A segurança da informação em saúde

A ideia de coletar informações de saúde não é nova, mas está mudando em face da nova tecnologia. Nos dias antes de os computadores se tornarem predominantes, documentos em papel eram usados para a manutenção dos registros. Em instituições que ainda não foram totalmente convertidas para o modelo digital, ainda é assim que é feito. Mas, os novos registros digitais são mais fáceis de adicionar e não ocupam espaço físico, portanto, os médicos estão se tornando capazes de adicionar mais e mais informações críticas aos registros de cada paciente. Atualmente, muitos aspectos da saúde física e mental podem fazer parte do registro de saúde de uma pessoa, incluindo a história de doenças virais e bacterianas significativas; informação de vacinação; alergias diagnosticadas e outras condições; histórico atual e passado de medicação e tratamento; e melhorias significativas ou retrocessos durante uma internação hospitalar atual. Todas essas informações são essenciais para o cuidado diário dos milhões de pacientes atendidos pelo sistema de saúde. Armazenar todo esse conhecimento como dados digitais facilita a organização e o acesso e, portanto, é mais útil para profissionais de saúde que atendem a muitos pacientes simultaneamente. Também permite que os pacientes vivenciem uma continuidade de cuidados entre os muitos profissionais que trabalham em seu caso, reduz o risco de erros de entrega e fornece um perfil de paciente mais robusto para fins de diagnóstico. Porém, é importante conhecer as diretrizes das normas técnicas de segurança de informações organizacionais e práticas de gestão de segurança da informação, incluindo a seleção, implementação e gestão de controles levando em consideração os ambientes de riscos de segurança da informação da organização.

saúde2Hayrton Rodrigues do Prado Filho –

A informação de saúde não é importante apenas no sentido comercial e médico, mas também do ponto de vista da privacidade. As pessoas com condições médicas são frequentemente vulneráveis a abuso e discriminação que podem afetá-los social, econômica e emocionalmente.

Portanto, os registros pessoais de saúde de um indivíduo devem ser são tratados como informações altamente confidenciais que devem ser mantidas longe dos olhos não autorizados a todo custo. Embora um registro de saúde só deva ser totalmente acessível ao paciente e ao seu médico, algumas organizações externas ocasionalmente querem ter razões legítimas para acessar esses dados, como companhias de seguro, escolas e instituições governamentais.

Passar essa informação sem expor ao alcance dos outros pode ser complicado, mas é um dever essencial para os profissionais de informação em saúde. Somente com uma observação cuidadosa desses trabalhadores pode impedir que os dados médicos de todos sejam usados de maneira maliciosa ou imprudente.

A julgar pelas tendências atuais, as informações e os dados só se tornarão mais um elemento fundamental do setor de saúde com o passar do tempo. Muitos hospitais e instalações de cuidados de saúde ainda precisam fazer a transição para dados digitais, o que significa que o mercado atual de serviços de informações de saúde é muito menor do que se pode esperar que seja nos próximos anos.

Um dos caminhos mais promissores para o desenvolvimento futuro no setor de informação em saúde é, na verdade, o cuidado preventivo. Os especialistas do setor preveem que em breve serão usados os dispositivos inteligentes para monitorar as pessoas saudáveis em busca de sinais de problemas como diabetes e doenças cardíacas antes que eles avancem ao ponto de exigir cuidados.

Esta aplicação pode ter efeitos tremendos na taxa de doenças crônicas caras que o sistema de saúde deve tratar continuamente. Também exigirá que exponencialmente mais informações sobre saúde sejam coletadas, protegidas e mantidas, levando potencialmente a muitas novas oportunidades no campo.

Assim, as informações de saúde são os dados relacionados ao histórico médico de uma pessoa, incluindo sintomas, diagnósticos, procedimentos e resultados. Os registros de informações de saúde incluem históricos de pacientes, resultados de laboratório, raios-x, informações clínicas e anotações.

As informações de saúde de um paciente podem ser visualizadas individualmente, para ver como a saúde de um paciente mudou e também podem ser vistas como parte de um conjunto maior de dados para entender como a saúde de uma população mudou e como as intervenções médicas podem mudar os resultados da saúde.

