Práticas de segurança da informação: um estudo de caso num centro hospitalar

Dissertação de Mestrado apresentada ao Instituto de Contabilidade e Administração do Porto para a obtenção de grau de Mestre em Auditoria, sob a orientação de Luís Silva Rodrigues

Nos dias de hoje e cada vez mais as tecnologias e sistemas da informação (TSI) são utilizadas em diferentes domínios. Como tal, o desenvolvimento de um bom sistema de gestão da informação é crucial para o funcionamento das organizações, independentemente do sector em que exercem a sua atividade. Uma das preocupações que afeta todos as organizações é a segurança da informação, visto que a informação é a base de qualquer negócio. Deve, então, ser garantido que esta está protegida dos diferentes tipos de ataques e que o sistema de informação está em conformidade com o conjunto de normas seguido. Este trabalho pretende apresentar os três normativos mais utilizados na implementação e desenvolvimento de um sistema de gestão de segurança da informação, e fazer uma comparação entre os mesmos, identificando assim as suas principais diferenças. Numa fase seguinte, é posto em prática os requisitos e/ou recomendações de um deles, avaliando-se a área de segurança da informação de uma organização, tendo por base esses mesmos requisitos e/ou recomendações, permitindo analisar na realidade a teoria estudada.

Nowadays, information systems and technology is inserted in different kinds of main areas. Therefore, the development of a good information system is crucial to the functioning of organizations, regardless of the sector in which they conduct their activity. One of the concerns that affects all organizations is information security, because the information is the foundation of any business. Therefore, it must be ensured that information is protected from many types of attacks and that information system complies with a set of standards. This work wants to present the three standards and guidelines most used into the implementation and development of a information security management system, compare them and identify the differences between them. Then, it was used one of them as a basis to analyze an organization, using its requirements and/or recommendations into the evaluation of the information security area of the organization in study, allowing us to analyse in the real world the theory that has been studied.