Cibersegurança na Saúde: como a norma americana HIPAA pode ajudar
Com a ocorrência de ataques cibernéticos cada vez mais frequente, a busca por alternativas para a promoção da segurança da informação e proteção de dados torna-se ainda mais essencial nas organizações, em especial na Saúde. Para prevenir tais ações e estar preparado para os eventos adversos, além de ter uma equipe de TI preparada e de contar com um plano de Disaster Recovery atualizado, por exemplo, há outras ações que, unidas, promovem um ambiente virtual mais seguro.
Segundo pesquisa do Check Point Research, no segundo trimestre de 2024, ocorreram mais de 1600 tentativas de ataques por semana (o equivalente a um aumento de 67% em relação ao mesmo período de 2023). E quando falamos do setor de Saúde, especificamente, a perda de um dado pode até significar a perda de uma vida.
Pensando nisso, existem caminhos para a preparação e prevenção em relação a um ataque cibernético. Em hospitais e instituições de saúde, um dos meios disponíveis é seguir as diretrizes presentes na norma americana Health Insurance Portability and Accountability Act (HIPAA).
Composta por conceitos e objetivos alinhados à Lei Geral de Proteção de Dados (LGPD), a HIPAA foi desenvolvida com o objetivo de garantir a confidencialidade e segurança das informações trocadas entre médicos e pacientes, além de evitar vazamentos de dados e prejuízos financeiros ao setor.
“Estar dentro dos preceitos da HIPAA significa a presença de maturidade, confiabilidade e integridade da segurança de informação no setor que lida diariamente com pessoas. Mas, é importante lembrar que, apesar de não ser obrigatória no Brasil, ter esse reconhecimento é um diferencial perante às instituições de saúde locais”, explica Filipe Luiz, líder técnico da plataforma de segurança da Flowti.
De acordo com o executivo, as instituições de saúde que optarem por seguir essas diretrizes precisam direcionar um olhar crítico no que se refere ao tamanho e complexidade do hospital e, ainda, analisar a infraestrutura (hardware e software), custos para essa adequação, entre outros.
“O segredo para conseguir seguir essa linha de segurança está na análise profunda das vulnerabilidades. Afinal, será essa avaliação que determinará qual é o melhor firewall, antivírus e antimalware para o ambiente”, sinaliza Filipe Luiz. E, complementando, é necessário avaliar a segurança do datacenter; ter um controle de acesso lógico que permite marcação e distinção entre os controles de acesso; ter uma equipe voltada à prevenção de violações e intrusões, além da presença de controles e políticas documentadas.
Dessa forma, em um cenário cuja a presença de ameaças cibernéticas só tendem a aumentar, apoiar-se em normas como a Hipaa pode ser um caminho para a eliminação ou queda das invasões na área da Saúde, uma vez que passará a ser possível a criação de mais uma barreira contra os cibercriminosos garantindo, dessa forma a privacidade e qualidade dos atendimentos no sistema de saúde.