2
0
1
2
S a ú d e B u s i n e ss S c h o o l Os melhores conceitos e práticas de g e s t ã o , a p l i c a d o s a o s e u h o s p i ta l
Módulo 05
segurança de dados patrocínio:
57
lay_scholl_2012.indd 57
15/05/12 17:46
saúde business school
Introdução Depois do sucesso dos primeiros saúde business school, continuamos com o projeto. Este ano, falaremos sobre TECNOLOGIA DA INFORMAÇÃO EM SAÚDE Na busca por auxiliar as instituições hospitalares em sua gestão, trouxemos no terceiro
na organização de seus departamentos de TI e na interação da
ano do projeto Saúde Business School
área com os stakeholders.
o tema Tecnologia da Informação em
Em cada edição da revista FH, traremos um capítulo sobre o
Saúde. Ainda que exista literatura sobre
tema, escrito em parceria com médicos, professores, consultores
o tema, a nossa função aqui é construir
e instituições de ensino, no intuito de reunir o melhor conteúdo
um manual prático para a geração de um
para você.
ambiente de tecnologia hospitalar mais
Os capítulos, também estarão disponíveis para serem baixados
seguro, que auxilie e oriente às equipes
em nosso site: www.saudeweb.com.br
O projeto envolve os seguintes temas: Módulo 1 - Infraestrutura de TI nos Hospitais Módulo 2 - O papel do CIO Módulo 3 - Governança de TI nos hospitais Módulo 4 - ERPs Módulo 5 - Segurança dos dados Módulo 6 - Terceirização Módulo7 - Prontuário eletrônico Módulo 8 - A integração entre engenharia clínica e TI Módulo 9 - RIS/ PACS Módulo 10 - Gestão dos indicadores Módulo 11 - Mobilidade nos hospitais Módulo 12 - Cloud Computing
58
lay_scholl_2012.indd 58
15/05/12 17:46
Segurança dos Dados luiz gustavo kiatake e rafael shoji
INTRODUÇÃO A segurança da informação representa a base de confiança dentro da sociedade da informação, especialmente na migração de processos baseados em papel e informais para processos baseados em documentos digitais e estruturados. No que diz respeito a dados na saúde, essa questão se torna ainda mais crítica devido, por exemplo, a possibilidade de responsabilização pelo uso indevido de dados (quebra da privacidade do paciente), pelos procedimentos em si (responsabilização do erro médico) e pelas trocas de dados (informações trocadas entre pacientes, prestadoras, operadoras e governo). Uma abordagem completa para implementação da segurança envolve o planejamento e ações estratégicas e táticas, tanto de perfil tecnológico como processual. Dentre as ações, podemos listar: a identificação dos ativos que necessitam de proteção, o levantamento dos riscos de comprometimento dos dados, a classificação da informação em níveis de sigilo, a formação de um time e processo de resposta a incidentes, a identificação dos controles mais adequados de proteção, a implantação dos processos mais adequados de disseminação e gestão. O assunto está bastante maduro em alguns setores, como o financeiro, fato que não se observa na área de saúde. E, como agravante, as organizações de saúde apresentam características bastante peculiares, já que toda a operação orbita em torno de seres humanos, os pacientes, que circulam e com frequência estão acompanhados de parentes e visitas, e não raramente em estados emocionais bastante alterados. Identificar com precisão essas pessoas em situações de emergência, e proteger os sistemas de acessos indevidos são exemplos de grandes desafios. Além disso, especial atenção deve ser dada para o uso de dispositivos pessoais e móveis no ambiente de saúde, assim como para o uso de ambientes em cloud. De qualquer forma, o momento é bastante apropriado para discutir o assunto, já que o setor tem apresentado uma crescente adoção da informática, tem buscado acreditações e certificações de qualidade, e tambem passa por uma profissionalização da gestão. A conscientização de que falhas de segurança podem implicar em problemas de imagem, erros de diagnósticos e até mortes tem feito com que a segurança da informação e o tratamento de riscos sejam devidamente priorizados.
59
lay_scholl_2012.indd 59
15/05/12 17:46
saúde business school
Conceitos
O conceito mais clássico da segurança da informação é prover confidencialidade, integridade e disponibilidade dos serviços e informações eletrônicas. Contudo, outros aspectos também são envolvidos, como privacidade, autenticação, não-repúdio, identificação, autoria, autenticidade, auditabilidade, rastreabilidade, responsabilização, entre outros.
