GESTÃO DA SEG DA INFORMAÇÃO PROJETO INTEGRADO MULTIDISCIPLINAR VIII

Prévia do material em texto

UNIP EaD
Projeto Integrado Multidisciplinar
Cursos Superiores de Tecnologia
Proposta de medidas a serem adotadas para prevenir, identificar e recuperar, por meio de um plano de continuidade de negócio, as atividades e as informações de uma clínica médica.
UNIP Alphaville
2022
UNIP EaD
Projeto Integrado Multidisciplinar
Cursos Superiores de Tecnologia
Proposta de medidas a serem adotadas para prevenir, identificar e recuperar, por meio de um plano de continuidade de negócio, as atividades e as informações de uma clínica médica.
Nome(s) completo(s) do(s) aluno(s):
Danilo Maia de Satel
RA(s): 0418918
Curso: Segurança da Informação
Semestre: 3° Semestre
UNIP Alphaville
2022
RESUMO
O presente trabalho é de grande importância para compreendermos os conteúdos abordados nas matérias estudadas no semestre – Computação Forense, Gestão e Análise de Riscos e Desastre, Recuperação e Gestão da Continuidade do Negócio. Nele, descreveremos uma proposta de medidas a serem adotadas para prevenir, identificar e recuperar as atividades de uma clínica médica.
Palavras-chave: Computação Forense, Gestão e Análise de Riscos e Desastre, Recuperação e Gestão da Continuidade do Negócio.
ABSTRACT
This work is of great importance for us to understand the content covered in the subjects studied during the semester - Computer Forensics, Risk and Disaster Management and Analysis, Recovery and Business Continuity Management. In it, we will describe a proposal of measures to be adopted to prevent, identify and recover the activities of a medical clinic.
Keywords: Computer Forensics, Risk and Disaster Management and Analysis, Recovery and Business Continuity Management.
LISTA DE FIGURAS
FIGURA 1											10
FIGURA 2											12
LISTA DE TABELAS
TABELA 1 										9
TABELA 2 									 11
SUMÁRIO
1. INTRODUÇÃO									8
2. GESTÃO E ANÁLISE DE RISCOS						9
3. COMPUTAÇÃO FORENSE							12
4. DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO									14
5. CONCLUSÃO									16
	
6. REFERÊNCIAS BIBLIOGRÁFICAS						17
1. INTRODUÇÃO
A utilização de recursos tecnológicos para comunicação e informação é aplicada atualmente em diferentes setores – tanto econômicos quanto sociais. No setor da saúde, não foi diferente. As informações, que antes eram armazenadas em papéis, somente, hoje são disponibilizadas digitalmente. Esse novo formato impactou positivamente o processo de gerência da saúde e a partir disso, surgiu a necessidade de padronizar a comunicação dos dados de saúde, principalmente entre sistemas interoperáveis. Padrões e protocolos foram criados e adotados, especialmente diante da possibilidade das informações serem expostas, adulteradas ou corrompidas – por isso a importância de se ter segurança na comunicação e no compartilhamento de dados entre os sistemas de saúde. Não se preocupar com essas falhas pode acarretar danos irreversíveis, por se tratar de informações pertinentes principalmente de pacientes. Mediante isso, tecnologias de segurança surgiram nos últimos anos. Fazendo uma análise multidisciplinar, o presente projeto integrado visa mostrar propostas a serem adotadas para prevenir, identificar e recuperar as atividades de uma clínica médica.
2. GESTÃO E ANÁLISE DE RISCOS
Segundo Kobayashi e Furuie (2007), a TI engloba todas as atividades de um hospital, desde a admissão e o tratamento de pacientes, até o acompanhamento do almoxarifado de medicamentos e suprimentos, passando ainda pela disponibilidade de leitos. Os registros médicos têm evoluído e gradualmente estão sendo deixados de serem feitos em papel para serem feitos em sistemas informatizados – os Registros Eletrônicos de Saúde (RES). A quantidade e a diversidade das informações que precisam ser armazenadas, processadas e gerenciadas criam a necessidade de se estabelecer controles de segurança, reguladas por normas legais. 
