Gestão da Segurança Organizacional numa Unidade
Operacional de Saúde
José Edgar Cardoso de Sá Pacheco
Dissertação de Mestrado
Orientador na FEUP: Prof. António Carvalho Brito
Orientador na Santa Casa da Misericórdia do Porto: Eng. Pedro Sousa
Mestrado Integrado em Engenharia Industrial e Gestão
“Paradise is now shut and locked, barred by angels, so now we must go forward, around the world and see if somehow, somewhere, there is a back way in.”
Resumo
O mundo é um lugar complexo de incerteza que muda a um ritmo cada vez mais acelerado. A cada ano que passa, o passado serve, cada vez menos, de guia para o futuro. Todas as organizações estão em risco e todo o mundo é um alvo, assistindo-se a uma crescente evolução de ameaças e riscos. E se existe alguma certeza no mundo, é que, aliado a este crescimento de ameaças está a permanente impossibilidade de conceber um sistema perfeito e inviolável de Segurança.
A evolução que se constata nas organizações tem vindo, assim, a instituir funções distintas tais como a Gestão do Risco, a Segurança e o Compliance. A Segurança mostrou, nos últimos anos, uma evolução acentuada e um reconhecimento da sua verdadeira importância para a sobrevivência de qualquer organização, visando a criação de uma base de proteção e confiança assente na integridade e preservação dos seus ativos e no cuidado com os interesses dos vários colaboradores, clientes e fornecedores. Deste modo, a Segurança é, hoje em dia, vista como um requisito crucial na competitividade e sustentabilidade de qualquer organização.
A presente dissertação, realizada na Santa Casa da Misericórdia do Porto, tem como foco o desenvolvimento de todas as iniciativas com contribuição para a implementação do Projeto de Gestão da Segurança Organizacional, que interage com os Programas de Risco e Compliance. Este projeto piloto insere-se, portanto no plano de implementação e monitorização dos Programas da Segurança, Risco e Compliance, que impulsionam os respetivos sistemas de gestão. A participação neste projeto segue uma visão holística diferenciadora, compreendendo a Segurança Organizacional como uma união de cinco áreas/valências distintas: Segurança da Informação, Segurança Física, Segurança Lógica, Segurança das Pessoas e Cibersegurança. Assim sendo, foi realizada uma revisão de literatura na temática da Segurança, procurando obter fundamentação científica de modo a perceber como é que o projeto poderia constituir avanços na área em questão. O projeto envolve o desenvolvimento de várias ferramentas e metodologias na ótica da Gestão da Segurança Organizacional, procurando ir de encontro ao paradigma atual do Risco e da Segurança nas organizações e sociedades.
O presente documento faz ainda referência a um primeiro exercício de aplicação com área de atuação no Centro Hospitalar Conde de Ferreira. Com vista à compreensão da realidade deste estabelecimento, bem como à análise e modelação de processos e procedimentos e à identificação de riscos, foram efetuadas várias entrevistas individuais, focus groups e visitas guiadas às instalações e serviços.
O projeto pretende alertar os colaboradores não só para a proteção dos ativos, mas principalmente para a necessidade de aumentar a resiliência e maturidade da organização, estabelecendo um meio simples, eficiente e eficaz de melhorar a comunicação sobre a Gestão da Segurança e esclarecendo os papéis e deveres essenciais dentro da instituição. Deste modo, visa promover a evolução das capacidades de avaliação, inspeção, deteção e reflexo, apoiando-se num conjunto de normas, políticas e procedimentos, esperando-apoiando-se, como resultado, uma evolução visível e um fortalecimento da organização, aliado a uma maior abertura à mudança e à inovação.
Com a abordagem inovadora adotada para o desenvolvimento de todas as metodologias, templates e frameworks e apoiada numa visão holística e abrangente da Gestão da Segurança Organizacional, acredita-se ter desenvolvido uma ferramenta sólida de suporte a ser disponibilizada à gestão de topo da organização, bem como ferramentas com grande aplicabilidade no futuro global da Segurança.
Organizational Security Management in a Health Operational Unit
Abstract
The world is a complex place of uncertainty that changes at an ever-accelerating pace. With each passing year, the past is less and less a guide to the future. All organizations are at risk and the entire world is a target, witnessing a growing evolution of threats and risks. And if there is any certainty in the world, it is that, coupled with this growth of threats, is the permanent impossibility of conceiving a perfect and inviolable system of Security.
The evolution observed in the organizations has created distinct functions such as Risk Management, Security and Compliance. In recent years, Security has shown a marked evolution and recognition of its true importance for the survival of any organization, aiming at creating a base of protection and trust based on the integrity and preservation of its assets and in the care of the interests of the various employees, customers and suppliers. In this way, Security is nowadays seen as a crucial requirement in the competitiveness and sustainability of any organization.
The present dissertation, held at Santa Casa da Misericórdia do Porto, focuses on the development of all initiatives contributing to the implementation of the Organizational Security Management Project, which interacts with the Risk and Compliance Programs. This pilot project is therefore part of the implementation and monitoring plan of the Security, Risk and Compliance Programs, which drive the respective management systems. The participation in this project follows a holistic, differentiating view, comprising Organizational Security as a union of five distinct areas: Physical Security, Logical Security, Information Security, Human Resource Security and Cybersecurity.
Therefore, a literature review was carried out about Security, seeking to obtain scientific basis in order to understand how the project could constitute advances in this area. The project involves the development of several tools and methodologies in the perspective of Organizational Security Management, seeking to meet the current paradigm of Risk and Security in organizations and societies.
This document also presents a first exercise of application in Centro Hospitalar Conde de Ferreira. In order to understand the reality of this establishment, as well as the analysis and modeling of processes and procedures and the identification of risks, several individual interviews, focus groups and guided visits to the facilities and services were made.
The project aims to alert employees not only to asset protection, but primarily to the need to increase the organization’s resilience and maturity, by establishing a simple, efficient and effective way of improving communication about Security Management and clarifying the roles and duties within the organization. In this way, it aims to promote the evolution of evaluation, inspection, detection and reflection capacities, based on a set of norms, policies and procedures. As a result, it is expected that there will be a visible evolution and strengthening of the organization, together with a greater openness to change and innovation.
With the innovative approach adopted for the development of all methodologies, templates and frameworks and supported by a holistic and comprehensive view of Organizational Security Management, it is believed to have developed a solid support tool to be made available to the top management of the organization as well as tools with great applicability in the global future of Security.
Agradecimentos
A concretização da presente dissertação envolveu o apoio de diversas Pessoas. A todas elas, e de um modo generalizado, queria expressar a minha mais sincera gratidão. No entanto, pela contribuição especial que tiveram para a realização deste meu trabalho, gostaria de agradecer particularmente a algumas Pessoas:
Aos meus pais e às minhas irmãs (e melhores amigas), a quem dedico este trabalho. Pai, Mãe, Maria, Catarina, tudo aquilo que sou, devo-vos por completo! Obrigado por me fazerem sentir uma enorme felicidade por tudo o que construí e uma vontade exacerbada de viver!
A todos os meus grandes amigos e familiares, por todo o apoio e ajuda neste árduo processo. Ao meu orientador, Eng. Pedro Sousa, por toda a dedicação que mostrou, desde o início, para com o projeto e para com a minha integração na instituição. Agradeço sinceramente a total abertura e sinceridade que mostrou ao longo deste “caminho”, bem como a força e motivação que me deu em vários momentos críticos.
Ao Professor António Carvalho Brito, orientador na FEUP, que sempre se mostrou acessível, conhecedor e disponível, e que me guiou ao longo do desenvolvimento do trabalho com a sua vasta experiência, acompanhada de uma enorme humildade e integridade.
A todos os restantes colaboradores do Departamento de Auditoria Interna da Santa Casa da Misericórdia do Porto, pela forma afetuosa e amigável como me receberam. Obrigado Dr. Jorge, Rita, Pedro e Sandra!
Finalmente, à Santa Casa da Misericórdia do Porto pela oportunidade concedida e por me ter dado o privilégio de conhecer tantas Pessoas extraordinárias.
Índice de Conteúdos
1 Introdução ... 1
1.1 Apresentação da Santa Casa da Misericórdia do Porto ... 1
1.2 O Projeto de Gestão da Segurança Organizacional ... 3
1.2.1 Descrição Geral ... 4
1.2.2 Motivação e Objetivos... 4
1.2.3 Metodologia ... 5
1.3 Estrutura da Dissertação ... 5
2 O Estado da Arte da Gestão da Segurança Organizacional ... 6
2.1 Áreas de Foco da Segurança ... 9
2.1.1 Segurança Física ... 9
2.1.2 Segurança Lógica ... 11
2.1.3 Segurança das Pessoas ... 11
2.1.4 Segurança da Informação ... 13
2.1.5 Cibersegurança ... 16
2.2 Sistema de Gestão de Segurança ... 17
2.3 Enterprise Security Risk Management ... 22
2.4 Gestão da Segurança numa Unidade de Saúde ... 26
3 Relevância do Projeto e Definição da Abordagem Metodológica ... 28
3.1 Relevância do Projeto para a Santa Casa da Misericórdia do Porto ... 28
3.2 Interesse Específico da Implementação do Projeto no Centro Hospitalar Conde de Ferreira ... 30
3.3 Apresentação da Abordagem Metodológica ... 31
4 Proposta do Modelo de Implementação para o Projeto de Gestão da Segurança Organizacional . 33 4.1 Estabelecimento do Contexto ... 36
4.1.1 Ferramentas do Contexto Externo ... 37
4.1.2 Ferramentas do Contexto Interno ... 37
4.2 Identificação ... 38
4.2.1 Identificação e Classificação de Ativos ... 39
4.2.2 Identificação e Classificação de Riscos de Segurança ... 39
4.3 Análise e Avaliação ... 40
4.3.1 Modelo de Mensuração de Ativos ... 40
4.3.2 Quantificação do Nível de Risco de Segurança ... 43
4.4 Teste ... 44
4.5 Monitorização ... 46
4.6 Modelo de Sistema de Gestão da Segurança Organizacional ... 47
5 Implementação do Modelo no Centro Hospitalar Conde de Ferreira ... 49
6 Conclusões e Perspetivas de Trabalho Futuro ... 55
Referências ... 57
ANEXO A: Evolução Cronológica da SCMP ... 63
ANEXO B: Organograma da SCMP ... 64
ANEXO C: Value Proposition Canvas da Aplicação do Projeto no CHCF ... 65
ANEXO D: Ferramenta de Obtenção do Nível de Maturidade em Segurança ... 66
ANEXO E: Questionário da Segurança Organizacional ... 67
ANEXO F: Perspetiva Aplicada para Classificação de Ativos ... 78
ANEXO G: Templates do Modelo de Mensuração de Ativos ... 80
ANEXO H: Framework do Modelo de Obtenção do Nível de Risco de Segurança ... 86
ANEXO I: Base de Dados de Requisitos de Controlo... 87
ANEXO J: Análise SWOT ... 97
ANEXO L: Cronograma de Entrevistas, Focus Groups e Visitas Guiadas no CHCF ... 102 ANEXO M: Guião Exemplo de Entrevista Inicial com Serviços Core ... 103 ANEXO N: Processos e Atividades envolvidos no CHCF ... 104
Siglas e Acrónimos
AESRM – Alliance for Enterprise Security Risk Management ASE –Alojamento Social de Emergência
CAS – Conselho de Administração da Saúde
CE-CHCF – Conselho Executivo do Centro Hospitalar Conde de Ferreira CHCF – Centro Hospitalar Conde de Ferreira
CHP – Centro Hospitalar do Porto (Hospital S. António)
COBIT – Control Objectives for Information and related Technology
COSO – Committee of Sponsoring Organizations of the Treadway Commission DAI – Departamento de Auditoria Interna
DGAP – Departamento de Gestão Administrativa e Património DMAIC – Define, Measure, Analyse, Improve, Control
EMR – Electronic Medical Record
e-PHI – Electronic Protected Health Information ERM – Enterprise Risk Management
ESRM – Enterprise Security Risk Management
HIPAA – Health Insurance Portability and Accountability Act IDT – Instituto da Droga e da Toxicodependência
IEC – The International Electrotechnical Comission IPSS – Instituição Particular de Solidariedade Social ISO – The International Organization for Standardization ISRM – Information Security Risk Management
ITIL – Information Technology Infrastructure Library NIST – National Institute of Standards and Techology PALOP – Países Africanos de Língua Oficial Portuguesa PDCA – Plan, Do, Check, Act
PESTEL – Political, Economic, Social, Technological, Environmental, Legal PHI – Protected Health Information
PSR – Probabilidade, Severidade, Relevância RBAC – Role-Based Access Control
SAND – Serviço de Alimentação, Nutrição e Dietética SCMP – Santa Casa da Misericórdia do Porto
SGSI – Sistema de Gestão de Segurança de Informação
SICAD – Serviço de Intervenção nos Comportamentos Aditivos e nas Dependências SNC – Sistema de Normalização Contabilística
SOX – Sarbanes – Oxley
SPeC – Serviços Partilhados e Corporativos SRC – Segurança, Risco e Compliance
STOPE – Strategy, Technology, Organization, People, Environment SWOT – Strengths, Weaknesses, Opportunities, Threats
TI – Tecnologias da Informação
TIC – Tecnologias da Informação e Comunicação UOS – Unidade Operacional de Saúde
Índice de Figuras
Figura 1 – Missão, Visão e Valores da SCMP ... 2
Figura 2 – O Modelo “As Três Linhas de Defesa” (Fonte: IIA, 2013) ... 7
Figura 3 – Elementos Básicos da Informação (Fonte: Gomes, 2010) ... 13
Figura 4 – Mudança de Abordagem da Segurança (Fonte: Promon Business & Technology Review, 2005) ... 19
Figura 5 – Abordagem da Gestão do Risco (Trade-off na Segurança) (Fonte: Wake, 2012f) ... 22
Figura 6 – Modelo Relacional da Metodologia de Análise do Risco (Fonte: Armaghan et al, 2012) ... 24
Figura 7 – Princípio Orientador do Risco e Determinação de Controlos (Fonte: Wake, 2012f) ... 24
Figura 8 – Framework para Information Security Risk Management (Fonte: Saleh e Alfantookh, 2011) ... 25
Figura 9 – Visão Holística de Cinco Áreas de Foco da Segurança Organizacional ... 28
Figura 10 – A Evolução do Percurso da ESRM (Fonte: Talbot e Jakeman, 2009) ... 29
Figura 11 – Estudo Comparativo das Tendências de Pesquisa das Áreas de Foco da Segurança ... 29
Figura 12 – Framework da Segurança Organizacional para o Projeto SRC ... 31
Figura 13 – Ciclo Dinâmico para o Projeto SRC ... 31
Figura 14 – Lógica Estrutural do Capítulo 4 ... 32
Figura 15 – Resiliência Organizacional: Ativos, Funções e Capacidades (Fonte: Talbot e Jakeman, 2009) ... 32
Figura 16 – Fases do Ciclo de Vida da ESRM (Fonte: Allen e Loyear, 2016) ... 33
Figura 17 – Framework Integrada desenvolvida para a Gestão da Segurança Organizacional ... 34
Figura 18 – Componentes da Gestão da Segurança Organizacional ... 34
Figura 19 – Percurso da Gestão da Segurança Organizacional ... 35
Figura 20 – Relação entre o Cubo desenvolvido para a ESRM e o Ciclo Dinâmico do Projeto SRC ... 35
Figura 21 – Vertentes de Análise do Estabelecimento do Contexto ... 36
Figura 22 – Metodologia de Análise desenvolvida para o Estabelecimento do Contexto ... 36
Figura 23 – Abordagem do Contexto Externo ... 37
Figura 24 – Abordagem do Contexto Interno ... 37
Figura 25 – Modelo de Avaliação da Maturidade na Segurança... 38
Figura 26 – Modelo de Classificação de Ativos ... 39
Figura 27 – Template de Classificação de Riscos de Segurança ... 39
Figura 28 – Categorias de Classificação de Ameaças ... 40
Figura 29 – Raciocínio Lógico do Modelo de Mensuração de Ativos ... 41
Figura 30 – Variáveis do Modelo de Mensuração de Ativos ... 42
Figura 31 – Modelo de Obtenção do Nível de Risco de Segurança ... 43
Figura 32 – Framework do Modelo de Obtenção do Nível de Risco de Segurança... 44
Figura 33 – Métodos de Tratamento dos Riscos de Segurança ... 44
Figura 34 – Identificação dos Requisitos de Segurança na Gestão da Segurança Organizacional ... 45
Figura 35 – Distribuição dos Requisitos de Controlo com base nos seus Objetivos Específicos ... 45
Figura 36 – Categorias de Classificação das Medidas de Segurança ... 46
Figura 37 – Integração da Resposta ao Risco de Segurança ... 46
Figura 38 – Modelo de Compliance com os Requisitos de Controlo... 47
Figura 40 – Fases de Aplicação do Projeto SRC no CHCF ... 49
Figura 41 – Evolução Histórica do CHCF ... 50
Figura 42 – Missão, Visão e Valores do CHCF ... 50
Figura 43 – Valores do CHCF e Pirâmide de Maslow ... 51
Figura 44 – Organograma do CHCF ... 51
Figura 45 – Áreas de Atuação dos Serviços de Prestação de Cuidados ... 52
Figura 46 – Processos e Atividades envolvidas nos Serviços do CHCF ... 53
Figura 47 – Red Flags de Acessos e Sinalização no CHCF ... 53
Figura 48 – Descrição detalhada de cada Red Flag ... 54
Índice de Tabelas
1 Introdução
A presente dissertação em ambiente empresarial surge aliada à participação no Projeto de Gestão da Segurança Organizacional, integrado no Departamento de Auditoria Interna (DAI) da Santa Casa da Misericórdia do Porto (SCMP). Este projeto insere-se no plano de implementação e monitorização dos Programas da Segurança, Risco e Compliance (SRC), que impulsionam os respetivos sistemas de gestão. O foco desta dissertação é o desenvolvimento de todas as iniciativas com contribuição para a implementação do Programa de Gestão da Segurança Organizacional, contando com um primeiro exercício de aplicação do projeto no Centro Hospitalar Conde de Ferreira (CHCF).