Autenticação e Assinatura Digital
A autenticação de usuários provê privacidade por meio do controle de acesso à informação, permitindo somente acesso a pessoas autorizadas. A forma mais utilizada é a usuário e senha, mas que apresenta fragilidades tais como: uso de senhas de fácil adivinhação; uso de senhas com tamanho inadequado; uso de uma mesma senha em sistemas distintos; tráfego de mensagens contendo senhas em forma legível; subsistemas que armazenam as senhas para posterior preenchimento automático, dentre outros. Assim, o serviço pode ser melhorado definindo-se aspectos de identificação adicionais, que podem ser utilizados de maneira independente ou conjugados. Tais aspectos se resumem a: • Algo que o usuário é: neste caso, se encaixam sistemas biométricos, como por exemplo, identificação por impressão digital, íris, retina e reconhecimento de voz, entre outros; • Algo que o usuário possui: cartões inteligentes, crachás, certificados digitais, cartões com código de barras, dispositivos de memória, smartphones ou computadores etc; • Algo que usuário sabe: senhas, frases ou perguntas de segurança. O primeiro aspecto (o que o usuário é) exige a aquisição de dispositivos especializados, mas que tem tido uma adoção crescente, como a impressão digital. Os dispositivos biométricos, entretanto, não garantem a legalidade de uma assinatura digital. Principalmente devido ao custo mais acessível, os aspectos do que o usuário possui e sabe estão sendo empregados de forma conjunta em áreas envolvendo transações financeiras, como, por exemplo, para o acesso dos clientes aos serviços de internet banking através de tokens ou até a utilização de certificados digitais. Diversos dispositivos complementam o uso de senhas, como cartões inteligentes, tokens e equipamentos biométricos. Em geral, os dispositivos mais seguros são os de custo mais elevado. Apesar de todos os esforços de proteção, o nível de segurança ne-
cessita evoluir concomitantemente com a sofisticação dos ataques, que incluem novos vírus, phishing scams e trojans ou “cavalos de Tróia”. Desta forma, torna-se fundamental fomentar o uso de tecnologias mais robustas como forma de melhorar seus padrões de autenticação e segurança. A assinatura digital garante a integridade e o não-repúdio por meio de mecanismos de assinatura auditáveis e reconhecidos legalmente, e assim é utilizada para a eliminação de documentos em papel. Apesar da conveniência do uso de senhas, os sistemas de certificação digital estão obtendo uma maior difusão com o intuito de prover maior segurança em sistemas eletrônicos. A ICP-BRASIL representa a entidade que regulamenta a questão, e que resulta na validação jurídica de documentos eletrônicos.
ISO 27799 – Controles e Gestão de Segurança em Saúde
A fonte mais consolidada sobre segurança da informação e seus controles é a ABNT NBR ISO/IEC 27002 “Tecnologia da informação - Técnicas de segurança Código de prática para a gestão da segurança da informação”. O setor de saúde conta com a ISO 27799 “Informática em saúde – Gestão da segurança da informação em saúde utilizando a ISO/IEC 27002”, se tornando a melhor referência na área. Essa norma, disponível na ISO, está em fase de tradução pela ABNT para publicação como uma norma brasileira. A 27799 se divide em duas partes principais: a primeira, que trata do plano de ação de implementação do Sistema de Gestão da Segurança da Informação (SGSI); e a segunda, que descreve o conjunto de controles a serem implementados. Uma visão geral de cada parte é sumarizado a seguir.
SGSI
A proposta de implementação do SGSI adota o modelo Planejar, Fazer, Checar e Agir (PDCA, do inglês Plan, Do, Check, Act). A fase “planejar” inclui a definição do escopo de abrangência, a realização de um
60
lay_scholl_2012.indd 60
15/05/12 17:46
gap analysis, a criação de um fórum ou comitê de gestão, o levantamento e avaliação dos riscos, o gerenciamento dos riscos, o plano de aperfeiçoamento e os documentos envolvidos. A fase “Fazer” inclui a criação do plano de tratamento dos riscos, a alocação de recursos humanos, a seleção dos controles de segurança, o treinamento e divulgação, e o gerenciamento das operações, dos recursos e dos incidentes. A fase “checar” inclui as contínuas avaliações de conformidade, realizada internamente, pelos pares e por auditorias independentes. A fase “agir” inclui o papel do fórum ou comitê de segurança na avaliação, correção e aperfeiçoamento de todo o sistema.
Controles
O conjunto de controles de segurança da ISO 27799 segue a 27002, e assim apresenta as 39 categorias de controles, divididas em 11 domínios, que são: Política de segurança da informação; Organizando a segurança da informação; Gestão de ativos; Segurança em recursos humanos; Segurança física e de ambiente; Gestão de comunicações e operações; Controle de acessos; Aquisição, desenvolvimento e manutenção de sistemas de informação; Gerenciamento de incidentes de segurança da informação; Aspectos de segurança da informação do gerenciamento da continuidade do negócio; e Conformidade. Contudo, diferentemente da ISO/IEC 27002, que apresenta uma lista de controles recomentados, a ISO 27799 indica quais controles são mandatórios para instituições de saúde, e agrega considerações específicas do setor, quando existentes. Segurança do software em saúde A Sociedade Brasileira de Informática em Saúde (SBIS) estabeleceu, em convênio com o Conselho Federal de Medicina (CFM), um processo formal de Certificação de Sistemas de Registro Eletrônico em Saúde (S-RES). O processo estabeleceu um conjunto de requisitos de segurança, estrutura, conteúdo, funcionalidade e TISS, cuja devida implementação é avaliada por auditores especializados contratados pela SBIS. A certificação deve ser entendida como um nível de qualidade mínimo, que se equivaleria a um alvará de uso do sistema, e não como o estado da arte. A certificação tem auxiliado as instituições na escolha dos sistemas a serem adquiridos, e proporcionado mais
segurança aos profissionais de saúde no uso dessas ferramentas, sendo condição inclusive para o reconhecimento do prontuário eletrônico pelo CFM. Os requisitos de segurança são divididos em duas categorias de Níveis de Garantia de Segurança, sendo NGS-1 a que descreve os requisitos básicos de segurança, e NGS-2, voltados para o uso da assinatura eletrônica, e consequente não necessidade de impressão. O Brasil tambem tem um papel fundamental na elaboração da norma internacional ISO 14441 “Informática em Saúde – Requisitos de segurança e privacidade de sistemas de registro eletrônico de saúde para uso em avaliação de conformidade”, a qual deve ser publicada pela ISO nos próximos meses e será utilizada pela SBIS. A norma apresenta duas partes principais, sendo que uma descreve os requisitos mínimos de segurança e privacidade, e a outra as melhores práticas para o estabelecimento e manutenção de um programa de avaliação de conformidade, tambem conhecido como certificação.
Infraestrutura
Os componentes de infraestrutura possuem um papel importante no contexto da segurança. Eles são os principais agentes promotores da disponibilidade, mas também controle de acesso e confidencialidade. Equipamentos de comunicação, rede, servidores, storage, backup, e links de comunicação precisam ser dimensionados para suportar à demanda provendo à qualidade esperada aos usuários, e também precisam possuir redundância e contingência adequada. Equipamentos específicos dedicados para a segurança devem ser considerados, como firewalls, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Unified Threat Management (UTM), Virtual Private Networks (VPN), Anti-vírus. O Caso da Saúde: Privacidade Informações de saúde são definitivamente confidenciais. Dentre os pacientes, há costumeiramente pessoas com destaque público, como políticos, celebridades, jornalistas, e funcionários da própria instituição, que ressalta a importância da
61
lay_scholl_2012.indd 61
15/05/12 17:47
saúde business school
proteção dessas informações. Alguns aspectos são interessantes para consideração: a) o paciente é quem melhor pode determinar apropriadamente a confidencialidade de parte ou todo seu prontuário. Por exemplo, uma pessoa fugindo de um relacionamento abusivo pode considerar que seu novo endereço e seu número de telefone são informações muito mais confidenciais do que seus dados clínicos sobre o atendimento ao seu braço quebrado. b) a confidencialidade dependente do contexto. Por exemplo, o nome e o endereço de um paciente na lista de admissões da emergência hospitalar podem não ser considerados confidenciais por uma pessoa. Contudo, o mesmo nome e endereço em uma lista de admissões de uma clínica de tratamento de impotência sexual podem ser considerados altamente confidenciais por este indivíduo.
