Após a aplicação da Lei nº 13.709/2018, também conhecida popularmente como LGPD (Lei Geral de Proteção de Dados), o tema segurança de dados ficou extremamente difundido — e não somente nas empresas, mas de maneira geral.

Esta lei, apesar de ter sido aprovada em 2018, somente foi sancionada em 2020, ocasião em que as empresas passaram a ter obrigatoriedade no cumprimento da legislação. Dessa forma, muitas providências foram tomadas, inclusive no setor de análises clínicas, onde os laboratórios precisaram alinhar todos os processos que lidam com informações de seus pacientes para garantir que tais informações estejam protegidas. Afinal, esses estabelecimentos têm acesso a diversos dados sensíveis e que estão ligados à saúde das pessoas.

Mas o que foi feito para isso? Conversamos com Marlene Issei, Gerente de Infraestrutura da Matrix, que nos explicou a importância da segurança de dados nos laboratórios, os impactos da LGPD, os erros que devem ser evitados na gestão de dados dos pacientes, entre outras informações valiosas. Continue a leitura e confira!

Qual a importância de manter os dados seguros em laboratórios?

Dentro dos laboratórios circulam várias informações e dados sensíveis dos pacientes, que muitas vezes são compartilhados com terceiros pela natureza do serviço, bem como dados financeiros e de resultados de exames. A importância de se garantir a segurança de tais dados é essencial, tanto para segurança do paciente, quanto para a do próprio laboratório, pois em caso de vazamento ou invasão, este poderá sofrer sanções legais, bem como prejuízos financeiros e na sua imagem.

Portanto, a segurança dos dados sempre foi e continua sendo fundamental para manter a confidencialidade, disponibilidade e integridade das informações, tornando o processo seguro para todos os envolvidos.

Qual a relação da LGPD com a segurança dos dados?

De uma forma geral, a LGPD causou impacto em toda a área da saúde, pois exige mudanças de processos para a utilização e para a troca de informações mais segura, uma vez que, boa parte das informações são de dados sensíveis. A transferência de informações deverá ser mais precisa e somente os dados necessários para os processos e tarefas a serem executados deverão ser utilizados, sempre de acordo com o cumprimento de uma série de regras que vieram com a LGPD. Os donos dos dados (pacientes) deverão ser informados sobre a forma de utilização de tais informações e porque elas são necessárias, se possível, tudo deverá constar em um termo de consentimento. As informações deverão ser rastreáveis e caso o usuário determine que seus dados sejam apagados, estes deverão ser isolados em uma área sem acesso e com segurança, na impossibilidade de serem apagados por infringirem alguma legislação específica do setor.

A nova legislação tem impacto direto na questão de confidencialidade, integridade e disponibilidade das informações, tendo em vista as questões de segurança da informação, exigindo um estudo minucioso das fragilidades e falhas dentro dos processos laboratoriais e todo o fluxo de informações e dados contidos nos mesmos.

Como manter esses dados seguros?

Para se manter os dados seguros é preciso que uma série de ações sejam adotadas, entre elas podemos citar:

• Conscientização e treinamento dos usuários sobre a importância de se resguardar e zelar pela segurança das informações, por exemplo, usando senhas pessoais, não compartilhando informações de pacientes de forma inadequada, não deixando sessões de computadores abertas caso precise se ausentar, entre outras medidas;
• Manter as estações de trabalho atualizadas, com os devidos updates de correções e/ou de segurança, e antivírus sempre atualizado. Cuidar para que as políticas de segurança estejam sempre aplicadas, tais como limitações de uso de USB, cartões de memória entre outros;
• Manter sistemas de comunicação, tais como switches, servidores, links de acesso, entre outros, sempre com as devidas atualizações, protegidos por senhas e monitorados;
• Ter um processo que garanta que os backups estejam em dia e que os testes de restauração sejam executados constantemente, ou seja, o plano de contingência deve estar sempre atualizado e testado;
• Banco de dados com usuários administrativos diferenciados e com senhas complexas, de preferência criptografadas;
• Manter a comunicação com nível de criptografia e segurança adequadas às operações de comunicação entre os sistemas;
• Realizar o monitoramento constante de todo o sistema e revisar os planos de contingência e gerenciamento de riscos periodicamente e com ajuste das falhas, para, consequentemente, evitando possíveis problemas;
• Esclarecer, treinar e manter todos os termos de confidencialidade e política de segurança da informação claros para os colaboradores envolvidos no processo, dando treinamentos constantes e colhendo as assinaturas necessárias.

