Este documento serve apenas para fins informativos. A MICROSOFT NÃO CONCEDE
GARANTIAS EXPRESSAS, IMPLÍCITAS OU LEGAIS NO QUE DIZ RESPEITO ÀS
INFORMAÇÕES NESTE DOCUMENTO.
Este documento é fornecido no estado em que se encontra. As informações e as
opiniões expressadas neste documento, incluindo URLs e outras referências a sites da
Internet, podem ser modificadas sem aviso. Você assume o risco de usá-lo.
Microsoft é uma marca registrada ou comercial da Microsoft Corporation nos Estados
Unidos e/ou em outros países.
Copyright © 2014 Microsoft Corporation. Todos os direitos reservados.
2
TENDÊNCIAS DE SEGURANÇA
Tendência de segurança
no setor de saúde
A necessidade mundial de acesso rápido a informações médicas significativas é um desafio
cada vez maior para as organizações de saúde. Cerca de 50% dos hospitais e 40% das
práticas ambulatoriais estão implementando portais de autoatendimento, 1 e um aumento
de 75% em crimes cibernéticos ao longo de dois anos2 agravou as preocupações quanto
à segurança, porque mais recursos de autoatendimento podem aumentar as oportunidades
de os criminosos encontrarem novas maneiras de roubar informações clínicas confidenciais
por meio de download e ataques de phishing.
A computação em nuvem pode ajudar a melhorar os perfis de segurança das organizações
de saúde, atribuindo aos provedores de serviço em nuvem (CSPs) as dificuldades de garantir
a segurança e a proteção das práticas de computação. Os CSPs esforçam-se para manter as
operações protegidas e trabalharão com os prestadores de serviços de saúde para ajudar
a minimizar as ameaças à segurança. Além disso, CSPs que trabalham com registros de saúde
eletrônicos (EHRs) devem respeitar legislações mais rigorosas, como as da HIPAA (Health
Insurance Portability Accountability Act) nos EUA, para garantir que o sistema seja mantido
com segurança. Em resumo, soluções baseadas em nuvem poderiam atender às necessidades
de médicos e, ao mesmo tempo, reduzir ou atenuar o risco.
Embora a nuvem ofereça benefícios consideráveis, as organizações que adotam soluções
baseadas em nuvem também podem se beneficiar de uma compreensão de relativa maturidade
de suas próprias práticas de segurança. As tendências de segurança identificadas neste relatório
são resultados de dados anônimos coletados de 12.000 participantes de uma pesquisa realizada
durante o período de novembro de 2012 a fevereiro de 2014. As tendências são representativas
de uma amostra mundial.
Para obter mais informações, incluindo resultados mundiais e as tabelas das quais os
resultados foram criados, consulte www.microsoft.com/trustedcloud.
Terry, K. (2013, 12 23). 5 Trends For Health CIOs In 2014 - (Cinco tendências para CIOs da saúde em 2014) www.informationweek.com/healthcare/mobile-and-wireless/5-trends-for-health-cios-in-2014/d/d-id/1113133
2
D., Gary R. Gordon Ed (2013, 07). The Growing Threat of Medical Identity Fraud: A Call to Action (A crescente ameaça
de fraude de identidade médica: uma chamada para ação) (PDF) - http://medidfraud.org/wpcontent/uploads/2013/07/MIFA-Growing-Threat-07232013.pdf
1
ABRIL DE 2013
Principais conclusões
23%
das organizações de saúde pesquisadas têm políticas de
segurança imaturas
Essa condição pode resultar em violações graves dos requisitos
regulamentares e dificultar a capacidade de uma organização em reforçar procedimentos.
34% de todos os setores pesquisados no mundo não têm políticas de segurança eficazes,
o que sugere que as organizações da saúde (23%) estão mais maduras a esse respeito.
Recomendação
Organizações da saúde devem ter políticas de segurança das informações gerenciadas
centralmente, e que estejam em conformidade com as melhores práticas do setor em
relação à segurança, privacidade e gerenciamento de riscos.