As informações armazenadas e processadas em um ambiente hospitalar/clínico são trocadas tanto entre diferentes setores internos (Ruotsalainen, 2004) quanto por entidades que interagem com o hospital/clínica (Kwak, 2005) e que necessitam dessas informações para as mais diversas finalidades (Kobayashia; Furuie, 2007). Empresas de seguro de vida, planos de saúde, organismos de saúde pública e programas sociais, além dos próprios médicos e áreas de apoio da clínica, podem acessar essas informações. Assim, se faz necessário discutir padrões, questões éticas, privacidade, confidencialidade e segurança das informações dos pacientes (Raghupathi; Tan, 2002). A falta de controle, procedimentos e políticas de segurança da informação podem levar ao uso indevido das informações dos serviços de saúde – o que levaria ao desencorajamento do uso de TI e a eventual recusa de pacientes em fornecer dados, comprometendo o tratamento e a pesquisa médica.
Como reflexo das questões citadas e o crescimento da utilização de TI – o que inclui o acesso remoto ao sistema através de dispositivos móveis, por exemplo – o Conselho Federal de Medicina (CFM) emite diversos alertas e pareceres em resposta a consultas de captura, armazenamento e transmissão de dados nos serviços de saúde.
As possíveis ameaças e vulnerabilidades referentes aos ativos da tecnologia da informação estão na tabela abaixo:
	AMEAÇA
	VULNERABILIDADE
	FALHA DE DISCO
	NÃO EXISTE CÓPIA DE SEGURANÇA DO DOCUMENTO
	VÍRUS
	ANTIVÍRUS NÃO ATUALIZADO 
	ACESSO NÃO AUTORIZADO
	ESQUEMA DE CONTROLE DE ACESSO NÃO FOI APROPRIADAMENTE DEFINIDO
	ACESSO NÃO AUTORIZADO
	ACESSO DADO A PESSOAS EM EXCESSO
Tabela 1: Lista de possíveis ameaças e vulnerabilidade
Todas essas vulnerabilidades e ameaças trazem uma potencial perda de confidencialidade, integridade e disponibilidade das informações. A confidencialidade é a garantia de que apenas as pessoas autorizadas tenham acesso à informação. A integridade envolve a proteção contra a modificação ou a destruição imprópria da informação por pessoas não autorizadas, alterando a autenticidade da informação. A disponibilidade é a garantia do acesso à informação com confiança, sempre que necessário. Qualquer informação que esteja incompleta ou incorreta afeta de forma negativa a pesquisa médica, gerando resultados incorretos, uma vez que as informações de saúde que constam nos meios eletrônicos se referem à saúde, privacidade e segurança do paciente.
O 14º Relatório Anual sobre Segurança da Infraestrutura Global de Redes (WISR – Worldwide Infrastructure Security Report) de 2018, o Brasil tem o maior porcentual de ataques DDoS (Distributed Denial of Service), que levam a perda acidental de dados, congestionamento da internet ocasionada por ataques DDoS, extorsão por ataque ou ameaça de DDoS, interrupção acidental de serviço, insider malicioso, espionagem ou extração de dados, exposição de dados sujeitos à regulamentação e IoTs comprometidos.
Figura 1: Comparação Global x Brasil de ataques DDoS Fonte: GAT Digital
O processo de Gestão de riscos engloba os seguintes elementos:
· Estabelecimento do contexto;
· Avaliação de riscos (identificação, análise e avaliação de riscos);
· Tratamento de riscos;
· Comunicação e consulta;
· Monitoramento e análise crítica.