A gestão das informações de saúde é a prática de adquirir, analisar e proteger informações médicas digitais e tradicionais vitais para fornecer assistência ao paciente de qualidade. É uma combinação de negócios, ciência e tecnologia da informação.

Os profissionais de gestão das informações de saúde devem ser treinados nas mais recentes aplicações de tecnologia de gestão das informações e entenderem o fluxo de trabalho em qualquer organização prestadora de serviços de saúde, desde os grandes sistemas hospitalares até a prática médica particular. Eles se tornam vitais para o gerenciamento diário de operações de informações de saúde e registros eletrônicos de saúde, garantindo que as informações de saúde do paciente e os registros sejam completos, precisos e protegidos.

Embora a proteção e a segurança das informações pessoais sejam importantes para todos os indivíduos, corporações, instituições e governos, existem requisitos especiais no setor de saúde que precisam ser cumpridos para garantir a confidencialidade, integridade, auditabilidade e disponibilidade de informações pessoais de saúde. Este tipo de informação é considerado por muitos como estando entre os mais confidenciais de todos os tipos de informações pessoais.

Proteger esta confidencialidade é essencial se a privacidade dos sujeitos de cuidados é para ser mantida. A integridade da informação de saúde é para ser protegida para garantir a segurança do paciente, e um componente importante dessa proteção é assegurar que todo o ciclo de vida da informação seja totalmente auditável. A disponibilidade de informações de saúde também é fundamental para a oferta eficaz de serviços de saúde.

Os sistemas de informática em saúde precisam atender a demandas ímpares para continuar operacionais em face de desastres naturais, falhas de sistema e ataques de negação de serviço. Proteger a confidencialidade, integridade e disponibilidade de informações de saúde requer, portanto, conhecimentos específicos do setor de saúde.

Independentemente do tamanho, localização e modelo de prestação de serviços, todas as organizações de saúde precisam ter controles rigorosos instalados para proteger a informação de saúde a eles confiada. No entanto, muitos profissionais de saúde trabalham como prestadores de saúde individuais ou em pequenas clínicas, que carecem dos recursos dedicados de TI para gerenciar a segurança da informação.

As organizações de saúde precisam, portanto, de orientações claras, concisas e específicas sobre cuidados de saúde na seleção e implementação destes controles. Com o aumento do intercâmbio eletrônico de informações pessoais de saúde entre os profissionais da saúde (incluindo o uso de serviços sem fio e internet), há um claro benefício na adoção de uma referência comum para a gestão da segurança da informação na assistência à saúde.

A NBR ISO 27799 de 04/2019 – Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002 fornece as diretrizes para normas de segurança de informações organizacionais e práticas de gestão de segurança da informação, incluindo a seleção, implementação e gestão de controles levando em consideração os ambientes de riscos de segurança da informação da organização. Define as diretrizes para apoiar a interpretação e implementação em informática em saúde da NBR ISO/IEC 27002. Fornece orientações de implementação para os controles descritos na NBR ISO/IEC 27002 e os complementa quando necessário, para que possam ser efetivamente utilizados para gerenciar a segurança da informação de saúde.

Ao implementar esta norma, as organizações de saúde e outros guardiões das informações de saúde serão capazes de garantir um nível mínimo de segurança que seja apropriado às circunstâncias da sua organização e que manterá a confidencialidade, integridade e disponibilidade das informações pessoais de saúde sob seus cuidados. Este documento aplica-se às informações de saúde em todos os seus aspectos, independentemente das formas que tomem as informações (palavras e números, gravações de som, desenhos, vídeos e imagens médicas), quaisquer que sejam os meios utilizados para armazená-las (impressão ou escrita em papel ou armazenamento eletronicamente) e quaisquer meios utilizados para transmiti-las (manualmente, por meio de fax, por redes de computadores ou por correio), uma vez que a informação deve ser sempre devidamente protegida.

Este documento e a NBR ISO/IEC 27002, tomados em conjunto, definem o que é necessário em termos de segurança da informação nos cuidados de saúde, mas não definem como estes requisitos são cumpridos. Ou seja, na medida do possível, este documento é neutro em termos de tecnologia. A neutralidade com relação à implementação de tecnologias é uma característica importante.