1.1 Apresentação da Santa Casa da Misericórdia do Porto
A Santa Casa da Misericórdia do Porto foi fundada a 14 de março de 1499 na cidade do Porto e integrada no Movimento Secular das Santas Casas da Misericórdia. Frequentemente apelidada de Irmandade de Nossa Senhora da Misericórdia do Porto ou, simplesmente, de Misericórdia do Porto, é não só uma das mais antigas Misericórdias, como também uma das mais relevantes, prestigiadas e influentes. Esta posição de relevo deve-se ao elevado número de estabelecimentos e avultado património, à abundância de utentes e às suas origens históricas de valor meritório e honrado. A SCMP procura também, desde o seu surgimento, estar na vanguarda no que respeita às respostas a problemas sociais.
Esta instituição nasce, em toda a sua essência e significado, com D. Manuel I, a partir de uma carta dirigida aos “homens bons e governantes do burgo portuense”, expressando a demonstração do espírito cristão e solidariedade social que reinava na corte portuguesa. Este sopro de espiritualidade surge como fruto da intensa fé e misticismo da Rainha D. Leonor, viúva de D. João II, impulsionadora da criação das Misericórdias Portuguesas. O primeiro incentivo partiu da carta régia de 15 de maio de 1521, na qual D. Manuel I exigiu a anexação de um conjunto de hospitais previamente comandados e geridos pelo município. Ao longo da história, além de D. Manuel I e D. Leonor, muitos foram os benfeitores que legaram os seus bens à instituição. No Anexo A é possível observar-se um esquema síntese da evolução cronológica da Santa Casa da Misericórdia do Porto ao longo dos cinco séculos de funcionamento. Em toda a sua história, a Misericórdia do Porto procurou sempre seguir a sua carta de missão e executar o cumprimento das catorze Obras de Misericórdia (corporais e espirituais) à luz da moderna doutrina social da Igreja.
No contexto assistencial, a SCMP é enquadrada como Instituição Particular de Solidariedade Social (IPSS), pelo Decreto-Lei nº 119/83 de 25 de fevereiro, com posteriores alterações dos Decretos-Lei nº 9/85 de 9 de janeiro, nº 89/85 de 1 de abril, nº 402/85 de 11 de outubro, 29/86 de 19 de fevereiro e, mais recentemente, pelo Decreto-Lei nº 172-A/2014 de 14 de novembro e pela Lei nº 76/2015 de 28 de julho. Oferece, assim, apoio à terceira idade, saúde, deficiência, pobreza, exclusão social, habitação, cultura, ensino, formação profissional e lazer. Deste modo, apresenta-se como sendo uma instituição de caridade e assistência social, de utilidade pública e fins filantrópicos.
Constituída na Ordem Jurídica Canónica, a SCMP é, na sua vertente religiosa, uma associação de fiéis que tem como propósito a satisfação das carências sociais e a prática de atos de culto católico, conforme os princípios da doutrina e moral cristã. A Irmandade de Nossa Senhora da Misericórdia é assim composta por todos os seus Irmãos (associados) e os seus estatutos (designados de Compromisso) definem as regras de funcionamento, competências e enquadramento orgânico na organização. A Figura 1 evidencia de forma clara a missão, a visão e os valores da SCMP.
Relativamente à sua estrutura organizacional, a SCMP possui três entidades principais: os Órgãos Sociais / Corpos Gerentes, os Serviços Partilhados e Corporativos (SPeC) e as Unidades Operacionais. Para além das três entidades, a SCMP conta também com: o Gabinete Religioso e de Culto, o Gabinete do Provedor, a Comissão Executiva, o Conselho de Administração da Saúde e a Comissão de Auditoria.
Os Órgãos Sociais / Corpos Gerentes da SCMP englobam a Assembleia Geral, a Mesa Administrativa e o Definitório. A Assembleia-Geral reúne todos os Irmãos que estejam no gozo dos seus direitos, constituindo o espaço onde os Irmãos podem expressar a sua opinião e tomar decisões com base num sistema de votação. A Mesa Administrativa pode criar uma Comissão Executiva, a quem cabe o processo de gestão corrente da instituição e a tomada de decisões relativamente ao seu funcionamento. Pode ainda dotar de autonomia financeira e administrativa os vários estabelecimentos que, de acordo com a sua dimensão económica e histórica, o justifiquem. O Definitório é um órgão fiscalizador que zela pelo cumprimento da lei em vigor e que é responsável pela eleição, de entre os seus membros, do Presidente, Vice-Presidente e Secretários constituintes da Assembleia-Geral.
Os SPeC, também designados de departamentos centrais, repartem-se nas dimensões de suporte, gestão, apoio à gestão e fiscalização. O conjunto de funções, atividades e dimensões necessárias ao bom funcionamento da Santa Casa são, assim, repartidas pelos vários serviços partilhados e corporativos, consoante as especificidades e características de cada departamento. As Unidades Operacionais representam as várias dimensões cobertas pela atividade da SCMP: saúde; educação; justiça; cultura; ensino especial; desenvolvimento agrícola, bem-estar e ambiente; e social, mulher e juventude. Efetivamente, dado que a Misericórdia do Porto deseja oferecer aos seus Irmãos soluções integradas na prestação de serviços humanizados e preservar e difundir o seu património cultural, material e imaterial, a sua atuação exige uma cobertura de áreas e domínios distintos e idiossincraticamente atendidos.
Figura 1 – Missão, Visão e Valores da SCMP
“Oferecer aos seus clientes, beneficiários e Irmãos, soluções integradas e inovadoras na prestação de serviços humanizados, pautados pela excelência e por elevados níveis de qualidade e ética profissional, assegurando a melhoria das condições e da qualidade de vida da comunidade em geral, e em particular dos mais desfavorecidos. Preservar e difundir o seu património cultural, material e imaterial, promovendo iniciativas e parcerias de apoio à economia social.”
