dis defesa abordagem relacional modelo seguranca

Orientação: Doutor Luís Miguel Velez Lapão Co-orientação: Doutor Luís Filipe Coelho Antunes 12 de Novembro de 2010

Constituição do Júri:

Presidente: Doutor Altamiro Manuel Rodrigues da Costa Pereira, professor catedrático, Faculdade de Medicina da Universidade do Porto;

Vogal: Doutor Luís Miguel Velez Lapão, professor auxiliar convidado, Instituto de Higiene e Medicina Tropical, Universidade Nova de Lisboa (orientador);

Vogal: Doutor Ricardo João Cruz Correia, professor auxiliar, Faculdade de Medicina da Universidade do Porto;

Vogal: Doutor André Ventura da Cruz Marnoto Zúquete, professor auxiliar, Departamento de Electrónica, Telecomunicações e Informática, Universidade de Aveiro.

Provas de Mestrado - Informática Médica

2003

INTRODUÇÃO

METODOLOGIA INVESTIGAÇÃO

CONCLUSÕES E PERSPECTIVAS FUTURO

ESTUDO DE CASO E RESULTADOS

OBJECTIVOS

ENSAIO DE RESPOSTA A QUESTÕES

1 2

2001

A (In) Segurança No Acesso À Informação

Segundo dados da UMIC já em 2004 97% dos hospitais tinham

acesso interno à internet generalizado a grande número de

colaboradores. O aumento de utilização das VPN para

colaboradores e empresas e a emulação e as sistemas de

simulação de extranet.

Processos Ambiente Físico

Tecnologias

Pessoas

Organização

Políticas

Privacidade e Acesso à

Informação Clínica

INTRODUÇÃO

3 4

Muitas vezes as Segurança para as empresas é só ajudar

os clientes a protegerem-se das ameaças externas ao

nível da circulação de informação electrónica (anti-virus,

certificados digitais, firewall, etc…)

2001

A Gestão Da Segurança Da Informação

Segurança Tecnologias Anti-virus Intrusão Detecção Encriptação Firewall Certificados Vigilância

Segurança Informação Gestão Privacidade Cultura Integridade Incidentes Segurança Confidencialidade Propriedade intelectual

Problema de

Gestão

Não é um Problema

de Tecnologias

• Negligência dos colaboradores;

• Falta de capacidades compatíveis funções;

• Desconhecimento ou ignorância;

• Crime premeditado ou por conveniência;

O Elo Mais Fraco

INTRODUÇÃO INTRODUÇÃO

5 6

INTRODUÇÃO

2001

Motivações As equipas dos Departamentos de Sistemas de Informação têm pouca participação ou motivação em grupos… Qualidade, Gestão de Risco, Segurança, etc..

“Comité Olímpico”

Os Departamentos de Sistemas de Informação vivem sujeitos a imensa adversidade e Riscos contantes, que algures no tempo, senão forem tratados criam impacto.

“Teoria do Caos”

Anti-Virus

Firewall

Patchs

Proxy

Política Utilização

Políticas Acesso

Organização

Cultura

INTRODUÇÃO

Exemplo

Seg. Física

Seg. Lógica

asset ?

? ?

7 8

Exemplo de uma paragem por completo num hospital publico durante aproximadamente 24 horas devido a uma alteração de denominação de rede de um equipamento que posteriormente não foi possível identificar no meio.

Objectivos Gerais

Mostrar a importância de sensibilizar gestores

das DSI e Executivos para os aspectos que são

críticos na ausência de uma infraestrutura

segura e as oportunidades perdidas pelo facto

de não se possuirem modelos de boas

práticas.

INTRODUÇÃO

2001

9 10

Objectivos Específicos

Desmistificar a complexidade aparente da multiplicidade de normas existentes;

Apresentar indicadores de benefícios existentes numa infraestrutura segura;

Apurar as vantagens da determinação do Risco na altura do planeamento estratégico;

Apoiar efectivamente no preenchimento de uma gap analysis para apuramento do estado de arte;

OBJECTIVOS

Elaboração de Estratégias para a resolução dos problemas comuns


Proteger Informação de Saúde

Apuramento dedutivo

Maturidade Actores

Base de trabalho

CAP 4: Definição e Exposição do Problema

11 12

2001 Aumento da exposição ao Risco

Complexidade dos Riscos

Complexidade na Protecção Riscos

Bem (Asset)

Cultura

Ambiente Físico

Confidencialidade Propriedade Intelectual

Gestão

Privacidade

Asset (Bem)

Incidentes Segurança


Definição de asset no ambiente

13 14

Gerir a Segurança

Níves de maturidade da informação clínica e a sua relação com o RISCO

é necessário vigiar os Riscos

e melhorar mecanismos de protecção

Os mecanismos de protecção não são suficientes.

METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO

15 16

Ou seja, é necessário…

2001

CAP 3: Estrutura e Governo das TI

Corporate Governance Necessidade de alinhamento entre os interesses dos gestores, auditores e stakeholders. Subjacente numa gestão consistente e políticas organizadas. Deve conduzir e estabelecer um governo para as Tecnologias da Informação (IT-Governance).


Tal como o termo governance está associado aos actos de controlar, dirigir ou regular as acções de uma entidade, o IT-Governance, será o acto de regular os processos das TI dessa entidade.

IT Governance

17 18

Presente Futuro Orientação

Temporal

Orientação

Negócio

Interno

IT

Management

IT

Governance


Potenciar o negócio

Eficiência Operacional

(redução de custos, automatização de processos, aumento da

produtividade)

Habilitador Negócio

(satisfação cliente, apoio a novas oportunidades de negócio, melhorar

cadeia valor)

Mitigação do Risco (melhorar a segurança, controlo de acessos, reduzir probabilidade de

quebras seg.)

Compliance & Auditoria

(assegurar a privacidade do utente, mais facil compliance, permitir

auditabilidade)

Em consequência destas necessidades existem implementações de frameworks de gestão:

Enterprise Risk Management da COSO (Committee of Sponsoring Organizations of The Treadway Commission), orientado para o Corporate Governance,

Risk IT da COBIT (Control Objectives for Information and Related Technology), centrado no IT Governance

Gestão do Risco

1

19 20

Ava

liaçã

o d

e R

isco

s

Gestão de Risco

Identificar Controlar

Monitorizar Implementar Planear

Avaliar

Mitigar o risco

Implementar controlos técnicos de mitigação de risco (por exemplo uma

firewall)

Evitar o risco

Decidir não avançar ou não implementar

Aceitar o Risco

Decidir que o nível de risco identificado está

dentro do limiar de tolerância das

capacidades da organização

Transferir o risco

Aquisição de seguros ou outsourcing

Gestão do Risco Formas de abordar do Risco

A implementação de mitigação de riscos envolve tipicamente as Pessoas, os Processos e as Tecnologias.


21 22

CAP 5: Arquitectura Empresarial e Social

Claúsulas de abrangência


Aspectos Físico s

Aspec tos técnicos

Operacional

Políticas Segurança

Organização Segurança

Gestão Bens

Conformidades

Segurança Pessoas

Gestão Continuidade Negócio

Controlo Acesso

Comunicações & Gestão de Operações

Segurança Física & Ambiental

Aspectos Tácticos

Táctico

Desenvolvimento

Sistemas & Manutenção

23 24

Do Caos à Estrutura

Lidar com a Complexidade

Papel do CEO, CIO, CISO e CTO


CTO

CIO

INCERTEZA

CEPTICISMO ACEITAÇÃO

CONFIANÇA

RESPEITO

t

Gestão

SI/TI

Governança

SI/TI

Operacional Estratégia

Engenharia Arquitectura

25 26

Só a existência de uma arquitectura pode responder às

questões da complexidade e da mudança. É a única

forma que a Humanidade tem de lidar com elas. Ao

caos opõe-se à estrutura. Zachman


CAP 6: Infraestruturas/Problemas Comuns

Baseado em Evidências

Observações

Conhecimento

Os problemas mais comuns são apresentados em 19

tópicos que denunciam a maior parte das

vulnerabilidades encontradas nos hospitais no âmbito

da Segurança da Informação.

27 28


Problemas generalizados

29 30

Acesso físico, infraestrutura de rede e comunicações

Ace

sso

fís

ico

, in

frae

stru

tura

de

red

e e

com

un

icaç

ões

Am

bie

nte

uti

lizad

or

Soluções baseadas em web, cliente/servidor, terminal, stand alone

Ace

sso

fís

ico

, in

frae

stru

tura

de

red

e e

com

un

icaç

ões

Am

bie

nte

ap

licac

ion

al

Sup

ort

e

Admissão, Altas,

Transferências, Facturação,

Agendamento

Recursos Humanos,

Contabilidade,

Aprovisionamento

Ne

góci

o

SI(s) Laboratório, Clínicos,

Farmacia, Nutrição, Imuno,

Imagiologia, etc.

SI(s) Cardiologia,

Oftalmologia, Oncologia,

Medicina, Fisiatria, etc.

Ligadas

Isoladas

Am

bie

nte

de

bas

e d

e d

ado

s

Acesso físico, infra-estrutura de rede e comunicações

Sistema de Gestão de Doentes

Arquitectura típica de um ambiente rudimentar de informação hospitalar

Gestão de

assets

Plano continuidade

negócio

Gestão de

incidências

Gestão serviços

(ITIL)

Gestão identidades

Políticas hardening

Plano disaster recover

Credenciais

SGRH

Políticas

Gestão Contratos/

Outsourcing

?

?

?

?

?


CAP 7: Elaboração de Estratégias para a resolução dos problemas comuns

Disponibilizar e proteger informação de saúde requer um modelo de operação que permita assegurar:

Como deve ser disponibilizada essa informação;

A quem deve ser disponibilizada a informação;

Quem deve ter acesso a essa informação;

Durante quanto tempo deve ser disponibilizada essa informação.

31 32


Quais as melhores práticas para implementar a gestão da segurança?

Qual o melhor processo de avaliação de riscos?

Quais as melhores práticas de protecção?

Como utilizar o melhor da indústria?

Normas

A importância e significado das normas

O Organismo Nacional de Normalização (ONN) : IPQ, ONS, NP

Os organismos Regionais (Europeus) de Normalização são o : CEN, CENELEC, ETSI.

Os organismos Internacionais de Normalização são: ISO, IEC

33 34

O melhor é seguir com base em…


Governo Electrónico

Outras Industrias

Industria Saúde

Modelo Gestão

ISO 27799 (ISO/TC 215)

ISO/IEC 27001 ISO/IEC 27001 COBIT ISO/IEC 20000 ISO/IEC 27001

Denominador comum

ISO/IEC 27002

Expectativas da implementação de um modelo de gestão baseado em ISO/IEC 27002

Grande impacto

1 Implementação de boas práticas

2 Avaliação do estado dos controlos

3 Definir metas para a segurança da informação

4 Redução da frequência e impacto de incidentes

Médio impacto

5 Conformidade com as políticas internas

6 Intregração do sistema com o programa ISRM

7 Ir ao encontro dos requisitos de regulamentação

8 Maximizar o investimento realizado

De convergência

9 Obtenção de vantagens competitivas

10 Ir ao encontro dos requisitos da tutela

11 Adaptar-se às alterações do mercado

12 Controlo e redução de custos

Benefícios mais comuns associados à ISO/IEC 27002 (ISF)

35 36

ISO/IEC 20000

ISO 27799, TC 215 WG4


1 Política de Segurança da Informação

2 Organização da Segurança da Informação

3 Gestão de Recursos

4 Gestão de Recursos Humanos

5 Gestão da segurança física e ambiental

6 Gestão das Comunicações e Operações

7 Controlo de acessos

8 Aquisições, manutenções e desenv. de sistemas

9 Gestão de incidentes de segurança da informação

10 Plano de gestão da continuidade de negócio

11 Conformidade com os aspectos legais

Cláusulas da ISO/IEC 27002:2005

37 38

A origem da norma certificadora da segurança


CAP 8: Aplicação de um SGSI

Estrutura de um SGSI

Família TC 215 - ISO 27000 também conhecida como ISO 27k

ISO/IEC 27000 - vocabulário e definições utilizadas

27005

Gestão de Risco

(ISO 13335)

