Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
A IMPORTÂNCIA DE CONTROLES DE
SEGURANÇA DA INFORMAÇÃO EM
HOSPITAIS PÚBLICOS BRASILEIROS
Antonio Eduardo de Albuquerque Junior (FIOCRUZ )
Elaine Santos de Albuquerque (SESAB )
Ernani Marques dos Santos (UFBA )
A dependência da infraestrutura de Tecnologia da Informação (TI) e a
necessidade de proteger as informações, tanto por força de normas
legais quanto por sua importância, exigem que organizações dos mais
diversos tipos adotem controles de seegurança da informação
apropriados para as atividades que desenvolvem. A norma NBR
ISO/IEC 27002:2005 propõe 133 controles que visam proteger as
informações em diferentes organizações, mas nem todos os controles
são aplicáveis à realidade de instituições de saúde. Por esse motivo, há
a necessidade de identificar quais controles de segurança da
informação são realmente importantes para o tipo de atividade e para
as informações utilizadas em hospitais públicos, tendo uma atenção
especial para os requisitos legais desse tipo de instituição, que lida
com informações sensíveis importantes tanto para seu funcionamento
quanto para os pacientes. Este trabalho teve o objetivo de identificar a
percepção de gestores e funcionários das áreas de TI e segurança da
informação de hospitais públicos sobre a importância dos controles de
segurança da informação para as atividades desenvolvidas nessas
instituições.
Palavras-chaves: controles, segurança da informação, hospitais,
públicos
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
2
1. Introdução
A informação é um ativo intangível importante, que pode compor juntamente com ativos
tangíveis o valor econômico de uma organização (KAYO et al., 2006) e cujo acesso e
divulgação indevidos de informações podem provocar danos graves para a organização.
Por utilizarem intensamente informações sensíveis, as instituições de saúde põem os registros
dos pacientes – muitas vezes eletrônicos – como unidade central de informações, levando à
utilização massiva de tecnologias da informação (TI). Isso tem levado a um processo de
integração e compartilhamento de informações sobre pacientes, trazendo para essas
instituições novas demandas para a segurança da informação (AHLFELDT, 2005) diante dos
riscos de divulgação e acessos indevidos que a utilização de TI traz para essas informações
(FACHINI, 2009).
A informação, portanto, precisa ser protegida de forma adequada e, para isso, a Associação
Brasileira de Normas Técnicas (ABNT) (2005) apresenta a norma NBR ISO/IEC 27002:2005,
um conjunto de controles de segurança da informação que podem ser adotados no todo ou em
parte por diferentes organizações.
Este trabalho é resultado de uma pesquisa exploratória que teve como objetivo identificar a
percepção funcionários de hospitais públicos brasileiros a respeito da importância dos
controles de segurança da informação presentes na norma NBR ISO/IEC 27002:2005, a
exemplo da que Albuquerque Junior e Santos (2012) fizeram com hospitais privados
brasileiros. O artigo está organizado em cinco seções, além desta Introdução e das Referências
Bibliográficas: Fundamentação Teórica; Metodologia; Resultados; Discussão; e Conclusões.
2. Fundamentação teórica
Beal (2005) e Donner e Oliveira (2008) definem segurança da informação como a proteção da
informação contra ameaças à sua integridade, disponibilidade e confidencialidade. A ABNT
(2005) complementa dizendo que segurança da informação é a preservação da
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
3
confidencialidade, integridade e disponibilidade da informação, visando garantir a
continuidade do negócio, minimizar o risco e maximizar o retorno sobre investimentos e as
oportunidades de negócio.
Estas definições apontam a existência dos três componentes principais da segurança da
informação: a integridade, que busca garantir a exatidão da informação por modificações ou
remoções feitas sem autorização; a disponibilidade, que visa garantir o acesso à informação
por quem é autorizado a fazê-lo; e a confidencialidade, que procura garantir que apenas
pessoas autorizadas tenham acesso (SILVA NETTO; SILVEIRA, 2007).
