3020-50 - PROJETO INTEGRADO MULTIDISCIPLINAR VIII

Prévia do material em texto

2
UNIVERSIDADE PAULISTA
Nome: Daniele Angelica Gonçalves Lemos R.A: 0579378
PIM VIII –
PROPOSTA DE MEDIDAS A SEREM ADOTADAS PARA PREVENIR, IDENTIFICAR E RECUPERAR POR MEIO DE UM PLANO DE CONTINUIDADE DE NEGÓCIO AS ATIVIDADES E INFORMAÇÃOES DE UMA CLÍNICA MÉDICA 
Barueri/SP
2022
UNIVERSIDADE PAULISTA
Nome: Daniele Angelica Gonçalves Lemos R.A: 0579378
PIM VIII – 
PROPOSTA DE MEDIDAS A SEREM ADOTADAS PARA PREVENIR, IDENTIFICAR E RECUPERAR POR MEIO DE UM PLANO DE CONTINUIDADE DE NEGÓCIO AS ATIVIDADES E INFORMAÇÃOES DE UMA CLÍNICA MÉDICA
Projeto Integrado Multidisciplinar VIII para obtenção do título de Tecnólogo em Segurança da Informação apresentado à Universidade Paulista – UNIP 
Orientador: Ricardo Sewaybriker.
Barueri/SP
2022
RESUMO
O Projeto Integrado Multidisciplinar - PIM VIII tem como objetivo executar os conhecimentos adquiridos nas disciplinas cursadas ao longo do bimestre: Gestão e Análise de Riscos, Computação Forense e Desastre, Recuperação e Gestão da Continuidade do Negócio. Através do estudo das matérias propor um plano de ação para uma clínica médica, visando prevenir, identificar e recuperar as atividades por meio de um plano de continuidade de negócio. Inicialmente, são mapeados os riscos que podem afetar a clínica, como vazamento de informações, interrupção dos serviços por desastres naturais, acidentais ou intencionais. Com base na análise de riscos, são propostas medidas preventivas, como segurança da informação, backup e redundância, treinamento e conscientização, e monitoramento proativo. Para lidar com vazamentos de informações, é recomendado o uso de métodos de forense computacional, incluindo isolamento e preservação de sistemas, coleta e análise de evidências digitais. Por fim, é apresentado um plano de recuperação de continuidade de negócio, com elementos como avaliação de impacto, estratégias de recuperação, comunicação e notificação, testes e revisão.
Palavra-chave: Gestão e Análise de Riscos, Computação Forense, Desastre, Recuperação e Gestão da Continuidade do Negócio.
ABSTRACT
The Multidisciplinary Integrated Project - PIM VIII aims to implement the knowledge acquired in the subjects studied during the two-month period: Risk Management and Analysis, Computer Forensics and Disaster, Recovery and Business Continuity Management. Through the study of the subjects propose an action plan for a medical clinic, aiming to prevent, identify and recover the activities through a business continuity plan. Initially, the risks that may affect the clinic are mapped, such as information leakage, interruption of services due to natural, accidental or intentional disasters. Based on the risk analysis, preventive measures are proposed, such as information security, backup and redundancy, training and awareness, and proactive monitoring. To deal with information leaks, the use of computer forensics methods is recommended, including isolation and preservation of systems, collection and analysis of digital evidence. Finally, a business continuity recovery plan is presented, with elements such as impact assessment, recovery strategies, communication and notification, testing and review.
Keywords: Risk Analysis and Management, Computer Forensics, Disaster Recovery and Business Continuity Management.
Sumário
1.	INTRODUÇÃO	6
2.	GESTÃO E ANÁLISE DE RISCOS	8
2.1.	ABNT NBR ISO 27001	8
2.2.	Ferramentas mais utilizadas na gestão e análise de risco	9
2.3.	Identificação dos principais riscos à segurança da informação na clínica médica:	10
2.4.	Análise das vulnerabilidades existentes e suas consequências potenciais:	11
2.5.	Proposição de medidas mitigatórias para cada risco identificado, levando em consideração as melhores práticas de segurança da informação:	11
3.	COMPUTAÇÃO FORENSE	13
3.1.	Escolha de um método forense computacional adequado para o caso de vazamento de informações por furto cibernético:	13
3.2.	Descrição detalhada do processo de investigação forense em caso de vazamento de informações:	14
3.3.	Ferramentas importantes mais utilizadas na investigação de Forense Computacional:	15
4.	DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO	17
4.1.	Plano de Recuperação de Continuidade dos Negócios	17
5.	RELATÓRIO DE IMPLEMENTAÇÃO DA GESTÃO E ANÁLISE DE SEGURANÇA DA INFORMAÇÃO	19
5.1.	Etapas elaboras para a elaboração do relatório:	19
6.	CONCLUSÃO	30
7.	REFERÊNCIAS	32
1. INTRODUÇÃO
A área da saúde desempenha um papel fundamental na sociedade, oferecendo serviços médicos essenciais para a comunidade. Nesse contexto, as clínicas médicas desempenham um papel crucial ao fornecer atendimento médico, diagnóstico e tratamento para os pacientes. No entanto, assim como qualquer outra organização, as clínicas estão expostas a diversos riscos, tanto em relação à segurança da informação quanto à continuidade dos negócios.
A segurança da informação é de extrema importância nas clínicas médicas, uma vez que elas lidam com informações sensíveis e adiantadas dos pacientes, como prontuários médicos, resultados de exames e informações pessoais. A proteção adequada desses dados é essencial para garantir a privacidade dos pacientes, a confidencialidade das informações médicas e evitar o uso indevido ou vazamento de dados pessoais.
Além disso, a continuidade dos negócios é um fator crítico para as clínicas médicas, uma vez que a interrupção dos serviços médicos pode ter consequências graves para a saúde dos pacientes e para a própria clínica. Desastres naturais, acidentes ou até mesmo ataques intencionais podem resultar na paralização das operações, prejudicando o atendimento aos pacientes e impactando a percepção e sustentabilidade da clínica.
Nesse contexto, o presente trabalho tem como objetivo desenvolver uma proposta de plano de ação para uma clínica médica, abordando a gestão de riscos à segurança da informação, a implementação de medidas preventivas, a aplicação de técnicas de forense computacional em casos de vazamento de informações e o desenvolvimento de um plano de recuperação de continuidade dos negócios.