A tecnologia de segurança ainda está em rápido desenvolvimento e o ritmo dessa mudança agora é medido em meses, em vez de anos. Em contrapartida, embora sujeitas à revisão periódica, espera-se que as normas permaneçam válidas durante anos. Igualmente importante, a neutralidade tecnológica deixa fornecedores e provedores de serviços livres para sugerir tecnologias novas ou em desenvolvimento que atendam aos requisitos necessários descritos neste documento.

Conforme observado na introdução, a familiaridade com a NBR ISO/IEC 27002 é indispensável para a compreensão deste documento. As seguintes áreas de segurança da informação estão fora do escopo desta norma: as metodologias e testes estatísticos para a efetiva anonimização das informações pessoais de saúde; as metodologias para a pseudoanonimização de informações pessoais de saúde; a qualidade de serviço da rede e métodos de medição da disponibilidade de redes utilizadas para a informática em saúde; a qualidade dos dados (distinta da integridade dos dados).

Por outro lado, a NBR ISO/IEC 27002 já está sendo amplamente utilizada para a gestão de segurança de TI em informática em saúde por meio de diretrizes nacionais ou regionais na Austrália, Canadá, França, Holanda, Nova Zelândia, África do Sul, Reino Unido e em outro lugar. A NBR ISO 27799 baseia-se na experiência adquirida nestes esforços nacionais em matéria de segurança das informações pessoais de saúde e destina-se a ser um documento complementar à NBR ISO/IEC 27002.

Não se destina a suplantar a série NBR ISO/IEC 27000 de normas. Em vez disso, é um complemento a estes padrões mais genéricos. A NBR ISO 27799 aplica a NBR ISO/IEC 27002 ao domínio da saúde de uma forma que considera cuidadosamente a aplicação apropriada de controles de segurança para fins de proteção de informações pessoais de saúde. Estas considerações levaram, em alguns casos, os autores a concluir que a aplicação de certos objetivos de controle da NBR ISO/IEC 27002 é essencial para que as informações pessoais de saúde sejam adequadamente protegidas.

A NBR ISO 27799 impõe, portanto, restrições à aplicação de certos controles de segurança especificados na NBR ISO/IEC 27002. Todos os objetivos de controle de segurança descritos na NBR ISO/IEC 27002 são relevantes para a informática em saúde, mas alguns controles requerem explicações adicionais sobre como eles podem ser mais bem utilizados para proteger a confidencialidade, integridade e disponibilidade de informações de saúde. Existem também requisitos específicos adicionais do setor da saúde.

A presente norma fornece orientação adicional em um formato que as pessoas responsáveis pela segurança da informação de saúde podem prontamente entender e adotar. No domínio da saúde, é possível que uma organização (por exemplo, um hospital, digamos) seja certificada usando a NBR ISO/IEC 27001, sem exigir certificação, ou que seja contra ou até mesmo sem respeitar a NBR ISO 27799. É de se esperar, no entanto, que as organizações de saúde se esforcem para melhorar a segurança das informações pessoais de saúde, em conformidade com a NBR ISO 27799, à medida que uma norma mais rigorosa para os cuidados à saúde também se tornar mais difundida.

Os objetivos gerais da segurança da informação são manter a confidencialidade, disponibilidade e integridade da informação (incluindo autenticidade, responsabilidade e auditabilidade). Na assistência à saúde, a privacidade dos sujeitos do cuidado (pacientes) depende da manutenção da confidencialidade das suas informações pessoais de saúde. Para mantê-la, também são tomadas medidas para conservar a integridade dos dados, se por outra razão não for possível corromper a integridade dos dados de controle de acesso, das trilhas de auditoria e de outros dados do sistema, de forma que se permita ocorrer ou passar desapercebidas violações da confidencialidade.

Além disso, a segurança do paciente depende da manutenção da integridade das informações pessoais de saúde, caso contrário, também pode resultar em doença, lesão ou até mesmo a morte. Da mesma forma, um alto nível de disponibilidade é um atributo especialmente importante dos sistemas de saúde, onde o tratamento é muitas vezes temporalmente crítico. Na verdade, os desastres que podem levar a interrupções em outros sistemas de TI não relacionados à saúde podem ser os momentos em que as informações contidas nos sistemas de saúde são mais criticamente necessárias.

