Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como a ISO 27001 e a ISO 27799 se complementam em organizações de saúde

    Mais e mais hospitais estão interessados em proteger as informações de seus pacientes, mas eles não veem a ISO 27001 como sendo específica o bastante. Embora ela cubra muitos aspectos gerais sobre segurança da informação, você pode integrá-la com outras normas para cobrir aspectos específicos – por exemplo, a ISO 27799 para a proteção de informações pessoais de saúde. Esta integração é similar a da ISO 27001 com a ISO 27002.

    O básico da ISO 27799

    O principal objetivo da ISO 27799 é prover controles de segurança para proteger informações pessoais de saúde. Ela na verdade usa os controles da ISO 27002, adaptados para o ambiente de saúde. Mas, você também precisará da ISO 27001. Deixe-me explicar isso a seguir. (Veja também: ISO 27001 vs ISO 27002.)

    Mais uma coisa deveria ser esclarecida – a última versão da norma ISO 27799 não está alinhada com as versões atuais da ISO 27001:2013 e ISO 27002:2013, porque a ISO 27799 (última versão de 2008) explicitamente de refere a ISO 27002:2005, mas um mapeamento pode ser feito, porque existem poucas mudanças entre a ISO 27002:2005 e a ISO 27002:2013. Este artigo pode ajudá-lo: Principais mudanças na nova ISO 27002.

    A propósito, nos EUA existe o HIPAA (Health Insurance Portability and Accountability Act), que regula o uso e a divulgação de informações de saúde protegidas. Esta regulamentação tem muitos pontos em comum com a ISO 27799, assim você pode usar esta norma para estar em conformidade com a HIPAA, mas você precisa atender requisitos mais específicos para estar em conformidade com o HIPAA (por exemplo, regras especificamente relacionadas a privacidade). E, vice-versa: se você implementou o HIPAA você precisa atender alguns requisitos a mais para estar em conformidade com a ISO 27799 (por exemplo, gestão de incidentes de segurança da informação).

    Principais similaridades e diferenças

    A principal similaridade entre ambas as normas é que elas falam sobre um SGSI e controles de segurança, mas a principal diferença é que a ISO 27799 não define requisitos para o SGSI (é a ISO 27001 que define requisitos para a avaliação & tratamento de riscos, SoA, etc.). A ISO 27799 é apenas um código de melhores práticas – como a ISO 27002 – é focada principalmente em controles de segurança. A propósito, na ISO 27001 os controles de segurança estão incluídos no Anexo, enquanto que na ISO 27799 os controles de segurança são uma parte fundamental da norma.

    Assim, em um ambiente de saúde você pode implementar um Sistema de Gestão de Segurança da Informação (baseado na ISO 27001), e implementar os controles de segurança da ISO 27799 (os quais, como você acabou de saber, são na realidade os controles da ISO 27002, mas adaptados para o ambiente de saúde).

    Por que implementar a ISO 27001 em conjunto com a ISO 27799?

    Hospitais, assim como qualquer outro tipo de organização, também tem uma infraestrutura tecnológica, sistemas de informação e aplicações que podem estar vulneráveis, e elas gerenciam informações de saúde pessoais, assim também existem riscos que precisam ser gerenciados.

    A ISO 27001 é uma norma que estabelece requisitos para um Sistema de Gestão de Segurança da Informação, e pode ser integrada com outras normas tais como a ISO 27002 para implementar controles de segurança, mas em um ambiente de saúde a ISO 27799 provê controles de segurança específicos, assim neste caso a integração da ISO 27001 e ISO 27799 faz sentido.

    Ameaças

    A ISO 27001 e a ISO 27002 não são especificamente desenvolvidas para um ambiente de saúde (ou qualquer outro ambiente), mas na ISO 27799 temos uma lista de ameaças específicas para este setor, que podem ser encentradas no Anexo A. Elas estão listadas abaixo:

    1. Pessoal interno se passando por outra pessoa
    2. Pessoas se passando por provedores de serviço
    3. Pessoal externo se passando por outra pessoa
    4. Uso não autorizado de uma aplicação de informação e saúde
    5. Introdução de software danoso ou de interrupção
    6. Mau uso de recursos de sistemas
    7. Infiltração de comunicações
    8. Interceptação de comunicações
    9. Repúdio
    10. Falha de conexão
    11. Incorporação de código malicioso
    12. Erro acidental de roteamento
    13. Falha técnica de hospedagem, instalações de armazenamento ou de infraestrutura de rede
    14. Falha de suporte ambiental
    15. Falha de sistema ou de software de rede
    16. Falha de aplicação de software
    17. Erro de operador
    18. Erro de manutenção
    19. Erro de usuário
    20. Falta de pessoal
    21. Furto por pessoal interno
    22. Furto por pessoal externo
    23. Dano intencional por pessoal interno
    24. Dano intencional por pessoal externo
    25. Terrorismo

    As consequências da materialização destas ameaças podem ser desastrosas, não apenas para a imagem do hospital, mas também para a saúde do paciente. Podemos imaginar o que aconteceria em um hospital onde tudo depende de sistemas de informação (geração e armazenamento de radiografias, sistemas de saúde conectados me rede, etc.), e se eles pararem de funcionar devido a falhas técnicas, ou não funcionarem apropriadamente. Imagine um paciente que sofreu um sério acidente e necessita urgentemente de um raio x, mas o Sistema não funciona devido a uma falha relacionada a software malicioso.

    Proteger as pessoas e suas informações pessoais de saúde é compatível

    Hospitais se preocupam com a saúde dos pacientes porque sua principal missão é curar doenças e condições médicas, mas também deveriam estar preocupados com informações pessoais de saúde, uma vez que vimos neste artigo que existem muitas ameaças, que caso se realizem, poderiam trazer danos a imagem do hospital, ou nos piores casos, até mesmo danos irreparáveis para a saúde de seus pacientes.

    Assim, o setor de saúde deveria estar feliz, porque ele pode usar uma norma internacional como prestígio da ISO 27001 para implementar os controles de segurança da ISO 27799, de forma a proteger informações pessoais de saúde. Obviamente, a saúde das pessoas e as informações relacionadas a saúde delas são muito importantes.

    Caso você queira aprender mais sobre a ISO 27001 e seus requisitos, use nossos cursos online gratuitos  ISO 27001 Online Courses.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Antonio Jose Segovia
    Autor
    Antonio Jose Segovia
    Antonio Jose Segovia é um Engenheiro de IT, um Engenheiro Técnico am Sistemas de Computação, e possui várias certificações profissionais no setor de tecnologia (algumas delas são Fortigate, Allot, and Infoblox). Ele também é Auditor Líder qualificado pelo BUREAU VERITAS em ISO 27001, ISO 20000, ISO 22301, ISO 27018, e UNE 71506, bem como um especialista em segurança da informação, hacker ético e professor universitário em um programa de mestrado online em segurança da informação. Anteriormente, ele também foi Auditor Chefe qualificado pela AENOR e AENOR INTERNACIONAL em ISO 27001. Com mais de 10 anos de experiência no setor de TIC, ele visitou companhias de todos os tipos na Espanha, Portugla, Itália, Reino Unido, Chile, Peru e Costa Rica.
    Tag: #ISO 27001