Para entender como o setor está conduzindo à segurança da informação, a IT Mídia reuniu CIOS e especialistas da área em um debate. E o resultado você confere a seguir
Era início dos anos 1980 quando ataques a sistemas de computadores começaram a se tornar comuns, principalmente em grandes empresas como Los Alamos National Laboratory, o Memorial Sloan-Kettering Cancer Center, a AT&T e, até mesmo, o Departamento de Defesa dos Estados Unidos.
Convém voltarmos ao tempo para entender o momento e o futuro da Segurança da Informação (SI), que tanto tem assombrado as companhias ao redor do mundo incluindo Saúde, que não é diferente.
A confidencialidade dos dados e da informação é, sim, um tema antigo e extremamente crítico para hospitais, operadoras de saúde e centros de diagnóstico por uma simples questão: quanto mais digital as pessoas se tornam, mais facilmente as informações circulam. Está claro: à medida que o acesso à internet cresce, aumentam as fragilidades, as exposições e os ataques.
“Isso deixa uma preocupação grande na gestão da Segurança da Informação dos hospitais, operadoras e seguradoras. Até no próprio SUS vimos uma real preocupação do Ministério da Saúde, principalmente por conta do fenômeno da consumerização, que leva à necessidade de um investimento maior em DLP [prevenção contra a perda de dados]”, avaliou a advogada especializada em direito digital Patricia Peck, durante o debate.
No entanto, em face da velocidade com que a tecnologia avança e com que cresce o número de usuários e dispositivos conectados às redes é cada vez mais decisivo o treinamento e a conscientização de usuários – e há forte tendência que isto seja incluído na legislação – como já acontece em outros países.
É consenso entre os participantes que o fator humano (o que os empregados fazem ou deixam de fazer) representa o maior risco aos sistemas de informação e aos ativos nas instituições. Soma-se a isso a era das redes sociais, em que praticamente não há fronteiras entre vida profissional e pessoal, e pode-se afirmar que beira o impossível evitar, apenas com tecnologia, o vazamento de informações e de que assuntos de trabalho se tornem públicos em redes sociais, o que leva as empresas à constante exposição.
Neste contexto, somente o treinamento, a conscientização dos colaboradores e alguma legislação que suporte os casos de não conformidade podem evitar vazamentos e exposição indevida. “Não adianta implantar tecnologia se não conscientizar os usuários”, diz o gerente de Segurança da Informação e Compliance do Hospital Israelita Albert Einstein, Arlen Feitosa.
O executivo conta, abertamente, que a instituição tem 11 mil funcionários e, consequentemente, 11 mil potenciais riscos. Sem falar do grande volume de pacientes, visitantes e prestadores de serviço. “O principal pilar da nossa Segurança da Informação é a conscientização”, reforça. “Temos cinco mil estações de trabalho, um enfermeiro tem uma estação única que precisa ser compartilhada, e aí? O único caminho é trabalhar o fator comportamental.”
Tanto as competências técnicas quanto as de treinamento e conscientização são consideradas importantes, o que coloca ainda mais pressão sobre o Chief Security Officer (CSO). Se já é difícil avaliar quantitativamente os riscos de modo que as salvaguardas não superem os custos destes – há, agora, a necessidade de quantificar os esforços por conscientização e definir a estratégia correta para treinamento.
Uma alternativa encontrada pelo gerente de TI do Hospital Samaritano de São Paulo, Klaiton Simão, é separar a segurança de dados da segurança da informação. A estratégia tem foco em políticas, não necessariamente corporativas, mas na maneira de pensar a Segurança da Informação. Na prática, na segurança de dados estão software e hardware, sob responsabilidade da TI do hospital, enquanto a SI responde diretamente paran Compliance.
“Hoje o mercado oferece muitas alternativas boas em termos de segurança de dados e tudo que é novo a gente tem, mas a questão da segurança da informação é infinitamente mais complexa e sai do âmbito da TI”, explica Simão.
Uma conversa em elevador entre dois médicos é algo para compor essa política, por exemplo. São questões delicadas que não deveriam ser tratadas naquele momento, segundo Simão, que vê essa realidade como desafiadora. “Temos hoje cabeças analógicas pensando em um mundo digital. A legislação, que antes não garantia quase nada, continua sem garantir, mas recebe um holofote maior por conta do potencial de estrago que existe hoje, muito maior do que tempos atrás.”
Não tão distante, a equipe de Feitosa, do Albert Einstein, também traçou uma estratégia parecida. Além da conscientização dos colaboradores, o hospital acredita que ter uma estrutura segregada em função das particularidades do assunto é primordial – lá, a Segurança da Informação reporta para a diretoria financeira.
