Publicado por Redação em Saúde Empresarial - 12/09/2011

TI dos hospitais é vulnerável ao fenômeno da consumerização

A ideia de que o trabalho seria a segunda casa das pessoas vai além de uma referência ao tempo do colaborador no ambiente da empresa. O movimento que aponta para que os funcionários usem seus dispositivos móveis pessoais no trabalho – smartphones, tablets e laptops – já ganhou nome: consumerização e cresce na velocidade em que a chamada Geração Y toma seus postos nas corporações. Pesquisa recente encomendada pela Unicys à consultoria IDC aponta que 92% dos brasileiros levam tecnologia pessoal para o trabalho, dos quais, 65% usam celulares, 55% laptops, 30% smartphones, 25% PDA e 16% iPhones.

No hospital, a extensão da gravidade de uma invasão também por ação de hackers a sistemas como RIS e ERP passa das consequências morais de dados médicos expostos e pode chegar a casos graves, até mesmo de homicídio.

Em 2006, na Califórnia, um jovem de 20 anos foi acusado de invadir o sistema de um hospital e causar a paralisação dos equipamentos da UTI e dos pagers dos médicos. Nenhum paciente morreu, mas ficou evidente a vulnerabilidade dos sistemas de informação era uma questão prioritária.

A situação repetiu-se em novembro passado no Seacoast Radiology, em New Hampshire,  Estados Unidos. O servidor do hospital foi invadido por hackers que acessaram nomes, endereços e informações pessoais dos pacientes.  Porém, o ataque, rastreado pelas autoridades americanas, veio de um endereço de IP na Escandinávia e serviu para hospedar uma partida do jogo Call of Duty: Black Ops.
Nem todos os ataques são inofensivos. Em março, o Hospital Regional Deputado Janduhy Carneiro, em Patos, na Paraíba, teve o layout de seu website desfigurado, pelo mesmo grupo que invadiu a página da Prefeitura da cidade.

O tema não era, até então, a maior preocupação das organizações e da sociedade, como se comprovou em junho deste ano, quando mais uma vez, hackers expuseram a fragilidade da segurança de sites do governo brasileiro, alterando as páginas do Ibope e da Presidência da República. “As empresas se preocupam, sim, com ameaças externas, mas hoje nós sabemos que a principal ameaça vem de dentro das próprias empresas”, afirma José Antonio Milagre, perito especialista em crimes digitais. “Hoje nós temos desde negligência de profissionais da saúde até colaboradores insatisfeitos, que acabam sendo uma das principais vulnerabilidades dos dados das empresas.”

O especialista afirma que mesmo as mais avançadas ferramentas de segurança que previnem ataques externos não são mais eficazes exatamente pelo fato de que são, na maioria dos casos, funcionários que têm credenciais e acessos a dados sigilosos que realizam os ataques. Segundo ele, a área de saúde carece de cuidados redobrados em função da relevância e da possibilidade de golpes e fraudes.

A demanda por segurança e por regulamentação do direito digital cresce com esse tipo de alerta, uma vez que a interface entre os dados pessoais e profissionais já não é tão clara e cabe às áreas de TI das empresas definir políticas e normas de conduta e de requisitos técnicos.

Por outro lado, a internet no Brasil ainda remonta à Era do Rádio no que diz respeito à legislação. Exceto pela jurisprudência que, em alguns casos, já se estabeleceu a respeito de algumas questões do direito digital, o País segue o código criado na década de 1940. Mas as atualizações das leis específicas para crimes digitais ainda patina bastante aquém de um consenso no Congresso Nacional.

O cenário nos hospitais é um reflexo disso.  O ambiente composto por diversos profissionais em diversos regimes de contratação, desempenhando funções que dependem muitas vezes de informações sensíveis, monta a rede de cuidados com os quais as áreas de TI devem se cercar para evitar situações desagradáveis ou até desastrosas.

