universidade estÁcio de sÁ made – mestrado em ... · 5. conclusÕes 54 5.1 conclusÕes 54 5.2...
TRANSCRIPT
UNIVERSIDADE ESTÁCIO DE SÁ
MADE – Mestrado em Administração e Desenvolvimento Empresarial
JOSÉ BREDARIOL JUNIOR
GRAU DE MATURIDADE DA SEGURANÇA DA INFORMAÇÃO DA REDE PÚBLICA
DE HOSPITAIS FEDERAIS DO RIO DE JANEIRO NA VISÃO DOS GESTORES
Orientador: Antônio Augusto Gonçalves
Rio de Janeiro
2019
GRAU DE MATURIDADE DA SEGURANÇA DA INFORMAÇÃO DA REDE PÚBLICA
DE HOSPITAIS FEDERAIS DO RIO DE JANEIRO NA VISÃO DOS GESTORES
Dissertação apresentada à Universidade Estácio de Sá
como requisito para a obtenção do grau de Mestre em
Administração e Desenvolvimento Empresarial.
Orientador: Antônio Augusto Gonçalves
Rio de Janeiro
2019
B831g Bredariol Junior, José Grau de maturidade da segurança da informação da rede pública de hospitais federais do Rio de Janeiro na visão dos gestores. / José Bredariol Junior. – Rio de Janeiro, 2019. f. Dissertação (Mestrado em Administração e Desenvolvimento Empresarial) – Universidade Estácio de Sá, 2019. 1. Segurança da informação. 2. Dispositivos. 3.Conectividade. 4.Equipamento médico-hospitalar. 5. Hospitais públicos federais. I. Título. CDD 658
DEDICATÓRIA
Ao meu filho, José Bredariol Neto, pela sua compreensão e
carinho. A minha família, principalmente aos meus pais, pelo
apoio que me deram durante toda a minha vida, aos meus
irmãos e, a minha esposa pelo seu companheirismo e
envolvimento neste desafio.
"O campo da derrota não está povoado de fracassos, mas
de homens que tombaram antes de vencer”.
Abraham Lincoln
RESUMO
As organizações modernas dependem cada vez mais dos sistemas de
informação para suas operações diárias.. A segurança destes é uma questão muito
importante que envolve e preocupa diversas áreas da organização, que entendem que
a contínua integração de tecnologias, a comunicação intensiva resultante dessa
integração e a alta complexidade dos sistemas podem levar a ocorrência de
vulnerabilidades graves. As empresas, principalmente as de saúde, estão cada vez
mais expostas a ataques sofisticados que podem paralisar, modificar e roubar suas
informações. A Lei Geral de Proteção de Dados Pessoais (LGPD), que foi ratificada no
Congresso em meados de 2018, marca a primeira tentativa real do Brasil de lidar com
questões de privacidade digital. É de extrema importância que as instituições de saúde
pública tenham uma visão real de seus problemas e do que ainda falta melhorar para
atingir o nível de segurança requerido pela nova legislação. A abordagem metodológica
qualitativa foi a escolhida para o desenvolvimento do estudo, onde pesquisador vive e
conhece a realidade desse grupo ou ambiente. A pesquisa tem caráter descritivo, sem
se limitar a uma estratégia metodológica específica. A aplicabilidade do trabalho é a de
contribuir com os gestores em relação às mais importantes dimensões para a
implantação, gestão e manutenção da segurança da informação nos serviços de saúde
pública. Os resultados apontam para a confirmação da suposição inicial de que a
percepção do grau de maturidade pelos gestores depende diretamente dos recursos
disponíveis para a implantação de mecanismos apropriados de controle, medição e
avaliação da segurança da informação.
Palavras-chave: Segurança da Informação. Dispositivos. Conectividade. Equipamento
Médico-hospitalar. Hospitais Públicos Federais.
ABSTRACT
Modern organizations increasingly depend on information systems for their day-
to-day operations. Security is a very important issue that involves and concerns various
areas of the organization, which understand that the continued integration of
technologies, the intensive communication resulting from such integration, and the high
complexity of systems can lead to the occurrence of serious vulnerabilities. Businesses,
especially healthcare, are increasingly exposed to sophisticated attacks that can
paralyze, modify, and steal their information. The General Law on Protection of
Personal Data (LGPD), which was ratified in Congress in mid-2018, marks Brazil's first
real attempt to deal with digital privacy issues. It is of the utmost importance that public
health institutions have a real picture of their problems and what needs to be improved
to achieve the level of security required by the new legislation. The qualitative
methodological approach was chosen for the development of the study, where the
researcher lives and knows the reality of this group or environment. The research has a
descriptive character, without being limited to a specific methodological strategy. The
applicability of this work is to contribute with managers in relation to the most important
dimensions for the implementation, management and maintenance of information
security in public health services. The results point to the confirmation of the initial
assumption that the perception of managerial maturity depends directly on the
resources available for the implementation of appropriate information security control,
measurement and evaluation mechanisms.
Keywords: Information Security. Devices. Connectivity. Hospital Equipment. Public
Hospitals.
LISTA DE FIGURAS
Figura 1 – Diagrama do modelo conceitual das dimensões que influenciam a segurança
da informação 23
Figura 2 – Nuvem de palavras gerais 44
Figura 3 – Similaridade das palavras nas entrevistas 45
Figura 4 – Entrevistas que mencionaram a política de segurança 48
Figura 5 – Entrevistas que mencionaram a falta de treinamento 51
LISTA DE QUADROS
Quadro 1 – Modelo proposto x ISO X COBIT 22
Quadro 2 – Entrevistados 41
Quadro 3 – Perfil dos entrevistados 43
Quadro 4 – Grau de maturidade segundo os entrevistados 53
LISTA DE ABREVIATURAS
ADM - Administrativa
BYOD – Bring Your Own Device
CGU - Controladoria Geral da União
COBIT – Control Objectives for Information and Related Technologies
CTI – Centro de Tratamento e Terapia Intensiva
ETIR – Equipe de Treinamento e Resposta a Incidentes
HFA – Hospital Federal do Andaraí
HFL – Hospital Federal da Lagoa
HIV – Human Immunodeficiency Virus
IMD – Implantable Medical Device
INCA – Instituto Nacional de Câncer
ISO – International Organization for Standardization
LGPDP – Lei Geral de Proteção de Dados Pessoais
N/I – Não Informado
PHI – Protected Health Information
SETA – Security Education Training Awareness
TCU – Tribunal de Contas da União
TI – Tecnologia da Informação
TIC – Tecnologia Informação e Comunicação
SUMÁRIO
1 INTRODUÇÃO 11
1.1 APRESENTAÇÃO INICIAL 11
1.2 QUESTÃO PROBLEMA 14
1.3 OBJETIVOS 14
1.3.1 Objetivo Final 14
1.3.2 Objetivos Intermediários 14
1.4 SUPOSIÇÃO INICIAL 14
1.5 RELEVÂNCIA 15
1.5.1 Relevância Organizacional/Social 15
1.5.2 Relevância Acadêmica 15
1.6 DELIMITAÇÃO 16
1.6.1 Delimitação Geográfica 16
1.6.2 Delimitação Temporal 16
1.6.3 Delimitação Teórica 16
2 REFERENCIAL TEÓRICO 17
2.1 SEGURANÇA DA INFORMAÇÃO 17
2.2 SEGURANÇA DA INFORMAÇÃO NA AREA DA SAÚDE 18
2.3 MODELO DE SEGURANÇA DA INFORMAÇÃO 20
3 METODOLOGIA 39
3.1 ABORDAGEM METODOLÓGICA 39
3.2 TIPO DE PESQUISA 39
3.3 ESTRATÉGIA METODOLÓGICA 39
3.4 SELEÇÃO DOS SUJEITOS 40
3.5 COLETA DE EVIDÊNCIAS 41
3.6 TRATAMENTO E ANÁLISE DAS EVIDÊNCIAS 41
3.7 LIMITAÇÕES METODOLÓGICAS 42
4. RESULTADOS E SUA ANÁLISE 43
4.1 APRESENTAÇÃO E ANÁLISE DOS RESULTADOS 43
4.1.1 Perfil dos Entrevistados 43
4.1.2 Comportamento 45
4.1.3 Gerenciamento de Mudanças 46
4.1.4 Conscientização da Segurança da Informação 47
4.1.5 Requisitos de Segurança 47
4.1.6 Sistema Organizacional 49
4.1.7 Conhecmento 50
4.1.8 Disponibilidade de Recursos 51
4.1.9 Grau de Maturidade 52
5. CONCLUSÕES 54
5.1 CONCLUSÕES 54
5.2 APLICABILIDADE 57
5.3 RECOMENDAÇÕES 57
REFERÊNCIAS 58
APÊNDICE A - ROTEIRO DAS ENTREVISTAS 69
ANEXO 1 – QUESTÃO DE PROVA PARA MÉDICO EM ESPECIALIZAÇÃO 70
ANEXO 2 – LEI nº 13.709.2018 71
11 1. INTRODUÇÃO
1.1. APRESENTAÇÃO INICIAL
As organizações modernas dependem dos sistemas de informação para suas
operações diárias e, consequentemente, para sua sobrevivência. Para garantir a
segurança desses ativos, elas utilizam diversas ferramentas e técnicas, visando mitigar
o problema, mas raramente tais aparatos são suficientes para fornecer proteção total
aos recursos organizacionais da empresa (IFINEDO, 2012).
Os problemas de segurança tornaram-se uma realidade diária tanto para as
empresas quanto para os indivíduos. Estima-se que, em 2019, teremos 50 bilhões de
dispositivos conectados à internet, que vão gerar muito mais informação e aumentar
substancialmente os pontos de vulnerabilidade. Com isso, uma batalha se iniciará e o
número de ataques tenderá a aumentar, reforçados pela melhoria das ferramentas
utilizadas pelos hackers (BENDOVSCHI, 2015).
Nos últimos anos, a incidência de acessos não autorizados a sistemas de
informação tem aumentado de forma exponencial. Esses acessos inevitavelmente
levam a grandes perdas financeiras e materiais (BOIKO; SHENDRYK, 2017).
Nesse sentido, a segurança é uma questão muito importante que envolve e
preocupa diversas áreas da organização, que entendem que a contínua integração de
tecnologias, a comunicação intensiva resultante dessa integração e a alta
complexidade dos sistemas levam a problemas de vulnerabilidade, possibilitando
ataques ilimitados (Al DAIRI; TAWALBEH, 2017).
Por certo, o uso da tecnologia da informação tornou-se essencial no ambiente
hospitalar, pois o processo de executar tarefas rotineiras nos sistemas de informação é
comum em organizações de saúde. Os primeiros processos de adoção da tecnologia,
no setor de saúde, foram os sistemas administrativos. As funcionalidades clínicas eram
incipientes até os anos 1990, quando a tecnologia da informação e comunicação
12 emergente permitiu o desenvolvimento de sistemas integrados de gestão em saúde.
Com o passar do tempo, esse cenário foi se modificando, e a tecnologia passou a
compor também as funções clínicas, porém, a fragilidade das aplicações nesse setor
pode ameaçar a segurança da informação do paciente, já que seus registros
eletrônicos estão mais vulneráveis a divulgação e adulteração do que os formulários
baseados em papel (BOX; POTTAS, 2014).
Os dados de registro de saúde são amplamente utilizados em aplicações como
sistemas de diagnóstico em tempo real – que monitoram o comportamento das
informações de saúde de pacientes –, análise de dados biomédicos e serviços de
monitoramento de saúde. Em certas ocasiões, esses dados podem ser transmitidos a
terceiros, tornando ainda mais frágil o sistema (KIM; SUNG; CHUNG, 2014).
Os hospitais armazenam, mantêm e transmitem enormes quantidades de dados
para apoiar os tratamentos e cuidados de saúde de seus pacientes. Entretanto, garantir
a disponibilidade, confidencialidade e integridade desses dados tem sido um requisito
de difícil alcance. Para complicar ainda mais, o setor de saúde continua sendo um dos
mais suscetíveis à perda de privacidade. A Protected Health Information (PHI) informou
que ataques de hackers nessas organizações aumentaram 320% em 2016 e que 81%
dos registros violados em 2016 resultaram de ataques de hacking especificamente
(ABOUELMEHDI et al., 2017).
Dessa forma, os serviços na área da saúde dependem cada vez mais de
hardwares e softwares e da conexão entre os diversos equipamentos, cujas
consequências de falhas de segurança podem levar à incapacidade na assistência
eficaz ao paciente. A segurança é mais do que apenas um problema potencial no
horizonte, é uma realidade atual e crescente (FU; BLUM, 2013).
As vulnerabilidades de segurança da informação aparecem em praticamente
todos os sistemas organizacionais, incluindo os ambientes médicos. De fato, quando
13 surgem problemas de segurança, os médicos devem priorizar ações para mitigar o
impacto clínico que pode ocorrer. Já os fornecedores podem se defender melhor contra
esses incidentes de segurança – mesmo os que ainda não ocorreram – adotando
padrões de outras indústrias e garantindo que tais práticas se tornem normas e
requisitos. Assim sendo, todos os dispositivos médicos precisam de melhor segurança
(RANSFORD et al., 2017).
A literatura atual reconhece que os principais usuários de tecnologia da
informação e comunicação (TIC) das organizações de saúde (médicos, enfermeiros e
outros profissionais) representam um desafio de segurança por causa de erros ou atos
deliberados. O comportamento do usuário é reconhecido como um dos pontos mais
relevantes no estudo da segurança da informação. Portanto, o sucesso da
implementação de uma política de segurança depende do equilíbrio entre os recursos
técnicos e os programas educacionais. No entanto, sabe-se que existem poucos
investimentos em programas contínuos de educação em segurança (BOX; POTTAS,
2014).
Neste cenário, fica claro que são cada vez mais importantes o planejamento e a
gestão da segurança, por meio de ferramentas, frameworks e procedimentos, visando
preparar as organizações de saúde para se defenderem de possíveis ataques virtuais
ou de ataques de engenharia social (termo utilizado para descrever um método de
ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou
confiança do usuário, para obter informações que podem ser utilizadas para ter acesso
não autorizado a computadores ou informações) (PINA, 2012).
Nesse cenário, é fundamental construir e implementar planos estratégicos que
estejam aptos a mitigar esses riscos, já que o hospital é o local onde se fazem as
maiores intervenções de saúde nos indivíduos, razão pela qual ele deve garantir a
segurança da informação na assistência médica.
14
Os hospitais federais analisados neste estudo atendem a toda a população do
estado do Rio de Janeiro; sendo assim, são de extrema importância para o cidadão
fluminense. É, então, preciso analisar o grau de maturidade da segurança da
informação dessas organizações na visão de seus principais gestores, e para tanto
optou-se por examinar os hospitais federais no estado do Rio de Janeiro.
Para fundamentar o estudo foi utilizado o modelo adaptado de Hassan e Ismail
(2012), que investigou os fatores que influenciam a segurança da informação em
ambientes hospitalares, além de estar em conformidade com os requisitos da ISO
27001 e com os controles do COBIT 5.0.
1.2. QUESTÃO – PROBLEMA
Qual o grau de maturidade da segurança da informação na visão de gestores de
hospitais federais do Rio de Janeiro?
1.3. OBJETIVOS
1.3.1. Objetivo Final
Identificar e descrever o grau de maturidade da segurança da informação na
visão de gestores de hospitais federais do Rio de Janeiro.
1.3.2. Objetivos Intermediários
Identificar e descrever as dimensões que influenciam a segurança da informação
em organizações de saúde
Definir o grau de comprometimento da alta direção dos hospitais federais com as
políticas de segurança da informação.
1.4. SUPOSIÇÃO INICIAL
O grau de maturidade da segurança da informação na visão dos gestores dos
hospitais federais do Rio de Janeiro depende diretamente dos recursos disponíveis
15 para a implantação de mecanismos apropriados de controle, medição e avaliação da
informação.
1.5. RELEVÂNCIA
1.5.1. Relevância Organizacional/Social
As organizações de saúde estão entre as cinco organizações mais visadas pelos
hackers – junto com as empresas na área de finanças; as seguradoras; as indústrias
de manufatura e as empresas de telecomunicação e de varejo –, porque o valor dos
registros médicos tem se tornado muito lucrativo no mercado negro. É possível que os
perímetros de diversas empresas já tenham sido violados, mas que os invasores ainda
estejam aguardando o momento certo para efetivar o ataque. Diante desse cenário, as
organizações de saúde estão tomando medidas adicionais para abordar a questão da
segurança, como implementar defesas mais fortes, repensar o controle de processos e
trabalhar com as autoridades para investigar as tentativas de invasão (IBM, 2015).
Incidentes de segurança afetam organizações de saúde em todo o mundo.
Apenas como exemplo temos a perda de dados em vários hospitais: Veterans Affairs
Administration (VA), nos Estados Unidos, em 2007; Shenzhen Hospital, em 2008, na
China; e, no Reino Unido, o Serviço Nacional de Saúde (NHS), em 2013. No entanto,
esses exemplos são apenas a ponta do iceberg (HE; JOHNSON, 2015).
1.5.2. Relevância Acadêmica
Existem poucos estudos acadêmicos sobre o tema na área da segurança da
informação dos hospitais federais no Brasil, principalmente, no Rio de Janeiro. Isso
justifica e valoriza ainda mais esta pesquisa, que busca apresentar o panorama dos
hospitais diante dos riscos que envolvem as novas tecnologias. À medida que a
tecnologia avança e se desenvolve, novos equipamentos, dispositivos e sensores
surgem para melhorar a qualidade do serviço, entretanto, novos riscos aparecem
16 naturalmente, levando desafios à área.
1.6. DELIMITAÇÃO
1.6.1. Delimitação Geográfica
Por acessibilidade, o presente estudo aborda hospitais federais selecionados
localizados na cidade do Rio de Janeiro.
1.6.2. Delimitação Temporal
A pesquisa foi realizada no decorrer dos meses de outubro e novembro de 2018.
1.6.3. Delimitação Teórica
O estudo se limita ao tema da segurança da informação, por meio do modelo
conceitual proposto por Hassan e Ismail (2012) para organizações hospitalares.
17 2. REFERENCIAL TEÓRICO
2.1. SEGURANÇA DA INFORMAÇÃO
Numa época em que a informação é essencial, a segurança tornou-se uma
preocupação primordial. A segurança da informação é o campo que lida com o estudo
de mecanismos que visam promover a proteção da informação e garantir um nível de
confiança adequado a ela. A explosão do volume de dados causada pelo rápido
desenvolvimento da tecnologia da informação e comunicação (TIC), principalmente da
internet, tornou-se fator de mudanças radicais. A internet passou a ser a principal
plataforma de informação e comunicação com um público cada vez maior. A União
Internacional das Telecomunicações, em 2014, estimou que o número de usuários de
internet atingiu 40,6% da população mundial e, obviamente, esse número continuará a
crescer. Diante disso, o desafio da segurança da informação e do impacto das novas
tecnologias nos diversos aspectos da sociedade tem sido objeto de discussão ao longo
das principais conferências internacionais (TERESHCHUK, 2015).
Com o aumento da terceirização e de serviços de dados gerenciados e
armazenados por outras empresas, a incorporação de novos e importantes desafios na
área da segurança da informação e da privacidade em negócios em nível global
ganhou destaque (HOVAV; D´ARCY, 2012).
Os sistemas de informação são, com frequência, expostos a vários tipos de
ameaça que podem causar diferentes danos que podem levar a perdas financeiras
significativas. Tais danos podem provocar a perda total do sistema de informação e,
consequentemente, da própria organização. Os efeitos das ameaças variam
consideravelmente, e alguns afetam a confidencialidade e a integridade dos dados,
enquanto outros atingem sua disponibilidade. Atualmente, as organizações estão
procurando entender quais são as ameaças a seus ativos de informação e como obter
os meios necessários para combatê-las (JOUINI; RABAI; BEN AISSA, 2014).
O uso de dispositivos móveis – incluindo laptops, smartphones e tablets – está
18 se tornando cada vez mais comum em ambientes corporativos, e a implementação de
controle específico para esses dispositivos reduziria significativamente as violações de
segurança associadas aos Bring Your Own Device (BYOD). Para ilustrar, em 2014, a
empresa de segurança Symantec realizou um experimento sobre a perda desses
dispositivos. Como principal resultado verificou-se que, em 93% dos casos, as pessoas
que acharam tais dispositivos acessaram os telefones e, em 63% das vezes, as
pessoas visualizaram e-mails corporativos. Como fica claro pelo estudo citado, na
ausência de medidas de proteção adequadas, é muito provável que as informações
contidas sejam expostas, o que pode resultar em graves vazamentos de dados
(VORAKULPIPAT et al., 2017).
Uma cultura organizacional que vise à preservação colherá benefícios, como
eficiência aprimorada, da mesma forma que os aplicativos com mais segurança tendem
a ter menos custos no ciclo de vida por causa de sua maior qualidade. Existe também
o benefício adicional de uma reputação melhorada, o que pode ajudar a aumentar ou
manter a qualidade da organização (CORRISS, 2010).
2.2. SEGURANÇA DA INFORMAÇÃO NA ÁREA DA SAÚDE
Para Mishra et al. (2012), os hospitais estão lutando para proteger as
informações de seus pacientes, até porque estudo recente identificou que as violações
de segurança custam ao setor de saúde US$ 6 bilhões por ano (MOSCARITOLO,
2011).
Muitas pesquisas promovem a conscientização da segurança, mas, no entanto,
esta não pode ser tratada como um componente, porém, como uma prioridade; ela
deve ser um elemento fundamental para gerenciar os objetivos organizacionais e deve
estar no papel das responsabilidades dos colaboradores de saúde, observando-se a
política da organização (KRUGER et al., 2011; HOVAV; D’ARCY, 2012).
19
A efetivação do sigilo das informações sobre o paciente – especialmente para
acesso, compartilhamento e transferência de dados – ainda necessita de melhorias. O
treinamento dos colaboradores em segurança da informação representa um aumento
significativo na proteção desses dados, sobretudo no quesito confidencialidade. Assim,
sua conscientização passa a ser fundamental para a organização (HAI et al., 2017).
O setor de saúde é particularmente vulnerável aos danos que se referem ao uso
ilegal das informações pessoais e confidenciais de seus pacientes. A invasão da
privacidade pessoal ocorre por hackers, que depois vendem as informações roubadas
no mercado negro. De fato, cerca de 90% das instituições de saúde experimentaram
um ciberataque entre 2012 e 2015, de acordo com o Ponemon Institute (MOHAMMED;
MARIANI; MOHAMMED, 2015).
Várias questões para a melhoria da segurança da informação nos ambientes de
saúde são destacadas por Appari e Johnson (2010); e Meingast, Roosta e Sastry
(2006), em função da importância do armazenamento de dados sobre saúde nos
sistemas de informação, fundamentais para auxiliar os médicos no diagnóstico de
enfermidades; no entanto, o monitoramento contínuo e armazenamento seguro dos
dados sobre saúde são um desafio à privacidade pessoal e ao big data (CHEN; FU,
2015).
As vantagens proporcionadas pela tecnologia são indiscutíveis, mas vêm com
um risco significativo em diversos aspectos, como a manutenção da confidencialidade
das informações, já que o número de ciberataques no ambiente de saúde é
potencialmente maior do que em outras organizações. O rápido crescimento da
tecnologia da informação e da comunicação, as crescentes pressões para a redução
dos custos, a melhoria da qualidade dos cuidados de saúde, a segurança dos
pacientes e a redução dos erros médicos levaram à expansão do uso de sistemas
informatizados em organizações de saúde. E se os sistemas são responsáveis pelo
20 armazenamento, captura, gerenciamento e transmissão das informações de saúde,
pessoais e da organização, o principal desafio dessa estrutura é a segurança (ZAREI;
SADOUGHI, 2016).
