Os ciberataques
gerados por um único indivíduo ou por um grupo politicamente motivado,
emergiram como uma grande ameaça à segurança do setor de saúde nos últimos
anos. Regulamentações exigentes e o crescente número de dispositivos
eletrônicos que armazenam informações de saúde aumentam o desafio dos hospitais
em garantir a segurança de dados internos e de pacientes. Qualquer indivíduo
pode sair de seu consultório com informações confidenciais de pacientes em um
pen drive ou notebook e ter esses itens roubados de seu carro. Portanto, vigilância, sistemas de
segurança avançados e programas estruturados de compliance e treinamento são
essenciais para os hospitais que buscam evitar investigações ou problemas de
responsabilidade.
De acordo
com a PwC, cerca de 85% das grandes organizações de saúde
sofreram uma violação de dados em 2014 e 18% delas custaram mais de US$ 1
milhão para remediar. A
expectativa é que estes números aumentem à medida que mais e mais dispositivos
portáteis de cuidados de saúde se conectam à internet. Por conta disso, os hospitais
devem rever suas práticas de segurança, atualizá-las, conduzir o treinamento de
todos os seus funcionários e determinar com que frequência o hospital exigirá
treinamentos de reciclagem. A
questão da segurança de dados é complexa, mas para instalações de saúde que
estão começando ou renovando seu compromisso com a segurança, as três áreas a
seguir devem ser o foco da vigilância extra:
Dispositivos de Internet das Coisas (IoT)
Os
avanços em sensores, sistemas abertos de conectividade e software de análise
permitem que as instituições de saúde gerenciem o rastreamento em tempo real de
pessoas e dispositivos a um custo menor do que nunca. No entanto, no lado da
segurança, esta conveniência vem com um preço. Uma vez que esses dispositivos
se conectam à internet, recomenda-se mais investimento em gerenciamento de
risco cibernético. Nos cenários tradicionais de infraestrutura de saúde, a
disponibilidade, processos precisos e equipamentos funcionais são as principais
prioridades; em outras palavras, trata-se de confiabilidade. Já no mundo virtual, trata-se de
resiliência. Ser ciber resiliente significa mais do que apenas abordar proteção
e prevenção. O conceito abrange a capacidade de uma organização reagir
rapidamente quando ocorre um ataque cibernético.
Rede segura / firewalls
Ao
planejar a proteção contra ciberataques, todos os dispositivos IP
recém-adquiridos devem ser auditados para garantir que eles estejam
configurados em uma rede segura. A
rede deve ser projetada de modo a permitir a segregação de sistemas e acesso.
Por exemplo, o sistema de televisão deve estar separado de qualquer Wi-Fi para
visitantes. Os fornecedores
podem recomendar o desenvolvimento e o uso adequados do LANS virtuais e o
gerenciamento de dados recebidos e enviados, para ajudar a fornecer mais
resiliência.
Os
sistemas de detecção de invasão de rede e firewalls ajudam a apoiar esses
esforços, protegendo os limites de rede de ameaças externas. Tais sistemas podem minimizar os
danos causados por ataques cibernéticos a partir da busca por anomalias e
assinaturas na rede. Quando
uma anomalia é identificada, um alerta é encaminhado ao analista para revisão.
O analista investiga e
determina se o alerta é um falso positivo ou um potencial ataque contra a rede.
Em alguns casos, esses sistemas podem bloquear uma anomalia ou assinatura antes
que ela possa causar danos.
Data Centers e Racks de Rede
A
segurança para essas áreas sensíveis precisa se concentrar no controle e
vigilância de humanos que se deslocam dentro e fora dessas instalações. O hardware de segurança deve
incluir o controle de acesso (controle de quem está entrando na sala por meio
de leitores de cartão ou portas eletrônicas), detecção de invasão (sensores
para detectar o status aberto ou fechado dos pontos de entrada protegidos) e
sistemas de vigilância visual (geralmente compostos por câmeras e monitores,
amplificadores de vídeo, conversores de vídeo, gravadores de vídeo, gravadores
de áudio, cabos e acessórios relacionados).
Os
fornecedores que apoiam as organizações de saúde com soluções tecnológicas
também precisam contribuir com sua experiência em cibersegurança. Alguns
incorporaram processos baseados na ISO 27034, que define um Secure Development
Lifecycle (SDL, ou Ciclo de Vida do Desenvolvimento Seguro) para seus produtos.
No contexto do SDL, revisões da arquitetura de segurança, modelagem de ameaças
no conceito de design da segurança, regras de codificação seguras, ferramentas
especializadas para analisar código e testes de segurança dos produtos fazem
parte do processo. Essas ações ajudam a "fortalecer” os produtos,
tornando-os mais resilientes contra os ataques cibernéticos. Desta forma, à
medida que novos produtos substituem os antigos, todos os sistemas evoluem para
tornarem-se mais ciberseguros.
Para
saber mais sobre segurança de dados de saúde e continuidade do negócio, baixe o
novo guia de referência da Schneider Electric "Um Guia Prático para Garantir a
Continuidade do Negócio e o Alto Desempenho nas Instalações de Saúde”.
Luciano
Santos - vice-presidente de ITD na Schneider Electric.
Nenhum comentário:
Postar um comentário