1. Provas de Mestrado - Informática Médica
Orientação: Doutor Luís Miguel Velez Lapão
Co-orientação: Doutor Luís Filipe Coelho Antunes
12 de Novembro de 2010
Constituição do Júri:
Presidente: Doutor Altamiro Manuel Rodrigues da Costa Pereira,
professor catedrático, Faculdade de Medicina da Universidade do
Porto;
Vogal: Doutor Luís Miguel Velez Lapão, professor auxiliar convidado,
Instituto de Higiene e Medicina Tropical, Universidade Nova de Lisboa
(orientador);
Vogal: Doutor Ricardo João Cruz Correia, professor auxiliar, Faculdade
de Medicina da Universidade do Porto;
Vogal: Doutor André Ventura da Cruz Marnoto Zúquete, professor
auxiliar, Departamento de Electrónica, Telecomunicações e
Informática, Universidade de Aveiro.
2. INTRODUÇÃO
OBJECTIVOS
2003
METODOLOGIA INVESTIGAÇÃO
ESTUDO DE CASO E RESULTADOS
ENSAIO DE RESPOSTA A QUESTÕES
CONCLUSÕES E PERSPECTIVAS FUTURO
1 2
3. INTRODUÇÃO
A (In) Segurança No Acesso À Informação
Ambiente Físico Processos
Privacidade
Organização e Acesso à Tecnologias
Informação
Clínica
Políticas Pessoas
2001
Segundo dados da UMIC já em 2004 97% dos hospitais tinham
acesso interno à internet generalizado a grande número de
colaboradores. O aumento de utilização das VPN para
colaboradores e empresas e a emulação e as sistemas de
simulação de extranet.
3 4
4. INTRODUÇÃO INTRODUÇÃO
A Gestão Da Segurança Da Informação O Elo Mais Fraco
Segurança Informação
Gestão
Privacidade Problema
Cultura
Integridade de
Incidentes Segurança Gestão
Confidencialidade
Propriedade intelectual
Segurança Tecnologias
Anti-virus
Intrusão
Detecção Não é um
Encriptação
Firewall
Problema
Certificados de Tecnologias
2001
Vigilância
Muitas vezes as Segurança para as empresas é só ajudar • Negligência dos colaboradores;
os clientes a protegerem-se das ameaças externas ao • Falta de capacidades compatíveis funções;
nível da circulação de informação electrónica (anti-virus, • Desconhecimento ou ignorância;
certificados digitais, firewall, etc…) • Crime premeditado ou por conveniência;
5 6
5. INTRODUÇÃO INTRODUÇÃO
Exemplo
Motivações
As equipas dos Departamentos de Sistemas de
Informação têm pouca participação ou
motivação em grupos… Qualidade, Gestão de Proxy
Risco, Segurança, etc.. Seg. Física
Patchs
“Comité Olímpico” Firewall Seg. Lógica
Os Departamentos de Sistemas de Informação
Anti-Virus
asset ?
vivem sujeitos a imensa adversidade e Riscos
contantes, que algures no tempo, senão forem Políticas
Cultura Acesso
tratados criam impacto.
“Teoria do Caos”
?
Organização Política ?
Utilização
2001
Exemplo de uma paragem por completo num hospital
publico durante aproximadamente 24 horas devido a
uma alteração de denominação de rede de um
equipamento que posteriormente não foi possível
identificar no meio.
7 8
6. INTRODUÇÃO
Objectivos Gerais Objectivos Específicos
Mostrar a importância de sensibilizar gestores Desmistificar a complexidade aparente
das DSI e Executivos para os aspectos que são da multiplicidade de normas
existentes;
críticos na ausência de uma infraestrutura
segura e as oportunidades perdidas pelo facto Apresentar indicadores de benefícios
de não se possuirem modelos de boas
existentes numa infraestrutura
segura;
práticas.