Quais erros de segurança de dados devem ser evitados?

Dentro do contexto da Segurança da Informação, onde a segurança de dados está inclusa, é necessária uma atenção para que alguns erros sejam evitados, como:

• Falta de investimento em segurança;
• Falta de controle sobre os acessos das informações (quem acessa o que);
• Falta de backup ou backup desatualizado;
• Utilização de senhas fracas e compartilhamento delas;
• Ausência de uma Política de Segurança da Informação bem definida;
• Sistemas desatualizados, com falta de patchs de segurança em uso;
• Ausência de um plano de contingência;
• Deficiência no treinamento dos usuários, entre outros.

Qual é o papel do Gestor de TI na segurança de dados dos laboratórios?

O Gestor de TI tem que estar atento aos planos estratégico e de segurança da informação, acompanhando de perto prováveis incidentes e fazendo auditorias constantes para averiguação de possíveis pontos frágeis, a fim de que estes possam ser corrigidos. Ele deve participar ativamente da elaboração e da revisão das políticas de segurança da informação, assim como deve implantar um processo de treinamento continuo junto aos usuários, para conscientização da importância do tratamento correto dos dados laboratoriais.

Além disso, é importante que ele alinhe constantemente com os demais Gestores, os processos dos planos de contingência para eventuais crises que possam ocorrer.

O que fazer no caso de ter sido alvo de um ciberataque?

Se o laboratório for alvo de um ataque cibernético e não tiver os devidos processos preventivos, como sistemas de segurança adequados, o efeito pode ser catastrófico. Assim que o ataque for detectado, o ideal é indisponibilizar os sistemas para que não haja maiores prejuízos à instituição. Em seguida, a TI tem que ser rápida para que todo o sistema seja restabelecido e para conseguir identificar quais informações foram violadas.

É necessário ser transparente, avisar os pacientes, fornecedores, parceiros e colaboradores sobre a ocorrência, ficar à disposição para esclarecimentos e ter um plano de ação para mitigar possíveis transtornos causados pelo ataque. É necessário também informar as autoridades legais sobre o ocorrido, providenciando todas as informações que sejam solicitadas para os esclarecimentos.

Vale lembrar que a prevenção é a melhor das ações, pois ela pode minimizar muito os danos causados por um possível ataque cibernético.

Como um sistema laboratorial pode ajudar na segurança?

Um bom sistema laboratorial pode contribuir para a segurança dos dados quando bem configurado, com todos os acessos e permissões de usuários bem definidos, os logs de auditoria ativos, o banco de dados devidamente protegido (melhor ainda se o banco de dados for criptografado), tudo de forma que dificulte o acesso às informações.

Abaixo estão alguns dos recursos que podem contribuir para a segurança dos dados:

• Configuração de permissões de acordo com o perfil de cada usuário;
• Possibilidade de configuração de senhas complexas e com troca periódica;
• Rastreabilidade das informações;
• Logs de auditoria;
• Comunicação segura com outros aplicativos via https;
• Criptografia dos dados;
• Configuração de backups e sistemas de alta disponibilidade.

O treinamento deve ser contínuo para conscientização dos usuários que a senha deve ser única e intransferível, que todas as informações que circulam dentro de um sistema laboratorial são sensíveis e que devem ser manipuladas com muito cuidado, pois todos podem ser afetados caso haja falhas na guarda destas informações As campanhas de segurança são bem-vindas e devem ser periódicas. Este é um processo lento e contínuo, mas que traz resultados muito bons.

O processo de compreensão da segurança dos dados é essencial, pois parte das falhas de segurança ocorrem por falha humana.

==

Fonte: https://blog.matrixsaude.com/seguranca-de-dados/