Últimas notícias

Fique informado

Saúde e segurança cibernética: cuidados com os dados em um setor crítico

24 de outubro de 2022

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Desde 2020, a saúde digital passou a ocupar um lugar de ainda mais importância no Brasil (e em todo o mundo) na busca por soluções ágeis para o enfrentamento da pandemia de Covid-19.

Por Francisco Larez

Saúde
Francisco Larez é vice-presidente da Progress para América Latina e Caribe.

Um estudo recente do Cetic.br (Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação) revela que ao menos 50% da população brasileira realizou serviços de saúde online nos últimos 12 meses.

Assim, o uso da tecnologia para o atendimento à distância é e se consolida cada vez mais como fundamental para a democratização do acesso à saúde.

Contudo, em relação ao tratamento de dados dos consumidores, os cuidados devem ser redobrados no setor de saúde.

Arquivos e documentos são uma mina de ouro para os cibercriminosos, que utilizam essas informações para golpes.

Por isso, a segurança da informação é uma tarefa essencial para evitar vazamentos e exposição de dados confidenciais – o que acarreta multas, além de problemas jurídicos e de reputação.

O que deve ser protegido?

Todas essas implicações fazem com que os desafios de segurança tecnológica para a saúde sejam tão altos que diferentes estratégias são necessárias para superá-los.

Na rotina de clínicas, hospitais e laboratórios, o ponto mais crítico ainda é a proteção de dados do paciente incluídos em arquivos que circulam constantemente entre diferentes profissionais.

Outro ponto de atenção é que os e-mails podem ser brechas para vazamentos.

Embora muitas empresas ainda confiem nessa ferramenta para o compartilhamento de informação, uma vez que anexar um arquivo é algo que todos podem fazer, essa praticidade pode ser arriscada quando se trata do envio de documentos confidenciais.

Além do risco de segurança envolvido (interceptar arquivos, enviar para o destinatário errado ou até mesmo um grupo de distribuição inteiro), o e-mail não foi feito para a transferência de arquivos grandes (muitos serviços limitam o tamanho dos anexos a 10 MB ou menos).

A capacidade disponível é insuficiente para acomodar formatos de mídia não estruturados como vídeo, áudio e imagens.

Não obstante, a transferência de arquivos grandes por meio de servidores de e-mail causa problemas de desempenho que afetam a confiabilidade e a entrega de arquivos.

Ter muitas cópias de anexos grandes consome espaço e cria problemas de gestão de armazenamento.

Com isso, o departamento de TI perde a visibilidade dos locais dos arquivos – o que pode ser um problema durante auditorias.

Como alternativa, as soluções de transferências de arquivo (FTP) são melhores do que e-mail, mas têm limites que também comprometem as operações.

Com elas, o principal desafio é a falta de um método automático de criptografia durante o transporte de arquivos e seu armazenamento.

Somado a isso, o fato de que as soluções de FTP, baseadas em processos manuais sem meios nativos de automação e integração com processos de negócios, não são escaláveis.

Por fim, arquivos armazenados em um servidor FTP permanecem lá para sempre ou até que alguém os remova.

Leis de privacidade e sequestro de dados

Nesse contexto, é importante ressaltar que as violações no setor de saúde em diferentes países podem custar mais de US$9 milhões por incidente (dado da IBM/Ponemon, publicado no Beckers Hospital Review) – maior cifra em comparação com qualquer setor.

Ainda de acordo com a IBM, quase metade (44%) das violações analisadas no relatório expuseram dados pessoais de clientes, incluindo informações de saúde, nomes, e-mails e senhas.

Entre os dados confidenciais que devem ser protegidos, estão: lembretes de consultas, big data (imagens médicas, por exemplo), informações de cobrança e pagamento, relatórios de conformidade regulatória, entre outros.

Além das violações, as leis de privacidade de dados são também um desafio enfrentado pelos profissionais de TI e segurança.

No Brasil, com a Lei Geral de Proteção de Dados (LGPD), as regras para segurança de informações de pacientes preveem penalidades severas para instituições que não cumprem as normas, com multas que podem chegar a R$50 milhões.

Independentemente disso, proteger a privacidade do paciente é a coisa certa a fazer em relação à ética empresarial e à resiliência dos negócios.

Para isso, as empresas precisam estar atentas às principais questões para o cumprimento de muitas leis, que incluem:

– Autenticação: verificar se os usuários são quem dizem ser.

– Controle de acesso: garantir que o acesso aos dados não seja permitido sem a devida autorização.

– Segurança de transmissão e armazenamento: incluir criptografia nas transmissões de dados e em repouso.

– Integridade: certificar-se que as informações de saúde protegidas não sejam alteradas sem permissão ou detecção.

– Controle de auditoria: conceder total visibilidade das transferências de arquivos.

Zero Trust

Todas essas questões podem ser controladas garantindo que os dados sejam criptografados durante a transmissão e armazenamento, que as alterações no arquivo sejam detectadas e que a trilha de auditoria mostre tudo o que aconteceu com um arquivo durante o processo de movimentação.

Nas estratégias mais eficazes de proteção de dados, muitos profissionais de TI adotam o conceito de Zero Trust (confiança zero, em tradução livre), que significa que a melhor maneira de proteger todos os dados e ativos é não confiar em nada até que áreas da rede sejam comprovadamente confiáveis.

Dessa forma, os documentos precisam de um alto nível de proteção e ninguém deve ser confiável para acessá-los sem permissão explícita e autenticação validada.

Para a Microsoft, esse modelo assume os riscos de violação e verifica cada solicitação como se fosse originada a partir de uma rede aberta.

Independentemente de onde o pedido se origina ou qual recurso ele acessa, o Zero Trust “nunca confia, sempre verifica”.

Uma chave para aplicar a política Zero Trust é garantir gerenciamento e proteção de identidade fortes, principalmente por meio de autenticação, que deve ser aplicada em todo o ambiente, limitando os direitos dos usuários apenas ao que é absolutamente necessário.

Ou seja, somente aqueles que precisam abrir, transferir ou receber um arquivo podem fazê-lo.

Hoje, no setor de saúde, a tecnologia é responsável por conectar todos os atores. Por isso, medidas de segurança eficientes são indispensáveis para garantir a integridade dos processos.

Adotar políticas de controle de acesso às informações ajuda a manter a segurança e a privacidade de dados críticos, alavancando a saúde digital, e contribuindo para expandir o alcance do atendimento assistencial.

Nesse contexto, o maior beneficiário deve ser sempre o paciente, e o objetivo é manter sempre a segurança de seus dados.

Cibersegurança no governo: em ano de eleição, a segurança digital deve ir além das urnas

O que é ransomware as a service e como proteger negócios?

Cibersegurança na saúde: 6 ações para hospitais e clínicas

5G não ameaça segurança na nuvem, garante Pedro Guth, especialista em cibersegurança na nuvem

27ago(ago 27)09:0028(ago 28)18:00CISO Forum 2024O encontro Premier para líderes visionários em Segurança da Informação e Cibersegurança09:00 - 18:00 (28)