Um dos aspectos inovadores da tecnologia da informação que têm sido usados
em organizações de saúde, em função de sua capacidade única, são os dispositivos
móveis; assim sendo, conhecer os riscos que ameaçam o uso desses dispositivos e a
segurança da informação neles contida leva a melhor gestão e redução dos problemas
(SAREMIAN; KHARA, 2015).
Todas as organizações devem tomar medidas ativas para manter a segurança e
a integridade de seus recursos de informação, e dentre as diversas organizações, essa
estratégia é muito crítica em hospitais, onde as questões de precisão da informação e
da confidencialidade do paciente são primordiais (STAHL; DOHERTY; SHAW, 2012).
2.3. MODELO DE SEGURANÇA DA INFORMAÇÃO
A segurança da informação é um problema crítico para indivíduos e
organizações; logo, é necessário um modelo de proteção personalizado que permita
melhor compreensão da natureza dos perigos que a cercam, a fim de que se
desenvolvam estratégias apropriadas e decisões em prol de sua manutenção (JOUINI;
RABAI; BEN AISSA, 2014).
Hassan e Ismail (2012) elaboraram um modelo que investigou os principais
problemas relacionados com a segurança da informação, bem como identificou os
fatores que a influenciam no ambiente de saúde e os antecedentes de cultura que a
estruturam. Com base nesse modelo, esses autores construíram a segurança da
informação, em ambiente de saúde, em sete dimensões. Essas dimensões oferecem o
caminho para examinar a forma como as pessoas reagem à segurança da informação
nas organizações.
21
Uma das principais razões que levaram a escolha desse modelo foi devido a
adequação aos requisitos da norma International Organization for Standardization
27001 (ISO), que trata da segurança da informação e ainda pela conformidade com o
framework Control Objectives for Information and Related Technologies (COBIT) 5.0,
tratando-se dos objetivos relacionados a segurança da informação, conforme
apresentado no Quadro 1.
22
Quadro 1 – Modelo proposto x ISO x COBIT
Conformidade
Dimensões ISO 27001 COBIT 5.0 (Objetivos)
D1 – Comportamento
8.1.3-Termos e condições de
contratação
8.2.3 Processo Disciplinar
Equipes de TI e de negócios
motivadas e qualificadas
D2 – Gerenciamento
de mudanças
12.5.2-Análise crítica da Gestão as
aplicações após mudanças no S.O.
10.1.2 de mudanças
Disponibilidade de
informações úteis e confiáveis
para a
tomada de decisão
D3 – Conscientização
8.2.2-Conscientização, educação,
treinamento
Conformidade de TI e apoio
para a conformidade do
negócio com as leis e
regulamentos externos
D4 – Requisitos de
segurança
5.1.1 -Política de segurança
5.1.2-Análise política de segurança
Segurança da informação,
infraestrutura de TI
D5 – Sistema
Organizacional
6.1.1-Comprometimento da direção
8.2.1- Responsabilidades da direção
Compromisso da gerência
executiva com a tomada de
decisões de TI
D6 – Conhecimento
13.1.1 Notificação de eventos de
segurança da informação
Uso adequado de aplicativos,
informações e soluções
tecnológicas
D7 – Disponibilidade
de recursos
7.1.1 - Inv. Dos ativos
9.2.1 Instalação e prot. dos
equipamentos
Benefícios obtidos pelo
investimento de TI e portfólio
de serviços
23
O modelo escolhido consolidou essas influências, conforme demostrado na
Figura 1.
Figura 1 – Diagrama do modelo conceitual das dimensões que influenciam a segurança
da informação.
Fonte: Adaptado de Hassan e Ismail (2012).
D1 – Comportamento
O comportamento das pessoas é influenciado pela cultura da qual elas são
originárias se desenvolveram ou estão inseridas. O componente comportamental de
uma atitude refere-se à intenção de se comportar de certa maneira em relação a
alguém ou a alguma coisa. (ROBBINS; JUDGE, 2009).
O comportamento desempenha um papel muito importante em uma
organização. O principal fator considerado é a atitude. As atitudes denotam nossas
respostas positivas e negativas a pessoas, eventos e objetos e são influenciadas pelos
24 valores mantidos pelos indivíduos e seu senso de certo e errado. Atitude é algo que
não é desenvolvido em um dia. Cada indivíduo tem alguns valores e crenças interiores
que eles desenvolvem com o tempo. À medida que crescemos, observamos as
pessoas ao nosso redor se comportando de uma maneira particular. Passamos a
valorizar certas coisas em detrimento de outras, formando assim nosso sistema de
valores. Estes, por sua vez, dão origem ao desenvolvimento de nossas atitudes
(MISHRA; SNEHLATA; SRIVASTAVA, 2014).
A atitude refere-se principalmente, ao grau que a pessoa atribui a uma avaliação
favorável ou desfavorável do comportamento. Uma atitude positiva em relação a
violação de regras eleva as chances de que esse procedimento seja realizado
(TAKEMURA; KOMATSU, 2013).
Existe um consenso de que a finalidade da segurança de informação é garantir
a continuidade dos negócios e minimizar os danos, prevenindo os incidentes de
segurança. Dhillon et al. (2007) argumentam que os crimes de segurança cometidos
por colaboradores é um ato que pode resultar de fatores pessoais, situações de
trabalho e oportunidades disponíveis. Esses autores afirmam que o comportamento é
essencial para o gerenciamento bem sucedido da segurança da informação.
O papel do comportamento do usuário é cada vez mais reconhecido como um
ponto chave no estudo de conformidade da segurança. Observou-se que o papel da
motivação e da atitude do usuário embora reconhecido, não é tratado com seriedade.
Muitos usuários inadvertidamente expõem seus dados por descuido ou por
desconhecimento das políticas de segurança. Pesquisadores afirmam que o
comportamento dos usuários precisam ser direcionados e monitorados para garantir a
conformidade com os requisitos de segurança (VON SOLMS; VON SOLMS, 2004).
Siponen (2006) enfatiza que os problemas associados à "facilidade de uso" de
soluções de segurança (por exemplo, técnicas e aderência a procedimentos) não é
25 abordado com profundidade na literatura. Stanton et al. (2005) sugerem que é
importante ter uma visão sistemática do comportamento de segurança dos usuários
finais para facilitar a auditoria e avaliação precisa desses comportamentos.
Park et al. (2010) examinaram a situação dos sistemas de gerenciamento de
segurança da informação em cinco hospitais. A consciência de segurança e o
comportamento de segurança da equipe do hospital foram examinados empiricamente.
O nível de segurança da informação foi analisado baseando-se nas medidas de
controle de segurança ISO27799. Os resultados revelaram que o comportamento dos
colaboradores representavam uma ameaça significativa à segurança da informação.
Existia uma conscientização mínima de segurança e o nível da gestão da segurança da
informação era baixo quando comparado as outras organizações.
D2 – Gerenciamento de Mudanças
O gerenciamento de mudanças é o processo que procura reduzir a resistência à
mudança e aumentar o apoio e o compromisso, seja uma mudança no processo,
estrutura, tecnologia, sistemas, prática de gestão ou cultura (CASTLE; SIR, 2001).
Novas implementações de sistemas envolvem a adoção de novas soluções, que
exigem uma mudança organizacional profunda. A literatura de mudança organizacional
sugere que uma maior aceitação de mudança por parte dos colaboradores está
associada ao recebimento de informações sobre o plano de mudança, participação no
processo de mudança, apoio disponível e impacto pessoal (COBB; FOLGER;
WOOTEN, 1995; WANBERG; BANAS, 2000).
As tentativas de mudar as atitudes fornecendo informações são viáveis
somente se os usuários estiverem envolvidos no processo de implementação (BELL;
HARRISON; MCLAUGHLIN, 2000).
26
A gestão da mudança na implementação de tecnologia é um investimento
complementar que geralmente tem sido negligenciado. À medida que a taxa de
mudança acelera, a a falta de uma implementação ordenada e coordenada da
tecnologia tornou-se uma das principais causas de falhas no sistema (SHERER;
KOHLI; BARON, 2003).
Mudanças frequentes em aplicativos, sistemas e infraestrutura das organizações
ajudam a garantir maior segurança e confiabilidade gerando um impacto significativo
em sua funcionalidade, usabilidade, na segurança do ambiente e na cultura de
segurança. Para tanto, a influência mais forte vem da alta gerência, fato que os
profissionais de segurança podem usar a seu favor, a fim de encorajar a transformação
necessária para conseguir uma organização mais segura (CORRISS, 2010).
Um processo eficiente de gerenciamento de mudanças é vital para as empresas
que buscam melhorar continuamente seus processos. O grau de maturidade para as
mudanças pode variar muito, porém, é de fundamental importância para a continuidade
do negócio (JOKINEN; VAINIO; PULKKINEN, 2017).
Entender o processo de gerenciamento de mudanças é crucial para uma cultura
de segurança da informação organizacional bem-sucedida. Além disso, identificar os
principais papéis da administração e dos funcionários no processo de transição
permitirá um melhor entendimento de suas respectivas responsabilidades. Esta
mudança requer a conclusão de três fases:
1) Término: Antes de iniciar algo novo é necessário terminar o antigo.
2) Zona neutra: É o momento mais complexo e confuso, nesta fase mais de um
processo esta ativo.
3) Novo começo: Esta fase termina com um novo começo.
No entanto, essas fases não são etapas separadas com limites claros. O
processo envolve mudanças diversas, já que a dominância é passada de um estágio
27 para o próximo. Como resultado, pode-se estar em mais de uma dessas fases ao
mesmo tempo (NGO et al., 2005).
O suporte da alta gerência é fundamental para o sucesso de todas as iniciativas
de mudança. A falta de patrocínio, ou apoio nos altos níveis da organização, torna
quase impossível o sucesso de um processo de mudanças (BARON, 1999).
Segundo Bomfin et al. (2011), a crescente complexidade de um hospital envolve
atividades diversas, com alta necessidade de coordenação, e o alto custo de insumos e
novas tecnologias médicas correspondem a fatores impulsionadores da busca por uma
gerencia de mudança mais qualificada e atuante.
D3 – Conscientização da Segurança da Informação
A conscientização da importância da segurança da informação é usada para
educar as pessoas e torná-las cientes das ameaças a segurança da informação das
organizações. A conscientização (awareness) é um dos fatores mais importantes e que
pode ser controlado de forma exógena, por meio de educação ou treinamento de
membros da organização para sua disseminação coletiva (TAKEMURA; KOMATSU,
2013).
Uma vez que as pessoas representam uma das maiores ameaças para a
segurança da informação, quanto menos colaboradores sem a adequada
conscientização estiver envolvida em decisões de segurança, melhor para as
organizações (AHLAN; LUBIS; LUBIS, 2015).
Seguindo essa linha de raciocínio, Gundu e Flowerday (2013) afirmam que a
compreensão e o treinamento em segurança da informação são frequentemente
utilizados para aumentar a conscientização dos colaboradores e promover o
comportamento adequado de segurança da informação. Isso garante que eles
percebam a importância e as consequências adversas de falhas e incidentes de
28 ameaça a segurança para toda a organização.
As atividades de treinamento estão relacionadas à educação de segurança,
treinamento em segurança e conscientização utilizando programas de certificação
como programas Security Education Training Awareness (SETA) (CROSSLER;
BÉLANGER, 2006; D'ARCY et al. 2009).
Os programas SETA visam melhorar a segurança da informação organizacional,
aumentando o conhecimento e a conscientização dos possíveis riscos, políticas e
responsabilidades de segurança. Além disso, eles visam fornecer aos colaboradores as
habilidades necessárias para cumprirem os procedimentos organizacionais (D'ARCY et
al. 2009; LEE; Lee, 2002; STRAUB; WELKE, 1998).
Gaston (1996) afirma que a equipe de TI de uma organização possui mais
conhecimento em segurança da informação do que os colaboradores de outros
departamentos e, portanto, têm um nível mais alto de conscientização dos possíveis
riscos existentes.
Em uma pesquisa quantitativa, Rhee et al. (2009) mostraram que o nível
de conhecimento e experiência relacionados a computadores e internet teve um
impacto positivo no comportamento de segurança. O conhecimento sobre segurança
da Informação afeta diretamente a consciência sobre a intenção de cumprir pelo menos
parcialmente as normas e regras de segurança das organizações (HAEUSSINGER;
KRANZ, 2013).
