a importÂncia de controles de seguranÇa …...2.1. segurança da informação em hospitais...

A IMPORTÂNCIA DE CONTROLES DE

SEGURANÇA DA INFORMAÇÃO EM

HOSPITAIS PÚBLICOS BRASILEIROS

Antonio Eduardo de Albuquerque Junior (FIOCRUZ )

[email protected]

Elaine Santos de Albuquerque (SESAB )

[email protected]

Ernani Marques dos Santos (UFBA )

[email protected]

A dependência da infraestrutura de Tecnologia da Informação (TI) e a

necessidade de proteger as informações, tanto por força de normas

legais quanto por sua importância, exigem que organizações dos mais

diversos tipos adotem controles de seegurança da informação

apropriados para as atividades que desenvolvem. A norma NBR

ISO/IEC 27002:2005 propõe 133 controles que visam proteger as

informações em diferentes organizações, mas nem todos os controles

são aplicáveis à realidade de instituições de saúde. Por esse motivo, há

a necessidade de identificar quais controles de segurança da

informação são realmente importantes para o tipo de atividade e para

as informações utilizadas em hospitais públicos, tendo uma atenção

especial para os requisitos legais desse tipo de instituição, que lida

com informações sensíveis importantes tanto para seu funcionamento

quanto para os pacientes. Este trabalho teve o objetivo de identificar a

percepção de gestores e funcionários das áreas de TI e segurança da

informação de hospitais públicos sobre a importância dos controles de

segurança da informação para as atividades desenvolvidas nessas

instituições.

Palavras-chaves: controles, segurança da informação, hospitais,

públicos

XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos

Salvador, BA, Brasil, 08 a 11 de outubro de 2013.



2

1. Introdução

A informação é um ativo intangível importante, que pode compor juntamente com ativos

tangíveis o valor econômico de uma organização (KAYO et al., 2006) e cujo acesso e

divulgação indevidos de informações podem provocar danos graves para a organização.

Por utilizarem intensamente informações sensíveis, as instituições de saúde põem os registros

dos pacientes – muitas vezes eletrônicos – como unidade central de informações, levando à

utilização massiva de tecnologias da informação (TI). Isso tem levado a um processo de

integração e compartilhamento de informações sobre pacientes, trazendo para essas

instituições novas demandas para a segurança da informação (AHLFELDT, 2005) diante dos

riscos de divulgação e acessos indevidos que a utilização de TI traz para essas informações

(FACHINI, 2009).

A informação, portanto, precisa ser protegida de forma adequada e, para isso, a Associação

Brasileira de Normas Técnicas (ABNT) (2005) apresenta a norma NBR ISO/IEC 27002:2005,

um conjunto de controles de segurança da informação que podem ser adotados no todo ou em

parte por diferentes organizações.

Este trabalho é resultado de uma pesquisa exploratória que teve como objetivo identificar a

percepção funcionários de hospitais públicos brasileiros a respeito da importância dos

controles de segurança da informação presentes na norma NBR ISO/IEC 27002:2005, a

exemplo da que Albuquerque Junior e Santos (2012) fizeram com hospitais privados

brasileiros. O artigo está organizado em cinco seções, além desta Introdução e das Referências

Bibliográficas: Fundamentação Teórica; Metodologia; Resultados; Discussão; e Conclusões.

2. Fundamentação teórica

Beal (2005) e Donner e Oliveira (2008) definem segurança da informação como a proteção da

informação contra ameaças à sua integridade, disponibilidade e confidencialidade. A ABNT

(2005) complementa dizendo que segurança da informação é a preservação da



3

confidencialidade, integridade e disponibilidade da informação, visando garantir a

continuidade do negócio, minimizar o risco e maximizar o retorno sobre investimentos e as

oportunidades de negócio.

Estas definições apontam a existência dos três componentes principais da segurança da

informação: a integridade, que busca garantir a exatidão da informação por modificações ou

remoções feitas sem autorização; a disponibilidade, que visa garantir o acesso à informação

por quem é autorizado a fazê-lo; e a confidencialidade, que procura garantir que apenas

pessoas autorizadas tenham acesso (SILVA NETTO; SILVEIRA, 2007).