Diante desses três componentes, Sêmola (2003) diz que a finalidade da segurança da
informação é a proteção das informações contra acessos não autorizados, alterações indevidas
ou indisponibilidade, que segundo a ABNT (2005) pode ser obtida por meio de controles
adequados, que precisam ser monitorados, analisados criticamente e melhorados para atender
aos objetivos do negócio e de segurança da informação.
Embora boa parte dos riscos esteja associada a componentes tecnológicos e apesar de haver
uma necessidade de proteger os equipamentos de TI, a tecnologia por si só não é suficiente
para garantir a proteção das informações (MARCIANO, 2006; SILVA; STEIN, 2007), sendo
necessários controles que cubram tanto segurança física quanto lógica, orientados por uma
Política de Segurança da Informação (MOURA; GASPARY, 2008), um documento que tanto
pode ser definido em um contexto técnico, voltado para controles tecnológicos, quanto em um
contexto de gestão, servindo como compromisso, apoio e orientação dos gestores para
segurança da informação (LOPES, 2012), sendo que neste último caso, a Política deve
abranger a infraestrutura utilizada, os processos, os sistemas de informação e os serviços
relacionados às informações (SILVA; STEIN, 2007).
Albrechtsen (2008) afirma que a segurança da informação não é apenas uma questão
tecnológica, enquanto Albuquerque Junior e Santos (2012) afirmam que a segurança da
informação deve considerar aspectos tecnológicos, físicos e humanos, e Marciano (2006)
concorda que a Política de Segurança da Informação deve abordar recursos computacionais e
humanos e a estrutura organizacional necessária para promover a segurança da informação.
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
4
Dentro dessa mesma linha, Silva e Stein (2007) puseram a tecnologia e as pessoas como duas
faces diferentes e possivelmente conflitantes da segurança da informação, e Silva Netto e
Silveira (2007) propõem a organização dos controles de segurança da informação da norma
NBR ISO/IEC 27002:2005 nas dimensões física, lógica e humana, conforme Quadro 1. Já
Albuquerque Junior e Santos (2012) dizem que esta norma tem características mais voltadas
para a gestão da segurança da informação, e que isso pede que diagnósticos com base nela
envolvam profissionais de TI, de segurança da informação e gestores da organização.
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
5
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
6
A norma NBR ISO/IEC 27002:2005 apresenta 133 controles organizados em 11 seções de
controles e 39 categorias de controles, com princípios de segurança da informação que podem
ser adotados por qualquer organização, em parte ou no todo. Sendo a segurança da
informação um problema que abrange organizações de qualquer natureza e setor, a seção
seguinte trata deste tema em hospitais públicos, que também precisam garantir seu
funcionamento e que lidam com informações sensíveis sobre pacientes, cuja proteção é
exigida por diferentes regulamentos.
2.1. Segurança da informação em hospitais públicos
Para Ahlfeldt (2005), a utilização intensa de muitas informações sensíveis faz dos hospitais
ambientes com grande utilização de computadores. Janczewski e Shi (2002) acrescentam que
o desenvolvimento da medicina, TI e telecomunicações estão transformando os serviços de
saúde, mas isso ocorre em um ambiente em que Kwak (2005) diz que há muita troca de
informações, tanto interna quanto externamente.
Esse contexto põe as questões éticas sobre privacidade dos pacientes nas discussões sobre
segurança da informação (RAGHUPATHI; TAN, 2002), sem esquecer que há uma procura
pela prestação de melhores serviços, com informações corretas e no momento certo, e que há
ainda possibilidade de divulgação não autorizada das informações (AHLFELDT, 2005) e uso
indevido de sistemas de informação, desencorajando o uso da TI, prejudicando o
compartilhamento de informações e podendo comprometer o tratamento e a pesquisa médica
(KOBAYASHI; FURUIE, 2007).
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
7
Por serem instituições públicas, os hospitais públicos estão sujeitos a regulamentos que
ultrapassam a regulação do seu campo de atuação. Segundo Cepik, Canabarro e Possamai
(2010), a segurança da informação em organizações públicas federais foi objeto de auditoria
do Tribunal de Contas da União (TCU) em 2007 e levou o Governo Federal a exigir a adoção
de boas práticas de segurança da informação. Para Britto (2011), nas organizações públicas,
parte das informações pode estar vulnerável, o que pode provocar interrupção de serviços e
funções essenciais, perda de dados e possibilitar fraudes, prejudicando a sociedade como um
todo. Dessa forma, é necessário que hospitais públicos protejam as informações com que
lidam tanto para garantir a privacidade dos pacientes quanto por obrigações trazidas pelo fato
de integrarem a administração pública. A seção seguinte trata da legislação que obriga a
proteção das informações em hospitais públicos.
