Proteção de Dados

O compartilhamento seguro de dados na área da saúde será o grande desafio para os próximos anos.

Apesar dos inúmeros benefícios de adotar o compartilhamento de dados entre instituições de saúde, a proteção e privacidade de dados será o grande desafio a ser vencido por essas organizações. 

Nem tudo se resume a adoção de tecnologias, a exemplo de sistemas de prontuários eletrônicos, existem políticas e processos envolvidos, além da conscientização de usuários.

De fato, proteção e a confidencialidade dos dados são as principais prioridades do setor de TI, e na área da saúde não será diferente. Mas nem sempre é fácil atingir esses objetivos em larga escala.

Não é a toa que o compartilhamento seguro de dados na área da saúde é considerado o grande obstáculo para os próximos anos.

Sempre tenha em mente a segurança do paciente

Para muitos especialistas em saúde e segurança em TI, o compartilhamento de dados na área da saúde é uma “faca de dois gumes”.

Por um lado, gestores e médicos querem inovação na área da saúde e que os pacientes possam decidir quais dados desejam compartilhar e com quem desejam compartilhá-los. 

Por outro lado, os profissionais de tecnologia querem a garantir proteção dos dados, e portanto, quando os pacientes permitem o compartilhamento de suas informações médicas, eles deveriam entender completamente o que está acontecendo com seus dados e por onde essas informações trafegam.

A privacidade de dados pode se tornar uma armadilha

Para se ter uma ideia, 80% dos aplicativos de saúde comportamental da Apple App Store compartilham informações com terceiros. 

Determinar quem tem acesso a esses dados depois de compartilhados pode ser difícil, especialmente se um contrato de licença de usuário final estiver envolvido.  

Você já leu o contrato de licença de usuário final do Facebook? Provavelmente levaria horas. Portanto, quando falamos em compartilhamento seguro de dados, um contrato de licença de usuário que leva horas para ser lido e entendido não é um consentimento pensando na proteção e privacidade de dados.

Essa preocupação também se aplica às instituições de saúde. As regras adotadas para o armazenamento e uso de dados por essas organizações também terão um impacto significativo na vida dos pacientes, colocando a permissão de compartilhamento de dados diretamente em suas mãos. 

Em última análise, as legislações existentes reduziram o risco de compartilhamento de informações entre organizações de saúde, mas se um paciente permite compartilhar seus dados médicos, a Lei Geral de Proteção de Dados (LGPD) pode não ser aplicada, em casos de problemas.

O investimento em segurança dos dados é fundamental, mas é apenas um dos estágios para o compartilhamento seguro 

Atualmente, sistemas operacionais e soluções em saúde estão mais protegidos e os atacantes mudaram sua atenção para o elemento humano, visando invadir os sistemas de informação da organização. 

À medida que o número e a frequência de ataques cibernéticos projetados para tirar proveito de pessoas inocentes estão aumentando, a importância do fator humano no gerenciamento da segurança da informação não pode ser subestimada. 

Para combater ataques cibernéticos projetados para explorar fatores humanos na cadeia de proteção de dados, é primordial o reconhecimento da segurança da informação com o objetivo de reduzir os riscos às informações de saúde que ocorrem devido a vulnerabilidades relacionadas aos usuários. 

Educação, políticas e processos como a chave para o compartilhamento seguro

Em outubro de 2019, o sistema de saúde do Alabama nos Estados Unidos foi vítima de um ataque que o deixou incapaz de aceitar novos pacientes em três hospitais. Uma quantia não revelada foi paga para interromper um ataque cibernético e restabelecer as operações dos hospitais.

Mas o investimento em segurança de dados através da tecnologia não é a única coisa a ser feita para reduzir os riscos e os ataques que devem ocorrer nesta nova década. Recursos tecnológicos são apenas a “ponta do iceberg” para garantir o compartilhamento seguro de dados.

Muitas vezes, para que os ataques ocorram ou que o compartilhamento de dados aconteça de forma inadequada, vírus e malwares precisam da ajuda dos usuários para entrar nos computadores. 

No contexto da segurança da informação, a engenharia social é o uso de técnicas para manipular indivíduos para divulgar informações de negócio confidenciais ou pessoais que podem ser usadas para fins fraudulentos. 

Em outras palavras, as pessoas podem ser enganadas e divulgar informações estratégicas que, de outra forma, não fariam.

Os vetores comuns de ataque aos usuários incluem:

  • Phishing: emails falsos para induzir as pessoas a clicar em um link ou abrir um anexo que carrega uma carga útil de malware;
  • Mídias sociais: as mídias sociais podem ser um veículo poderoso para convencer uma vítima a abrir uma imagem baixada de um site ou tomar outras ações comprometedoras;
  • Mensagens instantâneas: os clientes de mensagens instantâneas podem ser invadidos por criminosos cibernéticos e usados ​​para distribuir malware na lista de contatos da vítima;
  • SMSishing: o SMSishing usa mensagens de texto para fazer com que os destinatários naveguem para um site ou insiram informações pessoais em seus dispositivos;

As organizações devem realizar treinamento regular para ajudar os funcionários a evitar armadilhas comuns de malware e outras ameaças. 

E para alcançar esse objetivo, há uma ampla variedade de métodos para a conscientização sobre segurança da informação, como materiais de treinamento baseados na Web, treinamento contextual e treinamento incorporado. 

Por que as instituições de saúde precisam de políticas e procedimentos de segurança de TI?

O objetivo por trás das Políticas e Procedimentos de Segurança de TI é abordar as ameaças, implementar estratégias sobre como mitigá-las e como se recuperar de ameaças que expuseram uma parte da sua organização.

As políticas e procedimentos de segurança de TI fornecem um roteiro para os funcionários sobre o que fazer e quando fazê-lo. Lembre, por exemplo, das políticas irritantes de gerenciamento de senhas que toda empresa possui. 

Se essa política e procedimento não existissem nas organizações, quão comum seria para as pessoas usarem senhas simples e fáceis de adivinhar que finalmente abrem a organização a um risco maior de roubo de dados e / ou perda de dados.

As políticas de segurança da informação de uma organização geralmente são conceitos de alto nível que podem abranger um grande número de controles de segurança. 

Emitida pela empresa para garantir que todos os funcionários que usam ativos de tecnologia da informação dentro da organização cumpram as regras e diretrizes estabelecidas, a política de segurança da informação é projetada para que todos reconheçam que existem regras pelas quais eles serão responsabilizados em relação à sensibilidade das informações corporativas e dos ativos de TI.

Compartilhamento seguro de dados na área da saúde consiste na convergência entre tecnologia e conscientização

A alta gerência nas instituições de saúde desempenha um papel importante na proteção dos ativos e no compartilhamento de informações em uma organização. 

O gerenciamento executivo pode apoiar o objetivo da segurança de TI, definindo objetivos e prioridades de segurança e garantindo os investimentos necessários para a proteção e privacidade de dados.

Entretanto, mesmo sabendo que o uso de recursos, a exemplo de certificados e assinaturas digitais, ferramentas como antivírus e firewall e pessoal especializado em segurança da informação.

Os usuários finais têm a responsabilidade de proteger os ativos de informações diariamente, por meio das políticas e processos de segurança que foram definidas, comunicadas e que precisam ser executadas. 

A conformidade do usuário final com as políticas de segurança é essencial para manter a segurança das informações em uma organização, esse grupo representa principalmente a garantia das informações médicas de pacientes e familiares em momentos que podem ser considerados os mais frágeis da vida de uma pessoa.

E-VAL Saúde, uma empresa do Grupo E-VAL

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação, com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.