1. Conferência A Gestão do Risco nos grandes Hospitais
As TIC e a Saúde no
Rui Gomes
Portugal de 2011 Hospital Professor Doutor Fernando Fonseca
15 de Dezembro 2011
Só a existência de uma arquitectura pode responder
às questões da complexidade e da mudança. É a
única forma que a Humanidade tem de lidar com
15 de Dezembro de 2011
elas. Ao caos opõe-se à estrutura. Zachman
Auditório do Centro Hospitalar
Psiquiátrico de Lisboa
Av. Brasil, Lisboa
2. INTRODUÇÃO
Esta apresentação nada tem a ver com…
os computadores, os servidores, as bases de
dados, os tablets, o wifi, as larguras de
INTRODUÇÃO banda, a internet, a cloud, os processos
clínicos, as firewalls, os antivirus, as
CICLO ETERNO? empresas, a ACSS, a microsoft, o
licenciamento, a virtualização, os thin
O QUE NÃO QUEREMOS
clients, etc… e nenhum problema de
Tecnologias.
O QUE PODEMOS CULTIVAR
Esta apresentação tem tudo a ver com…
RESULTADOS EXPECTAVEIS
Problemas de gestão (desde o nível
estratégico ao operacional), falta de
CONCLUSÕES
estratégia, ausência 2001
de visão,
desalinhamento, desordem, incapacidade,
passividade, esmorecimento, resignação,
intolerância, obtusidade, indefinição de
prioridades, e outras borboletas que tais
que nos guiam ao CAOS e limitam na nossa
capacidade de crescer.
3. INTRODUÇÃO
Definição de asset no ambiente
INTRODUÇÃO Gestão
Cultura Incidentes
CICLO ETERNO?
Segurança
O QUE NÃO QUEREMOS Asset
Ambiente
Bem
(Bem) Privacidade
O QUE PODEMOS CULTIVAR Físico (Asset)
RESULTADOS EXPECTAVEIS Continuidade
Tecnologias Negócio
CONCLUSÕES
Aumento da exposição ao Risco
Complexidade dos Riscos
Complexidade na Protecção Riscos
4. CICLO ETERNO
Quem somos e o que vemos?
INTRODUÇÃO
CICLO ETERNO?
O QUE NÃO QUEREMOS
O QUE PODEMOS CULTIVAR
Á
RESULTADOS EXPECTAVEIS
CONCLUSÕES
rvore
5. CICLO ETERNO
Quem somos e o que vemos?
INTRODUÇÃO
CICLO ETERNO?
O QUE NÃO QUEREMOS
O QUE PODEMOS CULTIVAR
RESULTADOS EXPECTAVEIS
F
CONCLUSÕES
loresta
6. CICLO ETERNO
Onde estamos ?
INTRODUÇÃO Infra-estruturas
Risk IT
CICLO ETERNO?
Maturidade
O QUE NÃO QUEREMOS
O QUE PODEMOS CULTIVAR 10 anos
RESULTADOS EXPECTAVEIS
CONCLUSÕES Sistemas Informação
Risk IT
Maturidade
10 anos
7. CICLO ETERNO
Porquê?
INTRODUÇÃO
CICLO ETERNO?
O QUE NÃO QUEREMOS
O QUE PODEMOS CULTIVAR
RESULTADOS EXPECTAVEIS
CONCLUSÕES
8. CICLO ETERNO
As equipas dos Departamentos de Sistemas de
Informação têm pouca participação ou
motivação em grupos… Governance, Qualidade,
INTRODUÇÃO Gestão de Risco, Segurança, etc..
“Comité Olímpico”
CICLO ETERNO?
O QUE NÃO QUEREMOS
Os Departamentos de Sistemas de Informação
vivem sujeitos a imensa adversidade e incertezas
O QUE PODEMOS CULTIVAR - vulgarmente Riscos - contantes, que algures no
tempo, senão forem tratados criam impacto.