2.2. Legislação sobre segurança da informação para hospitais públicos
Parte das leis e regulamentos que orientam a proteção das informações em hospitais públicos,
na realidade, é voltada para organizações públicas em geral ou para toda a sociedade: a Lei nº
8.159/1991 obriga a proteção de documentos de apoio ao desenvolvimento científico e
elementos de prova e informação; a Lei nº 9.983/2000 tipifica como crime a violação indevida
e proposital da confidencialidade e integridade dos dados armazenados em sistemas
computacionais; a Lei de Acesso à Informação (Lei nº 12.527/2011) garante o acesso às
informações públicas, mas garante também o respeito à intimidade, à vida privada e a
proteção de informações que possam pôr em risco a vida, a segurança ou a saúde da
população; e a Constituição Federal do Brasil, de 1988, garante, através do seu Art. 5º, inciso
X, o direito à privacidade.
Outros instrumentos legais são aplicáveis diretamente às instituições de saúde: a própria
Constituição Federal, no Art. 5º, inciso XIV, garante o sigilo profissional entre médico e
paciente; o Código Penal Brasileiro (Decreto-Lei nº 2.848/1940) complementa essa garantia
tipificando como crime a violação de informação cujo conhecimento se deu através do
exercício profissional; o Estatuto da Criança e do Adolescente (Lei nº 8.069/1990) estabelece
que instituições de saúde mantenham por 18 anos a identificação de recém-nascidos e de suas
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
8
mães; e a Lei nº 9.434/1997 obriga as instituições de saúde a manterem por pelo menos cinco
anos os prontuários médicos em algumas situações específicas.
Além dessas leis, algumas normas do Conselho Federal de Medicina regulamentam a
segurança das informações em hospitais: o Código de Ética Médica (Resolução CFM nº
1.931/2009) garante que os prontuários dos pacientes sejam manuseados apenas por pessoas
sujeitas ao sigilo profissional, põe os prontuários sob responsabilidade do médico ou da
instituição de saúde, garante o acesso do paciente ao seu prontuário, obriga que este seja
legível e exige autorização por escrito do paciente para realização de cópias. Já a Resolução
CFM nº 1.331/89 obriga que os prontuários médicos sejam mantidos permanentemente pelos
médicos ou instituições de saúde.
Está clara, portanto, a necessidade de promover segurança da informação nessas instituições,
de forma que se faz necessário ampliar os conhecimentos sobre o tema. A próxima seção trata
da metodologia utilizada na pesquisa.
3. Metodologia
Esta pesquisa é exploratória e descritiva e teve como objetivo identificar a percepção de
funcionários das áreas de TI e segurança da informação e de gestores de hospitais públicos
brasileiros sobre a importância dos controles de segurança da informação para suas
instituições. Uma vez que partiu de um modelo existente (a norma NBR ISO/IEC
27002:2005) para estudar uma realidade específica, a metodologia empregada é dedutiva.
Esta pesquisa foi motivada pela sugestão de Albuquerque Junior e Santos (2012) para que
fosse feita pesquisa sobre a percepção da importância de práticas de segurança da informação
para profissionais de TI e gestores de hospitais públicos brasileiros. Para isso, foram
elaborados três formulários com perguntas sobre os controles presentes na norma NBR
ISO/IEC 27002:2005 agrupadas conforme a classificação proposta por Silva Netto e Silveira
(2007) (ver Quadro 1): “Controles da Camada Física”, com 75 controles; “Controles da
Camada Lógica”, com 16 controles; e “Controles da Camada Humana”, com 42 controles.