Para avaliar a magnitude de um risco, a fim de quantificar seu impacto negativo, podemos utilizar como metodologia a forma proposta pela norma ABNT NBR ISO 31000:2009, conforme disposta na tabela 2:
	PESO
	CRITÉRIOS
	PROBABILIDADE
	5
	Muito Alta
	50% < Probabilidade <= 100%
	4
	Alta
	20% < Probabilidade <= 50%
	3
	Média
	8% < Probabilidade <= 20%
	2
	Baixa
	2% < Probabilidade <= 8%
	1
	Muito Baixa
	0% < Probabilidade <= 2%
Tabela 2: Critérios de Probabilidade ISO31000
3. COMPUTAÇÃO FORENSE
A Computação Forense, para identificar infratores, possui uma perícia digital especializada que possui ferramentas de investigação forense computacional, que fazem a coleta, preservam e analisam os dados em dispositivos eletrônicos, para serem usados como provas.
Figura 2: Fases de um processo de investigação Fonte: Search and Seizure Manual
Nos últimos anos, segundopesquisas na área, foi descoberto que práticas consideradas normais no nosso dia-a-dia, como acessar e-mails, são altamente perigosas e suscetíveis a ataques externos. Por conta disso, as empresas vêm bloqueando o acesso a sites não relacionados ao trabalho. Se por um lado, evita ataques externos de hackers, não evita ataques internos, que normalmente são mais difíceis de prevenir. Por ataques internos, entendemos como vazamentos de dados e informações por parte dos funcionários ou terceirizados.
Os ataques contra a indústria da saúde aumentaram significantemente por conta da facilidade de acesso aos sistemas. Em alguns casos, em troca do resgate de dados, quando o sistema está muito comprometido, os malwares exigem recompensas caras – sabendo que diante da urgência dos dados, as clínicas irão pagar o valor pedido. Somado à alta vulnerabilidade dos sistemas de TI, muitas vezes eles estão desatualizados, o que contribui ainda mais para o aumento da frequência desses ataques.
Uma medida essencial para garantir a cibersegurança de ambientes da área da saúde, é apostar em soluções avançadas capazes de monitorar todas as atividades, em todos os endpoints, sendo possível identificar qualquer processo desconhecido e interromper as ações de malwares antes mesmo de ele ser executado. A análise da atividade suspeita ocorre para então, caso seja legitimada, ser executada. É a chamada postura Zero Trust (Confiança Zero) – que garante total segurança ao sistema de TI. 
A Agência Nacional de Vigilância Sanitária (Anvisa), em 2020, publicou o guia “Princípios e Práticas de Cibersegurança em Dispositivos Médicos”, visando dar recomendações às boas práticas no gerenciamento de cibersegurança, assim todos os usuários entendem seu papel de proteger e fortalecer os dispositivos médicos, evitando futuros ataques, problemas ou incidentes indesejados.
4. DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
A recuperação após desastres é referente à área de planejamentos de segurança que visa proteger a determinada organização de eventos inesperados, permitindo a manutenção ou o rápido retorno das funções após o desastre de dados, sem perdas ou danos significativos às operações ou receitas. Quando falamos de eventos catastróficos, não nos referimos apenas aos desastres naturais, como furacões, tornados ou terremotos, mas também aos incidentes de segurança, como falhas de equipamentos, ataques cibernéticos e até mesmo terrorismo.
Por conta disso, é importante a clínica e qualquer instituição do ramo da saúde, criar planos de recuperação após desastres, detalhando os processos a serem seguidos e ações que devem ser tomadas para a retomada das funções.
Um dos aspectos mais importantes da recuperação de um desastre é ter um local a partir do qual a recuperação pode ser feita. No nosso caso, um local equipado, ou hot site, seria o ideal – uma instalação substituta com especificações que podem atender a demanda da empresa, com sistemas, aplicativos e os dados necessários para a realização do trabalho. Assim, é possível retornar as funções logo quando necessário. Os dados recebidos são replicados em tempo real. É uma tática cara, mas totalmente eficiente se tratando do setor da saúde, onde precisamos dos dados o mais depressa possível.
