Antonio Jose Segovia Mais e mais hospitais estão interessados em proteger as informações de seus pacientes, mas eles não veem a ISO 27001 como sendo específica o bastante. Embora ela cubra muitos aspectos gerais sobre segurança da informação, você pode integrá-la com outras normas para cobrir aspectos específicos – por exemplo, a ISO 27799 para a proteção de informações pessoais de saúde. Esta integração é similar a da ISO 27001 com a ISO 27002.
O básico da ISO 27799
O principal objetivo da ISO 27799 é prover controles de segurança para proteger informações pessoais de saúde. Ela na verdade usa os controles da ISO 27002, adaptados para o ambiente de saúde. Mas, você também precisará da ISO 27001. Deixe-me explicar isso a seguir. (Veja também: ISO 27001 vs ISO 27002.)
Mais uma coisa deveria ser esclarecida – a última versão da norma ISO 27799 não está alinhada com as versões atuais da ISO 27001:2013 e ISO 27002:2013, porque a ISO 27799 (última versão de 2008) explicitamente de refere a ISO 27002:2005, mas um mapeamento pode ser feito, porque existem poucas mudanças entre a ISO 27002:2005 e a ISO 27002:2013. Este artigo pode ajudá-lo: Principais mudanças na nova ISO 27002.
A propósito, nos EUA existe o HIPAA (Health Insurance Portability and Accountability Act), que regula o uso e a divulgação de informações de saúde protegidas. Esta regulamentação tem muitos pontos em comum com a ISO 27799, assim você pode usar esta norma para estar em conformidade com a HIPAA, mas você precisa atender requisitos mais específicos para estar em conformidade com o HIPAA (por exemplo, regras especificamente relacionadas a privacidade). E, vice-versa: se você implementou o HIPAA você precisa atender alguns requisitos a mais para estar em conformidade com a ISO 27799 (por exemplo, gestão de incidentes de segurança da informação).
Principais similaridades e diferenças
A principal similaridade entre ambas as normas é que elas falam sobre um SGSI e controles de segurança, mas a principal diferença é que a ISO 27799 não define requisitos para o SGSI (é a ISO 27001 que define requisitos para a avaliação & tratamento de riscos, SoA, etc.). A ISO 27799 é apenas um código de melhores práticas – como a ISO 27002 – é focada principalmente em controles de segurança. A propósito, na ISO 27001 os controles de segurança estão incluídos no Anexo, enquanto que na ISO 27799 os controles de segurança são uma parte fundamental da norma.
Assim, em um ambiente de saúde você pode implementar um Sistema de Gestão de Segurança da Informação (baseado na ISO 27001), e implementar os controles de segurança da ISO 27799 (os quais, como você acabou de saber, são na realidade os controles da ISO 27002, mas adaptados para o ambiente de saúde).
Por que implementar a ISO 27001 em conjunto com a ISO 27799?
Hospitais, assim como qualquer outro tipo de organização, também tem uma infraestrutura tecnológica, sistemas de informação e aplicações que podem estar vulneráveis, e elas gerenciam informações de saúde pessoais, assim também existem riscos que precisam ser gerenciados.
A ISO 27001 é uma norma que estabelece requisitos para um Sistema de Gestão de Segurança da Informação, e pode ser integrada com outras normas tais como a ISO 27002 para implementar controles de segurança, mas em um ambiente de saúde a ISO 27799 provê controles de segurança específicos, assim neste caso a integração da ISO 27001 e ISO 27799 faz sentido.
Ameaças
A ISO 27001 e a ISO 27002 não são especificamente desenvolvidas para um ambiente de saúde (ou qualquer outro ambiente), mas na ISO 27799 temos uma lista de ameaças específicas para este setor, que podem ser encentradas no Anexo A. Elas estão listadas abaixo:
- Pessoal interno se passando por outra pessoa
- Pessoas se passando por provedores de serviço
- Pessoal externo se passando por outra pessoa
- Uso não autorizado de uma aplicação de informação e saúde
- Introdução de software danoso ou de interrupção
- Mau uso de recursos de sistemas
- Infiltração de comunicações
- Interceptação de comunicações
- Repúdio
- Falha de conexão
- Incorporação de código malicioso
- Erro acidental de roteamento
- Falha técnica de hospedagem, instalações de armazenamento ou de infraestrutura de rede
- Falha de suporte ambiental
- Falha de sistema ou de software de rede
- Falha de aplicação de software
- Erro de operador
- Erro de manutenção
- Erro de usuário
- Falta de pessoal
- Furto por pessoal interno
- Furto por pessoal externo
- Dano intencional por pessoal interno
- Dano intencional por pessoal externo
- Terrorismo
As consequências da materialização destas ameaças podem ser desastrosas, não apenas para a imagem do hospital, mas também para a saúde do paciente. Podemos imaginar o que aconteceria em um hospital onde tudo depende de sistemas de informação (geração e armazenamento de radiografias, sistemas de saúde conectados me rede, etc.), e se eles pararem de funcionar devido a falhas técnicas, ou não funcionarem apropriadamente. Imagine um paciente que sofreu um sério acidente e necessita urgentemente de um raio x, mas o Sistema não funciona devido a uma falha relacionada a software malicioso.
Proteger as pessoas e suas informações pessoais de saúde é compatível
Hospitais se preocupam com a saúde dos pacientes porque sua principal missão é curar doenças e condições médicas, mas também deveriam estar preocupados com informações pessoais de saúde, uma vez que vimos neste artigo que existem muitas ameaças, que caso se realizem, poderiam trazer danos a imagem do hospital, ou nos piores casos, até mesmo danos irreparáveis para a saúde de seus pacientes.
Assim, o setor de saúde deveria estar feliz, porque ele pode usar uma norma internacional como prestígio da ISO 27001 para implementar os controles de segurança da ISO 27799, de forma a proteger informações pessoais de saúde. Obviamente, a saúde das pessoas e as informações relacionadas a saúde delas são muito importantes.
Caso você queira aprender mais sobre a ISO 27001 e seus requisitos, use nossos cursos online gratuitos ISO 27001 Online Courses.
Nós agradecemos a Rhand Leal pela tradução para o português.