Diante desses três componentes, Sêmola (2003) diz que a finalidade da segurança da

informação é a proteção das informações contra acessos não autorizados, alterações indevidas

ou indisponibilidade, que segundo a ABNT (2005) pode ser obtida por meio de controles

adequados, que precisam ser monitorados, analisados criticamente e melhorados para atender

aos objetivos do negócio e de segurança da informação.

Embora boa parte dos riscos esteja associada a componentes tecnológicos e apesar de haver

uma necessidade de proteger os equipamentos de TI, a tecnologia por si só não é suficiente

para garantir a proteção das informações (MARCIANO, 2006; SILVA; STEIN, 2007), sendo

necessários controles que cubram tanto segurança física quanto lógica, orientados por uma

Política de Segurança da Informação (MOURA; GASPARY, 2008), um documento que tanto

pode ser definido em um contexto técnico, voltado para controles tecnológicos, quanto em um

contexto de gestão, servindo como compromisso, apoio e orientação dos gestores para

segurança da informação (LOPES, 2012), sendo que neste último caso, a Política deve

abranger a infraestrutura utilizada, os processos, os sistemas de informação e os serviços

relacionados às informações (SILVA; STEIN, 2007).

Albrechtsen (2008) afirma que a segurança da informação não é apenas uma questão

tecnológica, enquanto Albuquerque Junior e Santos (2012) afirmam que a segurança da

informação deve considerar aspectos tecnológicos, físicos e humanos, e Marciano (2006)

concorda que a Política de Segurança da Informação deve abordar recursos computacionais e

humanos e a estrutura organizacional necessária para promover a segurança da informação.



4

Dentro dessa mesma linha, Silva e Stein (2007) puseram a tecnologia e as pessoas como duas

faces diferentes e possivelmente conflitantes da segurança da informação, e Silva Netto e

Silveira (2007) propõem a organização dos controles de segurança da informação da norma

NBR ISO/IEC 27002:2005 nas dimensões física, lógica e humana, conforme Quadro 1. Já

Albuquerque Junior e Santos (2012) dizem que esta norma tem características mais voltadas

para a gestão da segurança da informação, e que isso pede que diagnósticos com base nela

envolvam profissionais de TI, de segurança da informação e gestores da organização.



5



6

A norma NBR ISO/IEC 27002:2005 apresenta 133 controles organizados em 11 seções de

controles e 39 categorias de controles, com princípios de segurança da informação que podem

ser adotados por qualquer organização, em parte ou no todo. Sendo a segurança da

informação um problema que abrange organizações de qualquer natureza e setor, a seção

seguinte trata deste tema em hospitais públicos, que também precisam garantir seu

funcionamento e que lidam com informações sensíveis sobre pacientes, cuja proteção é

exigida por diferentes regulamentos.

2.1. Segurança da informação em hospitais públicos

Para Ahlfeldt (2005), a utilização intensa de muitas informações sensíveis faz dos hospitais

ambientes com grande utilização de computadores. Janczewski e Shi (2002) acrescentam que

o desenvolvimento da medicina, TI e telecomunicações estão transformando os serviços de

saúde, mas isso ocorre em um ambiente em que Kwak (2005) diz que há muita troca de

informações, tanto interna quanto externamente.

Esse contexto põe as questões éticas sobre privacidade dos pacientes nas discussões sobre

segurança da informação (RAGHUPATHI; TAN, 2002), sem esquecer que há uma procura

pela prestação de melhores serviços, com informações corretas e no momento certo, e que há

ainda possibilidade de divulgação não autorizada das informações (AHLFELDT, 2005) e uso

indevido de sistemas de informação, desencorajando o uso da TI, prejudicando o

compartilhamento de informações e podendo comprometer o tratamento e a pesquisa médica

(KOBAYASHI; FURUIE, 2007).



