Práticas essenciais para segurança da informação na área da saúde

Por Fábio Almeida e Juliano Sauer em 9 de abril de 2019

A segurança da informação na área da saúde é um aspecto crucial para obter qualidade nos atendimentos médicos e reconhecimento do mercado. Com os avanços tecnológicos, impulsionados pela Transformação Digital, surgem também cada vez mais ameaças às instituições de saúde que devem buscar serviços e sistemas de segurança avançados que garantam a proteção dos dados dos pacientes e cumpram com as normas e leis do setor.

Com a Lei Geral de Proteção de Dados (LGPD), sancionada em 2018 e que deve entrar em vigor em 2020, as preocupações e os cuidados referentes a segurança da informação na área da saúde devem ser ampliados. Além das ações previstas na lei, outras medidas podem ser realizadas para evitar ataques virtuais, roubos e o uso indevido de dados. No artigo de hoje, vamos abordar a importância da segurança da informação na área da saúde e algumas práticas essenciais para aumentar a proteção das organizações. Confira!

A importância da segurança da informação na área da saúde

A proteção de dados e da privacidade dos pacientes é um aspecto fundamental para qualquer instituição de saúde. Antes mesmo da LGDP, a legislação brasileira já previa várias normas sobre o armazenamento de dados e imagens, bem como medidas específicas para garantir a segurança da informação e bloquear os ataques cibernéticos, que têm se tornado frequentes no setor de saúde.

Em 2016, por exemplo, o Centro Médico Presbiteriano de Hollywood sofreu um ataque virtual e teve de pagar R$ 68 mil em bitcoins (US$ 17 mil) para recuperar o acesso aos dados dos sistemas utilizados na organização. Em 2017, um dos maiores ataques já registrados na história, o WannaCry afetou 44 hospitais e outras 603 organizações de saúde no Reino Unido. Além de bloquear o acesso às informações dos pacientes e o uso dos sistemas, o vírus paralisou equipamentos essenciais para realização de exames, interferindo a realização de cirurgias e outros procedimentos. No início de 2019, outro caso envolvendo hospitais e segurança da informação voltou à tona, com a condenação de um hacker que em 2014 invadiu os sistemas do Boston Children’s Hospital (BCH), deixando a organização e outras unidades da região sem acesso à internet durante uma semana, gerando danos de US$ 600 mil.

No Brasil, o Hospital do Amor (Hospital de Câncer de Barretos) sofreu um ataque em 2017. O vírus infectou os computadores da organização, paralisando o funcionando das máquinas. Para recuperar o acesso, o hospital deveria realizar o pagamento de US$ 360 mil. Embora a unidade tenha conseguido recuperar o acesso às máquinas sem realizar o pagamento, o ataque comprometeu o atendimento dos pacientes. Aproximadamente 3 mil consultas e procedimentos médicos foram cancelados e 350 pacientes não puderam realizar radioterapia.

Além da quebra de credibilidade das instituições de saúde, a vulnerabilidade dos hospitais aos ataques cibernéticos pode gerar sérios prejuízos financeiros e afetar o tratamento e o atendimento dos pacientes. Vírus, malwares, ransomware, phishing e outras inúmeras ameaças são capazes de interromper o funcionamento de máquinas e a realização de procedimentos médicos, roubar informações sigilosas, alterar dados, derrubar os sistemas utilizados, entre outros problemas.

Por isso, a segurança da informação na área da saúde deve ser uma das maiores preocupações do gestores e profissionais. Com os avanços e o desenvolvimento de novas ferramentas digitais, os hackers têm cada vez mais facilidade para quebrar sistemas ultrapassados e identificar falhas de segurança nas organizações. Nesse sentido, é fundamental adotar medidas e softwares avançados de proteção digital.

A boa notícia é que os sistemas para gestão e realização de procedimentos médicos também têm como um dos seus objetivos proporcionar proteção sobre as informações dos clientes e evitar ataques virtuais. Para isso, os especialistas e desenvolvedores dos sistemas para organizações de saúde estão sempre pesquisando novas ferramentas de segurança, identificando possíveis falhas e riscos para os centros de saúde. Sistemas como da Pixeon são baseados nos pilares da segurança da informação, sendo estes:

confidencialidade: que garante que as informações armazenadas nos sistemas sejam acessadas somente por pessoas autorizadas;
integridade: que se certifica que as informações não sejam violadas ou alteradas por terceiros;
disponibilidade: que libera as informações para as pessoas autorizadas, e garante que os dados vão estar disponíveis sem falhas ou erros;
autenticidade: que valida a identidade e a segurança da origem da informação.

4 Medidas para ampliar a segurança da informação

Além de cumprir com todas as normas e recomendações de ética dos conselhos do segmento de saúde, para ampliar a proteção das organizações de saúde e evitar ataques cibernéticos aos sistemas de dados utilizados pelas instituições é essencial cumprir os princípios da segurança da informação. Selecionamos algumas ações que visam garantir a aplicação desses conceitos. Confira:

1. Realizar backup

O backup é um processo de segurança importante pois previne a perda ou modificação dos dados armazenados no servidor. Em casos de ataques virtuais ou vírus, o backup é ideal para recuperar as informações do sistema. Por isso é importante manter uma rotina de backups em HDs externos ou na nuvem da organização de saúde.

2. Estabelecer um Programa de Política de Segurança da Informação

Uma medida essencial para evitar ataques virtuais é desenvolver um Programa de Política de Segurança da Informação, com normas e recomendações para os funcionários e médicos do centro de saúde. Esse processo tem o objetivo de conscientizar os colaboradores para que eles entendam os riscos dos ataques virtuais e como essas ameaças podem ser evitadas. Dependendo do porte da organização, pode ser interessante ter uma equipe focada apenas na segurança da informação, composta por técnicos de TI e profissionais especializados em proteção de dados.

3. Adquirir sistemas de gestão avançados

A escolha para aquisição de sistemas de gestão também deve levar em conta os recursos de segurança oferecidos. Além das ferramentas de segurança para os softwares locais, com configurações de privacidade e acesso, é essencial que os fornecedores ofereçam recursos de segurança para aplicativos usados em dispositivos móveis. Para isso, é importante buscar fornecedores reconhecidos no mercado, que ofereçam suporte para os usuários e treinamentos para os colaboradores.

4. Atualizar os sistemas operacionais e ferramentas digitais utilizadas

Outro aspecto essencial para evitar ataques cibernéticos e ampliar a segurança da informação na área da saúde é manter atualizados os sistemas operacionais e os softwares utilizados pela organização. Como destacado anteriormente, os especialistas e desenvolvedores de sistemas digitais buscam constantemente identificar falhas e criar novos recursos para ampliar a segurança dos sistemas. Quando surgem mensagens sobre atualizações das ferramentas, é essencial realizá-las e estar em contato com o seu fornecedor para saber se há alguma nova versão dos serviços utilizados. Essa prática amplia a segurança e evita prejuízos para a organização, em caso de mudanças drásticas nas ferramentas utilizadas.

Acompanhe o nosso Blog e saiba mais sobre tecnologias e recursos para ampliar a segurança para organizações de saúde.

Recomendamos também a leitura dos seguintes materiais: