Defining the Information Security Posture: An Empirical Examination of Structure, Integration, and Managerial Effectiveness

Young, Randall Frederick

08 1900

The discipline of information security management is still in its infancy as evidenced by the lack of empirical scholarly work in this area. Most research within the information security domain focuses on specific technologies and algorithms and how it impacts the principles of confidentiality, integrity, and availability. But, an important area receiving little attention is the antecedents of effective information security management at the organizational level (Stanton, Guzman, Stam & Caldera, 2003). The little empirical research that has been conducted in this area has shown that information security management in many organizations is poor (Baskerville, 1993; Shimeall & McDermott, 1999). Several researchers have identified the need for methods to measure the organization-wide information security posture of organizations (Eloff & Von Solms, 2000; James, 1996). This dissertation attempts to measure the organization-wide information security posture by examining benchmark variables that assess role, planning orientation, and performance structure within the organization. Through this conceptualization of an organization's information security posture, a means is presented to measure overall information security and how it impacts the effective utilization of information security strategies. The presence of the dependent variable, effectiveness, gives academics and practitioners a success measure which can guide more effective decision making in the information security domain. An additional aim of this dissertation is to empirically examine the influence of management practices and decisions on effective use of information security strategies within the organization. The issues of centralization versus decentralization of information security activities will be evaluated along with its impact on information security posture of organizations and the effectiveness of the organization's information security strategies. Data was collected from 119 IT and information security executives. Results show that how the organization structures information security activities is not correlated with more effective utilization of information security strategies. Meanwhile, the organization's information security posture is significantly correlated with more effective utilization of information security strategies. The implications of this research is discussed.

recovery

centralization

Information security

decentralization

prevention

deterrence

detection

Computer networks -- Security measures.

Computer security -- Management.

Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade. / Support framework for security policies and risk management focused on ITC outsourcing, cloud computing and mobility.

Leandro José Aguilar Andrijic Malandrin

05 April 2013

O cenário tecnológico é um fator importante a ser considerado ao se trabalhar com Sistemas de Gestão de Segurança da Informação (SGSI). No entanto, nos últimos anos esse cenário se alterou profundamente, aumentando em complexidade de maneira até antes não vista. Caracterizado principalmente por tendências tecnológicas como a terceirização de infraestrutura de TIC, a computação em nuvem e a mobilidade, o cenário externo atual gera grandes novos desafios de segurança. A abordagem típica para tratar com mudanças de cenário em SGSIs é uma revisão da análise de riscos e a implantação de novos controles de segurança. No entanto, frente a um cenário tão disruptivo, riscos podem passar despercebidos, devido à falta de conhecimento sobre os novos elementos introduzidos por esse cenário. Por causa disso, adaptações mais profundas, durante o próprio planejamento do SGSI, são necessárias. Usando a norma de segurança ISO/IEC 27001 como referência, esse trabalho introduz um modelo de suporte que permite a identificação dessas adaptações. Para construir esse modelo, foram inicialmente levantados os riscos referentes a cada uma das três tendências tecnológicas listadas. Esses riscos foram compilados e analisados em conjunto, buscando a identificação de temas de preocupação recorrentes entre eles. Para endereçar cada um dos temas dentro do modelo de suporte, foram levantadas adaptações do SGSI sugeridas na literatura e na prática de segurança. Essas adaptações foram transformadas em pontos de checagem a serem observados durante a execução das duas atividades principais da fase de Planejamento do SGSI da ISO/IEC 27001: definição de políticas de segurança e gestão de riscos. A contribuição principal do trabalho é um modelo de suporte de segurança com o qual as organizações podem adaptar o seu SGSI e assim melhor protegerem suas informações frente ao cenário tecnológico externo descrito. Como contribuição secundária está a sugestão de uma análise unificada com foco em segurança das tendências tecnológicas desse cenário. / The technological scenario is an important factor to be considered while working with Information Security Management Systems (ISMS). However, in the latter years this scenario has changed deeply, increasing in complexity in a way not seen so far. Characterized mainly by the heavy use of ITC infrastructure outsourcing, cloud computing and mobility, the current external scenario creates big new security challenges. The typical approach to handle changes of scenarios in ISMSs is a risk assessment review and deployment of new security controls. However, when considering such a disruptive scenario, some risks may go unnoticed, due to the lack of knowledge of the elements introduced by this scenario. Because of that, deeper adaptations are needed, during the actual ISMS planning. Using the ISO/IEC 27001 as a reference, this research introduces a framework for the identification of these adaptations. To build this framework, risks related to each of the three technological trends mentioned were identified. These risks were compiled and analyzed together, searching for recurring themes of concern among them. To address each of these themes in the framework, ISMS adaptations suggested in the security literature and practice were identified. These adaptations were transformed in checkpoints to be verified during the execution of the two main activities of the ISO/IEC 27001 ISMS Plan phase: security policies definition and risk management. The main contribution of this research is a framework which can help organizations adapt their ISMSs and better protect their information in the technological scenario described. As a secondary contribution is the proposal of a unified security analysis of the distinct security trends of the external scenario.