Apurar as vantagens da determinação
do Risco na altura do planeamento
estratégico;
Apoiar efectivamente no
preenchimento de uma gap analysis
2001
para apuramento do estado de arte;
9 10
7. OBJECTIVOS METODOLOGIA INVESTIGAÇÃO
CAP 4: Definição e Exposição do Problema
Base de trabalho
Proteger
Informação
Maturidade Actores de Saúde
Apuramento dedutivo
Elaboração de Estratégias para a resolução
dos problemas comuns
11 12
8. METODOLOGIA INVESTIGAÇÃO
Definição de asset no ambiente
Gestão
Cultura Incidentes
Segurança
Asset
Ambiente
Bem
(Bem) Privacidade
Físico (Asset)
Propriedade
Confidencialidade Intelectual
2001
Aumento da exposição ao Risco
Complexidade dos Riscos
Complexidade na Protecção Riscos
13 14
9. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Níves de maturidade da informação Os mecanismos de protecção não são suficientes.
clínica e a sua relação com o RISCO
é necessário vigiar os Riscos
e melhorar mecanismos de protecção
Ou seja, é necessário…
Gerir a Segurança
15 16
10. METODOLOGIA INVESTIGAÇÃO
CAP 3: Estrutura e Governo das TI
Corporate Governance
Necessidade de alinhamento entre os
interesses dos gestores, auditores e
stakeholders. Subjacente numa gestão
consistente e políticas organizadas. Deve
conduzir e estabelecer um governo para as
Tecnologias da Informação (IT-Governance).
IT Governance
Tal como o termo governance está associado
2001 aos actos de controlar, dirigir ou regular as
acções de uma entidade, o IT-Governance,
será o acto de regular os processos das TI
dessa entidade.
17 18
11. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Gestão do Risco
Orientação
Negócio
Em consequência destas necessidades
IT existem implementações de frameworks de
Governance gestão:
IT Enterprise Risk Management da COSO
Interno Management (Committee of Sponsoring Organizations of
The Treadway Commission), orientado para o
Presente Futuro Orientação
Corporate Governance,
Temporal
Potenciar o negócio Risk IT da COBIT (Control Objectives for
Information and Related Technology),
Eficiência Habilitador centrado no IT Governance
Operacional Negócio
(redução de custos, automatização (satisfação cliente, apoio a novas
de processos, aumento da oportunidades de negócio, melhorar
produtividade) cadeia valor)
Compliance &
Mitigação do Risco
(melhorar a segurança, controlo de Auditoria
acessos, reduzir probabilidade de (assegurar a privacidade do utente, 1
quebras seg.) mais facil compliance, permitir
auditabilidade)
19 20
12. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Gestão do Risco Formas de abordar do Risco
Mitigar o risco Evitar o risco
Implementar controlos Decidir não avançar ou
Avaliação de Riscos
técnicos de mitigação de não implementar
risco (por exemplo uma
firewall)
Avaliar Identificar Controlar
Aceitar o Risco Transferir o risco
Gestão de Risco
Decidir que o nível de Aquisição de seguros ou
risco identificado está outsourcing
Planear Implementar Monitorizar dentro do limiar de
tolerância das
capacidades da
organização
A implementação de mitigação de riscos
envolve tipicamente as Pessoas, os
Processos e as Tecnologias.
21 22
13. METODOLOGIA INVESTIGAÇÃO
CAP 5: Arquitectura Empresarial e Social
Claúsulas de abrangência
Táctico
Aspectos técnicos
Políticas Aspectos Físicos
Segurança Aspectos Tácticos
Organização
Segurança
Gestão Controlo
Bens Acesso
Conformidades
Segurança Pessoas Segurança Física &
Operacional Ambiental
Desenvolvimento Comunicações & Gestão
Sistemas& Manutenção Gestão de Operações Continuidade Negócio
23 24
14. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Do Caos à Estrutura
Lidar com a Complexidade
Papel do CEO, CIO, CISO e CTO
Gestão Governança
SI/TI SI/TI
Operacional Estratégia
Engenharia Arquitectura
Só a existência de uma arquitectura pode responder às
questões da complexidade e da mudança. É a única
forma que a Humanidade tem de lidar com elas. Ao
INCERTEZA CEPTICISMO ACEITAÇÃO CONFIANÇA RESPEITO
t caos opõe-se à estrutura. Zachman
CTO CIO 25 26
15. METODOLOGIA INVESTIGAÇÃO
CAP 6: Infraestruturas/Problemas Comuns
Baseado em Evidências
Observações
Conhecimento
Os problemas mais comuns são apresentados em 19
tópicos que denunciam a maior parte das
vulnerabilidades encontradas nos hospitais no âmbito
da Segurança da Informação.
