29 / Maio / 2017

Gestão hospitalar: saiba o que é preciso para ter uma TI segura

Segurança da Informação

Cultura de segurança da informação, aliada ao uso de ferramentas, protege dados de beneficiários dos sistemas de Saúde

 

É um fato que o desenvolvimento da Tecnologia da Informação auxilia a gestão hospitalar. Mas, assim como avançam as ferramentas e soluções, com elas surgem oportunistas que podem utilizá-las criminosamente, invadindo redes para roubar, sequestrar, bloquear ou alterar dados de beneficiários. Diante das ameaças, é imprescindível que a TI do hospital esteja segura para garantir a privacidade do cidadão.

O acesso indevido a dados clínicos e financeiros de hospitais cresceu 600% somente em 2014, de acordo com o Websense. Os ataques atingem sistemas hospitalares, prontos-socorros, centros de diagnóstico e até operadoras de planos de Saúde. Pesquisa da KPMG, realizada no 2º semestre de 2015, aponta que 81% dos gestores da área tiveram suas instituições atacadas nos últimos anos, sendo que 39% disseram não possuir mecanismos confiáveis de segurança da informação para se prevenir de futuras invasões. Mais preocupante ainda é que o estudo contabilizou ataques de aficionados por informática que utilizam seu grande conhecimento para quebrar códigos de segurança, senhas de acesso a redes e códigos de programas com fins criminosos, e não somente para tornar a informática acessível a todos e apontar possíveis falhas de um sistema.

Diante dos casos cada vez mais recorrentes de falta de segurança de informação, o coordenador dos cursos de MBA em Gestão de Cibersegurança da Faculdade de Informática e Administração Paulista (FIAP), Marcelo Lau, destaca que primeiramente é preciso haver uma cultura de segurança da informação no hospital. “Ela deve estar acima de qualquer sistema, mecanismo ou bloqueio instalado nos computadores. É necessário que essa cultura parta da gestão hospitalar para toda a cadeia de funcionamento da organização, incluindo funcionários e beneficiários.”

Conforme o coordenador da FIAP, o vazamento de senhas é uma das formas mais comuns de quebra de segurança da informação. Anotá-las em papéis colados nas mesas ou computadores ou ainda compartilhar os códigos de acesso com terceiros pode resultar em graves problemas. O especialista evidencia a corresponsabilidade pela proteção da informação médica. “É preciso capacitar o funcionário para que ele conheça todos os riscos e orientar o cliente do sistema de Saúde a fim de que somente ele tenha acesso a logins e senhas que permitem visualizar resultados de exames online, por exemplo. Além disso, há necessidade de ter gestão eficiente, que garanta o acesso aos dados apenas àqueles que têm direito, promovendo a imediata revogação caso o profissional seja desligado da empresa.”

Lau destaca que é essencial ter um profissional ou empresa responsável pela segurança da informação na organização de Saúde. “Só especialistas terão olhos críticos a quaisquer aspectos de perda de dados e exposição de informações indevidas.”

Apesar da ressalva, nem todas as unidades têm equipes especializadas. “Nesse caso, recomendo que a instituição procure profissionais e empresas que possam prestar o serviço, visando ao oferecimento de soluções sob medida para blindar os negócios, dados, sistemas e seus funcionários quanto aos riscos reais a que estão expostos. A capacitação é um dos caminhos para que profissionais que atuam em hospitais entendam e tratem as questões de segurança da informação com a devida propriedade”, garante o coordenador.

 

Ferramentas básicas e avançadas

Entre os requisitos mínimos exigidos atualmente, segundo o especialista, está a aderência ao conjunto normativo da ISO 27001,  que abrange a Política de Segurança da Informação, um adequado processo de controle de acesso lógico e físico às dependências do hospital e onde possam existir ativos do hospital, incluindo os ativos de Tecnologia da Informação, além de soluções que identifiquem tentativas (bem ou malsucedidas) de ataques a sistemas de informações. Conheça algumas:

- Antivírus: ferramenta básica de qualquer computador, é utilizada na identificação de ameaças ao sistema.

- Firewall: Dispositivo de segurança que monitora o tráfego de rede de entrada e saída e permite ou bloqueia tráfegos específicos de acordo com conjunto definido de regras de segurança. Seu uso visa a bloquear certos tráfegos em comunicações que podem propiciar resultados indesejados, atrelados a ataques em sistemas.

- Antispam: ferramenta que tem como objetivo evitar o recebimento de mensagens potencialmente maliciosas, que podem comprometer estações de trabalho e dispositivos móveis.

- Criptografia: Técnica pela qual as informações são codificadas e decodificadas apenas ao destinatário. No método, cada pessoa ou entidade mantém duas chaves: uma pública, que pode ser divulgada normalmente, e outra privada, que deve permanecer em segredo.

- Segmentação de rede: Divisão da rede de computadores em sub-redes para descentralizar o tráfego. Permite estabelecer políticas que habilitem somente aos funcionários responsáveis o acesso a certas informações e aplicações, servidores e recursos de rede específicos.

- Proteções a redes sem fio: Senhas, firewalls específicos, cuidado ao conectar dispositivos são algumas das medidas necessárias para proteger informações via redes Wi-Fi.

Além das ferramentas básicas, é possível ainda incrementar a gestão hospitalar de segurança com a implantação de alguns requisitos adicionais, tais como:

- Proteção contra conexão de dispositivos desconhecidos em ambiente de rede.

- Sistemas que identifiquem intrusão, destinados a identificar tráfego suspeito que comprometa sistemas e/ou informações.

- Processos que garantam a eficácia de controles por ações periódicas de auditoria.

- Aferição da segurança de sistemas por análise de vulnerabilidade técnica, também denominada penetration testing, que simula ataques por meio de redes internas de um hospital ou via internet.

- Processos que garantam a continuidade dos negócios em caso de potencial desastre significativo às informações e sistemas do hospital.

- Processos que visam a ação imediata em caso de identificação de tentativas bem-sucedidas de violação da segurança da informação, que exijam o estabelecimento de um processo e o trabalho de um time de resposta a incidentes em segurança da informação.

 

Normas e regras

O coordenador da FIAP ainda cita como importantes materiais de consulta o manual Segurança da Informação para Hospitais, elaborado pela Associação Nacional de Hospitais Privados (Anahp), e a norte-americana Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês).

As publicações apontam a necessidade das instituições de Saúde protegerem as informações de ameaças razoavelmente previsíveis, proporcionando segurança e integridade e evitando o uso ou divulgação não autorizada desses dados. Devem também assegurar que a sua força de trabalho cumpra os requisitos para que o sigilo seja mantido.    

Com a cultura da segurança da informação nas organizações e as ferramentas adequadamente instaladas nos sistemas de TI, a gestão hospitalar garante a proteção dos dados dos beneficiários, evitando prejuízos causados por ataques de criminosos virtuais.

eBook: A tecnologia como aliada na gestão das instituições de saúde.

eBook: A tecnologia como aliada na gestão das instituições de saúde.

Baixar