Segurança nos sistemas de informação hospitalares : políticas, práticas e avaliação

Detalhes bibliográficos
Autor(a) principal: Santos, António Manuel Rodrigues Carvalho dos
Data de Publicação: 2007
Idioma: por
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/1822/7282
Resumo: Tese de Doutoramento em Tecnologias e Sistemas de Informação - Ramo do Conhecimento em Sistemas de Computação e Comunicação
id RCAP_d4f076d1c5faca3b96dde1db851da0ad
oai_identifier_str oai:repositorium.sdum.uminho.pt:1822/7282
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Segurança nos sistemas de informação hospitalares : políticas, práticas e avaliação614:681.3681.3:614Tese de Doutoramento em Tecnologias e Sistemas de Informação - Ramo do Conhecimento em Sistemas de Computação e ComunicaçãoActualmente, a informação é genericamente considerada um recurso crítico para qualquer organização, exigindo políticas de segurança adequadas para a sua protecção. Tipicamente, a abordagem usada para o desenvolvimento dessas políticas, parte da avaliação do risco, que é feita com base no valor do recurso e na probabilidade da concretização das ameaças. Estes dois valores podem ser extremamente difíceis de determinar, especialmente quando a informação não está relacionada com objectos de valor quantificável e/ou quando o historial da ocorrência de incidentes é limitado, como é o caso da informação nas unidades de saúde. Por outro lado, algumas das abordagens existentes para a avaliação do risco consomem um elevado número de meios humanos e financeiros, originando, por vezes, limitações à aplicação do processo de gestão da segurança na organização. Atendendo a essas limitações, o principal objectivo desta tese foi o de propor uma metodologia para a implementação de políticas de segurança em unidades de saúde. Procurou-se transformar o processo da gestão da segurança em algo que as organizações, nomeadamente unidades do tipo hospitalar, pudessem implementar e gerir de uma forma ágil e natural, sem a necessidade de recorrer a recursos extraordinários. Pretendeu-se, ainda, orientar a metodologia segundo os mais recentes desenvolvimentos ao nível do modelo de gestão dos processos desta natureza, tal como os preconizados pela recente norma ISO/IEC 27001. Embora a metodologia proposta tenha por base alguns métodos e normas já existentes para a área da gestão da segurança da informação, apresenta soluções inovadoras para alguns dos aspectos mais críticos e que normalmente, exigem mais recursos. Em particular, são apresentadas soluções para as fases de identificação e catalogação dos recursos (elementos informativos) a serem alvo do processo de segurança e para a determinação do índice de risco de cada recurso. Relativamente a esta última solução, é proposta a utilização da metodologia de Delphi para estimar os dois parâmetros relevantes (o valor do recurso e a probabilidade de concretização de uma ameaça) que são usados para calcular o índice do risco. Propõe-se ainda uma nova organização para o catálogo de medidas no âmbito da política de segurança, com vista a facilitar o processo da escolha das medidas adequadas e em concordância com a filosofia de gestão da segurança subjacente à metodologia proposta. Este catálogo recolhe, naturalmente, diversos contributos já estabelecidos para outras metodologias. Por fim, são apresentados os resultados da aplicação da metodologia numa organização hospitalar. Estes resultados demonstram a aplicabilidade da metodologia, ao mesmo tempo revelam a desejada agilidade no sentido de facilmente e naturalmente a integrar no processo de gestão da organização. Apesar da solução proposta ter sido desenvolvida tendo por base as unidades de saúde, a generalidade dos seus princípios garante que, com algum cuidado e esforço de adaptação, esta metodologia possa ser facilmente alargada a outros tipos de organizações.Nowadays information is recognized as a critical resource, requiring an adequate security policy. Typically the approach most often used for the development of these policies starts with a risk assessment, which is carried out on the basis of the value of the resource's value and/or the probability of threats. These two values can be extremely difficult to determine especially when the information is not related to objects whose values are quantifiable and when the history of the events is Iimited - which is the case with healthcare information. On the other hand, some of the existing approximations require enormous amount of human and financial resources of the organization, sometimes creating limitations for the application of a security management process in the organization. Heeding these limitations, the main objective of this thesis was, therefore, to propose a methodology for the implementation of security policies at healthcare providers, but at the same time, try to change security management into something that organizations (in particular the hospital type) could implement and manage in a nimble and natural manner, without resorting to extra resources. Furthermore, there was the attempt to steer the methodology in accordance with the most recent developments concerning management models of processes of this nature, as extolled, for example, by the recent ISO/IEC27001 standard. Although the proposed methodology is based on some already existing methods and standards in the field of information security management, it presents innovative solutions for some of the most critical aspects that normally require more resources. Specifically, solutions for the identification and ranking of resources (informative elements) as the target of the security process and for the risk index determination, of each resource. Regarding the last solution, the use of the Delphi methodology is proposed to estimate the two relevant parameters (the resource value and the probability of threats) that are used to calculate the index. To what concerns the controls to be implemented. it is also proposed an organization for the catalogue of those controls with the purpose of easing the decision making process and guaranteeing consonance with the philosophy of security management which underlies the proposed methodology. Naturally, this catalogue collects diverse contributions already established for other methodologies. Finally, the results of the application of the methodology to a hospital organization are presented. These results demonstrate the applicability of the methodology and at the same time reveal the desired agility, in the sense of easily and naturally integrating it with the organization's main management processo Even though the proposal was developed based on a specific healthcare provider, the generality of most of the principies implemented, guarantee that this methodology can easily be generalized to other types of organizations, with some care and effort in the its adaptation.PRODEP III - Sociedade de Aprendizagem Intervenção Operacional da Educação - Medida 5Santos, Henrique Dinis dosUniversidade do MinhoSantos, António Manuel Rodrigues Carvalho dos2007-07-192007-07-19T00:00:00Zdoctoral thesisinfo:eu-repo/semantics/publishedVersionapplication/pdfhttp://hdl.handle.net/1822/7282porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2024-05-11T04:46:35Zoai:repositorium.sdum.uminho.pt:1822/7282Portal AgregadorONGhttps://www.rcaap.pt/oai/openairemluisa.alvim@gmail.comopendoar:71602024-05-11T04:46:35Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Segurança nos sistemas de informação hospitalares : políticas, práticas e avaliação
title Segurança nos sistemas de informação hospitalares : políticas, práticas e avaliação
spellingShingle Segurança nos sistemas de informação hospitalares : políticas, práticas e avaliação
Santos, António Manuel Rodrigues Carvalho dos
614:681.3
681.3:614
title_short Segurança nos sistemas de informação hospitalares : políticas, práticas e avaliação
title_full Segurança nos sistemas de informação hospitalares : políticas, práticas e avaliação
title_fullStr Segurança nos sistemas de informação hospitalares : políticas, práticas e avaliação
title_full_unstemmed Segurança nos sistemas de informação hospitalares : políticas, práticas e avaliação
title_sort Segurança nos sistemas de informação hospitalares : políticas, práticas e avaliação
author Santos, António Manuel Rodrigues Carvalho dos
author_facet Santos, António Manuel Rodrigues Carvalho dos
author_role author
dc.contributor.none.fl_str_mv Santos, Henrique Dinis dos
Universidade do Minho
dc.contributor.author.fl_str_mv Santos, António Manuel Rodrigues Carvalho dos
dc.subject.por.fl_str_mv 614:681.3
681.3:614
topic 614:681.3
681.3:614
description Tese de Doutoramento em Tecnologias e Sistemas de Informação - Ramo do Conhecimento em Sistemas de Computação e Comunicação
publishDate 2007
dc.date.none.fl_str_mv 2007-07-19
2007-07-19T00:00:00Z
dc.type.driver.fl_str_mv doctoral thesis
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/1822/7282
url http://hdl.handle.net/1822/7282
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv mluisa.alvim@gmail.com
_version_ 1817544415032377344