Ao mapear os riscos que envolvem a segurança da informação na clínica, identificar as vulnerabilidades e propor medidas preventivas, espera-se minimizar as chances de ocorrência de incidentes de segurança e proteger efetivamente os dados dos pacientes. Além disso, a aplicação de técnicas de forense computacional permitirá identificar possíveis autores de fugas de informações, permitindo uma resposta eficiente e adoção de medidas corretivas adotadas.
Por fim, a elaboração de um plano completo de recuperação de continuidade dos negócios auxiliará a clínica a se preparar para situações de interrupção dos serviços, sejam elas causadas por desastres naturais, acidentes ou ações intencionais. Esse plano garantirá que a clínica seja capaz de retomar suas atividades o mais rápido possível, minimizando os negativos para os pacientes e para a organização como um todo.
Nesse sentido, este trabalho busca oferecer uma contribuição significativa para a área de segurança da informação e continuidade dos negócios em clínicas médicas, fornecendo um plano de ação abrangente e eficaz para mitigar riscos, proteger informações sensíveis e garantir a continuidade das atividades médicas em situações adversas.
2. GESTÃO E ANÁLISE DE RISCOS
A clínica médica decidiu armazenar seus prontuários em um sistema de nuvem da Amazon, levando em consideração vários fatores relacionados à gestão e análise de riscos. A escolha da plataforma em nuvem da Amazon Web Services (AWS) proporciona benefícios, como acesso fácil aos prontuários de qualquer lugar e a qualquer momento, melhorando a eficiência no atendimento aos pacientes.
Além disso, a escalabilidade oferecida pela AWS permite que a clínica ajuste a capacidade de armazenamento e processamento conforme necessário, evitando gastos excessivos e acompanhando o crescimento do negócio de maneira flexível. A segurança dos dados é uma preocupação, mas a Amazon possui uma sustentação sólida nesse aspecto, utilizandocriptografia, controle de acesso e monitoramento contínuo para proteger as informações dos clientes.
Devido a não ter incluído um serviço de contingenciamento no contrato estabelecido com a fornecedora, a clínica deve tomar medidas adicionais para garantir a segurança dos prontuários, como implementar políticas de segurança, treinar os funcionários em boas práticas de segurança cibernética e realizar auditorias regulares para identificar possíveis vulnerabilidades. 
2.1. ABNT NBR ISO 27001
A ABNT NBR ISO 27001 estabelece os requisitos para o estabelecimento, implementação, operação, monitoramento, revisão, manutenção e melhoria de um sistema de gestão de segurança da informação (SGSI). Seu objetivo principal é ajudar as organizações a protegerem suas informações contra ameaças de segurança e garantir a confidencialidade, integridade e disponibilidade dos dados.
A norma segue uma abordagem baseada em risco, o que significa que as organizações devem identificar, analisar e avaliar os riscos à segurança da informação e implementar controles apropriados para mitigar esses riscos. Ela abrange áreas como política de segurança, gestão de ativos, acesso físico e lógico, segurança em recursos humanos, gerenciamento de incidentes, entre outros.
A ABNT NBR ISO 27001 é amplamente adotada por organizações em diversos setores, como empresas privadas, instituições governamentais e organizações sem fins lucrativos. Ao implementar um SGSI de acordo com os requisitos da norma, as organizações podem demonstrar o comprometimento com a segurança da informação e fornecer confiança aos clientes, parceiros e demais partes interessadas.
2.2. Ferramentas mais utilizadas na gestão e análise de risco
Análise de Árvore de Eventos (AAE) é uma técnica que visa identificar e analisar as sequências de eventos que podem levar a um evento espontâneo, como um acidente. A AAE é usada para compreender as causas raiz dos eventos induzidos, identificando os caminhos e condições que levam a eles. A análise de árvore de eventos permite a identificação de medidas de prevenção e mitigação para evitar ou reduzir a ocorrência desses eventos.
Análise de Árvore de Falhas (AAF) é uma técnica utilizada para analisar e visualizar as possíveis sequências de eventos que podem levar a uma falha ou acidente. Na AAF, é construída uma árvore lógica que descreve os eventos e as relações de causa e efeito entre eles. A análise permite identificar as falhas principais, suas causas e as medidas de prevenção necessárias para evitar essas falhas.
Análise Preliminar de Risco (APR) é uma técnica que tem como objetivo identificar e avaliar os riscos associados a uma atividade, processo ou projeto. A APR envolve a identificação de perigos, a análise das consequências e a probabilidade de ocorrência de cada risco. Com base nessa análise, são determinadas medidas de controle e prevenção para minimizar os riscos.
Checklist é uma lista de verificação que contém itens específicos a serem verificados, inspecionados ou seguidos para garantir que um processo, tarefa ou atividade seja executado corretamente. É uma ferramenta simples e eficaz para garantir a conformidade com procedimentos, normas ou requisitos pré-definidos.
FMEA (Failure Mode and Effects Analysis) é uma técnica utilizada para identificar e analisar os modos de falha em um sistema, processo ou produto, avaliando suas possíveis consequências. A análise FMEA busca identificar as causas das falhas, suas probabilidades de ocorrência e suas gravidades. Com base nessas informações, são definidas ações corretivas e preventivas para mitigar os riscos identificados.
Os 5 Porquês é uma técnica de análise de causa raiz que busca identificar as causas fundamentais de um problema ou falha. A técnica envolve fazer repetidamente a pergunta "Por quê?" para chegar à causa raiz do problema. O objetivo é identificar as causas subjacentes e implementar medidas corretivas eficazes para evitar a recorrência do problema.
What If (E se...) é uma técnica de análise de riscos que envolve a formulação de perguntas "E se..." para explorar cenários hipotéticos e identificar problemas potenciais ou consequências indesejadas. A técnica é usada para estimular a criatividade e a reflexão sobre as possíveis falhas ou riscos em um sistema ou processo.
2.3. Identificação dos principais riscos à segurança da informação na clínica médica:
Para realizar o mapeamento dos riscos à segurança da informação na clínica médica, é necessário considerar os diversos pontos resultantes que podem comprometer a confidencialidade, integridade e disponibilidade dos dados:
Acesso não autorizado aos sistemas e informações médicas: Falhas na autenticação, senhas falhas, falta de controle de acesso adequado e políticas de segurança ineficientes podem permitir que indivíduos não autorizados acessem e comprometam os sistemas e as informações médicas.
