Proteção de Dados

Proteção de dados: qual a melhor tecnologia para os hospitais?

Já não há dúvidas que a criptografia é uma forte aliada na proteção de dados das empresas. Na área da saúde, é possível identificar sua funcionalidade prática na segurança das informações do controle financeiro, de pessoas, no atendimento do call center, nos prontuários médicos das consultas e nos resultados de exames.

Nesse setor, como são muitas áreas envolvidas e muitos dados confidenciais, a proteção das informações é fundamental, exigindo um olhar mais atento. Mas como garantir a proteção de dados dos hospitais?

Foi diante desse contexto e desse questionamento que, nos últimos anos, os fornecedores do mercado de armazenamento de dados passaram dar maior atenção à utilização do Key Management Interoperability Protocol (KMIP) em suas soluções para integração com gerenciadores de chaves de criptografia.

Criptografia nativa e plataforma unificada

Para entender essa preocupação do mercado, é preciso assimilar alguns funcionamentos de proteção de dados. A maioria dos hospitais ainda usam a capacidade nativa de gerenciamento de chaves do produto comercializado pelo fornecedor.

Esse modelo é conhecido como “plataforma de criptografia” em que um único aplicativo central gerencia diferentes tipos de chaves de criptografia como disco, backup e banco de dados dos pacientes, por exemplo.

Usar as capacidades nativas de gerenciamento de chaves de cada aplicativo de criptografia era a forma mais realista de agir no início de 2000 e, nos últimos anos, a consolidação da indústria de criptografia e o desenvolvimento contínuo criaram um ambiente em que a maioria dos fornecedores vende vários produtos de criptografia como plataformas unificadas. Aliás, essa abordagem será o futuro. Há dois motivos para isso.

O primeiro motivo é a necessidade de adequação às regulamentações sobre proteger dados. A outra razão importante é o próprio benefício proporcionado pelas soluções de Enterprise Key Management (EKM) para empresas.

Saiba quais são esses benefícios:

Aplicação de boas práticas em segurança da informação

A definição daquilo que é adequado ou suficiente para atender demandas regulatórias sobre proteger dados varia muito nos hospitais. Muitas soluções oferecem internamente suporte à criptografia e ao gerenciamento de chaves. Dependendo do contexto, isso pode ser suficiente.

No entanto, a adoção deste modelo pode comprometer a segurança dos dados. Afinal, devemos considerar que a chave de criptografia responsável pela proteção deles está inserida na própria solução de armazenamento.

Além disso, é comum encontrarmos cenários com diferentes fornecedores de solução de armazenamento, onde cada um programa seus modelos de gerenciamento de chaves. Isso pode levar a erros humanos e comprometer a disponibilidade dos dados, em caso de uma operação de criptografia malsucedida.

A utilização de uma solução de gerenciamento de chaves externa provê a adequada segregação de papéis. Também oferece um modelo padronizado para todos os processos de criptografia.

Adicionalmente, essas soluções costumam oferecer certificações internacionais de implementação de algoritmos de criptografia. Dessa forma, impede-se, por exemplo, o uso algoritmos ou de tamanhos de chaves considerados fracos.

Portanto, é possível acoplar às soluções de gerenciamento de chaves, equipamentos destinados à proteção com elevado nível de segurança. Por exemplo, os Hardware Secure Modules (HSMs) e Enterprise Key Management (EKM). Assim, a proteção ocorre de forma centralizada para todos os sistemas de armazenamento de dados da organização.

Capacidade de gerenciar o ciclo de vida de chaves

Normalmente, soluções que oferecem recursos de criptografia não se preocupam com o ciclo de vida de uma chave. Assim, ignoram, por exemplo, validade, ativação, desativação, troca com preservação dos processos já cifrados e destruição.

A utilização da mesma chave de criptografia por um longo período é inadequada. Afinal, isso compromete a segurança, em caso de vazamento de informações como dados confidenciais dos prontuários dos pacientes.

Uma solução de gerenciamento não só oferece os requisitos necessários para todo o ciclo de vida de chaves. Afinal, ela também apresenta estes recursos em uma interface amigável, a partir de um console centralizado. Inclusive, define perfis de acesso a partir da integração com uma base Lightweight Directory Access Protocol (LDAP).

Flexibilidade de implementação

A decisão de manter as aplicações em infraestrutura própria ou migrar para um data center externo depende de diversos fatores.

Se a solução de gerenciamento de chaves estiver acoplada ao sistema de armazenamento, a decisão de manter internamente ou migrar para nuvem deve levar isso em consideração, assim como a solução de criptografia deve suportar esses dois modelos e mais, hoje em dia é necessário suportar diversos provedores de nuvem.

Capacidade de gerar relatórios de auditoria

Para estes casos, é necessário oferecer informações com alto nível de confiança e acesso às chaves. Dessa forma, deve-se detalhar quem acessou, o horário do evento e o sucesso ou a falha da operação.

Além disso, os mecanismos de alerta podem notificar a equipe caso surjam problemas com o equipamento de gerenciamento de chaves ou com outros dispositivos que se comunicam com o gerenciador.

Um dos principais benefícios de uma solução de gerenciamento de chaves externa, é sua capacidade de aperfeiçoar relatórios de auditoria. Em uma instituição hospitalar, a auditória em saúde é uma ferramenta de gestão importante para readequar os processos institucionais, modificar as atividades e levantar opções de melhoria no atendimento médico. Também é uma ferramenta essencial para alavancar o sistema de saúde e destacar o hospital frente à concorrência.

Desta forma, tentar provar para um auditor de conformidade externo que as chaves são seguras, protegidas e têm fortes controles de acesso seria muito mais difícil com um armazenamento nativo, especialmente se houver mais de uma solução. Isso também exigirá que todos os sistemas fossem auditados individualmente.

Segregação de perfis

Os sistemas de gerenciamento de chave externos conseguem definir permissões para os gestores de hospitais e colaboradores que farão uso das chaves.

Um exemplo comum disso é a capacidade de permitir que um administrador crie uma chave, mas não possa usá-la para cifrar ou decifrar, utilizando atributos de usuário LDAP ou Active Directory (AD).

Normalmente, a criptografia própria dos sistemas não tem esse nível de granularidade nas funções administrativas. Com isso, o administrador de armazenamento também é o responsável pela chave.

Variedade de sistemas onde os dados sensíveis podem estar armazenados

Em algumas bases de dados há a possibilidade de existirem informações que precisam de criptografia para evitar exposição, em caso de uma falha de segurança.

O gerenciador de dados externo, com capacidade de integração com protocolos abertos, oferece o recurso necessário para atender uma variada gama de ambientes.

Há pelo menos quatro perspectivas que podem ser abordadas sobre a localização do dado a ser protegido: sistema de arquivos, sistema operacional, banco de dados e memória. O esforço de implementação de criptografia aumenta nesta ordem e excede a complexidade, considerando a variedade de ambientes e sistemas no fluxo fim-a-fim do dado a ser protegido.

Como você deve ter percebido, a criptografia nativa não é necessariamente a melhor forma de proteger dados. Se ainda restaram dúvidas a respeito desse assunto, deixe as suas perguntas nos comentários. Teremos o maior prazer em respondê-las.

E-VAL Saúde, uma empresa do Grupo E-VAL

E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do pacientegerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.

Até breve!