Artigo aponta que CEOs de Saúde não se preocupam
com a segurança da informação como deveriam, fala sobre os períodos
dos dispositivos pessoais e como o Brasil tem registrado muitos
casos de crimes digitais
No Brasil, pelo menos 32 dos empresários
manifestaram ter sofrido algum tipo de crime digital no ano de
2011, uma média muito superior à do resto mundo (23%). Esse
percentual é uma exposição muito grande, uma preocupação para a
qual as empresas de saúde ainda não estão atentas e, com isso,
acabam por expor seus clientes.
Era uma quarta-feira comum quando o
norte-americano Stanley Hill foi despejar alguns itens pessoais no
incinerador de resíduos público do Condado de York, nos Estados
Unidos, e notou uma pilha de documentos espalhados pelo chão. A
quantidade de papéis despertou a curiosidade do rapaz que, ao
verificar do que se tratava, se surpreendeu ao encontrar inúmeros
registros médicos de um consultório local. Surpreso e sem entender
o motivo do despejo de informações de tamanha importância de um
jeito tão descuidado, o homem que já tinha trabalhado com softwares
em uma universidade da região pensou que seria necessário se
mobilizar para garantir a segurança desses dados. Imediatamente,
comunicou a um jornal local o ocorrido, levando a polícia a apurar
o vazamento dos arquivos encontrados.
O caso sucedido no mês de junho de
2014 remete a outro acontrecimento de abril deste ano também nos
Estados Unidos, quando oito computadores contendo informações
médicas de cerca de 340 mil pessoas foram roubados de um escritório
que prestava serviços contábeis a hospitais da cidade de Los
Angeles. Ambas as situações demonstram o despreparo que as
instituições de saúde têm ao cuidar das informações de seus
pacientes. Estudos recentes indicam que, infelizmente, ainda há um
certo desdém do setor de saúde em relação à segurança da
informação, o que representa um risco não só aos negócios, mas
também à vida e privacidade de milhares de
pessoas.
Segundo relatório montado pela
consultoria PwC em 2013 - “Putting data security on the top table:
how healthcare organisations can manage information more safely”,
ou ‘Colocando a segurança da informação no topo das prioridades:
como as organizações de saúde podem gerenciar informações de forma
mais segura’, em tradução livre, - CEOs de todo o mundo ainda não
se preocupam com a questão da forma como deveriam.
Situação do Brasil
Os criadores do documento apontam que
quando realizaram o último relatório anual mundial (em 2012)
ficaram estarrecidos ao saber que apenas 24% dos CEOs que trabalham
com saúde se preocupavam com a capacidade de proteger a propriedade
intelectual dos seus dados e do cliente; algo impressionante, dado
que somente nos EUA, ocorreram 571 falhas de segurança desde
setembro de 2009. O panorama também nos preocupa, pois a situação
no Brasil é ainda mais alarmante que o resto do mundo. Em outro
levantamento da PwC, referente ao ano de 2012, já mostrava que, no
Brasil, pelo menos 32 dos empresários manifestaram ter sofrido
algum tipo de crime digital no ano de 2011, uma média muito
superior à do resto mundo (23%). Esse percentual é uma exposição
muito grande, uma preocupação para a qual as empresas de saúde
ainda não estão atentas e, com isso, acabam por expor seus
clientes.
Essas empresas devem tomar medidas
preventivas, que dificultariam a ocorrência de roubos e invasões,
como os relatos dos Estados Unidos. É importante que as empresas
tenham uma política de segurança bem definida e que esta seja
apresentada de forma clara para os colaboradores. Esses
profissionais também precisam entender que determinadas ações
colocam em risco toda a corporação e que há penalidades para elas.
As campanhas de conscientização precisam ser contínuas. Vale também
testar a eficácia das ações de conscientização enviando e-mails
falsos (phishtests) para ver quem clica, ou fazendo ligações falsas
se passando por pessoas de TI, pedindo informações confidenciais
como login e senha, entre outras estratégias.
O perigo dos dispositivos
móveis
Outro ponto que deve ser lembrado é o
uso de aparelhos pessoais de médicos, enfermeiros e técnicos de
saúde. A moda de utilizar aplicativos de smartphones, notebooks e
tablets para auxiliar nas consultas, seja para aumentar a
capacidade de análise, uso da internet corporativa, ou outras
finalidades pode ser um sério agravante.
Na Real Protect, nós já identificamos
situações em empresas nas quais os smartphones estavam sendo
controlados por hackers. Se os celulares estiverem na mesma rede
dos servidores, os criminosos podem fazer um movimento lateral
interno e, a partir do aparelho, adentrar uma estação de trabalho
ou servidor. Sem contar que, através de smartphones contaminados,
um hacker pode acompanhar toda a vida profissional e pessoal de
qualquer pessoa, saber onde ela está por meio do GPS e participar
de reuniões de forma oculta acionando a câmera ou o microfone
remotamente, por exemplo.
Por fim, o colaborador deve
compreender que a segurança virtual da empresa depende de suas
atitudes. É importante deixar claro para os usuários que não podem
se deixar levar pela curiosidade de abrir um e-mail desconhecido,
um link suspeito que um amigo do Facebook enviasse ou, até mesmo,
pegar um pen drive abandonado no chão, pois estas podem ser a porta
de abertura para quem deseja roubar informações
sigilosas.
*Nadja Cunha, consultora de segurança
da Real Protect
**As opiniões dos artigos/colunistas aqui publicadas refletem
unicamente a posição de seu autor, não caracterizando endosso,
recomendação ou favorecimento por parte da IT Mídia ou quaisquer
outros envolvidos nesta publicação