Galvez e Guzman (2009) identificaram a conscientização como sendo um dos
fatores formadores do comportamento e consideram que “quanto maior a
conscientização em segurança da informação, maior é a prática de segurança “. Dinev
e Hu (2007) afiirmam que a conscientização do usuário sobre potenciais riscos e
ameaças de tecnologias prejudiciais é um fator determinante da intenção de fazer uso
de tecnologias para proteção a dados e informações.
29
Quanto maior o patrocínio da alta gerência, mais recursos para problemas de
segurança estarão disponíveis (Herath e Rao, 2009). Os estudiosos enfatizam que
investimentos em recursos para a gestão de segurança são essenciais para
estabelecer níveis suficientes de conscientização de proteção dos ativos de
informações entre os colaboradores (TSOHOU et al. 2010).
Na área de saúde, os usuários não veem a segurança da informação como um
problema sério. Pesquisas apontam que as equipes de saúde gozam de alto nível de
confiança. Evidências demonstram que os incidentes de segurança estão aumentando
mesmo quando as organizações investem progressivamente em soluções baseadas
em tecnologia. A segurança dos dados de saúde não envolve apenas a aplicação de
controles e procedimentos técnicos. Profissionais de saúde, como usuários, são a
ameaça mais significativa, devido a sua ignorância ou erros que podem comprometer
os dados dos pacientes. Eles estão conscientes da importância da segurança, mas não
a praticam. (BULGURCU ET AL, 2010)
D4 – Requisitos de Segurança
Maynard e Ruighaver (2006) encontraram evidências que sugerem que há um
número de organizações forçadas a se adequar à auditoria externa e à regulamentação
governamental. Portanto, a implementação de políticas de segurança pode não ter
derivado da crença na importância das práticas de segurança, mas como resultado de
requisitos externos. Assim, os funcionários tendem a considerar a segurança da
informação como inconveniência e novas políticas e controles são frequentemente
encontrados com resistência.
Estudos afirmam que a maior ameaça à segurança da informação é causada por
funcionários descuidados que não cumprem as políticas e procedimentos
organizacionais de segurança da informação. Portanto, a gerência sênior deve
30 reconhecer que a segurança da informação não pode mais depender exclusivamente
de controles físicos, necessita estar em conformidades com as normas e regulamentos
internos e externos.(LIM, 2009)
Knapp, Marshall, Rainer et al., (2006) descrevem que a segurança da
informação não é parte integrante da cultura organizacional. Gestão de riscos de
segurança ainda não é prevalente e não é abrangente no treinamento na maioria das
organizações. Além disso, os funcionários se inclinam a tratar a segurança da
informação como problemática e geralmente resistem a novas políticas e controles
associados.
Segundo Suduc et al. (2010), para garantir a conformidade da política de
segurança e determinar o conjunto mínimo de controles necessários para reduzir os
riscos a um nível aceitável, as auditorias de segurança devem ser realizadas
periodicamente, pois vulnerabilidades e ameaças mudam conforme o tempo e o
ambiente.
As políticas de segurança tornaram-se mais abrangentes e frequentemente
incluem diretrizes que abordam comportamentos aceitáveis. Qualquer violação da
política de segurança será agora classificada como uma invasão. O aumento da
utilização de recursos pela Internet estimulam a importância do uso de logs de auditoria
para detectar violações da política de segurança e, mais ainda, coletar dados forenses
para dar suporte aos objetivos de segurança (SOMMER, 1997).
As organizações estão começando a exigir a coleta de dados forenses para fins
de litígio. A coleta de dados forense é um domínio que exige especialistas. Os
administradores geralmente não possuem o conhecimento necessário para determinar
quais conjuntos de dados devem ser selecionados para apoiar essas ações nem como
executá-las (SOMMER, 1992).
É fundamental a criação de políticas que ajudem as organizações a
31 influenciarem o bom desempenho dos colaboradores, a fim de melhor proteger a
informação organizacional. Também é importante que a mensagem e o material do
treinamento de segurança da informação sejam os mesmos, independentemente do
treinador, como também é necessário que tais treinamentos sejam efetuados
regularmente, visando aumentar a conscientização dos envolvidos (AHLAN; LUBIS;
LUBIS, 2015).
D5 – Sistema Organizacional
As organizações de saúde são complexas, em parte devido a uma confluência
de profissões, incluindo médicos, enfermeiros, farmacêuticos e administradores, cada
um com interesses aparentemente conflitantes. Neste ambiente, as ameaças a
segurança da informação podem ser categorizadas em duas grandes áreas:
Organizaciona,l onde as ameaças surgem do acesso inadequado de dados de
pacientes por agentes internos que abusam de seus privilégios, ou agentes externos
que exploram as vulnerabilidades dos sistemas de informação, e ameaças sistêmicas
que surgem de uma cadeia de fluxo de informações explorando os dados divulgados
além do uso pretendido. Sistemas de informação de saúde podem estar sujeitos a
ameaças de segurança de uma ou mais fontes incluindo agentes impostores, uso não
autorizado de recursos, divulgação não autorizada de informações, alteração de
recursos e negação de serviços não autorizada (WIN et al. 2006)
Estudos sugerem que o amplo espectro de ameaças organizacionais pode ser
categorizado em cinco níveis, ordem crescente de sofisticação (RINDFLEISCH, 1997):
1. Divulgação acidental: o pessoal de saúde divulga involuntariamente a
informação do paciente para outros,
2. Curiosidade: um colaborador com privilégios de acesso a dados se baseia nos
registros de um paciente por curiosidade ou por seu próprio propósito, por exemplo
32 uma enfermeira acessando informações sobre um colega para determinar a
possibilidade de doença sexualmente transmissível; ou pessoal médico acessando um
quadro de saúde potencialmente embaraçoso, informações sobre celebridades
transmitidas para a mídia.
3. Violação de dados por: insiders que acessam informações de pacientes e
transmitem a pessoas de fora para obter lucro ou se vingar do paciente.
4. Violação de dados por parte de terceiros com intrusão física: um estranho que
entra na instalação física por coerção ou entrada forçada e ganha acesso ao sistema.
5. Intrusão não autorizada do sistema na rede: um estranho, incluindo ex-
funcionários vingativos, pacientes ou hackers que invadem a rede de computadores da
organização e ganham acesso as informações dos pacientes ou tornam o sistema
inoperável.
Alem das ameaças tradicionais, novas estruturas organizacionais estão surgindo
e cada vez mais se observa o advento de coalizões externas fortes que estão
transformando organizações tradicionais monolíticas, centralizadas em organizações
acopladas em redes orgânicas. Essas novas formas organizacionais são
caracterizadas por cooperação em vez de autonomia e controle. Consequentemente as
estruturas facilitam o compartilhamento intenso de informações e um alto nível de
conectividade interpessoal e interorganizacional. Organizações já não são
caracterizados por ativos físicos, mas por uma rede de indivíduos que criam,
processam e compartilham informações (BACKHOUSE; DHILLON, 1999).
Neste cenário não podem haver regras excessivas dizendo como se comportar
em determinadas circunstâncias. O que é necessário são princípios que exigem
observância de regras relevantes a serem seguidas. A questão da segurança do
computador não é, por si só, apenas um problema técnico. Tem que ser avaliado como
33 uma questão social e organizacional, porque os sistemas de informações têm de ser
operados por pessoas. A ciência da computação tem pouco a oferecer neste aspecto.
É necessário buscar na teoria organizacional um suporte no combate às ameaças de
segurança (BACKHOUSE; DHILLON, 1999).
Em organizações voltadas para informação, a gestão da segurança da
informação tornou-se uma questão importante. No entanto, pesquisadores começaram
a perceber que a segurança da informação não pode ser tratada somente por técnicas
e ferramentas, dependendo de pessoas, processos e tecnologia (HAMILL et al., 2005).
Falhas em prevenir ou minimizar violações de segurança devido a não
conformidade do usuário final são indicadores de falha de programas de segurança da
informação, que não abordam os meios de incentivar a conformidade com as políticas.
Embora as políticas de segurança da informação em organizações têm sido
reconhecidas como importantes Há muito tempo, a pesquisa empírica nessa área
ainda é embrionária (MISHRA et al, 2006).
A forma mais eficaz para que a organização proteja seus dados e garanta o
cumprimento de suas políticas de segurança é através do comprometimento dos
executivos e da alta gerência em suas atividades diárias, por meio da disseminação da
cultura da segurança da informação de cima para baixo na pirâmide organizacional
(CORRISS, 2010).
Para Mohamadali e Zahari (2017), a implementação de um novo sistema de
segurança em uma organização pode ser iniciado por qualquer colaborador. No
entanto, sem o envolvimento da alta administração, essa implementação pode ser
inviabilizada. Toda transformação relevante deve ser apoiada pela alta administração,
pois são os executivos que estão envolvidos nas decisões estratégicas. Sendo assim,
o apoio da alta administração é fundamental no contexto organizacional, pois é
essencial criar um clima favorável e fornecer recursos suficientes para os projetos.
34 Nesse cenário, é primordial enfatizar a relevância desse apoio e divulgá-lo para toda a
organização, pois o encorajamento da alta gerência nas intenções de
compartilhamento de conhecimento é necessário para criar e manter uma cultura
positiva de troca de informações. (SAID et al., 2014).
D6 – Conhecimento
Ruddy (2000) afirma que a tecnologia combinada com a consciência cultural ou
comportamental é essencial para compartilhar conhecimento. Sistemas de Gestão do
Conhecimento são implementados para documentar, distribuir e transferir
conhecimento entre colaboradores (VOELPEL et al, 2005). No entanto, a pesquisa
sobre as tecnologias de compartilhamento de conhecimento tem procedimentos
explícitos e formais de colaboração (OSHRI et al, 2008), enquanto uma quantidade
significativa de conhecimento organizacional é compartilhado informalmente e às vezes
requer sistemas informais (DAVISON et al, 2013).
O compartilhamento do conhecimento é importante para o sucesso das
iniciativas de gestão da inovação e tem sido reconhecido como uma atividade vital para
o sucesso organizacional (WANG; NOE, 2010).
A gestão do conhecimento tem como objetivo incentivar os indivíduos a
compartilhar conhecimento com colegas, organizações, parceiros e fornecedores. Por
outro lado, as iniciativas de segurança da informação visam aplicar controles e
restrições ao conhecimento que pode ser compartilhado (RYAN, 2006).
A partilha de conhecimento é um comportamento de escolha, portanto, existem
fatores que podem motivar ou dificultar esse comportamento. Alternativamente, Riege
(2005) revisou uma extensa literatura de compartilhamento de conhecimento e
identificou três categorias de barreiras a partilha do conhecimento, incluindo fatores
individuais (falta de confiança e medo da perda de poder), fatores organizacionais (falta
35 de liderança e falta de sistemas de recompensa apropriados) e fatores tecnológicos
(sistemas inadequados e falta de treinamento).
Em um ambiente de mudanças rápidas, onde há uma necessidade crescente de
entender as demandas dos clientes e as estratégias dos concorrentes (LIN et al, 2012),
a partilha de conhecimento é reconhecida como uma atividade essencial para o
sucesso organizacional (WASKO; FARAJ, 2005).
As organizações visam explorar continuamente o conhecimento existente,
buscando novas formas de agregar valor e reduzir possíveis barreiras de
compartilhamento. No entanto, embora o papel integral e os benefícios do
compartilhamento do conhecimento serem amplamente reconhecidos, a segurança da
informação não recebeu o mesmo nível de atenção neste aspecto.
Embora a importância de proteger o conhecimento ter sido enfatizado por alguns
pesquisadores (GOLD et al, 2001; DESOUZA; AWAZU, 2004; RYAN, 2006), a
pesquisa sobre os aspectos do comportamento humano em relação a proteção do
conhecimento é escassa.
Segundo Desouza (2006), pode haver um paradoxo entre compartilhamento do
conhecimento e segurança da informação. Ryan (2006) discute as necessidades da
segurança da informação e da gestão do conhecimento e propõe novas pesquisas para
ajudar as organizações a gerenciar efetivamente a tensão entre compartilhamento de
conhecimento e a segurança da informação.
