Cultura de segurança da informação, aliada ao uso de ferramentas, protege dados de beneficiários dos sistemas de Saúde

É um fato que o desenvolvimento da Tecnologia da Informação auxilia a gestão hospitalar. Mas, assim como avançam as ferramentas e soluções, com elas surgem oportunistas que podem utilizá-las criminosamente, invadindo redes para roubar, sequestrar, bloquear ou alterar dados de beneficiários. Diante das ameaças, é imprescindível que a TI do hospital esteja segura para garantir a privacidade do cidadão.

O acesso indevido a dados clínicos e financeiros de hospitais cresceu 600% somente em 2014, conforme o Websense. Os ataques atingem sistemas hospitalares, prontos-socorros, centros de diagnóstico e até operadoras de planos de Saúde. Pesquisa da KPMG, realizada no 2º semestre de 2015, aponta que 81% dos gestores da área tiveram suas instituições atacadas nos últimos anos, sendo que 39% disseram não possuir mecanismos confiáveis de segurança da informação para se prevenir de futuras invasões. Mais preocupante ainda é que o estudo contabilizou ataques de aficionados por informática que utilizam seu grande conhecimento para quebrar códigos de segurança, senhas de acesso a redes e códigos de programas com fins criminosos, e não somente para tornar a informática acessível a todos e apontar possíveis falhas de um sistema.

Diante dos casos cada vez mais recorrentes de falta de segurança de informação, o coordenador dos cursos de MBA em Gestão de Cibersegurança da Faculdade de Informática e Administração Paulista (FIAP), Marcelo Lau, destaca que primeiramente é preciso haver uma cultura de segurança da informação no hospital.

“Ela deve estar acima de qualquer sistema, mecanismo ou bloqueio instalado nos computadores. É necessário que essa cultura parta da gestão hospitalar para toda a cadeia de funcionamento da organização, incluindo funcionários e beneficiários.”

Conforme o coordenador da FIAP, o vazamento de senhas é uma das formas mais comuns de quebra de segurança da informação. Anotá-las em papéis colados nas mesas ou computadores, ou ainda compartilhar os códigos de acesso com terceiros pode resultar em graves problemas. O especialista evidencia a corresponsabilidade pela proteção da informação médica.

“É preciso capacitar o funcionário para que ele conheça todos os riscos e orientar o cliente do sistema de Saúde a fim de que somente ele tenha acesso a logins e senhas que permitem visualizar resultados de exames online, por exemplo. Além disso, há necessidade de ter gestão eficiente, que garanta o acesso aos dados apenas àqueles que têm direito, promovendo a imediata revogação caso o profissional seja desligado da empresa.”

Lau destaca que é essencial ter um profissional ou empresa responsável pela segurança da informação na organização de saúde.

“Só especialistas terão olhos críticos a quaisquer aspectos de perda de dados e exposição de informações indevidas.” Apesar da ressalva, nem todas as unidades têm equipes especializadas.

“Nesse caso, recomendo que a instituição procure profissionais e empresas que prestem o serviço, visando ao oferecimento de soluções sob medida para blindar os negócios, dados, sistemas e seus funcionários quanto aos riscos reais a que estão expostos. A capacitação é um dos caminhos para que profissionais que atuam em hospitais entendam e tratem as questões de segurança da informação com a devida propriedade”, garante o coordenador.

Ferramentas básicas e avançadas

Entre os requisitos mínimos exigidos atualmente, segundo o especialista, está a adesão ao conjunto normativo da ISO 27001, que abrange a Política de Segurança da Informação, um adequado processo de controle de acesso lógico e físico às dependências do hospital e onde possam existir ativos do hospital, incluindo os ativos de Tecnologia da Informação, além de soluções que identifiquem tentativas (bem ou malsucedidas) de ataques a sistemas de informações. Conheça algumas:

Antivírus

Ferramenta básica de qualquer computador, é utilizada na identificação de ameaças ao sistema.

Firewall

Dispositivo de segurança que monitora o tráfego de rede de entrada e saída e permite ou bloqueia tráfegos específicos de acordo com conjunto definido de regras de segurança. Seu uso visa a bloquear certos tráfegos em comunicações que podem propiciar resultados indesejados, atrelados a ataques em sistemas.

Antispam

Ferramenta cujo objetivo é evitar o recebimento de mensagens potencialmente maliciosas, que podem comprometer estações de trabalho e dispositivos móveis.

Criptografia

Técnica pela qual as informações são codificadas e decodificadas apenas ao destinatário. No método, cada pessoa ou entidade mantém duas chaves: uma pública, que pode ser divulgada normalmente, e outra privada, que deve permanecer em segredo.

Segmentação de rede

Divisão da rede de computadores em sub-redes para descentralizar o tráfego. Permite estabelecer políticas que habilitem somente aos funcionários responsáveis o acesso a certas informações e aplicações, servidores e recursos de rede específicos.

Proteções a redes sem fio

Senhas, firewalls específicos, cuidado ao conectar dispositivos são algumas das medidas necessárias para proteger informações via redes Wi-Fi.

Além das ferramentas básicas, é possível ainda incrementar a gestão hospitalar de segurança com a implantação de alguns requisitos adicionais, tais como:

• Proteção contra conexão de dispositivos desconhecidos em ambiente de rede;
• Sistemas que identifiquem intrusão, destinados a identificar tráfego suspeito que comprometa sistemas e/ou informações;
• Processos que garantam a eficácia de controles por ações periódicas de auditoria;
• Aferição da segurança de sistemas por análise de vulnerabilidade técnica, também denominada penetration testing, que simula ataques por meio de redes internas de um hospital ou via internet;
• Processos que garantam a continuidade dos negócios em caso de potencial desastre significativo às informações e sistemas do hospital;
• Processos que visam a ação imediata em caso de identificação de tentativas bem-sucedidas de violação da segurança da informação, que exijam o estabelecimento de um processo e o trabalho de um time de resposta a incidentes em segurança da informação.

Normas e regras

O coordenador da FIAP ainda cita como importantes materiais de consulta o manual Segurança da Informação para Hospitais, elaborado pela Associação Nacional de Hospitais Privados (Anahp), e a norte-americana Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês).

As publicações apontam a necessidade das instituições de saúde protegerem as informações de ameaças razoavelmente previsíveis, proporcionando segurança e integridade e evitando o uso ou divulgação não autorizada desses dados. Devem também assegurar que a sua força de trabalho cumpra os requisitos para o sigilo ser mantido.

Com a cultura da segurança da informação nas organizações e as ferramentas adequadamente instaladas nos sistemas de TI, a gestão hospitalar garante a proteção dos dados dos beneficiários, evitando prejuízo causados por ataques de criminosos virtuais.