Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE ESTADUAL DE FEIRA DE SANTANA DEPARTAMENTO DE CIENCIAS SOCIAIS APLICADAS UM MODELO PARA IMPLEMENTAÇÃO DE UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA ÁREA DE SAÚDE Feira de Santana-BA Março - 2006 MARCELO COSTA MURITIBA UM MODELO PARA IMPLEMENTAÇÃO DE UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA ÁREA DE SAÚDE Monografia apresentada ao Curso de Administração da Universidade Estadual de Feira de Santana como requisito parcial à obtenção do título de Bacharel em Administração. Orientadora: Profª. Drª Kil Hyang Park Feira de Santana 2006 MARCELO COSTA MURITIBA UM MODELO PARA IMPLEMENTAÇÃO DE UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA ÁREA DE SAÚDE Esta monografia foi julgada e aprovada para a obtenção do título de Bacharel em Administração da Universidade Estadual de Feira de Santana Feira de Santana, 16 de março de 2006. __________________________________ Profª. Drª Kil Hyang Park Orientadora AGRADECIMENTOS A meus ícones de respeito, amor e dedicação: meus pais. Antes e durante este percurso, agradeço também a muitos colegas e amigos que me incentivaram a trilhá-lo e torná-lo possível. A orientadora deste trabalho, Pr.ª Kil Hyang Park, pelo carinho, atenção, paciência e principalmente pela sua brilhante atuação neste trabalho. “Saber é compreendermos as coisas que mais nos convém” Friedrich Wilhelm Nietzsche RESUMO Esta monografia sugere um modelo para implementação de um Sistema de Gestão de Segurança da Informação na área de saúde. Sua composição é baseada na revisão literária acerca do tema e na análise de normas e padrões da área de segurança (ISO 17799) e da gestão em saúde (Resolução nº 1.639/2002). Seu objetivo é descrever as razões e os benefícios da Segurança da Informação, integrando visões, antes isoladas, que servirão de auxilio para gerentes, administradores ou gestores de TI na área hospitalar, assim como aos demais interessados. Palavras-chave: Segurança da Informação, Gestão Hospitalar, Normas e Padrões de Segurança, informática, prontuário eletrônico. SUMÁRIO INTRODUÇÃO................................................................................................................1 CAPÍTULO 1 1. Gestão da Informação...................................................................................................3 1.1. Gestão da Informação na área de Saúde....................................................................3 1.2. Gestão da Segurança da Informação..........................................................................8 1.2.1. Medidas de Segurança..........................................................................................11 1.2.2. Barreiras de Segurança.........................................................................................11 CAPÍTULO 2 2. Normas e Padrões de Segurança da Informação em Saúde........................................13 2.1. ISO 17799................................................................................................................13 2.2. Resolução CFM nº 1.639/2002 e Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistema de Registro Eletrônico em Saúde (RES)........................15 CAPÍTULO 3 3. Segurança da Informação em forma de Lei................................................................19 3.1. Classificação dos Crimes de Informática.................................................................21 3.2. Leis...........................................................................................................................22 3.3. A Prova dos crimes de Informática..........................................................................25 CAPÍTULO 4 4. Um Modelo para implementação de um Sistema de Gestão de Segurança da Informação na área de Saúde..........................................................................................26 CONSIDERAÇÕES FINAIS.........................................................................................36 REFERÊNCIAS..............................................................................................................38 1 INTRODUÇÃO Em todas as empresas, a Informação é de fundamental importância para a gestão do negócio, seja como apoio à tomada de decisão seja no esforço por menor custo, melhor produtividade, agilidade e competitividade. Décadas atrás, as informações eram tratadas de forma centralizada e ainda pouco automatizadas. A tecnologia da informação estava começando, os computadores eram primitivos e os preços dos equipamentos limitavam o acesso a eles. Rapidamente a aquisição foi facilitada e os documentos manuscritos foram aos poucos sendo digitalizados. Depois apareceram os terminais remotos e o compartilhamento dos dados, tornando os processos mais velozes. Logo surgiram as redes de computadores e os processos se tornaram automatizados. Os equipamentos foram se tornando cada vez mais portáteis e presentes e as informações mais integrada e compartilhada, chegando às grandes redes mundiais como a Internet. Assim, as organizações passaram a criar um elevado grau de dependência da informação e da infra-estrutura que as mantêm. Por outro lado, passou a estar vulnerável às ameaças que garantem a integridade dessas informações e da continuidade do negócio. Apesar da grande importância, pouco estudo foi desenvolvido sobre a Gestão da Segurança da Informação com um enfoque na área de Saúde. A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegida. O Sistema de Gestão da Segurança da Informação (SGSI) protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades. A complexidade tecnológica e funcional do mercado de saúde justifica a criação de um modelo de SGSI nesse segmento. Este estudo aborda toda dinâmica clínica e hospitalar onde as informações podem estar em risco mesmo sem aparatos tecnológicos envolvidos, além de procurar mostrar como administrar os riscos que as empresas e negócios estão sujeitos por dependerem de informação, mostrar que o sistema de segurança de informação não se resume 2 à compra de softwares caros e sistema de detecção de vírus e intrusos, e como maximizar o retorno dos investimentos e as oportunidades de negócio. Segundo Marcos Sêmola (2003), o cenário em que se torna necessário uma análise detalhada da gestão da segurança numa organização é composto por: • Crescimento sistemático da digitalização de informações; • Crescimento exponencial da conectividade da empresa; • Crescimento das relações eletrônicas entre empresas; • Crescimento exponencial do compartilhamento das informações; • Barateamento do computador, facilitando sua aquisição; • Gratuidade do acesso à Internet; • Baixo nível de identificação do usuário no aceso gratuito à Internet; • Acesso a conexões de Internet em banda larga; • Alto compartilhamento de técnicas de ataque e invasão; • Disponibilidade de grande diversidade de ferramentas de ataque e invasão; • Facilidade de uso de ferramentasde ataque e invasão; • Carência de mecanismos legais de responsabilização em ambiente virtual; • Carência de conscientização da similaridade entre o crime real e o virtual; • Carência de jurisprudência que tenha regulado sobre atos ilícitos em meio eletrônico; • Comunicação de massa exaltando o jovem invasor pelo mérito da invasão; • Criação do estereotipo do gênio e herói que obteve êxito em invasão; • Associação equivocada entre Inteligência Competitiva e Espionagem Eletrônica; • Diversidade dos perfis da ameaça: concorrente, sabotador, especulador, adolescente, hacker, funcionário público insatisfeito etc; • Crescente valorização da informação como principal ativo de gestão de empresas. Essas novas e modernas condições elevam o risco das empresas em níveis nunca vistos, deixando claro a necessidade de ações integradas em busca de mecanismos de controle que permitam reduzí-lo e torná-lo administrável. 3 Como não há a possibilidade de uma segurança total, deve-se procurar atingir um nível de segurança adequada à natureza do negócio. Sendo assim tomamos como referência o setor Hospitalar que usa como base a norma ISO17799 de segurança da Informação e as recomendações da SBIS (Sociedade Brasileira de Informática em Saúde) que é o representante brasileiro na IMIA - International Medical Informatics Association (Federação Internacional de Informática em Saúde). É nesse contexto que o presente trabalho está inserido, aprofundando o tema Sistema de Segurança da Informação na área de Saúde. Os resultados dessa investigação, certamente, poderão contribuir na forma de subsídios necessários para gerentes, administradores ou gestores de TI na área hospitalar, assim como aos demais interessados. 