Análise de políticas de segurança por meio de Rede Petri colorida em sistemas de informação em saúde que utilizam controle de acesso baseado em papéis (RBAC)

Abstract

Introdução e Objetivos: Atualmente existem diversos Sistemas de Informação em Saúde (SIS) desenvolvidos ou adaptados para atender necessidades particulares de hospitais, clínicas e ambulatórios em uso nacional e internacionalmente. Todavia,os novos cenários de uso de SIS, incluindo aspectos de arquitetura e de implementações de sistema podem requerer funcionalidades e características não previstas em sua concepção original e precisam ser testadas em cenários de simulação e modelagem para avaliação de seus aspectos de segurança. Neste estudo, essa avaliação é realizada utilizando-se simulação e modelagem de Rede de Petri Colorida (RPC) para visualizar os aspectos de segurança no processo de autorização de acesso em um sistema que implementa o controle de acesso baseado em papéis (RBAC), o modelo mais utilizado no SIS. Foram considerados os riscos descritos na literatura, boas práticas e normas internacionais, além dos requisitos de controle de acesso utilizados para certificação de sistemas de registro eletrônico de saúde (S-RES) no Brasil. Métodos: A metodologia empregada utilizou linguagem de programação funcional para a construção de modelos de simulação que reproduzem cenários de potencial conflito de políticas de segurança e cenários de interesse vistos na literatura. Resultados: A avaliação de 167 artigos em revisão de literatura apontou como principais desafios para SIS utilizando RBAC aqueles envolvendo acesso emergencial, delegação de autorizações e controle de acesso envolvendo sistemas interligados. Aproximadamente 82% dos desenvolvedores de SIS entrevistados informam que usam RBAC e cerca de 17% desses entrevistados afirmam que irão implementar versões adaptadas ou híbridas do RBAC em médio ou longo prazo. 14 funções RBAC foram modeladas em RPC, utilizando a ferramenta CPN Tools. As funções RC-04, RC-06, RC-26, RC-22, RC-10, RC-18 e RC-01 do RBAC tiveram modificações sugeridas, considerando os cenários de interesse estudados por meio da simulação com o modelo. Conclusão: O estudo propõe o uso de RPC para simular o comportamento do controle de acesso RBAC em SIS. Durante o processo de construção e uso do modelo proposto para simulação, investigações sobre cenários de interesse propiciaram a verificação de pontos de melhoria e alterações em funções RBAC, para melhor atender as necessidades da área de saúde. O modelo desenvolvido para simulações se mostrou útil, apenas quando acompanhado de outras ferramentas de descrição de requisitos de SIS.