“É importante que as políticas de tecnologia da informação das empresas abordem os diversos casos, de funcionários contratados e terceirizados, que têm acesso a dados confidenciais do paciente”, afirma Milagre. “Principalmente na área da saúde, que já trabalha com prontuário eletrônico, e onde já existem inclusive resoluções do Conselho Superior de Medicina que se preocupam com essa área de segurança da informação.”

Como em situações de crimes comuns, em crimes digitais, a exemplo de casos de vazamento de informações sigilosas, há a parcela culposa de participação dos funcionários, que envolve imprudência, imperícia ou negligência no uso inadvertido dos recursos de TI de uma empresa. Por definição, o funcionário, que embora não tenha tido a intenção de vazar informações ou praticar concorrência desleal, não considerou uma possível orientação de segurança e expôs ao risco o sistema de informação da empresa.

“Por outro lado, há também a ação intencional do funcionário, que muitas vezes pode usar algum dispositivo de armazenamento para retirar informações de um paciente e pode causar danos reputacionais irreparáveis”, afirma o especialista Milagre. “É possível bloquear vários perímetros como pen drives, acesso físico e acesso a sites, mas não há bloqueio quando alguém tem credenciais para isso.”
Este é, segundo Milagre, o motivo pelo qual os hospitais devem ter uma atuação preventiva e não reativa em relação à segurança da informação, através de políticas e normas de conduta.


Políticas

A prevenção neste caso são previstas nas políticas de tecnologia da informação ou nos termos de uso dos serviços de informática, meios que servem de garantia e ao mesmo tempo de diretriz para a prática da segurança de uma instituição.
A burocracia não se posicionaria contra o avanço tecnológico, portanto as políticas se adaptam e abrangem as novidades do mercado tecnológico, segundo Márcio Lago, gerente de TI do Hospital Novo Atibaia, no interior de São Paulo.

Segundo o executivo, apesar de algumas normas serem exigidas em função da segurança do ambiente de TI do hospital, há um esforço em criar diversas condições para que a aceitabilidade seja a mais ampla possível. “O equipamento pode ser pessoal, mas precisa estar sujeito à política de segurança da empresa”, afirma Lago. “O principal ponto é que mantemos três tipos de redes para os três tipos de público que utilizam o acesso dentro do ambiente do hospital: a rede para os funcionários, a rede para os funcionários terceirizados e a rede para o público em geral, que não compromete as aplicações da instituição.”

Segundo Lago, os casos de profissionais que usam equipamentos pessoais no hospital ainda não são expressivos. Ele afirma que os funcionários que aderem à política da empresa nesta modalidade não chegam a 20% do total.

Mas a segurança não é um fator que reduza a disponibilidade de acesso. Mesmo para dispositivos que não tenham perfil para acessarem a rede do hospital, a área de TI disponibiliza um ambiente virtual separado para permitir que o profissional trabalhe, mas os dados do equipamento não entram em contato com a rede do hospital. “Para uma pessoa que está na empresa e precisa acessar uma aplicação, nós criamos uma sessão na máquina desta pessoa para que ela use os serviços da rede , sem comprometer a segurança ou usar algo da própria máquina”, explica Lago. “É como se fosse a virtualização de um desktop para que o uso da rede a partir daquele dispositivo não gere riscos.”


Crime digital

Depois dos ataques aos sites do Governo Federal, um projeto que tramita no Congresso  desde 1999 pode enfim virar lei. O documento criminaliza 12 ações na internet com penas de um mês a seis anos de prisão para destruição de dados eletrônicos alheios, acesso a sistemas, obtenção de informações sem autorização e estelionato eletrônico.A pena é branda para padrões internacionais. Nos EUA, um hacker que instalou um vírus em um hospital foi condenado, a pagar multa e a três anos de liberdade assistida.

Fonte: www.saudebusinessweb.com.br | 12.09.11


Posts relacionados


Deixe seu Comentário:

=