1- Gestão da Informação 1.1- Gestão da Informação na área de saúde Um sistema de informação é uma ferramenta indispensável para a tomada de decisão. Apesar de ser quase sempre associada ao uso de sistemas computacionais, sua existência precede a criação do primeiro computador. Com os avanços no campo da Tecnologia da Informação (TI) esse instrumento foi popularizado com o uso de sistemas informatizados que tornaram as informações mais rápidas, organizadas e disponíveis. Segundo Ferreira (2004, p. 279), “ O Sistema de Informações de uma organização deve ser capaz de mostrar o que ela já fez, está fazendo e, preferencialmente, indicar o que deve ser feito no futuro”. Ela também defende que uma informação deve ser considerada útil e necessária quando permite uma ação, diminuindo as incertezas ou os riscos dessa ação. Então é importante preocupar-se com a qualidade das informações que compõem um Sistema de informações, ou seja, ela 4 deve ser legítima, legível, facilmente recuperada e oportuna no tempo. Além disso, seu custo de obtenção deve superar o prejuízo de sua ausência. As organizações de saúde são consideradas organizações complexas por causa do seu alto grau de especialização ou divisão de tarefas. Nessas organizações, a estrutura e o processo apresentam elevado grau de complexidade devido ao tamanho ou à natureza complicada das operações. E quanto mais complexa as organizações, maiores os problemas de comunicação, coordenação e controle. Para Ferreira (2004, p. 282), “ Pequenas e médias empreendimentos na área da saúde possuem em geral, as características das organizações celulares ou atomizadas: são fundamentados em equipes; descentralizadas e autonomistas, baseando-se mais em redes do que em hierarquia; comportam certa redundância, com a superposição funcional; são diferenciados por objetivos e por área geográfica; precisam ser integrandos por comunicações.” A partir da definição dos dados a serem coletados na organização para alimentar o sistema de comunicações, o sistema de informações pode passar a ser essencial não apenas para apoiar as decisões, mas também para a coordenação e controle da organização. Para definir tais dados devemos nos assegurar de estar provendo todas as partes interessadas da organização. São partes interessadas de uma unidade em saúde: Médicos, clientes, administradores, pesquisador, gestor de sistema, financiadores, fornecedores, planos de saúde, sociedade e Poder Público. Um médico necessita de informações em tempo real para auxílio no diagnóstico do paciente, e a maior parte dessas informações é coletada através do Prontuário do paciente que pode ser manual ou digital. Um cliente necessita de orientações gerais sobre cobertura de planos, procedimentos disponíveis, preços, horários, etc. Um administrador precisa levantar taxas de ocupação de leitos, produtividade médica, receita por convênio ou por tipo de atendimento, enfim, informações da organização que apóiem suas decisões gerenciais. Pesquisadores podem coletar dados de sintomas comuns, epidemias, estudos patológicos, etc. financiadores de informações 5 que demonstrem resultados financeiros. Aos fornecedores, informações sobre pontos de resuprimentos e informações sobre os processos de produção. Aos planos de saúde, informações sobre procedimentos realizados nos seus conveniados. A sociedade de informações gerais sobre a organização e suas ações de responsabilidade social. E os poderes públicos através de seus órgãos regulamentadores necessitam de diversas informações de controle como quantidade de infecções. Frente a necessidades distintas, o sistema de informação deve contemplar todos os processos da rotina da unidade prestadora de serviço. São atividades de assistência e recuperação da saúde em diversos níveis, desde o atendimento ambulatorial, de urgência, internamento e UTI. O cliente participa desse processo interagindo com os profissionais de saúde. A principal fonte de informações desse processo é o prontuário do paciente, então o foco central para formação de um Sistema de Gestão de Segurança da Informação na de Saúde deve ser esse mesmo prontuário. Este, na forma organizada e legível é capaz de fornecer dados quantitativos e qualitativos. A partir deles podemos mensurar tanto o numero de atendimento de certo procedimento como prever através da evolução do paciente desenvolvimento de patologias, fazendo possíveis intervenções. Até um passado recente não havia muita padronização quanto à estrutura do prontuário. Atualmente há uma preocupação quanto a sua forma, principalmente no tocante à forma digital para permitir um PEP - Prontuário Eletrônico do Paciente. Foi com Resolução CFM nº 1.639/2002 promulgada pelo Conselho Federal de Medicina, em julho de 2002, que concretizou a preocupação com a migração de forma padronizada, segura e sempre disponível dos dados identificados em Saúde. Mas quando não for possível tal padronização, a unidade deve iniciar o processo de estruturação de seus registros através de seu corpo médico. 6 Nas organizações de saúde, a primeira entrada de informação é na recepção ao paciente, onde são coletados inúmeros dados pouco estruturados que devem seguir a uma padronização para evitar redundâncias e atingir a todas as partes interessadas. Quanto mais próximo do evento o dado for coletado, em relação ao espaço ou ao tempo, menor a chance de erro. O ideal seria que o dado fosse coletado no momento que ocorre o atendimento pelo profissional que o realiza. Os dados definidos como essenciais podem ser classificados em dados demográficos, socioeconômicos e clínicos. Os dados demográficos e socioeconômicos já foram estruturados e padronizados pelo Projeto do Sistema Cartão Nacional de Saúde (www.datasus.org.br). “Um importante objetivo do projeto Cartão Nacional de Saúde é promover a integração entre os sistemas de informação utilizados no âmbito do Sistema Único de Saúde, sejam eles sistemas de base nacional ou sistemas de uso local. Para que tal objetivo seja viabilizado, o sistema demanda a definiçãode um conjunto de padrões de representação e troca de informação. A padronização compreende não apenas os aspectos de hardware e software (que devem obrigatoriamente ser abertos), mas, também, os aspectos de representação, transmissão, acesso e armazenamento da informação em saúde. “ (http://dtr2001.saude.gov.br/cartao/ em 18/02/2006) Assim, as categorias de padrões em uso no projeto são padrões de vocabulário, padrões de conteúdo e estrutura, padrões de comunicação, padrões de privacidade, confidencialidade e segurança. Já os dados clínicos relacionados ao diagnóstico, procedimentos e terapias ainda precisam de uma padronização mais adequada. Hoje temos a Classificação Internacional de Doenças e de Problemas Relacionados à Saúde – CID, em sua décima edição e a última de uma série que se iniciou em 1893 com a Classificação de Bertillon ou Lista Internacional de Causas de Morte. Segundo um artigo do Ministério da Saúde: “O trabalho para a Décima Revisão da CID iniciou-se em 1983 quando foi realizada uma Reunião Preparatória sobre a CID-10, em Genebra. O programa de trabalho foi conduzido por meio de reuniões periódicas dos Diretores de Centros Colaboradores da OMS para a Classificação de Doenças. O plano de ação foi estabelecido em reuniões especiais, 7 incluídas aquelas do Comitê de Peritos em Classificação Internacional de Doenças - Décima Revisão, realizadas em 1984 e 1987.” (http://www.datasus.gov.br/cid10/webhelp/cid10.htm em 18/02/2006) Os dados coletados de forma padronizada conduzem o Sistema de Informações da unidade para requisitos dos entes interessados, nesse caso pode ser um possível certificação do PEP controlado pela SBIS – Sociedade Brasileira de Informática em Saúde ou até está a conformidade com padrões adotados por Órgãos Controladores. Como exemplo de padronização segue orientações do Ministério da saúde que, “... assumiu o compromisso, quando da realização da 43ª Assembléia Mundial de Saúde, por intermédio da portaria nº 1.311, de 12 de setembro de 1997, definiu a implantação da Classificação Estatística Internacional de Doenças e Problemas Relacionados à Saúde - CID-10, a partir da competência de janeiro de 1998, em todo o território nacional, nos itens Morbidade Hospitalar e Ambulatorial, compatibilizando, assim, o Sistema de Informação de Mortalidade, objeto da portaria GM/MS/nº 1832/94, com o de Morbidade”. (http://www.datasus.gov.br em 18/02/2006) Os avanços na tecnologia médica, a padronização e estabelecimento de consensos quanto às formas de administração específicas do setor saúde, a criação de sistemas de informação e de indicadores de monitoramento e controle vêm estabelecendo consensos sobre padrões e normas de conduta socialmente aceitas entre os prestadores de serviços. Para Ferreira (2004, p. 285), “Na escolha de sistemas voltados para apoio às atividades da linha de produção, é necessário que os dados sejam estruturados de forma a permitir que sejam construídos indicadores, que podem, inclusive, mudar ao longo do tempo, na tentativa de acompanhar sempre aquilo que possa ser mais significativo para os processos decisórios”. Segundo o Ministério da Saúde, “Em termos gerais, os indicadores são medidas-síntese que contêm informação relevante sobre determinados atributos e dimensões do 8 estado de saúde, bem como do desempenho do sistema de saúde. Vistos em conjunto, devem refletir a situação sanitária de uma população e servir para a vigilância das condições de saúde. A construção de um indicador é um processo cuja complexidade pode variar desde a simples contagem direta de casos de determinada doença, até o cálculo de proporções, razões, taxas ou índices mais sofisticados, como a esperança de vida ao nascer”. (http://tabnet.datasus.gov.br/cgi/idb2004/aspectos.pdf em 18/06/2006) O sistema de informação só evolui à medida que é