Gestão hospitalar: saiba o que é preciso para ter uma TI segura

Cultura de segurança da informação, aliada ao uso de ferramentas, protege dados de beneficiários dos sistemas de Saúde

 É um fato que o desenvolvimento da Tecnologia da Informação auxilia a gestão hospitalar.

Mas, assim como avançam as ferramentas e soluções, com elas surgem oportunistas que podem utilizá-las criminosamente, invadindo redes para roubar, sequestrar, bloquear ou alterar dados de beneficiários.

Diante das ameaças, é imprescindível que a TI do hospital esteja segura para garantir a privacidade do cidadão.

O acesso indevido a dados clínicos e financeiros de hospitais cresceu 600% somente em 2014, de acordo com o Websense.

Os ataques atingem sistemas hospitalares, prontos-socorros, centros de diagnóstico e até operadoras de planos de Saúde.

Pesquisa da KPMG, realizada no 2º semestre de 2015, aponta que 81% dos gestores da área tiveram suas instituições atacadas nos últimos anos.

Sendo que 39% disseram não possuir mecanismos confiáveis de segurança da informação para se prevenir de futuras invasões.

Mais preocupante ainda é que o estudo contabilizou ataques de aficionados por informática que utilizam seu grande conhecimento para quebrar códigos de segurança.

Senhas de acesso a redes e códigos de programas com fins criminosos, e não somente para tornar a informática acessível a todos e apontar possíveis falhas de um sistema.

Diante dos casos cada vez mais recorrentes de falta de segurança de informação, o coordenador dos cursos de MBA em Gestão de Cibersegurança da Faculdade de Informática e Administração Paulista (FIAP), Marcelo Lau, destaca que primeiramente é preciso haver uma cultura de segurança da informação no hospital.

“Ela deve estar acima de qualquer sistema, mecanismo ou bloqueio instalado nos computadores.

É necessário que essa cultura parta da gestão hospitalar para toda a cadeia de funcionamento da organização, incluindo funcionários e beneficiários.”

Conforme o coordenador da FIAP, o vazamento de senhas é uma das formas mais comuns de quebra de segurança da informação.

Anotá-las em papéis colados nas mesas ou computadores ou ainda compartilhar os códigos de acesso com terceiros pode resultar em graves problemas.

O especialista evidencia a corresponsabilidade pela proteção da informação médica.

“É preciso capacitar o funcionário para que ele conheça todos os riscos e orientar o cliente do sistema de Saúde a fim de que somente ele tenha acesso a logins e senhas que permitem visualizar resultados de exames online, por exemplo.

Além disso, há necessidade de ter gestão eficiente, que garanta o acesso aos dados apenas àqueles que têm direito, promovendo a imediata revogação caso o profissional seja desligado da empresa.”

Lau destaca que é essencial ter um profissional ou empresa responsável pela segurança da informação na organização de Saúde.

“Só especialistas terão olhos críticos a quaisquer aspectos de perda de dados e exposição de informações indevidas.”

Apesar da ressalva, nem todas as unidades têm equipes especializadas.

“Nesse caso, recomendo que a instituição procure profissionais e empresas que possam prestar o serviço, visando ao oferecimento de soluções sob medida para blindar os negócios, dados, sistemas e seus funcionários quanto aos riscos reais a que estão expostos.

A capacitação é um dos caminhos para que profissionais que atuam em hospitais entendam e tratem as questões de segurança da informação com a devida propriedade”, garante o coordenador.

Ferramentas básicas e avançadas

Entre os requisitos mínimos exigidos atualmente, segundo o especialista, está a aderência ao conjunto normativo da ISO 27001.

Que abrange a Política de Segurança da Informação, um adequado processo de controle de acesso lógico e físico às dependências do hospital e onde possam existir ativos do hospital.

Incluindo os ativos de Tecnologia da Informação, além de soluções que identifiquem tentativas (bem ou malsucedidas) de ataques a sistemas de informações.

Conheça algumas:

– Antivírus: ferramenta básica de qualquer computador, é utilizada na identificação de ameaças ao sistema.

– Firewall: Dispositivo de segurança que monitora o tráfego de rede de entrada e saída e permite ou bloqueia tráfegos específicos de acordo com conjunto definido de regras de segurança.

Seu uso visa a bloquear certos tráfegos em comunicações que podem propiciar resultados indesejados, atrelados a ataques em sistemas.

– Antispam: ferramenta que tem como objetivo evitar o recebimento de mensagens potencialmente maliciosas, que podem comprometer estações de trabalho e dispositivos móveis.

– Criptografia: Técnica pela qual as informações são codificadas e decodificadas apenas ao destinatário.

No método, cada pessoa ou entidade mantém duas chaves: uma pública, que pode ser divulgada normalmente, e outra privada, que deve permanecer em segredo.

– Segmentação de rede: Divisão da rede de computadores em sub-redes para descentralizar o tráfego.

Permite estabelecer políticas que habilitem somente aos funcionários responsáveis o acesso a certas informações e aplicações, servidores e recursos de rede específicos.

– Proteções a redes sem fio: Senhas, firewalls específicos, cuidado ao conectar dispositivos são algumas das medidas necessárias para proteger informações via redes Wi-Fi.

Além das ferramentas básicas, é possível ainda incrementar a gestão hospitalar de segurança com a implantação de alguns requisitos adicionais, tais como:

– Proteção contra conexão de dispositivos desconhecidos em ambiente de rede.

– Sistemas que identifiquem intrusão, destinados a identificar tráfego suspeito que comprometa sistemas e/ou informações.

– Processos que garantam a eficácia de controles por ações periódicas de auditoria.

– Aferição da segurança de sistemas por análise de vulnerabilidade técnica, também denominada penetration testing, que simula ataques por meio de redes internas de um hospital ou via internet.

– Processos que garantam a continuidade dos negócios em caso de potencial desastre significativo às informações e sistemas do hospital.

– Processos que visam a ação imediata em caso de identificação de tentativas bem-sucedidas de violação da segurança da informação, que exijam o estabelecimento de um processo e o trabalho de um time de resposta a incidentes em segurança da informação.

Normas e regras

O coordenador da FIAP ainda cita como importantes materiais de consulta o manual Segurança da Informação para Hospitais.

Elaborado pela Associação Nacional de Hospitais Privados (Anahp), e a norte-americana Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês).

As publicações apontam a necessidade das instituições de Saúde protegerem as informações de ameaças razoavelmente previsíveis.

Proporcionando segurança e integridade e evitando o uso ou divulgação não autorizada desses dados.

Devem também assegurar que a sua força de trabalho cumpra os requisitos para que o sigilo seja mantido.

Com a cultura da segurança da informação nas organizações e as ferramentas adequadamente instaladas nos sistemas de TI.

A gestão hospitalar garante a proteção dos dados dos beneficiários, evitando prejuízos causados por ataques de criminosos virtuais.

Fonte: MV-Sistemas de Gestão em Saúde – 30.05.2017.

Ebook Lean Six Sigma em Saúde, baixe agora o seu.