Computação em nuvem

Gestão de riscos

Gestão de segurança da informação

Mobilidade

Políticas de segurança

Segurança da informação

Terceirização

Cloud computing

Information security

Information security management

Mobility

Outsourcing

Risk analysis

Security policies

Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade. / Support framework for security policies and risk management focused on ITC outsourcing, cloud computing and mobility.

Malandrin, Leandro José Aguilar Andrijic

05 April 2013

O cenário tecnológico é um fator importante a ser considerado ao se trabalhar com Sistemas de Gestão de Segurança da Informação (SGSI). No entanto, nos últimos anos esse cenário se alterou profundamente, aumentando em complexidade de maneira até antes não vista. Caracterizado principalmente por tendências tecnológicas como a terceirização de infraestrutura de TIC, a computação em nuvem e a mobilidade, o cenário externo atual gera grandes novos desafios de segurança. A abordagem típica para tratar com mudanças de cenário em SGSIs é uma revisão da análise de riscos e a implantação de novos controles de segurança. No entanto, frente a um cenário tão disruptivo, riscos podem passar despercebidos, devido à falta de conhecimento sobre os novos elementos introduzidos por esse cenário. Por causa disso, adaptações mais profundas, durante o próprio planejamento do SGSI, são necessárias. Usando a norma de segurança ISO/IEC 27001 como referência, esse trabalho introduz um modelo de suporte que permite a identificação dessas adaptações. Para construir esse modelo, foram inicialmente levantados os riscos referentes a cada uma das três tendências tecnológicas listadas. Esses riscos foram compilados e analisados em conjunto, buscando a identificação de temas de preocupação recorrentes entre eles. Para endereçar cada um dos temas dentro do modelo de suporte, foram levantadas adaptações do SGSI sugeridas na literatura e na prática de segurança. Essas adaptações foram transformadas em pontos de checagem a serem observados durante a execução das duas atividades principais da fase de Planejamento do SGSI da ISO/IEC 27001: definição de políticas de segurança e gestão de riscos. A contribuição principal do trabalho é um modelo de suporte de segurança com o qual as organizações podem adaptar o seu SGSI e assim melhor protegerem suas informações frente ao cenário tecnológico externo descrito. Como contribuição secundária está a sugestão de uma análise unificada com foco em segurança das tendências tecnológicas desse cenário. / The technological scenario is an important factor to be considered while working with Information Security Management Systems (ISMS). However, in the latter years this scenario has changed deeply, increasing in complexity in a way not seen so far. Characterized mainly by the heavy use of ITC infrastructure outsourcing, cloud computing and mobility, the current external scenario creates big new security challenges. The typical approach to handle changes of scenarios in ISMSs is a risk assessment review and deployment of new security controls. However, when considering such a disruptive scenario, some risks may go unnoticed, due to the lack of knowledge of the elements introduced by this scenario. Because of that, deeper adaptations are needed, during the actual ISMS planning. Using the ISO/IEC 27001 as a reference, this research introduces a framework for the identification of these adaptations. To build this framework, risks related to each of the three technological trends mentioned were identified. These risks were compiled and analyzed together, searching for recurring themes of concern among them. To address each of these themes in the framework, ISMS adaptations suggested in the security literature and practice were identified. These adaptations were transformed in checkpoints to be verified during the execution of the two main activities of the ISO/IEC 27001 ISMS Plan phase: security policies definition and risk management. The main contribution of this research is a framework which can help organizations adapt their ISMSs and better protect their information in the technological scenario described. As a secondary contribution is the proposal of a unified security analysis of the distinct security trends of the external scenario.

