Desde o início do ano casos de invasões a instituições saúde tem sido manchete em diversos jornais, na semana passada o conglomerado de saúde norte-americano Kaiser teve milhões de dados vazados, enquanto isso, no mês de fevereiro, uma das subsidiárias do grupo UnitedHealth teve seus sistemas invadidos afetando diversas farmácias dos EUA.
Para Rodolfo Almeida, COO ViperX, avalia que, em termos de segurança, depois do setor financeiro, a área de saúde é uma das que mais investem em segurança digital. O executivo destaca a evolução da maturidade no setor, “Um ponto importante nas recentes manchetes é de que as empresas fizeram um anúncio seguindo as legislações vigentes, o que é muito positivo e é importante mostrar essa preocupação. Também é importante salientar que em um dos casos eles também colocaram que não houve uso inadequado dos dados comprometidos, ou seja, eles se preocuparam em atuar com as células de threat intelligence, de inteligência de ameaças, em conjunto, o que mostra uma maturidade razoável da empresa se falando de segurança da informação.”, diz Almeida.
Pentest pode ser uma solução?
O Pentest, também conhecido como teste de penetração, é uma alternativa para ter um serviço especializado para emular ataques e colocar as teorias à prova.
“O pentest consegue achar brechas que podem ser decisivas para a cibersegurança das empresas e exibe como mitigá-las. Nas enterprises, que possuem estruturas mais definidas com ferramentas de proteção já implantadas, o pentest pode fazer um ajuste fino nas barreiras de segurança com a visão de uma equipe externa sem os vícios da operação. O serviço pode ser utilizado de maneira periódica e dar luz a vulnerabilidades latentes que as equipes internas não conseguem encontrar. O fato é que o pentest é uma ferramenta indispensável, não somente para atender uma certificação ou assessment, mas deve ser colocado como medida estratégica.”, exalta o especialista.
Como funciona o pentest nessas organizações?
Rodolfo pontua três tipos de exemplos: “as menos maduras testam bianualmente, às vezes num espaço até mais longo de tempo. Isso dificulta não só a o planejamento de estratégias, mas também a implementação de protocolos e a medição do risco que as organizações querem correr. O segundo tipo, as mais maduras, têm pessoas com papéis bem definidos e complementam estas lacunas com consultorias externas para diagnóstico da operação. Algumas até terceirizam completamente o processo. O terceiro tipo são as empresas que nunca fizeram pentest e nunca entenderam como isso é importante. Neste último caso, infelizmente eles só entendem a dor depois de passar por um incidente.”, finaliza.
