NORMAS E MELHORES PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO 15_10 JRT

Prévia do material em texto

NORMAS E MELHORES PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO 
Os hospitais estão interessados em proteger as informações de seus pacientes, infelizmente eles não veem com bons olhos as normais. Embora as normas NBR ISO, elas cubra muitos aspectos gerais sobre segurança da informação, você pode integrá-la com outras normas para cobrir aspectos específicos.
Particularmente vincularia a ISO 27799) que também está alinhada com as versões da ISO 270001 e ISO 270002, existem poucas mudanças entre a ISO 27002:2005 e a ISO 27002:2013 nesse aspecto.
A norma NBR ISSO / IEC 27002 – Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. A parte principal da norma se encontra distribuída em 11 seções, que correspondem a controles de segurança da informação, conforme apresentado a seguir. A numeração dessas seções se inicia no número 5 (há outros aspectos descritos nas seções anteriores, mas nos concentraremos apenas na parte mais significativa da norma). SEÇÃO 5 – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Deve ser criado um documento sobre a política de segurança da informação da organização, que deveria conter, entre outros, os conceitos de segurança da informação, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação e gerenciamento de riscos, as políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização. Essa política também deve ser comunicada a todos, bem como analisada e revisada criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias.
Por que implementar a ISO 27001 e ISSO 27002 nesse caso citado?
Hospitais, assim como qualquer outro tipo de organização, também tem uma infraestrutura tecnológica, sistemas de informação e aplicações que podem estar vulneráveis, e elas gerenciam informações de saúde pessoais, assim também existem riscos que precisam ser gerenciados.
A ISO 27001 é uma norma que estabelece requisitos para um Sistema de Gestão de Segurança da Informação, e pode ser integrada com outras normas tais como a ISO 27002 para implementar controles de segurança, mas em um ambiente de saúde.
SEGURANÇA DA INFORMAÇÃO.
Como o processo de proteção da informação contra ameaças visando assegurar sua integridade, disponibilidade e confidencialidade. De forma bem próxima, Beal (2005) define segurança da informação como a proteção da informação contra ameaças à sua integridade, disponibilidade e confidencialidade. Na NBR ISO/IEC 27002:2005. A ABNT (2005) conceitua segurança da informação de duas formas: como a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio; e como a preservação da confidencialidade, da integridade e da disponibilidade da informação. A norma diz que essa proteção pode ser obtida a partir da definição e implementação de controles adequados, que precisam ser também monitorados, analisados criticamente e melhorados para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Ainda segundo a norma, esses controles incluem políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. A dependência das organizações com relação à TI tornou-se aguda e há uma necessidade de proteger os recursos de processamento de informações contra perda, indisponibilidade ou violação (Caruso; Steffen, 1999).
O mundo dos negócios está cada vez mais tecnológico, e é difícil pensar em uma empresa que opere sem o auxílio desses recursos ou não tenham seus dados armazenados digitalmente. Uma política de segurança da informação é a ferramenta mais completa para garantir a proteção dessas informações, que muitas vezes são sigilosas ou vitais para o negócio.
A Política de Segurança da Informação (PSI) é um documento que reúne regras, práticas, diretrizes e procedimentos acerca da segurança da informação, com o objetivo de minimizar riscos de perdas ou violação de qualquer ativo de TI. Essa política protege as informações da sua empresa do que poderia causar algum dano intencionalmente ou não.
Todo e qualquer meio de armazenamento assim como os procedimentos de recuperação devem ser regularmente testados, garantindo sua efetividade. A periodicidade deve ao menos ser uma por ano, a ser determinada pelo Comitê de Segurança e Contingência, considerando o nível de risco do negócio. Devem ser mantidas evidências do sucesso dos testes feitos.
Ameaças.
Voltando a falar da ISO 27799, acredito ser mais indicada para saúde que as ISO 27001 e a ISO 27002. ISO 27799 temos uma lista de ameaças específicas para este setor, que podem ser encentradas e atenderia muito bem as exigências nesse caso corrigindo as vulnerabilidades e fatos citados no caso, que estão listadas abaixo:
Pessoal interno se passando por outra pessoa, pessoas se passando por provedores de serviço, pessoal externo se passando por outra pessoa, uso não autorizado de uma aplicação de informação e saúde, introdução de software danoso ou de interrupção, mau uso de recursos de sistemas, infiltração de comunicações, interceptação de comunicações, repúdio, falha de conexão, incorporação de código malicioso, erro acidental de roteamento, falha técnica de hospedagem, instalações de armazenamento ou de infraestrutura de rede, falha de suporte ambiental, falha de sistema ou de software de rede, falha de aplicação de software, erro de operador, erro de manutenção, erro de usuário, falta de pessoal, furto por pessoal interno, furto por pessoal externo, dano intencional por pessoal interno, dano intencional por pessoal externo e terrorismo.
