Uma mulher em Washington que navegava pela Internet procurando informações sobre um amigo falecido ficou estarrecida. Na tela, apareceram os registros médicos do ente querido.
Era a ponta do iceberg.
Foi constatado que os funcionários de uma empresa de cobrança que fazia negócios com cerca de 40 a 60 hospitais nos EUA inteiro deixaram, sem perceber, um firewall desativado ao transferir dados entre um servidor e outro. Enquanto o firewall estava desativado, o Google indexou os dados. Por fim, esse único erro de TI resultou em violações de segurança em cinco hospitais diferentes por todo o país, expondo cerca de 90.000 registros de pacientes.
Este artigo analisa em que medida o aumento das violações de segurança dos dados é um sinal de alerta para o
setor de saúde. Também avalia as etapas que os prestadores de serviços de saúde podem seguir para proteger os dados e, com isso, evitar prejuízo financeiro, preservar a credibilidade da marca e demonstrar conformidade regulamentar.
Hoje, os prestadores de serviços de saúde contam com um arsenal de medidas de segurança como nunca visto e, mesmo assim, o número de violações dos dados continua subindo. De fato, as violações de dados envolvendo informações confidenciais tornaram-se praticamente uma constante. Uma pesquisa rápida no
DataLossDB, um archive on-line de informações sobre violações de dados envolvendo informações de identificação pessoal, revela as seguintes violações relativas à saúde só nas últimas semanas:
- 7 de agosto de 2008, em um hospital do Texas: informações financeiras e médicas de 1.200 pacientes foram transferidas para uma unidade de memória Flash, que posteriormente foi anunciada como desaparecida
- 1º de agosto de 2008, em um hospital do Reino Unido: laptop roubado continha informações pessoais de 1.581 pacientes
- 29 de julho de 2008, em um prestador de serviços de saúde na Georgia: 202.000 pessoas foram notificadas sobre cartas contendo informações pessoais e médicas enviadas a endereços errados
- 24 de julho de 2008, em um centro médico regional em Nevada: 128.000 pessoas foram notificadas sobre possível intrusão no banco de dados
- 19 de julho de 2008, em uma casa de repouso para veteranos de guerra em Minnesota: servidor roubado continha números de previdência social, endereços e informações médicas referentes a 336 moradores.
- 18 de julho de 2008, em uma casa de saúde no Reino Unido: laptop roubado continha nomes, endereços e dados de 89 pacientes
- 07 de julho de 2008, em uma agência de serviços de saúde na Flórida: nomes, endereços, datas de nascimento, carteiras de motorista e números de previdência social de 55.000 doadores de órgãos ficaram expostos.
Por que houve essa "onda" de violações de segurança? Isso tem a ver principalmente com a origem das violações.
Proteger a rede contra ataques externos era a prioridade número um da segurança dos dados há alguns anos. Hoje em dia, a maioria das ameaças vem de dentro, e normalmente podem ser atribuídas a falhas nos processos de negócios e ao descuido dos funcionários. De fato, a Symantec estima que 96% de todos os vazamentos de dados não são intencionais e menos de 1% envolvem má-fé.
Essa é uma importante mudança.
Vamos avaliar: segundo uma pesquisa recente da Vontu/Forrester Consulting, uma de cada duas empresas perdeu dados em unidades USB. E uma pesquisa realizada pelo Vontu/Ponemon Institute constatou que quatro de cada cinco empresas perderam dados em laptops.
Para proteger suas infra-estruturas, a maioria dos prestadores de serviços de saúde depende, hoje, de software antivírus, firewalls, proteção contra intrusões e outras medidas. Embora sejam componentes importantes de uma defesa em camadas, elas não são suficientes para as ameaças atuais. Por exemplo, essas medidas não seriam capazes de impedir uma ocorrência de roubo de identidade médica. Em vez disso, os prestadores de serviços de saúde precisam se concentrar nas informações cruciais em si e protegê-las.
O que significa "foco na informação"? Significa ter respostas para as seguintes perguntas:
- Onde estão os meus dados confidenciais? Você pode ficar surpreso com a resposta. Os dados podem estar em muitos lugares, alguns são previsíveis, outros não. Dados confidenciais foram copiados em um disco local? Foram publicados em um compartilhamento de rede?
- Como eles são usados? Eles são enviados por e-mail de um médico a outro para avaliar um paciente? São copiados em uma unidade USB para levar trabalho para casa? São enviados a um serviço de transcrição terceirizado?
