Diante da preparação brasileira para a assinatura médica digital, gestores de TI das instituições de saúde precisam garantir segurança
Quanto valem as informações do prontuário médico do presidente da República? Ou, menos complexo, de qualquer pessoa? As instituições de saúde lidam justamente com dados que, em qualquer moeda, são imensuráveis. Portanto, o quesito segurança é uma premissa básica – e uma responsabilidade a mais para os líderes de TI deste setor. “Não há dúvidas de que a saúde tem um valor mercadológico, pois o vazamento de informações individuais pode ser usado para chantagem e invasão de privacidade. Além disto, o quadro clínico pode ser visto como uma análise do perfil do usuário por operadoras de planos de saúde”, pontua o sócio da consultoria PricewaterhouseCoopers no Brasil, Edgar D´Andrea.
Garantir que todos os prontuários, ainda em papel, seriam trancados em um armário e enfileirados em ordem alfabética parecia ser uma tarefa mais simples para os hospitais no passado. No entanto, no cenário atual, com o advento das possibilidades online, seja pelos prontuários médicos digitais ou pela tão sonhada assinatura médica digital, assegurar que tudo esteja sob total sigilo pode tirar o sono de muitos CIOs. É o que mostra uma recente pesquisa da Symantec sobre ameaças à segurança na internet. De acordo com o estudo, o segmento de saúde ocupa o terceiro lugar no ranking de setores da economia mais vulneráveis a roubo de dados. Com 16%, e só fica atrás de educação (24%) e governo (20%).
A explicação, salienta o diretor-regional de produto da Symantec, Alberto Saavedra, é que existe uma prerrogativa de que grandes setores proporcionam um melhor retorno sobre as informações roubadas. “As regulamentações sobre o cuidado com os dados de saúde ainda são muito novas no Brasil. Mas não se trata de um setor que sofre constantes ataques externos por parte de hackers, por exemplo. A pessoa que manuseia a informação representa o maior risco dentro de uma instituição”, assinala. Ou seja, não é comum existirem ataques em massa, mas sim, de interesses específicos.
Estariam, então, seguras as informações? Diante da proporção do volume gerado pelo setor de saúde em comparação com o financeiro, por exemplo, ainda investe-se pouco em segurança. “Observo que as médias e pequenas instituições de saúde possuem um baixo nível de preocupação com a segurança de dados. Talvez, falte uma ação por parte do governo federal para endurecer a legislação”, menciona D”Andrea, referindo-se aos Estados Unidos, onde leis federais proíbem a divulgação de dados de saúde e o tratamento das informações dos pacientes é regulamentado para que nenhum player se beneficie.
Papel da TI
O estudo HealthCast 2020, da PricewaterhouseCoopers, que traça os desafios do setor de saúde para os próximos dez anos, aponta que, em um universo de 580 executivos de hospitais, 73% acreditam na contribuição da tecnologia para a integração do sistema de saúde, mas apenas 54% consideram a TI importante ou muito importante no melhoramento da segurança dos pacientes.
No Hospital Aliança, da Bahia, 10% do orçamento disponível para a área de tecnologia da informação destina-se a ações de segurança. Senhas pessoais para entrar no sistema, controle do nível de acesso, autenticação para gerenciamento de banco de dados e sistemas operacionais, bem como antivírus, anti-spam, IPS (sistema de prevenção de intrusão, do inglês intrusion prevention system), firewall, segurança de rede e políticas para os colaboradores. Esta é a artilharia que a instituição usa para barrar qualquer tipo de invasão às informações dos pacientes. “Há três anos, nossas ações de segurança estão dentro do padrão britânico BS 7799 e os aspectos de sigilo de dados sempre estão em constante atualização e manutenção”, diz o CIO do hospital, Carlos Nestor Passos.
Com uma equipe de 18 pessoas, o executivo aponta que existem dois grandes desafios: ambiente integrado e sensibilização dos colaboradores. “As instituições de saúde sofrem com uma quantidade muito grande de fornecedores. Então, o ambiente hospitalar precisa estar integrado, apesar da heterogeneidade de sua infra-estrutura”, pontua. Sobre as políticas, Passos defende que nada pode ser impositivo. “A melhor estratégia é não bloquear ou tornar algo burocrático, pois assim certamente haverá resistência”, complementa.
Com um corpo clínico aberto, o profissional do Hospital Aliança não é, necessariamente, um funcionário, isto é, não tem a obrigatoriedade de adotar as políticas. Por isto, a equipe de tecnologia atua sempre ao lado do profissional, principalmente com tecnologias móveis, como o agendamento remoto de uma cirurgia ou conexão com o centro cirúrgico. “Mais do que políticas, é preciso ter ferramentas e caminhos”, defende o CIO. Para D”Andrea, da PricewaterhouseCoopers, se não houver políticas conhecidas pelos funcionários e fiscalização, dificilmente, elas sairão do papel.
Sigilo ao pé da letra
Já o gerente de TI do HCor, Adailton Luiz Mendes, quando questionado sobre suas ações desenvolvidas para a segurança dos dados, tratou de dizer: “quanto mais contar, mais vulnerável vou ficar. Prefiro falar de uma forma geral”. Preservando a sustentabilidade do trabalho que vem desenvolvendo, o executivo revelou que 12% do orçamento é aplicado em segurança e disponibilidade. “Somos acreditados pelo [órgão de acreditação hospitalar] Joint Comission, então, precisamos possuir um monitoramento sobre a segurança, níveis de acesso e demais ferramentas para garantir a qualidade e sigilo das informações. Dentro do planejamento estratégico de TI, sempre olhando a segurança, que tende a consumir cada vez mais do nosso budget”, pontua o executivo do hospital paulistano.
O gerente garante que já está nos planos do HCor adotar o prontuário eletrônico, mas ainda não sabe se será com papel (digitalização das informações dos pacientes) ou sem papel (todo o registro online). “As duas normativas estão dentro do escopo de trabalho da equipe de TI. A tecnologia não é o problema, porque já sabemos o caminho e estamos estudando formas de viabilizar o projeto de forma segura. Agora, a prática precisa incorporar este tipo de trabalho no dia-a-dia. Para a cultura médica, o ganho com a tecnologia não é traduzido de uma forma fácil”, garante.
Com uma equipe de 16 pessoas em TI, o HCor enxerga maior vulnerabilidade nas informações que possam sair do hospital, algo ainda mais preocupante após a popularização dos dispositivos móveis. “Existem tecnologias que barram as ações internas e os ataques externos. Mas as informações móveis requerem um cuidado maior. Para a otimização dos recursos, nós, gestores de TI, precisamos estar preparados para o futuro, ou seja, para a integração de dados em saúde no País inteiro”, conclui Mendes.