usado, analisado e criticado. Se isso não ocorrer, ele passa a ser um simples banco de dados, às vezes com um valor histórico, outras vezes nem isso, já que a falta de estruturação não permitirá que reflita com precisão a realidade. A criação de um prontuário eletrônico de paciente é um processo longo, que deverá ser alimentado em todas as visitas do paciente à unidade de forma a produzir conhecimentos novos para melhoria da qualidade do atendimento e dos processos em saúde. Na ultima década a discussão quanto ao uso do PEP foi evoluindo e tornou-se aceitável graças a congressos, Resoluções, debates e leis envolvendo profissionais, especialistas e órgãos relacionados. Atualmente, na maior parte das unidades de saúde ainda coexistem o prontuário em papel e em meio eletrônico. Os procedimentos operacionais como atendimento, faturamento, agendamento, admissão/alta e controle de leitos são realizados por meio eletrônico. Entretanto, os dados clínicos, em sua maioria ainda são registrados em papel. Podemos perveber claramente um interesse do Ministério da Saúde no avanço de uso da Tecnologia da informação para apoiar os procedimento em saúde, através da discussão para a Construção da Política Nacional de Informação e Informática em Saúde. “...torna-se fundamental, como já vem sendo apontado por instituições de ensino e pesquisa, associações de gestores, instâncias do controle social e associações científicas, que o Ministério da Saúde construa, através de um processo participativo, uma Política de Informação e Informática em Saúde que conduza o processo de informatização do trabalho de saúde, tanto nos cuidados individuais quanto nas ações de saúde coletiva, de forma a obter os ganhos de eficiência e qualidade permitidos pela tecnologia, gerando automaticamente os registros eletrônicos em que serão baseados os sistemas de informação de âmbito nacional, resultando pois em informação de maior 9 confiabilidade para gestão, geração de conhecimento e controle social.” (http://politica.datasus.gov.br em 18/02/2006) 1.2- Gestão da Segurança da Informação Segundo Sêmula (2003, p. 43), podemos definir Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. Porém podemos ampliar esse cenário e considerá-la como gestão de riscos de incidentes que envolve os três princípios da segurança: (i) Confidencialidade - Defende que toda informação deve ser protegida em graus de segurança diferentes, limitando seu acesso apenas aos usuários a que são destinadas. (ii) Integridade - Toda informação deve ser protegida contra alterações indevidas, intencionais ou acidentais. (iii) Disponibilidade - Toda informação deve estar disponível aos seus usuários no momento que eles necessitem. Ou seja, a Segurança da Informação pode ser entendido como a definição de regras para gerir todos os momentos do ciclo de vida da informação (manuseio, armazenamento, transporte e descarte), identificando e controlando ameaças e vulnerabilidades. Outros dois princípios são importantes: a autenticidade e a legalidade. O primeiro diz respeito ao comprometimento das partes envolvidas de fornecer dados autênticos a cada processo, já o segundo verifica a conformidade com a legislação vigente. 10 Para Sêmula (2003, p. 41), ameaças são: “Agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, conseqüentemente, causando impactos aos negócios de uma organização”. Quanto à intencionalidade, as ameaças podem ser naturais, involuntárias e voluntárias. Quando são decorrentes de fenômenos da natureza como incêndios, enchentes, aquecimento, terremotos, entre outras são classificadas como naturais. Quando inconscientes, quase sempre causadas pelo desconhecimento,ou por acidente, erros, falta de energia, são consideradas involuntárias. As voluntárias são propositais causados por agentes humanos como hackers, invasores, espiões, ladrões, incendiários, vândalos, etc. Segundo Sêmula (2003, p. 49), Vulnerabilidade é: “ Fragilidade presente ou associada a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: confidencialidade, integridade e disponibilidade.” As vulnerabilidades são passivas, então por si só não podem provocar incidentes, necessitam para isso de um agente ou condição favorável, que são as ameaças. Seguem exemplos de vulnerabilidades: TIPOS DESCRIÇÃO __________________________________________________________________________ Físicas Instalações fora do padrão, sala de CPD mal planejadas, falta de extintores, detectores de fumaça, vazamentos, etc. Naturais Computadores são vulneráveis a desastres naturais, tais como incêndios, enchentes, aquecimento, terremotos, acumulo de poeira, etc. 11 Hardware Falha nos componentes, desgaste ou erros durante a instalação. Software Erros na instalação ou configuração podem gerar acesso indevido, perda de dados ou indisponibilidade de algum recurso. Mídias Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. Humanas Flat de treinamento, erros ou omissões, sabotagens, greves, vandalismo, roubos e invasões. 1.2.1 – Medidas de Segurança São mecanismos e procedimentos usados para a proteção da informação, impedindo que as ameaças explorem as vulnerabilidades, e minimizam os riscos de alguma forma. Podem ser preventivas, tendo como objetivo evitar o incidente. É realizado através de um controle da segurança já implementada por meio de mecanismos que estabeleçam as condutas e a ética da segurança na organização. Políticas de segurança, palestras sobre segurança, instruções e manuais são exemplos práticos. Podem ser detectáveis, pois são medidas que visam identificar e mapear condições ou agentes causadores de ameaças, visando evitar que estas explorem as vulnerabilidades da unidade. Alarmes, câmeras de vigilância, alertas de segurança e analise de riscos são exemplos desse tipo de medida de segurança. 12 E por fim, as medidas corretivas, que são ações de correção de uma estrutura tecnológica ou humana não-conforme para adequá-la aos requisitos de segurança adotados na unidade. Pode ser um backup, planos de recuperação de desastres, equipamentos de emergência, retreinamentos, etc. 1.2.2 – Barreiras da Segurança É comum estudar as ameaças e vulnerabilidades em camadas ou fases devido à complexidade e amplitude. Vamos utilizar a teoria das seis barreiras da segurança, para melhor descrevê-la. Sêmula (2003, p. 52) diz que, “Cada uma delas tem uma participação importante no objetivo maior de reduzir os riscos, e por isso, deve ser dimensionada adequadamente para proporcionar a mais perfeita interação e integração, como se fossem peças de um único quebra-cabeça”. Figura 1 – Barreiras de Segurança. Fonte: Revista de Gestão da Tecnologia da Informação, Vol. 2, 2005 13 BARREIRAS DESCRIÇÃO 1ª: Desencorajar Cumpre o papel importante de desencorajar as ameaças. Podem ser desmotivadas ou podem conduzir a perda de interesse por meio de mecanismos físicos, tecnológicos ou humanos. Exemplos são câmeras de segurança, aviso de existência de alarme, divulgação ou treinamento avisando as praticas de auditoria e monitoramento de acesso a sistemas. 2ª: Dificultar Complementa a primeira adotando controles que irão dificultar o acesso indevido. São senhas, certificados digitais, firewall, controle de acesso físicos como roleta, etc. 3ª: Discriminar É a definição de perfis e autorização de permissões por grupos. Processo de avaliação e gestão do volume dos recursos como e-mail, impressora, banco de dados, recursos do sistema e até mesmo o fluxo de acesso físico aos ambientes. Como por exemplo, quais usuários têm acesso ao CPD, ao SAME e ao Centro Cirúrgico. Estes possuem características diferentes e o acesso indevido pode potencializar os riscos. 4ª: Detectar Complementando as anteriores, essa barreira deve garantir que ajam dispositivos que sinalizem a detecção de riscos. Podem se aplicar numa tentativa de invasão, contaminação por vírus, descumprimento da política de segurança ou envio de informações sigilosas de forma inadequada. 5ª: Deter Essa barreira deve garantir que a ameaça não atinja os ativos que sustentam o negócio, ou seja, impedir que as ameaças cheguem as informações importantes da organização. O uso dessa barreira significa que as anteriores não foram capazes de bloquear as ameaças existentes. Ações punitivas como demissões, bloqueio de acesso físico e lógico deve ser logo adotadas. 6ª: Diagnosticar Apesar de ser a ultima barreira, esta é responsável pela continuidade do processo de gestão de segurança da informação, pois é o elo de ligação com a primeira, criando um ciclo continuo. Deve ser conduzida por atividades de análise de riscos que considerem desde os aspectos físicos como tecnológicos e humanos, sempre orientadas as características e necessidades da organização a ser aplicada. Se este for mal conduzido todas as outras barreiras estarão agindo de forma distorcida, daí a maior importância dessa ultima barreira. 