A partir disso, devemos seguir o passo a passo dos procedimentos elaborados no planejamento como, por exemplo, organizar a retirada e a entrega dos backups feitos e a alocação dos funcionários necessários para a restauração do ambiente. É importante ter em mente durante a elaboração do planejamento que o site de backup precisa ser capaz de funcionar mesmo que o sistema principal esteja disponível. 
A disponibilização de funcionários para a restauração do ambiente deve considerar que o desenrolar do desastre pode levar horas, sendo necessário um determinado número de funcionários para efetuar as operações. Com a normalização dos serviços, assim que o sistema for restabelecido, a equipe deve retornar para a normalidade no ambiente principal. É importante que todos os funcionários estejam cientes e preparados para esses casos de desastres, até mesmo para checar a eficiência do planejamento de segurança, através de simulações, de modo a esgotar todos os possíveis eventos. Somente com as simulações de desastres podemos verificar se os planos possuem falhas ou não – evitando a geração de prejuízos para a clínica caso os funcionários não estejam preparados para essas situações, levando a perda de dados e pausa momentânea ou encerramento das atividades naquele período.
O chamado “tempo de inatividade” é provavelmente a maior das despesas de TI que uma empresa pode enfrentar. Com base em estatísticas de recuperação, após desastres dos anos de 2014 e 2015, uma hora de inatividade pode custar até US$ 8 mil às empresas de pequeno porte, US$ 74 mil às de médio porte e US$700 mil às grandes organizações. Logo, ter um plano de recuperação implementado pode proteger sua empresa de diversos riscos, como danos à reputação, despesas que estão fora do orçamento, perda de dados e impacto negativo para os clientes.
5. CONCLUSÃO
O trabalho aqui apresentado teve a finalidade de apresentar de forma prática as matérias estudadas no semestre. Foi importante observar a importância da Segurança da Informação em organizações da área da saúde, no nosso caso, uma clínica, considerando o número de informações sobre pacientes que esses sistemas costumam armazenar. Através da interdisciplinaridade entre Computação Forense, Gestão e Análise de Riscos e Desastre, Recuperação e Gestão da Continuidade do Negócio, pudemos verificar a vulnerabilidade dos sistemas de clínicas e hospitais, o que torna esses ambientes altamente suscetíveis a ataques e desastres, daí a importância da segurança na TI.
 
 
6. REFERÊNCIAS BILBIOGRÁFICAS
FERREIRA, Silvio. Gerenciamento Avançado de Redes de Computadores – Universo dos Livros. Ano: 2014. Disponível em: http://www.saraiva.com.br/gerenciamento-avancado-de-redes-de-computadores-4080053.html. Acesso em 
Gestão de Riscos de Ativos de Segurança da Informação. GAT Digital. https://www.gat.digital/blog/risco-de-ativos-em-seguranca-da-informacao/. Acesso em 
KOBAYASHI, L. O. M.; FURUIE, S. S. Segurança em Informações Médicas: Visão Introdutória e Panorama Atual. Revista Brasileira de Engenharia Biomédica. n.1, v.23, p.53-77, abr. 2007.
KWAK, Y. S. International Standards for Building Electronic Health Record (EHR). In: 7th International Workshop on Enterprise Networking and Computing in Healthcare Industry – HEALTHCOM 2005. Proceedings... Busan, jun. 2005. p.18-23.
MENDES, Douglas Rocha. Redes de Computadores – Teoria e Prática. Ano: 2007. Disponível em: http://novatec.com.br/livros/redescom/. Acesso em 
Práticas de Segurança para Administradores de Redes internet. Disponível em: http://www.cert.br/docs/seg-adm-redes/seg- adm-redes.pdf. Acesso em 
RAGHUPATHI, W.; TAN, J. Strategic IT Applications in Health Care. Communications of the ACM. v.45, n.12, p.56-61. 2002.
RUOTSALAINEN, P. A. A Cross-platform Model for Secure Electronic Health Record Communication. International Journal of Medical Informatics. v.73, n.3, p.291-295. 2004.
2
2
2