Os CSPs geralmente implementarão essas políticas e ajudarão a garantir que elas sejam
integradas às políticas de gerenciamento de ativos, segurança física e controle de acesso.
As auditorias regulares ajudam assegurar a eficácia e a conformidade.
26%
das organizações de saúde pesquisadastêm controles
ineficazes para remover ou alterar o acesso quando os
funcionários são desligados ou realocados
Sem responsabilidades de gerenciamento, funcionários desligados ou realocados podem
manter acesso não autorizado.
31% de todos os setores pesquisados no mundo têm controles ineficazes para alteração
de acesso quando os funcionários são desligados ou realocados, o que sugere que as
organizações de saúde (em 26%) estão mais maduras a esse respeito.
Além disso, 26% de organizações de saúde não gerenciam centralmente, registram em log
nem fazem auditoria de acesso físico às instalações. Mesmo com cartões-chave com base em
funções, sem acesso a registros e auditoria, as organizações de saúde podem correr o risco de
entrada não autorizada em áreas confidenciais.
O fator humano constitui uma das mais importantes contribuições para o sucesso de um
plano de segurança das informações, mas também apresenta um dos maiores riscos.
Funcionários mal-intencionados ou descontentes com acesso a ativos de informações
importantes podem ser uma ameaça significativa à segurança e proteção desses ativos. Até
mesmo pessoas sem má intenção podem constituir um perigo se não entenderem claramente
suas responsabilidades de segurança das informações.
4
TENDÊNCIAS DE SEGURANÇA
Recomendação
Restrinja o acesso por função e também por necessidade de saber. Limite o número de
pessoas que podem conceder autorizações a um conjunto relativamente pequeno de
membros confiáveis da equipe e controle as autorizações com sistema de tíquetes/acesso.
Revise e atualize regularmente uma lista de pessoal autorizado.
Os principais CSPs normalmente realizam verificações em segundo plano regulares de pré
e pós-contratação de seus funcionários.
39%
das organizações da saúde pesquisadas não usam
classificação de dados padronizada
Algumas organizações têm políticas para informações de identificação
pessoal (PII) mas não têm procedimentos ou terminologia padrão que protejam
adequadamente as informações do paciente, permitindo, ao mesmo tempo, que os
provedores possam fazer seu trabalho.
42% de todos os setores pesquisados no mundo não usam classificação de dados
padronizada, o que sugere que as organizações da saúde (em 39%) estão mais maduras
a esse respeito.
Classificação de dados, que envolve associar cada ativo de dados a um conjunto de atributos
padrão, pode ajudar uma organização identificar os ativos que requerem tratamento especial
para oferecer segurança e proteção de privacidade.
Recomendação
As organizações precisam garantir que os armazenamentos de dados que contêm dados
confidenciais, sejam classificados como ativos confidenciais que requerem um nível elevado
de segurança.
Os CSPs normalmente classificam os dados e outros ativos de acordo com políticas bem
definidas, que determinam um conjunto padrão de atributos de segurança e privacidade,
entre outros.
51%
das organizações da saúde pesquisadas realizam backups
de dados de todo o sistema que são testados regularmente
Além disso, aproximadamente 27% das organizações de saúde esperam que os indivíduos
sejam responsáveis por garantir o meio correto de eliminação de dados confidenciais.
49% de todos os setores pesquisados no mundo realizam backups de dados de todo
o sistema que são testados regularmente, o que sugere que organizações de saúde (51%)
estão mais maduras a esse respeito.
ABRIL DE 2015
Um plano de backup e recuperação de dados define a abordagem que uma organização
adota para fazer backup e recuperar dados em caso de necessidade.
Recomendação
As organizações devem ter um plano de backup e recuperação de dados que atribui
responsabilidades claras ao pessoal específico e define os objetivos para backup e recuperação.
