Segurança nos sistemas de informação hospitalares : políticas, práticas e avaliação

Abstract

Actualmente, a informação é genericamente considerada um recurso crítico para qualquer organização, exigindo políticas de segurança adequadas para a sua protecção. Tipicamente, a abordagem usada para o desenvolvimento dessas políticas, parte da avaliação do risco, que é feita com base no valor do recurso e na probabilidade da concretização das ameaças. Estes dois valores podem ser extremamente difíceis de determinar, especialmente quando a informação não está relacionada com objectos de valor quantificável e/ou quando o historial da ocorrência de incidentes é limitado, como é o caso da informação nas unidades de saúde. Por outro lado, algumas das abordagens existentes para a avaliação do risco consomem um elevado número de meios humanos e financeiros, originando, por vezes, limitações à aplicação do processo de gestão da segurança na organização. Atendendo a essas limitações, o principal objectivo desta tese foi o de propor uma metodologia para a implementação de políticas de segurança em unidades de saúde. Procurou-se transformar o processo da gestão da segurança em algo que as organizações, nomeadamente unidades do tipo hospitalar, pudessem implementar e gerir de uma forma ágil e natural, sem a necessidade de recorrer a recursos extraordinários. Pretendeu-se, ainda, orientar a metodologia segundo os mais recentes desenvolvimentos ao nível do modelo de gestão dos processos desta natureza, tal como os preconizados pela recente norma ISO/IEC 27001. Embora a metodologia proposta tenha por base alguns métodos e normas já existentes para a área da gestão da segurança da informação, apresenta soluções inovadoras para alguns dos aspectos mais críticos e que normalmente, exigem mais recursos. Em particular, são apresentadas soluções para as fases de identificação e catalogação dos recursos (elementos informativos) a serem alvo do processo de segurança e para a determinação do índice de risco de cada recurso. Relativamente a esta última solução, é proposta a utilização da metodologia de Delphi para estimar os dois parâmetros relevantes (o valor do recurso e a probabilidade de concretização de uma ameaça) que são usados para calcular o índice do risco. Propõe-se ainda uma nova organização para o catálogo de medidas no âmbito da política de segurança, com vista a facilitar o processo da escolha das medidas adequadas e em concordância com a filosofia de gestão da segurança subjacente à metodologia proposta. Este catálogo recolhe, naturalmente, diversos contributos já estabelecidos para outras metodologias. Por fim, são apresentados os resultados da aplicação da metodologia numa organização hospitalar. Estes resultados demonstram a aplicabilidade da metodologia, ao mesmo tempo revelam a desejada agilidade no sentido de facilmente e naturalmente a integrar no processo de gestão da organização. Apesar da solução proposta ter sido desenvolvida tendo por base as unidades de saúde, a generalidade dos seus princípios garante que, com algum cuidado e esforço de adaptação, esta metodologia possa ser facilmente alargada a outros tipos de organizações.

Nowadays information is recognized as a critical resource, requiring an adequate security policy. Typically the approach most often used for the development of these policies starts with a risk assessment, which is carried out on the basis of the value of the resource's value and/or the probability of threats. These two values can be extremely difficult to determine especially when the information is not related to objects whose values are quantifiable and when the history of the events is Iimited - which is the case with healthcare information. On the other hand, some of the existing approximations require enormous amount of human and financial resources of the organization, sometimes creating limitations for the application of a security management process in the organization. Heeding these limitations, the main objective of this thesis was, therefore, to propose a methodology for the implementation of security policies at healthcare providers, but at the same time, try to change security management into something that organizations (in particular the hospital type) could implement and manage in a nimble and natural manner, without resorting to extra resources. Furthermore, there was the attempt to steer the methodology in accordance with the most recent developments concerning management models of processes of this nature, as extolled, for example, by the recent ISO/IEC27001 standard. Although the proposed methodology is based on some already existing methods and standards in the field of information security management, it presents innovative solutions for some of the most critical aspects that normally require more resources. Specifically, solutions for the identification and ranking of resources (informative elements) as the target of the security process and for the risk index determination, of each resource. Regarding the last solution, the use of the Delphi methodology is proposed to estimate the two relevant parameters (the resource value and the probability of threats) that are used to calculate the index. To what concerns the controls to be implemented. it is also proposed an organization for the catalogue of those controls with the purpose of easing the decision making process and guaranteeing consonance with the philosophy of security management which underlies the proposed methodology. Naturally, this catalogue collects diverse contributions already established for other methodologies. Finally, the results of the application of the methodology to a hospital organization are presented. These results demonstrate the applicability of the methodology and at the same time reveal the desired agility, in the sense of easily and naturally integrating it with the organization's main management processo Even though the proposal was developed based on a specific healthcare provider, the generality of most of the principies implemented, guarantee that this methodology can easily be generalized to other types of organizations, with some care and effort in the its adaptation.