ESTRATÉGIAS DE SAÚDE Desafio da Segurança da

Informação

Cenários, Riscos e Diretrizes

Carlos Castro Perito Forense Digital e Consultor

Agenda

1. Demandas e Diretrizes

2. Benefícios

3. Amparo Legal

4. Principais Questões

5. Padrões e Normas

6. Casos Reais

7. Sorteio e Perguntas

Demandas Diretrizes Saúde

Demandas e Diretrizes

"Accuratissima Brasiliae Tabula" de 1597

Demandas Diretrizes Saúde

Saúde está Doente

Melhoria no Atendimento

Redução de Custos

Assertividade

Otimização de Recursos

Identificação de Tendências

Políticas Melhor Orientadas

Planejamento

Melhorar Auditoria

"Accuratissima Brasiliae Tabula" de 1597

Prontuários Diretrizes Digitalização

Digitalização de Prontuários

Resolução 1.821 de 2007

Aprova as normas técnicas concernentes à

digitalização e uso dos sistemas

informatizados para a guarda e manuseio

dos documentos dos prontuários dos

pacientes, autorizando a eliminação do

papel e a troca de informação identificada

em saúde

"Accuratissima Brasiliae Tabula" de 1597

CFM Conselho Federal de Medicina

O que deve constar no Prontuário (Resolução 1638, Art, 5)

Identificação (nome, nascimento,

endereço, etc) Anamnese (entrevista), Exames,

diagnóstico e suas Hipóteses,

tratamento realizado

Evolução diária com detalhes dos Procedimentos

Prontuários Diretrizes Conteúdo

PNIIS Política Nacional de Informática e

Informação em Saúde

Registro eletrônico disponível nas várias instituições nas quais o paciente for atendido (Mar/2004)

Assim, as atividades que tem foco no indivíduo, independente do seu aspecto preventivo ou curativo, se beneficiam de um registro eletrônico, usualmente chamado de "Prontuário Eletrônico do Paciente", que permite recuperar de forma integrada toda a informação disponível sobre o mesmo, ao longo do tempo e das várias instituições com que tem contato. Parágrafo 1, página 16,

http://bvsms.saude.gov.br/bvs/publicacoes/PoliticaInformacaoSaude29_03_2004.pdf

Prontuários Diretrizes Digitalização

Diretos e

Indiretos Benefícios Prontuário

Digital

Benefícios Diretos e

Indiretos

Diagnósticos

Precisos Protocolo

Cooperação

Auditáveis

Estruturados

Históricos

Inteligência

Diretos e

Indiretos Benefícios Prontuário

Digital

Benefícios

Diagnósticos

Custos

Redução Exames

Redução Consultas

Melhor Uso Recursos

Diretos e

Indiretos Benefícios Prontuário

Digital

Benefícios

Diagnósticos

Custos

Erros

Legibilidade

Correção

Diagnósticos

Precisos

Validações

Sistêmicas

Procedimentos

Desperdícios

Diretos e

Indiretos Benefícios Prontuário

Digital

Benefícios

Padrões

Diagnósticos

Custos

Erros

Atendimento

Procedimento

Registro

Compartilhamento

Regionalizados

Diretos e

Indiretos Benefícios Prontuário

Digital

Benefícios

Diagnósticos

Custos

Erros

Garantir Privacidade

Identificação Paciente

Propriedade do

Paciente

Compartilhamento

Acessos Devidos

Armazenamento

Padrões

Chave Pública BR autenticidade, integridade e validade jurídica

Diretos e

Indiretos Benefícios Prontuário

Digital

Segurança

Padrões

Garantias

Padrões

Diagnósticos

Custos

Erros

Identificação e

Autenticação (CIA) Confidencialidade, Integridade e Disponibilidade

Controle de Sessão

Geração e Recuperação

de Cópias de Segurança

Confiabilidade e

Segurança dos Dados

Auditoria e Registro (log)