Desouza (2006) enfatiza que é essencial que as organizações protejam o
conhecimento, caso desejem torná-lo um recurso verdadeiramente competitivo. Apesar
disso, grande parte da literatura sobre segurança da informação tem se concentrado
em aspectos técnicos embora o papel da consciência humana e do comportamento
seja reconhecido. (COLES-KEMP, 2009).
Apesar do amplo reconhecimento e implementação das duas práticas, o meio
36 termo entre compartilhamento de conhecimento e segurança da informação é uma
área que tem sido negligenciada. Além disso, existiria um conflito entre as práticas de
compartilhamento de conhecimento e segurança da informação (DESOUZA, 2006;
RYAN, 2006) como uma prática que tem como objetivo incentivar a partilha de
conhecimento e outras tentativas de controlar o compartilhamento por meio de medidas
de segurança.
D7 – Disponibilidade de Recursos
Arora et. al. (2004) observam que há um grande volume de tecnologias de
segurança disponíveis no mercado, entretanto nenhuma delas pode garantir a
segurança total de uma organização. Cada tecnologia envolve um risco. O problema é
que os gerentes de segurança não possuem métodos estruturados de análise de
custo-benefício para avaliar as soluções de segurança da informação à luz das
incertezas.
As organizações precisam considerar a segurança da informação como um fator
de negócios, e não apenas como um fator técnico, já que o sucesso das organizações
depende muito do seu sucesso. No estudo de caso de Haggerty e Ramasastry (2008)
sobre a TJX, os autores retratam como não priorizar a segurança levou a um grande
incidente de segurança que custou à organização grandes perdas financeiras e de
clientes. Portanto, as organizações que desejam ter sucesso nos negócios devem levar
a segurança como uma prioridade em seus processos de planejamento, destinando
fundos suficientes para executar os serviços necessários (KABEIREHO, 2008).
Gundu e Flowerday (2013) ressaltaram a importância da incorporação de
recursos para se obter um adequado nível da informação, pois sem isso, nenhuma das
outras dimensões que influenciam a segurança da informação pode ser planejada,
gerenciada, auditada ou testada.
37
Haggerty e Ramasastry (2008) afirmam que o fato de não priorizar a segurança
de TI leva a uma enorme quebra de segurança que custa à organização dinheiro e
clientes. Portanto, as organizações que desejam ter sucesso nos negócios devem levar
a segurança de TI como uma prioridade em seus processos de planejamento, dando a
ela fundos suficientes para executar os serviços necessários.
Os novos desafios enfrentados pelo setor de saúde pública exigiram mudanças
drásticas e melhorias nos procedimentos internos, que levam as organizações de
saúde ao investimento em grande parte em segurança da informação, com um enorme
gasto de recursos financeiros públicos (GOMES, 2016).
Os agentes de segurança da informação e a alta direção reconhecem a
gravidade e a importância de fatores tecnológicos – como obsolescência tecnológica,
falhas de hardware e de software – e os classificam como ameaças significativas de
segurança (SAMY et al., 2010).
Mesmo as melhores políticas de segurança não conseguem solucionar os
problemas com a segurança da informação sem a contínua cooperação humana e o
uso efetivo de tecnologia. Para melhor efetividade dessa interação, deve haver um
programa de treinamento em conhecimentos básicos de segurança (METALIDOU et
al., 2014).
Segundo Kailar (2007), todos os ambientes de produção precisam de recursos para
garantir que a integridade do sistema seja protegida e que os diversos tipos de ataques
sejam combatidos. Isso inclui mecanismos como software antivírus, configurações do
servidor e proteções, como firewalls de rede, firewalls de aplicativos e sistemas de
detecção de intrusões. Além disso, o monitoramento e o gerenciamento de recursos de
segurança, como certificados e armazenamentos de chaves, são essenciais para a
operação confiável de uma rede. Espera-se que a adoção dessas medidas nos
sistemas eletrônicos de saúde melhore a qualidade do atendimento ao paciente,
38 facilitando o acesso do médico a informações precisas sobre saúde, reduzindo os
custos de assistência médica através de melhor utilização de recursos e redução de
erros médicos.
39
3. METODOLOGIA
3.1 ABORDAGEM METODOLÓGICA
A abordagem metodológica qualitativa foi a escolhida para o desenvolvimento
do estudo, pois investiga detalhadamente os fenômenos do ambiente estudado – o
pesquisador vive e conhece a realidade desse grupo ou ambiente. Na pesquisa
qualitativa, o pesquisador participa dessa realidade, a compreende e a interpreta
(MICHEL, 2009).
3.2 TIPO DE PESQUISA
A pesquisa terá caráter descritivo, para, dessa forma, apresentar as
características dos hospitais federais do município do Rio de Janeiro nos quesitos
referenciados nos objetivos deste estudo.
A pesquisa aplicada é motivada pela necessidade de resolver problemas
concretos, mais imediatos ou não (VERGARA, 2009).
Para a investigação e fundamentação teórica desta pesquisa ela será realizada
no campo, pois busca o aprofundamento de uma realidade específica, por meio de
observação direta e entrevista com informantes, para captar as explicações, as
atitudes, os comportamentos que ocorrem no exercício das atividades diárias (GIL,
2008).
3.3 ESTRATÉGIA METODOLÓGICA
Apesar da existência de diversas estratégias metodológicas qualitativas, como
estudo de caso, etnografia, grounded theory, etc., a finalidade do estudo não permitiu a
escolha de uma delas, sendo este projeto meramente qualitativo, sem se limitar a uma
estratégia metodológica específica.
40
3.4 SELEÇÃO DOS SUJEITOS
Foram escolhidos, três hospitais federais para este trabalho: o Instituto Nacional
de Câncer (INCA), o Hospital Federal do Andaraí (HFA) e o Hospital Federal da Lagoa
(HFL). Essa escolha se baseou nos critérios de acessibilidade e representatividade,
pelo fato de o pesquisador conhecer os gestores de TI dessas instituições, o papel de
referência delas para outras unidades hospitalares e a facilidade de acesso físico a
elas.
Os sujeitos selecionados para as entrevistas foram os colaboradores que
ocupam cargos de gestão no período do estudo, profissional da equipe de resposta de
incidentes ou diretamente ligado à área de segurança da informação e mais um usuário
do sistema de informação, somando três pessoas em cada hospital, em um total de
nove entrevistados, conforme apresentado no Quadro 2.
41
Quadro 2 – Entrevistados
Entrevistado Hospital Área de Atuação
E1I INCA ADM
E2I INCA TI
E3I INCA TI
E1L HFL ADM
E2L HFL MÉDICA
E3L HFL TI
E1A HFA ADM
E2A HFA MÉDICA
E3A HFA TI
Fonte: Elaboração própria.
3.5 COLETA DE EVIDÊNCIAS
Para a coleta de evidências foram observadas a triangulação entre as
entrevistas semiestruturadas com todos os sujeitos selecionados, bem como a análise
de documentos e elementos oriundos da observação direta do pesquisador, para que
fosse possível verificar de que forma as organizações atendem aos requisitos
apresentados.
3.6 TRATAMENTO E ANÁLISE DAS EVIDÊNCIAS
Com base nas transcrições das entrevistas e dos documentos a que o
pesquisador teve acesso, foi possível proceder a uma análise de conteúdo, de forma a
identificar os padrões e temas levantados sobre o assunto pesquisado. Para tanto, foi
utilizado o software Nvivo 12 Plus. As entrevistas geraram aproximadamente 240
minutos e 40 páginas transcritas.
42 3.7 LIMITAÇÕES METODOLÓGICAS
Naturalmente, algumas limitações metodológicas podem ter surgido:
- pela natureza do estudo, a transcrição pode não ter detectado a veracidade
das informações;
- certos aspectos das indagações podem conter algum viés, não só em função
da própria experiência do pesquisador na área examinada, mas também por terem sido
vistas apenas as percepções de profissionais com nível hierárquico gerencial;
- por se tratar de pesquisa qualitativa, a generalização estatística não é cabível;
portanto, este estudo se limitou unicamente a representar a realidade de determinados
hospitais e sujeitos no momento da pesquisa.
43 4. RESULTADOS E SUAS ANÁLISES
4.1 APRESENTAÇÃO E ANÁLISE DOS RESULTADOS
Os resultados oriundos desta pesquisa foram obtidos com base em nove
entrevistas semiestruturadas, relacionadas no Apêndice 1. Essas entrevistas foram
realizadas no período de outubro a dezembro/2018.
4.1.1 Perfil dos entrevistados
Conforme explicado anteriormente, os resultados apresentados a seguir foram
extraídos do conteúdo das entrevistas semiestruturadas, conforme perguntas baseadas
no Apêndice 1. No Quadro 3, encontram-se as informações referentes ao perfil dos
nove entrevistados nesta pesquisa.
Quadro 3 – Perfil dos entrevistados
Entrevistado Área de Atuação Formação Tempo de Trabalho
E1I ADM Superior 2 anos e 3 meses na
direção
E2I TI Superior 20 anos
E3I TI Superior 19 anos
E1L ADM Superior 22 anos
E2L CHEFE SERVIÇO Superior 33 anos
E3L TI Superior 4 anos
E1A ADM Superior 10 anos
E2A MÉDICA Superior 33 anos
E3A TI Superior 4 anos
Fonte: Elaboração própria.
Conforme apresentado no Quadro 3, é possível verificar o alto nível de
escolaridade dos entrevistados, com nível superior completo. Fica claro também que
em todos os hospitais buscou-se, pelo menos, um entrevistado ligado à área
44 administrativa – nesse caso, no nível de supervisão ou gerência – e um da área de
Tecnologia da Informação.
Outro ponto importante a ser observado no Quadro 3 é o tempo que cada
profissional trabalha no hospital. Como demonstrado, o tempo é superior a dois anos
em todos os casos – uma característica própria do funcionalismo público. Cabe
ressaltar que colaboradores em cargos de gerência, devido a política, podem ser
substituídos a qualquer momento.
Em dois dos hospitais analisados, a equipe de TI é terceirizada e, mesmo assim,
o tempo de trabalho é superior a dois anos e, em alguns casos, o contratado já veio de
outra unidade hospitalar para qual sua empresa também realiza serviços de TI.
O entrevistado E3A ficou receoso com relação ao conteúdo de algumas
perguntas e, por esse motivo, se recusou a respondê-las, solicitando que, para mais
informações, fosse encaminhado um e-mail para o Departamento de Informática do
Sistema Único de Saúde.
A Figura 2 representa a nuvem de palavras geradas pelo software Nvivo 12
Plus, consideradas as 10 palavras com mais de cinco letras usadas com mais
frequência, levando-se em conta todas as entrevistas e todas as perguntas.
Figura 2 – Nuvem de palavras gerais
Fonte: Nvivo 12 Plus.
45 Na Figura 3, esta representado a similaridade das palavras em resposta aos
assuntos listados no Apêndice 1. Desta forma podemos destacar a importância da
entrevista semiestruturada.
Figura 3 – Similaridade das palavras nas entrevistas
Fonte: Nvivo 12 Plus.
4.1.2 Comportamento
O comportamento é diretamente influenciado pela cultura na qual o indivíduo
está inserido ou é originário. Foi possível através das entrevistas identificar este
comportamento de forma positiva, entretanto, podemos ressaltar que existe uma falsa
percepção de segurança.
O entrevistado E2A relatou que “...é só em relação à ética, que deve ter, e a
ética de cada profissional, teoricamente seria isso...”.
Este comportamento positivo com relação a segurança da informação pode ser
46 também explicado pelo nível de escolaridade dos entrevistados, todos com nível
superior.
Não podemos deixar de mencionar o fato dos entrevistados possuírem um longo
tempo de trabalho nas organizações estudadas, pois isso também afeta de forma
positiva o comportamento do indivíduo.
Outra característica positiva com relação ao comportamento é relativa aos
cargos ocupados, como todos os entrevistados possuem cargos de nível gerencial ou
da área de tecnologia da informação foi possível identificar um comportamento mais
adequado com relação a segurança da informação.
