ESTRATÉGIAS DE SAÚDE Desafio da Segurança da Informação Cenários, Riscos e Diretrizes Carlos Castro Perito Forense Digital e Consultor
ESTRATÉGIAS DE SAÚDE Desafio da Segurança da
Informação
Cenários, Riscos e Diretrizes
Carlos Castro Perito Forense Digital e Consultor
Agenda
1. Demandas e Diretrizes
2. Benefícios
3. Amparo Legal
4. Principais Questões
5. Padrões e Normas
6. Casos Reais
7. Sorteio e Perguntas
Demandas Diretrizes Saúde
Demandas e Diretrizes
"Accuratissima Brasiliae Tabula" de 1597
Demandas Diretrizes Saúde
Saúde está Doente
Melhoria no Atendimento
Redução de Custos
Assertividade
Otimização de Recursos
Identificação de Tendências
Políticas Melhor Orientadas
Planejamento
Melhorar Auditoria
"Accuratissima Brasiliae Tabula" de 1597
Prontuários Diretrizes Digitalização
Digitalização de Prontuários
Resolução 1.821 de 2007
Aprova as normas técnicas concernentes à
digitalização e uso dos sistemas
informatizados para a guarda e manuseio
dos documentos dos prontuários dos
pacientes, autorizando a eliminação do
papel e a troca de informação identificada
em saúde
"Accuratissima Brasiliae Tabula" de 1597
CFM Conselho Federal de Medicina
O que deve constar no Prontuário (Resolução 1638, Art, 5)
Identificação (nome, nascimento,
endereço, etc) Anamnese (entrevista), Exames,
diagnóstico e suas Hipóteses,
tratamento realizado
Evolução diária com detalhes dos Procedimentos
Prontuários Diretrizes Conteúdo
PNIIS Política Nacional de Informática e
Informação em Saúde
Registro eletrônico disponível nas várias instituições nas quais o paciente for atendido (Mar/2004)
Assim, as atividades que tem foco no indivíduo, independente do seu aspecto preventivo ou curativo, se beneficiam de um registro eletrônico, usualmente chamado de "Prontuário Eletrônico do Paciente", que permite recuperar de forma integrada toda a informação disponível sobre o mesmo, ao longo do tempo e das várias instituições com que tem contato. Parágrafo 1, página 16,
http://bvsms.saude.gov.br/bvs/publicacoes/PoliticaInformacaoSaude29_03_2004.pdf
Prontuários Diretrizes Digitalização
Diretos e
Indiretos Benefícios Prontuário
Digital
Benefícios Diretos e
Indiretos
Diagnósticos
Precisos Protocolo
Cooperação
Auditáveis
Estruturados
Históricos
Inteligência
Diretos e
Indiretos Benefícios Prontuário
Digital
Benefícios
Diagnósticos
Custos
Redução Exames
Redução Consultas
Melhor Uso Recursos
Diretos e
Indiretos Benefícios Prontuário
Digital
Benefícios
Diagnósticos
Custos
Erros
Legibilidade
Correção
Diagnósticos
Precisos
Validações
Sistêmicas
Procedimentos
Desperdícios
Diretos e
Indiretos Benefícios Prontuário
Digital
Benefícios
Padrões
Diagnósticos
Custos
Erros
Atendimento
Procedimento
Registro
Compartilhamento
Regionalizados
Diretos e
Indiretos Benefícios Prontuário
Digital
Benefícios
Diagnósticos
Custos
Erros
Garantir Privacidade
Identificação Paciente
Propriedade do
Paciente
Compartilhamento
Acessos Devidos
Armazenamento
Padrões
Chave Pública BR autenticidade, integridade e validade jurídica
Diretos e
Indiretos Benefícios Prontuário
Digital
Segurança
Padrões
Garantias
Padrões
Diagnósticos
Custos
Erros
Identificação e
Autenticação (CIA) Confidencialidade, Integridade e Disponibilidade
Controle de Sessão
Geração e Recuperação
de Cópias de Segurança
Confiabilidade e
Segurança dos Dados
Auditoria e Registro (log)
Certificação Digital e
Assinatura Digital
Diretos e
Indiretos Benefícios Prontuário
Digital
Exigências CFM
Segurança
Padrões
Diagnósticos
Custos
Erros
Dependência de
Sistemas
Duração Consulta
Resistência
Exposição de Conduta
Imagem Institucional
Implementação
Prontuário em Papel é
Considerado Público
Diretos e
Indiretos Benefícios Prontuário
Digital
Dificuldades
Segurança
Amparo Diretrizes Legal
Amparo Legal
Amparo Diretrizes Legal
Garantias
Constituição de 1988, Artigo 5
Inviolabilidade do direito à
segurança, abrangendo:
Sigilo de dados
Intimidade, vida privada, honra e imagem
Código de Defesa Consumidor, Artigo 5
Dá o direito de acesso aos pacientes aos
seus dados em prontuários
Penalidades
Código Penal, Artigos 153 e 154
Divulgar sem justa causa informações
pessoais que possam produzir dano a
outrem, incluindo:
Informações contidas ou não em sistemas
de informação ou bancos de dados da
administração pública
Revelar segredo obtido em razão de
função para prejudicar a outrem.
