*Por Kate Borten, especial para a InformationWeek Healthcare
Agentes de segurança da informação nos EUA ainda lutam para serem ouvidos, relata especialistas
Quando eu fui inicialmente apresentada à subcultura da segurança da informação nos anos 1990, pareciam existir poucos cargos oficiais de segurança nas organizações que fornecem serviços de saúde. E parecia que todos nós havíamos caído de paraquedas naquele cargo (como quando alguém aponta pra você e diz: “A partir de agora, você será agente de segurança”).
É possível imaginar que privacidade de paciente e, por sua vez, segurança, seriam bem recebidos, mas não era bem assim. Médicos e enfermeiros juravam já manter a privacidade confidencial. E, afinal, não erámos banco guardando dinheiro que poderia ser roubado… Quem poderia ter interesse em roubar nossos bancos de dados com alguns milhões de registros médicos?
Nós sofremos para ser ouvidos dentro das organizações, para implementar e fortalecer senhas. Mas acabávamos nos frustrando e erámos vistos como obstáculo ou ameaça aos cuidados do paciente. Onde mais você ouviria que pacientes poderiam morrer por que os médicos teriam de decorar senhas de seis dígitos? Ou nos fariam parecer audaciosos por querermos uma equipe maior enquanto enfermeiros eram demitidos?
Meus próprios colegas de TI compartilhavam abertamente suas senhas e riam da minha expressão de desaprovação (OK, eu sou um alvo fácil com toda minha seriedade e zelo, mas mesmo assim…). Quando o administrador de sistema que cuidava do servidor de autenticação por token mudou de emprego, ele me entregou o token com o PIN grudado no verso. Ele nem sequer tentou esconder o fato de que ele minou, completamente, o propósito do token.
Meus colegas de segurança da informação da área de saúde e eu tínhamos o apoio de pouquíssimos líderes sinceros que nos entendiam. Esses defensores compreendiam os riscos e o valor de um programa de infosec para mitigá-los, pelo menos teoricamente. Um dos meus médicos preferidos reprovava residentes médicos que não faziam log off dos computadores disponíveis nos corredores do hospital e ele rotineiramente fazia log off de todos os computadores abertos que ele encontrava. Mas, quando chegou o momento de pedir que gerentes revisassem listas de usuários, por exemplo, ou, o mais desafiador de todos, na hora de reforçar políticas de segurança por toda a organização, o apoio enfraquecia.
Nós, caídos de paraquedas, nos consolávamos durante os eventos de privacidade e segurança na área de saúde. Participávamos de sessões em que compartilhávamos ideias para conseguir com que os líderes aceitassem a implementação de programas infosec em um orçamento apertado. Mas, parafraseando a famosa citação de Rodney Dangerfield, lamentamos: “Não recebemos respeito algum”.
Então, o que mudou na segurança da área de saúde desde os anos 90? As regras de segurança do HIPAA [Health Insurance Portability and Accountability Act, lei americana sobre guarda de informações médicas] definitivamente elevaram a consciência, e a palavra “segurança” surge com muito mais frequência. Organizações de serviço de saúde e os negócios associados têm politicas de segurança, falam sobre sessões de treinamento de segurança para força de trabalho e têm oficiais de segurança designados – tudo exigido pelo HIPAA.
Mas, aqui estamos. Mais de 10 anos depois da publicação das regras de segurança do HIPAA e quase nada mudou. Sim, algumas organizações têm reconhecido que não se trata apenas de compliance com regulamentação; é uma questão de risco para o negócio. E para fazer bem o trabalho, é preciso que haja um programa formal de segurança da informação com uma estrutura visível, expertise real em segurança e apoio desde cima.
Onde estão os CISOs?
Pelo o que eu vejo, organizações com segurança experiente são minoria. Muitos programas de infosec corporativos ainda são muito imaturos. Os sinais mais evidentes são: 1) falta de expertise interna em segurança; e 2) recursos insuficientes para levar adiante funções de segurança.
O HIPAA exige que organizações de serviços de saúde e associados do negócio tenham um oficial de segurança da informação ou ISO designado. No entanto, cada vez mais, eu vejo que o ISO é um CIO sem nenhum conhecimento ou experiência em segurança ou um administrador de rede que, como eu, caiu de paraquedas na função, e que pode ter alguma noção de segurança de rede, mas não tem treinamento e pouco tempo para esta responsabilidade extra.
Continua sendo incomum encontrar um ISO de tempo integral com credenciais de segurança, e muito menos uma equipe toda, em redes de serviços de saúde menores. Ainda assim, mesmo nas organizações menores, programas de segurança razoáveis são, por definição, complexos e exigem conhecimento de boas práticas de segurança e pessoas para implementar e monitorar processos de segurança. Simplesmente não é possível ter tal programa sem a expertise e os recursos.
Mesmo os programas infosec mais maduros não conseguem eliminar todos os riscos. Mas, muitas das brechas de hoje não se devem a ataques que exploraram vulnerabilidades previamente desconhecidas. São eventos evitáveis, frequentemente ligados à ausência de expertise de segurança e recursos para implementar controles de segurança.
Na área de saúde, assim como em outros setores, laptops, discos rígidos, pen drives e outros dispositivos perdidos ou roubados, que possuem informações não criptografadas de pacientes, são a principal fonte de brechas. Para garantir estratégias de mitigação, com o amplo uso de tablets e smartphones, como a criptografia de dispositivos de usuário final e mídia pode ser financeiramente e tecnologicamente desafiador. Mas a segurança negligente nos mantém à mercê de uma brecha por semana.
Precisamos apontar ISOs com conhecimento e experiência em segurança, e então oferecer respaldo e equipe para realizar os processos exigidos pelo HIPAA e boas práticas. É a hora para os líderes sêniores finalmente reconhecerem o valor essencial da infosec para os negócios e oferecer os recursos necessários para que isso aconteça. Precisamos de R-E-S-P-E-I-T-O!
Fonte: SaúdeWeb
- MARCOS COLTRI
- Advogado. Especialista em Direito Médico e Odontológico. Especialista em Direito da Medicina (Coimbra). Mestre em Odontologia Legal. Coordenador da Pós-graduação em Direito Médico e Hospitalar - Escola Paulista de Direito (EPD). Coordenador ajunto do Mestrado em Direito Médico e Odontológico da São Leopoldo Mandic. Preceptor nos programas de Residência Jurídica em Direito Médico e Odontológico (Responsabilidade civil, Processo ético médico/odontológico e Perícia Cível) - ABRADIMED (Academia Brasileira de Direito Médico). Membro do Comitê de Bioética do HCor. Docente convidado da Especialização em Direito da Medicina do Centro de Direito Biomédico - Universidade de Coimbra. Ex-Presidente das Comissões de Direito Médico e de Direito Odontológico da OAB-Santana/SP. Docente convidado em cursos de Especialização em Odontologia Legal. Docente convidado no curso de Perícias e Assessorias Técnicas em Odontologia (FUNDECTO). Docente convidado de cursos de Gestão da Qualidade em Serviços de Saúde. Especialista em Seguro de Responsabilidade Civil Profissional. Diretor da ABRADIMED. Autor da obra: COMENTÁRIOS AO CÓDIGO DE ÉTICA MÉDICA.
