A segurança da informação está relacionada à proteção de dados e, quando bem aplicada, é capaz de blindar a clínica de ataques digitais, desastres tecnológicos ou falhas humanas.
A informação é o bem mais precioso para uma empresa ou indivíduo, sendo a principal fonte para as tomadas de decisão.
Com novas tecnologias chegando ao mercado dia após dia, praticamente todas as operações e processos realizados dentro de uma clínica são feitos por sistemas digitais.
O objetivo da segurança da informação é monitorar e proteger os dados armazenados, implementando mecanismos que anulem qualquer ameaça ou vulnerabilidade do sistema.
As empresas que detêm informações pessoais de seus usuários, como números de telefone, documentos, endereço de residência, entre outros, são responsáveis pela segurança dessas informações, segundo a LGPD.
Além disso, o vazamento de informações de usuários pode gerar multas cobradas pelo governo e pedidos de indenização por parte dos usuários.
O objetivo da nova lei é assegurar que os dados no ambiente online sejam tratados de forma transparente e sem abusos para os usuários, evitando que informações sejam usadas para finalidades diferentes das quais foram informadas.
Uma empresa que trata a segurança da informação de forma madura diminui significativamente seus riscos de perdas – financeiras ou de imagem — relacionadas a eventos, como vazamento de dados e indisponibilidade de serviços ocasionada por ataques e fraudes.
O que é segurança da informação?
O termo segurança da informação é usado para se referir à defesa de dados e à prática que assegura que informações sigilosas possam ser acessadas somente por aqueles a quem essas se referem (em outras palavras, seus responsáveis de direito).
A segurança da informação é uma grande aliada das empresas, pois é responsável por evitar que qualquer pessoa distribua, de forma indevida, dados sigilosos.
Uma clínica médica possui além das suas próprias informações, os dados sensíveis de todos os seus pacientes. Por exemplo, informações do prontuário médico, CPF, nome, endereço, histórico de consultas, entre outros.
Perceba a enorme quantidade de informações que precisam ser mantidas longe de mãos erradas.
Por isso, garantir a segurança dos seus dados é importante não apenas para a sua clínica, mas também para manter o sigilo médico dos seus pacientes.
Impactos que a falta de segurança da informação gera no setor de saúde
Os impactos da falta de segurança da informação no setor da saúde podem ser gigantescos.
A ocorrência de um ataque pode, por exemplo, ocasionar a inviabilização do acesso a dados ou a corrupção dessas informações, paralisando serviços e trazendo prejuízos financeiros e organizacionais.
Vazamentos, fraudes, sequestro de dados, roubo de senhas, entre outros crimes, geram instabilidade e causam danos à credibilidade das empresas e arruinam a reputação delas diante dos pacientes e da sociedade.
A confiança de parceiros, pacientes e investidores diminui e a empresa pode ter que enfrentar um longo caminho para reverter a perda de reputação.
Outra consequência importante são os processos judiciais que podem acontecer, em virtude do vazamento de informações e da exposição de dados de pacientes, uma vez que é papel da empresa mantê-los seguros e em sigilo.
Casos de falha na segurança da informação na saúde
Infelizmente, os casos de falha na segurança da informação na saúde são frequentes. Em 2020 uma falha do Ministério da Saúde expôs dados de cerca de 243 milhões de brasileiros na internet
Entre os dados expostos estão: CPF, nome completo, endereço e telefone de brasileiros cadastrados no Sistema Único de Saúde (SUS).
O vazamento foi causado pela exposição indevida de login e senha de acesso ao sistema do Ministério da Saúde
Em 10 de dezembro de 2021 o site do Ministério da Saúde foi atacado e ficou fora do ar, os criminosos “sequestraram” os dados cadastrados na plataforma do ConectSUS e do Portal COVID.
Norma ISO sobre Segurança da Informação
A ISO 27001 é a norma padrão de referência internacional para a gestão da segurança da informação.
Ela traz princípios e controles de sistema de segurança da informação e evidencia o compromisso da empresa com a segurança da informação.
A norma tem como princípio geral a adoção pela organização de um conjunto de requisitos, processos e controles com o objetivo de mitigar e gerir adequadamente o risco da organização.
A ISO 27002 é a norma que tem como principal objetivo auxiliar as empresas na análise e implementação de todos os controles da ISO 27001.
