Abramed lança Guia para a Proteção de Dados na Medicina Diagnóstica
Visando sempre enfatizar a importância de comportamentos éticos, transparentes e vitais para a evolução da sustentabilidade do sistema de saúde, a Associação Brasileira de Medicina Diagnóstica (Abramed) acaba de lançar, por meio do Grupo de Trabalho (GT) de Proteção de Dados, o Guia de Boas Práticas em Proteção de Dados para o Setor de Medicina Diagnóstica.
O documento – que está disponível para download – traz as bases legais para o tratamento de dados sensíveis, apresenta detalhes sobre como atender aos direitos dos titulares, e aborda o compartilhamento de dados de saúde com as operadoras. Além disso, contribui diretamente com a gestão corporativa ao abordar a proteção de dados pessoais no contexto dos recursos humanos e as práticas comerciais em marketing.
“Para garantir a implementação da Lei Geral de Proteção de Dados (LGPD), as empresas devem criar estratégias administrativas, mecanismos jurídicos e tecnológicos e identificar responsabilidades, prevenindo e antecipando riscos. Para apoiar nossos associados e demais empresas do setor no processo de adequação à lei, preparamos esse guia com uma linguagem simples e exemplos práticos. Trata-se de uma ferramenta consultiva para diferentes áreas das corporações”, pontua Wilson Shcolnik, presidente do Conselho de Administração da Abramed.
Devido à relevância do tema, em reunião realizada dia 23 de setembro, Milva Pagano, diretora-executiva da Associação, mencionou o interesse da entidade em transformar o GT de Proteção de Dados em um Comitê permanente na entidade. “Os grupos de trabalho têm ação específica e tempo pré-determinado de atuação. E o GT de Proteção de Dados foi iniciado com essa perspectiva. Porém, agora, a proposta é que ele evolua para um Comitê permanente envolvendo não somente membros dos departamentos jurídicos dos nossos associados, mas profissionais das áreas de tecnologia e segurança da informação. Assim poderemos ampliar as discussões”, disse.
Cibersegurança
A fim de promover conhecimento sobre a criação de um ambiente virtual seguro, a reunião de 23 de setembro contou com a participação de Domingo Montanaro, perito em TI e cofundador da Ventura Enterprise Risk. O especialista apresentou a palestra “Riscos e prevenção no uso de dados no setor de medicina diagnóstica”.
“Precisamos tratar desse assunto que é recorrente e não se refere apenas à segurança do dado em si. Temos acompanhado, na Europa, que as instituições de saúde muitas vezes são as mais atingidas com a interrupção dos serviços e o sequestro de dados”, disse Rogéria Leoni Cruz, diretora jurídica e Data Protection Officer do Hospital Israelita Albert Einstein, ao iniciar a reunião e apresentar Montanaro.
Explicando em detalhes as ameaças do ransomware – software de extorsão utilizado por quadrilhas digitais para sequestrar sistemas e exigir um resgate para a liberação em ataques cada vez mais recorrentes – o especialista fez alguns apontamentos bastante interessantes.
“Tratávamos de dois a três casos de ransomware por ano. Hoje estamos tratando dez ou doze. Essas gangues que executam os ataques estão conseguindo bilhões de dólares em pagamentos e se antes eles apenas interrompiam as operações, hoje conseguem também copiar uma grande massa de dados das corporações”, declarou.
Algumas empresas, a fim de se precaver desse tipo de incidente, podem dedicar muitos esforços na criação e atualização constante de um backup, mas nem sempre isso é suficiente. O especialista exemplificou com o caso de uma companhia que tinha um backup ideal, porém a restauração poderia demorar 21 dias. “Nesse caso a empresa pagou o resgate não porque não tinha os dados, mas porque não podia aguardar três semanas para retomar sua operação. Então é importante analisar o tempo da restauração do backup”, declarou.
Outro ponto que foi abordado por Montanaro é que atualmente essas quadrilhas não planejam quem vão atacar, ficam escaneando a rede em busca de uma oportunidade. “Cerca de 80% dos casos de ransomware a quadrilha não escolheu o alvo”, pontuou. São tantos ataques nos Estados Unidos gerando bilhões de dólares em pagamentos de resgate que o Tesouro Nacional resolveu se posicionar quanto a essas ações.
O que as empresas precisam fazer para prevenir esses ataques?
O primeiro passo, na opinião do especialista, é reconhecer os erros. “Estamos colocando motores cada vez mais potentes sem melhorar os pneus, a suspensão, o câmbio e sem instalar airbag, extintor e cinto de segurança”, disse. Além disso, é preciso entender que o risco cibernético é intransferível e que a responsabilidade não é apenas das áreas de TI e segurança da informação.
Na sequência, existem algumas perguntas que precisam ser feitas olhando para o ambiente interno:
- Quem está preocupado com o tema?
- Quais são os ativos mais importantes da empresa?
- Quem são os adversários?
- Quais são as ameaças?
- Qual a estratégia de combate a ameaças cibernéticas?
E o interessante é que esses questionamentos sejam debatidos junto ao conselho que, inclusive, segundo Montanaro, deve sempre ter pelo menos um membro bastante familiarizado com o assunto. “Além disso, é preciso ter um comitê com uma linha direta ao conselho”, disse.
Em sua apresentação, o especialista mencionou uma palestra de Ronald Sugar, que atuou como presidente do Conselho e CEO da Northrop Grumman até 2010, sobre todo esse cenário de cibersegurança, sugerindo que todas as pessoas que estão inseridas nesses projetos assistissem. Essa palestra está disponível no YouTube.