27 28
16. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Arquitectura típica de um ambiente Problemas generalizados
rudimentar de informação hospitalar
Gestão
Políticas Contratos/
Acesso físico, infraestrutura de rede e comunicações Outsourcing
?
Ambiente
utilizador
Soluções baseadas em web, cliente/servidor, terminal, stand alone
Gestão
Acesso físico, infraestrutura de rede e comunicações
Acesso físico, infraestrutura de rede e comunicações
Credenciais
Admissão, Altas, Recursos Humanos, de
SGRH
assets
Suporte
Transferências, Facturação, Contabilidade,
Agendamento Aprovisionamento
?
Ambiente aplicacional
SI(s) Laboratório, Clínicos, SI(s) Cardiologia,
Negócio
Farmacia, Nutrição, Imuno, Oftalmologia, Oncologia,
Gestão
Gestão
de
Imagiologia, etc. Medicina, Fisiatria, etc. identidades
incidências
?
Ligadas Isoladas Plano Plano
disaster continuidade
base de dados
Ambiente de
recover negócio
Sistema de Gestão de Doentes ? Gestão
Acesso físico, infra-estrutura de rede e comunicações Políticas
serviços
hardening
(ITIL)
?
29 30
17. METODOLOGIA INVESTIGAÇÃO
CAP 7: Elaboração de Estratégias para a
resolução dos problemas comuns
Disponibilizar e proteger informação de
saúde requer um modelo de operação
que permita assegurar:
Como deve ser disponibilizada essa
informação;
A quem deve ser disponibilizada a
informação;
Quem deve ter acesso a essa
informação;
Durante quanto tempo deve ser
disponibilizada essa informação.
31 32
18. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Quais as melhores práticas para
A importância e significado das normas
implementar a gestão da segurança?
Qual o melhor processo de avaliação
de riscos? O Organismo Nacional de
Normalização (ONN) : IPQ, ONS, NP
Quais as melhores práticas de
protecção? Os organismos Regionais (Europeus)
de Normalização são o : CEN,
Como utilizar o melhor da indústria?
CENELEC, ETSI.
Os organismos Internacionais de
O melhor é seguir com base em… Normalização são: ISO, IEC
Normas
33 34
19. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Denominador comum Expectativas da implementação de um
modelo de gestão baseado em ISO/IEC
Industria Outras Modelo Governo 27002
Saúde Industrias Gestão Electrónico
1 Implementação de boas práticas
ISO 27799 ISO/IEC 27001 ISO/IEC 27001 COBIT
2 Avaliação do estado dos controlos
(ISO/TC 215) ISO/IEC 20000 Grande impacto
3 Definir metas para a segurança da informação
ISO/IEC 27001
4 Redução da frequência e impacto de incidentes
5 Conformidade com as políticas internas
6 Intregração do sistema com o programa ISRM
Médio impacto
7 Ir ao encontro dos requisitos de regulamentação
8 Maximizar o investimento realizado
9 Obtenção de vantagens competitivas
10 Ir ao encontro dos requisitos da tutela
De convergência
11 Adaptar-se às alterações do mercado
12 Controlo e redução de custos
Benefícios mais comuns associados à ISO/IEC 27002 (ISF)
ISO/IEC 27002 ISO/IEC 20000
ISO 27799, TC 215 WG4
35 36
20. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
A origem da norma certificadora da Cláusulas da ISO/IEC 27002:2005
segurança
1 Política de Segurança da Informação
2 Organização da Segurança da Informação
3 Gestão de Recursos
4 Gestão de Recursos Humanos
5 Gestão da segurança física e ambiental
6 Gestão das Comunicações e Operações
7 Controlo de acessos
8 Aquisições, manutenções e desenv. de sistemas
9 Gestão de incidentes de segurança da informação
10 Plano de gestão da continuidade de negócio
11 Conformidade com os aspectos legais
37 38
21. METODOLOGIA INVESTIGAÇÃO
CAP 8: Aplicação de um SGSI
Estrutura de um SGSI
ISO/IEC 27000 - vocabulário e definições utilizadas
27001 - requisitos para um SGSI
27005
27002 - Boas Práticas para um SGSI
Gestão de
Risco
27003 - Guia de Implementação SGSI
(ISO 13335)
27004 - Métricas e Medidas avaliar SGSI
Família TC 215 - ISO 27000 também conhecida como ISO 27k
39 40
22. METODOLOGIA INVESTIGAÇÃO METODOLOGIA INVESTIGAÇÃO
Implementação de um SGSI Avaliação de um SGSI
«Manutenção e melhoria Onde
«Estabelecer SGSI» Visão e Objectivos gostariamos ISO 27002
do SGSI»
de estar?