É recomendável que a norma seja utilizada em conjunto com a ISO 27001, mas pode ser também consultada de forma independente com fins de adoção das boas práticas.
Pilares da segurança da informação
Há três pilares da segurança da informação mais populares: confidencialidade, integridade e disponibilidade.
Porém, com o tempo, foram acrescentados outros dois elementos para reforçar as políticas de proteção de dados: autenticidade e irretratabilidade.
Confira esses cinco pilares essenciais:
Confidencialidade
A confidencialidade garante que o acesso a informações sensíveis seja feito somente por pessoas autorizadas, ou seja, apenas pessoas autorizadas com um login e senha podem acessar as informações.
Para isso, deve ser feita uma hierarquia de acessos bem estruturada e é necessário conscientizar e treinar os funcionários que terão níveis de acesso mais avançados, para evitar a manipulação incorreta das informações.
Por exemplo, a recepcionista pode ter acesso a algumas informações do prontuário do paciente, como os dados pessoais, mas apenas o médico pode ter acesso a dados sigilosos, como as enfermidades e tratamentos.
Disponibilidade
A disponibilidade está relacionada ao tempo e à acessibilidade que se tem dos dados e sistemas da clínica, ou seja, se as informações podem ser consultadas a qualquer momento pelos colaboradores.
Para cumprir esse requisito, você precisa garantir a estabilidade e acesso permanente às informações dos sistemas.
Sistemas instalados em computadores estão vulneráveis a desastres naturais, furtos, falha mecânica e diversas outras ameaças.
Por isso, em clínicas médicas é recomendado a utilização de softwares em nuvem, pois as informações podem ser acessadas rapidamente de qualquer lugar, ao mesmo tempo que não dependem de um dispositivo físico para seu armazenamento.
Integridade
A integridade corresponde à preservação da precisão, consistência e confiabilidade das informações. Para isso, você deve assegurar que as informações não sofram nenhuma modificação sem a devida autorização.
Sendo assim, elas não podem ser alteradas durante seu tráfego, armazenamento ou processamento, ou seja, que elas permaneçam íntegras.
Por exemplo, em uma clínica médica, os dados preenchidos no prontuário médico durante uma consulta não podem ser alterados uma vez que foram salvos.
Isso garante uma maior segurança tanto para o paciente quanto para o médico, pois mantém um histórico fiel e íntegro das informações coletadas mesmo depois de anos.
Autenticidade
A autenticidade confirma a identidade dos usuários antes de liberar o acesso aos sistemas e recursos, garantindo que não se passem por terceiros.
Para tal objetivo, é necessário documentar as ações feitas pelos usuários na rede e nos sistemas por meio de um login e senha exclusivos por profissional.
Por exemplo, imagine que sua clínica possui duas recepcionistas e elas são responsáveis por atualizar os dados dos pacientes.
Por meio da autenticidade, você tem acesso ao que cada uma delas alterou ou adicionou no sistema.
Como resultado, caso alguma informação esteja incorreta, será mais fácil descobrir quem cometeu o erro.
Irretratabilidade
O pilar da irretratabilidade atua para que um indivíduo ou entidade não negue a autoria de uma ação específica.
Ou seja, pelo princípio da irretratabilidade, as empresas precisam ser capazes de provar o que foi feito, quando foi feito e quem realizou determinado procedimento em um sistema.
Dois exemplos da irretratabilidade são as assinaturas de documentos eletrônicos e a utilização de certificados digitais em transações feitas online.
Por exemplo, quando um médico preenche uma receita digital e assina com sua assinatura digital, ele não pode negar que ele é o responsável por aquela prescrição, pois é a sua assinatura no documento.
Ameaças cibernéticas mais comuns em clínicas médicas
1. Phishing
O phishing consiste em tentativas de fraude para obter ilegalmente informações como número da identidade, senhas bancárias, número de cartão de crédito, entre outras, por meio de e-mail com conteúdo duvidoso.
Normalmente, os cibercriminosos se passam por autoridades ou empresas confiáveis (bancos, corporações renomadas, Correios e Governo).
As vítimas recebem um e-mail ou uma mensagem de texto que imita uma pessoa ou organização em que confiam, como um colega de trabalho, um banco ou um órgão governamental.