RESULTADOS EXPECTAVEIS
“Teoria do Caos”
CONCLUSÕES
Exemplo de uma paragem por completo num hospital
publico durante aproximadamente 12 horas devido a
uma alteração de denominação de rede de um
equipamento que não era possível identificar no
meio.
9. CICLO ETERNO
Exemplo
INTRODUÇÃO Proxy
Seg. Física
Patchs
CICLO ETERNO?
Firewall Seg. Lógica
O QUE NÃO QUEREMOS
O QUE PODEMOS CULTIVAR
Anti-Virus
asset ?
Políticas
RESULTADOS EXPECTAVEIS Cultura Acesso
CONCLUSÕES ?
Organização Política ?
Utilização
2001
Exemplo de uma paragem por completo num hospital
publico durante aproximadamente 12 horas devido a
uma alteração de denominação de rede de um
equipamento que não era possível identificar no
meio.
10. O QUE NÃO QUEREMOS
Ausência de…
Gestão
INTRODUÇÃO Políticas Contratos/
Outsourcing
CICLO ETERNO? ?
Gestão
Credenciais
de
O QUE NÃO QUEREMOS assets
SGRH
O QUE PODEMOS CULTIVAR ?
Gestão
Gestão
de
identidades
incidências
RESULTADOS EXPECTAVEIS
?
CONCLUSÕES Plano Plano
disaster continuidade
recover negócio
? Gestão
Políticas
serviços
hardening
(ITIL)
?
11. O QUE NÃO QUEREMOS
O Elo Mais Fraco
INTRODUÇÃO
CICLO ETERNO?
O QUE NÃO QUEREMOS
O QUE PODEMOS CULTIVAR
RESULTADOS EXPECTAVEIS
CONCLUSÕES
Muitas vezes as questões de proteção para as empresas • Desmotivação (esmorecimento)
inclinam-se unicamente em ajudar os clientes a • Negligência dos colaboradores;
protegerem-se das ameaças externas ao nível da • Falta de capacidades compatíveis funções;
circulação de informação electrónica (anti-virus, • Desconhecimento ou ignorância;
certificados digitais, firewall, etc…)
12. O QUE NÃO QUEREMOS
Níveis de maturidade da informação
clínica e a sua relação com o RISCO
INTRODUÇÃO
CICLO ETERNO?
O QUE NÃO QUEREMOS
O QUE PODEMOS CULTIVAR
RESULTADOS EXPECTAVEIS
CONCLUSÕES
13. O QUE NÃO QUEREMOS
Os mecanismos de protecção não são suficientes.
INTRODUÇÃO
é necessário vigiar os Riscos
CICLO ETERNO? e melhorar mecanismos de protecção
O QUE NÃO QUEREMOS
O QUE PODEMOS CULTIVAR Ou seja, é necessário…
RESULTADOS EXPECTAVEIS
CONCLUSÕES
Gerir a Segurança
14. O QUE PODEMOS CULTIVAR
Claúsulas de abrangência
INTRODUÇÃO
CICLO ETERNO? Táctico
Aspectos técnicos
O QUE NÃO QUEREMOS Políticas
Segurança
Aspectos Físicos
Aspectos Tácticos
Organização
O QUE PODEMOS CULTIVAR Segurança
Gestão Controlo
Bens Acesso
RESULTADOS EXPECTAVEIS
Conformidades
CONCLUSÕES Operacional
Segurança Pessoas Segurança Física &
Ambiental
Desenvolvimento Comunicações & Gestão
Sistemas& Manutenção Gestão de Operações Continuidade Negócio
15. O QUE PODEMOS CULTIVAR
Cláusulas da ISO/IEC 27002:2005
1 Política de Segurança da Informação
INTRODUÇÃO
2 Organização da Segurança da Informação
CICLO ETERNO? 3 Gestão de Recursos
O QUE NÃO QUEREMOS 4 Gestão de Recursos Humanos
5 Gestão da segurança física e ambiental
O QUE PODEMOS CULTIVAR
6 Gestão das Comunicações e Operações
RESULTADOS EXPECTAVEIS 7 Controlo de acessos
8 Aquisições, manutenções e desenv. de sistemas
CONCLUSÕES
9 Gestão de incidentes de segurança da informação
10 Plano de gestão da continuidade de negócio
11 Conformidade com os aspectos legais
16. O QUE PODEMOS CULTIVAR
Formas de abordar do Risco
INTRODUÇÃO
Mitigar o risco Evitar o risco
Implementar controlos Decidir não avançar ou
CICLO ETERNO? técnicos de mitigação de não implementar
risco (por exemplo uma
firewall)
O QUE NÃO QUEREMOS
Aceitar o Risco Transferir o risco
O QUE PODEMOS CULTIVAR
Decidir que o nível de Aquisição de seguros ou
risco identificado está outsourcing
RESULTADOS EXPECTAVEIS dentro do limiar de
tolerância das
capacidades da
organização
CONCLUSÕES
17. O QUE PODEMOS CULTIVAR
Gestão do Risco
INTRODUÇÃO
Avaliação de Riscos
CICLO ETERNO?
