30 / Maio / 2019

TI em Saúde: saiba o que é essencial para garantir a segurança da informação

LGPD, Saúde Digital, segurança da informação, prontuário eletrônico

Instituições têm até 2020 para se adequar à LGPD, legislação brasileira que garante a proteção dos dados pessoais dos cidadãos e prevê pesadas sanções em caso de ocorrência de vazamentos

 

A aprovação da Lei Geral de Proteção de Dados (LGPD) no Brasil reafirmou a responsabilidade das organizações de Saúde em proteger os dados pessoais de seus pacientes. Para tanto, elas devem contar com uma boa infraestrutura de TI em Saúde e com soluções adequadas para evitar vazamentos, que podem ocasionar pesadas sanções - de multas ao bloqueio total do banco de dados. 

Um desafio a ser levado em consideração na hora de planejar a adequação é o nível de maturidade de adoção de tecnologia na Saúde. Enquanto há organizações que estão avançando rumo à Saúde Digital, com uso de tecnologias disruptivas como big data e machine learning, outras sequer adotaram o prontuário eletrônico e ainda baseiam suas operações exclusivamente no papel. 

Tiago Brack Miranda, especialista em segurança da informação e líder de infraestrutura da Indyxa, explica que o setor de Saúde é um dos mais impactados pela LGPD, uma vez que os dados são classificados como sensíveis pela legislação. Portanto, a atenção deve ser redobrada para impedir vazamentos. É preciso, segundo o especialista, criar uma política estruturada de segurança da informação, que garanta tanto a infraestrutura tecnológica quanto medidas de governança. A existência dessa política será levada em consideração pela autoridade nacional responsável pela lei no caso de vazamentos - e pode ajudar a reduzir as penas. 

O especialista indica três ferramentas fundamentais para a TI em Saúde: 

  • Firewalls de Nova Geração (NGFW):  possuem proteção em diversas camadas, a fim de evitar acesso a conteúdo indevido, malwares e até mesmo vazamento de dados; 
  • AntiSpam: controla a entrada e saída de e-mails, que comumente são utilizados para propagar malwares ou obter informações de funcionários e da organização; 
  • Antivírus: protegem contra a execução de malwares e ransomware (sequestro de dados) dentro dos servidores e estações de trabalho. 

Miranda alerta que essas ferramentas não devem ser estanques. "A infraestrutura ideal é aquela que é constantemente atualizada de acordo com as melhores práticas do mercado. Ou seja, não adianta contratar a tecnologia e achar que ela vai resolver tudo dali para a frente. É preciso revisão constante, porque os riscos mudam de forma veloz”,  elenca o especialista. 

Prova disso está em uma pesquisa da KPMG que aponta que, dos 400 incidentes de segurança da informação registrados em 2017 no Brasil em empresas de todos os setores, 85% teriam sido evitados se elas tivessem adotado ao menos um controle básico. E a Saúde foi apontada como um dos setores com mais risco de ataques em 2019, em palestra realizada por representante da consultoria no IT Forum Expo. 

Passo a passo 

As instituições que ainda não se organizaram para criar uma política de segurança da informação ou não adequaram sua infraestrutura de forma a proteger os dados dos pacientes devem seguir três passos básicos: 

  • Realizar um balanço do que já existe: um programa de proteção de dados e conformidade com a LGPD deve ser sempre iniciado com uma boa análise dos riscos e vulnerabilidades aos quais a organização está exposta, que variam de acordo com o nível de adoção de tecnologia em Saúde e também com o porte e o core da instituição, entre outros fatores; 
  • Criar políticas de segurança da informação: a elaboração das políticas e normas e a conscientização dos colaboradores sobre o tema é caminho a ser percorrido por todas as organizações até 2020. "Possuir a cultura de segurança da informação nas atividades diárias faz com que o risco de vazamento de dados ou exploração de vulnerabilidades seja consideravelmente reduzido", garante Miranda. 
  • Contratar uma consultoria profissional: a análise do ambiente atual por especialistas no tema faz com que o investimento em tecnologias, governança e pessoas seja adequado à necessidade da organização. 

O uso de dados obtidos com a tecnologia na Saúde é um caminho sem volta. Portanto, a garantia da segurança dessas informações deve ser encarada pelas organizações como obrigatória não apenas por conta da legislação, mas também porque essa massa de dados é essencial para a tomada de decisões assertivas tanto na operação quanto na assistência.