14 2- Normas e Padrões de Segurança da Informação em Saúde 2.1 - ISO 17799 Normas e Certificações são padrões, isto é, conjuntos amplamente aceitos de procedimentos, práticas e especificações. O que motiva a criação de normas e padrões é a necessidade de uma linguagem comum, para que possam comprar produtos que estejam certificados num padrão ou para que possa certificar um produto. Estes objetivos também são válidos quando se fala em segurança de um sistema de informação. Havia a necessidade de um vocabulário comum para definir objetivos, características e violações de segurança, de parâmetros ao comprar sistemas de informações, como também de uma norma que dissesse quais as recomendações específicas de segurança nas organizações. Essa preocupação com a segurança de sistemas computacionais nos remete à década de 60, onde se iniciou o processo de definição de regras e padrões de segurança da Informação. Porém só ao final do ano 2000 foi criada a Norma Internacional de Segurança da Informação ISO/IEC – 17799, que corresponde à norma brasileira NBR ISO/IEC 17799. Sua origem foi na década de 80, quando em 1987, no Reino Unido, a Associação Britânica de Normas possuia duas normas referentes à segurança de sistemas de informação: a BS 7799-1 e a BS 7799-2. A BS 7799-1 foi submetida ao ISO e aprovada, vindo a ser a ISO 17799, ganhando status internacional. Já a BS 7799-2 (Specification for Information Security Management Systems) ainda não foi homologada e submetida a ISO, mas define as bases necessárias para um SGSI. Este modelo de gestão proposto pela BS 7799-2 é comparável a um Sistema de Qualidade e é passível de certificação. 15 A ISO 17799 foi aprovada num processo chamado fast track, isto é, sem tempo para discussões e modificação. Os EUA, Canadá e outros paises consideraram a norma incompleta e, portanto insuficiente como norma. O Brasil votou a favor da aprovação da norma. A ISO 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos nem as características de segurança de sistema, mas apenas de organizações. Segundo a seu objetivo, a NBR ISO/IEC 17799:2001, “Esta Norma fornece recomendações para a gestão da segurança da informação para o uso daqueles quesão responsáveis pela introdução, implementação ou manutenção da segurança em suas organizações. Tem como propósito prover uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da segurança, e prover confiança nos relacionamentos entre as organizações”. Dentre as inúmeras recomendações daremos destaque as que enriquecem nosso estudo de construção de um modelo de Sistema de Gestão de Segurança da Informação na área de Saúde. Mas fica claro que nem todas as recomendações devem ser obrigatoriamente seguidas, e sim que a norma pode servir de suporte para a elaboração de outros modelos e/ou recomendações. Como visto na NBR ISO 17799:2001, “Esta Norma pode ser considerada como o ponto de partida para o desenvolvimento de recomendações específicas para a organização. Nem todas as recomendações e os controles desta Norma podem ser aplicados. Além disto, controles adicionais não incluídos nesta Norma podem ser necessários. Quando isto acontecer pode ser útil manter uma referencia cruzada para facilitar a verificação da conformidade por auditores e parceiros de negócio”. 2.2 – Resolução CFM nº 1.639/2002 e Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistema de Registro Eletrônico em Saúde (RES) 16 A resolução CFM nº 1.639/2002 promulgada pelo Conselho Federal de Medicina (CFM) em julho de 2002, surgiu como um desafio para a Tecnologia da Informação (TI) na área de Saúde. A preocupação com a migração de forma padronizada, segura e sempre disponível dos dados identificados em Saúde foi responsável pela criação e aprovação das “Normas Técnicas para o Uso de Sistemas Informatizados e Manuseio do Prontuário Eletrônico” que compõem esta resolução. A CFM também criou um convênio com a Sociedade Brasileira de Informática em Saúde (SBIS), e estabeleceu que esta seria responsável pela organização e discussão a respeito da Certificação de Software na área da Saúde. Foi criado um Grupo de Trabalho (GT) de Certificação de Software que desenvolveu o “Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistema de Registro Eletrônico em Saúde (RES)” como primeiro esforço em qualificar e melhorar o mercado de software para a área da saúde no país. Além da Câmera Técnica do CFM e da SBIS, foram convidadas para participarem da discussão sobre o tema de certificação de software as seguintes entidades: ASSESPRO, Ministério da Saúde, Associação Médica Brasileira, Conselho Nacional de Secretários de Saúde, Conselho Nacional de Secretários Municipais de Saúde, Agência Nacional de Vigilância Sanitária , Agência Nacional de Saúde Suplementar, Federação Brasileira de Hospitais, Conselho Nacional de Arquivos e Associação Brasileira de Hospitais Universitários e de Ensino. Segundo a Dra. Beatriz de Faria Leão (Modulo Security Magazine, 2006), coordenadora do GT da SBIS, “Hoje, no Brasil, um grande esforço vem sendo feito por governos municipais, estaduais e federais para aumentar a produtividade e a qualidade dos serviços de Saúde, melhorando as ferramentas de registro de atendimento e gestão. Mais importante ainda é que este esforço tende a fortalecer a adoção de padrões nacionais, que são a única forma de garantir que a informação de Saúde possa ser compartilhada de forma adequada em beneficio do paciente, melhorando a gestão local, regional e nacional.” 17 O primeiro passo foi a definição dos critérios mínimos que os sistemas de informação que manipulam dados de pacientes devem ter para garantir a segurança e a autenticidade e proteger o direito de todos, já que existe a intenção de abandonar o registro em papel e passar a tratar os dados de forma digital devido ao volume de documentos armazenados pelos estabelecimentos de saúde e consultórios médicos. A resolução CFM nº 1639/2002 considera que o médico tem a obrigação de elaborar o prontuário para cada paciente a quem assiste, conforme previsto no art. 69 do Código de Ética; que os dados que compõem o prontuário pertencem ao paciente e devem estar permanentemente disponíveis, quando solicitado por ele ou seu representante legal, e permitam o fornecimento de cópias das informações a ele pertinentes; E que o sigilo profissional, que visa preservar a privacidade do individuo, deve estar sujeito às normas estabelecidas na legislação e no Código de Ética Médica, independente do meio utilizado para o armazenamento de dados no prontuário, seja eletrônico seja em papel. De acordo com as considerações acima abordadas, a CFM resolve no seu Art. 2º “Estabelecer a guarda permanente para os prontuários médicos arquivados eletronicamente em meio óptico ou magnético, e microfilmados”. Já nos seus artigos 5º e 6º autorizam a eliminação do suporte de papel dos prontuários microfilmados e digitalizados desde que estejam de acordo com a legislação arquivística em vigor (Lei nº 5.433/68 e Decreto nº 1.799/96) e após análise obrigatória da Comissão Permanente de Avaliação de Documentos da unidade médico-hospitalar geradora do arquivo. Na parte referente às “Normas Técnicas para o Uso de Sistemas Informatizados e Manuseio do Prontuário Eletrônico” a resolução trata da Integridade da Informação e Qualidade do Serviço em conformidade com a ISO/IEC 15408, para segurança dos processos de sistema, descreve o método de copia de segurança (back-up) que deve seguir as recomendações da norma ISO/IEC 17799; descreve a estrutura mínima de Banco de Dados, garantindo o compartilhamento dos mesmos, 18 independência entre dados e programas, linguagem para a definição e manipulação de dados e funções de recuperação de dados; também são descritos os requisitos mínimos de autentificação, auditoria, transmissão de dados, certificação de software, privacidade e confidencialidade. A resolução rege que nenhuma pessoa física ou jurídica é obrigada a se submeter ao processo de certificação de software CFM/SBIS, sendo assim o processo é voluntário. As empresas desenvolvedoras de sistemas informatizados para a guarda e manuseio do prontuário médico que desejarem obter a certificação do CFM e da SBIS deverão se submeter à análise do cumprimento das normas técnicas acima descritas e caso sejam todas aprovadas ganharão, além do documento de certificação, um selo digital de qualidade que poderá usar na tela de abertura do sistema. O Processo de certificação do Prontuário Eletrônico do Paciente (PEP) segundo o Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistema de Registro Eletrônico em Saúde (RES), disponível no endereço eletrônico http://www.sbis.org.br/certificacao.htm, foi dividido em três fases. O manual, na primeira fase, trata da Declaração de Conformidade, onde se destacam os seguintes procedimentos: • Preenchimento de um formulário e envio a SBIS no qual o declarante expressará estar em conformidade com as recomendações do Manual de Boas Práticas e em acordo com um determinado nível de segurança (NGS1, NGS2), que especificam um grupo de requisitos de segurança, sendo o NGS1 mais básico e o NGS2 mais avançado, ou seja, sistema em nível NGS2 é mais seguro. • Esta é apenas uma fase de adaptação e treinamento do mercado, não tendo valor legal e não se recomendando as instituições eliminem o papel. • Operacional em outubro / 2004. 19 • Serão realizados cursos e seminários. • Terá início o programa de capacitação dos auditores para a Fase II. • A operação do processo ficará a cargo da SBIS e do CBF. • Gratuita para o declarante. Na segunda fase (Selo SBIS/CFM), haverá auditoria para verificar se os requisitos estabelecidos na primeira fase foram atendidos a contento. Se verificado êxito, será emitido o Certificado (Selo) para o Software, ficando a cargo do solicitante do Certificado os custos incorridos. Porémo selo não tem ainda valor legal, servindo apenas como parâmetro de qualidade para esse nicho de mercado. E não se recomenda ainda o abandono do papel. Esta fase teve inicio programado para Março de 2005. Na última fase (Certificação de PEP), será implementado um modelo mais amplo, permitindo que as instituições de saúde façam o pleno uso do PEP e assim possam abandonar definitivamente o papel. Haverá discussões entre todas as entidades envolvidas para a criação de uma metodologia de certificação que legitime o processo através da legislação. O modelo definirá quem serão entidades Normatizadoras, Acreditadoras e Certificadoras. Assim, com respaldo legal poderá reavaliar o Certificado da fase anterior e autorizar as instituições ao uso efetivo do PEP. Por depender do envolvimento de diversas instituições (especialmente ANVISA e Ministério da Saúde) e da definição de legislação própria, seu inicio é previsto para 2006. Segundo a ultima versão do Manual disponível no endereço eletrônico http://www.sbis.org.br/certificacao.htm, em 31/10/2005, “Até o presente momento nenhuma empresa ou produto de software foi certificado ou avaliado. A metodologia está em fase final de definição. Algumas já se declararam conforme com a Fase I”. Em entrevista a Modulo Security Magazine, a Coordenadora do GT da SBIS, Dra. Beatriz Leão relata que certificar software é um processo complexo, exigindo que 20 pelo menos dois aspectos sejam considerados; a analise do produto e a sua utilização no ambiente em que está instalado. Relata também a realidade atual dos softwares na área de saúde, “A realidade é que a grande maioria dos sistemas hoje não atende aos requisitos exigidos pela SBIS/CFM. Espera-se que os fornecedores de TI para a Saúde possam desenvolver produtos mais aderentes às normas internacionais de segurança. Por outro lado, espera-se que este processo sirva para melhorar a compreensão da complexidade envolvida nos sistemas de informação de Saúde e, portanto, da necessidade de maiores investimentos nesta área por parte dos tomadores da decisão de investir na área”. (Modulo Security Magazine, 2006). Essas orientações e as recomendações da ISO/IEC 17799 servirão de base para o desenvolvimento de um SGSI na área de Saúde proposto por este trabalho. 3- Segurança da Informação em forma de Lei Numa área de atuação em que a vida das pessoas está vulnerável, a qualidade das informações, a discussão acerca da segurança da informação, ganha enorme seriedade. Os impactos, os riscos e qualquer interferência na qualidade dos dados que flui no contexto das organizações hospitalares transcendem o meio administrativo e tomam forma de lei. Sendo assim, diante da crescente onda de crimes de informática, há a necessidade de conhecer as leis atuais e os projetos de lei em discussão no país. Ricardo Reis Gomes (2004) relata em sua Monografia sobre crimes puros de Informática que apesar do crescimento vertiginoso da Internet em todo o mundo, pouco se conhece sobre seus aspectos jurídicos, sendo poucas as leis aplicáveis tornando a grande rede o local ideal para o cometimento de um crime. Entende-se por crime de informática, crime computacional ou crime digital qualquer ação em que o computador seja o instrumento ou o objeto do delito, ou então, qualquer delito ligado ao tratamento automático de dados. 21 Fica claro a necessidade da intervenção do Direito, enquanto ciência da lei, e o estabelecimento de regras para a utilização seguro da Internet. Por exemplo, a tipificação dos princípios da segurança da informação como novos bens jurídicos. A privacidade, a confidencialidade, a integridade e a disponibilidade das informações, deverão ser matéria de legislação. Pouco tempo atrás a segurança da informação era uma opção administrativa, hoje dependendo da área de atuação, tornou-se exigência legal. Exemplo disso é a obrigação de pessoas Jurídicas detentoras de um patrimônio liquido superior ao valor estipulado conservarem em formato digital de arquivos e mantê-los disponíveis por cinco anos (art. 11 da Lei nº 8.218). Ou o próprio Poder Judiciário que é obrigado a fazer investimentos em sistemas de segurança da informação (Lei nº 10.259 de 12 de julho de 2001). A verdade é que, hoje, as leis existentes não são suficientes para coibir os crimes praticados com o uso de novas tecnologias. E já que consta no art. 5°, da Constituição Federal de 1988, a definição do principio da anterioridade da lei penal que rege que “não há crime sem lei anterior que o defina, nem pena sem previa cominação legal”, fica claro a indiscutível necessidade de novas normas que acompanhem as novas infrações. “A defasagem da norma em relação ao fato, mais intensa em algumas áreas como a Informática, tem variadas causas, dentre as quais, o nosso modelo legislativo, no qual as leis sofrem um árduo e demorado processo legislativo (artigos 59 a 69 da Constituição da República Federativa do Brasil de 88 (CR/88), como também, a espantosa rapidez com que a sociedade evolui.” (LIRA, 2002, p.25) Um dos temas mais discutidos atualmente está direcionado aos crimes realizados através da Internet. Com o seu uso, surgiu a possibilidade de uma pessoa estar em um lugar e cometer o crime em outro. Por exemplo, uma pessoa pode estar no Brasil e praticar uma atividade ilícita, como jogos de azar, em um país da Europa. No Brasil isso é tratado pela teoria da ubiquidade, acolhida pelo sexto artigo do Código Penal: 22 “Art. 6o - Considera-se praticado o crime no lugar em que ocorreu a ação ou omissão, no todo ou em parte, bem como onde se produziu ou deveria produzir-se o resultado”. As autoridades brasileiras explicam que é suficiente que o crime tenha "tocado" o território brasileiro, e que para esta finalidade basta que parte da conduta criminal ou o resultado tenha ocorrido em território brasileiro para que a jurisdição seja exercida. O princípio da tipificação penal diz que o Estado tem o poder e o dever de identificar, com clareza e precisão, os elementos definidores da conduta delituosa. (CAPEZ, 2005, p.19). Fica claro que o Direito Penal não cria condutas humanas, mas apenas as seleciona no meio social, atribuindo-lhes valor. Sendo assim o tipo penal é um modelo abstrato de comportamento que recebe o tratamento legislativo adequado. Para o Direito Penal, as ações que não se enquadram em nenhuma tipificação são irrelevante, isto é, sem interesse Jurídico. Uma conduta é considerada típica quando verificamos que todos as variáveis se enquadram na descrição do crime (tipo). Ou seja, a tipicidade é a correspondência do comportamento humano á previsão legal. Hoje, nos Tribunais Brasileiros a regra é tentar conter os chamados crimes virtuais observando o caso concreto e aplicando uma solução que considera-se justa. Muitas vezes, o juiz tem a árdua tarefa de legislar ou se arriscar a adaptar a lei que já existe para solucionar o caso concreto quando a lei é omissa. Diante do exposto, fica explicita a urgência dos fatos e a necessidade da criação de leis tipificadoras dessas condutas, a fim de inibir a continuidade desses delitos, já que alguns crimes de informática mesmo sendo passiveis de censura moral, ainda não são sancionados pelo Poder Público. 3.1- Classificação dos Crimes de Informática 23 A primeira distinção pertinente a entre Crimes comuns e Crimes de Informática, mas também há os Crimes mistos. O importante é saber que devem ser classificados quanto ao objetivo material, e não ao simples fato do uso de computador ser considerado indiferente ao direito penal. Encaixa-se na definição de crime puro de informática toda e qualquer conduta que vise exclusivamente violar o sistema de computador, pelo atentado físico ou técnico ao equipamento e seus componentes, inclusive dados e sistemas.Exemplos desse tipo é quando são praticados atos de vandalismos contra a integridade física do sistema, acesso desautorizado ao computador. Já os Crimes Comuns são todos aqueles em que o sistema de computador é uma mera ferramenta para cometer um delito já tipificado na lei penal. O crime tipificado no artigo 171, do Código Penal Brasileiro – estelionato, mas hoje pode ser realizado através da Internet ou por intermédio de recursos computacionais. Mudou a forma, mas a essência do crime permanece a mesma. Assim, o delito deverá ser punido com o tipo penal já existente. Os crimes mistos de informática são todas as ações em que o uso do sistema de computador é condição essencial para efetivação de um crime. Por exemplo, para realizar operações de transferência bancária ilícita pela Internet, é imprescindível o uso do computador para a sua consumação, sendo classificado assim como um crime de informática misto. 