Logo MEDICINASA 2020 WHITE OK
Instagram Linkedin Facebook Twitter

Seis ações essenciais para a cibersegurança na saúde

Por Bruno Porto

O setor de saúde vem enfrentando o impacto de ataques cibernéticos em um ecossistema de ameaças cada vez mais interconectado. Um exemplo disso é o custo do impacto destas operações no setor. Só em 2023, o custo médio de ciberataques no setor da Saúde chegou a US$ 5,3 milhões, o maior entre os segmentos pesquisados Digital Trust Insights, da PwC, estudo que ouviu mais de 3,8 mil líderes de sete setores.

A indústria da saúde não está imune ao multiverso de riscos que enfrentamos na era da disrupção tecnológica. O ritmo da transformação digital torna desafiador o entendimento do que é mais crítico na hora de gerenciar riscos cibernéticos. À medida que o setor se digitaliza, a tendência é de que as ameaças sejam mais agressivas. Essa nova jornada será cheia de desafios, e as lideranças precisarão de resiliência para superar os obstáculos.

Neste contexto de ameaças, as empresas que se preparam respondem com eficiência e emergem mais fortes de uma crise cibernética. Dentre o conjunto de ações que podem ser consideradas essenciais para estas ações, seis se destacam: o estabelecimento de uma estrutura de gestão multifuncional de crise; a avaliação dos potenciais impactos para as operações e os clientes; o desenvolvimento de soluções táticas e abordagens alternativas para manter os processos operacionais críticos no curto e médio prazo; a consideração cuidadosa dos passos necessários para retomar as operações normais; o desenvolvimento de protocolos claros de comunicação interna e externa; o aperfeiçoamento de medidas internas de cibersegurança e a avaliação de riscos cibernéticos adicionais de terceiros.

A execução de respostas a crises deve começar com a ativação de uma equipe multifuncional de respostas. A definição de um PMO (gerente de projetos) e fluxos de trabalho nas atividades de respostas com responsáveis claros e periodicidade de ações de divulgação é o segundo passo desta ação. Uma equipe de comunicação de crises para desenvolver uma mensagem central consistente é essencial, assim como uma unidade específica para triagem de clientes e stakeholders voltada a rastrear, gerenciar e responder rapidamente as consultas recebidas, de forma personalizada.

A avaliação da resiliência e do risco cibernético passa pelas atividades de busca por ameaças e avaliações de violação e comprometimento para assegurar que o ambiente permaneça seguro. Também são consideradas tanto as conexões com o ecossistema de saúde mais amplo, quanto às vulnerabilidades chamadas “zero-day”, aquelas que ocorrem quando hackers exploram a falha antes que os desenvolvedores tenham a chance de lidar com ela e das quais estados-nações e agentes criminosos procuram se aproveitar. As companhias devem questionar se existe um plano definido para testar sua conexão com a entidade ou entidades impactadas quando estiverem operacionais novamente e ativar um programa de gestão de riscos de terceiros para entender o impacto potencial das vulnerabilidades identificadas e quaisquer outros impactos potenciais de terceiros em seu ecossistema.

A empresa está preparada para fazer uma análise posterior à ação tomada e se preparar melhor para eventos similares no futuro? As considerações sobre resiliência são as avaliações de impacto nos negócios que identificam processos críticos que exigem capacidade de resiliência de alta disponibilidade. São identificados processos críticos para os quais as dependências de fornecedores criam um risco de concentração, quais são os processos de contingência e consideradas as estratégias de diversificação de fornecedores. Nesta etapa também são testados os processos de continuidade dos negócios e as capacidades de recuperação de desastres para saber o quanto a empresa conseguiria entregar serviços críticos durante outros tipos de eventos.

Uma comunicação eficaz com todos os stakeholders também é um ponto bastante importante. Existe uma estratégia de gestão de comunicação e canais? O que será comunicado e para quem? Qual será o formato e quais canais serão utilizados? Foi planejado o impacto na percepção/satisfação dos beneficiários? Seus provedores de logística estão preparados para dar suporte à empresa? Existem previsões, contratações, treinamentos e FAQs atualizados para os centros de contato e fornecedores de Business Process Outsourcing (BPO)?

Além de toda a gestão da crise, as considerações operacionais precisam ser consideradas para prestadores. Sabemos que toda empresa tem processos vigentes caso não consiga completar as funções de acesso prévio, como verificação de seguro ou autorizações, como fazer em caso de ataque cibernético? Entre as implicações, encontramos: atrasos que podem afetar as consultas, os procedimentos e a entrega de receitas e medicamentos aos pacientes, interrupção de atendimento, aumento de pedidos de reembolso negados devido à insuficiência de aprovações de seguros e autorizações necessárias. São impactos que podem afetar o fluxo de caixa do prestador, além de um aumentar os custos administrativos.

Por último, devem ser considerados os programas de benefícios em medicamentos (PBM) e planos de saúde. Existem processos provisórios para funções impactadas ou para rastrear pré-autorizações que não foram processadas? Nestes processos provisórios é preciso considerar: pagamentos antecipados a serem reconciliados após a resolução dos eventos disruptivos, gerenciar solicitações duplicadas, pedidos enviados por diferentes fornecedores, pedidos em papel, etc.

Ainda dentro dos programas de benefícios, devem ser planejados como será a reconciliação de prescrições realizadas de boa-fé e o gerenciamento dos impactos sobre o Medicare Advantage Stars ou a performance do Medicaid Quality (por exemplo, a adesão à medicação). Os processos provisórios devem contemplar ainda a distribuição de medicamentos críticos e a adesão de pacientes que não podem pagar o custo na ponta na farmácia.

Por fim, se esta disrupção operacional persistir, a empresa estará preparada para lidar com o enorme acumulado de transações após o fim das interrupções? Foram considerados a criação de “ambientes de teste” para processar em lotes o grande volume de transações futuras? À medida que as operações comerciais voltam ao normal, é essencial considerar a resiliência tecnológica e operacional, além da concentração de fornecedores e dos processos de contingência. Construir uma organização verdadeiramente resiliente não acontece da noite para o dia. É um esforço de vários anos que precisa começar agora.

*Bruno Porto é sócio e líder para a indústria de saúde na PwC Brasil.

Tags:

Sobre

A Medicina S/A é a mais importante revista de negócios, gestão e liderança do setor médico-hospitalar no Brasil. Com alto padrão editorial, nosso conteúdo apresenta os mais recentes e importantes avanços em Inovação, Tecnologia e Boas Práticas em Saúde. Compartilhamos a visão de empresas, instituições e profissionais que estão transformando o mercado de healthcare.

Institucional

Siga nossas Redes

Instagram Linkedin Facebook Twitter

Medicina S/A 2021 © Todos os direitos reservados.

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.

Importante: A Medicina S/A usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Veja nossa Política de Privacidade.