Tema amplamente discutido no setor de saúde, a segurança da informação ainda é motivo de preocupação e alerta para a maioria das instituições, especialmente após a entrada da Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde setembro de 2020. Segundo dados do mercado, aproximadamente 35,4% dos ciberataques ocorreram na vertical de saúde em 2022 e uma em cada 41 organizações desse setor no mundo foi atacada por ransomware no mesmo período.
A LGPD estabelece uma estrutura legal de direitos dos(as) titulares de dados pessoais, abordando a importância da devida coleta, produção, classificação, acesso, armazenamento e eliminação das informações. Na saúde, o assunto ganha maior protagonismo, tendo em vista a necessidade de cuidado com os dados coletados durante toda a jornada de atendimento ao paciente.
A aplicação de uma cultura forte e engajada com os princípios da segurança da informação pode evitar danos e consequências ao titular e à instituição responsável pelo sigilo das informações. Nessa concepção, empresas têm investido continuamente na adoção de medidas de segurança para fortalecer esse departamento, o que já reflete em números.
Dados apresentados no relatório da SEK Security sobre as tendências de cibersegurança (2023-2024) apontam que o setor de saúde registrou uma média inferior às outras áreas em nível global, sugerindo que essas organizações podem ter tomado medidas efetivas para proteger seus sistemas e dados. Para se ter ideia, o setor de TI puxa o ranking com 19%, seguido por Financeiro (17%) e Telecomunicações (15%). A área da saúde aparece em quarto lugar, correspondendo a 12%.
Estima-se que os profissionais e departamentos de compliance e segurança da informação assumam papeis cada vez mais fortes e importantes nas instituições de saúde. Atualmente, a segurança da informação apresenta três vertentes essenciais dentro das organizações. Uma delas é voltada à parte técnica e à necessidade do investimento em equipamentos, softwares, além da inteligência para proteger as instituições de possíveis ataques.
A outra está ligada ao modelo de criação de uma cultura de segurança da informação dentro das empresas de saúde. Nesse sentido, é cada vez mais relevante a realização de treinamentos de capacitação sobre o tema, promoção de workshops e simulados para avaliar o nível de maturidade e preparação dos profissionais no assunto. Aos profissionais de TI, cabe a missão de fazer o diagnóstico, mapear riscos e promover as ações de correção necessárias.
Outro destaque é o investimento em certificações ligadas ao tema. A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da informação. A norma tem como princípio geral a adoção pela organização de um conjunto de requisitos, processos e controles com o objetivo de mitigar e gerir adequadamente o risco da organização.
Por fim, a informação em si e como trabalhamos a gestão de dados com os colaboradores das instituições. Em hospitais, por exemplo, já existem equipes responsáveis pela realização de auditorias para avaliar o nível de segurança e controle dos dados de prontuários eletrônicos. Todas essas medidas fortalecem a mudança cultural e adoção de medidas mais seguras nas companhias.
Não é um processo rápido e fácil, exige esforço e alterações em comportamentos e práticas já estabelecidas. A adoção dessas medidas contribui para a construção de um ambiente mais seguro para todos os envolvidos na jornada de atendimento, além de garantir maior credibilidade e confiança ao público mais importante, o paciente.
Alex Vieira, superintendente de Inteligência Digital e TI do Hcor.