Onde
Avaliações
estamos?
ISO 27004
Como
Desenho de TI podemos ISO 27003
chegar?
«Verificação, «Implementar e operar Como
Monitorização, Revisão Métricas sabemos se ISO 27004
do SGSI» SGSI» chegámos?
41 42
23. ESTUDO DE CASO
CAP 09: Estudo de Caso Hospital
(CS1) Gestão da Segurança
(CS2) Gestão Serviços de TI
Governo Electrónico
Governo SI/TI
(COBIT)
Gestão da Segurança Boas Práticas SI/TI
ISO 27002 (ISO 20000/ ITIL)
RESULTADOS CIENTÍFICOS
(ANEXO C):
Gomes, R. J., Lapão, L.V. et al. (2008). "The Adoption of IT Security
Standards in a Healthcare Environment." eHealth Beyond the Horizon –
Get IT There S.K. Andersen et l. (Eds.) IOS Press, MIE 2008
(ANEXO D):
Lapão, L. V., Rebuge, A., Silva,M.S., Gomes, R. J. “ ITIL Assessment in a
Healthcare Environment: The Role of IT Governance at Hospital São
Sebastião”. Medical Informatics in a United and Healthy Europe K.-P.
Adlassnig et al. (Eds.). IOS Press
43 44
24. ESTUDO DE CASO ESTUDO DE CASO
(CS1) Gestão da Segurança As 11 cláusulas que compõem a ISO/IEC 27002
Local: Hospital
possuem um conjunto de subsets baseados nas
Ano: 2008
estruturas da ISO/EIC 27002 e de acordo com
Scope: Âmbito reduzido no Datacenter
uma escala de níveis de risco que foram
especificados (H-M-L):
Produção de um documento de Statement of
Applicability, no âmbito de um Centro de
Dados (documentação dos riscos e a forma H: 76-100% hipótese de ocorrer uma ameaça
como devem ser mitigados) durante o período de um ano.
M: 26-75% hipótese de ocorrer uma ameaça
•Avaliação inicial de dados e documentos
1 durante o período de um ano.
•Auditoria preliminar às infra-estruturas
2 L: 0-25% hipótese de ocorrer uma ameaça
durante o período de um ano.
•Análise de documentação da organização
3
•Entrevistas a elementos da organização
4
•Mapeamento e confrontação com os 11
5 controlos da norma ISO/IEC 27002:2005
•Produção de relatórios de Gap Analysis
6
45 46
25. ESTUDO DE CASO ESTUDO DE CASO
Resultados: (CS2) Gestão de Serviços de TI
Local: Hospital
Processos críticos e níveis de risco. Ano: 2008
Scope: Ambito da DSI
Risk Level
# ISO 27002 Section
(control objective) O objectivo do assessment ITIL foi ajudar a
H M L encontrar lacunas/fraquezas relacionadas com
1 Security Policy 0 1 0
2 Organizing Information Security 0 1 1
a utilização das TI e a que distância estava o
3 Asset Management 2 0 0 hospital de as superar.
4 Human Resources Security 0 1 2
5 Physical and Environmental Security 1 1 0
6 Communications & Operations Management 8 2 0 A que nível o hospital consegue suportará
7 Access Control 5 2 0
8 Information Systems Acquisition, Development and Maintenance 0 4 2
iniciativas de mudança de melhoria nos
9 Information Security Incident Management 0 2 0 processos?
10 Business Continuity Management 0 0 1
11 Compliance 0 1 2
Capacidade e papéis dos colaboradores
Foram implementados controlos de Maturidade na Entrega de Serviço
segurança para os processos críticos H. Maturidade Suporte de Serviço.
