faz parte da divisão Informa Markets da Informa PLC

Este site é operado por uma empresa ou empresas de propriedade da Informa PLC e todos os direitos autorais residem com eles. A sede da Informa PLC é 5 Howick Place, Londres SW1P 1WG. Registrado na Inglaterra e no País de Gales. Número 8860726.

As boas práticas de segurança da informação no setor da saúde

seguranca-informacao1

Quem trabalha em hospitais, clínicas e laboratórios sabe que é necessário ter o mesmo cuidado com segurança da informação adotado em qualquer grande empresa, já que essa área lida com informações pessoais, financeiras e médicas de pacientes e funcionários, além de movimentar muito dinheiro. Mais que dados como nome, telefone e endereço, também entram em jogo informações como dependência a medicamentos, necessidades de tratamentos específicos ou práticas especializadas e outros componentes. Talvez essas informações não pareçam interessantes à primeira vista, mas esse banco de dados por si só, pode valer muito.

Grandes vazamentos de dados, como ocorreram com as seguradoras de saúde Anthem e Premera em 2015 acarretaram perdas de informações de milhões de clientes. No caso da Anthem, 80 milhões de pessoas foram afetadas, já no caso da Premera, 11 milhões. Esses números dão ideia da dimensão dos prejuízos que podem ser ocasionados por malwares neste setor. Informações como históricos clínicos, dados médicos, informações pessoais e bancárias de pacientes, podem ser colocadas em risco nestes casos. Tudo isso ocasiona a perda da credibilidade da instituição, além de prejuízos financeiros expressivos.

Nem sempre são códigos maliciosos ou ataques direcionados os culpados por estes problemas. Em muitos dos casos, atividades descuidadas ou mal-intencionadas de funcionários ou ex-funcionários, além de falhas da própria instituição, são os principais desafios.

Muitos hospitais têm computadores sem antivírus ou com sistemas desatualizados, redes wi-fi inseguras, servidores de e-mail desprotegidos ou equipes que compartilham informações de pacientes indiscriminadamente. Essas atitudes são algumas das causas de incidentes de segurança.

Para enfrenta-los, as instituições de saúde devem optar por soluções de segurança que tenham diversas estruturas robustas, que incluam um bom antivírus, senhas fortes de acesso, duplo fator de autenticação, criptografia, firewall e backup.

Feito isso, no entanto, é necessário lembrar ainda que ambientes hospitalares têm uma circulação muito grande de pessoas e de informações delicadas ao mesmo tempo, portanto, é importante que a administração da instituição foque na conscientização do usuário, além de pequenas medidas que podem fazer a diferença na rotina de uma clínica ou hospital.

Ao contratar um novo funcionário, ele deve passar por um treinamento de segurança para entender as responsabilidades sobre o sigilo das informações com as quais lida, e as consequências de um eventual vazamento. Além disso, ele deve ter senhas próprias, pessoais e intransferíveis e receber o acesso, tanto tecnológico, como físico, apenas às áreas relevantes para o seu trabalho. Por outro lado, quando um colaborador se desliga ou é desligado, ou até mesmo quando muda de departamento, deve haver responsabilidades na rescisão e devolução de ativos, além de retirada de direitos de acesso físico às áreas da instituição.

As empresas devem ainda planejar a localização e proteção dos equipamentos para evitar que informações indevidas sejam vistas por pessoas que não tenham acesso a elas. Por exemplo, um registro de informações financeiras não deve ficar disponível para computadores localizados áreas de grande circulação, como locais para carga e descarga de insumos hospitalares, ou a recepção de uma clínica.

Outro ponto que deve ser levado em consideração é quando funcionários utilizam seus próprios equipamentos para trabalhar, como por exemplo, médicos que recebem resultados de exames em seus próprios celulares. Isso tem se tornado uma prático comum e até inevitável, mas é sempre necessário lembrar que, ainda assim, essas informações são confidenciais.

Por fim, entre as práticas mais básicas, está a questão do descarte de equipamentos que não serão mais utilizados pela instituição, que deve ser feito de forma segura, para que se inviabilize a recuperação das informações sigilosas que em algum momento estiveram armazenadas na mídia. Entre as técnicas mais comuns para se fazer isso, estão destruição da mídia, criptografia das informações, desmagnetização do disco ou sobrescrita de dados.

Estas atitudes, se aplicadas todas ao mesmo tempo, por uma equipe de segurança da informação bem estruturada, com certeza só trarão benefícios à instituição e à sua reputação, além de prevenir perdas materiais e financeiras, bem como garantir uma segurança muito maior dos dados da própria instituição e de seus pacientes, que poderão se sentir mais seguros ao saber que suas informações estão bem protegidas.