Especialista acredita que hospitais já entenderam que investimento é necessário e que setor deve evoluir quando ISO 27799 passar a vigorar no País
Há muito tempo se discute a atenção que é dispensada ao tratamento dos dados no setor de saúde, especialmente no Brasil, onde, só recentemente, o segmento passou a investir mais no uso de TI. E País afora é possível encontrar diversos cenários, desde hospitais que buscam estabelecer o básico, como infraestrutura de rede, até instituições com prontuário eletrônico e sistemas robustos de segurança da informação para, assim, garantir a confidencialidade dos dados dos pacientes. A expectativa é de grande evolução, especialmente, quando passar a vigorar por aqui a ISO 27799, norma que trata de segurança da informação no setor de saúde.
Atualmente, o Brasil trabalha apenas com a ISO 27001, que tem um capítulo destinado à segurança da informação, mas de forma generalista. Companhias de diversos setores têm essa certificação, mas como em saúde a confidencialidade é algo extremamente crítico, a movimentação tende a ser maior quando a norma específica estiver totalmente traduzida e aplicada no País. Pelo menos essa é a visão de Heitor Gottberg, mestre em ciências da saúde e responsável pela área de saúde da Cisco. O executivo falou sobre o assunto durante apresentação no Cisco Plus, evento da fabricante que aconteceu no Rio de Janeiro.
“A 27001 diz que é preciso ter controle, backup e testa. Já a 27799 recomenda o mesmo escopo, mas pede que o acesso físico aos equipamentos que armazena os dados seja feito apenas por pessoal autorizado e, para ser 100% compliance, pede que todas as informações de saúde sejam armazenadas de forma criptografada”, explica. Atualmente, quase nenhuma instituição trabalha com criptografia das informações.
Alguns hospitais como o Sírio Libanês, em São Paulo, há tempos contam com uma política de acesso refinada, até pelo perfil de pacientes que costumam frequentar o local, no caso do Sírio, vai de políticos, como a presidente da República Dilma Rousseff, a celebridades.
“Estamos numa realidade distante da ISO 27799. Considerado o ambiente ideal em saúde, a maturidade atual mostra que temos muito a caminhar”, acredita o especialista. “A gestão de segurança da informação em saúde é mais complexa que em outros setores, mas poucos analisaram o extra da saúde. A melhor notícia é que existe material disponível, manual para sistema de informação, há uma preocupação com segurança dos dados em saúde por aqui.”
De forma geral, a segurança da informação (SI) tem chamado a atenção em empresas de todos os segmentos. Em saúde, o ponto forte é a privacidade do paciente, mas se analisar uma companhia de energia elétrica, por exemplo, SI está relacionada com a disponibilidade do serviço, em uma farmacêutica, com propriedade intelectual. O Brasil passa por um amadurecimento nesse setor e é comum encontrar companhias que possuem um profissional exclusivo para cuidar da segurança, o chamado CSO.
É bom lembrar, entretanto, que não somos os únicos a sofrer com este mal. Gottberg citou dois exemplos vindos dos Estados Unidos que atestam que a falta de atenção pode acontecer em qualquer lugar. Em 2002, o centro médico de administração dos veteranos dos EUA doou 139 computadores sem limpar os HDs ou remover dados confidenciais de pacientes com Aids e doenças mentais. Já em 2006, um artigo denunciou que, a partir de uma falha em computadores, informações de 60 mil pacientes do Centro Médico da Universidade de Ohio foram roubadas. “Se lá tem esses casos, na medida em que vai se informatizando, e a saúde no Brasil está se informatizando, como está a gestão de segurança para que isso não aconteça por aqui?”, questiona.
Fonte SaudeWeb
Nenhum comentário:
Postar um comentário