Referências bibliográficas: ISO 27799 “Health informatics - Information security management in health using ISO/IEC 27002” ISO 14441 “Health Informatics – Security and privacy requirements of EHR Systems for use in conformity assessment” (baseado no trabalho em andamento, ainda não publicado) ABNT NBR ISO/IEC 27002 “Tecnologia da informação - Técnicas de segurança Código de prática para a gestão da segurança da informação” Processo de Certificação de Sistemas de Registro Eletrônico em Saúde SBIS www.sbis.org.br ABNT/CEE-78 - Comissão de Estudo Especial de Informática em Saúde www.abnt.org.br Resolução CFM 1821/2007 - http://www.portalmedico.org.br/resolucoes/ cfm/2007/1821_2007.htm ICP-Brasil - www.iti.org.br MP 2200-2 - http://www.planalto.gov.br/ccivil_03/mpv/Antigas_2001/2200-2.htm
62
lay_scholl_2012.indd 62
15/05/12 17:47
C a s o d e s u c e ss o Acesso blindado Hospital Moinhos de Vento desenvolveu protocolos e políticas de acesso às informações geradas no interior da instituição para garantir integridade e sigilo ao paciente Guilherme Batimarchi – gbatimarchi@itmidia.com.br Nos últimos anos, tem se presenciado uma série de revoluções e ativismos cujo ator principal é a tecnologia. Em um mundo globalizado com a internet quase sem fronteiras, a informação tem se tornado um bem muito precioso, o que tem atraído também os piratas. Diferente do que se pode imaginar, não são apenas segredos industriais ou dados financeiros que estão sob a mira de pessoas mal intencionadas. Informações clínicas guardadas em bancos de dados de hospitais ou laboratórios também são alvos destes piratas da informação. Para garantir a integridade e segurança dos dados gerados dentro de uma instituição de saúde, gestores e CIOs têm voltado cada vez mais as atenções para programas de segurança da informação, que englobam o desenho, implementação, controle e monitoração de métodos e processos cujo objetivo é assegurar a integridade desses dados. O Hospital Moinhos de Vento, localizado na capital gaúcha, estabeleceu uma política de segurança da informação, que segue quatro padrões considerados básicos em sua composição. O primeiro é garantir a integridade da informação gerada, de forma que não possam ser alteradas sem prévia autorização. O segundo ponto é a confidencialidade. Segundo o gerente de TI do hospital, Mario Torcato, todas as informações clínicas contidas no prontuário são de propriedade do paciente e não podem ser divulgadas sem autorização. Outros dois pontos destacados pelo executivo são: legalidade e disponibilidade, que estão relacionados diretamente à possibilidade de acesso por profissionais que dependem dela para realizar suas atividades. “Os acessos são disponibilizados por meio de comunicação formal, conforme o perfil e área de atuação de cada usuário.” Segundo o gerente de TI da instituição, os principais pontos de atenção da entidade em relação à segurança da informação são: garantir a integridade dos dados gerados e o controle de acesso a eles. Os protocolos de segurança utilizados pelo hospital são baseados na ISO/IEC 17799 e ISO 27001. “Estes protocolos foram desenvolvidos pela TI do próprio Moinhos de Vento, seguindo as melhores práticas das baseadas nas normas da ISO.” Outra medida de segurança adotada pela entidade para lidar com a consumerização – utilização de dispositivos móveis pessoais em redes corporativas – foi a segmentação das redes de dados, para que pacientes, acompanhantes e médicos possam utilizar seus dispositivos móveis sem colocar em risco a rede onde trafegam os dados corporativos do hospital. “Este é um processo definitivo, e as empresas precisarão se adequar o mais rápido possível”, completa Torcato
Sobre o Autor Autores
Luis Gustavo Gasparini Kiatake Engenheiro e mestre pela Poli-USP, Diretor de Relações Institucionais da SBIS e representante no COPISS/ANS, Coordenador do Grupo de Segurança da Comissão de Informática em Saúde da ABNT, Diretor da E-VAL Tecnologia. kiatake@evaltec.com.br Rafael Shoji Bacharel em Computação pelo IME-USP, Mestre pela PUC-SP, PhD pela Universidade de Hannover – Alemanha, Diretor de Pesquisa e Desenvolvimento da E-VAL Tecnologia.
Associação
A SBIS tem como objetivo contribuir para transformar a saúde para melhor por meio do uso adequado e inovador da Informática em Saúde.
63
lay_scholl_2012.indd 63
15/05/12 17:47
Saúde business school
Saúde Business School é uma iniciativa da IT Mídia. Todos os direitos reservados.
lay_scholl_2012.indd 64
15/05/12 17:47