27001 - requisitos para um SGSI

27002 - Boas Práticas para um SGSI

27003 - Guia de Implementação SGSI

27004 - Métricas e Medidas avaliar SGSI

39 40


Implementação de um SGSI

«Estabelecer SGSI»

«Implementar e operar

SGSI»

«Verificação, Monitorização, Revisão

do SGSI»

«Manutenção e melhoria

do SGSI»

41 42

Visão e Objectivos Onde

gostariamos de estar?

ISO 27002

Avaliações Onde

estamos? ISO 27004

Desenho de TI Como

podemos chegar?

ISO 27003

Métricas Como

sabemos se chegámos?

ISO 27004

Avaliação de um SGSI

ESTUDO DE CASO

CAP 09: Estudo de Caso Hospital

(CS1) Gestão da Segurança

(CS2) Gestão Serviços de TI

Governo Electrónico

Governo SI/TI

(COBIT)

Gestão da Segurança

ISO 27002

Boas Práticas SI/TI

(ISO 20000/ ITIL)

43 44

RESULTADOS CIENTÍFICOS (ANEXO C): Gomes, R. J., Lapão, L.V. et al. (2008). "The Adoption of IT Security Standards in a Healthcare Environment." eHealth Beyond the Horizon – Get IT There S.K. Andersen et l. (Eds.) IOS Press, MIE 2008 (ANEXO D): Lapão, L. V., Rebuge, A., Silva,M.S., Gomes, R. J. “ ITIL Assessment in a Healthcare Environment: The Role of IT Governance at Hospital São Sebastião”. Medical Informatics in a United and Healthy Europe K.-P.

Adlassnig et al. (Eds.). IOS Press

ESTUDO DE CASO

(CS1) Gestão da Segurança Local: Hospital Ano: 2008 Scope: Âmbito reduzido no Datacenter

Produção de um documento de Statement of Applicability, no âmbito de um Centro de Dados (documentação dos riscos e a forma como devem ser mitigados)

1 •Avaliação inicial de dados e documentos

2 •Auditoria preliminar às infra-estruturas

3 •Análise de documentação da organização

4 •Entrevistas a elementos da organização

5

•Mapeamento e confrontação com os 11 controlos da norma ISO/IEC 27002:2005

6 •Produção de relatórios de Gap Analysis

ESTUDO DE CASO

As 11 cláusulas que compõem a ISO/IEC 27002 possuem um conjunto de subsets baseados nas estruturas da ISO/EIC 27002 e de acordo com uma escala de níveis de risco que foram especificados (H-M-L):

H: 76-100% hipótese de ocorrer uma ameaça durante o período de um ano. M: 26-75% hipótese de ocorrer uma ameaça durante o período de um ano. L: 0-25% hipótese de ocorrer uma ameaça durante o período de um ano.

45 46

ESTUDO DE CASO

Resultados:

Processos críticos e níveis de risco.

Foram implementados controlos de segurança para os processos críticos H.

# ISO 27002 Section Risk Level

(control objective)

H M L

1 Security Policy 0 1 0

2 Organizing Information Security 0 1 1

3 Asset Management 2 0 0

4 Human Resources Security 0 1 2

5 Physical and Environmental Security 1 1 0

6 Communications & Operations Management 8 2 0

7 Access Control 5 2 0

8 Information Systems Acquisition, Development and Maintenance 0 4 2

9 Information Security Incident Management 0 2 0

10 Business Continuity Management 0 0 1

11 Compliance 0 1 2

ESTUDO DE CASO

(CS2) Gestão de Serviços de TI Local: Hospital Ano: 2008 Scope: Ambito da DSI

O objectivo do assessment ITIL foi ajudar a encontrar lacunas/fraquezas relacionadas com a utilização das TI e a que distância estava o hospital de as superar.

