Os ataques virtuais estão cada vez mais comuns e sofisticados. Instituições financeiras, lojas virtuais e usuários sempre foram as principais vítimas dos cibercriminosos, mas, agora, o setor hospitalar também se tornou um alvo interessante para eles.
Como a prevenção é a melhor forma de se evitar um ataque, este artigo abordará algumas questões sobre a importância da Política de Segurança da Informação nos hospitais.
O que é a PSI no contexto hospitalar?
De modo geral, uma Política de Segurança da Informação (PSI) é um conjunto de regras e boas práticas que devem ser adotadas para a proteção de dados, ou seja, diretrizes que precisam ser respeitadas para se estabelecer uma política organizacional de segurança da informação.
Independente do contexto, o objetivo é o mesmo (a segurança dos ativos), porém, o que vai mudar é o nível e o tipo de segurança exigido pelo modelo de negócio da organização. Por exemplo, a PSI de um banco será totalmente diferente da PSI de um hospital.
No contexto hospitalar, a PSI tem a função vital de proteger dados de pacientes e os sistemas das unidades hospitalares por meio de medidas sistemáticas de segurança.
Já no contexto bancário, além da confidencialidade dos registros financeiros, há também a preocupação com a autenticidade das operações, afinal de contas, saques ou transferências erradas/corrompidas podem representar grandes prejuízos (assim como o vazamento de dados hospitalares).
Com o que as instituições devem se preocupar?
Em um hospital as principais preocupações são em torno do correto funcionamento dos equipamentos médico-hospitalares e a confidencialidade dos prontuários médicos.
Em 2017, o Ransomware WannaCry tornou-se uma epidemia global, sequestrou informações e paralisou as operações de empresas de diferentes segmentos, inclusive, hospitais, afetando até mesmo a realização de sessões de quimioterapia.
No Reino Unido, 16 hospitais ficaram paralisados após o ataque. No Brasil, o Hospital de Câncer de Barretos levou pelo menos 5 dias para normalizar as suas atividades operacionais.
Pela Lei 13.709, de 14 de Agosto de 2018, denominada Lei Geral de Proteção de Dados (também conhecida como LGPD), as informações manipuladas nos hospitais são consideradas dados extremamente sensíveis, e a norma exige medidas especiais de proteção, tanto para a coleta, o armazenamento e a manipulação de tais informações.
Caso ocorram vazamentos, multas com valores elevados poderão ser aplicadas, chegando a 2% do faturamento da empresa ou até o valor máximo de cinquenta milhões de reais por infração.
Portanto, faz-se necessário proteger os sistemas que lidam com essas informações contra diversos tipos de ameaças, como desastres naturais, acidentes, negligência, e claro, ataques virtuais.
Não somente por conta do caráter confidencial das informações e pelas multas aplicáveis, mas, principalmente, para manter o correto funcionamento dos dispositivos tecnológicos utilizados no diagnóstico e tratamento dos pacientes, levando em consideração que falhas ou interrupções de alguns serviços podem custar vidas.
Como implementar medidas eficientes para uma boa PSI hospitalar?
O principal é fazer um levantamento detalhado e preciso de todos os ativos que precisam ser protegidos e todos riscos eminentes.
Além disso, todos os colaboradores, internos ou externos, envolvidos com as operações relacionadas aos recursos de informação do hospital devem ter um entendimento comum sobre a importância da segurança da informação e cumprir na íntegra as diretrizes impostas na política.
Para maiores detalhes, confira nosso artigo completo sobre como desenvolver e implementar uma PSI de forma eficaz.
Quais são os pontos de atenção que gestores devem observar?
Existem algumas medidas que os gestores devem observar atentamente para proteger os ativos de informação médica pertencentes ao hospital, são elas:
Medidas de segurança física
Devem ser estabelecidas medidas de segurança física para entrada e saída das salas com o objetivo de impedir o acesso não autorizado às instalações onde os sistemas de informação estão localizados e evitar danos ou interrupções no funcionamento dos dispositivos.
Medidas de segurança humana
De nada vai adiantar contar com os melhores sistemas de segurança se o fator humano não for devidamente trabalhado. Estabeleça medidas necessárias para educar, fiscalizar e determinar responsabilidades para cada colaborador da empresa que tem contato (direto ou indireto) com as informações médicas. Essa medida é necessária para garantir que todos colaborem e estejam familiarizados com o conteúdo da política de segurança da informação.
Medidas técnicas de segurança
Medidas técnicas, como catracas para controle de acesso, auditorias, antivírus, backups automáticos, gerenciamento de patches de segurança e serviços gerenciados de TI são ferramentas essenciais para proteger adequadamente as informações médicas contra acesso não autorizado, sequestro de dados ou interrupção de sistemas.
Medidas operacionais
As medidas operacionais são necessárias para garantir a eficácia da política de segurança da informação. Monitorar os status das operações dos sistemas e verificar se estão em conformidade com a PSI é crucial para identificar sinais de alerta ou pontos de melhoria.
Outro fator importante é o gerenciamento de crises, pois é ele quem permitirá uma resposta imediata em caso de emergências e o restabelecimento das atividades usuais do hospital.
Quem deve ser responsável pela implementação?
O responsável pela implementação deve ser o Comitê Gestor de Segurança da Informação (CGSI), que é uma comissão designado pela instituição para aprovar as Normas de Segurança da Informação, propor alterações na Política e analisar casos de violação.
A segurança das informações de um hospital não pode, em hipótese alguma, ficar na mão de amadores. Desse modo, é essencial que o hospital conte com a experiência de uma equipe bem treinada e com serviços de especialistas.
Caso o hospital não tenha um setor interno de TI, é recomendado contratar uma empresa especializada em segurança da informação e fazer uma parceria.
Qual o tempo médio de implementação de uma PSI nesse contexto?
O tempo necessário para implementação da PSI no âmbito hospitalar irá variar de acordo com diversos fatores, como tamanho da equipe, tamanho do hospital, nível de maturidade da instituição em termos de segurança, ou seja, se a implantação começará do zero ou se já existem estudos básicos acerca dessa questão.
O cronograma deve ser elaborado com a equipe responsável pelo projeto, visto que, após analisar-se a situação individual do hospital, poderá se estabelecer marcos para a elaboração e o passo a passo para a implantação da PSI.
Para contar com uma avaliação e saber como implantar políticas de segurança de informação hospitalar, entre em contato para conversar com um dos nossos consultores.