E a grande batalha é construir uma relação de confiabilidade com os clientes e parceiros de negócio. Nesse contexto, as instituições passam a lidar com SI de uma forma mais ampla, onde estabelecem que sistemas integrados de controles internos, estruturas de administração de segurança da informação e auditorias preventivas são reportadas diretamente a áreas não ligadas a TI.
Conexão desconectada
É importante compreender que a tecnologia avança muito todos os dias. Assim todos de auditoria, controladoria, compliance, controles internos e riscos devem buscar melhorias para organização e entender o que está acontecendo.
Não faz muito tempo, a TI das empresas, no geral, bloqueavam os acessos a e-mail particular, sites ou páginas de internet que não tinham relação com o trabalho exercido pelos colaboradores. Mas com o advento dos smartphones, tablets, redes sem fio, mobilidade digital, vem à pergunta: como bloquear os acessos remotos?
Esse é ainda um problema sem resposta. Às vezes, até pelo motivo de o próprio hospital incentivar o uso, ao trabalhar sua marca nas redes sociais. O Samaritano, por exemplo, tem o Facebook como ferramenta de trabalho e não vê outra saída a não ser liberar o acesso. “Como posso restringir o acesso do corpo de trabalhadores? Não tem como. Nós não bloqueamos”, conta Simão. “O grande desafio é a mudança na nossa maneira de ver e tratar essa questão da segurança da informação.”
Hoje, menos de 10% das empresas monitoram o uso do Facebook, YouTube, LinkedIn e outros sites de redes sociais por seus funcionários, com o objetivo de identificar falhas de segurança. Muitas recorrem ao monitoramento para a gestão de marca e marketing, revela estudo recente do Gartner.
O Hospital Albert Einstein, por exemplo, criou uma área dedicada exclusivamente ao monitoramento contínuo da marca e, assim como o Samaritano, permite o acesso de seus colaboradores às redes sociais, mas garante que estuda uma maneira de gerenciar o uso de forma eficaz.
“Tentamos fortalecer a cultura de SI e temos percebidos um grande diferencial na saúde, que é o comprometimento com as questões internas de ética. Existem casos de desvio, sim, mas na base isso é levado muito a sério”, revela Feitosa.
O Metrus, Instituto de Seguridade Social, acredita que é possível discorrer por diversas soluções, mas o que falta no País é a conexão entre educação e saúde. “Essa desconexão que existe atualmente faz muita diferença quando se fala em compartilhar. O Brasil é ‘top’ em redes sociais, compartilhamos tudo, mas não definimos o que entendemos por privacidade”, diz o coordenador de TI do Metrus, Efrain Saavedra.
Justa causa
De acordo com o Tribunal Superior do Trabalho colocar fotos nas redes sociais pode resultar em dispensa por justa causa. A decisão surgiu após uma enfermeira ter sido demitida pela empresa por justa causa, em razão da sua página de relacionamento ilustrar fotos sem autorização, que remetiam a brincadeiras e expunham pacientes e enfermeiros. A profissional entrou com pedido de descaracterização da justa causa, com indenização por danos morais, alegando que o hospital praticou ato de discriminação, uma vez que outros colegas de trabalho também publicaram fotos com o mesmo teor e não foram punidos. Apesar de, em primeira instância, a profissional ter tido sucesso, a decisão foi revista e os pedidos indeferidos.
Esse cenário mostra a realidade de esforço conjunto da área de segurança da informação, em hospitais, principalmente aqueles que normalmente cuidam de celebridades. Nesse caso, Patrícia Peck aconselha colocar placas informativas sobre a proibição de capturar imagens naquele local. “Assim é possível ter a prova que não houve conivência nem negligência. Delimitem. Tem de deixar claro: o risco não é seu, mas sim do seu negócio.”
O excesso de disponibilidade de serviços de compartilhamento tem de ser visto com atenção. Em algumas situações pode ocorrer o contrário do caso da enfermeira mencionado pelo TST. “Nossa reputação depende de um coletivo de pessoas. É complicado, temos que pensar em como proteger a imagem da instituição muitas vezes de algo que não foi realizado por pessoas internas”, avalia Saavedra, do Metrus.
O papel de desenvolver políticas vai muito além de placas espalhadas pelos corredores de hospitais. A utilização do e-mail corporativo para fins diversos e não, exclusivamente, para o desempenho de atividades inerentes a rotina de trabalho pode caracterizar também justa causa, além da quebra de integridade da informação.
