A gestão de riscos de terceiros se consolidou como uma prioridade crítica para a segurança cibernética no setor de saúde, conforme evidenciado no painel “Gestão de riscos de terceiros, como um incidente cibernético pode impactar a operação hospitalar”, durante o Healthcare Innovation Show 2025.
Especialistas de instituições de referência discutiram os desafios crescentes dessa área, que se tornou essencial para a continuidade operacional e para a proteção de dados sensíveis.
Visibilidade e classificação: primeiros passos fundamentais
Para Ederson Almeida, gerente de Segurança da Informação da Amil, o mapeamento de riscos requer metodologia estruturada. “Tudo passa por uma construção, uma jornada. Então o primeiro passo é identificar quais são os principais fornecedores e quais são os dados que eles têm acesso dentro daquele universo”, explicou, destacando a necessidade de priorização frente à limitação de recursos humanos.
Arthur Magalhães, CISO da Rede D’Or, reforçou a relevância da visibilidade. “O principal hoje é a questão de visibilidade: onde estão os terceiros, quem são eles. Depois, um segundo momento, seria a classificação de risco desses terceiros”, afirmou, ressaltando que não há solução única aplicável a todos os casos.
A complexidade da cadeia de fornecedores
A segurança hospitalar deixou de ser um modelo de “castelo protegido” para se tornar um ecossistema interconectado e complexo. “Segurança deixou de ser aquele negócio onde a gente cuidava e protegia o nosso castelo. Agora tem outras pessoas transitando dentro do nosso ambiente. A gente sabe que hoje não existe sem terceiros. Ninguém consegue dominar toda a cadeia de saúde”, observou Magalhães.
Diene Keller, P.O de Negócios Sênior do Hospital Sírio-Libanês, reforçou a necessidade de conscientização. “Visto a baixa maturidade do mercado, do entendimento do próprio fornecedor sobre a importância de estar dentro da empresa e fazer parte do compliance. Precisa falar cada vez mais sobre esse assunto”, destacou.
O painel também discutiu riscos emergentes relacionados ao uso de inteligência artificial. Almeida alertou: “A gente está vivendo um momento diferente que é a utilização de IA. E a IA traz também um risco adicional que é o nosso dado e o dado do nosso cliente nesses sistemas”. O debate evidenciou a necessidade de monitorar como parceiros utilizam essas tecnologias.
Impactos críticos na operação hospitalar
Os especialistas foram unânimes ao apontar os efeitos graves de incidentes cibernéticos. Magalhães apresentou dados preocupantes: “Se a gente olhar os números do nosso segmento, a gente vai perceber que quase que a totalidade dos incidentes graves, pelo menos nos últimos quatro anos, envolveram terceiros de alguma forma.”
Keller trouxe a perspectiva humanizada: “Tem muitas vidas ali que estão em jogo”. Ela reforçou a conexão entre segurança e atendimento: “O impacto que vai ter talvez numa clínica, num exame que não vai ser realizado num momento certo, atrasando um tratamento correto, pode ter um custo muito alto para o paciente”.
Responsabilidade compartilhada e regulamentação
Quando ocorrem violações por falha de terceiros, a responsabilidade é compartilhada, mas as instituições de saúde continuam proprietárias dos dados e corresponsáveis pelos incidentes. Na hora de contratar parceiros, os especialistas alertam para a necessidade de garantir que os níveis de segurança sejam iguais ou superiores aos internos, incluindo padrões e cláusulas de proteção nos contratos.
Colaboração setorial como estratégia de defesa
O painel concluiu com um chamado à cooperação entre instituições. “Nesse nosso ramo, não estou falando só do setor de saúde, estou falando do ramo de cibersegurança, a gente não enfrenta uma situação de competição entre a gente. Somos nós contra os adversários que estão aí fora”, afirmou Andreia Ribeiro, mediadora do painel e coordenadora do Alma Cyber Security Summit, do Instituto de Responsabilidade Social Sírio-Libanês.
A discussão evidenciou que a gestão de riscos de terceiros vai além da técnica: é um imperativo estratégico, crucial para a continuidade dos cuidados de saúde e para a segurança dos pacientes. Integrar riscos de TI e riscos assistenciais tornou-se uma necessidade crítica, demandando abordagem colaborativa e sistêmica para enfrentar os desafios crescentes da cibersegurança hospitalar.
