SEGURANÇA DA INFORMAÇÃO EM SAÚDE QUAL A VERDADEIRA IMPORTÂNCIA DE PROTEGER A INFORMAÇÃO EM HOSPITAIS?

Mateus Buogo1 RESUMO

A evolução dos meios de comunicação e a disseminação gradativa da informação estão colocando em risco a segurança e integridade da informação. A fragilidade de softwares permite com que um atacante possa comprometer a segurança e sigilo dos dados manipulados nele. O pensamento parco de que somente existem ameaças lógicas e físicas faz com que engenheiros sociais consigam informações sigilosas somente persuadindo outras pessoas através de uma programação neuro-linguistica. Em ambientes hospitalares a informação deve ser tratada de uma forma preponderante para a qualidade do atendimento e diagnostico de doenças dos pacientes. Ter segurança representa uma ação efetiva para manter a integridade, confidencialidade, e disponibilidade da informação do prontuário do paciente em um sistema de prontuário eletrônico garantindo um melhor atendimento. A segurança não pode ser implementada de forma empírica, portanto existem normas como a ISO 27001:2008 e ISO 27799:2008 que regem a segurança da informação.

Palavras - Chave: Engenharia Social, Segurança da Informação, ISO 27001:2005
1

Estudante do curso de Redes de Computadores pela Ftec – Faculdade de Tecnologia. Experiência em implantação de sistema de Prontuário Eletrônico e S-Res em Hospitais e ambientes relacionados à saúde. Conhecimento em Segurança da Informação e normas técnicas ISO.

pois tem que começar na diretoria e ir descendo aos níveis inferiores da hierarquia garantindo assim que todos tenham um compromisso com a organização. . A segurança da informação em hospitais tornou-se algo fundamental para garantir um serviço de qualidade no atendimento aos pacientes porém ela é negligenciada nas instituições que não investem em segurança ou simplesmente não possuem conhecimento de quão importante é se ter segurança nos processos para não haver vazamento de informações. A evolução contínua das tecnologias está deixando as informações vulneráveis e possibilitando sua disseminação de forma descontrolada nos meios de comunicação. Em ambientes hospitalares trafegam a todo instantes pelos ativos de rede ou colaboradores informações confidenciais sobre a história clinica de pacientes.1 – Introdução Segurança da informação consiste em manter as informações íntegras. confidenciais e disponíveis ao usuário na hora que ele precisar utilizá-la. A mudança de cultura é o fator mais preponderante na implantação da segurança. pois as pessoas têm por natureza uma dificuldade em aceitar mudanças. Implantar segurança não é simples e exige um trabalho árduo e continuo. A segurança da informação tem que ser implantada de forma hierárquica.

2 – Segurança da Informação Definir Segurança da Informação é algo complexo. O primeiro pilar é a Integridade seguida pela Confidencialidade e a Disponibilidade. Para melhor defini-la podemos falar nos seus 3 (três) pilares que redigem sua estrutura. Para termos segurança temos que seguir normas como a ISO 27001:2005 e ISO 27799:2008 garantindo assim um controle mais efetivo e a continuidade do negócio da organização.1 – Integridade Entende-se por integridade da informação quando a mesma chega até o usuário de forma íntegra. Garantindo esses pilares temos a segurança da informação de uma forma efetiva e eficaz. ou seja. sem estar corrompida podendo assim ser .Não podemos pensar em segurança de forma empírica. A segurança da informação por ser algo que não trás um lucro efetivo para a organização muitas vezes é deixada de lado e para justificar um investimento os profissionais de TI recorrerem de um artifício chamado “colocar terror” mostrando o impacto que o vazamento de uma informação confidencial pode ocasionar. 2.

2. 2. . além de integro e confidencial o arquivo de texto tem que estar disponível no exato momento que for necessária sua utilização. Disponibilidade é a garantia de entrega dessa informação no momento exato em que o usuário está requisitado ela.manipulada de forma coesa atendendo as necessidades do usuário como exemplo um arquivo de texto que ao ser aberto traga o texto legível sem falhas de encriptação. Finalizando o exemplo citado nos dois tópicos à cima.3 – Disponibilidade A informação tem que estar íntegra. Seguindo o mesmo exemplo utiliza à cima. ou seja.2 – Confidencialidade Além de íntegra a informação tem que chegar de forma confidencial. temos que garantir que a pessoa que está de posse da informação possui autorização para manipulá-la. confidencial e disponível ao usuário quando for necessário. além de integro o arquivo de texto deve estar de posso somente de uma pessoas autorizada para ler o seu conteúdo.

A Arte de Enganar escrito em 2003.3 – Ameaças à Segurança da Informação Toda e qualquer ação que coloque em risco um dos três pilares da segurança da informação é considerada uma ameaça. . hackers. Em seu primeiro livro. Ataques de engenharia social.1 – O elo mais fraco da Segurança da Informação: Ataques de Engenharia Social Ter um bom firewall e um proxy bem configurado não basta para termos a segurança da informação. inundações. 3. fogo. Os Engenheiros Sociais possuem algumas técnicas para abordagem para ganhar a confiança das pessoas e começar um ataque efetivo. Eles podem facilmente manipular um funcionário de alguma organização para obter informações sigilosas e importantes. O Engenheiro Social é uma pessoa com forte poder de persuasão sobre outras pessoas. O elo mais fraco da segurança é o fator humano. pessoas de má índole são exemplos de ameaças que podem comprometer a segurança da informação. Kevin Mitinick aborda esse tema durante todos os capítulos. Uma das principais técnicas é a programação neuro-linguistica à qual possibilita que o atacante ganhe facilmente a confiança da vitima retirando informações valiosas.