Quando a vítima abre o e-mail, a mensagem leva o destinatário a fornecer seus dados pessoais, login e senhas.
Por exemplo, os cibercriminosos podem enviar e-mails aos seus funcionários informando que o sistema da clínica passou por uma atualização e que é necessário que o funcionário faça login novamente.
O funcionário é encaminhado para um site diferente e preenche as informações solicitadas. Nessa hora os criminosos acessam o sistema da clínica por meio do login desse funcionário e hackeiam o sistema.
2. Sistema operacional vulnerável
Os sistemas operacionais, seja de telefones celulares, seja de computadores (ou outros dispositivos), é outro tipo de falha que pode ser explorada por invasores.
Instalar sistemas operacionais legais, registrados e mantê-los sempre atualizados, é uma forma de evitar que isso aconteça.
Isso porque, ao notar uma falha, o fabricante corrige e lança atualização. Assim, se você não tem o sistema operacional legal ou não o mantém atualizado, você fica à mercê das vulnerabilidades que já foram identificadas.
Por isso, ao optar pelos sistemas da sua clínica, escolha aqueles que conseguem garantir total sigilo dos seus dados médicos, com criptografias que permitem acesso apenas aos profissionais autorizados.
Por exemplo, como a maioria dos softwares gratuitos não são desenvolvidos por especialistas e não possuem criptografia, não há nenhuma garantia que as informações sigilosas dos seus pacientes estão protegidos.
Além disso, os softwares gratuitos precisam se monetizar de alguma forma e, como eles não cobram por seu serviço, isso pode acontecer com a venda de informações sigilosas dos pacientes.
3. Ataque man-in-the-middle
O ataque man-in-the-middle é bastante grave e cada vez mais comum. Ele consiste em interceptar as comunicações entre duas pessoas e atuar como “homem-no-meio” da conversa.
Nesses ataques, o criminoso pode tanto ficar passivamente bisbilhotando as mensagens trocadas, quanto atuar de forma ativa alterando, excluindo ou inserindo frases, enquanto os interlocutores acreditam estar travando uma conversa privada legítima.
Por isso, é importante manter a comunicação entre os funcionários da clínica apenas por meio de chats internos do seu software médico.
Esses sistemas são muito mais difíceis de interceptar, diferentemente de conversas em aplicativos de mensagens como o WhatsApp, feito para conversas do dia a dia.
4. Malware
Malware é a abreviação de “software malicioso” (em inglês, malicious software) e se refere a um tipo de programa de computador desenvolvido para infectar o computador de um usuário.
O malware pode infectar computadores e dispositivos de várias maneiras, além de assumir diversas formas, entre elas vírus, worms, cavalos de Troia, spyware e outros.
O malware pode penetrar em seu computador de diversas formas, por exemplo, ao clicar em banners em sites suspeitos, ao fazer o download de arquivos infectados, ao abrir um anexo de e-mail malicioso ou, basicamente, qualquer coisa que você baixe da internet para seu dispositivo.
Por isso, é importante que todos os usuários saibam como reconhecer e se proteger de malwares.
É fundamental orientar os funcionários que não acessem sites suspeitos ou baixem arquivos nos computadores da clínica.
A LGPD e a segurança da informação em saúde
A LGPD regulamenta como os dados pessoais dos cidadãos devem ser tratados no Brasil. Na saúde, a lei nº 13.709 olha com ainda mais atenção os dados pessoais e sensíveis dos pacientes.
Para as clínicas e instituições médicas, a LGPD é aplicada por meio da lei 13.787 de dezembro de 2018, que regulamenta a utilização dos Prontuários Eletrônicos do Paciente (PEP).
Dessa forma, todos os dados de pacientes gerados em um atendimento médico devem estar em conformidade com o que prevê a LGPD.
A partir da aplicação da LGPD, sua clínica se tornará responsável pela segurança de todas as informações armazenadas em seu banco de dados.
Portanto, é preciso garantir que esses dados não sejam acessados por pessoas externas.
Baixe gratuitamente nosso eBook sobre LGPD na saúde para aprender tudo que precisa saber sobre o assunto:
Como garantir a segurança da informação na sua clínica ou consultório?
Realizar backup periódicos
Quando se fala em segurança da informação e em maneiras de proteger seus dados, uma das mais importantes rotinas é o backup (cópia de segurança).