A que nível o hospital consegue suportará iniciativas de mudança de melhoria nos processos?

Capacidade e papéis dos colaboradores

Maturidade na Entrega de Serviço

Maturidade Suporte de Serviço.

47 48

ESTUDO DE CASO

Foi realizado um levantamento dos papeis dos colaboradores e das suas responsabilidades utilizando uma Matriz ARCI (Accountable, Responsible, Consulted, and Informed) que permitiu clarificar e cruzar as funções com as responsabilidades.

ESTUDO DE CASO

Capacidade e papéis dos colaboradores

1 2 3 4 5 6 7 8 9 10 11 12 13 14

CIO A/R R A/R I A/I C/I C/I A/R A/R A/R A/R A/R A/R A/R

Network Manager C/I R R R R R R R R

Project Manager C/I R R R R A A R A/R/I R R R R

Technician 1 C/I R R C/I

Programmer 1 C/I R C/I R R R

Database Manager C/I R R A/R R R R R R/C/I R R R R

Support DB Manager C/I R R R R R R/C/I R

Programmer 2 C/I R C R R R R R R R R R R

Programmer 3 C/I R R R R R C/I R

Programmer 4 C/I R R R R R C/I R

Technician 2 C/I R R C/I

Esta matriz revelou que existe um grande nível de funções em overlap entre os colaboradores que apontam para ineficiências nas questões de IT Service Management.

Maturidade na entrega de Serviço (Service Delivery)

Podemos verificar que o nível de maturidade do Service Level Management é < a 1 o que significa que os processos seriam realizados numa forma had-hoc sem definição e planeamento.

0,0

1,0

2,0

3,0

4,0

5,0

Service LevelManagement

Financial Management

Capacity ManagementIT Service Continuity

Management

Availability Management

Service Delivery

49 50

ESTUDO DE CASO ESTUDO DE CASO

Maturidade Suporte ao Serviço (Service Support)

O nível de maturidade no serviço incident management é < a 1, e o que não se considera aceitável para um hospital.

0,0

1,0

2,0

3,0

4,0

5,0Service Desk

Incident Management

Problem Management

ConfigurationManagement

Change Management

Release Management

Service Support

Foi necessário realizar um estudo mais detalhado Service Support ( Indicent management)

O principal objectivo da gestão de incidentes é garantir a reposição desse serviço o mais rapidamente possível mitigando os riscos associados a esse restabelecimento e eliminando o mais possível os efeitos colaterais.

Foi adoptado o método de Steinberg que considera no processo de analise de maturidade a visão, a tecnologia, os processos, cultura e as pessoas.

Steinberg, R.A. (2008) Implementing ITIL: Adapting Your IT

Organization to the Coming Revolution in IT Service Management.

Service Support (Incident Management)

51 52

ESTUDO DE CASO

0

1

2

3

4

5Vision and Steering

Process

PeopleCulture

Technology

Tecnologia e os Processos: 2

Vision & Steering, Pessoas e Cultura: 1

Vista em detalhe, segundo Steinberg, do nível de maturidade Incident Management

53 54

O esforço a realizar terá de ser no âmbito da relação com as pessoas, e com a organização em geral, gestão das expectativas, acompanhamento dos processos, promovendo uma cultura de prestador de serviço ou através de outras formas de gestão.

SGSTI SGSI

Orientado ao Serviço Orientada ao Risco

Garantir a entrega de Serviço de acordo com os requisitos e os níveis de serviço acordados com base em:

disponibilidade performance

Garantir a segurança da informação relativamente ao seus requisitos de:

confidencialidade, integridade disponibilidade

Dentro das TI Transversal à organização

Conclusões do Estudo de Caso


CAP 10: Ensaio de Resposta a Problemas

• Quais serão as melhores práticas para implementar a Gestão da Segurança na minha organização?

• Qual é o melhor processo de avaliação dos riscos e como se pode e deve implementar?