4.1.3 Gerenciamento de Mudanças
Foi recorrente durante as entrevistas a menção de problemas com relação a
troca de softwares e equipamentos. A maior parte dos entrevistados não tinha
conhecimento de como é efetuada o do processo de troca do equipamento.
Como já mencionado, por se tratar de hospitais federais, foi unânime o problema
relatado com relação à necessidade de um processo de licitação para a aquisição de
equipamentos e softwares, contratos de manutenção e substituição de equipamentos.
Segundo E2A, “Então você vai comprando e vai atualizando. O que a gente tem
normalmente é um parque que não é muito antigo, ou seja, a máquina mais antiga tem
cinco, seis anos”.
Outra informação importante que deve ser analisada é com relação ao descarte
de equipamentos. Nas unidades em que a equipe de TI é terceirizada, não foi possível
identificar a forma de descarte, ou seja, não existe um procedimento de descarte que
vise a segurança da informação.O entrevistado E1A relatou, “A gente tem um setor de
patrimônio, tá? E eles fornecem o equipamento novo e retiram o antigo”.
47
4.1.4 Conscientização da Segurança da Informação
A conscientização da segurança da informação tem por objetivo realizar ações
para que todos recebam o treinamento adequado para sua conscientização e
capacitação em relação as suas responsabilidades e em relação a segurança da
informação.
Infelizmente, não foi detectado nenhum treinamento atual no quesito de
segurança da informação, o entrevistado E1A afirma que:
[...] mas, assim, treinamento em termos de normas de segurança, não. Eu acho que eu cheguei a comentar com você da outra vez, por exemplo, a questão da prova online, que a gente chegou a ver a possibilidade de usar o sistema do hospital.
Foi identificado treinamento apenas em utilização de sistemas e em alguns
pequenos quesitos de segurança, como abertura de email, troca de senhas, níveis de
acessos entre outros.
4.1.5 Requisitos de Segurança
De acordo com os dados levantados, apenas um dos hospitais estudados tem
uma política de segurança implementada, conforme relata E2I:
[…]Porque isso é recente; a gente passou a ter um comitê estratégico de gestão de tecnologia da informação. Dentro desse comitê foi publicada uma portaria para criar um comitê de segurança da informação. Essa portaria saiu esse ano, agora do meio para o final do ano. Na realidade, esse comitê está sendo estruturado para justamente cuidar dessa parte toda.
Nas demais unidades hospitalares, nenhum dos entrevistados se referiu à
existência de uma política de capacitação de segurança da informação.
Entretanto podemos destacar que a maioria dos entrevistados já percebe a
necessidade de implementação de uma política de segurança, que devido a nova lei
que entrar é em vigor se tornará ainda mais clara a necessidade.
48
Segundo o entrevistado E1I, a alta direção da instituição em que ele atua está
sempre disposta a prover a manutenção da política de segurança, com vistas à
integridade, confidencialidade, disponibilidade e aceitação dos dados, bem como a
atender às necessidades dela. Entretanto, é indiscutível que diversos problemas
podem afetar essa disponibilidade, como a burocracia, a falta de recursos, de
treinamento e de pessoal.
Figura 4 - Entrevistas que mencionaram a política de segurança
Fonte: Nvivo 12 Plus.
Em apenas uma unidade hospitalar verificou-se que já foram efetuados testes e
auditorias de sistemas, inclusive com a contratação de empresa, brasileira com
atuação internacional e especializada em soluções de governança e risco.
Nas demais unidades, existe uma conformidade no que se refere às auditorias,
que são efetuadas com muita frequência quando são relacionadas com os processos
administrativos, como o ponto eletrônico. O entrevistado E2L destaca: “…Estou sendo
auditado aqui agora pelo CGU, mas é coisa de horário ….. o que não falta é gente para
tomar conta. Para resolver não tem não, agora para tomar conta tem um monte.”.
Ainda na questão das auditorias, podemos também expor o comentário do
entrevistado E2A :
49
[…]Uma auditoria externa. Na realidade, existe... a própria instituição criou uma área que chama-se controle interno, mas ela é voltada para a instituição como um todo e não está muito focada na questão de fazer uma auditoria... a gente tem as auditorias de controle externo... então, por exemplo, TCU, CGU...
Existe, então, a necessidade de tornar efetivo e recorrente o processo de testes
e auditorias de sistemas, que pode ser feito por profissionais treinados internamente ou
por empresas terceirizadas, especializadas.
4.1.6 Sistema Organizacional
A proteção da informação é uma responsabilidade da organização, e deve se
materializar pela atuação dos seus gestores. Esta existe para proteger os recursos que
possibilitem a organização de atingir seus objetivos. Assim, o sistema organizacional
tem um fator determinante exigindo a participação de cada indivíduo.
Em uma das unidades hospitalares estudadas, alguns entrevistados,
principalmente aqueles que trabalham diretamente na área da TI, mencionaram o início
da criação de uma equipe específica para os eventos de segurança. Verificou-se que a
maioria dos entrevistados se refere à equipe de TI de forma reativa, e não proativa, ou
seja, ela só é acionada após o acontecimento do evento.
Conforme relato do entrevistado E2I: “…Para todo incidente ou indisponibilidade
é aberto um chamado. Nessa base, você vai encontrar essa informação.”. Todos os
eventos são arquivados, gerando um histórico que pode ser consultado nos sistemas.
Por se tratarem de órgãos públicos federais, os gestores estão sempre limitados
a recursos, regulamentos e normas que devem ser cumpridas. Além disso, a alta
direção é uma posição política, que pode ser modificada a qualquer momento pelos
órgãos superiores.
Ainda assim, existe um consenso com relação aos entrevistados. Pelo ponto de
vista deles, a alta direção tenta promover ações que visam garantir a segurança da
50 informação, mas estão sempre correndo atrás dos diversos recursos necessários, e
que nem sempre conseguem o desejado conforme relatado pelos entrevistados.
4.1.7 Conhecimento
Abordando a dimensão do conhecimento, com relação a disseminação do
conhecimento e ao treinamento, apesar de já ter sido efetuado em um dos hospitais,
“...já ocorreu algumas vezes; tem até um bom tempo que a gente não faz isso, através
da comunicação social, com algumas orientações de segurança. Mas, provavelmente,
é acesso a e-mail ou página da web...”(E3I).
Todos os entrevistados acreditam que uma melhor divulgação, com a prática
constante de treinamento, poderia levar a um impacto maior na segurança da
informação.
O que pôde ser observado nos demais hospitais é que todo o treinamento
realizado visava à utilização dos sistemas e à atribuição de senhas de acesso. Mesmo
assim, identificou-se uma grave quebra de segurança no que se refere ao uso de
senhas de acesso aos sistemas de utilização diária, conforme relatado pelo
entrevistado E2A:
[...]Olha, de forma geral, cada um usa sua senha. Por exemplo, no CTI, as prescrições são feitas no computador. Agora, não são todos os médicos que têm senha para acessar o sistema. Então, o que é comum é o médico da rotina não fazer o logout quando vai embora; assim, outro médico plantonista, muitas vezes, continua acessando o sistema com a senha do usuário anterior, sobretudo as prescrições que são feitas em Excel no computador, então, isso realmente não é tão esporádico assim, não, porque, muitas vezes, quem acessa o sistema, quando sai, acaba que não faz o logout.
51
Figura 5 – Entrevistas que mencionaram a falta de treinamento
Fonte: Nvivo 12 Plus.
4.1.8 Disponibilidade de Recursos
O principal obstáculo segundo os entrevistados está ligado ao processo de
aquisição de bens e serviços. A burocracia e a falta de recursos emperram o processo,
gerando um enorme atraso no andamento do mesmo. Para exemplificar, o entrevistado
E2I relata que :
[...] Aqui eu posso dizer que a gente é agraciado, a gente consegue ter os recursos... tem dificuldade, já esteve melhor, mas faz parte... tem momentos em que o governo está bem, tem grana, tem vezes que não tem... agora é a época das vacas magras.
Seguindo este raciocínio temos o processo de licitação que devido a
complexidade e burocracia envolvida chega a durar um ano para que se possa finalizar
todo processo e conseguir então usufruir dos bens e serviços licitados.
O entrevistado E1A afirma:
52
[…]Se muitas pessoas fizerem a solicitação de aquisição, de troca de algum equipamento referente à informática, elas têm que fazer o relatório observando, por exemplo, quantos computadores deverão ser adquiridos. Aí tem todo aquele trâmite de licitação, de pesquisa de preço... o processo pode demorar até um ano.
O profissional de segurança está em escassez no mercado de trabalho, é difícil
encontrar profissionais qualificados disponíveis e dispostos a receber os salários
oferecidos pelos hospitais federais.
A falta de profissionais com remuneração adequada para a formação de uma
equipe coesa, motivada e comprometida com a segurança da informação também foi
identificada como um problema, pois os recursos existentes não cobrem nem os gastos
operacionais.
4.1.9 Grau de Maturidade
Modelos de maturidade são usados como base de avaliação e comparação de
melhorias Esta é uma ferramenta que pode auxiliar as organizações a se tornarem
mais bem sucedidas, resultando na melhoria de benefícios tanto operacionais quanto
de negócio.
53
Quadro 4 – Grau de maturidade segundo os entrevistados
Fonte: Elaboração própria.
Conforme apresentado no quadro 4, foi possível, através do resultado das
entrevistas criar o gráfico sobre o grau de maturidade da segurança da informação,
segundo os entrevistados, este se encontra de forma diversificada, mas já representa o
início da percepção de todos os envolvidos sobre a necessidade desse
comprometimento.
54 5. CONCLUSÕES
5.1 CONCLUSÕES
Esta pesquisa buscou identificar através das sete dimensões do modelo
estudado o grau de maturidade da segurança da informação na visão dos gestores dos
hospitais da rede pública do Rio de Janeiro.
Com relação a dimensão do comportamento, observou-se que os seres
humanos são o elo mais fraco da corrente de segurança. Muitos colaboradores têm
uma falsa sensação de segurança em relação a tecnologia da informação, acreditando
que não são responsáveis por ela ou que estão imunes às ameaças. É necessário
transformar os hábitos dos colaboradores, fazendo com que tomem decisões mais
seguras.
Quanto à dimensão do gerenciamento de mudanças, foi observado que as
mudanças nem sempre são efetivadas pelas equipes das instituições de saúde
pesquisadas. Os equipamentos e softwares são frequentemente gerenciados pelo
Governo ou outra entidade responsável, entretanto, nem sempre as melhores práticas
são adotadas, como, por exemplo, o treinamento para utilização de sistemas e
equipamentos. Outro ponto que merece atenção são as atualizações dos sistemas e
aplicativos, que nem sempre são efetuadas com a frequência e da forma como
deveriam.
A conscientização da segurança da informação ainda está muito longe do ideal.
Faz-se necessário garantir que os usuários conheçam as políticas e as pratiquem de
forma comprometida e responsável. Ressalta-se que sociedades médicas já
demonstram preocupação com o tema, assim sendo, começam a inseri-lo no decorrer
da especialização, como mostra o Anexo 1, letra E. Observou-se também a
necessidade de alertar os colaboradores sobre as possíveis ameaças e a necessidade
de se examinarem periodicamente os serviços de rede.
55 Com relação à dimensão de requisitos de segurança foi constatado o início de
um amadurecimento. Uma das unidades estudadas relatou o processo de auditoria nos
sistemas e testes de invasão. Nas demais, somente ocorreram auditorias do CGU e do
TCU, entretanto, como mencionado, verificou-se uma tendência de tornar este
processo mais efetivo.
Quanto à dimensão relacionada ao sistema organizacional, observou-se no
decorrer do levantamento a carência de pessoal qualificado para tratar do assunto de
segurança da informação, dificultando ainda mais a criação das políticas, das
auditorias e, consequentemente, dos treinamentos. As organizações de saúde
pesquisadas precisam desenvolver melhor percepção da importância e benefícios da
segurança da informação, para que possam requerer um suporte maior do que o atual.
