Conferência                  A Gestão do Risco nos grandes HospitaisAs TIC e a Saúde no                                 Ru...
INTRODUÇÃO                         Esta apresentação nada tem a ver com…                         os computadores, os servi...
INTRODUÇÃO                         Definição de asset no ambienteINTRODUÇÃO                                      Gestão   ...
CICLO ETERNO                         Quem somos e o que vemos?INTRODUÇÃOCICLO ETERNO?O QUE NÃO QUEREMOSO QUE PODEMOS CULTI...
CICLO ETERNO                         Quem somos e o que vemos?INTRODUÇÃOCICLO ETERNO?O QUE NÃO QUEREMOSO QUE PODEMOS CULTI...
CICLO ETERNO                         Onde estamos ?INTRODUÇÃO                       Infra-estruturas                      ...
CICLO ETERNO                         Porquê?INTRODUÇÃOCICLO ETERNO?O QUE NÃO QUEREMOSO QUE PODEMOS CULTIVARRESULTADOS EXPE...
CICLO ETERNO                         As equipas dos Departamentos de Sistemas de                         Informação têm po...
CICLO ETERNO                                                    ExemploINTRODUÇÃO                                         ...
O QUE NÃO QUEREMOS                         Ausência de…                                                       GestãoINTROD...
O QUE NÃO QUEREMOS                                                        O Elo Mais Fraco INTRODUÇÃO CICLO ETERNO? O QUE ...
O QUE NÃO QUEREMOS                         Níveis de maturidade da informação                         clínica e a sua rela...
O QUE NÃO QUEREMOS                         Os mecanismos de protecção não são suficientes.INTRODUÇÃO                      ...
O QUE PODEMOS CULTIVAR                          Claúsulas de abrangênciaINTRODUÇÃOCICLO ETERNO?                           ...
O QUE PODEMOS CULTIVAR                         Cláusulas da ISO/IEC 27002:2005                          1 Política de Segu...
O QUE PODEMOS CULTIVAR                         Formas de abordar do RiscoINTRODUÇÃO                                   Miti...
O QUE PODEMOS CULTIVAR                         Gestão do RiscoINTRODUÇÃO                              Avaliação de RiscosC...
O QUE PODEMOS CULTIVAR                         Implementação de um SGSIINTRODUÇÃO                             «Manutenção ...
O QUE PODEMOS CULTIVAR                         Estrutura de um SGSIINTRODUÇÃO                              ISO/IEC 27000 -...
RESULTADOS EXPECTAVEIS                                                         Do Caos à Estrutura                       ...
CONCLUSÕES                          Não é possível manter a segurança sem                           planear a sua gestão ...
OBRIGADO      rui.gomes@hff.min-saude.pt
Próximos SlideShares
Carregando em…5
×

Apdsi gestao risco

470 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
470
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Apdsi gestao risco

  1. 1. Conferência A Gestão do Risco nos grandes HospitaisAs TIC e a Saúde no Rui Gomes Portugal de 2011 Hospital Professor Doutor Fernando Fonseca 15 de Dezembro 2011 Só a existência de uma arquitectura pode responder às questões da complexidade e da mudança. É a única forma que a Humanidade tem de lidar com 15 de Dezembro de 2011 elas. Ao caos opõe-se à estrutura. ZachmanAuditório do Centro Hospitalar Psiquiátrico de Lisboa Av. Brasil, Lisboa
  2. 2. INTRODUÇÃO Esta apresentação nada tem a ver com… os computadores, os servidores, as bases de dados, os tablets, o wifi, as larguras deINTRODUÇÃO banda, a internet, a cloud, os processos clínicos, as firewalls, os antivirus, asCICLO ETERNO? empresas, a ACSS, a microsoft, o licenciamento, a virtualização, os thinO QUE NÃO QUEREMOS clients, etc… e nenhum problema de Tecnologias.O QUE PODEMOS CULTIVAR Esta apresentação tem tudo a ver com…RESULTADOS EXPECTAVEIS Problemas de gestão (desde o nível estratégico ao operacional), falta deCONCLUSÕES estratégia, ausência 2001 de visão, desalinhamento, desordem, incapacidade, passividade, esmorecimento, resignação, intolerância, obtusidade, indefinição de prioridades, e outras borboletas que tais que nos guiam ao CAOS e limitam na nossa capacidade de crescer.