Cloud computing

Computação em nuvem

Gestão de riscos

Gestão de segurança da informação

Information security

Information security management

Mobilidade

Mobility

Outsourcing

Políticas de segurança

Risk analysis

Security policies

Segurança da informação

Terceirização

Linking Information Security Awareness to Information Security Management Strategy.A Study in an IT Company

Spandonidis, Bladimiros

January 2015

There is a great concern when it comes to the investigation of the parameters that affect the formulation of an information security management strategy in an organization. Amongst others, information security awareness is of great interest, mainly because it links the implementation of the information security policies to the consciousness and the psychology of the employees of an organization. State it otherwise, the information security awareness positively beholds the role of a bridge so as to help the IS managers to evaluate the level that the critical information of the organization are secured, and it offers to IS managers opportunities to develop suitable training programs and information security policies for all the employees of an organization. In the current thesis, we focused on the investigation of the factors that influence the behavior of the employees in order to accept any information security policy of the organization and to adopt information security awareness.The psychology of security and technology (POST™) framework (Layton, 2005) together with a PEST (Political, Economic, Social, Technology) analysis guide the investigation and offer the theoretical background for the conduction of a study in an IT Company. A qualitative research has been conducted and semi-structured interviews helped for the collection of the desired data. Also a thematic analysis and the use of a generic approach (Lichtman, 2013) helped for the analysis of the data. The final results gave the ability to identify in practice the employees’ information security awareness adoption level, to link the measurement findings to the development of an information security management strategy and to refine the POST™ framework for its greater advance.

Information security awareness

information security policies

compliance

psychology

security

measurement

information security training programs

POST™ framework

PEST analysis.

Die Rolle der Social Media im Information Security Management

Humpert-Vrielink, Frederik

30 May 2014

No description available.

Konferenz

GeNeMe 2011

Social Media

Informationssicherheitsmanagement

Informationssicherheit

conference

new media

online community

Social Media

Information Security Management

information security

ddc:330

rvk:QR 760

Hantering av fysiska säkerhetsrisker – en kunskapsöversikt / Physical security risk management - a systematic review

Bron, Mikael

January 2013

Att kunna arbeta med systematisk hantering av brotts-, brands- och arbetsmiljörisker är en eftertraktadkompetens. Det syns inte minst i både näringslivets och den offentliga förvaltningensarbetsannonser när man söker chefer, handläggare eller samordnare till säkerhetsavdelningar.Trots det finns mycket lite skrivet på svenska om riskhantering och riskanalys i kontexten skyddmot brott. Ännu ovanligare är litteratur som jämför riskhantering mellan brandskydd, arbetsmiljöoch brottsskydd.Bristen på litteratur påverkar även studier av riskhantering inom fysisk och organisatorisk säkerhet,i synnerhet på akademisk nivå där det i Sverige är ett relativt nytt ämne. Att flytta fram positionernaoch vidga kunskapsfältet är därför angeläget både för ämnet fysisk- och organisatorisk säkerhetsåväl som för näringslivet. Detta kandidatarbete är ett tidigt bidrag till ett ämnesområde som ser utatt växa. Genom att kartlägga engelsspråkiga handböcker och det vetenskapliga kunskapsläget inomnärliggande discipliner har arbetet haft ytterligare ett mål: att nå ut med kunskap till de som arbetarmed riskhantering i praktiken och på så sätt vidga gruppens medvetenhet och yrkeskompetens.Uppsatsens syfte är att redovisa kunskapsläget och samtidigt visa på riskhanteringsprocessensbredd och djup. Mer konkret har det skett genom att identifiera likheter och skillnader i destuderade områdenas begreppsapparater, processbeskrivningar, problem, framgångsfaktorer ochsamtidigt redovisa eventuell kritik som riktas mot riskhantering som fenomen. Resultaten visar attdet finns fler likheter än skillnader mellan både riskhanteringsprocesser som riskanalysmetoder,oavsett om syftet är att skydda mot brott, ohälsa eller brand och olyckor.Arbetet har genomförts som en deskriptiv litteratursstudie och jämförande textanalys. Riskhanteringsprocessenhar beskrivits med utgångspunkt i den generiska ISO-standarden (31000:2009,Riskhantering - Principer och riktlinjer). Tio riskanalysmetoder som täcker samtliga steg i riskbedömningsmomentethar valts ut och beskrivits. Redovisning med tillhörande analys har följtsamma ordningsföljd som standardens processbeskrivning. Materialet har kompletterats ochjämförts med facklitteratur och vetenskapliga artiklar från tre riskhanteringsområden: (1) skyddmot ohälsa i arbetsmiljön, (2) skydd mot brand och olyckor samt (3) skydd mot brott.Uppsatsen ger även exempel på den inkonsekventa begreppsanvändningen som förekommer bådemellan och inom olika discipliner som sysslar med riskhantering. En av uppsatsens slutsatser äratt det sannolikt inte går att skapa en enhetlig begreppsapparat varken inom akademin eller i denpraktiska verksamheten samtidigt som det heller inte är nödvändigt. Istället kan missförstånd undvikasgenom att tydligt och i varje enskilt fall definiera vad man avser med ett visst begrepp. / The competence to manage risks related to health, security, fire and safety is a sought-after skill.This is especially noticeable in both business and public administration job postings for therecruitment process of managers, administrators or coordinators to security departments. At thesame time there is little specialist literature available in Swedish on the subject of risk managementin the context of protecting assets and people from physical security threats. The lack of literatureaffects the study of risk management from a physical and procedural security perspective,particularly at an academic level where this is a relatively new topic. To move forward and expandthe field of knowledge is an important step, not only for the scientific community but also for theindustry. This bachelor thesis attempts to be an initial but significant contribution to a topic thatis likely to grow. By mapping what has already been published on the subject in English as wellas summing up and analyzing the scientific knowledge from similar disciplines the thesis has alsohad an additional goal: to reach out with knowledge to those dealing with risk management inpractice, and thus raising their awareness and developing their professional skills.The purpose of this study is to present the current state of knowledge and at the same time toshow the width and depth of the risk management process. This is done by identifying similaritiesand differences in definitions, process descriptions, problems and best practice of the studied areaswhile at the same time account for any criticism offered against risk management as a concept.The results show that there are more similarities than differences in the risk management processand methods regardless of whether the purpose is to protect people and assets from healthhazards, crime, fire or accidents.The paper has been conducted as a descriptive literature study and a comparative textual analysis.The risk management process has been described with reference to the generic ISO standard(31000:2009, Risk management - Principles and guidelines). Also, ten common risk analysismethods that cover all steps in the risk assessment process have been described. The narrative andrelated analysis follow the same order as the ISO-standard process description.The material has been supplemented and compared with guidelines and scientific papers from threetypes of risks management contexts: (1) health hazards, (2) fire and safety, and (3) security.The paper also provides examples of the inconsistent use of terms and definitions both between andwithin different disciplines involved in risk management. One of the conclusions of the report is thatcreating a unified, universal terminology to be used in the security context probably is impossibleas well as being not necessary. Instead, certain terminological misunderstandings can be avoided byproviding clear definitions and explanations of their meaning in each particular case.

Physical security

Procedural security

Risk analysis

Risk assessment

Risk management

Security management

Fire

Safety

Occupational health

Fysisk säkerhet

Organisatorisk säkerhet

Riskanalys

Riskbedömning

Riskhantering

Brottsskydd

Brandskydd

Olycksskydd

Arbetsmiljöskydd

CULTURA DE SEGURANÇA DO PACIENTE EM UMA MATERNIDADE NA PERSPECTIVA DE USUÁRIAS E EQUIPE MULTIPROFISSIONAL

Félix, Roselaine dos Santos

22 May 2017

Submitted by MARCIA ROVADOSCHI (marciar@unifra.br) on 2018-08-22T13:08:35Z No. of bitstreams: 2 license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Dissertacao_RoselainedosSantosFelix.pdf: 4923751 bytes, checksum: 97b12f80a780930245d6dbccffe6b309 (MD5) / Made available in DSpace on 2018-08-22T13:08:35Z (GMT). No. of bitstreams: 2 license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Dissertacao_RoselainedosSantosFelix.pdf: 4923751 bytes, checksum: 97b12f80a780930245d6dbccffe6b309 (MD5) Previous issue date: 2017-05-22 / In the effort to improve, the quality of health care with emphasis on patient safety and organizational culture assessments many efforts have been put forth worldwide. One of the groups to be investigated consists of the same maternal and childcare that for the sake of make part of a special population, which requires a general and specific care, with the necessity for a multi-professional team action. Therefore, this study had the objective to evaluate the safety culture of the patient in a maternity ward from the perspective of the users and from the multi-professional team. For this purpose, a cross-sectional study was carried out in which data gathering occurred between the months of May and June 2016 at the maternity hospital of a large teaching hospital in the interior of the Rio Grande do Sul state, Brazil. The sample was consisted of 352 users (101 pregnant women and 251 postpartum women) and 62 staff members (25 nursing assistants and technicians, 15 residents, 14 nurses and 8 other professionals). A questionnaire previously validated with socio-demographic, both clinical and patient safety already used with the users and the Brazilian version of the Survey Hospital Survey on Patient Safety Culture, da Agency for Healthcare Research and Quality for professionals were the instruments utilized. All the work made in the elaboration of this essay followed all ethical aspects involving research with human beings. The data was analyzed through descriptive statistics (in absolute and relative frequencies) and also inferential, in which the chi-square test was applied to verify the associations between the patient's safety level, the events reported and the socio-demographic and clinical data that possessed the International goals of patient safety, respectively, in the category of health professionals and its users. It was considered a level of significance of α<0,05. The perception results of users about patient safety showed that the majority (60%) of the users were unaware of the issue, could not identify the risks related to care (82%), were satisfied with care (95%) and made suggestions in two categories: working processes (75%) and structure (10%). Among the associations performed, there was an association between age with the goal 4 of the correct procedures (p=0.03), number of pregnancies with the goals 2 of communication (p=0.03) and 3 related to medicine (p=0.01), type of delivery and Goal 2 (p=0.00), number of medical appointments and goal 1 of the correct identification of patients (p=0.01). With the basis on the evaluations of the dimensions from the instrument used with the professionals, no areas of positive force were identified, although organizational learning and continuous improvement; as well as expectations and actions of supervisors; openness to communication were located in the neutral area, and the others presented potential for improvement, with lower scores for management support dimensions and non-punishing responses to errors. The health team evaluated the degree of safety of the patient in the maternity ward as average (59.7%) and presented 15 suggestions to strengthen the safety culture of the patient in the maternity ward. The results suggest that users and health professionals identified week points of the patient safety culture in the maternity ward. To improve this scenario, some products were elaborated among those a folder and a Manual for the safety of the patient in the maternity ward with orientations for patients, relatives, companions and professionals. There are the necessity of changes to strengthen this culture and those are urgent and a priority, integrating a diversity of organizational actions that compromise managers, professionals and users in the promotion of a safe maternity ward. / Muitos esforços têm sido desenvolvidos em âmbito mundial para melhorar a qualidade da assistência à saúde com ênfase na segurança do paciente e em avaliações da cultura organizacional. Um dos grupos a serem investigados compreende o da atenção materno-infantil, por constituir uma população especial, que exige cuidados gerais e específicos, com a necessidade de uma atuação multiprofissional. Portanto, o presente estudo teve como objetivo avaliar a cultura de segurança do paciente em uma maternidade na perspectiva das usuárias e da equipe multiprofissional. Para isso, foi realizado um estudo transversal, com a coleta dos dados entre os meses de maio e junho de 2016, na maternidade de um hospital de ensino, de grande porte, do interior do estado do Rio Grande do Sul, Brasil. A amostra foi composta por 352 usuárias (101 gestantes e 251 puérperas) e 62 profissionais da equipe (25 auxiliares e técnicos de enfermagem, 15 residentes, 14 enfermeiros e, 8 outros profissionais de nível superior). Os instrumentos utilizados foram um questionário previamente validado com dados sociodemográficos, clínicos e de segurança do paciente utilizado com as usuárias e a versão brasileira do questionário Hospital Survey on Patient Safety Culture, da Agency for Healthcare Research and Quality para os profissionais. O trabalho seguiu todos os aspectos éticos envolvendo pesquisa com seres humanos. Os dados foram analisados por meio de estatística descritiva (frequências absolutas e relativas) e inferencial, na qual o teste qui-quadrado foi aplicado para verificar as associações entre o grau de segurança do paciente, os eventos notificados e os dados sociodemográficos e clínicos com as metas internacionais de segurança do paciente, respectivamente, na categoria dos profissionais de saúde e usuárias. Considerou-se um nível de significância de α<0,05. Os resultados da percepção das usuárias sobre segurança do paciente apontaram que a maioria (60%) das usuárias desconhece o tema, não conseguem identificar os riscos relacionados à assistência (82%), estão satisfeitas com o atendimento (95%) e, realizaram sugestões em duas categorias: processos de trabalho (75%) e estrutura (10%). Dentre as associações realizadas, houve associação entre idade com a meta 4 dos procedimentos corretos (p=0,03), número de gestações com a meta 2 da comunicação (p=0,03) e 3 sobre medicamentos (p=0,01), tipo de parto e a meta 2 (p=0,00), número de consultas e a meta 1 da identificação correta dos pacientes (p=0,01). Com base nas avaliações das dimensões do instrumento utilizado com os profissionais não foram identificadas áreas de força positiva, mas o aprendizado organizacional e melhoria contínua; expectativa e ações dos supervisores e; abertura para comunicação localizaram-se na área neutra, sendo que as demais apresentaram potencial de melhoria, com menores escores para as dimensões apoio da gestão e respostas não punitivas aos erros. A equipe de saúde avaliou o grau de segurança do paciente na maternidade como regular (59,7%) e apresentou 15 sugestões para fortalecer a cultura de segurança do paciente na maternidade. Os resultados sugerem que usuárias e profissionais identificaram fragilidades da cultura de segurança do paciente na maternidade. Para melhorar este cenário, os produtos elaborados foram um folder e um Manual para a segurança do paciente na maternidade com orientações para pacientes, familiares, acompanhantes e profissionais. Mudanças para fortalecer esta cultura são inadiáveis e prioritárias, integrando uma diversidade de ações organizacionais que comprometam gestores, profissionais e usuárias na promoção da maternidade segura. Palavras-chave: Cultura

Saúde Materno Infantil

Análise do uso de novas tecnologias na troca e armazenamento de informações de saúde e o segredo profissional / Analysis of the use of new technologies in the exchange and storage of health information and in relation to the professional secrecy

Carlos Henrique Jacob

26 February 2010

O caráter privativo das informações de saúde, reconhecido e valorizado desde a antigüidade clássica, hoje é considerado como um dos fatores indispensáveis à manutenção da sociedade, das garantias constitucionais de liberdade e também, em última instância, à própria democracia. Essa importância é demonstrada pela existência do segredo profissional, que, para as profissões da área da saúde (como medicina, odontologia, psicologia, nutrição etc.) de um modo positivo, coloca aos profissionais a necessidade de se guardar segredo a respeito de todas as informações sobre as quais adquire-se conhecimento no exercício de suas profissões. No Brasil, a questão da manutenção do segredo profissional das profissões de saúde adquire um caráter dramático quando se leva em consideração a implementação da Troca de Informações em Saúde Suplementar por parte da Agência Nacional de Saúde Suplementar, autarquia especial que regula o setor de saúde suplementar. Pretendendo facilitar a troca de informações entre prestadores de serviços e operadoras, e também permitir e homogeneizar a obtenção de informação para o estabelecimento de políticas públicas, a Troca de Informações em Saúde Suplementar já é realizada desde 2008, envolvendo todas as informações de saúde de mais de 52 milhões de beneficiários. A utilização de tecnologias de troca de informação e a criação de bancos de dados, associados a um histórico de vazamento de dados sensíveis, criam dúvidas sobre a manutenção do segredo profissional e o caráter privado das informações de saúde. Neste trabalho, foi analisada a legislação estruturante da Troca de Informações em Saúde Suplementar no que diz respeito aos requisitos de segurança para a troca e armazenamento de informação sensível com o intuito de verificar se essa legislação supre, de modo eficaz, a exigência de proteção à manutenção do caráter privativo das informações de saúde que existe nos Códigos de Ética Profissionais e no Código Civil Brasileiro. Apesar das exigências para a segurança das informações ser, hoje, adequada à manutenção do segredo profissional enquanto essas informações são trocadas ou encontram-se armazenadas nas operadoras de planos de saúde, a norma se fia nos requisitos estabelecidos por um órgão privado cujas prioridades, naturalmente, podem, no futuro, não estar vinculadas exclusivamente ao maior bem social. Ademais, não se observa na legislação uma atenção ou recomendações dedicadas ao profissional em consultório isolado e que armazena os dados de seus pacientes em computadores pessoais previamente ao envio via internet. Além disso, em consultas realizadas à ANS em agosto e setembro de 2009 a respeito dos dados transmitidos pelas operadoras à Agência para o cumprimento do disposto nos artigos 20 e 32 da lei 9656/98, não se obteve resposta a respeito de quais dados são repassados pelas operadoras à ANS, nem sobre quais os padrões de segurança a que estes dados estão submetidos, nem, tampouco, sobre quais os indivíduos que têm acesso a estes dados, indicando falta da necessária transparência que é essencial a uma autarquia regulatória de um setor de interesse social. Estes fatos indicam claramente que a manutenção do segredo profissional está em risco nas atuais condições. / Health information is valued and recognized as sensible and private since ancient times. It is also considered one of the most important factors in maintaining and supporting the fabric of society, the constitutional guarantee of liberty and also, democracy itself. Health professionals have the duty to keep all their patients information private. In Brazil, this acquires a dramatic character when one considers the recently implemented Information Exchange in Suplementary Health (TISS) by the Agência Nacional de Saúde Suplementar, governments regulating bureau for the suplementary health sector. Intending to facilitate the information exchange between service providers and health operators, and also to standardize the process of obtaining and providing information for policy makers, the Information Exchange has been in use since 2008 and involves identifiable health information of more than 52 million users. Technologies to allow health information exchange and the creation of data banks associated with sensible information data leaks raise doubts over the ability to keep health information safe from prying eyes. In this study, the structural legislation of the Information Exchange in Suplementary Health was analysed regarding the safety requirements proposed for the health information exchange and storage, to verify if it addresses the demand that exists in professional codes of ethics and also in Brazils Código Civil to protect the privacy of health information. Although - by todays standards - the requirements for information security are deemed adequate for the safekeeping and in addressing the need for privacy and security while the information is exchanged or stored by the health plans operators, theres no dedicated attention to recomendations for the professionals on their small practice offices, who hold their patients information on their personal computers. Also, the law establishes that a private agency is responsible for dictating the requirements that keep the information safe, a measure that is not entirely risk-safe as the interests of the private sector may shift with the market, leaving the social needs/interests behind. Besides these facts, when consulting the Agência Nacional de Saúde Suplementar in august and september 2009 regarding what kind of data is transmitted by the Health Plans operators and what kind of security measures are undertaken to protect this data, no answer was obtained, indicating a lack of transparency that is apalling in a regulatory bureau that serves the society. These facts clearly indicate that the maintenance of professional secrecy and patient privacy is threatened in current conditions. Keywords: computer systems security management, professional secrecy, information accountability, Agência Nacional de Saúde Suplementar (Brazil)

Responsabilidade pela informação

Segredo profissional

Computer systems security management

Information accountability

Professional secrecy

Fiscalização de obras públicas: gestão de segurança na Universidade Federal de Juiz de Fora

Silva, Wellington Coutinho da

08 July 2015

Submitted by Renata Lopes (renatasil82@gmail.com) on 2016-04-13T15:04:13Z No. of bitstreams: 1 wellingtoncoutinhodasilva.pdf: 2135073 bytes, checksum: 8db9e202912102fb4be981c75ab1fa05 (MD5) / Approved for entry into archive by Adriana Oliveira (adriana.oliveira@ufjf.edu.br) on 2016-04-24T03:24:31Z (GMT) No. of bitstreams: 1 wellingtoncoutinhodasilva.pdf: 2135073 bytes, checksum: 8db9e202912102fb4be981c75ab1fa05 (MD5) / Made available in DSpace on 2016-04-24T03:24:31Z (GMT). No. of bitstreams: 1 wellingtoncoutinhodasilva.pdf: 2135073 bytes, checksum: 8db9e202912102fb4be981c75ab1fa05 (MD5) Previous issue date: 2015-07-08 / O setor da Indústria da Construção Civil tem um dos maiores índices de acidentes e fatalidades, refletindo o setor que apresenta as piores condições de segurança, em nível mundial. Uma das principais causas para o fato é de que a prevenção de riscos não é priorizada por diversas empresas, devido à falta de conscientização da real importância da Segurança e Saúde do Trabalho por parte dos responsáveis pelo gerenciamento dos empreendimentos. A questão da Segurança e Saúde ganha maior dimensão quando aplicada à obras maiores e mais complexas, como por exemplo, os hospitais. O objetivo deste trabalho é apresentar ferramentas de controle da Gestão de Segurança e Saúde do Trabalho utilizadas na obra de ampliação de um hospital universitário, na Universidade Federal de Juiz de Fora (UFJF) em Juiz de Fora – MG. É apresentada a forma como a empresa construtora, em conjunto com a fiscalização atuaram em relação à segurança do trabalho na execução de uma obra pública. A metodologia utilizada parte de uma revisão bibliográfica e segue com um estudo de caso exploratório. No período de pouco mais de um ano não foi constatado nenhum acidente grave com vítima fatal ou afastamento de colaboradores da produção. O estudo mostra que a existência de um processo de gestão criteriosamente estabelecido, seguido de um monitoramento constante são os fatores determinantes para que a segurança dos trabalhadores seja alcançada ao longo da execução da obra. / Construction is one of the highest rates of accidents and fatalities sector of Industry, showing an industrial sector that has the worst security conditions worldwide. One of the main causes is the fact that risk prevention is not priority of the companies, due to lack of awareness of the real importance of occupational health and safety by those responsible for managing the projects. The issue of health and safety grows in importance when applied to larger and more complex constructions, such as hospitals. The objective of this dissertation is to present control tools for Management of Occupational Health and Safety used in the expansion of a Teaching Hospital of Universidade Federal de Juiz de Fora (UFJF) in Juiz de Fora – MG, Brazil. This study displays how the construction company, along the UFJF inspection, works regarding workplace safety in the execution of a public facility. The methodology begins in a literature review and follows with an exploratory case. In one-year period it was not observed any serious accident with fatality or removal of employees in production. The research shows that the existence of a carefully established management process, followed by constant monitoring is critical for the safety of workers during the building activities.

CNPQ::ENGENHARIAS

Gestão de segurança

Gestão de obras públicas

Fiscalização

Hospital universitário de Juiz de Fora

Security management

Management of public works

Supervision

Teaching Hospital of Juiz de Fora

Gestão estratégica da segurança do trabalho na área industrial de uma usina de etanol, açúcar e energia elétrica

Vicente, Fernando Antônio da Costa Figueiredo

13 June 2012

Submitted by Fernando Antônio da Costa Figueiredo Vicente (fernando@altamogiana.com.br) on 2012-07-11T11:20:20Z No. of bitstreams: 1 TESE FERNANDO VERSÃO FINAL E OFICIAL.pdf: 4861683 bytes, checksum: 5cbcd8ded972414ea9f4453b44a416a1 (MD5) / Approved for entry into archive by Suzinei Teles Garcia Garcia (suzinei.garcia@fgv.br) on 2012-07-11T12:27:50Z (GMT) No. of bitstreams: 1 TESE FERNANDO VERSÃO FINAL E OFICIAL.pdf: 4861683 bytes, checksum: 5cbcd8ded972414ea9f4453b44a416a1 (MD5) / Made available in DSpace on 2012-07-11T12:32:20Z (GMT). No. of bitstreams: 1 TESE FERNANDO VERSÃO FINAL E OFICIAL.pdf: 4861683 bytes, checksum: 5cbcd8ded972414ea9f4453b44a416a1 (MD5) Previous issue date: 2012-06-13 / Achieve profitability in a plant ethanol producer, sugar and electric power, without accidents at work, went on to be major challenge. Therefore, the Security Management has become strategic, seeking to bring business value "security" as a fundamental instrument in the implementation of production. Raise the history of implementation of the safety management System of the power plant and also we checked through universal indicators of security, if the numbers achieved satisfactory evolution, present trying to identify the actions taken and the results. In the process of evolution of that system, the plant became the first in the world in obtaining International certification (OHSAS 18001) security sector, as well as achieve Cosan 4th cane processing in Brazil. Applying the ICOS Instrument - Organizational Climate inventory safety in 2005 and again in 2011, we evaluate whether with production growth, coupled with the increase in the number of employees, the security value remained present. Apuramos also possible factors such as company time, schooling, proportion of accidents and interviews with officials who contributed to the existence of sectors there are 16 years without losing a day of work by accident. Finally, we found that deal with security management, empowers the company to face difficulties on the market, because success can not be worth today, for the following day in the event of an accident. Prevent, educate, seeking knowledge, celebrate, collect results, and daring, define plant's administration style studied. / Conseguir lucratividade em uma usina produtora de etanol, açúcar e energia elétrica, sem acidentes do trabalho, passou a ser grande desafio. Portanto, a Gestão de Segurança transformou-se em estratégica, buscando levar o valor empresarial 'segurança' como instrumento fundamental na execução da produção. Levantamos a história da implantação do Sistema de Gestão da Segurança da usina e também checamos através de indicadores universais de segurança, se os números alcançados, apresentam evolução satisfatória, procurando identificar as ações aplicadas e os resultados. No processo de evolução desse sistema, a usina tornou-se a primeira do mundo na obtenção de uma Certificação Internacional de Segurança (OHSAS 18001) do setor sucroenergético, além de alcançar quarto lugar em processamento de cana no Brasil. Aplicando o Instrumento ICOS – Inventário de Clima Organizacional de Segurança em 2005 e novamente em 2011, avaliamos se com crescimento da produção, aliado ao aumento do número de trabalhadores, o valor segurança manteve-se presente. Também apuramos possíveis fatores como tempo de empresa, escolaridade, proporção de acidentes e entrevistas com os responsáveis que contribuíram para a existência de setores há 16 anos sem perder um dia de trabalho por acidente. Finalmente, concluímos que lidar com gestão da segurança, capacita a empresa para enfrentar dificuldades do mercado, pois sucesso hoje, pode não valer para o dia seguinte caso ocorra acidente. Prevenir, educar, buscar conhecimento, celebrar, cobrar resultados e ousadia, definem o estilo de administração da usina estudada.

Gestão da segurança

Pesquisa na segurança

Indicadores de segurança

OHSAS 18001

Security management

Security research

Security indicators

Economia

Segurança do trabalho

Segurança do trabalho - Indicadores

Prevenção de acidentes

Açúcar - Usinas

Álcool como combustível