1. ESTRATÉGIAS DE SAÚDE
Desafio da Segurança da
Informação
Cenários, Riscos e Diretrizes
Carlos Castro
Perito Forense Digital e Consultor

2. Agenda
1. Demandas e Diretrizes
2. Benefícios
3. Amparo Legal
4. Principais Questões
5. Padrões e Normas
6. Casos Reais
7. Sorteio e Perguntas

3. DemandasDiretrizes Saúde
Demandas e Diretrizes
"Accuratissima Brasiliae Tabula" de 1597

4. DemandasDiretrizes Saúde
Saúde está Doente
 Melhoria no Atendimento
 Redução de Custos
 Assertividade
 Otimização de Recursos
 Identificação de Tendências
 Políticas Melhor Orientadas
 Planejamento
 Melhorar Auditoria
"Accuratissima Brasiliae Tabula" de 1597

5. ProntuáriosDiretrizes Digitalização
Digitalização de Prontuários
Resolução 1.821 de 2007
Aprova as normas técnicas concernentes à
digitalização e uso dos sistemas
informatizados para a guarda e manuseio
dos documentos dos prontuários dos
pacientes, autorizando a eliminação do
papel e a troca de informação identificada
em saúde
"Accuratissima Brasiliae Tabula" de 1597

6. CFM Conselho Federal de Medicina
O que deve constar no Prontuário
(Resolução 1638, Art, 5)
Identificação (nome, nascimento,
endereço, etc)
Anamnese (entrevista), Exames,
diagnóstico e suas Hipóteses,
tratamento realizado
Evolução diária com detalhes dos
Procedimentos
ProntuáriosDiretrizes Conteúdo

7. PNIIS Política Nacional de Informática e
Informação em Saúde
Registro eletrônico disponível nas várias instituições
nas quais o paciente for atendido (Mar/2004)
Assim, as atividades que tem foco no indivíduo,
independente do seu aspecto preventivo ou curativo, se
beneficiam de um registro eletrônico, usualmente
chamado de "Prontuário Eletrônico do Paciente",
que permite recuperar de forma integrada toda a
informação disponível sobre o mesmo, ao longo do
tempo e das várias instituições com que tem
contato. Parágrafo 1, página 16,
http://bvsms.saude.gov.br/bvs/publicacoes/PoliticaInformacaoSaude29_03_2004.pdf
ProntuáriosDiretrizes Digitalização

8. Diretos e
IndiretosBenefícios
Prontuário
Digital
Benefícios Diretos e
Indiretos

9. Diagnósticos
 Precisos
Protocolo
 Cooperação
 Auditáveis
 Estruturados
 Históricos
 Inteligência
Diretos e
IndiretosBenefícios
Prontuário
Digital
Benefícios

10. Diagnósticos
Custos
 Redução Exames
 Redução Consultas
 Melhor Uso Recursos
Diretos e
IndiretosBenefícios
Prontuário
Digital
Benefícios

11. Diagnósticos
Custos
Erros
 Legibilidade
 Correção
 Diagnósticos
Precisos
 Validações
Sistêmicas
 Procedimentos
 Desperdícios
Diretos e
IndiretosBenefícios
Prontuário
Digital
Benefícios

12. Padrões
Diagnósticos
Custos
Erros
 Atendimento
 Procedimento
 Registro
 Compartilhamento
 Regionalizados
Diretos e
IndiretosBenefícios
Prontuário
Digital
Benefícios

13. Diagnósticos
Custos
Erros
 Garantir Privacidade
 Identificação Paciente
 Propriedade do
Paciente
 Compartilhamento
 Acessos Devidos
 Armazenamento
 Padrões
 Chave Pública BR
autenticidade, integridade e validade jurídica
Diretos e
IndiretosBenefícios
Prontuário
Digital
Segurança
Padrões
Garantias

14. Padrões
Diagnósticos
Custos
Erros
 Identificação e
Autenticação (CIA)
Confidencialidade, Integridade e Disponibilidade
 Controle de Sessão
 Geração e Recuperação
de Cópias de Segurança
 Confiabilidade e
Segurança dos Dados
 Auditoria e Registro (log)
 Certificação Digital e
Assinatura Digital
Diretos e
IndiretosBenefícios
Prontuário
Digital
Exigências CFM
Segurança

15. Padrões
Diagnósticos
Custos
Erros
 Dependência de
Sistemas
 Duração Consulta
 Resistência
 Exposição de Conduta
 Imagem Institucional
 Implementação
 Prontuário em Papel é
Considerado Público
Diretos e
IndiretosBenefícios
Prontuário
Digital
Dificuldades
Segurança

16. AmparoDiretrizes Legal
Amparo Legal

17. AmparoDiretrizes Legal
Garantias
Constituição de 1988, Artigo 5
Inviolabilidade do direito à
segurança, abrangendo:
 Sigilo de dados
 Intimidade, vida privada, honra e imagem
Código de Defesa Consumidor, Artigo 5
 Dá o direito de acesso aos pacientes aos
seus dados em prontuários

18. Penalidades
Código Penal, Artigos 153 e 154
Divulgar sem justa causa informações
pessoais que possam produzir dano a
outrem, incluindo:
 Informações contidas ou não em sistemas
de informação ou bancos de dados da
administração pública
 Revelar segredo obtido em razão de
função para prejudicar a outrem.
AmparoDiretrizes Legal

19. Autorização do Paciente
A resolução 1.605/2000 (CFM, 2000)
Garante privacidade e impede que sejam
reveladas informações do
prontuário sem sua autorização.
Onde a comunicação de doença é
compulsória, o médico deve comunicar
somente a autoridade competente.
AmparoDiretrizes Legal

20. Administrativas
 Gestão de Riscos
 Políticas de Sanções
 Análise de Atividade nos
Sistemas
 Controle de Acesso
 Proteção contra MalWares
 Monitoramento de logs
 Resposta a Incidentes
 Plano de contingência
 Contratos Escritos entre
Parceiros
DiretrizesHIPAA Proteção
Instalações Físicas
 Operações em
contingência
 Plano de Proteção das
Instalações
 Acesso Restrito as
Estações de Trabalho
 Estações com
Funcionalidade e
Atribuições Mapeadas
 Controle de mídias
Técnicas
 Controle de Acesso (identificação unívoca de
usuário, procedimentos de acesso de
emergência, logout automático, encriptação)
 Auditoria
 Integridade (mecanismos para autenticar PEP
eletrônico)
 Autenticação de Pessoas e Entidades
 Transmissão (integridade e encriptação)
Health Insurance
Portability and
Accountability Act

21. Falha de Programação
EUA Indiana – 187k Registros Trocados
(Jul/2013) In one of the largest HIPAA breaches
reported this year, the Indiana Family and Social
Services Administration is notifying 187,533 clients
that their protected health information,
financial and employment data and, in many cases,
Social Security numbers have been compromised
following a computer programming glitch.
This error caused documents being sent to
clients to be duplicated and also inserted
with documents sent to other clients.
Violação
HIPAACasos Reais Privacidade

22. 277mil microfilmes
descartados e não destruídos
Texas – 277k Microfilmes Descartados
(Jul/2013) In the biggest HIPAA privacy
breach of 2013 -- and among the largest to
date -- Texas Health Harris Methodist Fort
Worth is notifying some 277,000 patients that
their protected health information has been
compromised after several hospital
microfilms, which were supposed to
be destroyed, were found in various
public locations.
Violação
HIPAACasos Reais Privacidade

23. RiscosQuestões Consciência
Principais Questões
e Desafios

24. RiscosQuestões Consciência
Brasileiros são os que mais se preocupam com
violação de dados em instituições de saúde -
InfoMoney (Jul/2013)
Quando perguntados sobre ameaças relacionadas à
violação de dados causada pela perda acidental,
roubo ou ação de hackers em empresas que
hospedam seus dados pessoais, 93% dos
brasileiros afirmaram se preocupar com
essa questão nas empresas da área de
saúde.
Essa conclusão contraria a média mundial, que em
geral considera o setor de saúde como um dos mais
seguros no que diz respeito à proteção dos dados
pessoais.

25. Hospital (Rede Interna)
WEB
Troca de Informações
Médicas Intermunicipais
Paciente
(Acesso Doméstico)
Troca de Informações Médicas entre Organizações
Clínica
Hospital
Laboratório
HTTP
HL7
SOAP
Diversidade de Formas de Acesso
aos Dados do Paciente
Médico
(Acesso Consultório)
RiscosQuestões
Ambiente
Distribuído

26. Acesso
 Diferentes Níveis de Permissão
 Menor Permissão Possível
 Diversidade de Sistemas
 Integração dos Sistemas
Distribuídos
 Performance
 Disponibilidade
 Criptografia
 Centralizado
 Pré-carga
CuidadosQuestões
Ambiente
Distribuído

27. Acesso
 Acesso Restrito
 Barreiras Internas
 Identificação Visível
 Dados Resguardados
 Gestão de Riscos
 Contingência
 Camadas de Segurança (4)
 Monitoramento
 Treinamento
CuidadosQuestões
Ambiente
Interno
Instalações

