GEST DA SEG DA INFORMAÇÃO PROJETO INTEGRADO MULTIDISCIPLINAR VIII

Prévia do material em texto

2
2
UNIP EaD
Projeto Integrado Multidisciplinar
Cursos Superiores de Tecnologia
Segurança e Continuidade do Negócio em Clínicas Médicas: Uma Abordagem Integrada de Computação Forense e Análise de Riscos
UNIP Alphaville
2023
UNIP EaD
Projeto Integrado Multidisciplinar
Cursos Superiores de Tecnologia
Segurança e Continuidade do Negócio em Clínicas Médicas: Uma Abordagem Integrada de Computação Forense e Análise de Riscos
 
 Nome(s) completo(s) do(s) aluno(s):
 Danilo Maia de Satel
RA(s): 0418918
Curso: Segurança da Informação
Semestre: 4° Semestre
UNIP Alphaville
2023
RESUMO
O objetivo deste estudo é de extrema importância, uma vez que busca compreender os tópicos discutidos durante o semestre, que incluem Computação Forense, Gestão e Análise de Riscos, além de Desastre, Recuperação e Gestão da Continuidade do Negócio. O propósito central deste trabalho é descrever uma proposta de medidas a serem implementadas para prevenir, detectar e restaurar as operações de uma clínica médica.
Palavras-chave: Computação Forense, Gestão e Análise de Riscos e Desastre, Recuperação e Gestão da Continuidade do Negócio.
ABSTRACT
The objective of this study is extremely important, as it seeks to understand the topics discussed during the semester, which include Computer Forensics, Risk Management and Analysis, as well as Disaster Recovery and Business Continuity Management. The main purpose of this work is to describe a proposal of measures to be implemented to prevent, detect and restore the operations of a medical clinic.
Keywords: Computer Forensics, Risk and Disaster Management and Analysis, Recovery and Business Continuity Management.
LISTA DE TABELAS
TABELA 1 										9
TABELA 2 										11
SUMÁRIO
1. INTRODUÇÃO									7
2. GESTÃO E ANÁLISE DE RISCOS						8
3. COMPUTAÇÃO FORENSE							11
4. DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO									13
5. CONCLUSÃO									16
6. REFERÊNCIAS BIBLIOGRÁFICAS						17
1. INTRODUÇÃO
A aplicação de recursos tecnológicos para comunicação e informação é amplamente disseminada em diversos setores, tanto no âmbito econômico quanto no social. No setor da saúde, essa tendência também é evidente. A transição dos tradicionais registros em papel para o formato digital trouxe inúmeras melhorias para a gestão da saúde. 
No entanto, essa mudança exigiu a implementação de padrões de comunicação dos dados de saúde, especialmente entre sistemas interoperáveis. A preocupação com a segurança da comunicação e do compartilhamento de dados entre os sistemas de saúde tornou-se uma prioridade, devido à possibilidade de exposição, adulteração ou corrupção das informações. 
Esse risco é ainda mais crítico quando se trata de dados sensíveis de pacientes. Em resposta a essas preocupações, surgiram tecnologias de segurança avançadas nos últimos anos. O objetivo deste projeto integrado é apresentar uma abordagem multidisciplinar e propor medidas preventivas, identificação e recuperação das atividades de uma clínica médica, considerando todos os aspectos relevantes para garantir a proteção e a integridade dos dados de saúde.
2. GESTÃO E ANÁLISE DE RISCOS
Segundo Kobayashi e Furuie (2007), a Tecnologia da Informação (TI) desempenha um papel abrangente em todas as atividades de um ambiente hospitalar, desde o momento da admissão e tratamento dos pacientes até o eficiente gerenciamento do estoque de medicamentos e suprimentos, incluindo a otimização da disponibilidade de leitos. 
A transição gradual dos registros médicos do tradicional formato em papel para sistemas informatizados, como os Registros Eletrônicos de Saúde (RES), tem sido uma realidade em constante evolução. Essa mudança reflete a necessidade de lidar com a crescente quantidade e diversidade de informações que precisam ser adequadamente armazenadas, processadas e gerenciadas. 