Igualmente, os ataques de negação de serviço contra sistemas em rede são cada vez mais comuns. Os controles discutidos neste documento foram identificados como sendo os mais apropriados na assistência à saúde para proteger a confidencialidade, integridade e disponibilidade de informações pessoais de saúde e para garantir que o acesso a estas informações possa ser auditado e contabilizado.

Estes controles ajudam a prevenir erros na prática médica que possam resultar da incapacidade de manter a integridade das informações de saúde. Além disso, eles ajudam a garantir a manutenção da continuidade dos serviços médicos. Há outras considerações adicionais que dão forma aos objetivos da segurança da informação de saúde.

Elas incluem cumprir as obrigações legislativas expressas nas leis e regulamentos de proteção de dados aplicáveis que protegem o direito à privacidade do sujeito do cuidado; manter as melhores práticas de privacidade e segurança estabelecidas em informática em saúde; manter a responsabilidade individual e organizacional entre as organizações de saúde e os profissionais da saúde; apoiar a implementação de uma gestão sistemática dos riscos nas organizações de saúde; satisfazer as necessidades de segurança identificadas em situações comuns de saúde; reduzir os custos operacionais, facilitando o uso crescente da tecnologia de uma forma segura, protegida e bem administrada, que apoie, mas não restrinja, as atividades de saúde atuais; manter a confiança do público nas organizações de saúde e nos sistemas de informação de que estas organizações dependem; manter os padrões profissionais e a ética conforme estabelecido pelas organizações profissionais relacionadas à saúde (na medida em que a segurança da informação mantenha a confidencialidade e integridade da informação de saúde); operar sistemas eletrônicos de informação em saúde em um ambiente adequadamente protegido contra ameaças; facilitar a interoperabilidade entre os sistemas de saúde, uma vez que a informação de saúde flui cada vez mais entre as organizações e por meio de fronteiras jurisdicionais (especialmente porque essa interoperabilidade aumenta o tratamento apropriado das informações de saúde para garantir a sua confidencialidade, integridade e disponibilidade).

Embora as organizações de saúde possam diferir entre si em seus posicionamentos sobre a governança clínica e corporativa, convém estar fora dessa discussão a importância de integrar e atender à governança da informação, pois esta é um suporte vital para ambas. À medida que as organizações de saúde se tornam cada vez mais criticamente dependentes dos sistemas de informação para apoiar a prestação de cuidados de saúde (por exemplo, ao explorar as tecnologias de apoio à decisão e as tendências para uma assistência à saúde que seja mais baseada em evidências do que baseada na experiência), tem se tornado cada vez mais evidente que os eventos em que ocorrem perdas de integridade, disponibilidade e confidencialidade podem ter um impacto clínico significativo e que os problemas decorrentes destes impactos serão vistos como representando falhas nas obrigações éticas e legais inerentes aos deveres da assistência à saúde.

Sem dúvida, a maioria dos países e outras jurisdições possuem estudos de caso onde essas violações levaram a diagnósticos errados, mortes ou recuperações prolongadas. Os frameworks de governança clínica precisam, portanto, tratar a gestão eficaz do risco de segurança da informação como igual em importância aos planos de tratamento de cuidados médicos, às estratégias de gestão de infecções e outras questões fundamentais de gestão clínica. O presente documento ajudará os responsáveis pela governança clínica a compreender melhor a contribuição de estratégias eficazes de segurança da informação.

Existem vários tipos de informações cuja confidencialidade, integridade e disponibilidade precisam ser protegidas: as informações pessoais de saúde; dados pseudoanonimizados derivados de informações pessoais de saúde por meio de alguma metodologia de identificação usando pseudônimos; dados estatísticos e de pesquisa, incluindo dados anonimizados derivados de informações pessoais de saúde por meio da remoção de dados de identificação pessoal; conhecimentos clínicos/médicos não relacionados a assuntos específicos à assistência à saúde propriamente dita, incluindo dados de suporte à decisão clínica (por exemplo, dados sobre reações adversas aos medicamentos); dados identificados dos profissionais de saúde, empregados e voluntários; informações relacionadas à vigilância em saúde pública; dados das trilhas de auditoria, produzidos por sistemas de informação de saúde, que contenham informações pessoais de saúde ou dados anonimizados derivados de informações pessoais de saúde ou que contenham dados sobre as ações dos usuários em relação a informações pessoais de saúde; e os dados de segurança do sistema para sistemas de informação de saúde, incluindo parâmetros de controle de acesso e outros dados de configuração de sistemas relacionados com segurança, para sistemas de informação de saúde.

O grau em que a confidencialidade, a integridade e a disponibilidade precisam ser protegidas depende da natureza da informação, das utilizações a que se destina e dos riscos a que está exposta. Por exemplo, os dados estatísticos podem não ser confidenciais, mas pode ser muito importante proteger sua integridade. Da mesma forma, os dados da trilha de auditoria podem não requerer alta disponibilidade (o arquivamento frequente destes com um tempo de recuperação medido em horas, em vez de segundos, pode ser suficiente para uma determinada aplicação), mas seu conteúdo pode ser altamente confidencial.

A avaliação do risco pode determinar adequadamente o nível de esforço necessário para proteger a confidencialidade, integridade e disponibilidade. Os resultados da avaliação regular de riscos precisam ser adequados às prioridades e recursos da organização implementadora. A intenção da avaliação de riscos é ser um meio para chegar a um fim, ou seja, não convém que seja um fim em si mesmo, mas muitas vezes acaba sendo assim. Isto é especialmente verdadeiro em ambientes com restrições de recursos, como os encontrados em muitas organizações de saúde.

saúde4

A gestão dos riscos responde à avaliação dos riscos pela identificação dos controles que precisam ser reforçados, dos controles que já estão efetivamente em vigor e dos controles adicionais que a organização precisa executar para reduzir o nível residual de risco a um nível aceitável. A interconexão de sistemas de informação em saúde torna a gestão de riscos em saúde particularmente desafiadora, pois poucas organizações de saúde podem agir como se seus sistemas fossem ilhas isoladas de informação.

A avaliação de riscos em saúde frequentemente levanta questões sobre a custódia, propriedade e responsabilidade da informação. A gestão eficaz dos riscos deve assegurar o alinhamento da responsabilidade pela segurança da informação, com a autoridade para tomar decisões de gestão de riscos.

Os tipos de ameaças e vulnerabilidades de segurança da informação variam muito, assim como suas descrições. Embora nenhum destes seja verdadeiramente exclusivo para os cuidados à saúde, o que é intrínseco ao setor de assistência à saúde é o conjunto de fatores a serem considerados na avaliação das ameaças e vulnerabilidades.

Pela sua natureza, as organizações de saúde operam em um ambiente onde os visitantes e o público em geral nunca podem ser totalmente excluídos. Nas grandes organizações de saúde, é significativo o grande volume de pessoas que se deslocam pelas áreas operacionais. Estes fatores aumentam a vulnerabilidade dos sistemas às ameaças físicas. Além disso, a probabilidade de que estas ameaças ocorram pode aumentar quando estão presentes sujeitos do cuidado ou seus parentes que sejam afetados emocionalmente ou mentalmente.

A importância crítica de se identificar corretamente os sujeitos do cuidado e adequá-los corretamente aos seus registros de saúde leva as organizações de saúde a coletar informações de identificação detalhadas. Registros regionais ou jurisdicionais de pacientes (ou seja, os registros dos sujeitos do cuidado) são às vezes os repositórios mais abrangentes e atualizados de informações de identificação disponíveis em uma jurisdição. Esta informação de identificação é de grande valor potencial para aqueles que poderiam usá-la para cometer roubo de identidade e por isso convém que seja rigorosamente protegida.

Muitas organizações de saúde são cronicamente subfinanciadas e os membros de suas equipes são por vezes obrigados a trabalhar sob estresse significativo e com sistemas mantidos em serviço por muito tempo depois que poderiam ter sido aposentados. Estes fatores podem aumentar o potencial para certos tipos de ameaça e podem exacerbar as vulnerabilidades. Por outro lado, a assistência clínica envolve uma série de profissionais, técnicos, administrativos, auxiliares e voluntários, muitos dos quais veem o seu trabalho como uma vocação.