47 48
26. ESTUDO DE CASO ESTUDO DE CASO
Capacidade e papéis dos colaboradores Maturidade na entrega de Serviço
Foi realizado um levantamento dos papeis dos (Service Delivery)
colaboradores e das suas responsabilidades
utilizando uma Matriz ARCI (Accountable,
Responsible, Consulted, and Informed) que Service Delivery
permitiu clarificar e cruzar as funções com as Service Level
responsabilidades. Management
5,0
4,0
3,0
2,0
Availability Management Financial Management
1,0
0,0
1 2 3 4 5 6 7 8 9 10 11 12 13 14
IT Service Continuity
CIO A/R R A/R I A/I C/I C/I A/R A/R A/R A/R A/R A/R A/R Capacity Management
Management
Network Manager C/I R R R R R R R R
Project Manager C/I R R R R A A R A/R/I R R R R
Technician 1 C/I R R C/I
Programmer 1 C/I R C/I R R R
Database Manager C/I R R A/R R R R R R/C/I R R R R
Support DB Manager C/I R R R R R R/C/I R
Programmer 2
Programmer 3
C/I
C/I
R
R
C R
R
R
R
R
R
R
R
R
C/I
R R R R R
R
Podemos verificar que o nível de maturidade
Programmer 4
Technician 2
C/I
C/I
R
R
R
R
R R R C/I
C/I
R
do Service Level Management é < a 1 o que
significa que os processos seriam realizados
Esta matriz revelou que existe um grande nível de numa forma had-hoc sem definição e
funções em overlap entre os colaboradores que planeamento.
apontam para ineficiências nas questões de IT
Service Management.
49 50
27. ESTUDO DE CASO ESTUDO DE CASO
Maturidade Suporte ao Serviço Service Support (Incident Management)
(Service Support)
O principal objectivo da gestão de
Service Support
incidentes é garantir a reposição desse
Service Desk
serviço o mais rapidamente possível
5,0
4,0
mitigando os riscos associados a esse
Release Management
3,0
Incident Management
restabelecimento e eliminando o mais
2,0
1,0
possível os efeitos colaterais.
0,0
Change Management Problem Management
Foi adoptado o método de Steinberg que
considera no processo de analise de
Configuration
maturidade a visão, a tecnologia, os
Management
processos, cultura e as pessoas.
O nível de maturidade no serviço incident
management é < a 1, e o que não se considera
aceitável para um hospital.
Foi necessário realizar um estudo mais detalhado Steinberg, R.A. (2008) Implementing ITIL: Adapting Your IT
Service Support ( Indicent management) Organization to the Coming Revolution in IT Service Management.
51 52
28. ESTUDO DE CASO
Vista em detalhe, segundo Steinberg, do O esforço a realizar terá de ser no âmbito
nível de maturidade Incident Management da relação com as pessoas, e com a
organização em geral, gestão das
expectativas, acompanhamento dos
Vision and Steering
5
processos, promovendo uma cultura de
4 prestador de serviço ou através de outras
3 formas de gestão.
2
Technology Process
1
0
Conclusões do Estudo de Caso
Culture People SGSTI SGSI
Orientado ao Serviço Orientada ao Risco
Garantir a entrega de Garantir a segurança da
Serviço de acordo com os informação relativamente
requisitos e os níveis de ao seus requisitos de:
Tecnologia e os Processos: 2 serviço acordados com
base em:
confidencialidade,
Vision & Steering, Pessoas e Cultura: 1 disponibilidade
integridade
disponibilidade
performance
Dentro das TI Transversal à organização
53 54
29. ENSAIO DE RESPOSTA A QUESTÕES
CAP 10: Ensaio de Resposta a Problemas
• Quais serão as melhores práticas para
implementar a Gestão da Segurança na minha
organização?
• Qual é o melhor processo de avaliação dos
riscos e como se pode e deve implementar?
• Quais as melhores práticas de protecção dos
recursos de informação da empresa?
• Como podemos comparar os esforços de
protecção da informação na organização com
o melhor que a indústria tem para oferecer?