Diante desse cenário, torna-se imprescindível a implementação de controles de segurança rigorosos, em conformidade com as normas legais pertinentes. Esses controles visam garantir a integridade, a privacidade e a confidencialidade dos dados, considerando a troca de informações não apenas entre diferentes setores internos de uma instituição de saúde, conforme mencionado por Ruotsalainen (2004), mas também com entidades externas que interagem com hospitais e clínicas, como empresas de seguro de vida, planos de saúde, organismos de saúde pública e programas sociais, conforme discutido por Kwak (2005). 
Além disso, a segurança das informações dos pacientes surge como uma preocupação central, envolvendo questões éticas e a necessidade de estabelecer políticas eficazes de segurança da informação. A ausência de tais controles, procedimentos e políticas pode resultar no uso indevido das informações de saúde, minando a confiança no uso da Tecnologia da Informação (TI) e potencialmente afetando negativamente tanto o tratamento quanto a pesquisa médica. 
Como resposta a essas questões, o Conselho Federal de Medicina (CFM) emite alertas e pareceres, fornecendo diretrizes específicas em relação à captura, armazenamento e transmissão de dados nos serviços de saúde, em consonância com o crescente uso de Tecnologia da Informação (TI) e o acesso remoto aos sistemas através de dispositivos móveis, como destacado no texto.
As possíveis ameaças e vulnerabilidades referentes aos ativos da tecnologia da informação estão na tabela abaixo:
	AMEAÇA
	VULNERABILIDADE
	FALHA DE DISCO
	NÃO EXISTE CÓPIA DE SEGURANÇA DO DOCUMENTO
	VÍRUS
	ANTIVÍRUS NÃO ATUALIZADO 
	ACESSO NÃO AUTORIZADO
	ESQUEMA DE CONTROLE DE ACESSO NÃO FOI APROPRIADAMENTE DEFINIDO
	ACESSO NÃO AUTORIZADO
	ACESSO DADO A PESSOAS EM EXCESSO
Tabela 1: Lista de possíveis ameaças e vulnerabilidade
Essas vulnerabilidades e ameaças acarretam riscos significativos para a confidencialidade, integridade e disponibilidade das informações. A confidencialidade garante que apenas indivíduos autorizados tenham acesso aos dados, enquanto a integridade visa proteger contra alterações ou destruição indevida das informações por pessoas não autorizadas, preservando a autenticidade dos dados. A disponibilidade garante o acesso confiável às informações quando necessário. É importante destacar que qualquer informação incompleta ou incorreta impacta negativamente a pesquisa médica, pois os dados de saúde armazenados eletronicamente estão intrinsecamente ligados à saúde, privacidade e segurança dos pacientes.
Conforme revelado no 14º Relatório Anual sobre Segurança da Infraestrutura Global de Redes (WISR – Worldwide Infrastructure Security Report) de 2018, o Brasil se destaca com a maior taxa de ataques DDoS (Distributed Denial of Service), os quais acarretam consequências adversas, como a perda acidental de dados, o congestionamento da internet devido a ataques DDoS, a extorsão por meio de ataques ou ameaças de DDoS, a interrupção não intencional de serviços, a presença de insiders maliciosos, a espionagem ou extração de dados, a exposição de informações sujeitas a regulamentações e o comprometimento de dispositivos IoT. Esses ataques representam uma ameaça significativa à segurança cibernética no país, demandando a adoção de medidas robustas de proteção e aprimoramento contínuo das estratégias de defesa para combater essas atividades prejudiciais.
O processo de Gestão de riscos engloba os seguintes elementos:
· Avaliação de riscos (identificação, análise e avaliação de riscos);
· Comunicação e consulta;
· Estabelecimento do contexto;
· Monitoramento e análise crítica.
· Tratamento de riscos;
Para avaliar a magnitude de um risco, a fim de quantificar seu impacto negativo, podemos utilizar como metodologia a forma proposta pela norma ABNT NBR ISO 31000:2009, conforme disposta na tabela 2:
	PESO
	CRITÉRIOS
	PROBABILIDADE
	5
	Muito Alta
	50% < Probabilidade <= 100%
	4
	Alta
	20% < Probabilidade <= 50%
	3
	Média
	8% < Probabilidade <= 20%
	2
	Baixa
	2% < Probabilidade <= 8%
	1
	Muito Baixa
	0% < Probabilidade<= 2%
Tabela 2: Critérios de Probabilidade ISO31000
3. COMPUTAÇÃO FORENSE
No campo da Computação Forense, desempenhando um papel essencial na identificação de infratores, os especialistas em perícia digital contam com uma variedade de ferramentas altamente especializadas de investigação forense computacional. Essas ferramentas são meticulosamente projetadas para coletar, preservar e analisar os dados presentes em dispositivos eletrônicos, a fim de obter informações relevantes que possam ser utilizadas como provas substanciais em processos legais. Através de técnicas avançadas de análise, os peritos digitais são capazes de identificar rastros digitais, reconstruir atividades suspeitas e fornecer um embasamento forense sólido para apoiar a investigação e promover a justiça. A perícia digital é uma disciplina altamente especializada que requer conhecimentos técnicos e habilidades específicas para garantir a integridade das evidências coletadas e sua admissibilidade em um contexto legal.