Certificação Digital e

Assinatura Digital

Diretos e

Indiretos Benefícios Prontuário

Digital

Exigências CFM

Segurança

Padrões

Diagnósticos

Custos

Erros

Dependência de

Sistemas

Duração Consulta

Resistência

Exposição de Conduta

Imagem Institucional

Implementação

Prontuário em Papel é

Considerado Público

Diretos e

Indiretos Benefícios Prontuário

Digital

Dificuldades

Segurança

Amparo Diretrizes Legal

Amparo Legal

Amparo Diretrizes Legal

Garantias

Constituição de 1988, Artigo 5

Inviolabilidade do direito à

segurança, abrangendo:

Sigilo de dados

Intimidade, vida privada, honra e imagem

Código de Defesa Consumidor, Artigo 5

Dá o direito de acesso aos pacientes aos

seus dados em prontuários

Penalidades

Código Penal, Artigos 153 e 154

Divulgar sem justa causa informações

pessoais que possam produzir dano a

outrem, incluindo:

Informações contidas ou não em sistemas

de informação ou bancos de dados da

administração pública

Revelar segredo obtido em razão de

função para prejudicar a outrem.

Amparo Diretrizes Legal

Autorização do Paciente

A resolução 1.605/2000 (CFM, 2000)

Garante privacidade e impede que sejam

reveladas informações do

prontuário sem sua autorização.

Onde a comunicação de doença é

compulsória, o médico deve comunicar

somente a autoridade competente.

Amparo Diretrizes Legal

Administrativas Gestão de Riscos Políticas de Sanções Análise de Atividade nos

Sistemas Controle de Acesso Proteção contra MalWares Monitoramento de logs Resposta a Incidentes Plano de contingência Contratos Escritos entre

Parceiros

Diretrizes HIPAA Proteção

Instalações Físicas Operações em

contingência Plano de Proteção das

Instalações Acesso Restrito as

Estações de Trabalho Estações com

Funcionalidade e Atribuições Mapeadas

Controle de mídias

Técnicas Controle de Acesso (identificação unívoca de

usuário, procedimentos de acesso de emergência, logout automático, encriptação)

Auditoria Integridade (mecanismos para autenticar PEP

eletrônico) Autenticação de Pessoas e Entidades Transmissão (integridade e encriptação)

Health Insurance

Portability and

Accountability Act

Falha de Programação

EUA Indiana – 187k Registros Trocados (Jul/2013) In one of the largest HIPAA breaches reported this year, the Indiana Family and Social Services Administration is notifying 187,533 clients that their protected health information, financial and employment data and, in many cases, Social Security numbers have been compromised following a computer programming glitch. This error caused documents being sent to clients to be duplicated and also inserted with documents sent to other clients.

Violação

HIPAA Casos Reais Privacidade

277mil microfilmes

descartados e não destruídos

Texas – 277k Microfilmes Descartados (Jul/2013) In the biggest HIPAA privacy breach of 2013 -- and among the largest to date -- Texas Health Harris Methodist Fort Worth is notifying some 277,000 patients that their protected health information has been compromised after several hospital microfilms, which were supposed to be destroyed, were found in various public locations.

Violação

HIPAA Casos Reais Privacidade

Riscos Questões Consciência

Principais Questões

e Desafios

Riscos Questões Consciência

Brasileiros são os que mais se preocupam com violação de dados em instituições de saúde -

InfoMoney (Jul/2013) Quando perguntados sobre ameaças relacionadas à violação de dados causada pela perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o setor de saúde como um dos mais seguros no que diz respeito à proteção dos dados pessoais.

Hospital (Rede Interna)

WEB

Troca de Informações Médicas Intermunicipais

Paciente (Acesso Doméstico)

Troca de Informações Médicas entre Organizações

ClínicaHospital

Laboratório

HTTPHL7

SOAP

Diversidade de Formas de Acessoaos Dados do Paciente

Médico (Acesso Consultório)

Riscos Questões Ambiente

Distribuído

Acesso

Diferentes Níveis de Permissão

Menor Permissão Possível

Diversidade de Sistemas

Integração dos Sistemas

Distribuídos

Performance

Disponibilidade

Criptografia

Centralizado

Pré-carga

Cuidados Questões Ambiente

Distribuído

Acesso

Acesso Restrito

Barreiras Internas

Identificação Visível

Dados Resguardados

Gestão de Riscos

Contingência

Camadas de Segurança (4)

