Opinião

Cibersegurança na Saúde: 5 Práticas Essenciais

Atualizado: 
06/12/2024 - 10:42
Num mundo cada vez mais digital, as organizações de saúde enfrentam ameaças cibernéticas progressivamente mais sofisticadas. Sendo a gestão de dados sensíveis crucial para o cumprimento da sua missão, a proteção desta informação assume-se como prioridade absoluta.

Um estudo recente da Proofpoint, empresa líder em cibersegurança e compliance, e do Instituto Ponemon, referência na investigação em segurança informática, revelou dados alarmantes: num período de 12 meses, 89% das organizações de saúde sofreu ciberataques (uma média de 43 por ano) – praticamente um ataque por semana. O impacto mais significativo destes ataques foi o atraso em procedimentos e exames médicos, o que afetou negativamente os pacientes de 57% dos prestadores de cuidados de saúde inquiridos.  Em quase metade dos casos, registou-se um aumento de complicações em procedimentos médicos. E quando há vidas em risco, torna-se imperativo mitigar estas ameaças e as organizações de saúde necessitam de blindar os seus sistemas com práticas robustas de cibersegurança.

Para melhorar a cibersegurança diária nas organizações de saúde, recomendam-se cinco princípios essenciais.

O primeiro está relacionado com a formalização, o desenvolvimento de documentos formais que discriminem as diretrizes de segurança da empresa. Para garantir que todos os funcionários estão em sintonia e têm um ponto de referência claro para quaisquer dúvidas, as organizações devem elaborar uma política de cibersegurança simples. Este documento deve estabelecer as responsabilidades e deveres de cada um dos colaboradores no sentido de seguir os padrões de cibersegurança definidos. A política deve ser facilmente acessível através dos sistemas internos e focada em ações práticas e implementáveis. Deve ser comunicada de forma eficaz a toda a organização e compreensível para todos os níveis hierárquicos. As quatro diretrizes que se seguem devem constar deste documento e é essencial que sejam adotadas por todos os colaboradores.

É fundamental exigir credenciais únicas em todos os inícios de sessão. Uma prática comum nas nossas vidas, e que é crítica em ambiente profissional, especialmente quando se lida com dados sensíveis, pessoais ou médicos. Cada colaborador deve usar credenciais irrepetíveis para todas as funções de início de sessão relacionadas com o trabalho, com regras definidas que ajudem a garantir que as palavras-passe são fortes, tanto em comprimento como em complexidade. Esta prática impede que potenciais atacantes, ao obterem acesso a um conjunto de credenciais, comprometam múltiplos sistemas da organização.

Embora seja essencial garantir que os colaboradores têm acesso aos sistemas necessários para o desempenho das suas funções, a atribuição excessiva de privilégios aumenta significativamente os riscos de segurança. A solução passa por implementar uma política de privilégios mínimos, em cada colaborador recebe apenas as permissões estritamente necessárias para a sua função.

Para garantir uma gestão eficaz dos acessos, as organizações devem realizar auditorias aos privilégios existentes e efetuar revisões periódicas dos direitos de acesso, assim como implementar um sistema de documentação para todas as novas permissões. Há ferramentas ótimas que as instituições de saúde podem implementar para otimizar este processo, como IAM e Cognito que utilizam a cloud para uma gestão e monitorização eficiente dos direitos de acesso.

Manter cópias de segurança na cloud é fundamental para garantir a segurança, recuperação e acessibilidade dos dados organizacionais, especialmente em caso de comprometimento dos sistemas locais.  Esta estratégia oferece uma camada adicional de resiliência, pois protege a informação contra eliminação ou corrupção de dados por agentes maliciosos. Há ferramentas de backup que disponibilizam soluções nativas de salvaguarda de dados na cloud para todos os componentes críticos da infraestrutura, como buckets (ou repositórios de dados), volumes, bases de dados e sistemas de ficheiros. Uma cópia na cloud é uma necessidade para todas as organizações de saúde.

A cultura organizacional é fundamental para uma estratégia eficaz de cibersegurança. Mas deve assentar em princípios de inclusão e confiança, e não em abordagens punitivas quando ocorrem incidentes. Os métodos tradicionais de formação em segurança, onde se incluem os testes de phishing, têm-se revelado cada vez menos eficazes, e podem até prejudicar o ambiente organizacional e a motivação dos colaboradores. A aposta deve centrar-se no desenvolvimento de programas de consciencialização positiva e formação comportamental construtiva, que conduzam a mudanças culturais sustentáveis.

Esta abordagem colaborativa permite construir uma cultura de cibersegurança mais robusta, onde cada colaborador se sente parte integrante da solução, contribuindo ativamente para a proteção coletiva da organização. No setor da saúde, uma cibersegurança sólida já não é uma mera recomendação, mas sim uma exigência fundamental. Dados do Fórum Económico Mundial indicam que os hospitais produzem cerca de 50 petabytes de dados por ano. Esta é uma quantidade incrivelmente grande de informação que tem de ser protegida de ciberataques. Um relatório recente da Agência da União Europeia para a Cibersegurança (ENISA) revelou que os dados dos pacientes, incluindo registos de saúde eletrónicos, são dos ativos mais vulneráveis. Quase metade de todos os incidentes registados pela ENISA referiam-se a roubo ou quebras de segurança de dados em organizações de saúde.

O setor da saúde pode, no entanto, mitigar muitos destes riscos através da implementação destes cinco princípios. A sua aplicação prática, aliada a uma liderança comprometida com o investimento em cibersegurança e o desenvolvimento de uma 'cultura de segurança' transversal a todos os colaboradores, permitirá estabelecer uma política eficaz de boas práticas, e proteger as organizações contra ameaças futuras.

Se realmente quer impulsionar a mudança, reflita sobre a sua liderança. A cibersegurança não é apenas sobre tecnologia: começa no topo. É fundamental que a liderança estabeleça e incentive uma cultura empresarial assente em princípios de cibersegurança.

Autor: 
Orlando Scott-Cowley - gestor de desenvolvimento de tecnologia e negócios do setor público na AWS
Fonte: 
Hill+Knowlton Strategies Portugal
Nota: 
As informações e conselhos disponibilizados no Atlas da Saúde não substituem o parecer/opinião do seu Médico, Enfermeiro, Farmacêutico e/ou Nutricionista.
Foto: 
Pixabay