ISEC - Trabalhos de Projeto | Relatórios de Estágio | Projetos de Investigação
Permanent URI for this collection
Browse
Browsing ISEC - Trabalhos de Projeto | Relatórios de Estágio | Projetos de Investigação by advisor "Almeida, João"
Now showing 1 - 1 of 1
Results Per Page
Sort Options
- Modelo documental para politicas de segurança da informação em organizações de saúdePublication . Carvalho, Francisco Vilhena Alves de; Santos, António Manuel Rodrigues Carvalho dos; Almeida, JoãoA gestão da segurança da informação é uma área em que os desafios têm aumentado de forma significativa nos últimos tempos, devido em grande parte da evolução espantosa nas áreas das tecnologias de informação e comunicações (TIC). As TIC têm estado na linha da frente nas necessidades e resolução de problemas de gestão, logística e operacionais de qualquer organização em qualquer área de actividade. Esta evolução tem permitido que diferentes organizações em distintas áreas de actividade, através da sua adesão a estas novas tecnologias, passem a conviver com novos problemas que até então não seriam espectáveis na gestão da sua informação. Estas organizações já entenderam que os seus sistemas de informação não são ilhas isoladas, que fazem parte de um sistema complexo com um fluxo de informações outrora inimaginável e que os riscos que lhe estão associados necessitam de ser identificados e tratados de forma apropriada e coerente. Mais delicado se torna quando estas organizações estão ligadas à área da saúde, e lidam sistematicamente com informação pessoal de saúde e estão subjugadas a obrigações de conformidade ética e legal, o que leva e transmite uma grande responsabilidade e peso, na gestão da informação que tratam e produzem. No entanto, a maior dificuldade surge da necessidade de partir para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI), e é necessário dar o primeiro passo para sustentar essa tomada de decisão perante os gestores da organização. A implementação de um SGSI, ainda é vista somente para fins de certificação. Os projetos e ofertas para implementação disponíveis no mercado são avultados e os recursos internamente necessários poderão ser imensos, dependendo da dimensão da organização e do nível requerido de implementação. O objetivo principal deste trabalho foi o de propor um modelo documental simplificado (Modelo Documental para Politicas de Segurança de Informação em Organizações de Saúde - MDPSIOS) que permita a implementação e gestão de um SGSI sem fins de certificação, de forma ágil e sustentada e em qualquer organização, com especial atenção para as organizações da área de saúde. Este modelo, está suportado pela metodologia da norma ISO/IEC 27001 para a gestão do sistema SGSI, pela norma ISO/IEC 27002 e ISO/IEC 27799 para implementação dos controlos associados à gestão do risco. Na componente análise/avaliação de risco está suportado pela metodologia da norma ISO/IEC 27005. A utilização destas normas na criação deste modelo incorpora a devida consistência e dá o suporte necessário para que esteja de acordo com as boas práticos e metodologias, reconhecidas mundialmente. A estimativa de risco do modelo proposto é baseado no Método simplificado quantitativo de Avaliação de Riscos da Segurança da Informação (MARSI), que permite quantificar a magnitude dos riscos existentes e, como consequência, hierarquizar de modo racional a prioridade da sua eliminação ou correção. Esta combinação de normas e a integração deste método quantitativo para avaliação da estimativa de risco, faz com que a solução apresentada seja de alguma forma inovadora e acrescido da simplificação do processo de implementação e gestão de um SGSI. O modelo funcionalmente, foi desenvolvido com o recurso ao software Excel, para todos os aspetos operacionais, tornando-o bastante intuitivo, flexível, adaptável e fácil incremento de novas funcionalidades. O modelo está especialmente direcionado para as organizações de saúde no entanto devido a abrangência dos seus princípios pode ser utilizado por qualquer tipo de organização. No que diz respeito à avaliação do modelo proposto, recorreu-se a uma análise qualitativa efetuada por três peritos (consultores ou auditores na área da segurança da informação). Estes peritos apresentavam no seu curriculum implementações e/ou monitorização de SGSI. O resultado da avaliação foi por unanimidade muito satisfatória na sua generalidade e possibilidade de utilização/adoção.