Além disso, políticas fortes que regulam a eliminação adequada de registros eletrônicos e em
papel podem ajudar a impedir que dados confidenciais sejam divulgados sem autorização. Uma
política eficaz de eliminação de dados fornece orientações sobre como e onde eliminar dados
de modo seguro e protegido e oferece aos usuários as ferramentas necessárias para cumprir
a política.
Os CSPs geralmente mantêm uma estrutura de backup e recuperação de dados consistente
com as práticas do setor. Além disso, dados eletrônicos armazenados pelos CSPs estão
normalmente sujeitos a fortes políticas de eliminação de dados, que se originam de programas
de classificação de dados e requerem que a mídia descartada seja destruída ou transformada
conforme descrito pelo programa de recuperação e retenção de dados.
28%
das organizações de saúde pesquisadas não têm políticas
de gerenciamento de ativos e realizam descoberta de ativos
manualmente
34% de todos os setores pesquisados no mundo não têm políticas de
gerenciamento de ativos eficazes, o que sugere que as organizações da saúde (28%) estão mais
maduras a esse respeito.
Além disso, apenas 42% de organizações de saúde identificaram a si mesmas como maduras na
utilização das políticas de gerenciamento de ativos para proteger ativos como equipamentos,
produtos farmacêuticos e registros de paciente.
O gerenciamento de ativos torna possível manter o controle de informações importantes
sobre ativos de TI, incluindo propriedade, local, alterações e idade. Um abrangente programa
de gerenciamento de ativos é um pré-requisito importante para garantir que as instalações
e o equipamento permaneçam protegidos e operacionais.
Recomendação
Proprietários de ativos precisam classificar e proteger seus ativos e manter informações
atualizadas sobre gerenciamento de ativos, localização e segurança.
Os CSPs normalmente usam políticas formais de gerenciamento de ativos, que exigem que
todos os ativos sejam contabilizados e tenham proprietários de ativos designados. Um CSP
típico mantém um inventário dos principais ativos de hardware usados no ambiente de
infraestrutura de nuvem, e realiza auditorias regulares para verificar o inventário.
6
TENDÊNCIAS DE SEGURANÇA
31%
das organizações de saúde pesquisadas não têm planos
orçados de recuperação de desastres
Além disso, apenas 24% testam regularmente o site de recuperação de desastres, o que os
coloca em risco potencial de interrupções fora de hora.
35% de todos os setores pesquisados no mundo não têm planos orçados de recuperação de
desastres, o que sugere que as organizações de saúde (em 31%) estão mais maduras a esse
respeito.
Um plano de recuperação de desastres define a abordagem e as etapas que uma organização
adotará para retomar as operações em condições adversas, como desastres naturais, ataques
ou agitação.
Recomendação
Um plano de recuperação de desastres deve ser criado atribuindo claras responsabilidades
ao pessoal específico; define os objetivos da recuperação; delineia os padrões para notificação,
encaminhamento e desaceleração, além de oferecer treinamento a todas as partes interessadas.
Os CSPs geralmente mantêm estruturas de recuperação de desastres que sejam consistentes
com práticas dos setores.
23%
das organizações de saúde pesquisadas não podem impedir
que uma queda de energia afete sua organização
Sistemas redundantes asseguram a continuidade das operações caso ocorra uma ruptura.
26% de todos os setores pesquisados no mundo não podem impedir que uma queda de
energia afete sua organização, o que sugere que as organizações de saúde (23%) estão
mais maduras a esse respeito
Sem redundância, um data center pode se tornar um único ponto de falha que ameaça as
operações de rotina de uma organização.
Recomendação
Sistemas de energia devem usar um equipamento de fonte de alimentação ininterrupta (UPS)
e geradores de backup e todos os principais componentes elétricos devem ser constantemente
monitorados. Sistemas de alimentação incluem componentes elétricos críticos, incluindo
comutadores de transferência, comutadores de distribuição e módulos de gerenciamento de
energia.
Os CSPs normalmente têm instalações de centro de operações dedicadas, que monitoram
sistemas de suporte importantes, como energia.
ABRIL DE 2017