  3. 3. INTRODUÇÃO Definição de asset no ambienteINTRODUÇÃO Gestão Cultura IncidentesCICLO ETERNO? SegurançaO QUE NÃO QUEREMOS Asset Ambiente Bem (Bem) PrivacidadeO QUE PODEMOS CULTIVAR Físico (Asset)RESULTADOS EXPECTAVEIS Continuidade Tecnologias NegócioCONCLUSÕES  Aumento da exposição ao Risco  Complexidade dos Riscos  Complexidade na Protecção Riscos
  4. 4. CICLO ETERNO Quem somos e o que vemos?INTRODUÇÃOCICLO ETERNO?O QUE NÃO QUEREMOSO QUE PODEMOS CULTIVAR ÁRESULTADOS EXPECTAVEISCONCLUSÕES rvore
  5. 5. CICLO ETERNO Quem somos e o que vemos?INTRODUÇÃOCICLO ETERNO?O QUE NÃO QUEREMOSO QUE PODEMOS CULTIVARRESULTADOS EXPECTAVEIS FCONCLUSÕES loresta
  6. 6. CICLO ETERNO Onde estamos ?INTRODUÇÃO Infra-estruturas Risk ITCICLO ETERNO? MaturidadeO QUE NÃO QUEREMOSO QUE PODEMOS CULTIVAR 10 anosRESULTADOS EXPECTAVEISCONCLUSÕES Sistemas Informação Risk IT Maturidade 10 anos
  7. 7. CICLO ETERNO Porquê?INTRODUÇÃOCICLO ETERNO?O QUE NÃO QUEREMOSO QUE PODEMOS CULTIVARRESULTADOS EXPECTAVEISCONCLUSÕES
  8. 8. CICLO ETERNO As equipas dos Departamentos de Sistemas de Informação têm pouca participação ou motivação em grupos… Governance, Qualidade,INTRODUÇÃO Gestão de Risco, Segurança, etc..  “Comité Olímpico”CICLO ETERNO?O QUE NÃO QUEREMOS Os Departamentos de Sistemas de Informação vivem sujeitos a imensa adversidade e incertezasO QUE PODEMOS CULTIVAR - vulgarmente Riscos - contantes, que algures no tempo, senão forem tratados criam impacto.RESULTADOS EXPECTAVEIS  “Teoria do Caos”CONCLUSÕES Exemplo de uma paragem por completo num hospital publico durante aproximadamente 12 horas devido a uma alteração de denominação de rede de um equipamento que não era possível identificar no meio.
  9. 9. CICLO ETERNO ExemploINTRODUÇÃO Proxy Seg. Física Patchs CICLO ETERNO? Firewall Seg. Lógica O QUE NÃO QUEREMOS O QUE PODEMOS CULTIVAR Anti-Virus asset ? Políticas RESULTADOS EXPECTAVEIS Cultura Acesso CONCLUSÕES ? Organização Política ? Utilização 2001Exemplo de uma paragem por completo num hospitalpublico durante aproximadamente 12 horas devido auma alteração de denominação de rede de umequipamento que não era possível identificar nomeio.
  10. 10. O QUE NÃO QUEREMOS Ausência de… GestãoINTRODUÇÃO Políticas Contratos/ OutsourcingCICLO ETERNO? ? Gestão Credenciais deO QUE NÃO QUEREMOS assets SGRHO QUE PODEMOS CULTIVAR ? Gestão Gestão de identidades incidênciasRESULTADOS EXPECTAVEIS ?CONCLUSÕES Plano Plano disaster continuidade recover negócio ? Gestão Políticas serviços hardening (ITIL) ?
  11. 11. O QUE NÃO QUEREMOS O Elo Mais Fraco INTRODUÇÃO CICLO ETERNO? O QUE NÃO QUEREMOS O QUE PODEMOS CULTIVAR RESULTADOS EXPECTAVEIS CONCLUSÕESMuitas vezes as questões de proteção para as empresas • Desmotivação (esmorecimento)inclinam-se unicamente em ajudar os clientes a • Negligência dos colaboradores;protegerem-se das ameaças externas ao nível da • Falta de capacidades compatíveis funções;circulação de informação electrónica (anti-virus, • Desconhecimento ou ignorância;certificados digitais, firewall, etc…)
  12. 12. O QUE NÃO QUEREMOS Níveis de maturidade da informação clínica e a sua relação com o RISCOINTRODUÇÃOCICLO ETERNO?O QUE NÃO QUEREMOSO QUE PODEMOS CULTIVARRESULTADOS EXPECTAVEISCONCLUSÕES
  13. 13. O QUE NÃO QUEREMOS Os mecanismos de protecção não são suficientes.INTRODUÇÃO  é necessário vigiar os RiscosCICLO ETERNO?  e melhorar mecanismos de protecçãoO QUE NÃO QUEREMOSO QUE PODEMOS CULTIVAR Ou seja, é necessário…RESULTADOS EXPECTAVEISCONCLUSÕES Gerir a Segurança