• Como se pode extrair visibilidade dos
investimentos aplicados em segurança e qual
o retorno para a minha organização?
55 56
30. ENSAIO DE RESPOSTA A QUESTÕES ENSAIO DE RESPOSTA A QUESTÕES
Quais serão as melhores práticas para Como podemos comparar os esforços de
implementar a Gestão da Segurança na minha protecção da informação na organização com o
organização? melhor que a indústria tem para oferecer?
A ISO/IEC 27001 é a única norma de gestão de A ISO 27799:2008 está focada na saúde e é baseada na
segurança da informação. Foi revista de forma a ISO 27001 que está sustentada nas práticas do modelo
alinhar Plan-Do-Check-Act. A implementação da norma ISO 27002, amplamente adoptado em qualquer
27001 constitui per si um SGSI. É independente da indústria.
tecnologia, abrangente e flexível.
Qual é o melhor processo de avaliação dos Como se pode extrair visibilidade dos
riscos e como se pode e deve implementar? investimentos aplicados em segurança e qual o
A ISO 27005 é focada no risco de IT, no entanto a
retorno para a minha organização?
ENISA publica 12 ferramentas com 22 atributos A adopção e comprometimento de uma organização
distintos que permite fazer comparações com outros para qualquer modelo de gestão de segurança da
métodos e ferramentas existentes. http://rm- informação, expõe de uma forma clara o interesse da
inv.enisa.europa.eu/comparison.html. instituição em proteger os seus bens de negócio e
assim dar credibilidade interna e externa. A adopção de
Quais as melhores práticas de protecção dos boas práticas exige que os ambientes tenham os bens
recursos de informação da empresa? inventariados, valorizados e controlados e a
identificação das ameaças e os valores de perda a que
Basear numa framework. O modelo ISO/IEC 27002 e as podem estar sujeitos. Todo o desenvolvimento de um
cláusulas que a compõem são uma boa ferramenta SGSI induz a uma redução de desperdícios, optimização
para assegurar efectiva gestão de segurança da de processos de trabalho com ambientes de trabalho
informação (mesmo que não exista qualquer interesse controlados.
da organização em certificar o âmbito escolhido)
57 58
31. CONCLUSÕES E PERSPECTIVAS FUTURO
Conclusões Futuro
Não é possível manter a segurança sem
planear a sua gestão A adesão em Portugal é muito pouca pois
exige algum investimento e
Nenhuma organização vai estar um dia comprometimento e que implica grandes
totalmente protegida das ameaças que põem mudanças estruturais no âmbito das
em risco a sua Informação de negócio. tecnologias e nos comportamentos.
Investir num nível de protecção que se A norma nos próximos anos será
considere próximo do ideal atingiria custos implicitamente de carácter obrigatório pois é
muito elevados ou bloquearia de forma não a única que certifica a segurança, e porque a
aceitável os processos desenvolvidos pelo complexidade e a insegurança crescem
hospital. exponencialmente sendo cada vez mais
difícil manter a segurança tendo em vista a
No entanto…. diversidade de sistemas e utilizadores.
As utilização do modelo de boas práticas E por isso..
possibilitaria uma abordagem sistemática dos
riscos, que pode ser realizada numa forma
gradual e custos controlados, a implementação
de controlos com o objectivo de os minimizar.
59 60
32. CONCLUSÕES E PERSPECTIVAS FUTURO
A estruturação desses dados, numa forma
Framework de Avaliação Inicial sistematizada, ajudaria a retratar o estado
do hospital em matéria de Segurança da
O estudo promoveu a adaptação de uma
Informação e seria como uma ferramenta
framework para uma Gap Analysis que
de check up, e modelo de actuação, com
pudesse apoiar numa gestão das TI, numa
vista à melhor preservação da informação
avaliação inicial do estado de saúde dos
crítica do hospital.
seus recursos, com vista a procurar níveis
de riscos associados, e poder-se activar
medidas de gestão para o controlo eficaz
dos processos críticos.
61 62
33. OBRIGADO
Provas de Mestrado - Informática Médica
Rui@Gomes.com
Os objectos de clipart são fotos livres de direito em:
www.fotofolia.com