Amparo Diretrizes Legal
Autorização do Paciente
A resolução 1.605/2000 (CFM, 2000)
Garante privacidade e impede que sejam
reveladas informações do
prontuário sem sua autorização.
Onde a comunicação de doença é
compulsória, o médico deve comunicar
somente a autoridade competente.
Amparo Diretrizes Legal
Administrativas Gestão de Riscos Políticas de Sanções Análise de Atividade nos
Sistemas Controle de Acesso Proteção contra MalWares Monitoramento de logs Resposta a Incidentes Plano de contingência Contratos Escritos entre
Parceiros
Diretrizes HIPAA Proteção
Instalações Físicas Operações em
contingência Plano de Proteção das
Instalações Acesso Restrito as
Estações de Trabalho Estações com
Funcionalidade e Atribuições Mapeadas
Controle de mídias
Técnicas Controle de Acesso (identificação unívoca de
usuário, procedimentos de acesso de emergência, logout automático, encriptação)
Auditoria Integridade (mecanismos para autenticar PEP
eletrônico) Autenticação de Pessoas e Entidades Transmissão (integridade e encriptação)
Health Insurance
Portability and
Accountability Act
Falha de Programação
EUA Indiana – 187k Registros Trocados (Jul/2013) In one of the largest HIPAA breaches reported this year, the Indiana Family and Social Services Administration is notifying 187,533 clients that their protected health information, financial and employment data and, in many cases, Social Security numbers have been compromised following a computer programming glitch. This error caused documents being sent to clients to be duplicated and also inserted with documents sent to other clients.
Violação
HIPAA Casos Reais Privacidade
277mil microfilmes
descartados e não destruídos
Texas – 277k Microfilmes Descartados (Jul/2013) In the biggest HIPAA privacy breach of 2013 -- and among the largest to date -- Texas Health Harris Methodist Fort Worth is notifying some 277,000 patients that their protected health information has been compromised after several hospital microfilms, which were supposed to be destroyed, were found in various public locations.
Violação
HIPAA Casos Reais Privacidade
Riscos Questões Consciência
Principais Questões
e Desafios
Riscos Questões Consciência
Brasileiros são os que mais se preocupam com violação de dados em instituições de saúde -
InfoMoney (Jul/2013) Quando perguntados sobre ameaças relacionadas à violação de dados causada pela perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o setor de saúde como um dos mais seguros no que diz respeito à proteção dos dados pessoais.