Assim, sua dedicação e diversidade de experiências pode muitas vezes levar a uma redução da exposição a vulnerabilidades. O elevado nível de formação profissional recebido por muitos profissionais de saúde também os diferencia em relação a muitos outros setores industriais quanto à possibilidade de redução da incidência de ameaças internas. Convém que o ambiente de saúde, com suas ameaças e vulnerabilidades ímpares, seja considerado com especial cuidado. O Anexo A contém uma lista informativa dos tipos de ameaças que precisam ser consideradas pelas organizações de saúde quando avaliam os riscos à confidencialidade, integridade e disponibilidade de informações de saúde e à integridade e disponibilidade dos sistemas de informação relacionados.

Assim, este documento fornece orientação sobre as 14 seções de controle de segurança, 35 categorias de segurança principais e 114 controles especificados na NBR ISO/IEC 27002. Como acontece com aquele documento, cada seção que define controles de segurança contém uma ou mais categorias de segurança principais. A ordem das seções e categorias não implica a sua importância.

Dependendo das circunstâncias, os controles de segurança de qualquer ou de todas as seções podem ser importantes, convém que as organizações de saúde que aplicam este documento identifiquem os controles aplicáveis ao seu ambiente e processos de negócios. Cada categoria principal de controle de segurança da NBR ISO/IEC 27002 contém um objetivo de controle que indica o que deve ser alcançado e um ou mais controles que podem ser aplicados para atingir o objetivo de controle.

Presume-se que os leitores desta norma têm acesso ao texto da NBR ISO/IEC 27002. As descrições de controle neste documento estão estruturadas da seguinte forma: o controle específico para a saúde define a declaração de controle específico para a saúde, conforme estabelecido na NBR ISO/IEC 27002, para satisfazer o objetivo de controle. Se não houver controle específico para a saúde, esta parte não será exibida. As orientações específicas de implementação para a saúde fornece informações mais detalhadas para apoiar a implementação do controle em um ambiente de prestação de cuidados de saúde para cumprir o objetivo de controle ao proteger a confidencialidade, integridade e disponibilidade de informações pessoais de saúde.

Se não houver orientação específica para a saúde fornecida, o texto indica nenhuma orientação adicional para a gestão da segurança da informação em saúde. Outras informações específicas para a saúde fornece mais informações específicas de saúde que podem precisar ser consideradas, por exemplo, referências a outros documentos internacionais. Se não houver nenhuma outra informação a ser fornecida, esta parte não é mostrada.

saúde3

As ameaças à confidencialidade, integridade e disponibilidade de ativos de informações de saúde incluem variados fatores. A falsa identidade por pessoas internas (incluindo a falsa identidade por profissionais da saúde e por membros da equipe de suporte). A falsa identidade por pessoas internas consiste no uso do sistema por aqueles que fazem uso de contas de usuário que não são as suas próprias. Como tal, constitui uma falha na autenticação segura de usuários.

Muitos casos de falsa identidade por pessoas que fazem parte da organização são cometidos simplesmente porque fica mais fácil para as pessoas fazerem o seu trabalho. Por exemplo, quando um profissional da saúde tem que substituir outro em uma estação de trabalho, de modo a continuar a trabalhar com o prontuário eletrônico de um sujeito do cuidado que já esteja ativo, há uma forte tentação de ignorar o inconveniente do primeiro usuário ter que fazer logoff e o segundo usuário ter que fazer logon.

No entanto, a falsa identidade por pessoas internas é também uma fonte de violações graves da confidencialidade. Na verdade, a maioria das violações da confidencialidade é cometida por membros da própria organização. A falsa identidade usada por estas pessoas também pode ser realizada com a intenção de ocultar casos onde foi causado algum dano.

A falsa identidade por prestadores de serviços (incluindo pessoal de manutenção contratado, como engenheiros de software de sistema operacional, pessoal de manutenção de hardware e outros, que podem ter uma razão legítima formal para acessar sistemas e dados). A falsa identidade por prestadores de serviços consiste neste pessoal contratado usar o seu acesso privilegiado a sistemas (como durante testes no local e reparação de equipamentos com defeito) para obter acesso não autorizado aos dados protegidos.

Como tal, é uma violação, ou uma falha de se ter assegurando isso (a ilegalidade do acesso) de forma adequada nos contratos de terceirização. Embora seja mais rara do que a falsa identidade cometida por pessoas internas, a falsa identidade por prestadores de serviços também pode ser uma fonte de graves violações da confidencialidade das informações pessoais de saúde.