- Como as políticas são aplicadas? É possível aplicá-las a todos: dentro e fora do hospital, a funcionários, prestadores de serviços e voluntários? As políticas são aplicadas automaticamente? Como você compila as informações sobre conformidade ou relata violações?
Pense em como uma típica rede hospitalar é exposta constantemente hoje em dia. Para acompanhar as demandas do usuário final, os administradores de TI estão implantando mais mecanismos que permitam conexões à rede. De sua parte, os usuários finais querem ser produtivos independentemente de onde estejam; também querem fazer negócios com os parceiros do hospital. Conseqüentemente, os administradores de TI precisam ter jogo de cintura para conciliar entre oferecer o nível adequado de acesso à rede em nome da produtividade e manter a rede segura.
Mas não poderia faltar uma terceira peça desse quebra-cabeças. Os prestadores serviços de saúde também enfrentam um cenário regulamentar de mudanças constantes.
Hoje em dia, os prestadores de serviços de saúde precisam operar em um cenário de regulamentações impostas por uma ampla variedade de instituições: governos federais, estaduais e até locais, órgãos de homologação e organizações de saúde regionais. As provisões de segurança e privacidade da lei norte-americana Health Insurance Portability and Accountability Act (HIPAA) e as normas promulgadas pela Joint Commission on Accreditation of Healthcare Organizations representam as regulamentações mais importantes com que os prestadores de saúde se deparam.
A auditoria do Hospital de Piedmont em Atlanta em março de 2007, feita pelo U.S. Department of Health and Human Services (HHS) nos Estados Unidos, foi a primeira do gênero relacionada às exigências de segurança dos dados constantes na HIPAA. A repercussão imediata aumentou as preocupações no setor de saúde em relação à possibilidade de mais ações desse tipo.
De fato, o HHS, que supervisiona a conformidade com a HIPAA, contratou a empresa PricewaterhouseCoopers para conduzir auditorias-surpresa nos hospitais neste ano. O HHS declarou publicamente que as primeiras 10 ou mais revisões ocorrerão em hospitais onde foram registradas queixas quanto à segurança.
Os prestadores de serviços de saúde também precisam estar em conformidade com os padrões Payment Card Industry Data Security Standards (PCI DSS), já que aceitam pagamento em cartão de crédito. As regulamentações da Sarbanes-Oxley também representam desafios de conformidade, ao mesmo tempo em que muitas organizações regionais se deparam com uma miscelânea de regulamentações que mudam de uma jurisdição para outra.
A Symantec acredita que os provedores de serviços de saúde podem controlar melhor seu próprio destino em um ambiente de crescentes violações aos dados e constantes mudanças nas regulamentações através do desenvolvimento de um programa de conformidade abrangente. Os elementos cruciais desse programa são:
As melhores práticas sugerem que o programa deve ir além da implementação de soluções tecnológicas independentes, que são projetadas para garantir a conformidade com regulamentações específicas, e partir para uma abordagem que integre as ferramentas tecnológicas com as políticas. Essa abordagem inclui:
- Definir os parâmetros do programa de conformidade, incluindo regulamentações que exigem conformidade, categorias de risco do prestador de serviços e políticas que ele deve implementar. Desenvolver políticas específicas e práticas pode ser complicado. É nesse momento que a formação de uma parceria com um consultor confiável, que ofereça considerável experiência em questões de conformidade e uma perspectiva abrangente sobre a segurança das informações, pode gerar benefícios.
- Automatizar a conformidade através do mapeamento de políticas para várias estruturas, normas e regulamentações. Por exemplo, uma rede de hospitais na Califórnia precisaria mapear suas políticas para a HIPAA, as exigências da Califórnia como a SB1386 e as provisões relevantes do Joint Commission Accreditation Manual, além de outras organizações de homologação.
- Geração automática e com auto-auditoria de métricas para toda a empresa, além de relatórios abrangentes para as autoridades competentes. A última geração de ferramentas inclui telas com painéis que fornecem informações gerais a executivos de segurança da informação de nível C, e também recursos para a geração de relatórios detalhados exigidos pelos reguladores.
O aumento das violações de segurança de dados é um sinal de alerta para os prestadores de serviços de saúde, que ao mesmo tempo estão lutando para lidar com as constantes mudanças das regulamentações. Ao tomar medidas agora para proteger os dados confidenciais, os prestadores da área de saúde estarão em melhores condições para evitar prejuízo financeiro, proteger a credibilidade da marca e demonstrar conformidade regulamentar.
Delicious
Meneame
Technorati
Digg
Yahoo Buzz
Google
Facebook
Reddit
Newsvine
StumbleUpon
