A infraestrutura de TI ideal para a segurança da informação
Especialista em segurança de informação em Saúde lista o que é essencial na formação da estrutura de TI para garantir a preservação de dados sensíveis e o bom funcionamento dos negócios
Nos últimos anos, a indústria da Saúde vem sendo alvo principal para hackers e entidades maliciosas, colocando não só os dados sensíveis em risco, como o próprio negócio. Até por esta razão, pode-se dizer que há um amplo reconhecimento do papel crucial que a tecnologia da informação de uma organização desempenha na proteção de seus dados confidenciais, mas muitas empresas ainda carecem de uma compreensão clara em que consiste exatamente sua infraestrutura de TI. Um equívoco comum é que essa infraestrutura se refere apenas à tecnologia e ao hardware usados para operar um negócio. Embora estes elementos sejam certamente parte dela, eles não são a história toda.
Para entender mais sobre como funciona, na prática, essa estrutura de TI ideal, sobretudo na área da Saúde, conversamos com o professor Renato Sabbatini, diretor de educação em saúde digital da Associação Brasileira de CIOs em Saúde (ABCIS), e especialista em segurança da informação em Saúde.
As empresas têm uma relativa noção da importância de contar com uma infraestrutura de TI que garanta a segurança da informação e a recuperação de dados em caso de um incidente crítico. Mas como deve ser essa estrutura, considerando os diferentes portes de empresas?
Atualmente, existe toda uma tecnologia altamente sofisticada, normas e códigos de boas práticas internacionais (ISO, por exemplo) relativas à infraestrutura necessária para a segurança e proteção da informação em casos de incidentes críticos e não críticos, assim como para a continuidade e recuperação do negócio. O uso cada vez maior de conectividade local e internet através das redes impôs exigências e soluções técnicas cada vez mais complexas em permanente mudança e evolução. A infraestrutura mínima envolve terminais (clientes), servidores, gateways, rede física ou sem fio, firewalls, switches, etc., que são um domínio extremamente técnico e trabalhoso de implantar e operar. Para isso, dependendo do porte, a organização precisa contar com técnicos altamente especializados e certificados. Para recuperação do negócio, são usados índices de tolerabilidade (quanto tempo a organização tolera, no máximo, para conseguir recuperar), e a existência de múltiplos níveis de cópias se segurança, inclusive com espelhamento em tempo real dos bancos de dados e servidores de contingência, localizados na própria instituição ou longe dela (em outros locais ou na nuvem).
O que muda no caso de hospitais? Quais são os pontos que diferenciam a infraestrutura de TI na área da Saúde das outras áreas?
Aumenta o grau de exigência, segurança e sistemas de contingência e recuperação, pois a tolerância à interrupção do negócio e recuperação é extremamente pequena (minutos). Isso implica em custos e sofisticação muito maiores do que, por exemplo, em um comércio eletrônico, uma vez que os sistemas hospitalares lidam com vidas humanas, em que a monitoração, diagnóstico e conduta são muito sensíveis quando o hospital depende inteiramente dos sistemas informatizados. Na maioria dos hospitais podem ser catastróficos os incidentes de segurança e interrupção. Além disso, a quantidade de dados, o volume do storage disponível para os vários sistemas, inclusive de backup, podem facilmente atingir alguns terabytes por dia, e a recuperação do backup pode demorar dias, durante os quais é preciso operar uma infraestrutura paralela, para não ser obrigado a fechar o hospital e dar alta para todos os pacientes, transferi-los, etc.
Como essa infraestrutura deve ser operacionalizada a fim de preservar a segurança da informação?
O mais importante é que seja feita uma análise de toda a infraestrutura por especialistas e identificar as vulnerabilidades e os riscos, de acordo com um framework e normas bem determinadas (por exemplo, ISO 27.001, 27.002, 27.799, 27.701. etc.). Ao cabo dessa auditoria interna, recomenda-se que a organização submeta-se a uma auditoria externa (como, por exemplo, a ABNT Certificadora) e obtenha certificados de segurança de informação. Essas normas cobrem 12 áreas de controle que devem ser implementadas no grau mais alto possível para hospitais e operadoras de Saúde. Também recomendamos que a infraestrutura seja certificada, de redes/servidores e ativos de rede ou outras, como por exemplo, pela HIMSS e INFRAM (Infrastructure Adoption Model), que são certificações de maturidade da infraestrutura, que tem graus que variam de 0 a 7. A infraestrutura e suas certificações devem ser mantidas atualizadas e revistas periodicamente quanto às suas centenas de requisitos.
Hoje, quais são os maiores desafios na implementação de uma estrutura de TI que garanta a segurança da informação?
Vejo dois grandes desafios: primeiro, é o custo total de propriedade (TCO: Total Cost of Ownership) da infraestrutura, que pode ser bastante alto, e que deve ser atualizado constantemente. O segundo é a organização contar com especialistas altamente treinados em segurança da informação e operação da infraestrutura, monitoração, defesa ativa, prevenção, etc. Dependendo do porte, a organização deve contar com um grupo responsável por isso, inclusive um CISO (Chief Information Security Officer) e um CDPO (Chief Data Protection Officer) e analistas de segurança e infraestrutura. Esses profissionais são caros e em grande demanda, portanto há uma dificuldade de conseguir essas metas.
A pandemia mudou as demandas nessa infraestrutura?
A pandemia, em virtude do isolamento social e grande aumento das atividades suportadas por tecnologias digitais a distância, obrigatoriedade do uso dos S-RES (Sistemas de Registro Eletrônico de Saúde), telemedicina, etc, causou um estresse grande sobre a infraestrutura que já estava no limite antes da pandemia, e que teve de ser revista e ampliada em função da demanda. Muitas coisas que os hospitais, clínicas, laboratórios e consultórios nunca fizeram, tiveram que ser implementadas rapidamente, com falhas no treinamento e na adoção de boas práticas. Os incidentes de segurança, assim, se multiplicaram.
Por fim, quais as demandas você percebe como tendência para o futuro no que diz respeito à segurança da informação e o que deverá ser feito para atendê-las nos próximos anos?
O que a gente percebe é que o número de ataques maliciosos, como ransomware, e a sofisticação desses ataques, como o custo para se defender e mitigar os riscos estão aumentando exponencialmente, já usando, por exemplo, Inteligência Artificial, engenharia social quase que impossível de impedir, e assim por diante. A legislação, como a LGPD, por outro lado, e outras como SaMD (Software as a Medical Device) irá colocar cada vez mais estresse sobre as organizações clínicas, sendo que o nível de conscientização e preparo ainda estão muito deficientes na área de Saúde. Vamos precisar desenvolver novas tecnologias de proteção e recuperação da infraestrutura e dados, e eu acho que os esforços educacionais devem crescer muito, assim como as consultorias e operações especializadas, que serão terceirizadas pelas organizações menores. A tendência global é a necessidade de investir cada vez mais, e fatorar esses custos aumentados nos custos gerais de prestação de serviços de Saúde.