7

Por serem instituições públicas, os hospitais públicos estão sujeitos a regulamentos que

ultrapassam a regulação do seu campo de atuação. Segundo Cepik, Canabarro e Possamai

(2010), a segurança da informação em organizações públicas federais foi objeto de auditoria

do Tribunal de Contas da União (TCU) em 2007 e levou o Governo Federal a exigir a adoção

de boas práticas de segurança da informação. Para Britto (2011), nas organizações públicas,

parte das informações pode estar vulnerável, o que pode provocar interrupção de serviços e

funções essenciais, perda de dados e possibilitar fraudes, prejudicando a sociedade como um

todo. Dessa forma, é necessário que hospitais públicos protejam as informações com que

lidam tanto para garantir a privacidade dos pacientes quanto por obrigações trazidas pelo fato

de integrarem a administração pública. A seção seguinte trata da legislação que obriga a

proteção das informações em hospitais públicos.

2.2. Legislação sobre segurança da informação para hospitais públicos

Parte das leis e regulamentos que orientam a proteção das informações em hospitais públicos,

na realidade, é voltada para organizações públicas em geral ou para toda a sociedade: a Lei nº

8.159/1991 obriga a proteção de documentos de apoio ao desenvolvimento científico e

elementos de prova e informação; a Lei nº 9.983/2000 tipifica como crime a violação indevida

e proposital da confidencialidade e integridade dos dados armazenados em sistemas

computacionais; a Lei de Acesso à Informação (Lei nº 12.527/2011) garante o acesso às

informações públicas, mas garante também o respeito à intimidade, à vida privada e a

proteção de informações que possam pôr em risco a vida, a segurança ou a saúde da

população; e a Constituição Federal do Brasil, de 1988, garante, através do seu Art. 5º, inciso

X, o direito à privacidade.

Outros instrumentos legais são aplicáveis diretamente às instituições de saúde: a própria

Constituição Federal, no Art. 5º, inciso XIV, garante o sigilo profissional entre médico e

paciente; o Código Penal Brasileiro (Decreto-Lei nº 2.848/1940) complementa essa garantia

tipificando como crime a violação de informação cujo conhecimento se deu através do

exercício profissional; o Estatuto da Criança e do Adolescente (Lei nº 8.069/1990) estabelece

que instituições de saúde mantenham por 18 anos a identificação de recém-nascidos e de suas



8

mães; e a Lei nº 9.434/1997 obriga as instituições de saúde a manterem por pelo menos cinco

anos os prontuários médicos em algumas situações específicas.

Além dessas leis, algumas normas do Conselho Federal de Medicina regulamentam a

segurança das informações em hospitais: o Código de Ética Médica (Resolução CFM nº

1.931/2009) garante que os prontuários dos pacientes sejam manuseados apenas por pessoas

sujeitas ao sigilo profissional, põe os prontuários sob responsabilidade do médico ou da

instituição de saúde, garante o acesso do paciente ao seu prontuário, obriga que este seja

legível e exige autorização por escrito do paciente para realização de cópias. Já a Resolução

CFM nº 1.331/89 obriga que os prontuários médicos sejam mantidos permanentemente pelos

médicos ou instituições de saúde.

Está clara, portanto, a necessidade de promover segurança da informação nessas instituições,

de forma que se faz necessário ampliar os conhecimentos sobre o tema. A próxima seção trata

da metodologia utilizada na pesquisa.

3. Metodologia

Esta pesquisa é exploratória e descritiva e teve como objetivo identificar a percepção de

funcionários das áreas de TI e segurança da informação e de gestores de hospitais públicos

brasileiros sobre a importância dos controles de segurança da informação para suas

instituições. Uma vez que partiu de um modelo existente (a norma NBR ISO/IEC

27002:2005) para estudar uma realidade específica, a metodologia empregada é dedutiva.

Esta pesquisa foi motivada pela sugestão de Albuquerque Junior e Santos (2012) para que

fosse feita pesquisa sobre a percepção da importância de práticas de segurança da informação

para profissionais de TI e gestores de hospitais públicos brasileiros. Para isso, foram

elaborados três formulários com perguntas sobre os controles presentes na norma NBR

ISO/IEC 27002:2005 agrupadas conforme a classificação proposta por Silva Netto e Silveira

(2007) (ver Quadro 1): “Controles da Camada Física”, com 75 controles; “Controles da

Camada Lógica”, com 16 controles; e “Controles da Camada Humana”, com 42 controles.