A falsa identidade por estranhos (incluindo hackers). A falsa identidade por estranhos ocorre quando pessoas não autorizados ou desconhecidas, que não pertencem à organização ou não prestam serviços terceirizados ou voluntários, obtêm acesso a dados ou recursos do sistema, seja por assumir a identidade de um usuário autorizado ou por conseguirem se tornar fraudulentamente um usuário autorizado (por exemplo, pela chamada engenharia social).

Além dos hackers, a falsa identidade por estranhos também pode ser cometida por jornalistas, detetives privados e hacktivistas (hackers que trabalham em nome de ou por simpatia com grupos de pressão política). A falsa identidade por estranhos constitui uma falha em um ou mais dos seguintes controles de segurança: identificação do usuário; autenticação do usuário; autenticação de origem; controle de acesso e gerenciamento de privilégios.

O uso não autorizado de um aplicativo de informações de saúde. Pode ser surpreendentemente fácil obter acesso não autorizado a um aplicativo de informações de saúde (por exemplo, por um sujeito do cuidado que se aproxime de uma estação de trabalho desocupada em um consultório médico e navegue na tela aberta). Os usuários autorizados também podem realizar ações não autorizadas, como alterar dados maliciosamente.

No Reino Unido, por exemplo, o médico psicopata Dr. Harold Shipman tentou ocultar o assassinato de dezenas de seus pacientes, alterando registros em seu sistema de computador. A importância crítica de identificar corretamente os sujeitos do cuidado e atribuí-los corretamente aos registros de saúde leva as organizações de saúde a coletar informações de identificação detalhadas sobre os pacientes tratados. Esta informação de identificação é de grande valor potencial para quem pretende usá-la para cometer roubo de identidade, e por isso convém que seja rigorosamente protegida.

Já a NBR ISO/IEC 27002 de 11/2013 – Tecnologia da informação – Técnicas de segurança – Código de Prática para controles de segurança da informação fornece as diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. É projetada para ser usada por organizações que pretendam: selecionar controles dentro do processo de implementação de um sistema de gestão da segurança da informação baseado na NBR ISO/IEC 27001; implementar controles de segurança da informação comumente aceitos; desenvolver seus próprios princípios de gestão da segurança da informação.

Importante dizer que a norma foi projetada para as organizações usarem como uma referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação (SGSI), baseado na NBR ISO/IEC 27001 ou como um documento de orientação para as organizações implementarem controles de segurança da informação comumente aceitos. É também usada no desenvolvimento de organizações e indústrias específicas de gerenciamento de segurança da informação, levando em consideração os seus ambientes de risco de segurança da informação específicos.

Organizações de todos os tipos e tamanhos (incluindo o setor privado e público, organizações comerciais e sem fins lucrativos), coletam, processam, armazenam e transmitem informações em diferentes formatos, incluindo o eletrônico, físico e verbal (por exemplo, conversações e apresentações). O valor da informação vai além das palavras escritas, números e imagens: conhecimento, conceitos, ideias e marcas são exemplos de formas intangíveis da informação. Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações são informações que, como outros ativos importantes, têm valor para o negócio da organização e, consequentemente, requerem proteção contra vários riscos.

Ativos são objeto de ameaças, tanto acidentais como deliberadas, enquanto os processos, sistemas, redes e pessoas têm vulnerabilidades inerentes. Mudanças nos processos e sistemas do negócio ou outras mudanças externas (como novas leis e regulamentações) podem criar novos riscos de segurança da informação.

Desta forma, em função das várias maneiras nas quais as ameaças podem se aproveitar das vulnerabilidades para causar dano à organização, os riscos de segurança da informação estão sempre presentes. Uma segurança da informação eficaz reduz estes riscos, protegendo a organização das ameaças e vulnerabilidades e, assim, reduzindo o impacto aos seus ativos.

A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização sejam atendidos. Um sistema de gestão da segurança da informação (SGSI), a exemplo do especificado na NBR ISO/IEC 27001, considera uma visão holística e coordenada dos riscos de segurança da informação da organização, para implementar um conjunto de controles de segurança da informação detalhado, com base na estrutura global de um sistema de gestão coerente.

