a economia em portugal 2017 digital 1.10 Saúde 92 processo do doente sem passarem por quem tem a visão transversal de todo o hospital, das especialidades e dos diferentes conceitos de cuidados. Um trabalho de aperfeiçoamento contínuo e com potencial inesgotável. Ambas as responsáveis (médica e enfermeira) reconhecem o mérito da nova organização e definem-na como peça central de um processo de melhoria contínua. Coordenação: Carlos Barreiras, HPE Serviços Partilhados do Ministério da Saúde (SPMS) Cibersegurança - Programa de Melhoria Contínua para a Gestão de Risco e Segurança Automatização de processos A SPMS está a implementar, desde 2016, um programa inovador de segurança da informação e cibersegurança, enquadrado num programa de melhoria contínua da gestão de risco e segurança, com o objectivo de melhorar o ambiente de gestão e operação interno da SPMS e de promover uma estratégia nacional comum de proteção e resposta a incidentes de segurança no Ecossistema de Informação da Saúde (eSIS). O eSIS é constituído por todas as entidades do Ministério da Saúde, incluindo entidades centrais e locais, e caracteriza-se por uma elevada complexidade decorrente das responsabilidades centrais e locais e pela cada vez maior interdependência de processos, pessoas e tecnologias. Neste contexto, a visão de uma melhoria integrada da segurança do eSIS decorre da consciência de que apenas através da partilha e colaboração entre todas as entidades será possível garantir um ambiente de risco mais alinhado com as expetativas de todas as partes integradas, em particular no que se refere à prestação de cuidados de saúde de qualidade e proteção da informação dos utentes e cidadãos em geral. O programa de melhoria contínua da gestão de risco e segurança da SPMS tem três principais áreas de atuação: Melhoria da segurança interna do sistema de informação da SPMS; Prestação de serviços centrais de segurança; Melhoria contínua do eSIS. Todo o programa está suportado numa framework comum do eSIS, a qual foi desenvolvida tendo em consideração boas práticas de referência como o COBIT 5, ISO 27001, SANS ou ITIL, permitindo desta forma que todas as entidades do eSIS partilhem uma visão comum dos elementos fundamentais da segurança, bem como uma linguagem comum e uma melhor comunicação entre as entidades internas e com as diferentes partes interessadas externas. (ver imagem). Atualmente, o programa continua a ser implementado, estando diversas iniciativas em curso e planeadas, que permitem continuar a implementar e operacionalizar a framework comum do eSIS. Framework de governança, gestão e operação do Risco e Segurança no eSIS (Ecossistema de Informação de Saúde) Objetivos Alinhamento dos objetivos de segurança da informação e cibersegurança com os objetivos globais das entidades. Promoção e partilha de boas práticas de governança, gestão e operação entre todas as entidades do eSIS, central e locais (Centros Hospitalares, Hospitais, Administrações Regionais de Saúde – ARSs e SPMS). Melhoria da comunicação e consciencialização de todas as partes interessadas do eSIS para os temas da segurança. Maior coordenação e partilha de práticas e
93 em portugal 2017 1.10 Saúde a economia digital recursos relacionados com a governança, gestão de risco, e segurança da informação e tecnologias das entidades do eSIS. Melhoria dos instrumentos de gestão da segurança e ciber-segurança através da definição de objetivos e métricas comuns. Melhoria da segurança do sistema de informação da SPMS, garantindo o alinhamento da segurança com as restantes áreas do sistema de informação, e assegurando uma integração dos elementos de organização, processos, pessoas e tecnologias. Centralização de serviços críticos relacionados com a cibersegurança, em particular o registo e reporte de ciber-incidentes. Resultados Melhoria da maturidade da segurança da informação e cibersegurança na SPMS. Assinatura do Protocolo de Cooperação entre o Gabinete Nacional de Segurança (GNS)/ Centro Nacional de Cibersegurança (CNCS) e a SPMS em 21 .02.2017 e definição do Elemento de Coordenação Operacional de Segurança (ECOS) da Saúde e dos 46 Responsáveis de Notificação Obrigatória (RNO). Lançamento do Serviço de Avaliação de Segurança do eSIS e realização das primeiras iniciativas. Realização de workshops temáticos sobre segurança e privacidade da informação, com o envolvimento de dirigentes, profissionais de saúde e profissionais TIC. Lançamento do portal http://spms.min-saude. pt/ciberseguranca, com a disponibilização de informação e ferramentas de avaliação de maturidade que permitem às entidades o acompanhamento do desempenho das suas iniciativas, o que no futuro possibilitará a realização de estudos sobre o tema da segurança no setor e a disponibilização de informação de benchmark. Métricas 50 hospitais públicos (100 edifícios) + 365 unidades de cuidado primário. 90% destas unidades de saúde utilizam soluções TIC da SPMS. SPMS tem um portfólio de 60 soluções TIC. Ensinamentos e Fatores Críticos de Sucesso Reconhecer o problema e envolver os stakeholders adequados. Promover o envolvimento de todas as entidades no programa, providenciando uma framework comum alinhada com as boas práticas de referência. Avaliação do nível de maturidade de cada entidade, envolvendo também os seus fornecedores e prestadores de serviços. Apoiar cada entidade na implementação de controlos de risco e segurança, capitalizando as melhorias e sucessos de cada entidade, e incorporando-as na evolução do programa. Campanhas recorrentes de sensibilização e formação para os utilizadores. Coordenação: Joana Castro e Costa, Gfi