O dono da informação
A lei é clara: a informação é do paciente e é muito comum ver discussões acaloradas em torno disto. Depois que a informação é dada ao doente cabe a ele protegê-la.
“Nossa lei é rigorosa nesse sentido, se houver suspeita de vazamento de informação do paciente, ela recai no fiel depositário. Então, quem deve fazer a prova de que não vazou dali é a instituição, por isso é necessário guarda histórica sem subscrição e, lógico, investimentos em políticas de segurança, de privacidade, do uso de sites seguros e conscientizar as equipes”, explica Patrícia. A advogada avalia ainda que o usuário da saúde não tem a cultura de criptografar a informação e a entidade acaba por assumir a responsabilidade da negligência.
Para isso, a parte da legislação é bem estabelecida em termo de segurança da informação. Falta por outro lado, estabelecer políticas sobre quem pode e o quê acessar, em quais circunstâncias a privacidade da informação pode ser quebrada em prol do próprio paciente. “No Canadá existe uma norma nacional sobre privacidade e nela há uma série de normativas para orientar os hospitais sobre o que pode ou não ser acessado”, conta o presidente da Sociedade Brasileira de Informática em Saúde (SBIS), Cláudio Giulliano Alves da Costa.
Um exemplo comum são as anotações feitas pelo médico em um papel à parte sobre a personalidade do paciente, que de alguma forma interfere no decorrer do tratamento, essa observação privada deve ser revelada ou não para o paciente? Tem que ser posta no prontuário? De acordo com Costa, essa é uma discussão em pauta há muito tempo e, ainda, precisa ser muito debatida.
Patrícia arrisca: “Os médicos já deveriam ter aprendido sobre o que anotar no prontuário ou no papel. A informação tem de estar acessível para que seja garantido o uso dela, porque, se dificultar demais o acesso, o brasileiro dará um jeitinho.”
Para Simão, do Samaritano, está cada vez mais relativa essa questão do que é ou não confidencial. “Talvez o caminho seja pensar em tirar da instituição de saúde o papel de guardião desse dado e delegar esse papel ao paciente, pois ele é o dono fiel desse registro e com isso faz o que bem entender. Ele decide divulgar ou não pra quem quiser e como quiser. O que está acontecendo hoje não vai mudar”, sugere.
Atualmente, no Samaritano todo suporte de cuidado ao paciente é feito por meio de uma plataforma informatizada. Por ser um hospital geral, a instituição lida com a questão de alguns médicos defenderem que todos integrantes de sua equipe tenham acesso ao prontuário de determinado paciente, o que entra na questão da segurança de dados e da segurança da informação, citado no início desta reportagem. “Na prática isso se mostra inviável. O paciente circula pelo hospital, é operacionalmente impossível. Isso significa dizer que qualquer profissional da instituição pode acessar dados do prontuário em qualquer uma das estações. Estamos multiplicando o risco do acesso indevido e nos deparando com questões que nesse momento são impossíveis de solucionar”, diz Simão.
Outro ponto é que o Samaritano disponibiliza tablets e carrinhos móveis com notebooks para funcionários operarem com Wi-fi. “Esses dispositivos trafegam por todo o hospital. Claro que há toda uma orientação com as políticas divulgadas e treinamento para os funcionários terem cuidado, mas não é impossível que o carrinho seja esquecido ali no corredor”, declara Simão.
Mas e quando se trata de lidar diretamente com crianças, é diferente? O pronto- socorro do Hospital Infantil Sabará atende em média 550 pacientes por dia, fato que fez com que a instituição colocasse em prática o prontuário eletrônico e um fim no tráfego de papéis. De acordo com diretor de TI e Facilities do hospital, Milton Alves, pelo aspecto financeiro, era muito confuso lidar com tantos documentos físicos. “Com isso, resolvemos uma grande questão no aspecto econômico financeiro, porque, no que diz respeito à confiabilidade da informação, não vejo outra alternativa a não ser a questão de certificação digital, que ainda acho tímida”, afirma. “Estamos começando a tratar a SI, nem sempre temos orçamento para tal, mas é inevitável e temos de fazer”, pontua.
No Einstein, o paperless é uma questão crítica. O tempo de duração de um prontuário físico de um paciente é quase que para sempre e levando, esse conceito de que o prontuário é do paciente e deve ser guardado permanentemente, a área de SI trabalha para tornar o plano muito agressivo, segundo Feitosa.