Vazamento de informações: Uso inadequado de dispositivos de armazenamento, compartilhamento de informações alcançado por meio de canais não seguros, falhas na proteção da rede e ataques cibernéticos podem resultar em vazamento de informações enviadas aos pacientes.
Falhas na proteção dos dados em nuvem: Uma vez que os prontuários médicos são armazenados em uma plataforma em nuvem da Amazon, é fundamental avaliar os riscos associados a essa forma de armazenamento, como violação de dados na nuvem, falhas de segurança na infraestrutura e acesso não autorizado a informações armazenadas.
Riscos físicos: Incidentes como incêndios, inundações, furto ou danos físicos podem impactar a infraestrutura física da clínica, incluindo servidores, equipamentos de armazenamento e outros dispositivos, levando à perda ou indisponibilidade dos dados.
2.4. Análise das vulnerabilidades existentes e suas consequências potenciais:
Após a identificação dos riscos, é necessário realizar uma análise detalhada das vulnerabilidades existentes na clínica médica e compreender suas possíveis consequências. Isso envolve examinar as políticas de segurança atuais, a infraestrutura de TI, os processos de acesso e compartilhamento de informações, entre outros aspectos relevantes.
Falta de atualizações de segurança e patches: A não aplicação regular de atualizações de segurança e patches em sistemas operacionais, aplicativos e equipamentos pode deixar uma vulnerabilidade clínica a ataques e explorações de vulnerabilidades conhecidas.
Ausência de treinamento em conscientização de segurança: A falta de conscientização sobre práticas seguras entre os funcionários pode abrir brechas para ações não intencionais que comprometem a segurança da informação, como clicar em links maliciosos, abrir anexos suspeitos ou compartilhar senhas.
Má gestão de senhas: Senhas fracas, compartilhamento de senhas, falta de políticas de troca regular de senhas e a não utilização de autenticação multifator podem facilitar a invasão de contas e comprometer a segurança dos dados.
2.5. Proposição de medidas mitigatórias para cada risco identificado, levando em consideração as melhores práticas de segurança da informação:
Com base na análise dos riscos e vulnerabilidades, é fundamental propor medidas mitigatórias para reduzir a probabilidade de ocorrência de incidentes e minimizar seus efeitos:
Implementação de autenticação forte: Utilização de autenticação multifator, como senhas fortes combinadas com autenticação biométrica ou códigos de verificação, para garantir a segurança e proteger o acesso aos sistemas e informações.
Políticas de segurança e treinamento de conscientização: Desenvolvimento de políticas de segurança claras e abrangentes, juntamente com treinamentos regulares de conscientização, para educar os funcionários sobre as melhores práticas de segurança da informação e promover uma cultura de segurança.
Monitoramento contínuo e detecção de ameaças: Implementação de soluções de monitoramento de segurança em tempo real, como sistemas de detecção de intrusões e análise de logs, para identificar possíveis atividades maliciosas e responder rapidamente a incidentes.
Backupe recuperação de dados: Estabelecimento de políticas e procedimentos de backup regular dos dados, garantindo a sua integridade e disponibilidade em caso de perda de dados ou desastres.
Atualizações de segurança e patches: Implementação de um processo eficiente de gerenciamento de atualizações de segurança e patches, garantindo que todos os sistemas e aplicativos sejam atualizados e protegidos contra vulnerabilidades conhecidas.
Essas medidas preventivas, realizadas em melhores práticas de segurança da informação, visam mitigar os riscos identificados, proteger as informações dos pacientes e fortalecer a segurança da clínica médica como um todo. A implementação dessas medidas requer um planejamento adequado, envolvimento de todas as partes interessadas e monitoramento contínuo para garantir a eficácia das medidas preventivas seguidas.
Figura 1 - Relação entre segurança da informação, gestão de riscos, continuidade de negócio, TI, e segurança cibernética
Fonte: https://advisera.com/27001academy/pt-br/blog/2016/10/25/onde-a-seguranca-da-informacao-se-encaixa-em-uma-organizacao/
3. COMPUTAÇÃO FORENSE 
3.1. Escolha de um método forense computacional adequado para o caso de vazamento de informações por furto cibernético:
Para lidar com casos de vazamento de informações por furto cibernético, é crucial escolher um método de forense computacional adequado que possibilite a identificação da autoria e a coleta de evidências digitais. Dentre os métodos disponíveis, destaca-se a abordagem de análise forense em sistemas computacionais.
Justificativa da escolha do método e explicação de seus benefícios na identificação da autoria: A análise forense em sistemas computacionais é uma escolha adequada para casos de vazamento de informações por furto cibernético devido aos seguintes benefícios:
I. Coleta e preservação de evidências: A análise forense permite a coleta e a preservação adequada de provas digitais presentes nos sistemas dependentes. Isso inclui registros de logs, histórico de acesso, informações de rede, arquivos suspeitos e outras evidências que podem ser utilizadas para identificar a autoria do vazamento.
II. Análise detalhada do sistema comprometido: O método de análise forense permite uma investigação minuciosa do sistema comprometido, identificando possíveis pontos de entrada do invasor, rastros deixados no sistema, atividades suspeitas e outras informações relevantes. Essa análise ajuda a reconstruir os eventos e entender como o vazamento ocorreu.
III. Recuperação de informações ocultas: A análise forense também permite a recuperação de informações ocultas, excluídas ou criptografadas que podem ser importantes para a investigação. Isso inclui arquivos temporários, registros de histórico, metadados e outros reservatórios que podem fornecer pistas adicionais sobre a autoria do vazamento.
3.2. Descrição detalhada do processo de investigação forense em caso de vazamento de informações:
O processo de investigação forense em caso de vazamento de informações por furto cibernético pode ser dividido em várias etapas, incluindo:
I. Preparação: Nesta etapa, é importante definir os objetivos da investigação, obter autorização legal para conduzir a análise forense e identificar as partes envolvidas.
II. Coleta de documentos: A coleta de documentos deve ser realizada de maneira cuidadosa, garantindo a preservação adequada das informações digitais. Isso envolve a cópia forense dos dispositivos atendidos, os documentos de informações relevantes, como dados e horários, e a identificação dos sistemas e redes envolvidas.