Juntos, os três formulários contêm 140 perguntas, sendo sete relacionadas ao respondente e à

instituição em que trabalha, e 133 relacionados aos controles de segurança da informação. As



9

afirmativas correspondentes aos controles foram associadas a uma escala Likert de cinco

pontos: 1 – sem importância; 2 – pouco importante; 3 – importante; 4 – muito importante; 5 –

extremamente importante. Assim, os respondentes deveriam indicar em formulário on-line

publicado no sistema FormSUS (http://formsus.datasus.gov.br) a importância percebida sobre

cada controle para as atividades do hospital em que trabalham.

No total, 236 hospitais públicos receberam as mensagens convidando a participar da pesquisa,

mas foram apenas 26 hospitais participaram, sendo que três foram descartados por estarem

incompletas. Foram aceitas, portanto, respostas de 23 hospitais (9,75% dos que receberam o

convite).

4. Resultados

Embora os formulários tenham sido enviados para hospitais públicos de todos os estados

brasileiros, foram obtidas respostas de apenas 10 estados: Distrito Federal, Rio Grande do Sul,

Santa Catarina e Sergipe (um hospital cada); Bahia, Ceará e Pernambuco (dois hospitais); Rio

de Janeiro (três hospitais); Minas Gerais (quatro hospitais); e São Paulo (seis hospitais).

As respostas apontam que os hospitais têm portes variados, com concentração maior de

instituições que têm entre 151 e 500 leitos (43,5%). A Tabela 1 traz a distribuição dos

hospitais pela quantidade de leitos.

Os respondentes dos formulários trabalham na área de TI (47,8%), de gestão ou diretoria

(39,1%) e de Segurança da Informação (13%). Entre os respondentes do formulário

“Controles da Camada Física”, 15 se declararam Analistas, três são Administradores, dois são

Gestores, um é Diretor, um é Coordenador e um é Gerente. Para o formulário “Controles da

Camada Lógica”, 13 afirmaram ser Analistas, quatro são Administradores, dois são Gestores,



10

um é Diretor, dois são Coordenadores e um é Gerente. Já entre os respondentes do formulário

“Controles da Camada Humana”, 13 são Analistas, quatro são Administradores, dois são

Gestores, dois são Gerentes, um é Diretor e um é Coordenador.

Quanto à percepção da importância dos indicadores de segurança da informação, identificou-

se que o formulário que teve maior score médio foi “Controles da Camada Humana”, com

89,43 pontos. Este mesmo formulário inclui o controle com menor score (75 pontos, de

Verificações do histórico de candidatos a emprego, fornecedores e terceiros, de acordo

com a ética, legislação e outros regulamentos pertinentes, e proporcionalmente aos

requisitos do negócio, à classificação das informações e aos riscos percebidos) e o com

maior score (105, de Documento da política de segurança da informação aprovado pela

direção, publicado e comunicado para todos os funcionários e partes externas). A

mediana calculada para este formulário foi 88,50 e a moda foi 87, score obtido por seis

controles. Este formulário teve também o segundo maior score da pesquisa - 102 pontos, do

controle Proteção de registros importantes contra perda, destruição e falsificação, de

acordo com requisitos legais, regulamentares, estatutários, contratuais e de negócio.

O formulário “Controles da Camada Física” teve 89,13 pontos de score médio e a mediana

calculada foi 90, enquanto a moda foi 95, score que apareceu nove vezes. O maior score foi

99, obtido por dois controles, enquanto o menor score foi 78.

Já o formulário “Controles da Camada Lógica” teve score médio de 84,81 e a mediana foi 85.

Os scores 81 e 85 são os que aparecem mais vezes nos controles deste formulário: três vezes

cada. O score mais alto obtido neste formulário foi 93 e o menor foi 78 pontos.

Considerando todos os controles de segurança da informação dos três formulários, a média

calculada foi 88,70. Diante disso, 58,67% dos controles do formulário “Controles da Camada

Física” estão acima dessa média. Do formulário “Controles da Camada Lógica”, identificou-

se que 25% estão acima da média, enquanto o mesmo ocorre com 50% dos controles do

formulário “Controles da Camada Humana”.

