Page 70 - RG 2012 - Relatório da Gestão - Unimed Vale do Sinos/RS
Basic HTML Version
Informações e Conhecimento
Unimed (RS)Vale do Sinos|Relatório da Gestão 2012 |
60
procedimentos, a fim de garantir a confidencialidade, integridade e disponibilidade das informações
da cooperativa.
Através dos encontros do Comitê de Segurança da Informação foi identificada a necessidade da
criação de um material mais ilustrativo sobre as políticas de segurança para ser aplicado aos
colaboradores, para assim facilitar o seu entendimento. Foi criado um vídeo com as explicações das
diretrizes das políticas para que os coordenadores passassem o mesmo nas reuniões setoriais, esse
processo acompanhado através de assinaturas confirmando o entendimento no Termo de
Responsabilidade e Confidencialidade, que foi passada ao final das reuniões e anexado
posteriormente nas pastas dos colaboradores. A partir de maio de 2012 o vídeo foi incluído na
capacitação admissional e todos os colaboradores passam por essa conscientização. A área de
Riscos e Segurança da Informação se reúne com a área de Tecnologia da Informação a fim de tratar
dos mecanismos tecnológicos de segurança, mensalmente, e através desses encontros se percebeu
a necessidade de capacitar os colaboradores sobre a segurança na internet,
golpes,
spam
e
phishing.
Para atender essa demanda foi criado o Café com Segurança, um evento de quatro horas, onde
colaboradores de todas as áreas são escolhidos e convidados, com convite personalizado, para
participarem do evento. Durante o evento os colaboradores são envolvidos no assunto e instruídos
sobre cuidados na internet, cuidados estes que podem ser aplicados em suas casas e replicados
para seus familiares e amigos. Ao final recebem certificado de participação e ficam comprometidos a
passarem as informações recebidas em suas áreas, para compartilhamento do conhecimento
adquirido. Esta ação acontece periodicamente de três em três meses ou quando são evidenciadas
demandas a serem corrigidas, reportados pelo SATI ou pelo Comitê de Segurança da Informação.
A segurança da informação na Unimed VS é também garantida por meio de investimentos em
recursos tecnológicos e humanos. Os recursos tecnológicos utilizados estão empregados conforme
demonstrado na Figura 5.1/4
Melhoria
Descrição
Atualização
Windows Server Update Servises
(WSUS),
Deploy
automático de antivírus. Os sistemas são
atualizados para correções e em novas versões.
Confidencialidade
Controle de acesso lógico através do
Active Directory
e perfis de acesso aos sistemas.
Fragmentadores de papel, cd?s , cartões magnéticos e certificado digital dos portais (SSL/criptografia).
Integridade
Backup/Restore
banco de dados, controle biométrico e câmera de monitoramento acesso
data center
Disponibilidade
Redundância de
links
, roteadores de borda entre as principais unidades de negócio,
Oracle Rac
para
os principais sistemas,
nobreaks, switches
de
core
e ar condicionados. Controle biométrico e câmeras
monitoramento no acesso ao
data center
. Gerador de energia. Sensor umidade, temperatura e fumaça
Figura.5.1/4 -
Critérios de Segurança
A segurança da informação no que tange os recursos humanos está estruturada nas políticas e
instruções de trabalho que foram sendo criadas com base na Norma ABNT NBR ISO/IEC 27001 e
nos requisitos de negócio. As políticas criadas foram:
?
Segurança da Informação:
Orientar por meio de suas diretrizes todas as ações de segurança da
informação, para reduzir riscos e garantir a integridade, confidencialidade e disponibilidade das
informações da Unimed Vale do Sinos. Adotar procedimentos e mecanismos integrados a
segurança da informação e servir de referência para auditorias na apuração e avaliação de
responsabilidades. Estar alinhada com os requisitos de negócio e com leis e regulamentações
pertinentes.
?
Uso de Informações em Trabalhos Acadêmicos:
orientar sobre direitos e deveres relacionados
à utilização de informações da organização em trabalhos acadêmicos. Depois de realizada análise
crítica da política, identificou-se a necessidade da criação de um banco de trabalhos acadêmicos,
com o intuito de aumentar o capital intelectual da organização e propiciar a força de trabalho
oportunidade de desenvolver pesquisa no ramo de negócio;
?
Classificação da Informação:
apropriar níveis de proteção e determinar a necessidade de
medidas especiais de tratamento da informação, estabelecendo procedimentos de identificação,
tratamento, descarte, transmissão e distribuição das informações da organização. Essa política
contemplou em especial os cuidados com os prontuários dos pacientes, pois os mesmos possuem
regulamentações a serem seguidas, a fim de garantir a sua confidencialidade e integridade.
Fragmentadoras de papel foram instaladas em áreas com informações classificadas como
confidenciais, apoiando a execução da política;
?
Controle de Acesso Lógico:
estabelecer controle lógico sobre o acesso da força de trabalho a
todas as ferramentas de
software
da organização, bem como definir a responsabilidade dos
