Saúde
Como garantir a cibersegurança na área da saúde
Por Jeferson D’Addario*
Com o crescimento da tecnologia e para oferecer aos pacientes mais comodidade, muitos hospitais, laboratórios e consultórios têm utilizado diversas ferramentas digitais como aplicativos para marcações de consultas, sites para verificação de resultados de exames, além de sistemas para autorização de procedimentos médicos. O fluxo e compartilhamento de informações nesse setor é amplo, por isso a necessidade em garantir a segurança e proteção de dados dos pacientes.
Para prejudicar ou enfraquecer a infraestrutura de qualquer país, o setor de saúde está entre os alvos de ataques clássicos, de acordo com o National Institute of Standards and Technology (NIST). Localizado nos Estados Unidos, o instituto também lista como alvos empresas e instituições em áreas como setor financeiro, governo, transporte, alimentação e telecomunicações.
Apesar dos cuidados com a segurança empresarial e corporativa, existem ameaças cibernéticas que podem ocorrer nesse ambiente como ransomwares, uma forma de código malicioso capaz de sequestrar dados utilizando criptografia. Os criminosos podem exigir resgate por meio de bitcoins ou outra criptomoeda e, mesmo assim, não existe a garantia de que a vítima terá os dados recuperados. Além disso, ainda há tentativas de invasão hacker, sequestro de dados, vírus, fraudes e tentativas de roubo de identidade. Por isso a preocupação com a cibersegurança no setor de saúde está cada vez mais em evidência.
Segundo a pesquisa Global Digital Trust Insights Survey 2022, realizada pela PwC, 83% das empresas brasileiras estimam elevar os investimentos em cibersegurança. É importante destacar que tanto o tema cibersegurança, quanto a gestão de segurança da informação, não são voltados somente para a tecnologia da informação. Para garantir a segurança cibernética na área da saúde, é necessário que toda a empresa esteja envolvida nos processos e protocolos. Só assim será possível estabelecer boas práticas, desde a direção até os colaboradores.
A cibersegurança precisa estar integrada ao planejamento estratégico da organização. Os gestores precisam enfrentar as dúvidas quanto ao tema, buscar conhecimento para poder então agir de forma consciente contra os incidentes cibernéticos. É importante ter um profissional especializado para coordenar uma equipe na gestão de segurança da informação ou avaliar a possibilidade de contratar uma empresa que faça consultoria para desempenhar essa função na organização.
Estabelecer regras de segurança da informação são fundamentais para manter o cuidado com os dados e garantir a melhoria contínua. Além disso, a empresa precisa ter a responsabilidade de educar os colaboradores e mostrar, através de exemplos, o quanto a gestão de segurança pode ser eficaz e ajudar as pessoas como um todo.
A identificação de riscos junto com gestores e equipes técnicas, pode ser um caminho para manter os parâmetros aceitáveis da empresa. Para isso, o ideal é sempre se preparar para o pior cenário que a companhia pode enfrentar. Criar cenários de incidentes e planos de gerenciamento de crises, podem preparar as equipes para reagir com cautela caso isso ocorra no ambiente real.
Com o propósito de auxiliar as organizações, independente de setor ou tamanho, a protegerem seus dados, existe o padrão ISO 27001, que normatiza o sistema de gestão da segurança da informação. A estruturação de processos pode beneficiar as empresas no que diz respeito a segurança de dados, além de oferecer menos riscos para quem investe na organização.
Para estar de acordo com a Lei Geral de Proteção de Dados (LGPD), as organizações da área da saúde precisam aceitar que é necessário o investimento em segurança da informação e cibersegurança. Desta forma, além das empresas mostrarem maturidade corporativa, elas garantem aos clientes e pacientes que estão dentro das normas de segurança e confiabilidade.
*Jeferson D’Addario é CEO do Grupo DARYUS, professor coordenador do MBA em Gestão e Tecnologia em Segurança da Informação (GTSI), do MBA em Gestão de Risco e Continuidade de Negócios (GRCN) do Instituto DARYUS de Ensino Superior Paulista (IDESP) e consultor sênior em Continuidade de Negócios e Gestão de Riscos.
Sobre o Grupo DARYUS
Desde 2005 com o propósito de iluminar mentes, potencializar pessoas e proteger negócios, por meio de educação e serviços em gestão de riscos, o grupo DARYUS tornou-se referência em consultoria, educação e eventos nos temas: Gestão de Riscos, Segurança de Informação, Cibersegurança, Proteção de Dados (LGPD) e Governança de Tecnologia da Informação (TI). O Grupo é composto por 4 unidades de negócios: 1) A DARYUS Consultoria – especializada em Gestão de Riscos e Cibersegurança, 2) O IDESP – instituto DARYUS de Ensino Superior Paulista – que é líder na formação em GRC, com mais de 30 mil profissionais formados desde 2006, e pioneira na criação dos cursos de pós-graduação em segurança da informação, forense computacional, cibersegurança e continuidade de negócios, 3) A DARYUS Eventos, que tem foco em criar e gerenciar eventos que desenvolvam a comunidade de cibersegurança e gestão de riscos no Brasil, e 4) A DARYUS StartLab, aceleradora de startups focada em Riscos, TI e Cibersegurança.
Para saber mais visite: https://www.daryus.com.br/