Preocupadas com riscos externos e difíceis de prever, como ataques hackers e sequestro de dados, neste ano, 83% das empresas brasileiras devem elevar os investimentos em cibersegurança, de acordo com estudo realizado pela consultoria global PwC. O dado revela a importância que o tema tem ganhado no meio corporativo e que, para alguns setores, envolve questões ainda mais críticas, a exemplo das organizações que atuam na área da saúde.
“A gestão da segurança da informação já era importante décadas atrás. Porém, nos últimos três anos ela passou de importante para imprescindível para qualquer negócio. Para o setor de saúde não é diferente”, avalia Jeferson D’Addario, CEO do Grupo Daryus, referência em consultoria, educação e eventos relacionados a gestão de riscos, segurança da informação, cibersegurança, proteção de dados e governança de tecnologia da informação.
É importante entender qual é o papel da gestão da segurança da informação (GSI) e da cibersegurança no contexto das empresas. “A gestão da segurança da informação (GSI) é feita dentro da empresa para sua segurança empresarial e corporativa, esteja o médico, colaborador, diretor ou até o paciente/cliente onde estiver, e com qualquer tipo de conexão e dispositivo tecnológico para fazer seu trabalho, obter informações ou ver um resultado de exame”, explica D’Addario.
A preocupação da cibersegurança, por sua vez, é com fontes externas de ameaças pouco previsíveis, como “vírus, ransomwares, tentativas de invasão hacker, fraudes, tentativas de roubo de identidade, sequestro de dados, entre outros, normalmente provenientes da internet ou outros meios conectivos”, exemplifica.
O especialista alerta que o setor da saúde é um dos segmentos visados. “Segundo o National Institute of Standards and Technology (NIST), sediado nos Estados Unidos, alvos de ataques clássicos da infraestrutura de qualquer país, quando você quer prejudicá-lo ou enfraquecê-lo, são: setor financeiro, governo, saúde, telecomunicações, alimentação e transporte”, cita. Por isso, o segmento deve ter atenção redobrada com o assunto.
Do planejamento à prática
Na área da saúde, “a gestão de segurança da informação e de cibersegurança não é assunto somente de tecnologia da informação (TI), mas de todos”, observa D’Addario. Afinal de contas, trata-se de uma questão estratégica e que depende da ampla adesão aos processos e protocolos para garantir a máxima proteção da organização contra incidentes cibernéticos.
Do planejamento à prática, o especialista detalha ponto a ponto as medidas mais efetivas para fortalecer a segurança cibernética das empresas que atuam na área da saúde. Confira!
- Visão estratégica: “a alta administração precisa entender, debater e receber educação no tema, pois muitos executivos têm dúvidas e receio”. A partir da melhor compreensão sobre o assunto, a cibersegurança deve integrar o planejamento estratégico e ser conduzida pelas lideranças da organização.
- Apoio especializado: D’Addario recomenda que a empresa contrate um gerente sênior ou líder para a gestão de segurança da informação, ou ainda uma empresa que preste consultoria para assumir esse tema. “Estrategistas de gestão de segurança da informação são necessários”, frisa. Essa liderança será capaz de estruturar o tipo de equipe adequada para a organização, definindo papéis e responsabilidades para equilibrar conhecimentos técnicos e outras especialidades. “Preferencialmente, deve ser pós-graduado na gestão de segurança da informação.”
- Elabore uma política de segurança da informação: ao incorporar a questão no nível estratégico com suporte de profissional especializado, é possível consolidar as regras que devem ser seguidas na empresa em uma política de segurança da informação, que deve ser praticada por todos diariamente. “Menos papel e mais práticas possíveis e factíveis de melhoria contínua no tema.”
- Educação contínua: a empresa deve educar todas as pessoas continuamente. D’Addario ressalta que tão importante quanto evidenciar casos e incidentes é trazer exemplos positivos. “Mostre como a gestão de segurança da empresa pode ajudar as pessoas em suas casas e com suas famílias. O perímetro da GSI é a ponta do dedo dos colaboradores ou clientes onde estiverem.”
- Estruture processos: estabelecer processos compatíveis com o tema é outro aspecto fundamental. D’Addario recomenda a adequação ao padrão ISO 27001, que normatiza o sistema de gestão da segurança da informação. “No Brasil existem em torno de 80 empresas apenas certificadas na ISO 27001, o que é muito pouco. E creio que não tem empresas do setor de saúde dentre estas.”
- Identifique riscos: outra etapa fundamental é identificar os riscos de segurança da informação e de cibersegurança. “Classifique-os, trate-os e promova, junto aos gestores e equipes técnicas, os ajustes necessários para mantê-los dentro de níveis aceitáveis”, orienta.
- Prepare-se para o pior: “em gestão de riscos, propor cenários de incidentes severos ou crises, criar planos de gerenciamento de crises, testá-los e condicionar equipes a reagir pode ser a diferença entre uma crise gigantesca de imagem e uma crise menos severa”, aconselha.
O especialista salienta que “as empresas que demonstram e praticam a segurança da informação de modo holístico (e isto é percebido pelos seus stakeholders), representam menos risco para acionistas e investidores”.
Há, ainda, a questão da Lei Geral de Proteção de Dados (LGPD), que depende de medidas robustas de proteção. Muitos gestores da área da saúde já reconhecem que “sem segurança da informação e um pouco de cibersegurança, não vão conseguir atender esta lei de forma completa”, avalia.
“LGPD e segurança cibernética, além de falar de tecnologias e melhores práticas, abordam o universo de governança, riscos e compliance. Isso possibilita entender criptografia de informações, controle de acessos, criação de camadas de segurança, análises e testes, habilitação de autenticação”, demonstra D’Addario. “Não há como atender a LGPD sem um nível mínimo de implementação e maturidade corporativa em gestão da segurança da informação, segurança cibernética e gestão de riscos”, pontua.