Por meio dessa técnica você poderá resguardar suas informações e recuperar qualquer dado caso algum sistema seja corrompido ou determinado hardware falhe.
Esses backups são importantes para garantir a segurança e a disponibilidade dos arquivos/programas caso os originais sejam danificados.
Essas cópias de segurança ficam armazenadas em locais seguros, livres de danos e ataques.
Estabelecer um programa de política de segurança da informação
A Política de Segurança da Informação é um documento que reúne regras, práticas, diretrizes e procedimentos acerca da segurança da informação, com o objetivo de minimizar riscos de perdas ou violação de qualquer ativo de TI.
Ela é a ferramenta mais completa para garantir a proteção das informações sigilosas ou vitais para a clínica.
Dentro de uma política de segurança da informação é possível definir como os processos e tarefas serão realizados, entre eles:
- Definição de cronogramas de backup;
- Estabelecimento de regras para o uso de senhas e credenciais de acesso;
- Controle de acesso aos espaços físicos;
- Definição de diretrizes para o acesso à informação de diferentes profissionais e times, estabelecendo graus de acessibilidade;
- Criação de planos de contingência e de gerenciamento de riscos;
- Definição das políticas de atualização de softwares.
Com uma política de segurança da informação bem desenhada, é possível reduzir consideravelmente os riscos de segurança, dando à clínica a devida proteção contra ameaças internas e falhas de segurança.
Adquirir sistemas de gestão médica
Hoje, o papel não é mais capaz de atender as necessidades de rotina de uma clínica, pois oferece falta de segurança, agilidade e eficiência.
Sendo assim, cada vez mais os sistemas de gestão médica se tornam uma saída para clínicas e consultórios que querem se modernizar e manter os seus dados seguros.
Para isso, eles precisam ser utilizados de acordo com a LGPD (Lei Geral de Proteção de Dados), que garante a segurança de informações na clínica médica e de seus pacientes.
Uma boa maneira de se proteger contra ataques cibernéticos é utilizando um sistema de gestão em nuvem. O software do iClinic aumenta a segurança, agilidade e melhora a gestão dos processos de seu consultório.
Além disso, conta com o certificado SSL 256 bits, um mecanismo utilizado para a codificação e decodificação de dados, que impede a leitura de pessoas não autorizadas em dados trafegados.
O iClinic também apresenta níveis de acesso, dessa forma, o profissional da recepção não terá o mesmo nível de acesso do que o médico. Apenas você, profissional de saúde, acessa os dados sensíveis de seus pacientes.
Com tudo isso, você mantém seus dados em segurança e ainda evita a perda de informações.
Todas as informações registradas em prontuários digitais ficam armazenadas em nuvem, ou seja, todos os dados ficam disponíveis de forma online, acessíveis apenas com login e senha.
Outra funcionalidade, oferecida junto do prontuário eletrônico, é a assinatura digital. Além de facilitar o trabalho da clínica, ela é uma ferramenta essencial para a segurança de dados para médicos.
Conheça a assinatura eletrônica do paciente da Afya iClinic
Quanto espaço sua clínica já desperdiçou para arquivar papel? Quantas vezes você precisou usar uma assinatura digital que não estava integrada ao prontuário eletrônico do paciente?
Apesar de tecnologias como prescrição de medicamentos, prontuário eletrônico e certificado digital estarem cada vez mais presentes na vida de médicos e pacientes, muitos profissionais ainda estão presos no papel ou em uma solução de assinatura externa, não integrada ao sistema da clínica.
Para atender aos médicos que precisam da assinatura dos pacientes de forma segura e rápida, seja durante o atendimento ou no pós-consulta, criamos a assinatura eletrônica do paciente da Afya iClinic!
A solução é simples e fácil de usar: após selecionar um de seus modelos personalizados de documento, o arquivo já vem preenchido automaticamente com os dados do paciente cadastrados no sistema, e você pode enviar o link de assinatura pelo WhatsApp Web ou outro canal de sua preferência. 😊
Após o paciente assinar o documento, ele é anexado automaticamente no prontuário e o mesmo recebe uma cópia por e-mail.
Caso queira ver como a nossa assinatura eletrônica funciona na prática, assista nosso vídeo:
Dessa forma, você tem a sua assinatura e a do paciente integradas 100% ao prontuário, pode enviar os documentos rapidamente durante um atendimento e o uso é ilimitado. Você pode enviar sempre que quiser e imprimir quando for necessário.
Conheça a assinatura eletrônica do paciente da Afya iClinic agora mesmo e aproveite o melhor preço do mercado:
Manter os sistemas operacionais e ferramentas digitais sempre atualizados
Para evitar ataques cibernéticos e ampliar a segurança da informação, deve-se manter atualizados os sistemas operacionais e os softwares utilizados pela clínica.
Como destacado anteriormente, sistemas desatualizados se tornam vulneráveis a ataques e os desenvolvedores de sistemas buscam constantemente identificar falhas e criar novos recursos para ampliar a segurança.
Boas práticas da segurança da informação para clínicas e consultórios
Uso do certificado digital
O certificado digital para médicos é uma tecnologia que valida juridicamente todos os documentos assinados de forma online, o que garante mais segurança e praticidade.
Com o certificado digital, você pode assinar as prescrições eletrônicas e demais documentos, e enviá-los por SMS, e-mail ou mensagem para seus pacientes.
Assim, além de assegurar que seus pacientes não perderão o documento, você tem mais respaldo jurídico para sua prática médica.
Uso da criptografia para mascarar informações
A criptografia é definida como uma proteção além da senha, algo que somente quem possui-la junto com o algoritmo pode acessar o conteúdo.
A tecnologia usa um algoritmo e uma chave para transformar uma entrada (texto simples) em uma saída criptografada (texto codificado).
Dessa forma, a criptografia fornece comunicação segura na presença de terceiros mal-intencionados.
Treinamento da equipe de trabalho
Uma grande parcela das violações de dados, invasões e ataques cibernéticos se origina em erros básicos do usuário final.
Os riscos de segurança que uma equipe de trabalho despreparada representa são os mais diversos.
Podemos falar desde a abertura de um e-mail suspeito que contenha malware, até a exposição de dados sigilosos com a perda de um notebook ou a divulgação acidental de informações confidenciais na web.
O treinamento em segurança da informação é a melhor ação para evitar vazamentos de informações.
Esse procedimento deve fazer parte da política da clínica, como uma estratégia para orientar os funcionários que estão lidando cotidianamente com essas informações.
O treinamento de segurança da informação é algo extremamente importante e eficiente dentro do ambiente de trabalho. Por isso, é essencial que seja reforçado dentro das equipes e repassado periodicamente.
Gestão de riscos
A gestão de risco pode ser definida como sendo toda e qualquer tarefa que tenha como objetivo gerenciar, monitorar e controlar qualquer potencial ameaça à uma instituição.
Hoje, as instituições de saúde já entenderam que é mais vantajoso investir em um bom planejamento estratégico do que lidar com possíveis eventos danosos que podem ocorrer na falta de medidas de segurança.
Por exemplo, o vazamento de dados dos pacientes pode gerar um grande problema, podendo acarretar até sanções jurídicas e multas, sendo assim, é mais benéfico investir em estar de acordo com a LGPD do que esperar que algum vazamento ocorra.
Sigilo profissional
O sigilo profissional garante que as informações pessoais tratadas na consulta serão apenas utilizadas no tratamento.
Ou seja, essas informações devem ser preservadas em um local seguro contra possíveis ataques e perdas.
Sendo assim, ter um prontuário eletrônico é o primeiro passo para adotar a tecnologia como aliada na segurança de dados e sigilo médico, mas é possível melhorar ainda mais com um sistema médico.
Um software completo tem ferramentas como agenda médica, agendamento online, gestão financeira, Teleconsulta, relatórios e gráficos automáticos, lembretes de consulta e muito mais.
Conclusão
No meio digital, os profissionais da saúde conseguem obter uma segurança de informação mais eficiente.
Isso porque um software médico de qualidade permite restringir os dados e criar uma hierarquia de acesso de determinadas informações.
Além disso, qualquer informação mais delicada, especialmente as ligadas aos pacientes, precisa ser armazenada em sistemas criptografados, que apresentam também níveis de autorização de acesso.
Essa prática é essencial não somente para a proteção dos pacientes, mas também para a sua imagem profissional.
A partir da criptografia, é possível assegurar o sigilo dos dados, algo que não seria possível em um prontuário de papel.