramenta SGSI induz a uma redução de desperdícios, optimização para assegurar efectiva gestão de segurança da de processos de trabalho com ambientes de trabalho informação (mesmo que não exista qualquer interesse controlados. da organização em certificar o âmbito escolhido) 57 58
  • 31. CONCLUSÕES E PERSPECTIVAS FUTURO Conclusões Futuro  Não é possível manter a segurança sem planear a sua gestão  A adesão em Portugal é muito pouca pois exige algum investimento e  Nenhuma organização vai estar um dia comprometimento e que implica grandes totalmente protegida das ameaças que põem mudanças estruturais no âmbito das em risco a sua Informação de negócio. tecnologias e nos comportamentos.  Investir num nível de protecção que se  A norma nos próximos anos será considere próximo do ideal atingiria custos implicitamente de carácter obrigatório pois é muito elevados ou bloquearia de forma não a única que certifica a segurança, e porque a aceitável os processos desenvolvidos pelo complexidade e a insegurança crescem hospital. exponencialmente sendo cada vez mais difícil manter a segurança tendo em vista a No entanto…. diversidade de sistemas e utilizadores. As utilização do modelo de boas práticas  E por isso.. possibilitaria uma abordagem sistemática dos riscos, que pode ser realizada numa forma gradual e custos controlados, a implementação de controlos com o objectivo de os minimizar. 59 60
  • 32. CONCLUSÕES E PERSPECTIVAS FUTURO A estruturação desses dados, numa forma Framework de Avaliação Inicial sistematizada, ajudaria a retratar o estado do hospital em matéria de Segurança da O estudo promoveu a adaptação de uma Informação e seria como uma ferramenta framework para uma Gap Analysis que de check up, e modelo de actuação, com pudesse apoiar numa gestão das TI, numa vista à melhor preservação da informação avaliação inicial do estado de saúde dos crítica do hospital. seus recursos, com vista a procurar níveis de riscos associados, e poder-se activar medidas de gestão para o controlo eficaz dos processos críticos. 61 62
  • 33. OBRIGADO Provas de Mestrado - Informática Médica Rui@Gomes.com Os objectos de clipart são fotos livres de direito em: www.fotofolia.com