SAÚDE: 2021 chega com os desafios de adequação do setor de Saúde à LGPD
O ano de 2020 foi bastante desafiador para muitas empresas. Com a entrada em vigor da LGPD – Lei Geral de Proteção de Dados, com a promessa de sanções e multas a partir de agosto de 2021, muitas empresas aumentaram o foco na adequação de suas operações de coleta, tratamento, distribuição e descarte de dados pessoais, para conformidade à lei.
O setor de saúde é um dos que mais possui dados pessoais, em especial dados sensíveis, pois o histórico médico das pessoas é mantido em registros hospitalares, de operadoras de planos de saúde, em sistemas de laboratórios de exames e análises clínicas.
As pessoas, em geral, não gostariam que seu histórico de saúde fosse violado e ficasse exposto indevidamente. Por isso, na elaboração da LGPD, há um claro apontamento para a sensibilidade de dados pessoais armazenados por empresas do ramo de saúde.
O setor de saúde possui um número enorme de registro de pacientes, que estão armazenados de diversas formas, desde registros em papel até registros eletrônicos disponíveis em aplicativos móveis. Muitos sistemas do setor de saúde são antigos e a quantidade de sistemas legados é muito grande. E é aí que reside o grande desafio das áreas de tecnologia da informação que atuam nas empresas desse segmento.
O ciclo de desenvolvimento seguro de software – conhecido como SDL (Secure Development Lifecycle) – é uma metodologia adequada para o desenvolvimento de aplicações novas. Em suas premissas, reforça a necessidade de construção de software seguro “by design” e “by default”. Iniciar um projeto de software com a premissa de segurança é uma vantagem e reduz o retrabalho de correção de falhas e bugs de segurança.
No entanto, a LGPD é ampla e aplica-se a todos os dados pessoais, que devem ter sua proteção adequada, independente de quando foram coletados e como estão armazenados. Por isso, um desafio grande a se colocar para os desenvolvedores de aplicações, sistemas, apps e plataformas é como lidar com os sistemas legados. Eles podem apresentar a maior parte das vulnerabilidades e das falhas de segurança.
Um relatório da HealthCare Infosecurity, publicação americana que trata dos desafios de cibersegurança na área de saúde dos Estados Unidos, publicou uma matéria em que informa que, em 2020, ocorreram 619 violações de segurança cibernética de grande porte em empresas do setor de saúde, afetando mais de 28 milhões de cidadãos americanos.
Os Estados Unidos possuem uma norma de regulamentação de segurança cibernética para o setor de saúde, o HIPAA – Health Insurance Portability and Accountability Act. O Brasil não possui uma regulamentação similar e algumas empresas utilizam os conceitos da HIPAA para realizar seus controles internos de segurança.
No entanto, existe uma norma ISO que fala da segurança no setor de saúde: a ISO/NBR 27799. Esta norma é um manual de melhores práticas para implementar os controles da ISO 27001 no setor de saúde. Essa pode ser uma recomendação geral para todas as empresas do setor.
Voltando aos desenvolvedores de software, eles precisam entender do que se tratam as normas 27001 e 27799, além de conhecer as técnicas de desenvolvimento seguro de software. Desta forma, os sistemas legados podem ser atualizados para um modelo mais seguro, reduzindo as vulnerabilidades e a superfície de ataque para os hackers e criminosos virtuais.
Tudo isso deve ser planejado, executado, revisado e monitorado sempre. Não somente para atender aos requisitos legais da LGPD, mas, principalmente, para proteger na prática e de forma proativa os dados pessoais dos clientes do setor de saúde.
Por Almir Meira Alves, Cyber Training Officer na CECyber
Fontes:
Advisera
CEE78IS
HealthCare Infosecurity
Comments are closed.