O mês de dezembro marca um ano dos ataques hacker contra o Departamento de Informática do Sistema Único de Saúde – DataSUS, um lembrete constante para todas as organizações públicas e privadas de saúde sobre os riscos de perdas de informação ou exposição de Dados sensíveis dos usuários. Um relatório da Critical Insights apontou que a saúde é um dos principais setores visados por violações de Dados e, no ano passado, registrou o maior número de incidentes de todos os tempos, com 45 milhões de pessoas afetadas globalmente – o triplo do número de 3 anos antes.
“Em 2022, fatores como a guerra na Ucrânia aumentaram ainda mais a ameaça e as implicações são significativas. As perdas financeiras são, obviamente, enormes, principalmente por causa das pesadas multas que podem ser aplicadas em caso de violação de Dados. Mas o mais preocupante é o efeito na qualidade do atendimento ao paciente e o risco de comprometimento da privacidade do paciente”, afirma Orlando Souza, presidente da Iron Mountain Brasil.
Para Souza, é absolutamente crítico que os líderes de saúde sejam rigorosos em relação à segurança de Dados – não apenas para proteção operacional e financeira, mas para proteger a saúde e a segurança dos pacientes. Mais do que nunca, todos os sistemas de saúde e instituições médicas devem tomar as medidas necessárias para garantir que seus dados não caiam em mãos erradas. O executivo da Iron Mountain lista os 4 principais elementos de uma segurança robusta de dados na área da saúde:
Uma infraestrutura moderna de TI
Para começar, a modernização da infraestrutura de TI é vital. Embora 100% de proteção não seja possível, um sistema de TI moderno oferecerá suporte a um programa robusto de segurança cibernética que pode impedir um ataque ou, pelo menos, melhorar a velocidade de detecção, contenção e remediação, caso ocorra.
Isso inclui itens como criptografia de Dados armazenados e transmitidos, sistemas de recuperação e backup e autenticação de login multifator. Um plano de resposta a incidentes de segurança também deve ser desenvolvido para que um ataque possa ser identificado, avaliado e contido rapidamente e para ajudar a prevenir ataques semelhantes no futuro.
Segurança no pedido de acesso às informações do paciente
A LGPD (Lei Geral de Proteção de Dados) determina como empresas e organizações devem tratar os Dados pessoais no que diz respeito à coleta, processamento, compartilhamento e uso de informações de terceiros. Através de um pedido de acesso que pode ser feito a qualquer momento, os cidadãos têm direito a aceder aos seus dados pessoais e as empresas devem responder no prazo de 15 dias.
À medida que os cidadãos se tornam cada vez mais conscientes da privacidade de seus próprios Dados, espera-se que as solicitações de acesso aumentem e os líderes de saúde devem estar preparados para responder de maneira adequada e consistente.
Responder a tais solicitações pode ser muito demorado. Há também o risco de dar acesso à informação a um impostor que se faz passar por outra pessoa. Por esse motivo, é extremamente importante que os líderes de saúde conheçam o procedimento correto para validar a identidade e conceder acesso com segurança.
Melhores práticas de segurança da informação
Todos os funcionários devem receber políticas escritas claras e concisas que cubram os principais aspectos da segurança da informação. Isso deve incluir o uso aceitável de seus laptops, telefones e outros dispositivos. Todos os funcionários também devem receber treinamento em segurança cibernética, o que ajudará a mantê-los alertas para possíveis ataques de phishing e malware.
No caso de funcionários remotos, especialmente aqueles que lidam com registros confidenciais, também deve ser fornecido treinamento formal sobre suas políticas de privacidade e ferramentas para evitar o uso indevido. Para obter a segurança ideal do trabalho remoto, é aconselhável criar políticas oficiais da empresa em torno dos seguintes elementos: realizar negócios da empresa em computadores ou telefones pessoais, copiar registros comerciais para dispositivos pessoais, enviar registros comerciais para e-mail pessoal ou qualquer outro e-mail fora do domínio da empresa, imprimir documentos comerciais em casa e usar unidades flash pessoais para armazenar informações comerciais.
Os provedores de assistência médica também devem garantir que todos os parceiros terceirizados estejam em conformidade e tenham medidas de segurança de dados adequadas. Cada organização externa com acesso aos dados do paciente é outra via pela qual os dados podem ser expostos.
Descarte seguro de documentos impressos
Embora a Transformação Digital tenha realmente ocorrido nos ambientes de saúde, o setor ainda depende excepcionalmente de registros em papel. Portanto, qualquer protocolo de segurança de Dados também deve levar em conta o armazenamento seguro e o descarte de documentação em papel. Apesar das inovações de longo prazo e dos movimentos em direção à digitalização, a realidade é que os registros em papel ainda existirão na área da saúde por muito tempo.
Quando chegar a hora de digitalizar os registros mais antigos e os documentos físicos estiverem prontos para descarte, eles devem ser triturados de acordo com os regulamentos de privacidade e conformidade de dados para evitar penalidades, multas ou ações legais. Os trituradores de escritório padrão geralmente não oferecem um processo totalmente compatível, portanto, um fornecedor externo é fundamental.
Além disso, as operações de trituração devem ser totalmente monitoradas por CCTV 24 horas, com todos os materiais manuseados apenas por funcionários devidamente autorizados.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo