a gestão do risco nos grandes hospitais - apdsi.pt de... · 10 plano de gestão da continuidade de...
TRANSCRIPT
![Page 1: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/1.jpg)
A Gestão do Risco nos Grandes Hospitais
Eng.º Rui Gomes
Director das Tecnologias e Informação do HPFF
Patrocínio
Principal
Patrocinadores
Globais
![Page 2: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/2.jpg)
Rui Gomes Hospital Professor Doutor Fernando Fonseca 15 de Dezembro 2011
Só a existência de uma arquitectura pode responder
às questões da complexidade e da mudança. É a
única forma que a Humanidade tem de lidar com
elas. Ao caos opõe-se à estrutura. Zachman
A Gestão do Risco nos grandes Hospitais
Conferência As TIC e a Saúde no
Portugal de 2011
15 de Dezembro de 2011 Auditório do Centro Hospitalar
Psiquiátrico de Lisboa Av. Brasil, Lisboa
![Page 3: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/3.jpg)
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
2001
Esta apresentação nada tem a ver com…
os computadores, os servidores, as bases de dados, os tablets, o wifi, as larguras de banda, a internet, a cloud, os processos clínicos, as firewalls, os antivirus, as empresas, a ACSS, a microsoft, o licenciamento, a virtualização, os thin clients, etc… e nenhum problema de Tecnologias.
Esta apresentação tem tudo a ver com…
Problemas de gestão (desde o nível estratégico ao operacional), falta de estratégia, ausência de visão, desalinhamento, desordem, incapacidade, passividade, esmorecimento, resignação, intolerância, obtusidade, indefinição de prioridades, e outras borboletas que tais que nos guiam ao CAOS e limitam na nossa capacidade de crescer.
INTRODUÇÃO
![Page 4: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/4.jpg)
INTRODUÇÃO
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Aumento da exposição ao Risco
Complexidade dos Riscos
Complexidade na Protecção Riscos
Bem (Asset)
Cultura
Ambiente Físico
Tecnologias Continuidade Negócio
Gestão
Privacidade
Asset (Bem)
Incidentes Segurança
Definição de asset no ambiente
![Page 5: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/5.jpg)
CICLO ETERNO
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Árvore
Quem somos e o que vemos?
![Page 6: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/6.jpg)
CICLO ETERNO
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Floresta
Quem somos e o que vemos?
![Page 7: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/7.jpg)
CICLO ETERNO
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Onde estamos ?
Infra-estruturas
Sistemas Informação
Maturidade
10 anos
10 anos
Risk IT
Risk IT
Maturidade
![Page 8: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/8.jpg)
CICLO ETERNO
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Porquê?
![Page 9: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/9.jpg)
As equipas dos Departamentos de Sistemas de Informação têm pouca participação ou motivação em grupos… Governance, Qualidade, Gestão de Risco, Segurança, etc..
“Comité Olímpico”
Os Departamentos de Sistemas de Informação vivem sujeitos a imensa adversidade e incertezas - vulgarmente Riscos - contantes, que algures no tempo, senão forem tratados criam impacto.
“Teoria do Caos”
CICLO ETERNO
Exemplo de uma paragem por completo num hospital publico durante aproximadamente 12 horas devido a uma alteração de denominação de rede de um equipamento que não era possível identificar no meio.
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
![Page 10: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/10.jpg)
CICLO ETERNO
Exemplo de uma paragem por completo num hospital publico durante aproximadamente 12 horas devido a uma alteração de denominação de rede de um equipamento que não era possível identificar no meio.
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
2001
Anti-Virus
Firewall
Patchs
Proxy
Política Utilização
Políticas Acesso
Organização
Cultura
Exemplo
Seg. Física
Seg. Lógica
asset ?
? ?
![Page 11: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/11.jpg)
O QUE NÃO QUEREMOS
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Gestão de
assets
Plano continuidade
negócio
Gestão de
incidências
Gestão serviços
(ITIL)
Gestão identidades
Políticas hardening
Plano disaster recover
Credenciais
SGRH
Políticas
Gestão Contratos/
Outsourcing
?
?
?
?
?
Ausência de…
![Page 12: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/12.jpg)
Muitas vezes as questões de proteção para as empresas
inclinam-se unicamente em ajudar os clientes a
protegerem-se das ameaças externas ao nível da
circulação de informação electrónica (anti-virus,
certificados digitais, firewall, etc…)
• Desmotivação (esmorecimento)
• Negligência dos colaboradores;
• Falta de capacidades compatíveis funções;
• Desconhecimento ou ignorância;
O Elo Mais Fraco
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE NÃO QUEREMOS
![Page 13: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/13.jpg)
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE NÃO QUEREMOS
Níveis de maturidade da informação clínica e a sua relação com o RISCO
![Page 14: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/14.jpg)
Gerir a Segurança
é necessário vigiar os Riscos
e melhorar mecanismos de protecção
Os mecanismos de protecção não são suficientes.
