Últimas notícias

Fique informado

Saúde e segurança cibernética: cuidados com os dados em um setor crítico

24 de outubro de 2022

Spotlight

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Desde 2020, a saúde digital passou a ocupar um lugar de ainda mais importância no Brasil (e em todo o mundo) na busca por soluções ágeis para o enfrentamento da pandemia de Covid-19.

Por Francisco Larez

Saúde
Francisco Larez é vice-presidente da Progress para América Latina e Caribe.

Um estudo recente do Cetic.br (Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação) revela que ao menos 50% da população brasileira realizou serviços de saúde online nos últimos 12 meses.

Assim, o uso da tecnologia para o atendimento à distância é e se consolida cada vez mais como fundamental para a democratização do acesso à saúde.

Contudo, em relação ao tratamento de dados dos consumidores, os cuidados devem ser redobrados no setor de saúde.

Arquivos e documentos são uma mina de ouro para os cibercriminosos, que utilizam essas informações para golpes.

Por isso, a segurança da informação é uma tarefa essencial para evitar vazamentos e exposição de dados confidenciais – o que acarreta multas, além de problemas jurídicos e de reputação.

O que deve ser protegido?

Todas essas implicações fazem com que os desafios de segurança tecnológica para a saúde sejam tão altos que diferentes estratégias são necessárias para superá-los.

Na rotina de clínicas, hospitais e laboratórios, o ponto mais crítico ainda é a proteção de dados do paciente incluídos em arquivos que circulam constantemente entre diferentes profissionais.

Outro ponto de atenção é que os e-mails podem ser brechas para vazamentos.

Embora muitas empresas ainda confiem nessa ferramenta para o compartilhamento de informação, uma vez que anexar um arquivo é algo que todos podem fazer, essa praticidade pode ser arriscada quando se trata do envio de documentos confidenciais.

Além do risco de segurança envolvido (interceptar arquivos, enviar para o destinatário errado ou até mesmo um grupo de distribuição inteiro), o e-mail não foi feito para a transferência de arquivos grandes (muitos serviços limitam o tamanho dos anexos a 10 MB ou menos).

A capacidade disponível é insuficiente para acomodar formatos de mídia não estruturados como vídeo, áudio e imagens.

Não obstante, a transferência de arquivos grandes por meio de servidores de e-mail causa problemas de desempenho que afetam a confiabilidade e a entrega de arquivos.

Ter muitas cópias de anexos grandes consome espaço e cria problemas de gestão de armazenamento.

Com isso, o departamento de TI perde a visibilidade dos locais dos arquivos – o que pode ser um problema durante auditorias.

Como alternativa, as soluções de transferências de arquivo (FTP) são melhores do que e-mail, mas têm limites que também comprometem as operações.

Com elas, o principal desafio é a falta de um método automático de criptografia durante o transporte de arquivos e seu armazenamento.

Somado a isso, o fato de que as soluções de FTP, baseadas em processos manuais sem meios nativos de automação e integração com processos de negócios, não são escaláveis.

Por fim, arquivos armazenados em um servidor FTP permanecem lá para sempre ou até que alguém os remova.

Leis de privacidade e sequestro de dados

Nesse contexto, é importante ressaltar que as violações no setor de saúde em diferentes países podem custar mais de US$9 milhões por incidente (dado da IBM/Ponemon, publicado no Beckers Hospital Review) – maior cifra em comparação com qualquer setor.

Ainda de acordo com a IBM, quase metade (44%) das violações analisadas no relatório expuseram dados pessoais de clientes, incluindo informações de saúde, nomes, e-mails e senhas.

Entre os dados confidenciais que devem ser protegidos, estão: lembretes de consultas, big data (imagens médicas, por exemplo), informações de cobrança e pagamento, relatórios de conformidade regulatória, entre outros.

Além das violações, as leis de privacidade de dados são também um desafio enfrentado pelos profissionais de TI e segurança.

No Brasil, com a Lei Geral de Proteção de Dados (LGPD), as regras para segurança de informações de pacientes preveem penalidades severas para instituições que não cumprem as normas, com multas que podem chegar a R$50 milhões.

Independentemente disso, proteger a privacidade do paciente é a coisa certa a fazer em relação à ética empresarial e à resiliência dos negócios.

Para isso, as empresas precisam estar atentas às principais questões para o cumprimento de muitas leis, que incluem:

– Autenticação: verificar se os usuários são quem dizem ser.

– Controle de acesso: garantir que o acesso aos dados não seja permitido sem a devida autorização.

– Segurança de transmissão e armazenamento: incluir criptografia nas transmissões de dados e em repouso.

– Integridade: certificar-se que as informações de saúde protegidas não sejam alteradas sem permissão ou detecção.

– Controle de auditoria: conceder total visibilidade das transferências de arquivos.

Zero Trust

Todas essas questões podem ser controladas garantindo que os dados sejam criptografados durante a transmissão e armazenamento, que as alterações no arquivo sejam detectadas e que a trilha de auditoria mostre tudo o que aconteceu com um arquivo durante o processo de movimentação.

Nas estratégias mais eficazes de proteção de dados, muitos profissionais de TI adotam o conceito de Zero Trust (confiança zero, em tradução livre), que significa que a melhor maneira de proteger todos os dados e ativos é não confiar em nada até que áreas da rede sejam comprovadamente confiáveis.

Dessa forma, os documentos precisam de um alto nível de proteção e ninguém deve ser confiável para acessá-los sem permissão explícita e autenticação validada.

Para a Microsoft, esse modelo assume os riscos de violação e verifica cada solicitação como se fosse originada a partir de uma rede aberta.

Independentemente de onde o pedido se origina ou qual recurso ele acessa, o Zero Trust “nunca confia, sempre verifica”.

Uma chave para aplicar a política Zero Trust é garantir gerenciamento e proteção de identidade fortes, principalmente por meio de autenticação, que deve ser aplicada em todo o ambiente, limitando os direitos dos usuários apenas ao que é absolutamente necessário.

Ou seja, somente aqueles que precisam abrir, transferir ou receber um arquivo podem fazê-lo.

Hoje, no setor de saúde, a tecnologia é responsável por conectar todos os atores. Por isso, medidas de segurança eficientes são indispensáveis para garantir a integridade dos processos.

Adotar políticas de controle de acesso às informações ajuda a manter a segurança e a privacidade de dados críticos, alavancando a saúde digital, e contribuindo para expandir o alcance do atendimento assistencial.

Nesse contexto, o maior beneficiário deve ser sempre o paciente, e o objetivo é manter sempre a segurança de seus dados.

Cibersegurança no governo: em ano de eleição, a segurança digital deve ir além das urnas

O que é ransomware as a service e como proteger negócios?

Cibersegurança na saúde: 6 ações para hospitais e clínicas

5G não ameaça segurança na nuvem, garante Pedro Guth, especialista em cibersegurança na nuvem

22mai09:0018:00The Tech Summit 20241ª edição no dia 22 de maio no Palácio Tangará, em São Paulo. 09:00 - 18:00 PALÁCIO TANGARÁ, R. Dep. Laércio Corte, 1501 - São Paulo, SP

28mai09:0012:00Webinar: O que você precisa conhecer da evolução da Criptografia Junte-se aos principais especialistas em cibersegurança do Brasil e explore soluções criptográficas inovadoras para os negócios.09:00 - 12:00