Muitos sistemas de informação não têm sido projetados para serem seguros, na ótica da NBR ISO/IEC 27001 e desta norma. A segurança que pode ser alcançada através de meios técnicos é limitada e está apoiada por procedimentos e gerenciamentos apropriados.

A identificação de quais controles devem ser implementados requer planejamento e atenção cuidadosa em nível de detalhes. Um sistema de gestão da segurança da informação bem-sucedido requer apoio de todos os funcionários da organização. Isto pode também exigir a participação de acionistas, fornecedores ou outras partes externas. Orientações de especialistas externos podem também ser necessárias.

De um modo geral, uma segurança da informação eficaz também garante à direção e a outras partes interessadas que os ativos da organização estão razoavelmente seguros e protegidos contra danos, agindo como um facilitador dos negócios. Assim, é essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação.

A avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

A legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural. Os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações.

Os recursos empregados na implementação dos controles precisam ser balanceados com base na probabilidade de danos ao negócio, resultado dos problemas de segurança pela ausência desses controles. Os resultados de uma avaliação de risco ajudarão a orientar e determinar as ações de gestão apropriadas e as prioridades para gerenciar os riscos de segurança da informação e a implementação dos controles selecionados para proteger contra estes riscos.

A NBR ISO/IEC 27005 fornece as diretrizes sobre gestão de riscos de segurança da informação, incluindo orientações sobre avaliação de riscos, tratamentos de riscos, aceitação de riscos, comunicação de riscos, monitoramento e análise crítica dos riscos. Os controles podem ser selecionados desta norma ou de outros conjuntos de controles, ou novos controles podem ser projetados para atender às necessidades específicas, conforme apropriado.

A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que a seleção destes controles também esteja sujeita a todas as legislações e regulamentações nacionais e internacionais relevantes. A seleção de controles também depende da maneira pela qual os controles interagem para prover uma proteção segura.

Alguns dos controles nesta norma podem ser considerados princípios básicos para a gestão da segurança da informação e podem ser aplicados à maioria das organizações. Os controles são explicados em mais detalhes logo a seguir, no campo diretrizes para implementação. Mais informações sobre seleção de controles e outras opções para tratamento de riscos podem ser encontradas na NBR ISO/IEC 27005.

A informação tem um ciclo de vida natural, desde a sua criação e origem, armazenamento, processamento, uso e transmissão, até a sua eventual destruição ou obsolescência. O valor e os riscos aos ativos podem variar durante o tempo de vida da informação (por exemplo, revelação não autorizada ou roubo de balanços financeiros de uma companhia é muito menos importante depois que eles são formalmente publicados), porém a segurança da informação permanece importante em algumas etapas de todos os estágios.

Sistemas de informação têm ciclos de vida nos quais eles são concebidos, especificados, projetados, desenvolvidos, testados, implementados, usados, mantidos e, eventualmente, retirados do serviço e descartados. Convém que a segurança da informação seja considerada em cada estágio. Desenvolvimentos de sistemas novos e mudanças nos sistemas existentes são oportunidades para as organizações atualizarem e melhorarem os controles de segurança, levando em conta os incidentes reais e os riscos de segurança da informação, projetados e atuais.

Enfim, a segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Pode-se entender como informação todo o conteúdo ou dado valioso para um indivíduo/organização, que consiste em qualquer conteúdo com capacidade de armazenamento ou transferência, que serve a determinado propósito e que é de utilidade do ser humano.

Atualmente, a informação digital é um dos principais produtos de nossa era e necessita ser convenientemente protegida. A segurança de determinadas informações podem ser afetadas por vários fatores, como os comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de roubar, destruir ou modificar essas informações.

Três características são básicas para segurança da informação em nuvem: confidencialidade, disponibilidade e integridade e podem ser consideradas até mesmo atributos. A confidencialidade diz respeito à inacessibilidade da informação, que não pode ser divulgada para um usuário, entidade ou processo não autorizado; quanto à integridade, a informação não deve ser alterada ou excluída sem autorização; e a disponibilidade é o acesso aos serviços do sistema/máquina para usuários ou entidades autorizadas. Toda vulnerabilidade de um sistema ou computador pode representar possibilidades de ponto de ataque de terceiros.



Categorias:Normalização, Qualidade

Tags:, , , , , , , , , ,

Deixe uma resposta

%d blogueiros gostam disto: