RESOLUÇÃO DO CASO N1 NORMAS E MELHORES PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

[pic 1]

FLÁVIA ALESSANDRA FURLAN

RESOLUÇÃO DO CASO N1

NORMAS E MELHORES PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

Araras 2021

UNIVERSIDADE ANHEMBI MORUMBI

NOME: FLÁVIA ALESSANDRA FURLAN

RA:2021324839

CURSO: MBA EM DEFESA CIBERNÉTICA

 NAS ORGANIZAÇÕES

Araras

2021

1. INTRODUÇÃO

Este estudo tem como objetivo analisar caso da Empresa EBH, para implementar medidas de segurança das informações, identificar fatores que influenciam a empresa a adotar medidas de gestão de segurança da informação.

        No estudo de caso foi demonstrado que existe cerca de 40 hospitais em todo território nacional com o sistema de informação vulnerável que necessita de implementações de segurança desde o acesso do usuário ao sistema, até em seu hardware.

        Com base nas práticas de segurança de informação, foram identificados três camadas: física, lógica e humana.

        Verificando o estudo de caso apresentado, a camada humana é a que apresentou maior carência de cuidado, devido ao vazamento de informações, e em seguida pela camada lógica.

2. APRESENTANDO O CASO

        EBH empresa pública, presta serviço gratuito de assistência médica e hospitalar, que possui um órgão central em Brasília, e mais 40 hospitais em todo território nacional, que exercem a função de centro de referência para o sistema único de saúde.

        Os hospitais assim como a sede possui um núcleo designado à tecnologia da informação, responsável pela implementação e gestão da área de TI em cada unidade, cada instância é responsável pela rede de dados, seus ativos, servidores, backup, sistemas e politica da segurança da informação, da sua respectiva unidade.

        Como os hospitais foram criados antes da fundação da empresa, e se associaram a ela com o decorrer do tempo, não existe uma padronização no escopo relacionado à tecnologia da rede EBH.

        Cada unidade possui seus próprios padrões de tecnologia e processos, cada hospital foi construído em uma determinada época e a infraestrutura da tecnologia da informação foi desenvolvida independente uma das outras, são arcabouços tecnológicos completos e distintos, sendo possível encontrar, diversos ativos como, roteadores, suíte, servidores, storage, dispositivos de backups, links de dados, sistemas, bancos de dados, base de autenticação de usuário, e outros recursos tecnológicos que apoiam o funcionamento de cada hospital.

        A falta de padronização na área tecnológica, se tornou um dos maiores empecilhos da correta implementação dos processos na rede EBH, inclusive tornando vulnerável as informações de dados da instituição.

        A comunicação de dados é realizado através de link de dados fornecidos por grandes empresas de telecomunicações e o trafego dos dados não são criptografados, tornando vulnerável a transmissão das informações pois são dados suscetíveis a serem interceptados por terceiros.

        O serviço de e-mail também não possui recurso de criptografia o que deixa as mensagens vulneráveis, também não existe padrão para a classificação para as informações contidas nos meios digitais, incluído sistema e arquivo de dados, presente nos servidores da instituição, não possui mecanismos de auditoria, que permita verificar quem consultou ou está consultando as informações, exemplo " Qual usuário consultou determinado exame de imagem de um paciente"

        Com tantas vulnerabilidades, alguns incidentes comprometeram a reputação da rede de hospitais, abaixo algumas que causaram repercussão negativa

• Vazamento de informações relacionadas aos pacientes internadas nos hospitais da rede, terceiros conseguiram interceptar os dados, e obtiveram informações dos pacientes internados e abordaram as famílias, solicitando o pagamento de despesas relacionadas ao tratamento médico, sendo que os hospitais atendem apenas pelo SUS.

        Durante a apuração do incidente não foi possível verificar a fonte de vazamento         dos dados, pois não havia mecanismos de geração de log para registrar o acesso         ao log dos sistemas.

• Outro incidente de grande impacto, ocorreu através do acesso indevido no setor de recursos humanos, devido à falta de classificação da informação, arquivos sigilosos foram acessados por funcionários que não deveriam ter acesso aos dados, informações de folha de pagamento e do controle de ponto foram divulgados na imprensa.

        Devido a falta de registro dos log de acesso dos arquivos, não foi possível obter         informações cruciais a cerca do ocorrido, como os usuários que tiveram acesso e o         momento da ocorrência.

        Diante das situações acima, como seria possível resolver essas questões, pra aumentar a segurança da informação da rede de hospitais, será que a variedade de sistemas, facilita a invasão das redes, uma solução baseada apenas em software resolveria o problema?

3. SEGURANÇA DA INFORMAÇÃO

        Na gestão do sistema de informação, várias partes trabalham juntas, buscando um objetivo em comum, um fluxo sem vulnerabilidade, menos burocrático e mais confiável, além disse um bom fluxo de informação traz maior agilidade, organização, redução de custo operacional e administrativo, as informações possuem mais integridade e veracidade, e o sistema possui mais segurança em seu acesso.

        O primeiro passo, seria estruturar as empresas para que todos as 40 unidades tivessem o mesmo escopo da matriz, criando uma politica de acessos e restrições, adequando o sistema que utilizam junto a norma ISO 27002, segundo a norma  “a informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida”

4. ADOÇÃO DA NORMA ISO 27002

        Com a implementação da norma ISO 27002, estabeleceremos as diretrizes para melhorar a gestão das informações, o gerenciamento das informações deve ser feito, através de níveis de permissões.

...