portanto somente o médico.1 – Formas de Gerir a Segurança A segurança não pode ser gerida de forma empírica. 4. A norma ISO 27001:2005 foi desenvolvida para guiar os profissionais na implantação da segurança. a enfermagem e o paciente podem ter acesso a essas informações. Para hospitais que utilizam prontuários eletrônicos temos o NGS 1 e NGS 2 do SBIS/CFM para garantir a segurança nos sistemas de PEP. Essa norma . Toda informação sobre o prontuário do paciente é confidencial e de uso exclusivo da equipe médica que está tratando da doença do paciente. Garantir a segurança dessas informações é preponderante para o sigilo delas e melhor qualidade nos serviços prestados. Devem-se seguir normas e padrões para garantir a continuidade do negócio e controles para validar a efetivação da segurança.1 – ISO 27001:2005 No ano de 2005 foi efetivada a norma ISO 27001:2005.1. 4.4 – Segurança da Informação em Saúde Ambientes hospitalares possuem um fluxo de informação intenso sobre a situação clinica dos pacientes.

por isso a segurança tem que vir de uma mudança de cultura para que os diretores percebam a verdadeira importância da informação e o estrago que uma .1.2 – NGS 1 e NGS 2 A SBIS juntamente com o CFM desenvolveu dois manuais de segurança atualizado anualmente para habilitar softwares e ambientes à receber a assinatura digital. a criação de um comitê de segurança. 5 – Dificuldades na implantação da Segurança Toda organização ao investir em novas tecnologias espera obter lucros com isso. controles para validar a segurança. Segurança da Informação escrito em 2005. Adriana Beal em seu livro. A maior das dificuldades de conseguir investimentos na área da segurança é o fato de que de investe sem obter lucros significativos. analise de riscos. Possuir as boas praticas da ISO 27001:2005 já implantadas no ambiente se torna quase como um pré-requisito para possuir a assinatura digital. Neles contém normas a se seguir para gerir a segurança da informação e qualificar o ambiente da informática no hospital. como estabelecer uma Política de Segurança flexível e abrangente. 4. faz referências às boas práticas da norma.possui todas as orientações sobre como devemos fazer para gerir a segurança da informação.

logo reduzirá seu faturamento mensal. ou se o banco de dados inteiro de prontuários for divulgado a organização irá perder toda sua credibilidade que muitas vezes foi conquista com mais de trinta anos de existência que se perde em menos de 1 minuto. Somente ocorrerá essa mudança se todos os colaboradores da organização entenderem a importância de se proteger a informação se inteirando do assunto e disseminando essa cultura. A mudança de cultura é outro fator preponderante. Temos que colocar “terror”.informação não concisa e coesa pode gerar à vida de um paciente. Se a informação de um paciente vazar. Um Engenheiro Social pode facilmente induzir algum profissional da saúde a ministrar uma dose de algum medicamento comprometendo a vida de um paciente. . 6 – Justificando Investimentos em Segurança Como o investimento em segurança não dá um retorno financeiro desejável a única forma de justificar o investimento é mostrar o valor da informação. A perda de credibilidade irá faze com que a instituição perda de pacientes. Infelizmente a TI dos hospitais precisam usar essa tática. Outra situação critica é quando coloca a vida de um paciente em risco por ter informações não coesas e concisas em seu prontuário.

a realidade mostra que se continuarmos negligenciando a segurança. e sim quando vamos ser atacados”. “ A pergunta não é se vamos se atacados por um engenheiro social. A Arte de Invadir escrito em 2005. . Seguindo as boas práticas da ISO 27001:2005 podemos gerir a segurança de forma organizada e eficaz garantindo assim os três pilares da segurança da informação. pois temos o falso sentimento de que “comigo isso não vai acontecer”. Kevin Mitinick escreve a seguinte frase. protege-la tornou-se algo preponderante para qualificar os ambientes. A negligencia é uma falha cometida na maioria dos hospitais. Na era digital o único computador seguro é aquele que está dentro de uma caixa de chumbo enterrado a 10 metros de profundidade e com dois guardar cuidando dele. Em ambientes hospitalares a segurança da informação deve ser vista como ponto estratégico da organização para melhor executar os processos e contato com o paciente. Em seu segundo livro. teremos graves perdas de informações.7 – Considerações Finais A cada dia que passa novas ameaças surgem e a informação está cada vez mais difundida.

2003 MITINICK . Hoenir Ribeiro da Silva.2009 .8 – Referências Bibliográficas ABNT NBR ISO/IEC 27001:2005 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de gestão de segurança em informação – Requisitos MITNICK . Adriana . I. revisão técnica Julio César Pinto.Segurança da Informação : princípios e melhores práticas para a proteção dos ativos de informação nas organizações / Adriana Beal – São Paulo : Editora Atlas: 2005 SBIS/CFM . BEAL. Rosa . William L. revisão técnica: Olavo José Anchieschi Gomes – Editora Person Education.A arte de enganar/ Kevin D. Tradução: Kátia Aparecida Roque. Mitnick e William L / tradução Maria Lúcia G. Mitnick. intrusos e criminosos eletrônicos . A arte de invadir: as verdadeiras histórias por trás das ações de hackers. Simon. Kevin D. . 2005. Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES) .São Paulo : Pearson Prentice Hall.