AS NORMAS, APROVAÇÕES E CERTIFICAÇÕES

NORMAS E MELHORES PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

Os hospitais estão interessados em proteger as informações de seus pacientes, infelizmente eles não veem com bons olhos as normais. Embora as normas NBR ISO, elas cubra muitos aspectos gerais sobre segurança da informação, você pode integrá-la com outras normas para cobrir aspectos específicos.

Particularmente vincularia a ISO 27799) que também está alinhada com as versões da ISO 270001 e ISO 270002, existem poucas mudanças entre a ISO 27002:2005 e a ISO 27002:2013 nesse aspecto.

A norma NBR ISSO / IEC 27002 – Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes  e  princípios  gerais  para  iniciar,  implementar, manter e melhorar a gestão de segurança da informação em uma organização”. A parte principal da norma se encontra distribuída em 11 seções, que  correspondem  a  controles  de  segurança  da informação, conforme apresentado a seguir. A numeração dessas seções se inicia no número 5 (há outros aspectos descritos nas seções anteriores, mas nos concentraremos apenas na parte mais significativa da norma). SEÇÃO 5 – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Deve ser criado um documento sobre a política de segurança da informação da organização, que deveria conter, entre outros, os conceitos de segurança da informação, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação e gerenciamento de riscos, as políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização. Essa política também deve ser comunicada a todos, bem como analisada  e  revisada criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias.

Por que implementar a ISO 27001 e ISSO 27002 nesse caso citado?
Hospitais, assim como qualquer outro tipo de organização, também tem uma infraestrutura tecnológica, sistemas de informação e aplicações que podem estar vulneráveis, e elas gerenciam informações de saúde pessoais, assim também existem riscos que precisam ser gerenciados.
A ISO 27001 é uma norma que estabelece requisitos para um Sistema de Gestão de Segurança da Informação, e pode ser integrada com outras normas tais como a ISO 27002 para implementar controles de segurança, mas em um ambiente de saúde.

SEGURANÇA DA INFORMAÇÃO.
Como o processo de proteção da informação contra ameaças visando assegurar sua integridade, disponibilidade e confidencialidade. De forma bem próxima, Beal (2005) define segurança da informação  como  a  proteção  da  informação  contra  ameaças à sua integridade, disponibilidade e confidencialidade. Na NBR ISO/IEC 27002:2005. A ABNT (2005) conceitua segurança da informação de duas formas:  como  a  proteção  da  informação  de  vários  tipos  de  ameaças  para  garantir  a continuidade  do  negócio,  minimizar  o  risco  ao  negócio,  maximizar  o  retorno  sobre  os  investimentos  e  as oportunidades  de negócio;  e  como a  preservação  da confidencialidade,  da  integridade  e da  disponibilidade  da informação. A norma diz que  essa proteção  pode ser obtida  a partir  da definição e  implementação de  controles adequados,  que precisam  ser  também monitorados,  analisados  criticamente e  melhorados  para garantir  que os objetivos do  negócio e  de segurança da  organização sejam  atendidos. Ainda segundo a norma, esses  controles incluem políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. A dependência das organizações com relação à TI tornou-se aguda e há uma necessidade de proteger os recursos de processamento de informações contra perda, indisponibilidade ou violação (Caruso; Steffen, 1999).

O mundo dos negócios está cada vez mais tecnológico, e é difícil pensar em uma empresa que opere sem o auxílio desses recursos ou não tenham seus dados armazenados digitalmente. Uma política de segurança da informação é a ferramenta mais completa para garantir a proteção dessas informações, que muitas vezes são sigilosas ou vitais para o negócio.
A Política de Segurança da Informação (PSI) é um documento que reúne regras, práticas, diretrizes e procedimentos acerca da segurança da informação, com o objetivo de minimizar riscos de perdas ou violação de qualquer ativo de TI. Essa política protege as informações da sua empresa do que poderia causar algum dano intencionalmente ou não.
Todo e qualquer meio de armazenamento assim como os procedimentos de recuperação devem ser regularmente testados, garantindo sua efetividade. A periodicidade deve ao menos ser uma por ano, a ser determinada pelo Comitê de Segurança e Contingência, considerando o nível de risco do negócio. Devem ser mantidas evidências do sucesso dos testes feitos.

Ameaças.
Voltando a falar da ISO 27799, acredito ser mais indicada para saúde que as  ISO 27001 e a ISO 27002. ISO 27799 temos uma lista de ameaças específicas para este setor, que podem ser encentradas e atenderia muito bem as exigências nesse caso corrigindo as vulnerabilidades e fatos citados no caso, que estão listadas abaixo:
Pessoal interno se passando por outra pessoa, pessoas se passando por provedores de serviço, pessoal externo se passando por outra pessoa, uso não autorizado de uma aplicação de informação e saúde, introdução de software danoso ou de interrupção, mau uso de recursos de sistemas, infiltração de comunicações, interceptação de comunicações, repúdio, falha de conexão, incorporação de código malicioso, erro acidental de roteamento, falha técnica de hospedagem, instalações de armazenamento ou de infraestrutura de rede, falha de suporte ambiental, falha de sistema ou de software de rede, falha de aplicação de software, erro de operador, erro de manutenção, erro de usuário, falta de pessoal, furto por pessoal interno, furto por pessoal externo, dano intencional por pessoal interno, dano intencional por pessoal externo e terrorismo.

As consequências da materialização destas ameaças podem ser desastrosas, não apenas para a imagem do hospital, mas também para a saúde do paciente. Podemos imaginar o que aconteceria em um hospital onde tudo depende de sistemas de informação (geração e armazenamento de radiografias, sistemas de saúde conectados me rede, etc...), e se eles pararem de funcionar devido a falhas técnicas, ou não funcionarem apropriadamente. Imagine um paciente que sofreu um sério acidente e necessita urgentemente de um raio X, mas o Sistema não funciona devido a uma falha relacionada a software malicioso.

O risco é uma combinação de fatores. Essa combinação de fatores geralmente é, em parte a identificação de uma ameaça, em outra parte a identificação de uma vulnerabilidade. O evento só se evidencia quando nós temos um agente (ameaça) e uma vulnerabilidade (fraqueza). Na tabela seria um funcionário da equipe de desenvolvimento (talvez um mau funcionário), e a vulnerabilidade a falta de controle de acesso ao banco de dados de produção. Esse é o contexto do risco para a norma ISO 27001. Uma visão abrangente, mas não profunda. Faz sentido se tivéssemos avaliado apenas a vulnerabilidade ou apenas a ameaça? Exemplo de um cliente onde após uma análise de vulnerabilidades, identificou-se a necessidade de aplicar uma correção em determinado servidor, responsável por gerar certificados digitais. Acredito em uma visão abrangente dos fatores de risco, inclusive para equipamentos de TI. Sinceramente não acho que um equipamento possua mais que 30 riscos. Vamos imaginar o caso hipotético onde um perpetrador utiliza uma vulabilidade no sistema operacional para invadir o servidor de web. Evento: Acesso interno ou externo ao equipamento através de falhas no sistema operacional devido a não atualização ou aplicação de pacotes de atualização fornecidos pelo fabricante. Probabilidade: Alta / Conseqüência: Alta. Risco: Alto.

...