Estudos recentes na área revelaram que atividades cotidianas, como o acesso a e-mails, são consideradas altamente perigosas e estão sujeitas a ataques externos. Para mitigar esse risco, muitas empresas têm implementado restrições ao acesso de sites não relacionados ao trabalho. Embora essa medida seja efetiva na prevenção de ataques externos perpetrados por hackers, é importante ressaltar que os ataques internos representam um desafio adicional. Esses ataques internos envolvem o vazamento de dados e informações por parte de funcionários ou terceirizados, o que geralmente é mais difícil de ser detectado e prevenido. Portanto, é essencial que as organizações adotem medidas adicionais para garantir a segurança interna, como a implementação de políticas de acesso restrito, monitoramento contínuo e programas de conscientização para seus colaboradores, visando minimizar o risco de ataques internos e proteger a integridade dos dados sensíveis da empresa.
Houve um aumento significativo nos ataques cibernéticos direcionados à indústria da saúde, impulsionado pela facilidade de acesso aos sistemas. Em certos casos, quando os sistemas estão profundamente comprometidos, os malwares exigem um resgate em troca dos dados, explorando a urgência das clínicas em recuperar suas informações vitais. Esses resgates frequentemente envolvem valores exorbitantes, aproveitando-se do fato de que as clínicas estão dispostas a pagar para garantir a recuperação de seus dados sensíveis. Além disso, a alta vulnerabilidade dos sistemas de Tecnologia da Informação (TI), frequentemente desatualizados, contribui significativamente para o aumento da incidência desses ataques. É essencial que as clínicas e instituições de saúde estejam plenamente conscientes dessas ameaças e implementem medidas abrangentes de segurança cibernética, como atualizações regulares dos sistemas, treinamento de conscientização para os funcionários e a adoção de protocolos robustos de proteção de dados, a fim de mitigar efetivamente essas crescentes vulnerabilidades.
Uma medida essencial para garantir a cibersegurança nos ambientes da área da saúde é adotar soluções avançadas que ofereçam a capacidade de monitorar todas as atividades em cada um dos pontos finais (endpoints). Essas soluções são capazes de identificar e interromper qualquer processo desconhecido relacionado a malwares antes mesmo de sua execução. A análise detalhada das atividades suspeitas ocorre antes da execução dos processos, seguindo uma abordagem conhecida como Confiança Zero (Zero Trust), que envolve a avaliação minuciosa de cada atividade em busca de legitimidade antes de permitir sua execução. Essa abordagem oferece uma segurança abrangente ao sistema de TI, garantindo que apenas processos confiáveis sejam executados e protegendo contra ameaças cibernéticas avançadas que possam comprometer a integridade e a privacidade dos dados sensíveis na área da saúde.
Em 2020, a Agência Nacional de Vigilância Sanitária (Anvisa) divulgou o guia intitulado "Princípios e Práticas de Cibersegurança em Dispositivos Médicos". Esse guia tem como objetivo primordial oferecer recomendações e diretrizes para a adoção de boas práticas na gestão da cibersegurança. Ao promover a conscientização de todos os usuários sobre a importância de proteger e fortalecer os dispositivos médicos, visa-se prevenir a ocorrência de futuros ataques, problemas ou incidentes indesejados nesse contexto. Ao seguir as orientações estabelecidas no guia, os usuários estarão capacitados a implementar medidas eficazes de segurança, promovendo a integridade e a confiabilidade dos dispositivos médicos e contribuindo para a melhoria contínua da segurança cibernética na área da saúde.
4. DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
A recuperação após desastres refere-se a uma área específica de planejamento de segurança, cujo propósito é salvaguardar uma organização contra eventos imprevistos, possibilitando a manutenção ou a rápida retomada de suas operações após um desastre de dados, sem sofrer perdas ou danos significativos. Esses eventos catastróficos vão além de desastres naturais, como furacões, tornados ou terremotos, e também incluem incidentes de segurança, como falhas de equipamentos, ataques cibernéticos e até mesmo atos de terrorismo. 
É fundamental destacar que a recuperação pós-desastre não se limita apenas à restauração das operações, mas também engloba a preservação da integridade dos dados, a continuidade das receitas e a minimização do impacto negativo sobre a reputação e a confiança dos clientes. Para alcançar uma recuperação eficaz, são necessários planos abrangentes, testes regulares, sistemas de backup robustos e a colaboração entre as partes interessadas para lidar com os desafios decorrentes desses eventos inesperados.
Em virtude disso, é imprescindível que clínicas e instituições de saúde estabeleçam planos de recuperação pós-desastre, nos quais sejam detalhados os processos a serem seguidos e as medidas a serem tomadas para a retomada das funções. Um dos aspectos de maior relevância na recuperação após um desastre é a disponibilidade de um local apropriado a partir do qual essa recuperação possa ser efetuada. 
No caso em questão, seria ideal contar com um hot site, que consiste em uma instalação substituta totalmente equipada, com todas as especificações necessárias para atender às demandas da empresa, incluindo sistemas, aplicativos e os dados essenciais para a continuidade das atividades. Essa abordagem possibilita um retorno ágil das funções assim que necessário, pois os dados são replicados em tempo real. Embora seja uma medida dispendiosa, é uma estratégia altamente eficiente, especialmente no setor da saúde, no qual a prontidão no acesso aos dados é de extrema importância para garantir a continuidade dos serviços e a segurança dos pacientes.
Como parte do processo, é necessário seguir minuciosamente os procedimentos estabelecidos no planejamento, como organizar a retirada e a entrega dos backups realizados e alocar os funcionários necessários para a restauração do ambiente. Durante a elaboração do planejamento, é de suma importância ter em mente que o site de backup deve ter plena capacidade de operar de forma independente, mesmo na ausência do sistema principal. 
Essa consideração garante a continuidade das operações, permitindo que o site de backup assuma plenamente as funções essenciais no caso de indisponibilidade do sistema principal. Além disso, a alocação adequada de recursos humanos é crucial para uma restauração eficaz, garantindo que os profissionais certos estejam disponíveis e capacitados para executar as tarefas necessárias. Dessa forma, a organização estará preparada para enfrentar qualquer cenário de desastre com eficiência e garantir a rápida retomada das operações essenciais.
Ao disponibilizar funcionários para a restauração do ambiente, é necessário levar em consideração que o desdobramento do desastre pode se estender por horas, exigindo um número adequado de profissionais para realizar asoperações necessárias. Após a normalização dos serviços, assim que o sistema for restabelecido, a equipe deve retornar ao ambiente principal para retomar suas atividades normais. 
É de suma importância que todos os funcionários estejam plenamente cientes e preparados para lidar com esses casos de desastre, inclusive por meio da realização de simulações que testem a eficiência do planejamento de segurança e identifiquem eventuais falhas. Somente por meio dessas simulações de desastre é possível avaliar se os planos possuem falhas ou não, o que permite evitar a ocorrência de prejuízos para a clínica. A preparação adequada dos funcionários para essas situações críticas é fundamental para prevenir a perda de dados, bem como para evitar interrupções ou até mesmo o encerramento temporário das atividades durante esses períodos desafiadores.
O tempo de inatividade é indubitavelmente uma das despesas mais impactantes que uma empresa pode enfrentar no campo da Tecnologia da Informação. Com base em estatísticas de recuperação de desastres dos anos de 2014 e 2015, constatou-se que cada hora de inatividade pode acarretar um custo de até US$ 8 mil para empresas de pequeno porte, US$ 74 mil para empresas de médio porte e um impressionante montante de US$ 700 mil para grandes organizações. Esses custos elevados estão relacionados a uma ampla gama de fatores, que incluem perda de receitas, despesas emergenciais, reparação de danos, diminuição da produtividade e até mesmo o risco de ações legais. Portanto, é de vital importância para uma empresa possuir um plano de recuperação implementado, visando protegê-la contra os diversos riscos inerentes ao tempo de inatividade, tais como danos à reputação, despesas imprevistas que extrapolam o orçamento, perda de dados valiosos e impacto negativo nos clientes e parceiros comerciais. Ter um plano de recuperação sólido é essencial para garantir a continuidade dos negócios, minimizando os efeitos adversos causados pelo tempo de inatividade e salvaguardando a estabilidade financeira e a reputação da empresa.