Missão
Visão
“Ser a Instituição Portuguesa de referência na oferta de respostas e soluções integradas na área da solidariedade social.” Valores Respeito pelo Outro e Tolerância Ambiente Espírito de Equipa e Cooperação Honestidade e Integridade Sustentabilidade Responsabilidade e Profissionalismo Responsabilidade Social Talento e Inovação
A existência de um conjunto de diferentes áreas operacionais permite atender verdadeiramente, e de forma ampla e completa, a um maior leque de necessidades das pessoas. Abrangendo desde a área da Saúde à área da Cultura, é possível, não só oferecer cuidados básicos, como também formar, moldar e enriquecer os “clientes” enquanto pessoas e seres humanos (todas as dimensões que completam a formação de uma pessoa). A ideia de Irmandade traz consigo um sentimento de pertença, integração e parte de um todo, o que vai de encontro às necessidades sociais, de segurança e de estima do ser humano. Estes factos tornam a SCMP uma das instituições mais robustas e verdadeiras no contributo para com os mais carenciados. Também no contexto profissional e de motivação no trabalho, a SCMP procura atender às necessidades dos seus trabalhadores, promovendo o bem-estar coletivo, no local de trabalho. No Anexo B, é apresentado o organograma da SCMP, evidenciando, de forma esclarecedora, os vários Serviços Partilhados e Corporativos e as Unidades Operacionais integradas na organização. Relativamente ao património imobiliário da SCMP, este pode dividir-se em três grandes grupos, consoante a função ou propósito de cada imóvel: Imóveis para Funcionamento, Imóveis de Rendimento e Habitação Social. A SCMP candidatou vários imóveis ao Programa de Reabilitação Urbana para Arrendamento Habitacional “Reabilitar para Arrendar” e estabeleceu, ainda, um compromisso para com o Governo em como procurará identificar, defender e proteger outras Misericórdias e IPSS detentoras de património na cidade e Área Metropolitana do Porto, promovendo junto destas a divulgação do programa. Atualmente, atendendo ao valor histórico e artístico, alguns dos edifícios pertencentes à Misericórdia do Porto estão classificados como “Monumento Nacional” ou “Imóvel de Interesse Público”.
No que diz respeito à internacionalização, esta assume um papel de extrema relevância na linha de atuação da Santa Casa da Misericórdia do Porto, pelo que foi iniciado um conjunto de ações tendo em vista uma abordagem inicial à internacionalização de algumas das suas áreas. A Misericórdia do Porto organiza atualmente diversos debates e conferências internacionais e estabelece parcerias e protocolos na procura de novos mercados e expansão internacional. Desenvolveu já contactos com um vasto grupo de países, nomeadamente: Espanha, Itália, Suécia, Israel, Egipto, Macau, África do Sul, Estados Unidos da América e Países Africanos de Língua Oficial Portuguesa (PALOP). Desta forma, tem verificado um aumento do número de utentes estrangeiros nos seus hospitais e estabelecimentos de saúde. O Hospital da Prelada encontra-se também no mercado do turismo de saúde, o que corrobora com este aumento do número de utentes estrangeiros. Aproveitando o forte know-how na área social, tem ainda prestado apoio ao nível da formação em Macau e nos PALOP.
A Misericórdia do Porto é ainda uma das instituições portuguesas que se encontra disponível para receber refugiados da atual crise humanitária europeia e mantém, também, um protocolo de cooperação com o Centro Hospitalar São João, destinado ao acolhimento de crianças e jovens dos PALOP com problemas de saúde.
1.2 O Projeto de Gestão da Segurança Organizacional
A evolução que se constata nas organizações tem vindo a instituir funções distintas tais como a Gestão do Risco, a Segurança, o Compliance, entre outras. Estas funções integram a segunda linha de defesa no modelo “As Três Linhas de Defesa”, que envolve a separação das funções profissionais de uma forma específica, definindo responsabilidades e estabelecendo limites para as mesmas. O presente trabalho será apoiado por este modelo, no qual a separação das funções se processa da seguinte forma: funções que gerem e têm propriedade sobre riscos (primeira linha de defesa), funções que supervisionam riscos (segunda linha de defesa), funções que fornecem avaliações independentes (terceira linha de defesa). De modo a assegurar uma melhor proteção dos ativos da organização, estas funções requerem a existência de especialistas que monitorizem a organização segundo perspetivas específicas e distintas (IIA, 2013).
De facto, qualquer organização possui objetivos únicos e particulares que pretende atingir, e na tentativa de os atingir, esta irá encontrar, certamente, situações e circunstâncias que podem ameaçar o alcance dos mesmos. Estas circunstâncias criam riscos, riscos esses que a organização deve esforçar-se por identificar, analisar, definir, avaliar e tratar. Nos últimos anos tem-se assistido, portanto, a uma reestruturação de todo o pensamento envolvido na Gestão do Risco. Este novo paradigma do Risco reflete a necessidade atual de adotar uma abordagem coesa e coordenada, por forma a evitar que os mecanismos de controlo possam acabar por ser utilizados de forma ineficaz e os riscos significativos possam mesmo não ser identificados ou geridos de forma adequada. É deste modo que a Gestão da Segurança assume um papel essencial na sobrevivência de qualquer organização, uma vez que visa a criação de uma base de proteção e confiança assente na integridade e preservação dos seus ativos e no cuidado com os interesses dos colaboradores, clientes e fornecedores (IIA, 2013; Anderson e Eubanks, 2015).
1.2.1 Descrição Geral
A participação neste projeto piloto envolve o desenvolvimento de todas as iniciativas com contribuição para a implementação do Programa de Gestão da Segurança Organizacional, que interage com os Programas de Risco e Compliance, seguindo uma visão holística diferenciadora. Esta nova visão compreende a Segurança Organizacional como uma união de cinco áreas/valências distintas: Segurança da Informação, Segurança Física, Segurança Lógica, Segurança das Pessoas e Cibersegurança. O trabalho produzido envolverá, assim, pesquisa em campo, pesquisa bibliográfica, elaboração de organogramas, análise de documentos, métodos qualitativos e quantitativos de investigação, e reporte e preenchimento de documentações. O projeto possui um primeiro exercício de aplicação com área de atuação no Centro Hospitalar Conde de Ferreira, pretendendo, portanto, aplicar as funções SRC neste estabelecimento. A gestão destas funções será assegurada pelos recursos do Departamento de Auditoria Interna e, mediante o sucesso do projeto, a SCMP poderá equacionar a implementação do Gabinete de SRC, o qual será responsável pela elaboração das atividades da segunda linha de defesa.
1.2.2 Motivação e Objetivos
A principal motivação do Projeto SRC, como um todo, é, efetivamente, reforçar o papel da segunda linha de defesa da organização, uma vez que ajuda a estabelecer um meio simples, eficiente e eficaz de melhorar a comunicação, sobre o controlo interno, a Gestão da Segurança, a Gestão do Risco e o Compliance, esclarecendo os papéis e deveres essenciais dentro da instituição. Deste modo, o projeto pretende apoiar a primeira linha na gestão de riscos e no desenvolvimento e monitorização de controlos, bem como promover uma evolução crescente de inúmeras capacidades, contribuindo simultaneamente para as funções da terceira linha através de uma maior qualidade de informação. Assim sendo, sustenta o fortalecimento do CHCF e torna a SCMP mais aberta à mudança e à inovação. Procurar-se-á, posteriormente, estender este projeto aos restantes estabelecimentos da Misericórdia do Porto, ampliando o foco da organização nas funções de Segurança, Risco e Compliance.
Encontrando-se voltado para a sensibilização para as temáticas da Segurança, do Risco e do Compliance no seio da estrutura orgânica da SCMP, o projeto procura alertar os colaboradores não só para a proteção dos ativos, mas principalmente para a necessidade de aumentar a resiliência e maturidade da organização. Deste modo, para apoiar a implementação de um Programa de Gestão da Segurança Organizacional no Centro Hospitalar Conde de Ferreira, será necessário proceder à caracterização do estado atual da organização ao nível da Gestão da Segurança, identificando e avaliando os riscos associados à segurança, para posterior definição do plano de tratamento de riscos / vulnerabilidades. O projeto solicitará, portanto, a elaboração de metodologias para a catalogação e mensuração de ativos, a identificação de owners e a identificação de riscos, ameaças e vulnerabilidades.
Numa fase posterior, será criada documentação de suporte, procurando conceber e implementar políticas de segurança que sejam apropriadas às funções e riscos associados à SCMP, bem como medidas e controlos. O objetivo final será obter uma ferramenta de suporte para ser disponibilizada à gestão de topo.
1.2.3 Metodologia
A metodologia seguida no decorrer do projeto foi previamente definida e cronologicamente alinhada com o período previsto. Deste modo, foram estabelecidas sete fases, cada uma com
uma duração esperada e objetivos específicos a cumprir. A Tabela 1 evidencia o método de
abordagem adotado.
Tabela 1 – Metodologia da Realização do Projeto
1.3 Estrutura da Dissertação
No segundo capítulo é realizada uma abordagem teórica relativamente ao tema da Gestão da Segurança Organizacional, apresentando a pesquisa fundamentada no levantamento de conceitos e práticas de gestão relativas ao tema em causa. De seguida, no terceiro capítulo, é discutida a relevância do projeto para a SCMP e o interesse específico da sua implementação no Centro Hospitalar Conde de Ferreira. É ainda apresentada a abordagem metodológica do Projeto SRC. O quarto capítulo aborda todo o trabalho realizado com vista à elaboração de um Modelo de Implementação do Projeto de Gestão da Segurança Organizacional e, no capítulo 5, é apresentado o primeiro exercício de implementação do Modelo no CHCF. Por fim, o sexto capítulo expõe as conclusões a retirar do projeto e de todo o trabalho desenvolvido, procurando tecer algumas recomendações e perspetivas de trabalho futuro.
Fase Nome Descrição Objetivos e Resultados
Específicos
1 Adaptação à
Organização
Conhecimento das diferentes áreas de atuação da SCMP.
Ação de formação na área do Projeto.
Conhecer a Instituição e enquadrar o Projeto.
2 Estado da Arte
Exploração das áreas de atuação da Segurança (Física, Lógica, Recursos Humanos e da Informação); Identificar
normas, regulamentos, políticas e procedimentos aplicáveis.
Aprofundar e documentar o conhecimento da área da Segurança e o que está a ser feito
no campo em estudo.
3 Avaliação do
Contexto
Análise e avaliação do estado atual do Estabelecimento da SCMP ao nível da
Gestão da Segurança.
Caracterização do contexto interno e externo do Estabelecimento.
4 Levantamento
Integração dos princípios e planos de uma estrutura coordenada e sistematizada para identificar, avaliar e tratar os riscos de segurança na SCMP.
Elaborar metodologias para catalogação de ativos, Identificação de owner’s e Identificação de riscos, ameaças e vulnerabilidades. Avaliação dos riscos.
Definição do plano de tratamento de riscos/vulnerabilidades.
5 Implementação
Pretende-se desenvolver todas as iniciativas conducentes à implementação
do Programa de Gestão da Segurança Organizacional, nas seguintes áreas:
Informação, Instalações, Lógica, Recursos Humanos, entre outros.
Elaboração de documentação de suporte. Desenvolver e implementar políticas de segurança que sejam apropriadas às funções
e riscos associados à SCMP. Implementação de medidas e controlos.
6 Relatório Desenvolvimento e elaboração de relatório final.
Providenciar uma ferramenta de suporte à gestão de topo.
7 Conclusão Conclusão do Projeto. Fim da estadia no ambiente empresarial da SCMP.
2 O Estado da Arte da Gestão da Segurança Organizacional
O mundo em que vivemos é um lugar de incerteza que muda a um ritmo cada vez mais acelerado. A vida, a sociedade, a economia, o clima e os riscos são sucessivamente mais complexos e difíceis de prever. Vivemos num mundo em que, a cada ano que passa, o passado serve, cada vez menos, de guia para o futuro. Existe, porém, uma única certeza, a de que não é possível conceber um sistema perfeito e inviolável de segurança. Todas as organizações estão em risco e todo o mundo é um alvo. Deste modo, mais importante do que o cumprimento de qualquer norma específica, é a capacidade de demonstrar que o risco é devidamente gerido na organização, atendendo às suas particularidades e idiossincrasias, de forma a contribuir eficazmente para o alcance dos seus objetivos. (HM Treasury, 2004; Talbot e Jakeman, 2009; Wake, 2011a).
O IIA (2017) define Risco como a possibilidade de ocorrência de um evento com um impacto na realização dos objetivos, sendo este medido em termos de impacto e probabilidade. Já no contexto da Segurança, o Risco é compreendido como sendo o potencial de uma determinada ameaça vir a explorar as vulnerabilidades de um ativo ou grupo de ativos e, assim, prejudicar a organização. Nos últimos anos têm-se assistido a uma reestruturação de todo o pensamento envolvido na gestão de risco. Deste modo, tem surgido um conjunto de elementos core deste novo paradigma do risco, nomeadamente: maior transparência, compreensão e modelação do risco; uma clara e concreta decisão acerca dos riscos a mitigar e dos riscos a “abraçar”, estes últimos de baixo índice de probabilidade de ocorrência ou onde a adoção de medidas de segurança tem um custo/benefício incomportável; a criação de uma organização mais resiliente e de processos que a ajudem a ser proativa na diminuição dos riscos; o desenvolvimento de uma “verdadeira cultura do risco”; e uma nova abordagem à regulação e regulamentação (Tyson, 2007; Gerken et al, 2010; ISO/IEC 27005:2011, 2011).
Aliado a este novo ponto de vista, surgiu o modelo “As Três Linhas de Defesa” (observe-se a Figura 2), que envolve a separação das áreas e funções profissionais de forma específica, para que possam ser coordenadas internamente com eficácia e eficiência, definindo responsabilidades claras e estabelecendo limites para as mesmas. Trata-se de uma forma simples e eficaz de melhorar a comunicação e a clareza na gestão de riscos e controlos, por meio do esclarecimento dos papéis e responsabilidades essenciais, ajudando a aumentar a eficácia do sistema de gestão de risco e a garantir o sucesso contínuo das suas iniciativas. Este modelo é apropriado para qualquer organização, independentemente do seu tamanho e complexidade (Anderson e Eubanks, 2015; Regan e McNall, 2013; IIA, 2013; Delloite, 2015). O modelo explica, assim, a relação entre as funções profissionais e o modo como essas responsabilidades devem ser divididas: funções que gerem e têm propriedade sobre riscos; funções que supervisionam riscos; e funções que fornecem avaliações independentes. Estes três tipos de funções dão origem às três linhas de defesa. A 1ª Linha de Defesa é responsável por identificar e gerir riscos diretamente, considerando a gestão de riscos como um elemento crucial no trabalho do dia-a-dia. A gestão operacional identifica, avalia, controla e trata os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estão de acordo com as metas e objetivos. A 2ª Linha de Defesa é responsável pela monitorização contínua do funcionamento (planos de ação) dos controlos na 1ª linha de defesa, bem como aconselhamento e facilitação das atividades da gestão de risco. Esta envolve, geralmente, funções de gestão com algum grau de objetividade, podendo intervir diretamente, de modo a modificar e desenvolver o controlo interno e o sistema de gestão de risco. A 3ª Linha de Defesa diz respeito às avaliações adequadas e baseadas no maior nível de independência e objetividade dentro da organização. Estipula avaliações sobre a eficácia da administração, da gestão de riscos e dos controlos internos e contribui para o processo de tomada de decisão da organização (Anderson e Eubanks, 2015; Regan e McNall, 2013; IIA, 2013; Delloite, 2015).
De acordo com Talbot e Jakeman (2009), a Segurança consiste na condição de ser protegido contra perigo ou perda. Tal condição é assegurada através da eliminação de consequências adversas, associadas com as ações intencionais ou injustificadas de outros. Deste modo, indivíduos ou ações que invadem a condição de proteção, causam uma violação da Segurança. Segundo um ponto de vista técnico, a Segurança significa que algo se encontra protegido não apenas no momento, mas também protegido num período de tempo, isto é, que foi estabelecido um conjunto de medidas para garantir a sua proteção. Neste contexto, a segurança refere-se às medidas usadas para proteger ativos sensíveis que coletivamente criam, habilitam e sustentam a capacidade organizacional. Esses ativos serão diferentes dependendo da natureza das atividades da organização, mas geralmente incluem desde informação confidencial, a ativos físicos de valor, pessoas, processos únicos, alianças / parcerias e capital intelectual.
Segundo Tomé (2010), a Segurança é uma das ideias mais ambíguas, contestadas e debatidas na estrutura conceptual das relações internacionais. A perspetiva “tradicional” tem sido severamente contestada à medida que novas abordagens se desenvolvem e o conceito de Segurança tem sido reestruturado em todas as suas componentes e dimensões fundamentais. No entanto, à medida que as sociedades e as relações internacionais mudam, a abordagem da Segurança também evolui. O autor defende que a compreensão da Segurança depende de como se identificam os seguintes tópicos: o objeto de segurança e a entidade que deve ser protegida; a natureza e o tipo de ameaças e riscos; e o agente e os meios/instrumentos de segurança. De acordo com Valente (2012), o conceito de Segurança pode ser visto como uma topologia de regulação multifacetada, multifuncional e multinível, que exige que os seus diversos atores observem os ativos legais sob uma perspetiva poligonal, digna de proteção legal. O conceito da Segurança como bem jurídico supranacional requer uma legislação penal que defina os princípios da política criminal e da intervenção do direito penal. Já Razzetti (2017) afirma que, mais do que nunca, a Segurança é uma componente essencial em qualquer organização, à semelhança do que se observa para a criação de um comando militar robusto. Os comandos que não forem capazes de executar as suas operações num ambiente seguro autoimposto e monitorizado podem, na melhor das hipóteses, deixar de ser eficazes ou, na pior das hipóteses, deixar de existir. É este o mesmo destino que recai sobre as empresas e organizações.
A Segurança é, portanto, essencial para a sobrevivência de qualquer organização, pelo que todas as empresas devem prestar atenção genuína aos seus riscos e medidas de Segurança, realizando uma análise custo-benefício por forma a assegurar que os mecanismos de Segurança não envolvem um custo superior do que aquilo que estão a proteger. Tal como Wake (2013b) refere, uma organização pode optar por implementar as medidas corretas desde o início, aceitar que irá ter alguns custos, mas que estes serão certamente menores que os custos provenientes de uma
Figura 2 – O Modelo “As Três Linhas de Defesa” (Fonte: IIA, 2013)
1st Line of Defense Senior Management E x ter na l A ud it Risk Management
Quality Internal Audit
3rd Line of Defense Management Controls Internal Control Measures 1st Line of Defense Security Risk Management Quality Inspection Compliance Financial Control 2nd Line of Defense E x ter na l A ud it Reg ula to r Senior Management
violação, ou então pode optar por assumir o risco. Se decidir assumir o risco, esta deverá garantir que coloca de parte fundos suficientes para cobrir os danos que irá possivelmente enfrentar, bem como os custos de remediar as situações que havia escolhido evitar. Não há almoços grátis! Esta visão de curto prazo do orçamento tem consistentemente um efeito prejudicial no longo prazo das organizações.
A Segurança tem, assim, que ser vista como uma opção estratégica, não meramente tecnológica, visto ter um impacto inegável na organização. Sennewald (2011) afirma que “in the past five decades the security function has climbed up from the depths of organizational existence, from dank and smelly basement offices, to the heights of executive offices and a place in the sun”. De acordo com Sennewald (2011), dentro da estrutura organizacional da empresa, a Segurança mostrou, nos últimos anos, um movimento vertical acentuado, uma ascensão atribuída principalmente às ameaças terroristas, à crescente criminalidade e ao reconhecimento da contribuição da Segurança para o lucro da organização. Por conseguinte, a Segurança tem sido, cada vez mais, vista como uma parte crítica, reportando diretamente à gestão de topo e assumindo um novo significado, uma vez que passa a ter em consideração os elementos estratégicos das organizações (Promon Business & Technology Review, 2005).
Embora a abordagem e metodologia do Risco seja usualmente semelhante, cada risco é diferente, pelo que os profissionais da Segurança devem procurar aplicar a sua arte aos factos, de forma flexível, adaptável e apropriada. Por outro lado, os modelos tradicionais de Segurança concentram-se, ainda, demasiado nos atacantes externos. A realidade é que há tantas ameaças dentro de uma organização como fora desta. Para que a organização possa ser capaz de proteger os seus ativos críticos, é crucial que consiga compreender onde é que a informação “vive”, dentro ou fora. A bem-sucedida implementação da função de Segurança Organizacional pressupõe, também, o desenvolvimento simultâneo de outras funções da segunda linha de defesa, de forma a promover um contexto mais favorável para trabalhar a cultura da organização, ao nível dos comportamentos, atitudes e práticas, quer coletivas, quer individuais. A criação de uma base de proteção e confiança fomenta, assim, a integridade e preservação dos ativos, bem como um cuidado com os interesses dos seus colaboradores, clientes e fornecedores. A Gestão da Segurança consiste, por sua vez, no conjunto de processos, procedimentos, regras e atividades inerentes à Segurança de uma organização, recebendo orientação e suporte da Política de Segurança existente, a qual engloba as políticas operacionais, normas, diretrizes e métricas empenhadas em proteger os ativos da organização.
Ao longo dos últimos anos, tem-se assistido a um aumento, sem precedentes, de utilizadores de Internet, dispositivos e dados, que criam vastas oportunidades e, consequentemente, também novos e interessantes desafios. Para além de os utilizadores dos sistemas informáticos estarem cada vez mais expostos a riscos, também o número de vulnerabilidades nos sistemas aumentou. Como tal, observa-se um crescimento do número de incidentes de Segurança, para os quais também contribui a crescente complexidade e sofisticação dos ataques. Infelizmente, muitas organizações não têm consciência de que estão comprometidas até ser já demasiado tarde. Na verdade, grande parte das organizações está ainda a tentar adaptar-se a esta crescente complexidade, o que se traduz em programas com maturidade reduzida e baixa competitividade (Promon Business & Technology Review, 2005; Ernst e Young, 2013).
O termo Tecnologias da Informação (TI) deve ser entendido de maneira ampla, abrangendo todas as formas de investimento de uma empresa, para gerar valor para o negócio, a partir de recursos tecnológicos. As Tecnologias da Informação têm sido consideradas essenciais tanto para a sobrevivência como para a elaboração das estratégias empresariais, em função de sua crescente disseminação e utilização dentro das organizações. A preocupação com a possibilidade de os riscos associados à gestão das TI impactarem a saúde das empresas tem aumentado tanto, que algumas das práticas deixaram já de ser meras recomendações e passaram a ser impostas por contratos. Assim sendo, a estratégia das TI deve permitir às organizações
não só o alinhamento dos esforços da área com as metas estabelecidas pelas organizações, como também a exploração das TI como vantagem competitiva e o desenvolvimento de arquiteturas políticas de tecnologia coerentes com as políticas internas (Porter, 1980; Davenport e Prusak, 1998; Albertin, 1994; Weill e Ross, 2006; Tarouco e Graeml, 2011).
Silva et al (2003) dividem a Segurança Empresarial em quatro áreas: Segurança da Informação, Segurança Física, Segurança do Pessoal e Segurança Lógica. Nesta abordagem já se denota claramente uma preocupação acentuada na componente dos stakeholders. A estas áreas, faz sentido acrescentar a Cibersegurança, um domínio que tem sofrido uma grande expansão nos últimos anos e que, embora toque todas as restantes, possui particularidades que lhe conferem individualidade enquanto área foco. De seguida, estas áreas são analisadas individualmente.
2.1 Áreas de Foco da Segurança 2.1.1 Segurança Física
Segundo Oliveira (2001) a Segurança Física implica um conjunto de “medidas usadas para garantir a proteção física dos recursos contra ameaças voluntárias e involuntárias”. A Segurança Física está focada na proteção das instalações, pessoas e bens contra ameaças identificadas, procurando estabelecer medidas para controlar acessos a edifícios, instalações, locais, bens ou informação em suporte físico. A gestão dos acessos, o controlo do perímetro para deteção de intrusões, a monitorização dos circuitos de videovigilância, a manutenção de todo o hardware e a indução de comportamentos preventivos nas pessoas são atividades diárias inerentes ao exercício desta área de foco (Silva et al, 2003; Contos et al, 2007; Bento, 2013).
De acordo com Silva et al (2003) e Fennelly (2003), o ambiente físico no qual uma empresa opera pode constituir um dos mais importantes elementos, nomeadamente no que diz respeito à salvaguarda da informação e à proteção das pessoas, interligando-se, portanto, com as restantes áreas de foco da Segurança. A aplicação da Segurança Física passa, assim, por um processo de utilização de layers de medidas de proteção física para impedir o acesso não autorizado, interferência, danos ou destruição de propriedade. De facto, as medidas de Segurança Física fazem parte do “todo global” de proteção. São o conjunto de medidas de segurança base, no qual todas as restantes medidas de segurança e funções devem ser construídas, desenvolvendo um perfil de proteção de ativos por camadas. Segundo Malatesti (2008), esta abordagem em layers faz com que uma ameaça precise de atravessar múltiplos controlos antes de conseguir afetar um ativo.
Atendendo ao objetivo de proteção de pessoas, informação, equipamentos, sistemas, e instalações da instituição, a gestão da Segurança Física pode ser dividida em duas categorias:
• Áreas seguras: Perímetro de Segurança + Controlos de Acesso Físico + Acesso ao Público + Áreas de Cargas e Descargas
• Equipamentos: Localização e Proteção do Equipamento + Manutenção do Equipamento + Reutilização de Equipamentos e Alienação Segura
As medidas de Segurança Física usadas para proteger os ativos dependem necessariamente dos ativos em questão, da sua localização, das ameaças e vulnerabilidades e dos riscos associados. Malatesti (2008) divide as ameaças físicas em três tipos principais, consoante a sua origem/fonte: ameaças ambientais – danos causados por calamidades naturais como furacões, tornados, incêndios, inundações, etc.; ameaças humanas – danos provocados intencionalmente ou não intencionalmente por pessoas; e ameaças ao sistema de abastecimento/fornecimento – danos causados por uma interrupção em qualquer forma de fornecimento de energia que afeta os sistemas de uma organização.
A aplicação de um nível adequado de proteção para cada ambiente requer uma compreensão específica desse mesmo ambiente. Assim, numa situação idealmente perfeita, o estabelecimento das medidas de Segurança Física deve ser feito durante a fase de conceção do ativo em questão, devendo depois ser implementadas durante o seu ciclo de vida (Fennelly, 2003).
Wake (2013a) realça, porém, que as medidas de Segurança Física são frequentemente ignoradas e, mesmo quando são consideradas e fazem parte da organização, é comum as suas funções permanecerem separadas das restantes áreas de foco da Segurança e das atividades de gestão do risco. Assim sendo, é crucial compreender a verdadeira importância da Segurança Física. O autor transparece toda a relevância desta área de foco quando afirma que não possuir processos de Segurança Física robustos e devidamente implementados e consolidados coloca em causa quase todos os restantes controlos de segurança.
Fruto desta nova perceção acerca da Segurança Física, tem-se assistido, nos últimos anos, a uma forte convergência entre as TI e a Segurança Física, com vista a um melhor alinhamento das metas da organização no domínio da Segurança com os seus objetivos de gestão. Os benefícios de uma abordagem unificada são sobretudo uma economia de custos, um controlo mais centralizado sobre os ativos da organização e a obtenção de recursos humanos mais versáteis. Esta convergência oferece grandes oportunidades para as organizações, mas também aumenta os requisitos e responsabilidades daqueles que devem compreender e gerir esta integração (Malatesti, 2008).
De acordo com Wake (2013a), um plano de Segurança Física bem desenhado segue necessariamente um conjunto de etapas comuns, semelhantes aos modelos de garantia da qualidade e melhoria contínua Plan-Do-Check-Act (PDCA): identificar os objetivos do plano de Segurança Física; desenhar e implementar o sistema de Segurança Física; avaliar e testar o sistema; e monitorizar, gerir e melhorar o sistema de Segurança Física como parte integrante do negócio. Segundo Malatesti (2008), é também importante planear um programa de Segurança Física em “dual-mode”: o primeiro modo deve ser orientado para o horário normal de trabalho e o segundo para quando as instalações estão encerradas. Malatesti (2008) e Silva et al (2003) defendem que um programa de Segurança Física, independentemente da organização e das suas características, deve levar em consideração os seguintes aspetos: Áreas: a localização da organização constitui uma componente importante para a construção de um ambiente seguro. Para além desta questão, a própria divisão das instalações deve ser pensada, para que sejam incrementados os níveis de proteção contra acessos não autorizados. Políticas e Procedimentos: formam os blocos fundamentais do programa e definem os controlos de segurança que devem ser implementados e, deste modo, usados como referência para preencher quaisquer lacunas de controlo identificadas durante a avaliação de risco.
Controlos de Acesso: deve-se ter em conta que quanto mais sensível for a informação, mais complexo deverá ser o controlo de acessos ao local onde a informação está localizada. Estes controlos podem ser de: dissuasão – tipicamente usados para prevenir ou, no mínimo, desencorajar qualquer tentativa de violação ou intrusão; de deteção – úteis para a deteção precoce de incidentes; de resposta – estes incluem o pessoal, mecanismos de segurança e procedimentos que ajudam a responder a incidentes detetados, bem como avaliar os danos ocorridos; de atraso – tem como objetivo desacelerar o intruso, atrasando a concretização; e de auditoria – realização de registos do acesso físico à instalação e a todas as áreas restritas. Eliminação de Documentos: a eliminação de documentos e informação deve receber atenção por parte da organização. É frequente ouvir-se falar de ataques como por exemplo, “dumpster diving”, que consistem na procura de informação preciosa, por vezes facilmente resgatada e utilizada para futuros ataques informáticos ou físicos.
2.1.2 Segurança Lógica
A Segurança Lógica surge com o aparecimento dos computadores, sendo, portanto, uma área de foco mais recente do que a Segurança Física. Na verdade, para uma melhor proteção dos ativos da organização, a Segurança Física depende necessariamente da Segurança Lógica, uma vez que, enquanto a primeira protege a organização no que diz respeito a acessos físicos, a segunda evidencia a forma como um sistema é protegido, seja por software ou regras de restrição de acesso. A inexistência de medidas de Segurança Lógica expõe, por conseguinte, os ativos a eventuais ameaças.
Oliveira (2001) define Segurança Lógica como sendo um “sistema de informação baseado em mecanismos que permitem aos gestores de sistemas controlar o acesso e o uso dos recursos de informação informatizados”. A gestão da Segurança Lógica está essencialmente dividida nas seguintes categorias: Firewall; Antivírus; Sistemas Aplicacionais; Autenticação e Controlo de Acessos; Criptografia; Virtual Private Network (VPN); Sistema de Backup; e Comunicação e Redes. Assim sendo, procura através de software específico proteger os sistemas informáticos, a partir de medidas como a identificação do utilizador e da sua password de acesso, a autenticação, a permissão e os níveis de acesso. É, deste modo, necessário ter presente o conceito de gestão de identidades, uma atividade core nesta área de foco da Segurança. A gestão de identidades define o conjunto de processos, aplicações e contratos que constituem a governação da identidade digital do indivíduo, sistemas e serviços, proporcionando desse modo o acesso criterioso aos sistemas, aplicações e dados (Mehdizadeh, 2004; Bento, 2013).
Os controlos de acesso lógico são um conjunto de procedimentos e medidas com o objetivo de proteger dados, programas e sistemas contra perda, modificação e tentativas de acesso não autorizadas feitas por pessoas ou outros programas de computador. Estes controlos são implementados com o propósito de assegurar que: apenas utilizadores autorizados têm acesso aos recursos; os utilizadores têm acesso apenas aos recursos realmente necessários para a execução das suas tarefas (mínimo acesso); o acesso a recursos críticos é bem gerido e restrito a poucas pessoas; e os utilizadores estão impedidos de executar transações incompatíveis com a sua função ou além das suas responsabilidades. Os controlos de acesso estão, assim, associados a funções de identificação e autenticação de utilizadores, bem como à alocação, gestão e monitorização de privilégios e acessos (Tribunal de Contas da União, 2007).
2.1.3 Segurança das Pessoas
As empresas são, regra geral, excelentes a catalogar e a reconhecer a importância e valor dos ativos físicos que possuem. A maior parte reconhece, também, o valor de outros ativos distintos como por exemplo, as listas de contactos e as patentes. Porém, normalmente a grande maioria das organizações falha num domínio crítico: na perceção da verdadeira importância de todas as pessoas direta ou indiretamente ligadas à empresa, isto é, as pessoas que asseguram o bom funcionamento da organização (os trabalhadores, a família, etc.) (Wake, 2012b).
Spitzner (2014) revela a necessidade de as empresas saberem “jogar” com recursos e tempo limitados, devendo procurar focar-se no menor número de comportamentos que envolverá um maior impacto benéfico. Uma vez que a grande fragilidade dos sistemas de segurança são as pessoas, deve procurar estimular-se a comunicação e reforçar os comportamentos esperados, incentivando o comprometimento dos colaboradores. É, portanto, crucial implementar um conjunto de controlos que assegure que os funcionários, voluntários, fornecedores e terceiros entendam as suas responsabilidades, estejam de acordo com os papéis que desempenham e, simultaneamente, estejam cientes das ameaças de segurança e prontos para apoiar a política de segurança da organização, para assim controlar os riscos de erro humano, roubo e fraude. É de realçar um modelo desenvolvido por Fogg (2009), “The Fogg Behavior Model”. Este modelo mostra que, para que um determinado comportamento ocorra, três elementos têm que
convergir no mesmo momento: Motivação, Habilidade e Trigger. Deste modo, é possível identificar a razão que impede determinada pessoa de executar o comportamento esperado. Tal compreensão poderá ser útil aquando do estabelecimento de diretrizes para definição de papéis e responsabilidades, seleção de pessoal, termos e condições de contratação, consciencialização, educação em Segurança, e processos disciplinares (Tribunal de Contas da União, 2007). Segundo Garcia (2005) e Pinto et al (2005), o capital humano compreende o conjunto de aptidões, competências e conhecimentos das Pessoas e a sua utilização para melhorar o desempenho das suas organizações, recorrendo às capacidades, experiências, princípios e valores que possuem. O autor acredita que este capital pode ser aumentado pela valorização e retenção das competências pessoais por parte da organização, desenvolvendo-se em conformidade com as políticas de gestão de recursos humanos.
Além de ser importante ir de encontro aos requisitos legais que garantem um ambiente de trabalho seguro para os vários colaboradores, é também crucial assegurar que estes se encontram sempre protegidos. De facto, o processo de identificação e gestão dos riscos associados às pessoas é sempre complicado, envolvendo inúmeros fatores que é importante ter em conta, nomeadamente: a segurança das pessoas no local de trabalho, a segurança das pessoas nas viagens de trabalho e a segurança das pessoas em período de férias. Este último fator, comummente esquecido, pode revelar-se bastante importante uma vez que a organização não se pode esquecer que muitos colaboradores são peças fulcrais no funcionamento da mesma, pelo que vale a pena protegê-los a todo o custo (Wake, 2012b).
Bom, então como deverá ser definido um plano de Segurança das Pessoas? Um plano desta natureza deverá envolver três momentos distintos: antes da contratação, durante a contratação, após término da contratação.
No primeiro momento, isto é, antes da contratação, dever-se-á proceder à seleção e triagem, comunicando adequadamente o funcionamento da empresa, os seus objetivos e responsabilidades inerentes a cada função e incluindo a dimensão da segurança. A fase da seleção assume um papel crítico, devendo envolver a verificação de antecedentes (Background Check), devidamente equilibrada com a função em causa. No ato da contratação do novo colaborador, deverá ser apresentada a Política de Segurança seguida pela organização em causa, para que o novo funcionário se comprometa para com a mesma.
Durante a contratação, deve ser requerida uma conduta de acordo com as políticas e procedimentos estabelecidos, procurando dar formação em segurança e privacidade de informação, de forma a garantir que o colaborador está ciente dos riscos e ameaças e que, como tal, está preparado para cumprir as suas obrigações. Assim, deve apostar-se na sensibilização, promovendo uma contínua avaliação do programa de consciencialização quer relativamente ao seu desenvolvimento, quer face ao impacto obtido. No final da sua implementação, esperar-se-á uma mudança da cultura. Simultaneamente deve atender-se ao facto de a tecnologia, os requisitos e as ameaças do negócio estarem em constante mudança. Deve procurar-se ainda que, quando ocorra um incidente de segurança, este seja reportado o mais rapidamente possível, através dos procedimentos apropriados, tendo como objetivo a limitação dos danos causados pelo incidente e assegurando a reação apropriada (Spitzner, 2014).
Após término da contratação, é de esperar que o colaborador cesse a prestação de serviços e devolva todo o equipamento que lhe foi afeto. Deve comunicar-se o término da contratação à entidade responsável pela atribuição de privilégios de acesso dentro da organização, para proceder à eliminação dos acessos permitidos durante o período contratual.
Para terminar a discussão desta área de foco, gostaria de fazer referência aos padrões de conduta para um trabalhador da área da Segurança, definidos por Sennewald (2011), através dos quais será possível aumentar a reputação e a eficácia da função da Segurança, reforçando a cultura organizacional. Segundo o autor, a área da Segurança deverá ter colaboradores que: enfatizem
cortesia básica para com os colegas e outros, possuam responsabilidade no exercício das suas funções; promovam a equidade e objetividade no respeito dos direitos dos outros; disponham de um espírito de cooperação; possuam integridade pessoal, tanto no trabalho como na sua vida pessoal; e apresentem uma atitude positiva.
2.1.4 Segurança da Informação
A Segurança da Informação não é de todo um conceito novo. A necessidade de proteger informações é tão antiga quanto a humanidade. Quer essa informação fosse a localização de um campo de caça, uma tecnologia inovadora para produzir armas, ou um conhecimento de origem divina, tinha valor e, portanto, necessitava de proteção (Hoo, 2000).
Segundo Gaivéo (2008), a relevância da informação para as necessidades humanas tem sido, inequivocamente, um fator fundamental ao longo do processo evolutivo, mas a perceção plena deste facto apenas se realizou nas últimas décadas, fruto do contributo proporcionado pela expansão das Tecnologias da Informação e Comunicação (TIC), que possibilitaram saltos qualitativos e quantitativos na aquisição, tratamento, gestão e partilha de informação, proporcionando às empresas maior eficiência e rapidez na troca de informação e tomada de decisões. Também com a crescente evolução da Web, a Internet promoveu o acesso a inúmeros serviços e informação, cuja importância fez com que houvesse a necessidade de assegurar a sua preservação e integridade (Torres et al, 2010; Hoo, 2000; Santos e Silva, 2012).
Deste modo, a Segurança da Informação é definida como o processo de proteção da informação (informatizada, em papel, etc.) e seus elementos mais críticos, por forma a garantir/preservar a sua confidencialidade, integridade, disponibilidade. A Segurança da Informação afeta, por conseguinte, o desempenho da organização em três perspetivas (pessoas, processos e tecnologias), pelo que o desafio é encontrar o equilíbrio entre estes três princípios, através da implementação de um conjunto de controlos adequados. Este conjunto de controlos pode envolver políticas, práticas, procedimentos, ou até mesmo mudanças nas estruturas organizacionais com a ajuda de software e hardware. No entanto, na forma de tratamento das atividades direcionadas à Segurança da Informação, estas devem ser assumidas como atividades de gestão (Beal, 2005; Gomes, 2010; Whitman e Mattord, 2012; Sêmola, 2014).
De acordo com ISACA (2012a), ISACA (2012b) e NIST (2002), a Segurança da Informação procura garantir os elementos básicos da informação (Figura 3), apresentados de seguida: Confidencialidade – a informação é protegida da divulgação a utilizadores
não autorizados. Só as partes autorizadas é que têm acesso à informação, e esse acesso está sujeito à definição da forma como acedem e do período de tempo em que o acesso é válido.
Integridade – a informação é protegida das modificações inapropriadas. Evitar a modificação ou a destruição imprópria da informação, garantindo que estes atos só são efetuados pelas pessoas autorizadas, por forma a garantir a autenticidade da informação.
Disponibilidade – a informação é protegida da ausência de acesso quando requerida. Garantia de que os utilizadores autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
Atualmente a informação é considerada a chave dos negócios de uma organização, devido à sua utilidade e importância. A problemática da Segurança da Informação está associada com a crescente dependência dos Sistemas de Informação e Tecnologias da Informação. A informação encontra-se nos ativos que envolvem a organização e que têm valor para o funcionamento da mesma, pelo que, a sua proteção deve ser feita tendo em conta esses ativos, que podem ser
Confidencialidade Integridade Disponibilidade Figura 3 – Elementos Básicos da Informação (Fonte: Gomes, 2010)