  14. 14. O QUE PODEMOS CULTIVAR Claúsulas de abrangênciaINTRODUÇÃOCICLO ETERNO? Táctico Aspectos técnicosO QUE NÃO QUEREMOS Políticas Segurança Aspectos Físicos Aspectos Tácticos OrganizaçãoO QUE PODEMOS CULTIVAR Segurança Gestão Controlo Bens AcessoRESULTADOS EXPECTAVEIS ConformidadesCONCLUSÕES Operacional Segurança Pessoas Segurança Física & Ambiental Desenvolvimento Comunicações & Gestão Sistemas& Manutenção Gestão de Operações Continuidade Negócio
  15. 15. O QUE PODEMOS CULTIVAR Cláusulas da ISO/IEC 27002:2005 1 Política de Segurança da InformaçãoINTRODUÇÃO 2 Organização da Segurança da InformaçãoCICLO ETERNO? 3 Gestão de RecursosO QUE NÃO QUEREMOS 4 Gestão de Recursos Humanos 5 Gestão da segurança física e ambientalO QUE PODEMOS CULTIVAR 6 Gestão das Comunicações e OperaçõesRESULTADOS EXPECTAVEIS 7 Controlo de acessos 8 Aquisições, manutenções e desenv. de sistemasCONCLUSÕES 9 Gestão de incidentes de segurança da informação 10 Plano de gestão da continuidade de negócio 11 Conformidade com os aspectos legais
  16. 16. O QUE PODEMOS CULTIVAR Formas de abordar do RiscoINTRODUÇÃO Mitigar o risco Evitar o risco Implementar controlos Decidir não avançar ouCICLO ETERNO? técnicos de mitigação de não implementar risco (por exemplo uma firewall)O QUE NÃO QUEREMOS Aceitar o Risco Transferir o riscoO QUE PODEMOS CULTIVAR Decidir que o nível de Aquisição de seguros ou risco identificado está outsourcingRESULTADOS EXPECTAVEIS dentro do limiar de tolerância das capacidades da organizaçãoCONCLUSÕES
  17. 17. O QUE PODEMOS CULTIVAR Gestão do RiscoINTRODUÇÃO Avaliação de RiscosCICLO ETERNO?O QUE NÃO QUEREMOS Avaliar Identificar Controlar Gestão de RiscoO QUE PODEMOS CULTIVAR Planear Implementar MonitorizarRESULTADOS EXPECTAVEISCONCLUSÕES A implementação de mitigação de riscos envolve tipicamente as Pessoas, os Processos e as Tecnologias.
  18. 18. O QUE PODEMOS CULTIVAR Implementação de um SGSIINTRODUÇÃO «Manutenção e melhoria «Estabelecer SGSI» do SGSI»CICLO ETERNO?O QUE NÃO QUEREMOSO QUE PODEMOS CULTIVARRESULTADOS EXPECTAVEIS «Verificação, «Implementar e operarCONCLUSÕES Monitorização, Revisão do SGSI» SGSI»
  19. 19. O QUE PODEMOS CULTIVAR Estrutura de um SGSIINTRODUÇÃO ISO/IEC 27000 - vocabulário e definições utilizadasCICLO ETERNO? 27001 - requisitos para um SGSIO QUE NÃO QUEREMOS 27005 27002 - Boas Práticas para um SGSI Gestão de RiscoO QUE PODEMOS CULTIVAR (ISO 13335) 27003 - Guia de Implementação SGSI 27004 - Métricas e Medidas avaliar SGSIRESULTADOS EXPECTAVEISCONCLUSÕES Família TC 215 - ISO 27000 também conhecida como ISO 27k
  20. 20. RESULTADOS EXPECTAVEIS  Do Caos à Estrutura  Lidar com a Complexidade INTRODUÇÃO  Papel do CEO, CFO, CMIO, CIO, CISO e CTO CICLO ETERNO? Gestão Governança O QUE NÃO QUEREMOS SI/TI SI/TI O QUE PODEMOS CULTIVAR Operacional Estratégia RESULTADOS EXPECTAVEIS CONCLUSÕES Engenharia ArquitecturaSó a existência de uma arquitectura pode responder àsquestões da complexidade e da mudança. É a únicaforma que a Humanidade tem de lidar com elas. Ao INCERTEZA CEPTICISMO ACEITAÇÃO CONFIANÇA RESPEITO tcaos opõe-se à estrutura. Zachman CTO CIO
  21. 21. CONCLUSÕES  Não é possível manter a segurança sem planear a sua gestão  Nenhuma organização vai estar um diaINTRODUÇÃO totalmente protegida das ameaças que põem em risco a sua Informação de negócio.CICLO ETERNO?  Investir num nível de protecção que seO QUE NÃO QUEREMOS considere próximo do ideal atingiria custos muito elevados ou bloquearia de forma nãoO QUE PODEMOS CULTIVAR aceitável os processos desenvolvidos pelo hospital.RESULTADOS EXPECTAVEIS No entanto….CONCLUSÕES As utilização do modelo de boas práticas possibilitaria uma abordagem sistemática dos riscos (que pode ser realizada numa forma gradual e com custos controlados) de modo a implementar controlos com o objectivo de os minimizar.
  22. 22. OBRIGADO rui.gomes@hff.min-saude.pt

×