This post is also available in: Português English Español
Empresas públicas e privadas prestadoras de serviços na área de saúde, como hospitais, clínicas, laboratórios e outras, devem ter um tratamento especial no que diz respeito a segurança da informação. O Manual da Sociedade Brasileira de Informática em Saúde, respaldado pela Resolução do CFM nº 1.821/07, aponta que as instituições de saúde que adotam prontuários eletrônicos devem respeitar os níveis de segurança NGS1 e NGS2, assim como recomenda adotar as boas práticas da ISO 27002.
É evidente que pacientes prezam pela confidencialidade acerca de exames, procedimentos cirúrgicos, resultados, ou até mesmo estado de saúde seu ou de algum familiar. O sigilo do dado é direito previsto na legislação, e cabe a instituição garantir que as informações manipuladas e armazenadas estejam seguras, no presente e no futuro.
Sobre a perspectiva do colaborador, ter políticas bem consolidadas de segurança acaba trazendo também uma garantia, seja de barreiras para vazamento de informações, bem como de rastreabilidade diante da ocorrência de algum incidente de segurança. Além disso, reforça claramente a preocupação da organização quanto ao tema segurança.
Nos últimos anos o segmento de saúde tem experimentado um aumento em ocorrências relacionadas a segurança virtual, e com a informatização cada vez maior das instituições, com prontuários eletrônicos e outros sistemas ultra modernos, computadores e terminais por todas as partes, muitas vezes expostos de maneira desnecessária, acesso wireless para visitantes e pacientes, entre outros, os riscos aumentam cada vez mais.
Por conta disso, implantar processos e soluções em segurança da informação é cada vez mais estratégico para o negócio. Muitas instituições renomadas já apresentam grau de maturidade excepcional no tema, no entanto isso não é a realidade da grande maioria, que acaba muitas vezes expondo informações e condições muito delicadas simplesmente por não seguirem procedimentos básicos de segurança.
Aprovar os orçamentos de projetos de segurança pode ser um grande obstáculo para os gestores pois em muitos casos é difícil visualizar o retorno sobre o investimento. E como a previsão orçamentária destas instituições normalmente é apertada, investimentos que não são diretamente relacionados com a operação acabam não tendo prioridade. Este é justamente o objetivo dessa postagem, fazer uma reflexão que permita facilitar a aprovação de orçamentos de segurança da informação, atuando de maneira preventiva ao invés de reativa, pois nesse segmento, o sigilo, a guarda e integridade das informações são fatores críticos de sucesso.
1. Cuide da saúde virtual do paciente
Em uma analogia bastante simplificada, é imprescindível que a organização, além de cuidar fisicamente do paciente, cuide também de sua saúde virtual. Em outras palavras, isso quer dizer que deve-se cuidar muito do controle de vazamento de informações acerca dos pacientes.
Com a facilidade de dispositivos móveis e até mesmo de acesso à internet em computadores da instituição, vazar uma informação sensível pode trazer constrangimento para o paciente e acarretar em outros problemas para a empresa. Por isso, conscientização dos colaboradores e controle do uso de dispositivos é fundamental.
Outro aspecto muito importante é garantir segurança de acesso nos sistemas que são utilizados para gerenciar o paciente enquanto ele está recebendo serviços da instituição. São muitas variáveis que devem ser cuidadas, mas em especial, administrar remédios, dosagens e similares.
Uma vez que todas essas informações estão eletrônicas e automatizadas, alguém mal-intencionado, com acesso a rede e ao sistema com fraca proteção, pode causar problemas extremamente sérios, tanto para o paciente, como para a organização, que tem a obrigação de buscar a integridade de seus clientes.
2. Facilite o ingresso da rede wireless com segurança
Fornecer acesso internet para visitantes ou pacientes em uma instituição de saúde, assim como em diversas outras empresas, é algo extremamente comum, e de certa forma, necessário nos dias atuais. No entanto, essa facilidade pode custar muito caro se não for realizada de maneira adequada.
Possuir redes isoladas para visitantes e pacientes é fator importante para uma boa política de segurança. Em muitas arquiteturas isso não é uma realidade, e por conta de ter um controle mínimo, dificultam ao máximo o ingresso de usuários nas redes, exigindo cadastros e outras coisas que tornam o processo com pouca usabilidade.
Redes wireless públicas dentro destas instituições devem estar devidamente isoladas das redes corporativas, além de garantir facilidade e identificação dos usuários (rastreabilidade), garantindo conformidade com o Marco Civil da Internet, defendendo o interesse de todas as partes envolvidas.
Além da satisfação dos usuários quanto a facilidade de uso destas redes, são garantidos todos os requisitos de segurança necessários para oferecer o benefício sem abrir mão da segurança da informação, que deve ser muito preservada nessas organizações.
3. Encurte as distâncias dos médicos
Agregar valor ao corpo clínico é um excelente passo para justificar investimentos, em qualquer área. E para segurança da informação não é diferente, pois o corpo clínico pode ser muito bem atendido, encurtando a distância física com as instituições, especialmente em centros maiores onde a mobilidade urbana é limitada.
Através de técnicas de acesso remoto seguro, com VPNs, é possível que, independente do dispositivo, o médico esteja conectado ao hospital ou clínica, podendo desempenhar suas funções através dos sistemas sem estar fisicamente no local. Isso agiliza muito o trabalho de todos, além de dar uma boa escalabilidade para o médico.
Vale ressaltar que a disponibilização de acesso remoto ao corpo clínico deve ser planejada e estruturada, prezando pelas melhores práticas de segurança, evitando a criação de novas vulnerabilidades com a disponibilização desses acessos. Portanto, expor os sistemas de gestão ou similares na internet não é uma estratégia interessante.
Por outro lado, através do uso intensivo de VPNs, o médico pode estar em qualquer local, com qualquer dispositivo (computador, notebook, tablet ou smartphone), desde que seja compatível com os softwares utilizados na instituição, poderá executar laudos e outras funções devidamente permitidas/autorizadas.
4. Aumente o controle, produtividade e foco dos colaboradores
Em muitas instituições os computadores ou terminais disponibilizados para os colaboradores são limitados ou oferecem somente acesso aos softwares necessários para suas funções, não tendo muitas vezes acesso à internet. Isso é interessante, contudo o número de atividades que dependem da internet vem crescendo muito, sendo que a restrição ao uso pode ser um limitador a produtividade.
Em contrapartida, ter equipamentos de ponta para funções operacionais é um custo desnecessário para a instituição, assim como ter acesso a internet totalmente liberado, pode elevar os riscos de indisponibilização do equipamento por um acesso inadequado e contaminação por vírus, ou perda de desempenho pelo uso abusivo do recurso, por parte do colaborador.
As soluções de segurança, em especial firewalls e proxies, podem assegurar o meio termo destes dois itens, oferecendo acesso à internet para assuntos ou conteúdos relacionados ao trabalho, garantindo uso controlado e produtivo do recurso.
Estes 4 pontos de reflexão são bastante interessantes e esperamos que possam lhe auxiliar a encontrar caminhos que justifiquem os investimentos em segurança para sua área de atuação. Caso tenha alguma necessidade de aprofundamento de conteúdo, ou até mesmo auxílio para o desenvolvimento de um projeto de segurança, entre em contato e fale com um especialista. Teremos grande prazer em fazer parte do seu sucesso.
This post is also available in: Português English Español
