Integração de sistemas e segurança da informação: cuidados para organizações de Saúde
A integração proporciona produtividade e eficiência. Entretanto, se não for gerenciada adequadamente, também pode aumentar riscos
A Pesquisa TIC Saúde referente a 2022 mostra que dentre organizações de Saúde privadas, 59% não possuem departamento ou área de Tecnologia da Informação. Quando analisada somente a esfera pública, essa proporção sobe para 79%. Apesar da baixa maturidade da gestão de TI em Saúde, a adoção de tecnologias digitais sofreu forte avanço nos últimos anos, principalmente após a chegada da pandemia no Brasil. Prova disso é que quando a mesma pesquisa questiona quantas organizações possuem prontuário eletrônico do paciente, as respostas positivas são de 91% para entidades privadas e de 85% para as públicas.
Nesse cenário de descompasso entre administração e uso da tecnologia, acende-se um alerta para os riscos que uma integração de sistemas de informação mal-feita pode gerar para a instituição e para o paciente. Arlindo Batista, docente da área de Tecnologia da Informação do Senac São Paulo, cita alguns potenciais problemas:
- Perda de dados: problema comum quando a migração de dados não é feita corretamente;
- Inconsistência nas classificações e perfis de acesso: quando a parametrização dos usuários é feita erroneamente, colaboradores sem permissões conseguem acessar dados sensíveis, expondo informação sigilosa;
- Entradas duplicadas: cópias de um mesmo arquivo/informação afetam diretamente a performance do sistema, prejudicando o resultado de relatórios e dashboards;
- Vazamento de informações: o principal inimigo da segurança da informação é o usuário - mas essa responsabilidade é carregada, também, pela organização quando não há treinamento adequado dos usuários para o uso adequado dos sistemas - estejam ele integrados, ou não;
- Falta de atualização: outro desafio é manter o ambiente operacional seguro, visto que não se trata apenas do sistema operacional, mas de tudo que está instalado na máquina, como software, aplicativos, antivírus e outros, que podem ter brechas de segurança conhecidas ou mesmo backdoors. “Todos esses programas e aplicativos devem ser catalogados e atualizados, assim como ter um acompanhamento de um profissional de segurança para, constantemente, verificar possíveis problemas de segurança que possam passar a existir. Um exemplo clássico é o Java, software que é utilizado por muitas empresas e que pode ter diversas vulnerabilidades”, conta.
“As bases de dados devem ser seguras, com a criptografia dos dados sensíveis e o acesso aos sistemas providos de perfis. Os equipamentos que permitirão o acesso ao sistema devem ter segurança básica atualizada (antivírus, atualização do sistema operacional, atualização dos softwares aplicativos, firewall), assim como a segurança avançada (mecanismo seguro de acesso a base de dados e sistemas de detecção de intrusão)”, diz Arlindo Batista.
“Em sistemas não integrados temos a mesma abordagem, porém, necessitamos multiplicar a segurança das bases de dados e dos sistemas pela quantidade deste, trazendo uma demanda muito maior em manter esses sistemas separados”, completa. Tudo deve ser pensado para garantir o sigilo da informação.
Fases do projeto
A estratégia de segurança da informação em sistemas integrados começa na escolha do parceiro que entregará a solução, que deve ser apto a entregar conhecimento e serviço sobre aquilo que a instituição não consegue. Segundo Batista, na sequência, é necessário montar os ambientes de desenvolvimento, teste e produção.
No ambiente de desenvolvimento, os técnicos responsáveis pela codificação e ajustes da solução criarão os parâmetros e desenvolverão detalhes como personalização de acessos. Na sequência, cria-se o ambiente de testes, onde serão feitas análises de desempenho, correção de bugs e homologações de todos os quesitos. "Dessa forma, teremos os aspectos funcionais, operacionais e de segurança testados e homologados”, conta o especialista.
A etapa final é a de produção, na qual os sistemas integrados serão manejados pelos usuários - não sem antes, claro, que todos sejam devidamente treinados.