“Não me leve a mal, mas a segurança da informação é muito mais importante na saúde do que em uma instituição financeira. Na saúde, o proprietário da informação é o paciente e dado ao volume de gente dentro de um hospital, se ocorrer vazamento de dado, esse paciente pode estar numa ilha deserta portando um smartphone e saberá que ele é aquela pessoa. Isso pode trazer grandes consequências para a instituição”, considera.
Paranoia real?
Mas como pode um sistema eletrônico ser mais intrigante para a TI e a SI do que os milhares de papéis físicos empilhados nos corredores dos hospitais, por exemplo?
Mas como pode um sistema eletrônico ser mais intrigante para a TI e a SI do que os milhares de papéis físicos empilhados nos corredores dos hospitais, por exemplo?
Essa “paranoia digital”, na verdade, não é reconhecida como tal pelo setor. “Não acho que seja paranoia, é questão de entendimento dos riscos associados, dos deveres, do que pode ou não fazer. E essa questão de maiores riscos está internamente, é extremamente crítica”, considera Feitosa, do Hospital Albert Einstein.
É muito mais do que adotar novas tecnologias, envolve a conscientização tão falada pelos executivos no debate. O digital, segundo Patricia Peck, gera mais rastreabilidade e contribui para o crescimento da prova jurídica em determinados casos. “Tem riscos que eu não tenho como evitar, mas tenho como provar que não houve negligência. Wi-fi é um exemplo de algo que não é do nosso negócio, é apenas para ser benefício para o cliente, então terceiriza. Não precisa estar no seu IP”, aconselha.
No papel ou no digital, a fraude no ambiente de trabalho merece atenção, pois é um câncer presente em praticamente todas as organizações. O percentual de companhias e a maneira como cada empresa é afetada variam de pesquisa para pesquisa. A Kroll Advisory, em recente trabalho, indica que 74% das companhias latino americanas são afetadas por fraudes corporativas.
Um estudo internacional do Reino Unido mostra que quanto maior o uso do papel e interferência humana no processo, sempre será maior o risco de fraude. Mas Patrícia destaca: “Isso não quer dizer risco de vazamento”. Porém, de acordo com a especialista, o digital, quando vaza, gera um nível de potencialização bem maior.
Para ser efetiva no combate à fraude é mandatório que a organização considere o processo de segurança da informação e que a tecnologia possa ser auditável.
“Precisamos que as políticas de SI sejam organismos vivos. O Metrus é um exemplo de instituição que antes de ser operadora é um fundo de pensão e, por isso, temos dois agentes reguladores e somos auditados, em média, sete meses ao ano”, diz Efrain Saavedra. “A tecnologia é falível, por isso processos de auditoria e de conformidade caminham juntos e possibilitam que a segurança da informação pertença às pessoas, para que elas possam ser nossos auditores no dia a dia. Isso garante muito mais que integridade.”
De fato, os participantes do debate possuem opiniões diferentes quando o tema é a paranoia digital.
“O que está havendo é a descoberta do potencial de dano e a busca por soluções. O momento é de amadurecimento e compreensão do cenário”, avalia Simão, do Samaritano. Para ele, o que acontecerá daqui para frente é uma adequação dos papéis em relação aos cidadãos, sociedade como um todo e ao governo, cada um entendendo melhor qual seu papel e suas responsabilidades.
“Minha percepção como cidadão é que há uma leniência por parte do Judiciário em relação a crimes virtuais.
Falta uma legislação firme, que represente efetivamente uma preocupação para o infrator. Hoje o violador está se sentindo tranquilo e seguro para praticar seja lá o que for, porque na pior das hipóteses, vai ter de arcar com algumas cestas básicas”, conclui.
A verdade é que há alguns anos quando se falava de prontuário eletrônico havia receio se aquele dado uma vez informado podia ser alterado. Sempre houve esse temor, de acordo com Costa, da SBIS.
“Naquele momento, essa era uma paranoia com certo sentido, que poderia acontecer. Por outro lado, ainda há uma grandíssima quantidade de prontuário médico em vários lugares. Em consultórios, o cenário é ainda pior. Eles não usam banco de dados ou usam um muito simples. Isso gerou certa paranoia justificada sobre esse assunto, com advento da internet e popularização da mídia social”, conta Costa. “A paranoia é sim um fato real. Existe o poder danoso de uma informação ser popularizada”, considera.
Milton, do Hospital Infantil Sabará, conclui: “A responsabilidade nossa é muito maior, pois estamos herdando questões que os hospitais durante séculos deveriam ter resolvido para não chegarmos nesse momento paranoico.”
Fonte SaudeWeb
Nenhum comentário:
Postar um comentário