O QUE NÃO QUEREMOS Avaliar Identificar Controlar
Gestão de Risco
O QUE PODEMOS CULTIVAR
Planear Implementar Monitorizar
RESULTADOS EXPECTAVEIS
CONCLUSÕES
A implementação de mitigação de riscos
envolve tipicamente as Pessoas, os Processos e
as Tecnologias.
18. O QUE PODEMOS CULTIVAR
Implementação de um SGSI
INTRODUÇÃO
«Manutenção e melhoria
«Estabelecer SGSI»
do SGSI»
CICLO ETERNO?
O QUE NÃO QUEREMOS
O QUE PODEMOS CULTIVAR
RESULTADOS EXPECTAVEIS
«Verificação, «Implementar e operar
CONCLUSÕES Monitorização, Revisão
do SGSI» SGSI»
19. O QUE PODEMOS CULTIVAR
Estrutura de um SGSI
INTRODUÇÃO
ISO/IEC 27000 - vocabulário e definições utilizadas
CICLO ETERNO? 27001 - requisitos para um SGSI
O QUE NÃO QUEREMOS 27005
27002 - Boas Práticas para um SGSI
Gestão de
Risco
O QUE PODEMOS CULTIVAR (ISO 13335)
27003 - Guia de Implementação SGSI
27004 - Métricas e Medidas avaliar SGSI
RESULTADOS EXPECTAVEIS
CONCLUSÕES
Família TC 215 - ISO 27000 também conhecida como ISO 27k
20. RESULTADOS EXPECTAVEIS
Do Caos à Estrutura
Lidar com a Complexidade
INTRODUÇÃO Papel do CEO, CFO, CMIO, CIO, CISO e CTO
CICLO ETERNO?
Gestão Governança
O QUE NÃO QUEREMOS SI/TI SI/TI
O QUE PODEMOS CULTIVAR
Operacional Estratégia
RESULTADOS EXPECTAVEIS
CONCLUSÕES Engenharia Arquitectura
Só a existência de uma arquitectura pode responder às
questões da complexidade e da mudança. É a única
forma que a Humanidade tem de lidar com elas. Ao INCERTEZA CEPTICISMO ACEITAÇÃO CONFIANÇA RESPEITO
t
caos opõe-se à estrutura. Zachman
CTO CIO
21. CONCLUSÕES
Não é possível manter a segurança sem
planear a sua gestão
Nenhuma organização vai estar um dia
INTRODUÇÃO
totalmente protegida das ameaças que põem
em risco a sua Informação de negócio.
CICLO ETERNO?
Investir num nível de protecção que se
O QUE NÃO QUEREMOS considere próximo do ideal atingiria custos
muito elevados ou bloquearia de forma não
O QUE PODEMOS CULTIVAR aceitável os processos desenvolvidos pelo
hospital.
RESULTADOS EXPECTAVEIS
No entanto….
CONCLUSÕES
As utilização do modelo de boas práticas
possibilitaria uma abordagem sistemática dos
riscos (que pode ser realizada numa forma
gradual e com custos controlados) de modo a
implementar controlos com o objectivo de os
minimizar.