Como o formulário “Controles da Camada Lógica” tem apenas 16 controles, para efeito de

comparação entre os três formulários foram considerados apenas os 16 controles que

obtiveram maior score dos outros dois. Esses controles estão representados na Tabela 2,



11

Tabela 3 e Tabela 4, respectivamente para os formulários “Controles da Camada Física”,

“Controles da Camada Lógica” e “Controles da Camada Humana”.

Como este último formulário teve um empate entre três controles com 91 pontos de score na

16ª posição, utilizou-se como critério de desempate a quantidade de vezes que os

respondentes atribuíram importância 5 (Extremamente importante) para cada controle.

Dessa forma, o controle Apoio da Direção à segurança da informação por meio de um

claro direcionamento, demonstrando compromisso, definindo explicitamente atribuições



12

e reconhecendo responsabilidades figurou na Tabela 4, pois foi avaliado como

“Extremamente importante” oito vezes, enquanto os outros dois foram avaliados como

extremamente importantes seis e cinco vezes.

Considerando apenas 16 controles considerados mais importantes, o formulário “Controles da

Camada Física” teve score médio de 96 pontos, e a mediana e a moda foram 95. Como os

scores deste formulário variaram de 95 a 99, o range ficou com 4 pontos. O formulário

“Controles da Camada Lógica”, como já apresentado anteriormente, teve score médio 84,81 e

o cálculo da mediana foi 85 pontos.



13

Os scores 81 e 85 aparecem três vezes cada, sendo os que aparecem mais vezes neste

formulário. O score mínimo é 78 e o máximo é 93, com um range de 15 pontos. Já os 16

controles mais importantes do formulário “Controles da Camada Humana” têm uma média de

96,31 pontos, uma mediana de 95,50 pontos e a moda é 94. Como o menor score é 91 e o

maior é 105, o range é de 14 pontos. Estes dados estão representados na Tabela 5.



14

Assim, mesmo considerando apenas os 16 controles mais importantes, o formulário

“Controles da Camada Humana” é o que tem maior score médio entre os três, embora o

formulário “Controles da Camada Física” tenha a menor variação entre o menor e o maior

score. Os resultados serão discutidos na seção seguinte.

5. Discussão

Apesar do recebimento de respostas válidas de 23 hospitais diferentes, os resultados

mostraram que hospitais de apenas 10 Estados diferentes participaram da pesquisa e que

houve pouca participação de hospitais com mais de 500 leitos, embora a maioria (43,5%)

tenha entre 151 e 500 leitos.

Os resultados apontam que 58,67% dos controles do formulário “Controles da Camada

Física” tem importância percebida acima da média geral, o que mostra sua importância para

hospitais, embora a participação de profissionais técnicos na pesquisa possa ter influenciado.

Por outro lado, metade dos controles do formulário “Controles da Camada Humana” é

considerada importante, o que mostra o reconhecimento da importância do fator humano na

segurança da informação.

Ao analisar os controles com scores mais altos nos três formulários, nota-se que, de maneira

geral, há uma preocupação dos hospitais com políticas e procedimentos de segurança da

informação. O score mais alto entre todos foi obtido pelo controle que trata da formalização

de uma Política de Segurança da Informação, que é considerado importante por nove

respondentes da área de TI e por três da área de segurança da informação, enquanto dois

respondentes de TI consideram-no muito importante e três respondentes da área de gestão o

consideram extremamente importante. A pesquisa mostrou que há pouca diferença de



15

percepção para respondentes de perfis diferentes sobre este controle e que todos o consideram

pelo menos importante.

Há também uma preocupação com a proteção de informações sensíveis, o que pode refletir

tanto compreensão de uma obrigação ética e legal quanto a necessidade de garantir o

funcionamento da instituição. O controle Proteção de registros importantes contra perda,

destruição e falsificação, de acordo com requisitos legais, regulamentares, estatutários,

contratuais e de negócio foi o segundo mais importante, e exemplifica isso.

A importância dos procedimentos também aparece nos controles que tratam de processos,

técnicas de controle de acesso, presentes em alguns controles considerados importantes e

voltados para a confidencialidade das informações.