Hospital (Rede Interna)
WEB
Troca de Informações Médicas Intermunicipais
Paciente (Acesso Doméstico)
Troca de Informações Médicas entre Organizações
ClínicaHospital
Laboratório
HTTPHL7
SOAP
Diversidade de Formas de Acessoaos Dados do Paciente
Médico (Acesso Consultório)
Riscos Questões Ambiente
Distribuído
Acesso
Diferentes Níveis de Permissão
Menor Permissão Possível
Diversidade de Sistemas
Integração dos Sistemas
Distribuídos
Performance
Disponibilidade
Criptografia
Centralizado
Pré-carga
Cuidados Questões Ambiente
Distribuído
Acesso
Acesso Restrito
Barreiras Internas
Identificação Visível
Dados Resguardados
Gestão de Riscos
Contingência
Camadas de Segurança (4)
Monitoramento
Treinamento
Cuidados Questões Ambiente
Interno
Instalações
Acesso
Instalações
Identificação Digital de
Pacientes
Identificação Digital de
Medicamentos
Fluxo de Autorização
Manuseio
Exposição
Equipamentos
Cuidados Questões Clínicos
Clínicos
Acesso
Instalações
Clínicos
Autenticação Forte (sabe, tem e é)
Ataques Padrão
Senhas Fortes
Renovação sem
Repetição
Auditáveis
Uso de PIN
Logout Automático
Cuidados Questões Aplicações
Aplicações
Aplicações
Acesso
Instalações
Clínicos
Hardening Servidores,
Estação e Rede
Firewall > IDS > IPS
Atualizações
Frequentes (exploits)
Vírus e Malwares
BYOD
Riscos Questões Ambiente
Ambiente
ISO e ANS Padrões Segurança
Padrões e Normas
Segurança em Geral
Auxiliar as Organizações a
Implantar Medidas de
Segurança
Credibilidade Perante
Clientes
ISO e ANS Padrões Segurança
ISO 27000
Gestão Estruturada de
Segurança
Abordagem Sistemática (sistema de gestão da segurança da
informação)
Escritório de Segurança
Documentação de Ativos
Análise de Riscos Contínua
Riscos Direcionam
Controles 27002 a Escolher
ISO e ANS Padrões Segurança
ISO 27000
ISO 27001
Conforme
Grau de
Exposição
Lista de Boas Práticas
Abrange Cada uma das
Partes da Estrutura do
Negócio recursos humanos, ambientais,
equipamentos e sistemas
Implantação Gradual
Gestão de Riscos
ISO e ANS Padrões Segurança
ISO 27000
ISO 27001
ISO 27002
ISO 27002
Normas Específicas para
Saúde
Identificação de Ativos
Fórum Determine Diretrizes
de Segurança
Guarda e Manuseio do PEP
Contratos de SLA
Treinamento
Desligamento de RH
Termo de Compromisso
ISO e ANS Padrões Segurança
ISO 27000
ISO 27001
ISO 27799
Casos Reais Conclusão Distrito Federal
Casos
Reais
Brasil – Distrito Federal
“As informações referentes às pessoas atendidas
na Recanto das Emas podem ser compartilhadas entre todas as outras unidades de saúde que fazem parte do projeto GDF, considerada a maior iniciativa de integração de informações no setor de
saúde pública brasileiro. “Com isso, o atendimento se torna mais humano e eficiente”, explica Vogt. “Além
disso, há uma enorme economia para o governo que pode reduzir significativamente o uso de papel e a
repetição de exames perdidos”.
Casos Reais Conclusão Distrito Federal
Brasil – Uberlândia
“O prontuário eletrônico está em fase inicial de implantação e Uberlândia faz parte das duas cidades do interior do país que foram contempladas nesse início de
processo. O software tem o objetivo agilizar o atendimento
e reduzir a quantidade de exames.
O profissional de saúde terá acesso a informações do paciente como consultas,
exames e todos os procedimentos realizados através do
Sistema Único de Saúde, e essas informações estarão disponíveis nos prontuários
médicos de cada cidadão”. GLOBO.COM
Casos Reais Conclusão Uberlância
EUA – Rhode Island
There are health IT programs, including the development of
the Nationwide Health Information Network (NwHIN) a
large network that stores patient records.
These will help move health care to a process where
information is stored and shared securely and electronically.
Health information will follow the patient and be available for clinical decision making as well as for
uses beyond direct patient care, such as measuring quality of
care.
Casos Reais Conclusão Rhode Island
Gestão de
Riscos
Privacidade
Padronizar Expandir
Segurança
Digitalizar e
Compartilhar
Conclusão
Gestão de
Saúde Melhoria
Contínua
Grande Desafio
SORTEIO
1 AntiVírus
+ 5 Brindes
Kaspersky Sorteio
Perguntas Encerramento
A apresentação será
disponibilizada também no grupo
ForenseDigital no LinkedIn e em
facebook.com/ForenseDigital
Contatos Encerramento
Fo
C
A
R
L
O
S
C
A
S
T
R
O
(
1
1)
9
9
9
6
7
-
9
9
8
8