• Quais as melhores práticas de protecção dos recursos de informação da empresa?

• Como podemos comparar os esforços de protecção da informação na organização com o melhor que a indústria tem para oferecer?

• Como se pode extrair visibilidade dos investimentos aplicados em segurança e qual o retorno para a minha organização?

55 56


Quais serão as melhores práticas para implementar a Gestão da Segurança na minha organização?

A ISO/IEC 27001 é a única norma de gestão de segurança da informação. Foi revista de forma a alinhar Plan-Do-Check-Act. A implementação da norma 27001 constitui per si um SGSI. É independente da tecnologia, abrangente e flexível.

Qual é o melhor processo de avaliação dos riscos e como se pode e deve implementar?

A ISO 27005 é focada no risco de IT, no entanto a ENISA publica 12 ferramentas com 22 atributos distintos que permite fazer comparações com outros métodos e ferramentas existentes. http://rm-inv.enisa.europa.eu/comparison.html.

Quais as melhores práticas de protecção dos recursos de informação da empresa?

Basear numa framework. O modelo ISO/IEC 27002 e as cláusulas que a compõem são uma boa ferramenta para assegurar efectiva gestão de segurança da informação (mesmo que não exista qualquer interesse da organização em certificar o âmbito escolhido)


Como podemos comparar os esforços de protecção da informação na organização com o melhor que a indústria tem para oferecer?

A ISO 27799:2008 está focada na saúde e é baseada na ISO 27001 que está sustentada nas práticas do modelo ISO 27002, amplamente adoptado em qualquer indústria.

Como se pode extrair visibilidade dos investimentos aplicados em segurança e qual o retorno para a minha organização?

A adopção e comprometimento de uma organização para qualquer modelo de gestão de segurança da informação, expõe de uma forma clara o interesse da instituição em proteger os seus bens de negócio e assim dar credibilidade interna e externa. A adopção de boas práticas exige que os ambientes tenham os bens inventariados, valorizados e controlados e a identificação das ameaças e os valores de perda a que podem estar sujeitos. Todo o desenvolvimento de um SGSI induz a uma redução de desperdícios, optimização de processos de trabalho com ambientes de trabalho controlados.

57 58

http://rm-inv.enisa.europa.eu/comparison.html














Não é possível manter a segurança sem

planear a sua gestão

Nenhuma organização vai estar um dia totalmente protegida das ameaças que põem em risco a sua Informação de negócio.

Investir num nível de protecção que se considere próximo do ideal atingiria custos muito elevados ou bloquearia de forma não aceitável os processos desenvolvidos pelo hospital.

No entanto…. As utilização do modelo de boas práticas possibilitaria uma abordagem sistemática dos riscos, que pode ser realizada numa forma gradual e custos controlados, a implementação de controlos com o objectivo de os minimizar.

A adesão em Portugal é muito pouca pois

exige algum investimento e comprometimento e que implica grandes mudanças estruturais no âmbito das tecnologias e nos comportamentos.

A norma nos próximos anos será implicitamente de carácter obrigatório pois é a única que certifica a segurança, e porque a complexidade e a insegurança crescem exponencialmente sendo cada vez mais difícil manter a segurança tendo em vista a diversidade de sistemas e utilizadores.

E por isso..

Conclusões Futuro

59 60


O estudo promoveu a adaptação de uma framework para uma Gap Analysis que pudesse apoiar numa gestão das TI, numa avaliação inicial do estado de saúde dos seus recursos, com vista a procurar níveis de riscos associados, e poder-se activar medidas de gestão para o controlo eficaz dos processos críticos.

Framework de Avaliação Inicial A estruturação desses dados, numa forma sistematizada, ajudaria a retratar o estado do hospital em matéria de Segurança da Informação e seria como uma ferramenta de check up, e modelo de actuação, com vista à melhor preservação da informação crítica do hospital.

61 62

OBRIGADO

Provas de Mestrado - Informática Médica [email protected]

Os objectos de clipart são fotos livres de direito em: www.fotofolia.com

dis defesa abordagem relacional modelo seguranca

Documents