Monitoramento

Treinamento

Cuidados Questões Ambiente

Interno

Instalações

Acesso

Instalações

Identificação Digital de

Pacientes

Identificação Digital de

Medicamentos

Fluxo de Autorização

Manuseio

Exposição

Equipamentos

Cuidados Questões Clínicos

Clínicos

Acesso

Instalações

Clínicos

Autenticação Forte (sabe, tem e é)

Ataques Padrão

Senhas Fortes

Renovação sem

Repetição

Auditáveis

Uso de PIN

Logout Automático

Cuidados Questões Aplicações

Aplicações

Aplicações

Acesso

Instalações

Clínicos

Hardening Servidores,

Estação e Rede

Firewall > IDS > IPS

Atualizações

Frequentes (exploits)

Vírus e Malwares

BYOD

Riscos Questões Ambiente

Ambiente

ISO e ANS Padrões Segurança

Padrões e Normas

Segurança em Geral

Auxiliar as Organizações a

Implantar Medidas de

Segurança

Credibilidade Perante

Clientes

ISO e ANS Padrões Segurança

ISO 27000

Gestão Estruturada de

Segurança

Abordagem Sistemática (sistema de gestão da segurança da

informação)

Escritório de Segurança

Documentação de Ativos

Análise de Riscos Contínua

Riscos Direcionam

Controles 27002 a Escolher

ISO e ANS Padrões Segurança

ISO 27000

ISO 27001

Conforme

Grau de

Exposição

Lista de Boas Práticas

Abrange Cada uma das

Partes da Estrutura do

Negócio recursos humanos, ambientais,

equipamentos e sistemas

Implantação Gradual

Gestão de Riscos

ISO e ANS Padrões Segurança

ISO 27000

ISO 27001

ISO 27002

ISO 27002

Normas Específicas para

Saúde

Identificação de Ativos

Fórum Determine Diretrizes

de Segurança

Guarda e Manuseio do PEP

Contratos de SLA

Treinamento

Desligamento de RH

Termo de Compromisso

ISO e ANS Padrões Segurança

ISO 27000

ISO 27001

ISO 27799

Casos Reais Conclusão Distrito Federal

Casos

Reais

Brasil – Distrito Federal

“As informações referentes às pessoas atendidas

na Recanto das Emas podem ser compartilhadas entre todas as outras unidades de saúde que fazem parte do projeto GDF, considerada a maior iniciativa de integração de informações no setor de

saúde pública brasileiro. “Com isso, o atendimento se torna mais humano e eficiente”, explica Vogt. “Além

disso, há uma enorme economia para o governo que pode reduzir significativamente o uso de papel e a

repetição de exames perdidos”.

Casos Reais Conclusão Distrito Federal

Brasil – Uberlândia

“O prontuário eletrônico está em fase inicial de implantação e Uberlândia faz parte das duas cidades do interior do país que foram contempladas nesse início de

processo. O software tem o objetivo agilizar o atendimento

e reduzir a quantidade de exames.

O profissional de saúde terá acesso a informações do paciente como consultas,

exames e todos os procedimentos realizados através do

Sistema Único de Saúde, e essas informações estarão disponíveis nos prontuários

médicos de cada cidadão”. GLOBO.COM

Casos Reais Conclusão Uberlância

EUA – Rhode Island

There are health IT programs, including the development of

the Nationwide Health Information Network (NwHIN) a

large network that stores patient records.

These will help move health care to a process where

information is stored and shared securely and electronically.

Health information will follow the patient and be available for clinical decision making as well as for

uses beyond direct patient care, such as measuring quality of

care.

Casos Reais Conclusão Rhode Island

Gestão de

Riscos

Privacidade

Padronizar Expandir

Segurança

Digitalizar e

Compartilhar

Conclusão

Gestão de

Saúde Melhoria

Contínua

Grande Desafio

SORTEIO

1 AntiVírus

+ 5 Brindes

Kaspersky Sorteio

Perguntas Encerramento

A apresentação será

disponibilizada também no grupo

ForenseDigital no LinkedIn e em

facebook.com/ForenseDigital

Contatos Encerramento

forense.digital.com@gmail.com

Fo

C

A

R

L

O

S

C

A

S

T

R

O

(

1

1)

9

9

9

6

7

-

9

9

8

8