Um plano de recuperação eficiente desempenha um papel crucial na minimização desses riscos, permitindo uma resposta rápida e eficaz diante de eventos imprevistos. Ao estabelecer diretrizes claras e procedimentos bem definidos, o plano de recuperação capacita a organização a reagir de maneira ágil e precisa, garantindo a continuidade das operações e preservando a saúde financeira e a reputação da empresa. Ao ter um plano de recuperação eficiente implementado, a organização estará preparada para enfrentar qualquer desastre ou incidente de segurança que possa surgir, agindo de forma coordenada e eficiente para minimizar os impactos negativos. 
Além disso, a capacidade de resposta rápida fornecida pelo plano de recuperação demonstra o comprometimento da organização com a resiliência e a proteção dos seus ativos, transmitindo confiança aos clientes e parceiros de negócios. Em última análise, um plano de recuperação eficiente não apenas ajuda a mitigar os riscos associados a eventos inesperados, mas também fortalece a posição competitiva da empresa, permitindo que ela se recupere de forma ágil e retome suas atividades normais com o mínimo de interrupção possível.
5. CONCLUSÃO
O objetivo prático deste trabalho foi oferecer uma abordagem concreta das disciplinas estudadas ao longo do semestre. Durante essa análise, destacou-se a importância fundamental da Segurança da Informação nas organizações do setor da saúde, com um enfoque específico em clínicas. 
Uma observação de destaque foi a quantidade significativa de informações sensíveis sobre os pacientes que esses sistemas costumam armazenar, o que demanda uma atenção especial à proteção desses dados. Ao considerar a interdisciplinaridade entre as disciplinas de Computação Forense, Gestão e Análise de Riscos e Desastre, Recuperação e Gestão da Continuidade do Negócio, foi possível identificar a vulnerabilidade dos sistemas utilizados por clínicas e hospitais, bem como os riscos e ameaças aos quais esses ambientes estão sujeitos. 
Essa análise acentuou a necessidade premente de investir em medidas de segurança no âmbito da Tecnologia da Informação para salvaguardar as informações críticas dos pacientes e mitigar os riscos associados. Ao adotar uma abordagem abrangente, esse trabalho contribuiu para o entendimento da importância da segurança na TI em ambientes de saúde, fornecendo conhecimentos essenciais para a proteção dos dados e a garantia da confidencialidade e integridade das informações dos pacientes.
 
 
6. REFERÊNCIAS BILBIOGRÁFICAS
FERREIRA, Silvio. Gerenciamento Avançado de Redes de Computadores – Universo dos Livros. Ano: 2014. Disponível em: http://www.saraiva.com.br/gerenciamento-avancado-de-redes-de-computadores-4080053.html. Acesso em:
Gestão de Riscos de Ativos de Segurança da Informação. GAT Digital. https://www.gat.digital/blog/risco-de-ativos-em-seguranca-da-informacao/. Acesso em:
KOBAYASHI, L. O. M.; FURUIE, S. S. Segurança em Informações Médicas: Visão Introdutória e Panorama Atual. Revista Brasileira de Engenharia Biomédica. n.1, v.23, p.53-77, abr. 2007.
KWAK, Y. S. International Standards for Building Electronic Health Record (EHR). In: 7th International Workshop on Enterprise Networking and Computing in Healthcare Industry – HEALTHCOM 2005. Proceedings... Busan, jun. 2005. p.18-23.
MENDES, Douglas Rocha. Redes de Computadores – Teoria e Prática. Ano: 2007. Disponível em: http://novatec.com.br/livros/redescom/. Acesso em:
Práticas de Segurança para Administradores de Redes internet. Disponível em: http://www.cert.br/docs/seg-adm-redes/seg- adm-redes.pdf. Acesso em:
RAGHUPATHI, W.; TAN, J. Strategic IT Applications in Health Care. Communications of the ACM. v.45, n.12, p.56-61. 2002.
RUOTSALAINEN, P. A. A Cross-platform Model for Secure Electronic Health Record Communication. International Journal of Medical Informatics. v.73, n.3, p.291-295. 2004.