Também foi possível observar a importância percebida de controles que visam punir o

desrespeito às normas de segurança da informação, o que pode ter sido motivado pelo fato de

os respondentes serem servidores públicos, sujeitos a processos administrativos disciplinares,

além do grande apelo ao cumprimento de normas dos conselhos profissionais e dos códigos

de ética das categorias profissionais de saúde.

De maneira geral, os controles considerados mais importantes destacam principalmente uma

preocupação com a proteção da privacidade dos pacientes e com o cumprimento dos

requisitos legais, muito relacionados às atividades desempenhadas e ao tipo de informações

com que lidam os hospitais públicos.

Por fim, como o formulário “Controles da Camada Humana” teve maior score médio entre os

três e por 50% dos seus controles estarem acima da média geral, ressalta-se a importância do

componente humano na segurança da informação.

6. Conclusões

Este estudo permitiu identificar os controles percebidos como mais importantes para as

atividades desenvolvidas em hospitais públicos. De todos eles, o mais importante trata da

elaboração e manutenção de Políticas de Segurança da Informação – uma formalização das

regras de proteção de informações sobre os pacientes, presentes em diversos instrumentos



16

normativos aos quais essas instituições estão submetidas. E o formulário que teve score médio

mais alto foi “Controles da Camada Humana”, o que mostra a importância do componente

humano na segurança da informação em hospitais públicos, contexto em que foi realizada a

pesquisa.

A pesquisa destacou também a importância de controles mais diretamente relacionados à

proteção das informações dos pacientes, aos processos que controlam o acesso a essas

informações e o respeito às leis e regulamentos que tratam da proteção à privacidade.

Resumidamente, destacou a importância da conformidade com as normas que regem o setor

saúde, inclusive os códigos de ética das categorias profissionais envolvidas com as atividades

desenvolvidas nas organizações que atuam neste setor.

A importância dos controles de segurança da informação segundo os respondentes das áreas

de TI, segurança da informação e gestão/diretoria de hospitais públicos brasileiros aponta para

uma necessidade de estabelecer políticas e identificar e classificar informações – o que pode

estar relacionado ao fato de estas práticas não estarem plenamente adotadas nessas

organizações. Além disso, a importância percebida para os controles de segurança da

informação está também relacionada à já citada necessidade de respeitar as normas de

garantia do sigilo dos pacientes.

O trabalho tem como limitação a pequena quantidade de hospitais que responderam aos três

formulários corretamente. Assim, as conclusões tomadas a partir da pesquisa não podem ser

generalizadas. Outra limitação é o fato de o porte dos hospitais não ter sido considerado na

pesquisa, embora a pesquisa tenha procurado levantar as quantidades de leitos.

Como sugestões para trabalhos futuros, propõe-se a realização de pesquisas sobre a utilização

efetiva dos controles mais importantes de segurança da informação, sobre as implicações

desses controles nas atividades desempenhadas pelos profissionais de saúde desses hospitais e

sobre os mecanismos de institucionalização de normas de segurança da informação em

hospitais públicos.

REFERÊNCIAS

AHLFELDT, Rose-Mharie. Information Security in a Heterogeneous Healthcare Domain. In:

1th International Conference on Interoperability of Enterprise Software and Applications –



17

INTEROP-ESA 2005, Genebra, 2005. Proceedings... Luxemburgo: INTEROP, fev. 2005, p.

103-114.

ALBRECHTSEN, Eirik. Friend or foe? Information security management of employees.

Trondheim, 2008. 182f. Tese (Doutorado em Economia Industrial e Gestão Tecnológica) –

Norwegian University of Science and Technology, Trondheim, 2008.

ALBUQUERQUE JUNIOR, Antonio E. de; SANTOS, Ernani M. dos. Segurança da

Informação em Hospitais: A Percepção da Importância de Controles para Gestores e

Profissionais de TI. Revista Gestão & Saúde, Curitiba: Herrero, n.2, v.4, p.1-14, ago. 2012.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005:

Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da

segurança da informação. Rio de Janeiro, 2005. 120p.