As consequências da materialização destas ameaças podem ser desastrosas, não apenas para a imagem do hospital, mas também para a saúde do paciente. Podemos imaginar o que aconteceria em um hospital onde tudo depende de sistemas de informação (geração e armazenamento de radiografias, sistemas de saúde conectados me rede, etc...), e se eles pararem de funcionar devido a falhas técnicas, ou não funcionarem apropriadamente. Imagine um paciente que sofreu um sério acidente e necessita urgentemente de um raio X, mas o Sistema não funciona devido a uma falha relacionada a software malicioso.
O risco é uma combinação de fatores. Essa combinação de fatores geralmente é, em parte a identificação de uma ameaça, em outra parte a identificação de uma vulnerabilidade. O evento só se evidencia quando nós temos um agente (ameaça) e uma vulnerabilidade (fraqueza). Na tabela seria um funcionário da equipe de desenvolvimento (talvez um mau funcionário), e a vulnerabilidade a falta de controle de acesso ao banco de dados de produção. Esse é o contexto do risco para a norma ISO 27001. Uma visão abrangente, mas não profunda. Faz sentido se tivéssemos avaliado apenas a vulnerabilidade ou apenas a ameaça? Exemplo de um cliente onde após uma análise de vulnerabilidades, identificou-se a necessidade de aplicar uma correção em determinado servidor, responsável por gerar certificados digitais. Acredito em uma visão abrangente dos fatores de risco, inclusive para equipamentos de TI. Sinceramente não acho que um equipamento possua mais que 30 riscos. Vamos imaginar o caso hipotético onde um perpetrador utiliza uma vulabilidade no sistema operacional para invadir o servidor de web. Evento: Acesso interno ou externo ao equipamento através de falhas no sistema operacional devido a não atualização ou aplicação de pacotes de atualização fornecidos pelo fabricante. Probabilidade: Alta / Conseqüência: Alta. Risco: Alto.
 Neste caso, ao invés de identificarmos que o servidor possui uma falha na aplicação web, devemos tratar de forma conjunta todo o manancial deproblemas técnicos relativos a este servidor. Digo mais, todas estas falhas deverão ser tratadas através da aplicação de um único controle. Este controle é indicado na norma ISO 27002 como
Conclusão:
Hospitais se preocupam com a saúde dos pacientes porque sua principal missão é curar doenças e condições médicas, mas também deveriam estar preocupados com informações pessoais de saúde, constatei que caso se realizem, poderiam trazer danos a imagem do hospital, ou nos piores casos, até mesmo danos irreparáveis para a saúde de seus pacientes.
Assim, o setor de saúde deveria estar feliz, porque ele pode usar uma norma internacional como prestígio das ISOs, de forma a proteger informações pessoais de saúde. Obviamente, a saúde das pessoas e as informações relacionadas a saúde delas são muito importantes garantindo a confidencialidade, autenticidade, integridade, disponibilidade e irretratabilidade.
Deve-se também aplicar uma politica de sistema GED ou qualquer outra sistema RNP, de segurando em nuvem ou não para atendimento nas ferramentas do negocio com a devida segurança. Criptografia, por chave SSL, VPN para garantir e registrar os acessos dos funcionários e colaboradores, remoto ou não quando necessário para auditoria organizacional. Com o hardware para conectividade e regras do negocio atualizado e bem gerenciado, acredito que boa parte pode ser gerenciado e mantido por software.
Referência bibliográficas:
https://advisera.com/27001academy/pt-br/blog/2016/06/14/como-a-iso-27001-e-a-iso-27799-se-complementam-em-organizacoes-de-saude/
https://silo.tips/download/mapa-mental-iso-codigo-de-pratica-para-a-gestao-de-segurana-da-informaao
https://www.researchgate.net/publication/233907446_Seguranca_da_Informacao_em_Hospitais_A_Percepcao_da_Importancia_de_Controles_para_Gestores_e_Profissionais_de_TI
https://www.target.com.br/produtos/normas-tecnicas/36572/nbriso-iec27002-tecnologia-da-informacao-tecnicas-de-seguranca-codigo-de-pratica-para-controles-de-seguranca-da-informacao