14 / Outubro / 2015

6 dicas para garantir a segurança da informação do usuário

segurança

Segurança da informação é um assunto que vem ganhando cada vez mais atenção. A integridade dos dados, sua confidencialidade e disponibilidade são cada vez mais necessárias à medida que aumenta a informatização do segmento. Quanto mais soluções demHelth surgem, maior a infraestrutura de TI necessária para suportá-las, o que aumenta a complexidade dos controles e também pode aumentar as vulnerabilidades.

Além de colocar em risco atividades extremamente delicadas, as ameaças às quais os hospitais estão submetidos podem comprometer seriamente a reputação hospitalar — e, nós sabemos, reputação é um fator primordial para este segmento. É por isso que os investimentos em segurança da informação devem ser ampliados cada vez mais.

Pensando nisso, preparamos uma lista com 6 dicas para garantir a segurança da informação do usuário. Acompanhe!

1 - Elimine o hábito das contas compartilhadas e crie chaves de acessos complexas e únicas para cada usuário

É prática comum entre médicos e enfermeiros usar contas compartilhadas com um conjunto de credenciais para todos. Isto é especialmente comum em salas de emergência onde os funcionários usam um único PC para acesso a informações vitais. Para evitar gastar tempo valioso fazendo login no sistema de gestão hospitalar, uma conta de usuário genérica é criada e compartilhada entre os profissionais, o que não é seguro porque os usuários podem ter acesso a praticamente qualquer informação armazenada.

Por outro lado, a necessidade de fazer login e logout no sistema pode ser um processo demorado para usuários que trabalham, muitas vezes, correndo contra o tempo, mas é imprescindível que cada usuário tenha sua senha individual que dará acesso às informações de acordo com o perfil estabelecido.

- Crie uma chave de acesso complexa e única para cada usuário

Trabalhar com uma única chave de acesso para todas as funcionalidades dos sistemas pode ser a solução. Combinando isto com um cartão inteligente, que evite a necessidade de digitação de sequências de números — tecnologia RFID, por exemplo —, você também ajuda os usuários a ganhar tempo. Ao apresentar o smartcard para o leitor, o usuário é reconhecido pelo software e automaticamente conectado às aplicações.

A implementação de senhas complexas tem consequências importantes para os usuários finais. Muitas vezes, se os usuários precisam lembrar várias senhas diferentes e complexas, que também precisam ser trocadas regularmente, eles vão escrevê-las e armazená-las em algum lugar (anotação numa agenda ou bloco de notas no computador, entre outros). Isso faz com que os aplicativos e sistemas maldosos (malwares) e até pessoas mal intencionadas possam facilmente ver as credenciais.

A dica é provisionar uma única chave de acesso para cada usuário, para que ele precise se preocupar com uma única memorização. Com isso, médicos e enfermeiros não precisam se preocupar com anotar suas credenciais, pois terão que se lembrar de apenas uma sequência.

Atenção: não esqueça de exigir a formatação de uma senha que contenha números, letras e caracteres para torná-la forte. Isso deve ser uma regra parametrizada no sistema de gestão hospitalar, pois a tendência é que os usuários optem por caminhos mais fáceis que nem sempre são os mais seguros.

2 - Distribua níveis de acesso aos colaboradores conforme sua posição na hierarquia

Para garantir a segurança da rede e as informações em um hospital, os funcionários precisam ter as permissões de segurança corretas com base em suas funções de trabalho. Criar níveis de acesso às soluções melhora muito a segurança.

Fazer isso requer a definição de controles que podem levar meses de trabalho do departamento de TI para implementar. No entanto, usando uma solução de controle de acesso baseado em funções é possível minimizar este processo.

Em outras palavras, cada perfil profissional terá acesso a algumas funções dentro do sistema, eliminando a possibilidade de um auxiliar de enfermagem acessar um relatório de um médico, por exemplo.

3 - Implemente o provisionamento automático de usuários

Muitas vezes, quando os funcionários deixam o emprego em um hospital, a equipe de TI não é notificada imediatamente, e contas do empregado são deixadas abertas, permitindo-lhes a capacidade de acessar informações confidenciais até de fora do local — especialmente as soluções baseadas na nuvem. Isso deixa os sistemas e informações vulneráveis e pode ter consequências graves para a segurança da informação em hospitais. A dica é as senhas terem validade pré-definida na diretiva de segurança, o que diminui consideravelmente o risco.

- Certifique-se de que o sistema de gestão hospitalar ‘conversa’ com o RH

Com uma solução automatizada de gestão de conta, o departamento de TI pode rapidamente e facilmente desabilitar contas logo que um funcionário é desligado, garantindo conformidade com as normas de auditoria. O sistema deve estar integrado com o RH e quando o departamento pessoal dá baixa, automaticamente as permissões de acessos físicos e virtuais são bloqueadas. Uma boa prática é integrar o cadastro de usuários e senhas do ERP com RH, para quando ocorrer o desligamento bloquear o usuário.

4 - Armazene informações sobre os acessos dos usuários e tenha um bom plano de backup

Com um único sinal na solução, a informação pode ser armazenada sobre quem está entrando em cada aplicação e o que eles estão fazendo. Isso permite que o departamento de TI avalie, facilmente, quem tem acesso a quais aplicativos e sistemas. O monitoramento proativo pode surtir muito mais efeito na segurança da informação em hospitais.

Por outro lado, também é preciso considerar a necessidade de backup, ou seja, cópias dos arquivos que podem ser recuperadas quando houver algum dano ou perda de dados. Isso deve estar parametrizado nos servidores, criando-se uma rotina automatizada e que proporcione documentação validada constantemente.

Outra dica é o espelhamento dos servidores e discos, formando uma redundância de dados que permita o resgate das informações que eventualmente forem perdidas ou por erros dos usuários ou por ataques e até por algum problema técnico que possa ocorrer.

5 - Conscientize os usuários sobre a importância de garantir a segurança da informação em hospitais

Por mais aparato tecnológico que os hospitais tenham, por mais que invistam em antivírus, em sistemas de monitoramento etc., se os usuários não forem conscientes dos riscos a que estão submetidos, todo o trabalho técnico pode ser comprometido.

É preciso que todos os usuários do hospital conheçam a política de segurança da informação, saibam quais são as regras, por que elas existem, quais são as implicações de não cumprir com as normas… Enfim, as pessoas precisam conhecer o assunto segurança da informação e se engajar com ele. Isso não se consegue da noite para o dia. É preciso envolver as lideranças, trabalhar um bom plano de comunicação e estar sempre reforçando a ideia.

6 - Utilize uma solução integrada de gestão hospitalar para garantir segurança da informação e tomar decisões melhores

Ter vários sistemas que não se integram pode ser um problema para a segurança dos dados, além de dificultar as decisões estratégicas dos gestores. Quando se deparam com várias aplicações, nas quais têm que fazer login, os colaboradores do hospital tendem a encontrar dificuldades para decorar senhas complexas, o que pode colocá-los em vulnerabilidade.

A consolidação dos dados também fica comprometida quando há muitos sistemas que não conversam entre si. Ter uma única solução para gestão de toda a unidade hospitalar elimina com efetividade a maioria dos riscos, pois será mais fácil para a equipe de TI fazer o monitoramento ativo e tomar decisões em tempo hábil quando detecta problemas. Também auxilia os gestores nas tomadas de decisões, afinal, dispõe de relatórios que cruzam dados dos diversos departamentos e dá um panorama mais completo do andamento da operação.