Juntos, os três formulários contêm 140 perguntas, sendo sete relacionadas ao respondente e à
instituição em que trabalha, e 133 relacionados aos controles de segurança da informação. As
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
9
afirmativas correspondentes aos controles foram associadas a uma escala Likert de cinco
pontos: 1 – sem importância; 2 – pouco importante; 3 – importante; 4 – muito importante; 5 –
extremamente importante. Assim, os respondentes deveriam indicar em formulário on-line
publicado no sistema FormSUS (http://formsus.datasus.gov.br) a importância percebida sobre
cada controle para as atividades do hospital em que trabalham.
No total, 236 hospitais públicos receberam as mensagens convidando a participar da pesquisa,
mas foram apenas 26 hospitais participaram, sendo que três foram descartados por estarem
incompletas. Foram aceitas, portanto, respostas de 23 hospitais (9,75% dos que receberam o
convite).
4. Resultados
Embora os formulários tenham sido enviados para hospitais públicos de todos os estados
brasileiros, foram obtidas respostas de apenas 10 estados: Distrito Federal, Rio Grande do Sul,
Santa Catarina e Sergipe (um hospital cada); Bahia, Ceará e Pernambuco (dois hospitais); Rio
de Janeiro (três hospitais); Minas Gerais (quatro hospitais); e São Paulo (seis hospitais).
As respostas apontam que os hospitais têm portes variados, com concentração maior de
instituições que têm entre 151 e 500 leitos (43,5%). A Tabela 1 traz a distribuição dos
hospitais pela quantidade de leitos.
Os respondentes dos formulários trabalham na área de TI (47,8%), de gestão ou diretoria
(39,1%) e de Segurança da Informação (13%). Entre os respondentes do formulário
“Controles da Camada Física”, 15 se declararam Analistas, três são Administradores, dois são
Gestores, um é Diretor, um é Coordenador e um é Gerente. Para o formulário “Controles da
Camada Lógica”, 13 afirmaram ser Analistas, quatro são Administradores, dois são Gestores,
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
10
um é Diretor, dois são Coordenadores e um é Gerente. Já entre os respondentes do formulário
“Controles da Camada Humana”, 13 são Analistas, quatro são Administradores, dois são
Gestores, dois são Gerentes, um é Diretor e um é Coordenador.
Quanto à percepção da importância dos indicadores de segurança da informação, identificou-
se que o formulário que teve maior score médio foi “Controles da Camada Humana”, com
89,43 pontos. Este mesmo formulário inclui o controle com menor score (75 pontos, de
Verificações do histórico de candidatos a emprego, fornecedores e terceiros, de acordo
com a ética, legislação e outros regulamentos pertinentes, e proporcionalmente aos
requisitos do negócio, à classificação das informações e aos riscos percebidos) e o com
maior score (105, de Documento da política de segurança da informação aprovado pela
direção, publicado e comunicado para todos os funcionários e partes externas). A
mediana calculada para este formulário foi 88,50 e a moda foi 87, score obtido por seis
controles. Este formulário teve também o segundo maior score da pesquisa - 102 pontos, do
controle Proteção de registros importantes contra perda, destruição e falsificação, de
acordo com requisitos legais, regulamentares, estatutários, contratuais e de negócio.
O formulário “Controles da Camada Física” teve 89,13 pontos de score médio e a mediana
calculada foi 90, enquanto a moda foi 95, score que apareceu nove vezes. O maior score foi
99, obtido por dois controles, enquanto o menor score foi 78.
Já o formulário “Controles da Camada Lógica” teve score médio de 84,81 e a mediana foi 85.
Os scores 81 e 85 são os que aparecem mais vezes nos controles deste formulário: três vezes
cada. O score mais alto obtido neste formulário foi 93 e o menor foi 78 pontos.
Considerando todos os controles de segurança da informação dos três formulários, a média
calculada foi 88,70. Diante disso, 58,67% dos controles do formulário “Controles da Camada
Física” estão acima dessa média. Do formulário “Controles da Camada Lógica”, identificou-
se que 25% estão acima da média, enquanto o mesmo ocorre com 50% dos controles do
formulário “Controles da Camada Humana”.
Como o formulário “Controles da Camada Lógica” tem apenas 16 controles, para efeito de
comparação entre os três formulários foram considerados apenas os 16 controles que
obtiveram maior score dos outros dois. Esses controles estão representados na Tabela 2,
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
11
Tabela 3 e Tabela 4, respectivamente para os formulários “Controles da Camada Física”,
“Controles da Camada Lógica” e “Controles da Camada Humana”.
Como este último formulário teve um empate entre três controles com 91 pontos de score na
16ª posição, utilizou-se como critério de desempate a quantidade de vezes que os
respondentes atribuíram importância 5 (Extremamente importante) para cada controle.
Dessa forma, o controle Apoio da Direção à segurança da informação por meio de um
claro direcionamento, demonstrando compromisso, definindo explicitamente atribuições
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
12
e reconhecendo responsabilidades figurou na Tabela 4, pois foi avaliado como
“Extremamente importante” oito vezes, enquanto os outros dois foram avaliados como
extremamente importantes seis e cinco vezes.
Considerando apenas 16 controles considerados mais importantes, o formulário “Controles da
Camada Física” teve score médio de 96 pontos, e a mediana e a moda foram 95. Como os
scores deste formulário variaram de 95 a 99, o range ficou com 4 pontos. O formulário
“Controles da Camada Lógica”, como já apresentado anteriormente, teve score médio 84,81 e
o cálculo da mediana foi 85 pontos.
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
13
Os scores 81 e 85 aparecem três vezes cada, sendo os que aparecem mais vezes neste
formulário. O score mínimo é 78 e o máximo é 93, com um range de 15 pontos. Já os 16
controles mais importantes do formulário “Controles da Camada Humana” têm uma média de
96,31 pontos, uma mediana de 95,50 pontos e a moda é 94. Como o menor score é 91 e o
maior é 105, o range é de 14 pontos. Estes dados estão representados na Tabela 5.
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
14
Assim, mesmo considerando apenas os 16 controles mais importantes, o formulário
“Controles da Camada Humana” é o que tem maior score médio entre os três, embora o
formulário “Controles da Camada Física” tenha a menor variação entre o menor e o maior
score. Os resultados serão discutidos na seção seguinte.
5. Discussão
Apesar do recebimento de respostas válidas de 23 hospitais diferentes, os resultados
mostraram que hospitais de apenas 10 Estados diferentes participaram da pesquisa e que
houve pouca participação de hospitais com mais de 500 leitos, embora a maioria (43,5%)
tenha entre 151 e 500 leitos.
Os resultados apontam que 58,67% dos controles do formulário “Controles da Camada
Física” tem importância percebida acima da média geral, o que mostra sua importância para
hospitais, embora a participação de profissionais técnicos na pesquisa possa ter influenciado.
Por outro lado, metade dos controles do formulário “Controles da Camada Humana” é
considerada importante, o que mostra o reconhecimento da importância do fator humano na
segurança da informação.
Ao analisar os controles com scores mais altos nos três formulários, nota-se que, de maneira
geral, há uma preocupação dos hospitais com políticas e procedimentos de segurança da
informação. O score mais alto entre todos foi obtido pelo controle que trata da formalização
de uma Política de Segurança da Informação, que é considerado importante por nove
respondentes da área de TI e por três da área de segurança da informação, enquanto dois
respondentes de TI consideram-no muito importante e três respondentes da área de gestão o
consideram extremamente importante. A pesquisa mostrou que há pouca diferença de
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
15
percepção para respondentes de perfis diferentes sobre este controle e que todos o consideram
pelo menos importante.
Há também uma preocupação com a proteção de informações sensíveis, o que pode refletir
tanto compreensão de uma obrigação ética e legal quanto a necessidade de garantir o
funcionamento da instituição. O controle Proteção de registros importantes contra perda,
destruição e falsificação, de acordo com requisitos legais, regulamentares, estatutários,
contratuais e de negócio foi o segundo mais importante, e exemplifica isso.
A importância dos procedimentos também aparece nos controles que tratam de processos,
técnicas de controle de acesso, presentes em alguns controles considerados importantes e
voltados para a confidencialidade das informações.
Também foi possível observar a importância percebida de controles que visam punir o
desrespeito às normas de segurança da informação, o que pode ter sido motivado pelo fato de
os respondentes serem servidores públicos, sujeitos a processos administrativos disciplinares,
além do grande apelo ao cumprimento de normas dos conselhos profissionais e dos códigos
de ética das categorias profissionais de saúde.
De maneira geral, os controles considerados mais importantes destacam principalmente uma
preocupação com a proteção da privacidade dos pacientes e com o cumprimento dos
requisitos legais, muito relacionados às atividades desempenhadas e ao tipo de informações
com que lidam os hospitais públicos.
Por fim, como o formulário “Controles da Camada Humana” teve maior score médio entre os
três e por 50% dos seus controles estarem acima da média geral, ressalta-se a importância do
componente humano na segurança da informação.
6. Conclusões
Este estudo permitiu identificar os controles percebidos como mais importantes para as
atividades desenvolvidas em hospitais públicos. De todos eles, o mais importante trata da
elaboração e manutenção de Políticas de Segurança da Informação – uma formalização das
regras de proteção de informações sobre os pacientes, presentes em diversos instrumentos
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
16
normativos aos quais essas instituições estão submetidas. E o formulário que teve score médio
mais alto foi “Controles da Camada Humana”, o que mostra a importância do componente
humano na segurança da informação em hospitais públicos, contexto em que foi realizada a
pesquisa.
A pesquisa destacou também a importância de controles mais diretamente relacionados à
proteção das informações dos pacientes, aos processos que controlam o acesso a essas
informações e o respeito às leis e regulamentos que tratam da proteção à privacidade.
Resumidamente, destacou a importância da conformidade com as normas que regem o setor
saúde, inclusive os códigos de ética das categorias profissionais envolvidas com as atividades
desenvolvidas nas organizações que atuam neste setor.
A importância dos controles de segurança da informação segundo os respondentes das áreas
de TI, segurança da informação e gestão/diretoria de hospitais públicos brasileiros aponta para
uma necessidade de estabelecer políticas e identificar e classificar informações – o que pode
estar relacionado ao fato de estas práticas não estarem plenamente adotadas nessas
organizações. Além disso, a importância percebida para os controles de segurança da
informação está também relacionada à já citada necessidade de respeitar as normas de
garantia do sigilo dos pacientes.
O trabalho tem como limitação a pequena quantidade de hospitais que responderam aos três
formulários corretamente. Assim, as conclusões tomadas a partir da pesquisa não podem ser
generalizadas. Outra limitação é o fato de o porte dos hospitais não ter sido considerado na
pesquisa, embora a pesquisa tenha procurado levantar as quantidades de leitos.
Como sugestões para trabalhos futuros, propõe-se a realização de pesquisas sobre a utilização
efetiva dos controles mais importantes de segurança da informação, sobre as implicações
desses controles nas atividades desempenhadas pelos profissionais de saúde desses hospitais e
sobre os mecanismos de institucionalização de normas de segurança da informação em
hospitais públicos.
REFERÊNCIAS
AHLFELDT, Rose-Mharie. Information Security in a Heterogeneous Healthcare Domain. In:
1th International Conference on Interoperability of Enterprise Software and Applications –
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
17
INTEROP-ESA 2005, Genebra, 2005. Proceedings... Luxemburgo: INTEROP, fev. 2005, p.
103-114.
ALBRECHTSEN, Eirik. Friend or foe? Information security management of employees.
Trondheim, 2008. 182f. Tese (Doutorado em Economia Industrial e Gestão Tecnológica) –
Norwegian University of Science and Technology, Trondheim, 2008.
ALBUQUERQUE JUNIOR, Antonio E. de; SANTOS, Ernani M. dos. Segurança da
Informação em Hospitais: A Percepção da Importância de Controles para Gestores e
Profissionais de TI. Revista Gestão & Saúde, Curitiba: Herrero, n.2, v.4, p.1-14, ago. 2012.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005:
Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da
segurança da informação. Rio de Janeiro, 2005. 120p.
BEAL, A. Segurança da Informação: Princípios e Melhores Práticas para a Proteção dos
Ativos de Informação nas Organizações. São Paulo: Atlas, 2005. 180p.
BRITTO, Thiago D. e. Levantamento e Diagnóstico de Maturidade da Governança da
Segurança de Informação na Administração Direta Federal Brasileira. Brasília, 2011.
145f. Dissertação (Mestrado em Gestão do Conhecimento e da Tecnologia da Informação) –
Universidade Católica de Brasília, Brasília, 2011.
CEPIK, Marco; CANABARRO, Diego R.; POSSAMAI, Ana J. A Institucionalização do
SISP e a Era Digital no Brasil. In: CEPIK, Marco; CANABARRO, Diego R. Governança de
TI: Transformando a Administração Pública no Brasil. Porto Alegre: WS Editor, 2010. p.37-
74.
DONNER, M. L.; OLIVEIRA, L. R. Análise de Satisfação com a Segurança no Uso de
Internet Banking em Relação aos Atuais Recursos Disponíveis no Canal Eletrônico. In:
XXXII Encontro da ANPAD – EnANPAD. Rio de Janeiro, 2008. Anais... Rio de Janeiro:
ANPAD, set.2008, 16 p. CD Rom.
FACHINI, G. J. Análise do Nível de Formalização da Política de Segurança da
Informação à Luz da NBR ISO/IEC 17799:2005 nas Empresas de Tecnologia da
Informação de Blumenau, SC. Dissertação (Mestrado em Ciências Contábeis) –
Universidade Regional de Blumenau, Blumenau, 2009.
JANCZEWSKI, Lech; SHI, Frank X. Development of Information Security Baselines for
Healthcare Information Systems in New Zealand. Computers & Security, v.21, n.2, p.172-
192, 2002.
KAYO, E. K.; KIMURA, H.; MARTIN, D. M. L.; NAKAMURA, W. T. Ativos Intangíveis,
Ciclo de Vida e Criação de Valor. RAC, n.3, v.10, p.73-90, jul.2006.
KOBAYASHI, L. O. M.; FURUIE, S. S. Segurança em Informações Médicas: Visão
Introdutória e Panorama Atual. Revista Brasileira de Engenharia Biomédica, n.1, v.23,
p.53-77, abr. 2007.
XXXIII ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO A Gestão dos Processos de Produção e as Parcerias Globais para o Desenvolvimento Sustentável dos Sistemas Produtivos
Salvador, BA, Brasil, 08 a 11 de outubro de 2013.
18
KWAK, Y. S. International Standards for Building Electronic Health Record (EHR). In: 7th
International Workshop on Enterprise Networking and Computing in Healthcare Industry –
HEALTHCOM 2005. Proceedings... Busan, jun. 2005. p.18-23.
LOPES, Isabel M. Adopção de Políticas de Segurança de Sistemas de Informação na
Administração Pública Local em Portugal. Tese (Doutorado em Tecnologias e Sistemas de
Informação, Engenharia e Gestão de Sistemas de Informação) – Escola de Engenharia,
Universidade do Minho, Braga, 2012.
MARCIANO, J. L. P. Segurança da Informação – uma abordagem social. Brasília, 2006.
211f. Tese (Doutorado em Ciência da Informação) – Universidade de Brasília, Brasília, 2006.
MOURA, G. C. M.; GASPARY, L. P. Uma Proposta para Medição de Complexidade de
Segurança em Procedimentos de Tecnologia da Informação. In: VIII Simpósio Brasileiro em
Segurança da Informação e de Sistemas Computacionais – SBSEG, 2008, Gramado. Anais...
Gramado: SBC, set.2008, p.129-142.
RAGHUPATHI, W.; TAN, J. Strategic IT Applications in Health Care. Communications of
the ACM, v.45, n.12, p.56-61. 2002.
SÊMOLA, M. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro:
Campus, 2003. 184p.
SILVA, D. R. P.; STEIN, L. M. Segurança da Informação: uma reflexão sobre o componente
humano. Ciências & Cognição, v.10, p.46-53, mar. 2007.
SILVA NETTO, A. S.; SILVEIRA, M. A. P. Gestão da Segurança da Informação: Fatores
que Influenciam sua Adoção em Pequenas e Médias Empresas. JISTEM, v.4, n.3, p.375-397.
2007.