Com relação ao conhecimento, constatou-se a existência de uma carência muito
grande de profissionais capacitados. Treinamentos pontuais sobre a utilização de
sistemas não são eficazes no quesito segurança da informação. Para tanto, deve-se
formar uma equipe que seja capacitada e especializada no assunto, a qual será
responsável pela disseminação constante do conhecimento, de forma online ou
presencial.
É do conhecimento de todos que o país passa por uma séria crise financeira, o
que acarreta corte de verbas, que vem, com o decorrer dos anos, gerando um efeito
cascata na má qualidade da prestação dos serviços públicos em geral.
Todos os entrevistados relataram o mesmo problema com relação a
disponibilidade de recursos. Há dificuldade de investimentos em todas as áreas,
incluindo principalmente a segurança da informação. Há lentidão no processo de
licitação, onde todo o processo de compras desde a elaboração do projeto, passando
pela licitação, até o recebimento do produto final chega a levar aproximadamente um
ano. Essa demora, quando se refere a tecnologia, representa uma aquisição já
56 ultrapassada. Ainda neste quesito, vale ressaltar o problema da insolvência do Estado,
dificultando ainda mais a aquisição de produtos e serviços.
Neste cenário, pode-se concluir que ainda existem muitos desafios relacionados
a implantação de uma política de segurança da informação efetiva nos hospitais
federais pesquisados. Entretanto, foi observado que já existe uma maior
conscientização dos gestores sobre a importância de garantir a proteção dos dados e
dispositivos eletrônicos destas instituições. Contudo, as instituições de saúde que
participaram deste estudo ainda sofrem com a falta de recursos e de profissionais
capacitados para analisar e enfrentar os problemas que envolvem a segurança da
informação.
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709.2018 (Anexo
2), que entrará em vigor em fevereiro de 2020, vai mudar significativamente as
obrigações das empresas com relação ao tratamento e armazenamento dos dados
coletados dos clientes. É de extrema importância que as instituições de saúde pública
tenham uma visão real de seus problemas e do que ainda falta melhorar para atingir o
nível de segurança requerido pela nova legislação.
É possível então afirmar, que as sete dimensões propostas por Hassan e Ismail
(comportamento, gerenciamento de mudanças, conscientização da segurança da
informação, requisitos de segurança, sistema organizacional, conhecimento e
disponibilidade de recursos) influenciam diretamente a segurança da informação nas
organizações estudadas, estando em conformidade com a norma ISO 27001 e com o
framework COBIT 5.0.
Conforme apresentado anteriormente no Quadro 4, é possível reiterar que o
grau de maturidade da segurança da informação da rede pública de hospitais federais
do Rio de Janeiro na visão dos gestores está no início, caminhando de forma lenta.
Mas já existe por parte dos gestores uma percepção maior da importância da
57 segurança da informação.
5.2 APLICABILIDADE
A aplicabilidade do trabalho é a de nortear os gestores com relação as mais
importantes dimensões para a implantação, gestão e manutenção da segurança da
informação nos hospitais federais. Outra importante aplicabilidade é na adequação
visando a nova legislação que deverá entrar em vigor no inicio de 2020. Onde qualquer
vazamento de dados, informação divulgada de forma inadequada ou outra quebra de
sigilo, pode levar a organização a perdas milionárias.
5.3 RECOMENDAÇÕES
Como recomendação para novas pesquisas destacamos a aplicação deste
estudo em instituições privadas e outras públicas de saúde, para que se possa criar um
cenário mais abrangente sobre o grau de maturidade de segurança da informação nos
serviços de saúde do nosso país.
58 REFERÊNCIAS
ABOUELMEHDI, K.; BENI-HSSANE, A.; KHALOUFI, H.; SAADI, M. Big data security
and privacy in healthcare: a review. Procedia Computer Science, v. 113, p. 73–80,
2017.
AHLAN, R.; LUBIS, M.; LUBIS, A. R. Information security awareness at the knowledge-
based institution: its antecedents and measures. Procedia Computer Science, v. 72,
p. 361 – 373, 2015.
Al DAIRI, A.; TAWALBEH, L. Cyber security attacks on smart cities and associated
mobile technologies. Procedia Computer Science, v. 109, p. 1086–1091, 2017.
APPARI, A.; JOHNSON, M. E. Information security and privacy in healthcare: current
state of research. International Journal of Internet and Enterprise Management, v.
6, n. 4, p. 279-314, 2010.
ARORA A.; HALL D.; PINTO C.A.; RAMSEY D.; TELANG R. Measuring the risk-based
value of it security solutions. IT Prof, v. 6, n. 6, p. 35-42, 2004.
BACKHOUSE, J.; DHILLON, G. Working towards principles for information
security management in the 21st century. LSE Computer Security Research Centre,
1999.
BARON A. Communicating at the speed of change. Strategic Communication
Management, v. 3, n. 6, p. 12–17, 1999.
BELL, M. P.; HARRISON, D.A.; McLAUGHLIN, M. E. Forming, changing, and acting on
attitude toward affirmative action programs in employment: a theory driven approach.
Journal of Applied Psychology, v. 85, n. 5, p. 784-798, 2000.
BENDOVSCHI, A. Cyber-attacks – trends, patterns and security countermeasures.
Procedia Economics and Finance, v. 28, p. 24-31, 2015.
BOIKO, A.; SHENDRYK, V. V. System integration and security of information systems.
Procedia Computer Science, v. 104, p. 35-42, 2017.
59 BOMFIN, D. F.; GOULART, I. B.; AZEVEDO, J. M.; HASTENREITER, F. Mudança
organizacional em uma instituição hospitalar: um estudo de caso sobre as percepções
dos gestores. Pretexto, v. 12, n. 2, p. 85-110, 2011
BOX, D.; POTTAS, D. A model for information security compliant behavior in the
healthcare context. Procedia Technology, v. 16, p. 1462-1470, 2014.
BULGURCU, B.; CAVUSOGLU, H.; BENBASAT, I. Information security policy
compliance: an empirical study of rationality-based beliefs and Information security
awareness. MIS Quarterly, v. 34, n. 3, p. 523-548, 2010.
CASTLE D, SIR M. Organization development: a framework for successful information
technology assimilation. Organization Development Journal v. 19, n. 1, p. 59-72,
2001.
CHEN, H.; FU, Z. Hadoop-based healthcare information system design and wireless
security communication implementation. Mobile Information Systems. 2015;2015 DOI
10.1155/2015/852173.
CORRISS, L. Information security governance: integrating security into the
organizational culture. In: GOVERNANCE OF TECHNOLOGY, INFORMATION AND
POLICIES, 10., 2010, Austin, Texas, USA. Proceedings… p. 35-41
COBB A, FOLGER R, WOOTEN K. The role justice plays in organizational change.
Public Administration Quartely, v. 19. n. 2, p. 135-151, 1995.
COLES-KEMP, L. Information security management: an entangled research challenge.
Information Security Technical Report, v.14, n.4, p.181-185, 2009.
CROSSLER, R. E., BÉLANGER, F. The effect of computer self-efficacy on security
training effectiveness. In: ANNUAL CONFERENCE ON INFORMATION SECURITY
CURRICULUM DEVELOPMENT, 3., New York, USA, 2006. Proceedings… ACM
Press. p. 124–129.
60 DAVISON, R. M., OU, C. X. J. AND MARTINSONS, M. G. Information technology to
support informal knowledge sharing. Information Systems Journal, v. 23, n.1, p.89-
109, 2013.
D’ARCY, J., HOVAV, A., GALLETTA, D. User awareness of security countermeasures
and its impact on information systems misuse: a deterrence approach. Information
Systems Research, v. 20, n. 1, p. 79-98, 2009.
DESOUZA, K.C. Knowledge security: an interesting research space. Journal of
Information Science and Technology, v.3, n.1, p.1-7, 2006.
DESOUZA, K.C.; AWAZU, Y. Securing knowledge assets: how safe is your knowledge?
[email protected], v.58, p.22-25, 2004.
DHILLON, G.; TEJAY, G.; HONG, W. Identifying governance dimensions to evaluate
information systems security in organizations. In: ANNUAL HAWAII INTERNATIONAL
CONFERENCE ON SYSTEM SCIENCES (HICSS’07), 40., 2007, Waikoloa, HI, USA.
Proceedings…
DINEV, T.; HU, Q. The centrality of awareness in the formation of user behavioral
intention toward protective information technologies. Journal of the Association for
Information Systems, v. 8, n. 7, p. 386-408, 2007.
FU, K.; BLUM, J. Controlling for cybersecurity risks of medical device software.
Communication of the ACM, v. 56, n. 10, p. 35-37, 2013.
GALVEZ, S. M.; GUZMAN, I. R. Identifying factors that influence corporate information
security behavior. In: AMERICAS CONFERENCE ON INFORMATION SYSTEMS
(AMCIS), 15., 2009, San Francisco, California. Proceedings…Paper 765, 2009.
GASTON, S. J. Information security: strategies for successful management.
Toronto: CICA Publishing, 1996.
GIL, A. C. Métodos e técnicas de pesquisa social. 5. ed. São Paulo: Atlas, 2008.
61 GOLD, A. H., MALHOTRA, A.; SEGARS, A. H. Knowledge management: an
organisational capabilities perspective. Journal of Management Information
Systems, v.18, n.1, p.185-214, 2001.
GOMES J.; ROMÃO M.; CARVALHO H. Successful IS/IT projects in healthcare:
pretesting a questionnaire. Procedia Computer Science, v.100, p.375–382, 2016
GUNDU, T.; FLOWERDAY, S. V. Ignorance to awareness: towards an information
security awareness process. South-African Institute of Electrical Engineers
Research Journal, v. 104, n. 2, p. 69-79, 2013.
HAEUSSINGER, F. J.; KRANZ, J. J. Information security awareness: its antecedents
and mediating effects on security compliant behaviour. In: INTERNATIONAL
CONFERENCE ON INFORMATION SYSTEM, 3., 2013, Milan. p. 1-16.
HAI, N. K.; LAWPOOLSRI, S.; JITTAMALA, P.; THI THU HUONG, P.;
KAEWKUNGWAL, J. Practices in security and confidentiality of HIV/AIDS patients’
information: a national survey among staff at HIV outpatient clinics in Vietnam. PLoS
ONE. v. 12, n. 11, p. e0188160, 2017.
HAGGERTY N. R. D.; RAMASASTRY C. S. Security breach at TJX. Harvey Business
Review, 2008.
HAMILL, J.T.; DECKRO, R. F.; KROEBER, J. M. Evaluating information assurance
strategies, Decision Support Systems, v. 39, n. 3, p. 463-484, 2005.
HASSAN, N. H.; ISMAIL, Z. A conceptual model for investigating factors influencing
information security culture in healthcare environment. Procedia Social and
Behavioral Sciences, v. 65, p. 1007-1012, 2012.
HE, Y.; JOHNSON, C. Improving the redistribution of the security lessons in healthcare:
an evaluation of the generic security. International Journal of Medical Informatics, v.
84, n. 11, p. 941-949, 2015.
62 HERATH, T.; RAO, H. R. Encouraging information security behaviors in organization:
role of penalties, pressures and perceived effectiveness. Decision Support System, v.
47, n. 2, p. 154-164, 2009.
HOVAV, A.; D’ARCY, J. Applying an extended model of deterrence across cultures: an
investigation of information systems misuse in the U.S. and South Korea. Information
& Management, v. 49, p. 99-110, 2012.
IBM Security. Securing the healthcare enterprise: taking action to strengthen
cybersecurity in the healthcare industry. New York: IBM Corporation, 2015.
IFINEDO, P. Understanding information systems security policy compliance: an
integration of the theory of planned behavior and the protection motivation theory.
Computers & Security, v. 31, n. 1, p. 83-95, 2012.
JOKINEN, L.; VAINIO, V.; PULKKINEN, A. Engineering change management data
analysis from the perspective of information quality. Procedia Manufacturing, v. 11, p.
1626 – 1633, 2017.
JOUINI, M.; RABAI, L. B. A.; BEN AISSA, A. Classification of security threats in
information systems. Procedia Computer Sciences, v. 32, p. 489-496, 2014.