3.2- Leis Muitos países já possuem leis rígidas e bem abrangentes sobre crimes de Informática. Em Portugal, uma lei de 1991 dispõe sobre a criminalidade na Informática; na Itália houve uma alteração do Código Penal incluindo normas relacionadas ao tema. Os Estados Unidos, a Inglaterra e a Alemanha também possuem leis específicas. No Brasil, embora ainda não existam leis específicas para 24 os crimes digitais atualmente, já vigoram leis para acompanhar essa revolução tecnológica. O Novo Código Civil (Lei nº 10.406) não traz nenhum artigo que remeta diretamente às infrações cometidas pela internet, mas possui novos artigos que podem ser interpretados ao uso de meios eletrônicos. Art. 225. As reproduções fotográficas, cinematográficas, os registros fonográficos e, em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra quem forem exibidos, não lhes impugnar a exatidão. Pode-se interpretar que a legislação não exige que o documento seja reconhecido previamente verdadeiro; o documento agora é considerado verdadeiro até que provem o contrário. O mesmo se aplica para uma evidência eletrônica. Entretanto, é necessário que seja aplicada alguma tecnologia no documento para garantir sua integridade e autenticidade, pois sem isso, a parte contrária pode contestar a veracidade da prova. A Medida Provisória nº 2.200-2 reconhece a assinatura digital baseada na criptografia para garantir a identificação e a integridade dos documentos eletrônicos, desde que a chave pública esteja em uma autoridade certificadora. Art. 1 Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. A Lei 9.296/96 é a primeira lei específica para o meio digital e trata, basicamente, do sigilo das transmissões de dados. Art. 11 Realizar a interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo de justiça, com a finalidade de perseguição ou espionagem por motivo de crença religiosa ou convicção filosófica, ideológica ou política: Pena: reclusão de 4 a 10 anos e multa. 25 A Lei 9.983/00, de 14 Julho de 2000, considera como crime o ato de divulgar, sem justa causa, informações sigilosas como senhas ou dados pessoais de clientes, por exemplo, contido ou não nos sistemas de informação. Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano: Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa. A Lei 9.800/99, revela que o Brasil está tentando acompanhar o progresso científico e o avanço tecnológico ao permitir às partes a utilização de sistema de transmissão de dados e imagens, para a prática de atos processuais, como o envio de petições via correio eletrônico (e-mail) ao Poder Judiciário. Isso implica mais comodidade e economia de tempo no envio de petições aos Tribunais de Justiça. Muitos projetos de lei foram apresentados ao Congresso Nacional; alguns estão em tramitação, outros foram engavetados, por exemplo: PL 3.356/00 - Do Sr. Osmânio Pereira - Dispõe sobre a oferta de serviços através de redes de informação. PL 3.303/00 - Do Sr. Antônio Feijão - Dispõe sobre normas de operação e uso da Internet no Brasil. PL 7093/02 - Ivan Paixão - dispõe sobre a correspondência eletrônica comercial, entre outras providências. PL 6.210/02 - Ivan Paixão - Limita o envio de mensagem eletrônica não solicitada, por meio da Internet. PL 1809/99 - Bispo Rodrigues - dispõe sobre a segurança nas transações bancárias efetuadas por meios eletrônicos e fornece outras providências. 26 PL 84/99 - Luiz Piauhylino - Dispõe sobre os crimes cometidos na área de informática, suas penalidades e fornece outras providências. PLS 76/00 - Leomar Quintanilha - Estabelece nova pena aos crimes cometidos com a utilização de meios de tecnologia de informação e telecomunicações. 3.3- A Prova dos Crimes de Informática Segundo o Michaelis Moderno Dicionário da Língua Portuguesa, prova é (1) Aquilo que serve para estabelecer uma verdade por verificação ou demonstração. (2) Aquilo que mostra ou confirma a verdade de um fato. Sendo assim, qualquer informação com valor comprobatório, seja para confirmar ou rejeitar uma determinada hipótese será considerado prova. Segundo o Código Penal Brasileiro no seu artigo 158, “Quando a infração deixar vestígios, será indispensável o exame do corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado”. Então é necessário que se colha as provas da existência do crime por intermédio da perícia técnica. Porém quando tratamos de crimes de informática há uma grande dificuldade em coletar tais provas ou vestígios de uma infração. Quando falamos de novas tecnologias a velocidade e o grande fluxo de informações, ou mesmo a falta de preparo dos sistemas para armazenamento de registros e ações dos usuários torna essa tarefa árdua e às vezes impossível. Quando o crime é cometido através da Internet, uma das saídas é o controle por parte dos provedores. Hoje, possuímos um Projeto de Lei, que discorre sobre o assunto: “Artigo 4° do Projeto de Lei (PL) 3.303/2000 – Deverão ser mantidos por período de 2 (dois) anos, pelos provedores de acesso, informações de conexão de usuário, de data, de horário de início e término de acesso, de endereço de IP e de telefone de chamada, a fim de identificar a origem da conexão no provedor de acesso.” 27 Pois este, depois de aprovado pode facilitar na identificação do computador, após isso é exigido um mandado judicial conferindo poderes à Policia para examinar a maquina identificada. Diante da volatilidade das informações e considerando que a perda de algum dado pode inviabilizar toda a investigação, faz-se necessário que a pessoa que investiga tenha competência técnica para coleta das evidencias. A maquina ao ser desligada ou manipulada pode sobrescrever ou perder dados importantes, então o ideal é manter a maquina ligada e sem uso até a chegada de um técnico habilitado. Os Policiais tem como regra o artigo 6° do Código de Processo Penal, que estabelece: chegar ao local o mais rápido possível, isolar a área, controlar o acesso de pessoas, desligar a máquina da rede e iniciar a coleta de provas fazendo uma imagem do disco rígido da máquina atacada, gravando tudo em um CD não regravável, inclusive utilizando algum sistema criptográfico com a finalidade de garantir a integridadedos dados. Além de etiquetar os CDs e anotar todos os passos tomados. Concluído o levantamento de todos os dados já se terá em mãos provas que ainda se encontram em estado bruto, sendo necessário o envio do material para a perícia técnica. Os peritos elaborarão um laudo pericial onde descreverão minuciosamente o que examinarem e responderão aos quesitos formulados, segundo dispõe o artigo 160 do Código de Processo Penal. O laudo pericial irá determinar se houve ou não o crime de informática e especificar o tipo de tal infração. Assim encerra-se o processo de levantamento de prova e pode-se dar inicio a uma ação judicial. 4- Um Modelo para Implementação de um Sistema de Gestão de Segurança da Informação na Área de Saúde 28 Quando tomarmos iniciativas de solucionar um problema é preciso identificar primeiramente esse problema com requinte de detalhes e segmentá-lo de forma a permitir maior profundidade na análise de suas características. Para isso segue um modelo que busca descrever uma metodologia que possa auxiliar o responsável ou interessado por segurança da informação nas organizações da área de Saúde, mostrando como começar e por onde prosseguir para implementar a gestão de segurança da informação. Este modelo apresenta aspectos gerenciais de condução na implementação de SGSI, bem como técnicas de implementação e documentação. O modelo foi composto fundamentado numa pesquisa bibliográfica de autores especializados na área de Segurança da Informação, aliado à experiência profissional na implantação de Sistemas Informatizados de gestão Hospitalar. É importante destacar que a elaboração de um modelo de SGSI na área de Saúde é uma tarefa complexa devido ao nível de detalhamento dos passos sugeridos e da área de negócio escolhida. Portanto tal modelo não tem a pretensão de atender as necessidades especificas de cada organização. Primeiro Passo: Criando um Comitê Corporativo de Segurança da Informação e outras considerações A criação de um Comitê Corporativo de Segurança da Informação tem como função principal definir o nível de risco aceitável pela organização. Isso se dá através da criação de um Plano Diretor de Segurança. O comitê representa o núcleo concentrador dos trabalhos relacionados a Segurança e deve estar adequadamente posicionado na hierarquia e/ou no organograma. E esse comitê estará subordinado ao Comitê Executivo. Deve ser formado por participantes com visões diferentes, o que proporciona maior nitidez dos problemas, desafios e impactos. Para isso deve envolver representantes 29 da área médica de especialidades diferentes, financeira, assistência (enfermeiras, nutricionista, fisioterapeutas, etc), tecnologia, faturamento, contábil, jurídica, auditoria, etc. Alcançando assim, um acordo de comprometimento com os responsáveis de todos os setores. Deve, através dessa equipe multidisciplinar e multidepartamental, analisar os resultados parciais e finais de cada ação de segurança de forma a medir efeitos, compará-los às metas definidas e realizar ajustes, adequando as novas realidades geradas pela mudança de variáveis internas e externas. Deve-se, também, alinhar e definir ações para a equipe multidepartamental que deverão agir localmente, coletando, analisando com maior riqueza de detalhes os fatos relacionados a sua esfera de abrangência. Segundo Sêmula (2003), outro papel importante desse comitê é interagir com o Comitê Executivo, buscando sinergia dos objetivos macro da organização, além de proporcionar a troca de informações ligados aos indicadores de segurança demonstrando os resultados coorporativos do Comitê de Segurança. A estrutura básica de um Comitê Coorporativo de Segurança da Informação conta com um coordenador principal, responsável pela aplicação ou administração da política de segurança aplicada ao sistema, este é denominado Security Officer. Este deve conhecer o negócio da empresa, o segmento de mercado e as expectativas do Corpo Executivo em relação à sua atividade. Segundo a ISO 17799:2001, “Convém que a política de segurança tenha um gestor que seja responsável por sua manutenção e analise critica, de acordo com um processo de análise definida. Convém que este processo garanta a análise crítica ocorra como decorrência de qualquer mudança que venha a afetar a avaliação de risco original, tais como um incidente de segurança significativo, novas vulnerabilidades ou mudanças organizacionais ou na infra-estrutura técnica”. Assim, a estrutura do comitê contará com Coordenação Geral de Segurança, Coordenação de Segurança, Controle, Planejamento e Execução. 30 Dependendo do tamanho da organização, alem desse comitê, é recomendada a criação de um departamento de segurança da informação, sob diretoria do Security Officer. Importante destacar que a inexistência do comitê afastará o departamento de segurança das decisões estratégicas, fazendo com que este se torne um departamento meramente operacional da área de Tecnologia da Informação. Segundo Passo: Estabelecimento de uma Política de Segurança da Informação Para a construção da Política de Segurança da Informação, o comitê deve tomar como base os padrões e normas apresentados anteriormente, como a NBR ISO 17799 e a Resolução CFM nº 1.639/2002. A Política de Segurança é um documento que deve descrever as recomendações, as regras, as responsabilidades e as praticas de segurança. Segundo a NBR ISO 17799:2001, “Convém que um documento da política seja aprovado pela direção, publicado e comunicado, de forma adequada, para todos os funcionários. Convém que este expresse as preocupações da direção e estabeleça as linhas-mestras para a gestão da segurança da informação”. Não existe um modelo padrão desse documento, então se deve construí-lo de acordo com as especificidades da organização. Porém, elaborar uma Política de Segurança é uma tarefa complexa e que necessita ser constantemente monitorada, revisada e atualizada. Além disso, os seus resultados só poderão ser notados a médio e longo prazo. 31 Figura 2 – Fluxograma de desenvolvimento da Política de segurança da Informação. Fonte: Revista de Gestão da Tecnologia da Informação, Vol. 2, 2005 O comitê criado deverá ser responsável pela gestão da segurança da informação, porém, este grupo proporá também as políticas necessárias para a gestão da segurança da informação e seus recursos. Na figura 2, é apresentado o fluxo sugerido para a o desenvolvimento das políticas de segurança da informação. Este modelo segue algumas recomendações da ISO 17799: 1- Ser aprovada pela diretoria, divulgada e publicada para todos colaboradores; 2- ser revisada regularmente, com garantia de que, em caso de alteração, ela seja revista; 3 –estar em conformidade com a legislação e clausulas contratuais; 4- deve definir as 10º Divulgação Conscientização 2º Classificação das Informações 5º Elaboração da proposta de política 4º Análise das necessidades de Segurança 3º Definição dos objetivos de segurança a serem seguidos 6º Discussões abertas com os envolvidos 7º Apresentação de documentação formal a direção da empresa 8º Aprovação 9º Implementação 1º Comitê de Segurança 32 responsabilidades gerais e especificas; 5- deve dispor as conseqüências das violações. Deverá também a Política de Segurança da informação: • Definir a propriedade da informação: é interessante determinar o responsável pela informação, pessoa que poderá definir quem poderá ter acesso às informações e que nível de acesso será permitido, e qual a periodicidade necessária para a realização do backup desta informação. • Classificar as informações quanto aos princípios de disponibilidade, integridade e confidencialidade. • Controle de acesso: iniciar com o menor privilégio possível e ir montando osperfis de acordo com a necessidade. Todo pedido de acesso deve ser documentado. Deve manter a segregação de função, sendo assim o usuário que compra um material, não deve ser o mesmo que recebe ou distribui. • Gerencia de usuários e senhas: a senha deve ser pessoa e intransferível. Deve-se se fazer o uso de senhas fortes com componentes alfanuméricos de mais de 5 dígitos e que expiram periodicamente. • Segurança física: a área do CPD deve ter acesso restrito. A saída e entrada de equipamentos devem ser protocoladas e deve-se manter um inventário atualizado de todos os equipamentos. • Softwares: deve manter o mesmo padrão em todos departamentos, utilizando softwares que permitam integração. É importante mantê-los licenciados e atualizados, permitindo suporte rápido e seguro das empresas responsáveis. • Plano de continuidade de Negócio: é um dos mais importantes tópicos na política de segurança, sendo recomendada a geração de controles e padrões 33 especificando detalhadamente quanto ao plano de contingência nos requisitos de segurança. • Rastreamento de auditoria de quem acessou os dados, quando e como: Exige um banco de dados que mantenha um registro de todas as transações, incluindo a informação antes e depois da alteração, alem da identificação do usuário que fez cada alteração. Desta forma, é garantido o registro de todas as alterações, incluindo as que possam ser fraudulentas. É importante destacar que essas recomendações da política de segurança devem ser seguidas por todos os colaboradores da empresa e devem servir como referência e guia de segurança da informação. Para isto, é necessária a realização de uma campanha de divulgação e conscientização de sua importância para a organização. Terceiro Passo: Definição do Escopo A definição do escopo inclui o levantamento dos ativos que serão envolvidos, tais como: Equipamentos; sistemas; nome da organização; estrutura de comunicação (Internet, correio eletrônico); pessoas; serviços; infra-estrutura de rede interna e externa e classificação da informação. À medida que evolui, o projeto deve ser revisado e detalhado. Esta revisão será baseada no escopo do projeto, pois a declaração do escopo é um documento que contém a base para as futuras decisões. A delimitação do escopo é extremamente necessária, pois quanto maior o escopo maior a complexidade do SGSI a ser implementado. Esta etapa produz os seguintes resultados: o mapa do perímetro da rede de computadores onde será aplicado o SGSI; o inventário dos ativos e a classificação desses ativos. 34 No caso de Hospitais é interessante fazer um levantamento desses ativos tendo como objetivo final à construção do PEP (Prontuário Eletrônico do Paciente). Quarto Passo: Análise de Riscos Nesse passo é feito o diagnostico do escopo definido no passo anterior. O diagnostico através da identificação dos ativos da informação envolvidos e do mapeamento das ameaças relacionadas a estes. Para cada ameaça deve ser determinado o nível de risco envolvido. Sêmula (2003, pág 56) diz que, “O risco é a probabilidade de que agentes, que são as ameaças, explorarem vulnerabilidades, expondo os ativos a perda de confidencialidade, integridade e disponibilidade, e causando impactos nos negócios. Estes impactos são limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo assim o risco.” Devemos ter consciência que não existe segurança total e devemos estar preparados para suportar as mudanças nas variáveis que afetam os riscos, reagindo com velocidade e ajustando o risco novamente aos padrões pré-estabelecidos como ideal para a organização. Após o diagnóstico dos riscos, deve-se definir junto à alta administração da organização, quais os níveis de risco aceitáveis e não-aceitáveis. Entre os não aceitáveis, pode-se escolher uma entre as seguintes opções: reduzir o nível de risco, através da aplicação de controles de segurança; aceitar o risco e considerar que ele existe, mas não aplicar qualquer controle; transferir o risco e repassar a responsabilidade de segurança a um terceiro, como, por exemplo, um data center; por fim, negar o risco. Esta é a opção menos recomendada. A análise de riscos pode ser de forma qualitativa ou quantitativa. A primeira é realizada por especialistas baseada em know-how. Já a quantitativa é baseada em 35 estatística, numa análise historia dos registros de incidentes de segurança. Por ser mais trabalhos esta é a menos usada pelas empresas. Enfim, independente da metodologia adotada, o relatório de analise de riscos deve conter uma identificação e classificação de ativos e processos de negócio, análise de ameaças e vulnerabilidades e definição de tratamento de riscos. Quinto Passo: Gerenciamento das áreas de Riscos Não é com uma medida de segurança que termina o Gerenciamento de Riscos. Este é um processo contínuo que exige uma monitoração constante, identificando quais áreas foram bem sucedidas e quais precisam de revisões e ajustes. A ISO 19977 diz que, “Dados que foram introduzidos corretamente podem ser corrompidos por erros de processamento ou através de ações intencionais. Convém que checagens sejam incorporadas no sistema para detectar tais corrupções. Convém que o projeto de aplicações garanta que restrições sejam implementadas para minimizar os riscos de falhas de processamento que possam levar a perda da integridade”. Determinado o impacto que um risco pode causar ao negócio e tendo em mente que é praticamente impossível oferecer proteção total contra todas as ameaças existentes, faz-se necessário identificar os ativos e as vulnerabilidades mais críticas, possibilitando a priorização dos esforços e os gastos com segurança. Nessa etapa ainda podem ser definidas medidas adicionais de segurança, como os Planos de Continuidade dos Negócios, que visam manter em funcionamento os serviços de missão-crítica, essenciais ao negócio da empresa, em situações emergenciais que possibilitam a detecção e avaliação dos riscos em tempo real, permitindo que as providências cabíveis sejam tomadas rapidamente. O processo completo do gerenciamento das áreas de risco de segurança da informação, praticamente desenvolve-se em nove etapas: 1-Análise e atribuição de valores de ativos; 2- Identificação de riscos de segurança; 3- Análise e priorização 36 dos riscos; 4- Controle, planejamento e agendamento; 5- Desenvolvimento de correções; 6- Estabilização e Implantação de contramedidas novas e alteradas; 7- Reavaliação de ativos e riscos; 8- Registro de conhecimento; 9- Teste de correções. Como já foi dito anteriormente, todas essas etapas devem estar associado ao equilíbrio do custo da perda de dados e o custo da implementação dos controles de segurança. Sexto Passo: Seleção dos controles Depois de identificarmos os requisitos de segurança, convêm que os controles sejam escolhidos e implementados para permitir que os riscos sejam reduzidos a um nível aceitável. Dentre os vários controles da ISO 17799 são selecionados apenas aqueles que se aplicam à especificidade das unidades da área de saúde e que estejam dentro do equilíbrio do custo da perda de dados e o custo da implementação de tais controles. Deve-se ainda observar os controles contidos nas demais normas (CFM nº 1.639/2002) e técnicas existentes para que estes possam ser integrados de forma natural ao SGSI. É importante que os controles sejam implementados dentro do escopo estabelecido, seguindo as informações geradas durante o processo de análise de riscos, tomando o cuidado de sempre manter o foco nos propósitos do negócio, evitando prejudicar ou retardar a atividade fim da organização. Sétimo Passo: Implementação e acompanhamento dos indicadores Até o momento,no modelo de SGSI foram definidas regras para o tratamento da informação desde a sua fonte. A partir de agora, devemos montar mecanismos de acompanhamento de todos os controles implementados. Para isso, faz-se necessário a criação de indicadores próprios que permitam visualizar as condições de desempenho do modelo adotado. 37 Esses indicadores podem ser criados a partir de planilhas relacionando os incidentes ocorridos (globais ou por departamento) com os padrões estabelecidos como aceitáveis para aquela unidade de saúde. Oitavo Passo: Auditoria de Sistema A auditoria interna do modelo de SGSI tem a finalidade de verificar se os procedimentos e instruções operacionais são eficazes e adequados, se os setores da empresa estão agindo de acordo com as normas adotadas e se os relatórios periódicos de crítica do SGSI atendem satisfatoriamente. Para que esta seja implementada de forma correta devemos seguir alguns princípios, como a independência dos auditores, o planejamento e notificação previa e o melhoramento contínuo do SGSI. Após a análise dos auditores, estes devem identificar as não-conformidades do SGSI. Será executada uma investigação de suas causas, definida as ações corretivas e os prazos para novas análises, até que se alcance níveis aceitáveis. Dependendo do nível de segurança desejado e planejado inicialmente, e dos objetivos determinados, pode-se depois do modelo organizado, testado e melhorado, optar por uma auditoria externa para obter a certificação da norma, seja ela a ISO 17799 ou a Certificação da SBIS para prontuário eletrônico quando estiver disponível. CONSIDERAÇÕES FINAIS 38 Na área de Saúde, é recente a entrada de gestores profissionais, deixando de ser um campo preferencial dos profissionais de saúde. Hoje, o médico divide com economistas, administradores e especialistas em TI a posição de tomada de decisão. No Brasil, a regulamentação do setor de saúde ainda está nos estágios iniciais de concepção e aplicação. Há apenas seis anos foi promulgada a Lei nº 9.656/98, que regulamentou o setor privado de saúde, principal foco de nosso estudo. Assim, existem várias oportunidades nessa área para a gestão, ou seja, planejar e conduzir a melhoria das deficiências especificas do setor. A prática médica digital é exigência da atual sociedade da informação, não se tratando de uma substituição do raciocínio médico, e sim do uso de uma ferramenta de auxilio de informações no momento do diagnóstico. Como qualquer prática nova, a utilização do computador no atendimento a pacientes gera inicialmente receio e insegurança, como também levanta dúvidas sobre a interferência da tecnologia na relação médico-paciente. Ao proporcionarmos “saúde on-line” quebramos paradigmas. Isso exige um modelo próprio que altera profundamente a gestão que prevalece nos consultórios tradicionais. Podemos concluir que para a implementação de um SGSI na área de Saúde precisamos inicialmente estudar as normas, legislação e particularidades desse segmento. Com esses dados em mãos podemos moldar os padrões de cada organização buscando a resolução de problemas de segurança que incidem sobre um dos maiores ativos de uma organização: a informação. A discussão do Prontuário Eletrônico do Paciente deve anteceder a concepção do modelo, pois baseado nele é que definiremos o escopo de nosso Sistema. O modelo pode necessitar de ajustes todas as vezes que a SBIS criar novas regras. O crescimento de dados de pacientes em todos os processos de assistência médica 39 eleva o nível de privacidade destas informações, aumentado os níveis de controle de nosso SGSI. Já no uso da ISO 17799:2001, fica claro que nem todas as recomendações devem ser obrigatoriamente seguidas, e sim que a norma pode servir de suporte para alterações pertinentes ao modelo proposto. Destacamos que a existência de um SGSI numa organização de Saúde permite ao usuário tomar conhecimento do quão protegidas e seguras estarão as suas informações. Do ponto de vista dos profissionais técnicos, eles passarão a possuir um modelo de atuação comum, evitando assim que cada equipe tenha para si um padrão desconexo das demais equipes. A grande contribuição do modelo proposto é permitir que o responsável pela implementação do projeto de segurança tenha uma visão única do sistema de segurança da informação e dos diversos padrões, controles e métodos que o compõem. A implementação e manutenção de um SGSI exigem muita dedicação, paciência e análise profunda do ambiente computacional e organizacional, já que este modelo envolve aspectos físicos, humanos e tecnológicos. Para isso é imperativo um compromisso e interesse do corpo executivo e envolvimento de todos os funcionários da organização. Além disso, o processo poderia envolver a participação de terceiros, como clientes e fornecedores, bem como a contratação de uma consultoria externa. Por tudo isso, tornar seguro um ambiente computacional pode ser uma tarefa bastante complexa, requerendo gestão e procedimentos apropriados. 40 Bibliografia ARGOLO, Frederico Henrique Böhm. Análise Forense em sistemas GNU/Linux. 144f. Universidade Federal do Rio de Janeiro, 2002, Rio de Janeiro. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 17799 Tecnologia da Informação - Código de prática para a Gestão da Segurança da Informação. International Organization for Standardization, Switzerland, 2000. ASSOCIAÇAO Médica Brasileira <http://www.amb.org.br>. Acesso em Janeiro de 2006. CONSELHO Federal de Medicina <http://www.portalmedico.org.br>. Acesso em Janeiro de 2006. CAPEZ, Fernando. Curso de Direito Penal: Volume I: Parte Geral (Art. 1º a 120.) São Paulo: Saraiva, 2005. DATASUS. Disponível em:<http:// www.datasus.org.br> . Acesso em: Janeiro de 2006. ETZIONI, Amitai. (Org.). Organizações complexas: um estudo das organizações em face dos problemas sociais. São Paulo: Atlas, 1976. FERREIRA, Deborah Pimenta; SCARPI, Marinho Jorge. Gestão de clínicas médicas - São Paulo: Futura, 2004. LIRA, Kaliane Wilma Cavalcante - Crimes Praticados via Internet e suas Conseqüências Jurídicas (Artigo Científico). 2002. MÓDULO Security: o Portal do Profissional da Segurança da Informação <http://www.modulo.com.br>. Acesso em Janeiro de 2006. MINISTÉRIO da Saúde <http://www.saude.gov.br>. Acesso em Janeiro de 2006. MICHAELIS Moderno Dicionário da Língua Portuguesa. Revista de Gestão da Tecnologia da Informação, Vol. 2, No 2, 2005, pp. 121-136. GOMES, Ricardo Reis – Crimes Puros de Informática (Artigo Cientifico), 2001. <http://www.modulo.com.br>. Acesso em Novembro de 2005. 41 SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da segurança da informação: aplicada ao Security Officer – Rio de Janeiro: Elsevier, 2003. SOCIEDADE Brasileira de Informática em Saúde <http://www.sbis.org.br>. Acesso em Janeiro de 2006.
Compartilhar