Ou seja, é necessário…
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE NÃO QUEREMOS
![Page 15: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/15.jpg)
Claúsulas de abrangência
Aspectos Físico s
Aspec tos técnicos
Operacional
Políticas Segurança
Organização Segurança
Gestão Bens
Conformidades
Segurança Pessoas
Gestão Continuidade Negócio
Controlo Acesso
Comunicações & Gestão de Operações
Segurança Física & Ambiental
Aspectos Tácticos
Táctico
Desenvolvimento
Sistemas & Manutenção
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
![Page 16: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/16.jpg)
1 Política de Segurança da Informação
2 Organização da Segurança da Informação
3 Gestão de Recursos
4 Gestão de Recursos Humanos
5 Gestão da segurança física e ambiental
6 Gestão das Comunicações e Operações
7 Controlo de acessos
8 Aquisições, manutenções e desenv. de sistemas
9 Gestão de incidentes de segurança da informação
10 Plano de gestão da continuidade de negócio
11 Conformidade com os aspectos legais
Cláusulas da ISO/IEC 27002:2005
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
![Page 17: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/17.jpg)
Mitigar o risco
Implementar controlos técnicos de mitigação de risco (por exemplo uma
firewall)
Evitar o risco
Decidir não avançar ou não implementar
Aceitar o Risco
Decidir que o nível de risco identificado está
dentro do limiar de tolerância das
capacidades da organização
Transferir o risco
Aquisição de seguros ou outsourcing
Formas de abordar do Risco
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
![Page 18: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/18.jpg)
Ava
liaçã
o d
e R
isco
s
Gestão de Risco
Identificar Controlar
Monitorizar Implementar Planear
Avaliar
Gestão do Risco
A implementação de mitigação de riscos envolve tipicamente as Pessoas, os Processos e as Tecnologias.
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
![Page 19: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/19.jpg)
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
Implementação de um SGSI
«Estabelecer SGSI»
«Implementar e operar
SGSI»
«Verificação, Monitorização, Revisão
do SGSI»
«Manutenção e melhoria
do SGSI»
![Page 20: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/20.jpg)
Estrutura de um SGSI
Família TC 215 - ISO 27000 também conhecida como ISO 27k
ISO/IEC 27000 - vocabulário e definições utilizadas
27005
Gestão de Risco
(ISO 13335)
27001 - requisitos para um SGSI
27002 - Boas Práticas para um SGSI
27003 - Guia de Implementação SGSI
27004 - Métricas e Medidas avaliar SGSI
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
![Page 21: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/21.jpg)
Do Caos à Estrutura
Lidar com a Complexidade
Papel do CEO, CFO, CMIO, CIO, CISO e CTO
CTO
CIO
INCERTEZA
CEPTICISMO ACEITAÇÃO
CONFIANÇA
RESPEITO
t
Gestão
SI/TI
Governança
SI/TI
Operacional Estratégia
Engenharia Arquitectura
Só a existência de uma arquitectura pode responder às
questões da complexidade e da mudança. É a única
forma que a Humanidade tem de lidar com elas. Ao
caos opõe-se à estrutura. Zachman
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
RESULTADOS EXPECTAVEIS
![Page 22: A Gestão do Risco nos Grandes Hospitais - apdsi.pt de... · 10 Plano de gestão da continuidade de negócio ... Cláusulas da ISO/IEC 27002:2005 INTRODUÇÃO O QUE NÃO QUEREMOS](https://reader033.vdocuments.net/reader033/viewer/2022052515/5a75f95d7f8b9a93088cc962/html5/thumbnails/22.jpg)
Não é possível manter a segurança sem
planear a sua gestão
Nenhuma organização vai estar um dia totalmente protegida das ameaças que põem em risco a sua Informação de negócio.
Investir num nível de protecção que se considere próximo do ideal atingiria custos muito elevados ou bloquearia de forma não aceitável os processos desenvolvidos pelo hospital.
No entanto…. As utilização do modelo de boas práticas possibilitaria uma abordagem sistemática dos riscos (que pode ser realizada numa forma gradual e com custos controlados) de modo a implementar controlos com o objectivo de os minimizar.
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
CONCLUSÕES