BEAL, A. Segurança da Informação: Princípios e Melhores Práticas para a Proteção dos

Ativos de Informação nas Organizações. São Paulo: Atlas, 2005. 180p.

BRITTO, Thiago D. e. Levantamento e Diagnóstico de Maturidade da Governança da

Segurança de Informação na Administração Direta Federal Brasileira. Brasília, 2011.

145f. Dissertação (Mestrado em Gestão do Conhecimento e da Tecnologia da Informação) –

Universidade Católica de Brasília, Brasília, 2011.

CEPIK, Marco; CANABARRO, Diego R.; POSSAMAI, Ana J. A Institucionalização do

SISP e a Era Digital no Brasil. In: CEPIK, Marco; CANABARRO, Diego R. Governança de

TI: Transformando a Administração Pública no Brasil. Porto Alegre: WS Editor, 2010. p.37-

74.

DONNER, M. L.; OLIVEIRA, L. R. Análise de Satisfação com a Segurança no Uso de

Internet Banking em Relação aos Atuais Recursos Disponíveis no Canal Eletrônico. In:

XXXII Encontro da ANPAD – EnANPAD. Rio de Janeiro, 2008. Anais... Rio de Janeiro:

ANPAD, set.2008, 16 p. CD Rom.

FACHINI, G. J. Análise do Nível de Formalização da Política de Segurança da

Informação à Luz da NBR ISO/IEC 17799:2005 nas Empresas de Tecnologia da

Informação de Blumenau, SC. Dissertação (Mestrado em Ciências Contábeis) –

Universidade Regional de Blumenau, Blumenau, 2009.

JANCZEWSKI, Lech; SHI, Frank X. Development of Information Security Baselines for

Healthcare Information Systems in New Zealand. Computers & Security, v.21, n.2, p.172-

192, 2002.

KAYO, E. K.; KIMURA, H.; MARTIN, D. M. L.; NAKAMURA, W. T. Ativos Intangíveis,

Ciclo de Vida e Criação de Valor. RAC, n.3, v.10, p.73-90, jul.2006.

KOBAYASHI, L. O. M.; FURUIE, S. S. Segurança em Informações Médicas: Visão

Introdutória e Panorama Atual. Revista Brasileira de Engenharia Biomédica, n.1, v.23,

p.53-77, abr. 2007.



18

KWAK, Y. S. International Standards for Building Electronic Health Record (EHR). In: 7th

International Workshop on Enterprise Networking and Computing in Healthcare Industry –

HEALTHCOM 2005. Proceedings... Busan, jun. 2005. p.18-23.

LOPES, Isabel M. Adopção de Políticas de Segurança de Sistemas de Informação na

Administração Pública Local em Portugal. Tese (Doutorado em Tecnologias e Sistemas de

Informação, Engenharia e Gestão de Sistemas de Informação) – Escola de Engenharia,

Universidade do Minho, Braga, 2012.

MARCIANO, J. L. P. Segurança da Informação – uma abordagem social. Brasília, 2006.

211f. Tese (Doutorado em Ciência da Informação) – Universidade de Brasília, Brasília, 2006.

MOURA, G. C. M.; GASPARY, L. P. Uma Proposta para Medição de Complexidade de

Segurança em Procedimentos de Tecnologia da Informação. In: VIII Simpósio Brasileiro em

Segurança da Informação e de Sistemas Computacionais – SBSEG, 2008, Gramado. Anais...

Gramado: SBC, set.2008, p.129-142.

RAGHUPATHI, W.; TAN, J. Strategic IT Applications in Health Care. Communications of

the ACM, v.45, n.12, p.56-61. 2002.

SÊMOLA, M. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro:

Campus, 2003. 184p.

SILVA, D. R. P.; STEIN, L. M. Segurança da Informação: uma reflexão sobre o componente

humano. Ciências & Cognição, v.10, p.46-53, mar. 2007.

SILVA NETTO, A. S.; SILVEIRA, M. A. P. Gestão da Segurança da Informação: Fatores

que Influenciam sua Adoção em Pequenas e Médias Empresas. JISTEM, v.4, n.3, p.375-397.

2007.

a importÂncia de controles de seguranÇa …...2.1. segurança da informação em hospitais...

Documents