28. Acesso
Instalações
 Identificação Digital de
Pacientes
 Identificação Digital de
Medicamentos
 Fluxo de Autorização
 Manuseio
 Exposição
 Equipamentos
CuidadosQuestões Clínicos
Clínicos

29. Acesso
Instalações
Clínicos
 Autenticação Forte
(sabe, tem e é)
 Ataques Padrão
 Senhas Fortes
 Renovação sem
Repetição
 Auditáveis
 Uso de PIN
 Logout Automático
CuidadosQuestões Aplicações
Aplicações

30. Aplicações
Acesso
Instalações
Clínicos
 Hardening Servidores,
Estação e Rede
 Firewall > IDS > IPS
 Atualizações
Frequentes
(exploits)
 Vírus e Malwares
 BYOD
RiscosQuestões Ambiente
Ambiente

31. ISO e ANSPadrões Segurança
Padrões e Normas

32.  Segurança em Geral
 Auxiliar as Organizações a
Implantar Medidas de
Segurança
 Credibilidade Perante
Clientes
ISO e ANSPadrões Segurança
ISO 27000

33.  Gestão Estruturada de
Segurança
 Abordagem Sistemática
(sistema de gestão da segurança da
informação)
 Escritório de Segurança
 Documentação de Ativos
 Análise de Riscos Contínua
 Riscos Direcionam
Controles 27002 a Escolher
ISO e ANSPadrões Segurança
ISO 27000
ISO 27001
Conforme
Grau de
Exposição

34.  Lista de Boas Práticas
 Abrange Cada uma das
Partes da Estrutura do
Negócio
recursos humanos, ambientais,
equipamentos e sistemas
 Implantação Gradual
 Gestão de Riscos
ISO e ANSPadrões Segurança
ISO 27000
ISO 27001
ISO 27002

35. ISO 27002
 Normas Específicas para
Saúde
 Identificação de Ativos
 Fórum Determine Diretrizes
de Segurança
 Guarda e Manuseio do PEP
 Contratos de SLA
 Treinamento
 Desligamento de RH
 Termo de Compromisso
ISO e ANSPadrões Segurança
ISO 27000
ISO 27001
ISO 27799

36. Casos ReaisConclusão Distrito Federal
Casos
Reais

37. Brasil – Distrito Federal
“As informações referentes às pessoas atendidas
na Recanto das Emas podem ser compartilhadas
entre todas as outras unidades de saúde
que fazem parte do projeto GDF, considerada a maior
iniciativa de integração de informações no setor de
saúde pública brasileiro. “Com isso, o atendimento se
torna mais humano e eficiente”, explica Vogt. “Além
disso, há uma enorme economia para o governo
que pode reduzir significativamente o uso de papel e a
repetição de exames perdidos”.
Casos ReaisConclusão Distrito Federal

38. Brasil – Uberlândia
“O prontuário eletrônico está em fase inicial de
implantação e Uberlândia faz parte das duas cidades do
interior do país que foram contempladas nesse início de
processo. O software tem o objetivo agilizar o atendimento
e reduzir a quantidade de exames.
O profissional de saúde terá acesso a
informações do paciente como consultas,
exames e todos os procedimentos realizados através do
Sistema Único de Saúde, e essas informações
estarão disponíveis nos prontuários
médicos de cada cidadão”.
GLOBO.COM
Casos ReaisConclusão Uberlância

39. EUA – Rhode Island
There are health IT programs, including the development of
the Nationwide Health Information Network (NwHIN) a
large network that stores patient records.
These will help move health care to a process where
information is stored and shared securely and electronically.
Health information will follow the patient
and be available for clinical decision making as well as for
uses beyond direct patient care, such as measuring quality of
care.
Casos ReaisConclusão Rhode Island

40. Gestão de
Riscos
Privacidade
Padronizar
Expandir
Segurança
Digitalizar e
Compartilhar
Conclusão
Gestão de
Saúde
Melhoria
Contínua
Grande Desafio

41. SORTEIO
1 AntiVírus
+ 5 Brindes
KasperskySorteio

42. PerguntasEncerramento
A apresentação será
disponibilizada também no grupo
ForenseDigital no LinkedIn e em
facebook.com/ForenseDigital

43. ContatosEncerramento
forense.digital.com@gmail.com
Fo
C
A
R
L
O
S
C
A
S
T
R
O
(
1
1
)
9
9
9
6
7
-
9
9
8
8