III. Análise dos dados: A análise forense propriamente dita inclui a revisão dos dados coletados, a identificação de atividades suspeitas, a recuperação de informações ocultas e a intuitiva de eventos para construir um panorama dos eventos ocorridos.
IV. Identificação da autoria: Com base nas evidências coletadas e na análise realizada, é possível identificar os possíveis responsáveis ​​pelo vazamento de informações. Isso pode envolver a dinâmica de registros de acesso, análise de comportamento, identificação de técnicas de invasão e outras técnicas forenses.
V. Documentação e apresentação dos resultados: Por fim, é importante documentar todas as etapas do processo de investigação, incluindo as evidências coletadas, as analisadas realizadas e as tramitadas. Esses documentos servirão como base para a apresentação dos resultados da investigação às partes interessadas e, se necessário, para a tomada de medidas legais.
Através do uso adequado da análise forense em sistemas computacionais, é possível obter evidências sólidas, identificar a autoria do vazamento de informações por furto cibernético e fornecer suporte para medidas corretivas e preventivas adicionais.
Figura 2 – Ciclo da Investigação Computacional Forense
Fonte: https://sites.google.com/a/cristiantm.com.br/forense/forense-computacional/processo-de-investigacao
3.3. Ferramentas importantes mais utilizadas na investigação de Forense Computacional:
Sistema IPED (Integrated Platform for Digital Forensic Analysis): é uma ferramenta de análise forense digital usada para coletar, preservar, identificar, analisar e apresentar evidências digitais em investigações criminais. Ele é capaz de analisar uma ampla variedade de dispositivos e sistemas operacionais, incluindo computadores, smartphones, dispositivos de armazenamento externos e até mesmo imagens de nuvem. O IPED é particularmente útil para investigações em larga escala, permitindo que os investigadores processem grandes quantidades de dados rapidamente.
EnCase: é uma das ferramentas de análise forense digital mais conhecidas e utilizadas no mundo. Desenvolvida pela Guidance Software, agora parte da OpenText, a ferramenta é usada para coletar, preservar e analisar evidências digitais em uma variedade de casos, incluindo fraudes empresariais, crimes cibernéticos e investigações de segurança nacional. O EnCase pode ser usado para adquirir imagens de discos rígidos, analisar arquivos, recuperar informações excluídas e muito mais. Ele oferece recursos poderosos de análise e visualizações avançadas de dados para ajudar os investigadores a descobrir evidências importantes.
FTK (Forensic Toolkit): é uma ferramenta de análise forense digital desenvolvida pela AccessData. É uma das ferramentas mais abrangentes e amplamente utilizadas para análise e investigação de dados digitais. O FTK possui recursos avançados, como análise de memória, análise de registro, análise de dados criptografados, análise de arquivos excluídos e recuperação de dados em discos rígidos danificados. Ele também pode ser usado para analisar e coletar evidências em telefones celulares e dispositivos móveis. O FTK é amplamente utilizado por agências governamentais, empresas de segurança e departamentos de polícia em todo o mundo.
UFED Touch: é uma ferramenta de coleta e análise de evidências digitais móveis, desenvolvida pela Cellebrite. Ela é usada por investigadores e profissionais de segurança para extrair e decodificar dados de dispositivos móveis como smartphones, tablets e GPS. A UFED Touch pode recuperar informações críticas, como mensagens de texto, histórico de chamadas, contatos, fotos e vídeos, entre outros. A ferramenta também suporta uma ampla variedade de dispositivos e sistemas operacionais móveis, incluindo iOS, Android, BlackBerry, Windows Phone e Symbian. Além disso, a UFED Touch possui recursos avançados, como análise de aplicativos, descriptografia de senha, decodificação de dados excluídos e muito mais.
DFF (Digital Forensics Framework): é um conjunto de ferramentas de software de código aberto usado para coletar e analisar dados de vários dispositivos digitais em investigações forenses. Ele é usado principalmente para coletar e analisar dados em dispositivos como discos rígidos, pendrives, smartphones, tablets, entre outros. O DFF oferece uma interface gráfica do usuário que é fácil de usar e permite que os investigadores coletem e analisem os dados de forma eficiente. Ele também oferece suporte paraa maioria dos sistemas de arquivos e tipos de mídia, tornando-se uma ferramenta valiosa para investigações forenses.
Xplico: é uma ferramenta de análise forense de rede de código aberto. É usado para extrair dados de tráfego de rede, como e-mails, imagens, arquivos, senhas e outros dados, que podem ser usados em investigações criminais ou em outras aplicações de segurança. Com o Xplico, os usuários podem analisar o tráfego de rede em tempo real ou usar dados capturados anteriormente para identificar possíveis ameaças, violações de segurança ou outras atividades suspeitas. O Xplico é uma ferramenta poderosa e útil para analistas de segurança, equipes forenses e outras pessoas envolvidas na investigação de crimes cibernéticos e na proteção de redes e sistemas.
4. DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
4.1. Plano de Recuperação de Continuidade dos Negócios
I. Identificação dos cenários possíveis de interrupção dos serviços da clínica:
Para garantir a continuidade dos serviços médicos em diferentes situações, é necessário identificar os cenários possíveis de interrupção. Esses cenários podem incluir:
Desastres naturais: Identificar os desastres naturais mais comuns na região, como terremotos, enchentes, incêndios florestais, tempestades, entre outros, que podem impactar a infraestrutura física da clínica e interferir nas operações.
Incidentes acidentais: Considerar incidentes acidentais, como falhas de energia, problemas na infraestrutura de TI, falhas no fornecimento de água, incêndios internos, entre outros, que podem afetar as operações e a disponibilidade dos serviços médicos.
Ações intencionais: Levar em consideração a possibilidade de ações intencionais, como ataques cibernéticos, vandalismo, furtos, sabotagem, que podem comprometer a segurança da clínica e a continuidade dos serviços.
II. Desenvolvimento de um plano completo de recuperação de continuidade dos negócios:
Com base nos cenários identificados, é necessário desenvolver um plano completo de recuperação de continuidade dos negócios para cada situação. Esse plano deve incluir:
Avaliação de impacto: Realizar uma análise detalhada do impacto de cada cenário na clínica, identificando as áreas mais críticas e os serviços essenciais que devem ser priorizados durante a recuperação.
Estabelecimento de equipes e responsabilidades: Designar equipes de resposta a emergências e atribuir responsabilidades claras para cada membro da equipe, incluindo a coordenação de comunicação interna e externa, gerenciamento de recursos, recuperação de dados, entre outros.
Plano de comunicação: Desenvolver um plano de comunicação eficaz, incluindo procedimentos para informar os funcionários, pacientes, fornecedores, autoridades e outras partes interessadas sobre a situação de interrupção dos serviços e as medidas tomadas para garantir a continuidade.
Recuperação de infraestrutura e sistemas: Estabelecer procedimentos claros para a recuperação da infraestrutura física e dos sistemas de TI afetados, incluindo a definição de backups e planos de restauração de dados, bem como a avaliação e reabilitação das instalações danificadas.
Alternativas de localização e fornecedores: Identificar alternativas de localização temporária ou de apoio em caso de danos severos nas principais, bem como estabelecer relacionamentos com fornecedores de serviços essenciais para garantir a continuidade das operações.
Treinamento e testes: Realizar treinamentos regulares com as equipes de resposta a emergências e realizar testes periódicos do plano de recuperação para garantir sua eficácia e identificar oportunidades de melhoria.
III. Medidas específicas para minimizar o impacto e garantir a continuidade dos serviços médicos:
Além do plano de recuperação, é importante incluir medidas específicas para minimizar o impacto das continuidades e garantir a continuidade dos serviços médicos. Isso pode incluir:
Políticas de segurança da informação: Estabelecer políticas claras de segurança da informação, incluindo o uso de acesso adequado de senhas, controle de sistemas, criptografia de dados sensíveis, monitoramento contínuo de ameaças cibernéticas, entre outras medidas para proteger as informações dos pacientes.
Backup e recuperação de dados: Implemente um sistema de backup regular e confiável para os dados da clínica, garantindo que as informações críticas sejam protegidas e possam ser recuperadas em caso de falhas ou desastres.
Planos de contingência: Desenvolver planos de contingência para situações específicas, como falta de energia, falhas de comunicação ou avarias em equipamentos essenciais, para que os serviços médicos possam ser atendidos mesmo durante crianças menores.
Monitoramento e detecção de ameaças: Implementar sistemas de monitoramento e detecção de ameaças, tanto físicas quanto digitais, para identificar precocemente possíveis incidentes e agir rapidamente para mitigar seu impacto.
Ao incorporar essas medidas no plano de recuperação de continuidade dos negócios, a clínica médica estará mais bem preparada para enfrentar a continuidade e garantir a continuidade dos serviços, minimizando o impacto nos pacientes e no negócio como um todo.
5. RELATÓRIO DE IMPLEMENTAÇÃO DA GESTÃO E ANÁLISE DE SEGURANÇA DA INFORMAÇÃO
5.1. Etapas elaboras para a elaboração do relatório: 
Descrição do processo de implantação da gestão e análise de riscos à segurança da informação na clínica médica. Para garantir a segurança da informação na clínica médica, foi adotado o Modelo utilizado na gestão e análise de riscos: FMEA (Failure Mode and Effects Analysis).
I. Levantamento de informações: 
Registros médicos dos pacientes: Informações pessoais dos pacientes (nome, data de nascimento, endereço, número de telefone etc. Histórico médico, incluindo condições pré-existentes, alergias, medicamentos em uso, cirurgias anteriores etc. Resultados de exames laboratoriais, como exames de sangue, urina, radiografias, entre outros. Anotações de consultas médicas, diagnósticos e tratamentos prescritos.
Dados financeiros: Informações de seguros de saúde dos pacientes. Detalhes de pagamentos, como faturas, recibos e transações financeiras. Informações de reembolsos e registros de seguros.
Informações de funcionários: Dados pessoais dos funcionários (nome, data de nascimento, endereço, número de telefone, etc.).Registro de horas trabalhadas, recompensas, benefícios e folhas de pagamento.
Informações de fornecedores: Detalhes de fornecedores de equipamentos médicos, medicamentos, suprimentos e outros serviços relacionados à clínica.
Políticas e procedimentos internos: Documentos relacionados às políticas e regulamentos da clínica médica. Procedimentos operacionais padrão (POPs) para várias atividades, como agendamento de consultas, gerenciamento de registros médicos, protocolos de segurança etc.
Dados de pesquisa clínica: Informações relacionadas a estudos e ensaios clínicos processados pela clínica. Consentimentos informados assinados pelos pacientes participantes.
Comunicações internas e externas: E-mails, mensagens de texto e outras comunicações eletrônicas entre funcionários da clínica, pacientes e outros profissionais de saúde. Documentos e relatórios enviados e recebidos de outras instituições médicas ou de saúde.
II. Análise de riscos: 
Registros médicos dos pacientes: Ameaças: Acesso não autorizado por pessoal interno ou externo. Perda ou roubo de dispositivos físicos que receberam registros médicos. Ataques cibernéticos, como hackers ou malware. Uso inadequado ou divulgação de informações por funcionários. Vulnerabilidades: Falta de controles de acesso adequados aos registros médicos. Falta de proteção ou medidas de segurança para proteger os dispositivos físicos. Falhas de segurança nos sistemas de TI, como senhas falhas ou falta de atualizações de segurança. Falta de treinamento adequado em segurança da informação para os funcionários. Consequências: Violação da privacidade dos pacientes. Roubo de identidade ou fraude financeira. Danos à acreditação da clínica médica. Sanções legais eregulatórias. 
Dados financeiros: Ameaças: Acesso não autorizado a informações financeiras. Ataques cibernéticos direcionados a dados financeiros. Erros de processamento ou manipulação de dados financeiros. Vulnerabilidades: Falhas nos sistemas de pagamento ou processamento de transações. Falta de criptografia ou medidas de segurança para proteger informações financeiras. Falta de controles de acesso adequados aos dados financeiros. Consequências: Fraude financeira. Danos à credibilidade da clínica. Sanções legais e regulatórias.
Informações de funcionários: Ameaças: Acesso não autorizado às informações pessoais dos funcionários. Uso indevido ou divulgação química de informações pessoais. Vulnerabilidades: Falta de controles de acesso adequados às informações dos funcionários. Falta de treinamento em segurança da informação para os funcionários. Consequências: Violação da privacidade dos funcionários. Roubo de identidade. Danos à credibilidade da clínica.
Informações de fornecedores: Ameaças: Acesso não autorizado a informações de fornecedores. Divulgação detalhada de informações a terceiros. Vulnerabilidades: Falta de controles de acesso adequados às informações de fornecedores. Falta de contratos de confidencialidade com fornecedores. Consequências: Danos à credibilidade da clínica. Violação de acordos contratuais.
Políticas e procedimentos internos: Ameaças: Acesso não autorizado a políticas e procedimentos internos. Divulgação detalhada de políticas e procedimentos a terceiros. Vulnerabilidades: Falta de controles de acesso adequados às políticas e procedimentos internos. Falta de treinamento em segurança da informação para os funcionários. Consequências: Divulgação de informações estratégicas. Danos à credibilidade da clínica.
Dados de pesquisa clínica: Ameaças: Acesso não autorizado a informações de pesquisa clínica. Divulgação eficiente de informações úteis. Vulnerabilidades: Falta de controles de acesso adequados aos dados de pesquisa clínica. Falta de contratos de confidencialidade com os participantes da pesquisa. Consequências: Violação da privacidade dos participantes da pesquisa. Danos à credibilidade da clínica. Sanções legais e regulatórias.
Comunicações internas e externas: Ameaças: Interceptação ou acesso não autorizado a comunicações eletrônicas. Divulgação eficiente de informações úteis. Vulnerabilidades: Falta de criptografia ou medidas de segurança para proteger as comunicações eletrônicas. Falta de treinamento em segurança da informação para os funcionários. Consequências: Violação da privacidade das comunicações. Divulgação eficiente de informações úteis. Danos à credibilidade da clínica.
III. Avaliação de impacto: 
Registros médicos dos pacientes: Violação da privacidade dos pacientes e potencial dano à confiança dos pacientes na clínica médica. Possibilidade de uso indevido das informações para fraudes financeiras ou roubo de identidade dos pacientes. Danos à crença da clínica médica, geraram em perda de pacientes e oportunidades de negócios. Riscos legais e regulatórios, como violação de leis de proteção de dados e multas associadas.
Dados financeiros: Fraudes financeiras, como roubo de informações de cartão de crédito ou uso indevido de informações bancárias. Danos à crença da clínica médica, levando a uma perda de confiança dos pacientes e parceiros comerciais. Sanções e sanções financeiras decorrentes do não cumprimento de regulamentos de proteção de dados e privacidade.
Informações de funcionários: Violação da privacidade dos funcionários, com possíveis consequências negativas para a relação empregador-empregado. Riscos de roubo de identidade e possíveis efeitos financeiros para os funcionários. Danos à acreditação da clínica médica como um local de trabalho seguro e confiável.
Informações de fornecedores: Divulgação de informações obtidas dos fornecedores, levando a perdas de contratos e danos à credibilidade da clínica. Possíveis impactos financeiros devido a processos ou disputas contratuais resultantes da violação de informações de fornecedores.
Políticas e procedimentos internos: Violação da privacidade dos participantes da pesquisa e possível dano à confiança na clínica médica como local de pesquisa. Possíveis consequências legais e regulatórias, como multas e compensatórias. Danos à acreditação da clínica médica como instituição de pesquisa confiável.
Comunicações internas e externas: Violação da privacidade das comunicações e possível exposição de informações confidenciais. Danos à crença da clínica médica devido à apresentação de informações favoráveis. Riscos legais e regulatórios associados à não conformidade com os requisitos de proteção de dados e privacidade.de proteção contra ameaças cibernéticas, como firewalls e filtros de spam, para mitigar o risco de interceptação ou acesso não autorizado.
IV. Medidas mitigatórias: 
Registros médicos dos pacientes: Implementar um sistema de gerenciamento de registros médicos eletrônicos seguros, com controles de acesso adequados e registros de auditoria. Faça backups regulares dos registros médicos para evitar a perda de dados em caso de falhas ou ataques. Criptografar os registros médicos em trânsito e em repouso para garantir a confidencialidade das informações. Realizar treinamentos regulares para funcionários sobre as melhores práticas de segurança da informação e importância da proteção dos registros médicos.
Dados financeiros: A utilização de sistemas de pagamento de seguros e acompanhamento, em conformidade com os padrões de segurança da indústria. Implementar medidas de segurança, como criptografia e autenticação de dois fatores, para proteger as informações financeiras dos pacientes. Mantenha um registro detalhado de todas as transações financeiras e verifique regularmente os registros para identificar atividades suspeitas. Realizar auditorias internas e externas para garantir a conformidade com as regulamentações financeiras e a eficácia das medidas de segurança integradas.
Informações de funcionários: Estabelecer políticas e procedimentos claros para o trânsito e proteção das informações pessoais dos funcionários. Limitar o acesso às informações pessoais dos funcionários apenas aos funcionários autorizados com base em necessidade de acesso. Realizar verificações regulares de antecedentes e processos de seleção rigorosa para reduzir o risco de ameaças internas. Fornecer treinamentos em segurança da informação para os funcionários, enfatizando a importância da confidencialidade dos dados pessoais.
Informações de fornecedores: Estabelecer contratos e acordos de confidencialidade com os fornecedores, definindo claramente as responsabilidades de proteção de informações obtidas. Realizar estimativas de segurança e diligência dos fornecedores antes de compartilhar informações processuais. Monitorar regularmente as práticas de segurança dos fornecedores e revisar os acordos periodicamente para garantir a conformidade contínua. Implementar controles de acesso e segregação de funções para restringir o acesso a informações dos fornecedores apenas aos funcionários autorizados.
Políticas e procedimentos internos: Estabelecer políticas de segurança da informação abrangentes, incluindo políticas de acesso, uso aceitável, proteção de dados e gerenciamento de incidentes. Certifique-se de que os funcionários sejam devidamente treinados e conscientizados sobre as políticas e procedimentos internos. Implementar controles de acesso baseados em função para restringir o acesso a informações internas apenas aos funcionários autorizados. Realizar auditorias regulares para avaliar a conformidade com as políticas e procedimentos internos.
Dados de pesquisa clínica: Seguir as diretrizes éticas e regulatórias para proteção dos dados de pesquisa clínica, obtendo consentimento informado dos participantes. Armazenar os dados de pesquisa clínica em sistemas seguros, com controles de acesso de qualidade e criptografia de dados. Limitar o acesso aos dados de pesquisa clínica apenas a pessoas autorizadas com base em necessidade de acesso.Realizar revisões periódicas dos protocolos de pesquisa e dos processos de coleta e armazenamento de dados para garantir a conformidade com as regulamentações.
Comunicações internas e externas: Implementar soluções de criptografia para comunicações eletrônicas sensíveis, como e-mails e mensagens de texto. Estabelecer políticas de uso aceitáveis ​​para as comunicações eletrônicas e fornecer orientações sobre a segurança das informações. Realize treinamentos regulares em conscientização em segurança da informação para funcionários, enfatizando a importância da comunicação segura. Utilizando ferramentas de segurança, como firewalls, antivírus e filtros de spam, para proteger as comunicações contra ameaças cibernéticas.
V. Implementação das medidas: 
Avaliação da infraestrutura existente: Analise os processos, sistemas e controles de segurança da informação atualmente em vigor na clínica médica. Identifique as lacunas e áreas de melhoria em relação às medidas mitigatórias propostas.
Planejamento e priorização: Com base na avaliação, estabeleça um plano de implementação detalhado, definindo as etapas, prazos e responsabilidades. Priorize as medidas mitigatórias de acordo com a criticalidade dos riscos identificados.
Adoção de soluções tecnológicas: Identificar e implementar as soluções tecnológicas necessárias para fortalecer a segurança da informação. Isso pode incluir a atualização ou aquisição de sistemas de gerenciamento de registros médicos seguros eletrônicos, soluções de criptografia, ferramentas de proteção contra ameaças cibernéticas e sistemas de backup assistidos.
Treinamento e conscientização: Realize treinamentos regulares para os funcionários sobre as melhores práticas de segurança da informação, destacando a importância da proteção de dados e o uso correto dos sistemas e processos implementados. Promova a conscientização sobre a importância da segurança da informação e a necessidade de aderir às políticas e procedimentos.
Revisão de políticas e procedimentos: Atualize as políticas e procedimentos existentes para refletir as medidas mitigatórias propostas e as melhores práticas de segurança da informação. Certifique-se de que as políticas estejam claras, sejam de fácil acesso e compreensíveis para todos os funcionários.
Integração aos processos e sistemas existentes: Garanta que as medidas mitigatórias sejam integradas de forma adequada aos processos e sistemas da clínica médica. Isso pode envolver revisão e adaptação dos fluxos de trabalho, definição de controles de acesso, designação de responsabilidades e criação de registros de auditoria.
Monitoramento e revisão contínua: Estabeleça trocas de monitoramento e revisão contínua para garantir que as medidas mitigatórias estejam sendo efetivas. Realize estimativas periódicas de segurança da informação, auditorias internas e externas, e ajuste as medidas conforme necessárias com base nas lições aprendidas e nas mudanças no ambiente de ameaças.
VI. Apresentação dos resultados obtidos e das melhorias integradas
Relatório de Resultados e Melhorias em Segurança da Informação 
Introdução: Este relatório tem como objetivo apresentar os resultados obtidos e as melhorias integradas à clínica médica em relação à segurança da informação. Após a conclusão de um processo abrangente de gestão e análise de riscos, foram identificados os principais pontos de vulnerabilidade e comprometidos medidas mitigatórias para reduzir a probabilidade de ocorrência dos riscos e minimizar seus efeitos. O relatório destaca os principais resultados alcançados e descreve as melhorias implementadas.
1.	Resumo das medidas mitigatórias integradas:
Registro médico dos pacientes: foi adotado um sistema de gerenciamento de registros médicos eletrônicos seguros, com controles de acesso adequados e criptografia de dados.
Dados financeiros: Foram implementadas medidas de segurança, como sistemas de pagamento seguros, criptografia de informações financeiras e auditorias regulares.
Informações de funcionários: Estabeleceu-se políticas claras de proteção de informações pessoais dos funcionários, limitando o acesso a pessoas autorizadas e fornecendo treinamentos em segurança da informação.
Informações de fornecedores: Foram firmados contratos de confidencialidade com os fornecedores e realizadas verificações de segurança.
Políticas e procedimentos internos: As políticas de segurança da informação foram atualizadas, incluindo diretrizes claras para acesso, uso aceitável e proteção de dados.
Dados de pesquisa clínica: Foram implementados controles de acesso, processamento seguro e processos de consentimento informados.
Comunicações internas e externas: Soluções de criptografia foram adotadas para comunicações eletrônicas sensíveis, juntamente com políticas de uso aceitáveis e treinamentos de conscientização em segurança da informação.
2.	Resultados obtidos:
Melhoria na proteção e confidencialidade dos registros médicos dos pacientes, garantindo o risco de acesso não autorizado e violação de privacidade. 
Fortalecimento da segurança dos dados financeiros, mitigando o risco de fraudes e vazamento de informações financeiras dos pacientes. 
Proteção adequada das informações pessoais dos funcionários, minimizando o risco de uso indevido ou divulgação não autorizada. 
Aumento da segurança das informações de fornecedores, garantindo a confidencialidade e integridade dos dados compartilhados. 
Adoção de políticas e procedimentos atualizados para promover a conformidade com as regulamentações de segurança da informação e a melhoria contínua das práticas internacionais.
Maior proteção dos dados de pesquisa clínica, assegurando a confidencialidade e integridade das informações dos participantes.
Reforço da segurança das comunicações internas e externas, minimizando o risco de interceptação ou divulgação não autorizada de informações sensíveis.
3.	Melhorias integradas:
Implementação de uma cultura de segurança da informação, com treinamentos regulares e conscientização para todos os funcionários. Revisão e atualização contínua das políticas e procedimentos internos, levando em consideração as mudanças nas regulamentações e nas melhores práticas. Monitoramento constante da infraestrutura de segurança da informação, com auditorias regulares e revisão de conformidade. Investimento em soluções tecnológicas avançadas para aprimorar a segurança dos sistemas e a proteção dos dados.
Conclusão: A implementação das medidas mitigatórias propostas resultou em melhorias na segurança da informação da clínica médica. A proteção dos registros médicos dos pacientes, dados financeiros, informações de funcionários, fornecedores, políticas internas, dados de pesquisa clínica e comunicações foram fortalecidas. As melhorias integradas, como treinamentos, revisões de políticas e procedimentos, monitoramento contínuo e investimento em tecnologia, garantem a sustentabilidade e adaptação às mudanças futuras na segurança da informação.
Este relatório serve como um documento essencial das medidas integradas e dos resultados alcançados, fornecendo uma visão abrangente do compromisso da clínica médica com a segurança da informação e as práticas de proteção de dados.
Assinatura: Daniele Angelica Gonçalves Lemos Data: 15/05/2023
VII. Recomendações para a manutenção contínua da segurança da informação na clínica
Monitoramento e revisão: Estabelecer um processo de monitoramento contínuo dos riscos, vulnerabilidades e ameaças, bem como realizar revisões periódicas das medidas adotadas para garantir sua eficácia e atualização.
Treinamento e conscientização: Promova treinamentos e ações de conscientização regularmente, visando capacitar os colaboradores da clínica sobre as melhores práticas de segurança da informação e importância da proteção dos dados dos pacientes.
Atualização das políticas e procedimentos: Manter as políticas e procedimentos de segurança da informação atualizada, de acordo com as mudanças nos ambientes tecnológicos e regulatórios, garantindo que reflitam as necessidades atuais da clínica.
Testes de segurança:Realizar testes de segurança regulares, como simulações de ataques cibernéticos, para avaliar a eficácia das medidas adotadas e identificar possíveis lacunas na segurança.
Ao seguir essas recomendações, a clínica médica poderá manter a segurança da informação de forma contínua, protegendo os dados dos pacientes e garantindo a confidencialidade, integridade e disponibilidade das informações críticas.
6. CONCLUSÃO 
Neste trabalho, foi apresentada uma proposta de plano de ação para uma clínica médica, abordando a segurança da informação e a continuidade dos negócios. Ao longo das etapas avançadas, foram mapeados os riscos à segurança da informação, medidas preventivas, escolhidas um método de forense computacional para fuga de informações e elaborado um plano de recuperação de continuidade dos negócios para cenários de interrupção dos serviços da clínica.
A segurança da informação e a continuidade dos negócios são aspectos fundamentais para a área da saúde, especialmente quando se trata do tratamento e manipulação de informações sensíveis dos pacientes. Os riscos associados a vazamentos de informações, ataques cibernéticos e permanentes podem comprometer a privacidade, a integridade e a disponibilidade dos dados, bem como a prestação adequada de serviços médicos.
Através do mapeamento de riscos e da adoção de medidas preventivas, é possível identificar e mitigar as vulnerabilidades existentes na clínica médica, mantendo as chances de ocorrência de incidentes de segurança. Além disso, a utilização de métodos de forense computacional possibilita a identificação da autoria em casos de fuga de informações, auxiliando nas investigações e na aplicação das medidas corretivas.
A elaboração de um plano de recuperação de continuidades de negócios é essencial para garantir que uma clínica possa lidar de forma eficiente com continuidades causadas por desastres naturais, acidentais ou intencionais. Esse plano deve contemplar medidas específicas para cada cenário identificado, visando minimizar o impacto das continuidades e assegurar a continuidade dos serviços médicos, de forma a atender às necessidades dos pacientes.
Para futuras pesquisas e aprimoramentos na área de segurança da informação em clínicas médicas, sugere-se investigar novas técnicas e tecnologias que possam contribuir para a detecção precoce de ameaças, o fortalecimento das medidas de proteção e recuperação ágil em caso de incidentes. Além disso, é importante considerar as regulamentações e normas específicas do setor de saúde, buscando uma abordagem mais integrada e eficaz para garantir a segurança da informação e a continuidade dos negócios em ambientes clínicos.
7. REFERÊNCIAS
Análise de risco: entenda o que é, como funciona e quando usar.CLEARSALE, 2022. Disponível em:<https://blogbr.clear.sale/analise-de-risco-entenda-como-funciona-e-quando-usar/>.Acesso em: 08/05/2023. 
ANDRADE, Ana Paula. 7 principais ferramentas para análise e gerenciamento de risco. LOGIQUE,2018. Disponível em: <https://www.logiquesistemas.com.br/blog/ferramentas-analise-e-gerenciamento-de-risco/> Acesso em:09/05/2023
Conheça as principais ferramentas utilizadas na investigação forense computacional. IPOG, 2020. Disponível em: <https://blog.ipog.edu.br/tecnologia/principais-ferramentas-utilizadas-na-investigacao-forense-computacional/> Acessado em: 09/05/2023
Gestão Empresarial: o que é, como funciona e como aplicar. FIA, 2018. Disponivel em: <https://fia.com.br/blog/gestao-empresarial/> Acesso em: 08/05/2023
Hospital Sírio-Libanês migra workloads para nuvem AWS. AWS, 2020. Disponível em:<https://aws.amazon.com/pt/solutions/case-studies/hospital-sirio-libanes/>.Acesso em: 08/05/2023. 
KOSUTIC, Dejan. Onde a segurança da informação se encaixa em uma organização? ADVISERA, 2016. Disponível em: <https://advisera.com/27001academy/pt-br/blog/2016/10/25/onde-a-seguranca-da-informacao-se-encaixa-em-uma-organizacao/> Acesso em: 09/05/2023
LOPES, Petter Anderson. FORENSE DIGITAL – COMPUTAÇÃO FORENSE – PERÍCIA FORENSE COMPUTACIONAL. PERITUM, 2016. Disponível em: <https://periciacomputacional.com/forensedigital-pericia-forense-computacional/> Acesso em: 10/05/2023
O sistema IPED Forense: Processador e Indexador de Evidências Digitais da Polícia Federal.AFD, 2022. Disponível em: <https://academiadeforensedigital.com.br/sistema-iped-forense/> Acesso em: 10/05/2023
Processo de Investigação. FORENCE COMPUTACIONAL, 2008. Disponível em: <https://sites.google.com/a/cristiantm.com.br/forense/forense-computacional/processo-de-investigacao/> Acessado em: 10/05/2023
Recuperação de desastres ou continuidade dos negócios? Veja o que garantir. TELIUM, 2018. Disponível em: <https://www.telium.com.br/blog/recuperacao-de-desastres-ou-continuidade-dos-negocios-veja-o-que-garantir> Acesso em: 11/05/2023