KABEIREHO M. Implementing IT governance: an IT security perspective: BMGT
8214 guiding implementation IT principles . Capella University. Disponível em:
https://www.academia.edu/8336737/Implementing_IT_Governance_An_IT_Security_Pe
rspective.
KAILAR R. A security architecture for health information networks. AMIA Annual
Symposium Proceedings, v. 2007, p. 379–383, 2007.
KIM, S.; SUNG, M. K.; CHUNG, Y. D. A framework to preserve the privacy of electronic
health data streams. Journal of Biomedical Informatics, v. 50, p. 95-106, 2014.
63 KRUGER, H. A.; FLOWERDAY, S.; DREVIN L.; STEYN, T. An assessment of the role
of cultural factors in information security awareness. Information Security South Africa
2011. Proceedings... Johannesburg, 2011.
KNAPP, K. J., MARSHALL, T. E., RAINER, R. K., FORD, F. N. Information security:
management's effect on culture and policy. Information and Computer Security, v.
14, n. 1, p. 24-36, 2006.
LEE, J.; LEE, Y. A holistic model of computer abuse within organizations. Information
Management and Computer Security, v. 10 n.2, p. 57- 63, 2002
LIM, J. S.; CHANG, S.; MAYNARD, S.; AHMAD, A. Exploring the relationship between
organizational culture and information security culture. AUSTRALIAN INFORMATION
SECURITY MANAGEMENT CONFERENCE, 7., Perth, Western Australia, 2009.
Proceedings…
LIN, R-J.; CHE, R-H.; TING, C-Y. Turning knowledge management into innovation
in the high‐tech industry. Industrial Management & Data Systems, v. 112; n. 1,
p.42-63,2012.
MAYNARD, S. B.; RUIGHAVER, A. B. What makes a good information security policy:
a preliminary framework for evaluating security policy quality. In: ANNUAL SECURITY
CONFERENCE, 5., 2006, Las Vegas, Nevada, USA. Proceedings…
MEINGAST, M.; ROOSTA, T.; SASTRY, S. Security and privacy issues with health care
information technology. IEEE EMBS ANNUAL INTERNATIONAL CONFERENCE, 28.,
2006, New York. Proceedings…, p. 5453 –5458.
METALIDOU, E.; MARINAGI, C.; TRIVELLAS, P.; EBERHAGEN, N.; SKOURLAS, C.;
GIANNAKOPOULOS, G. The human factor of information security: unintentional
damage perspective. Procedia Social and Behavioral Sciences, v. 147, p. 424 – 428,
2014.
64 MICHEL, M. H. Metodologia e pesquisa científica em ciências sociais: um guia
prático para acompanhamento da disciplina e elaboração de trabalhos monográficos. 2.
ed. São Paulo: Atlas, 2009.
MISHRA, S.; LEONE, G. J.; CAPUTO, D. J.; CALABRISI, R. R.; DRAUS, P. The role of
demographic characteristics in health care strategic security planning. In: AMERICAS
CONFERENCE ON INFORMATION SYSTEMS, 18., 2012, Seattle, Washington.
Proceedings…
MISHRA, S.; DHILLON, G. Information systems security governance research: a
behavioral perspective. In: ANNUAL SYMPOSIUM ON INFORMATION ASSURANCE,
1.; ANNUAL NYS CYBER SECURITY CONFERENCE, 9., 2006, New York, USA.
MISHRA S.; SNEHLATA; SRIVASTAVA A. Information security behavioral model:
towards employees’ knowledge and attitude. Journal of Telematics and Informatics,
v. 2, n. 1, p. 22-28, 2014.
MOHAMADALI, N. A.; ZAHARI, N. A. The organization factors as barrier for sustainable
health information systems (HIS) – a review. Procedia Computer Science, v. 124, p.
354–361, 2017.
MOHAMMED, D.; MARIANI, R.; MOHAMMED, S. Cybersecurity challenges and
compliance issues within the U.S. healthcare sector. International Journal of
Business and Social Research, v. 5, n. 2, p. 55-66, 2015.
MOSCARITOLO, A. Breaches cost health care industry $6 billion annually. 2011
Disponível em: https://www.scmagazine.com/home/security-news/breaches-cost-
health-care-industry-6-billion-annually/
NGO L.; ZHOU W.; WARREN M. Understanding transition towards information security
culture change. In: VALLI, C.; WOODWARD, A. Proceedings of the 3rd Australian
Computer, Network & Information Forensics Conference. Perth, W.A: Cowan
University, School of Computer and Information Science, 2005. p. 67-73.
65 OSHRI, I; FENEMA, P.; KOTLARSKY, J. Knowledge transfer in globally distributed
teams: the role of transactive memory. Information Systems Journal, v. 18, n. 6,
p.593–616, 2008.
PARK. W-S.; SEO, S-W.; SON, S-S.; LEE, M-J.; KIM S-H.; CHOI E-M.; BANG J-
E.; KIM Y-E.; KIM O-N. Analysis of information security management systems at 5
domestic hospitals with more than 500 beds. Healthcare Informatics Research, v. 16,
n. 2, p. 89-99, 2010.
PINA, J. N. E. Framework de autoavaliação interna para gestão da segurança da
informação: estudo de caso. Lisboa. Dissertação [Mestrado em Administração].
Instituto Superior de Economia e Gestão, Universidade Técnica de Lisboa, 2012.
RANSFORD, B. et al. Cybersecurity and medical devices: a practical guide for cardiac
electrophysiologists. Pacing and Clinical Electrophysiology, v. 40, n. 8, p. 913-917,
2017.
RIEGE, A. Three-dozen knowledge-sharing barriers managers must consider. Journal
of Knowledge Management, v. 9, n. 3, pp. 18-35, 2005.
RINDFLEISCH, T. C. Privacy, information technology, and health care.
Communications of the ACM, v.40, n. 8, p. 92-100, 1997.
RHEE, H.-S.; KIM, C.; RYU, Y.U. Self-efficacy in information security: its influence on
end users' information security practice behavior. Computers & Security, v. 28, n. 8, p.
816-826, 2009.
ROBBINS, S. P.; JUDGE, T. A. Comportamiento organizacional. México: Pearson
Educación, 2009.
RUDDY, T. Taking knowledge from heads and putting it into hands. Knowledge and
Process Management, v. 7, n. 1, p. 37-40, 2000.
RYAN, J. J .C. H. Knowledge management needs security too. Vine, v.36, n.1, p.45-48,
2006.
66 SAID, A. R.; ABDULLAH, H.; ULI, J.; MOHAMED, Z. A. Relationship between
organizational characteristics and information security knowledge management
implementation. Procedia Social and Behavioral Sciences, v. 123, p. 433 – 443,
2014.
SAMY, G. N.; AHMAD, R.; ISMAIL, Z. Security threats categories in healthcare
information systems. Health Informatics Journal, v. 16, n. 3, p. 201-209, 2010.
SAREMIAN, M.; KHARA, R. Comprehensive overview of the health information security
risks in mobile devices. Journal of Health and Biomedical Informatics, v. 2, n. 1, p.
48-56, 2015.
SHERER, S. A.; KOHLI, R.; BARON, A. complementary investment in change
management and IT investment payoff. Information Systems Frontiers, v. 5, n. 3, p.
321-333, 2003
SIPONEN, M. Information security standards focus on the existence of process not its
content? Communications of the ACM, v. 49, n. 8, p. 97-100, 2006.
SOMMER, P. Computer forensics: an introduction In: WORLD CONFERENCE OF
COMPUTER, 9.,1992. Proceedings of the Compsec…Elsevier, 1992.
SOMMER, P. Downloads, logs and captures: evidence from cyberspace. Journal of
Financial Crime, 5JFC2, p. 138-152, 1997
STAHL, B. C.; DOHERTY, N. F.; SHAW, M. Information security policies in the UK
healthcare sector: a critical evaluation. Information Systems Journal, v. 22, n. 1, p.
77-94, 2012.
STANTON, JM.; STAM K. R.; MASTRANGELO, P.; JOLTON, J. Analysis of end user
security behaviors. Computers and Security, v. 24, n.2 , p. 124-133, 2005.
STRAUB, D. W.; WELKE, R.J. Coping with systems risk: security planning models for
management decision making. MIS Quarterly, v. 22, n. 4, p. 441-469, 1998.
67 SUDUC, A-M.; BÎZOI, M.; FILIP F. G. Audit for information systems security.
Informatica Economica, v. 14, n. 1, p. 43-48, 2010.
TAKEMURA, T.; KOMATSU, A. Who sometimes violates the rule of the organizations?:
Empirical study on information security behaviors and awareness. In: BÖHME, R.
(Ed.). Economics of information security. Berlin: Springer, 2013. p. 1-21.
TERESHCHUK V.I. The problem of the internet governance as a factor of international
and national information security. Studia Humanitatis, n. 2, 2015.
TSOHOU, A.; KARYDA, M.; KOKOLAKIS, S.; KIOUNTOUZIS, E. Aligning security
awareness with information systems security management. Journal of Information
System Security, v.6, n.1, p. 36-54, 2010.
VERGARA, S. C. Projetos e relatório de pesquisa em administração. São Paulo:
Atlas, 2009.
VOELPEL, S. C.; DOUS, M.; DAVENPORT, T.H. Five steps to creating a global
knowledge sharing system: Siemens' ShareNet, Academy of Management Executive,
v.19, n. 2, p. 9-23, 2005.
VORAKULPIPAT, C.; SIRAPAISAN, S.; RATTANALERDNUSORN, E.; SAVANGSUK.
V. A policy-based framework for preserving confidentiality in BYOD environments: a
review of information security perspectives. Security and Communication Networks,
v. 4, p. 1-11, 2017.
VON SOLMS, B.; VON SOLMS, R. The 10 deadly sins of information security
management. computers and security. Computers and Security, v. 23, n. 5, p. 371-
376, 2004.
WANBERG, C.; BANAS J. Predictors and outcomes of openness to changes in
reorganizing workplace. Journal of Applied Psychology, v. 85, n. 1, p. 132–142,
2000.
68 WANG, S.; NOE, R.A. Knowledge sharing: a review and directions for future research.
Human Resource Management Review, v. 20, n. 2, p.115-131, 2010.
WASKO, M. M.; FARAJ, S. Why should I share? Examining social capital and
knowledge contribution in electronic networks of practice, MIS Quarterly, v. 29, n. 1, p.
35-57, 2005.
WIN, K. T.; SUSILO, W.; MU, Y. Personal health record systems and their security
protection. Journal of Medical Systems, v.30, n. 4, p. 309–315, 2006
ZAREI, J.; SADOUGHI,
F. Information security risk management for computerized
health information systems in hospitals: a case study of Iran. Risk Management and
Healthcare Policy, v. 9, n. 1, p. 75-85, 2016.
69 APÊNDICE 1 – ROTEIRO DAS ENTREVISTAS
1) Quais são suas funções e responsabilidades? Há quanto tempo exerce ?
2) Existe alguma política de capacitação sobre segurança da informação na sua instituição? Quais?
3) Você recebeu algum treinamento específico na área de segurança da informação? Qual ? Há quanto tempo ? São recorrentes ?
4) Como são tratados os incidentes de segurança? Existe algum plano de resposta a incidentes? Eles são seguidos ?
5) A instituição mantém algum histórico de incidentes de segurança da informação ?
6) Em que momento é decidido que um equipamento/software deve ser descartado, trocado ou adquirido? Como são decididas/realizadas estas operações?
7) São realizados auditorias, testes de invasão, hardening ? com que frequência ?
8) A alta direção promove a política de segurança, fornecendo os recursos necessários para a manutenção da confidencialidade, integridade e disponibilidade ?
9) Como você analisa a maturidade dos processos relativos a segurança da informação?
70 ANEXO 1 – QUESTÃO DE PROVA PARA MÉDICO EM ESPECIALIZAÇÃO.
Fonte :
Fonte: Prova Trimestral de Médicos em Especialização da Sociedade Brasileira de Anestesiologia.
71 ANEXO 2 – LEI nº 13.709.2018
Fonte: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm