Please use this identifier to cite or link to this item: http://hdl.handle.net/10923/8503
Type: masterThesis
Title: Segurança da informação na cadeia de suprimentos da saúde: uma análise das práticas de proteção de informações críticas
Author(s): Furlanetto, Tiago Murer
Advisor: Luciano, Edimara Mezzomo
Publisher: Pontifícia Universidade Católica do Rio Grande do Sul
Graduate Program: Programa de Pós-Graduação em Administração
Issue Date: 2016
Keywords: SEGURANÇA DA INFORMAÇÃO
GESTÃO DA INFORMAÇÃO
LOGÍSTICA (ADMINISTRAÇÃO)
ADMINISTRAÇÃO DE EMPRESAS
Abstract: The organizations' information are always important, they can be the basis for decision-making, related to customers' confidential information or information to a simple request to a supplier about the correct amount of products needed for its operation. Thus, to protect this information becomes a necessity for all organizations, regardless of size or area of operation. But while organizations need to invest to protect their information, they are constantly charged by their financial performance, having to seek better results with revenue growth and cost reduction. Searching for these better results, organizations improved their relationships with partners’ organizations in supply chains. Healthcare Supply Chain is one of the chains that have received attention, both by the need for improvements in their performance and in the Information Security issues, since they are dealing with very sensitive patient information. So, the research objective seeks to analyze the practices on Information Security in order to protect critical organizational information that is part of the Healthcare Supply Chain. To achieve this goal, there were 11 semi-structured interviews with professionals of Administration and Information Technology areas from 10 different organizations participating in the Healthcare Supply Chain, including Laboratories, Clinics, Hospitals and Healthcare Plans in Southern Brazil. The interview script was developed after a literature review, which resulted in four dimensions and 14 variables that help getting information needed to achieve the goal. For the analysis of the data obtained from the interviews, was used the content analysis technique and categorical data analysis for each dimension and variables identifying the categories as they were presenting themselves in the interview transcription. Among the finding results were the knowledge of the critical information, mostly related to the patients and its internal process related to their suppliers, which did not repeated outside the organization’s boundaries. The research presented that the organizations surveyed do not work integrated and collaboratively within the supply chain, they can't see the other organizations in the supply chain as partners so that they can help each other to achieve better results, so they don’t share information nor activities. Furthermore, they have no metrics to control the impacts of possible attacks to their information in order to plan, invest and mitigate preventively the occurrence of these attacks accordingly to the value of the information to be protected. The organizations perform investments to mitigate issues, both in systems and human, but the investment is done in a generic way to all organization disregarding the importance of the information to their operations. This work can be seen as a warning to organizations of healthcare area, to the Information Security and the possible financial impact to the organizations and the supply chain of which they are part.
As informações das organizações são sempre importantes, seja por serem a base para a tomada de decisão, seja por serem informações confidenciais relacionadas aos clientes ou informações para um simples pedido à um fornecedor da quantia correta de produtos necessários para sua operação. Desta forma, proteger essas informações se torna uma necessidade para todas as organizações, independente do tamanho ou da área de atuação. Mas ao mesmo tempo que as organizações precisam investir para proteger suas informações, elas são constantemente cobradas por sua performance financeira, tendo que buscar melhores resultados com aumento de receita e redução de custo. Na busca por esses melhores resultados, organizações aperfeiçoaram seus relacionamentos com organizações parceiras das cadeias de suprimentos de que fazem parte. A Cadeia de Suprimentos da Saúde é uma das cadeias que vêm recebendo atenção, tanto pela necessidade de melhorias em sua performance como nas questões de segurança das informações que possui, visto que lida com informações bastante sensíveis de pacientes. Assim, o trabalho tem por objetivo, analisar as práticas em ações em Segurança da Informação na proteção de informações críticas das organizações na Cadeia de Suprimento da Saúde. Para atingir esse objetivo, foram realizadas 11 entrevistas semiestruturadas com profissionais de Administração e Tecnologia da Informação de 10 diferentes organizações participantes de Cadeias de Suprimento da Saúde, incluindo Laboratórios, Clinicas, Hospitais e Planos de Saúde na região sul do Brasil. O Roteiro de Entrevista foi elaborado após a revisão bibliográfica que resultou em um quadro com quatro dimensões base e 14 variáveis que auxiliaram a obtenção de informações para atingir o objetivo. Para a análise dos dados obtidos com as entrevistas, utilizou-se a técnica de análise de conteúdo com análise categorial para cada dimensão e variável, identificando as categorias conforme elas se apresentaram nas entrevistas transcritas. Dentre os resultados observados estavam o conhecimento das informações críticas para elas, principalmente relacionada aos dados dos pacientes, e dos processos internos das organizações sobre seus processos com fornecedores, mas que não se repetia fora da esfera da organização. As organizações pesquisadas não funcionam de forma integrada e colaborativa dentro da Cadeia de Suprimentos, elas não veem os demais elos da cadeia como parceiros para que possam contribuir um com o outro, assim não compartilham informações ou atividades para crescimento conjunto. Além disso, demonstraram não ter métricas para controle dos impactos de possíveis ataques às suas informações para que possam planejar, investir e mitigar de forma preventiva a ocorrência destes ataques de forma adequada ao valor da informação a ser protegida. As organizações realizam investimentos em mitigação quanto a falhas, tanto em termos de sistemas como prevenção contra falhas humanas, mas esse investimento é feito de maneira genérica, sem a preocupação específica quanto as organizações mais críticas para suas operações. Este trabalho pode ser visto como um alerta às organizações da área de assistência à saúde, quanto à Segurança das Informações e dos possíveis impactos financeiros à elas e a cadeia da qual fazem parte.
URI: http://hdl.handle.net/10923/8503
Appears in Collections:Dissertação e Tese

Files in This Item:
File Description SizeFormat 
000479073-Texto+Completo-0.pdfTexto Completo1,61 MBAdobe PDFOpen
View


All Items in PUCRS Repository are protected by copyright, with all rights reserved, and are licensed under a Creative Commons Attribution-NonCommercial 4.0 International License. Read more.