Este documento serve apenas para fins informativos. A MICROSOFT NÃO CONCEDE GARANTIAS EXPRESSAS, IMPLÍCITAS OU LEGAIS NO QUE DIZ RESPEITO ÀS INFORMAÇÕES NESTE DOCUMENTO. Este documento é fornecido no estado em que se encontra. As informações e as opiniões expressadas neste documento, incluindo URLs e outras referências a sites da Internet, podem ser modificadas sem aviso. Você assume o risco de usá-lo. Microsoft é uma marca registrada ou comercial da Microsoft Corporation nos Estados Unidos e/ou em outros países. Copyright © 2014 Microsoft Corporation. Todos os direitos reservados. 2 TENDÊNCIAS DE SEGURANÇA Tendência de segurança no setor de saúde A necessidade mundial de acesso rápido a informações médicas significativas é um desafio cada vez maior para as organizações de saúde. Cerca de 50% dos hospitais e 40% das práticas ambulatoriais estão implementando portais de autoatendimento, 1 e um aumento de 75% em crimes cibernéticos ao longo de dois anos2 agravou as preocupações quanto à segurança, porque mais recursos de autoatendimento podem aumentar as oportunidades de os criminosos encontrarem novas maneiras de roubar informações clínicas confidenciais por meio de download e ataques de phishing. A computação em nuvem pode ajudar a melhorar os perfis de segurança das organizações de saúde, atribuindo aos provedores de serviço em nuvem (CSPs) as dificuldades de garantir a segurança e a proteção das práticas de computação. Os CSPs esforçam-se para manter as operações protegidas e trabalharão com os prestadores de serviços de saúde para ajudar a minimizar as ameaças à segurança. Além disso, CSPs que trabalham com registros de saúde eletrônicos (EHRs) devem respeitar legislações mais rigorosas, como as da HIPAA (Health Insurance Portability Accountability Act) nos EUA, para garantir que o sistema seja mantido com segurança. Em resumo, soluções baseadas em nuvem poderiam atender às necessidades de médicos e, ao mesmo tempo, reduzir ou atenuar o risco. Embora a nuvem ofereça benefícios consideráveis, as organizações que adotam soluções baseadas em nuvem também podem se beneficiar de uma compreensão de relativa maturidade de suas próprias práticas de segurança. As tendências de segurança identificadas neste relatório são resultados de dados anônimos coletados de 12.000 participantes de uma pesquisa realizada durante o período de novembro de 2012 a fevereiro de 2014. As tendências são representativas de uma amostra mundial. Para obter mais informações, incluindo resultados mundiais e as tabelas das quais os resultados foram criados, consulte www.microsoft.com/trustedcloud. Terry, K. (2013, 12 23). 5 Trends For Health CIOs In 2014 - (Cinco tendências para CIOs da saúde em 2014) www.informationweek.com/healthcare/mobile-and-wireless/5-trends-for-health-cios-in-2014/d/d-id/1113133 2 D., Gary R. Gordon Ed (2013, 07). The Growing Threat of Medical Identity Fraud: A Call to Action (A crescente ameaça de fraude de identidade médica: uma chamada para ação) (PDF) - http://medidfraud.org/wpcontent/uploads/2013/07/MIFA-Growing-Threat-07232013.pdf 1 ABRIL DE 2013 Principais conclusões 23% das organizações de saúde pesquisadas têm políticas de segurança imaturas Essa condição pode resultar em violações graves dos requisitos regulamentares e dificultar a capacidade de uma organização em reforçar procedimentos. 34% de todos os setores pesquisados no mundo não têm políticas de segurança eficazes, o que sugere que as organizações da saúde (23%) estão mais maduras a esse respeito. Recomendação Organizações da saúde devem ter políticas de segurança das informações gerenciadas centralmente, e que estejam em conformidade com as melhores práticas do setor em relação à segurança, privacidade e gerenciamento de riscos. Os CSPs geralmente implementarão essas políticas e ajudarão a garantir que elas sejam integradas às políticas de gerenciamento de ativos, segurança física e controle de acesso. As auditorias regulares ajudam assegurar a eficácia e a conformidade. 26% das organizações de saúde pesquisadastêm controles ineficazes para remover ou alterar o acesso quando os funcionários são desligados ou realocados Sem responsabilidades de gerenciamento, funcionários desligados ou realocados podem manter acesso não autorizado. 31% de todos os setores pesquisados no mundo têm controles ineficazes para alteração de acesso quando os funcionários são desligados ou realocados, o que sugere que as organizações de saúde (em 26%) estão mais maduras a esse respeito. Além disso, 26% de organizações de saúde não gerenciam centralmente, registram em log nem fazem auditoria de acesso físico às instalações. Mesmo com cartões-chave com base em funções, sem acesso a registros e auditoria, as organizações de saúde podem correr o risco de entrada não autorizada em áreas confidenciais. O fator humano constitui uma das mais importantes contribuições para o sucesso de um plano de segurança das informações, mas também apresenta um dos maiores riscos. Funcionários mal-intencionados ou descontentes com acesso a ativos de informações importantes podem ser uma ameaça significativa à segurança e proteção desses ativos. Até mesmo pessoas sem má intenção podem constituir um perigo se não entenderem claramente suas responsabilidades de segurança das informações. 4 TENDÊNCIAS DE SEGURANÇA Recomendação Restrinja o acesso por função e também por necessidade de saber. Limite o número de pessoas que podem conceder autorizações a um conjunto relativamente pequeno de membros confiáveis da equipe e controle as autorizações com sistema de tíquetes/acesso. Revise e atualize regularmente uma lista de pessoal autorizado. Os principais CSPs normalmente realizam verificações em segundo plano regulares de pré e pós-contratação de seus funcionários. 39% das organizações da saúde pesquisadas não usam classificação de dados padronizada Algumas organizações têm políticas para informações de identificação pessoal (PII) mas não têm procedimentos ou terminologia padrão que protejam adequadamente as informações do paciente, permitindo, ao mesmo tempo, que os provedores possam fazer seu trabalho. 42% de todos os setores pesquisados no mundo não usam classificação de dados padronizada, o que sugere que as organizações da saúde (em 39%) estão mais maduras a esse respeito. Classificação de dados, que envolve associar cada ativo de dados a um conjunto de atributos padrão, pode ajudar uma organização identificar os ativos que requerem tratamento especial para oferecer segurança e proteção de privacidade. Recomendação As organizações precisam garantir que os armazenamentos de dados que contêm dados confidenciais, sejam classificados como ativos confidenciais que requerem um nível elevado de segurança. Os CSPs normalmente classificam os dados e outros ativos de acordo com políticas bem definidas, que determinam um conjunto padrão de atributos de segurança e privacidade, entre outros. 51% das organizações da saúde pesquisadas realizam backups de dados de todo o sistema que são testados regularmente Além disso, aproximadamente 27% das organizações de saúde esperam que os indivíduos sejam responsáveis por garantir o meio correto de eliminação de dados confidenciais. 49% de todos os setores pesquisados no mundo realizam backups de dados de todo o sistema que são testados regularmente, o que sugere que organizações de saúde (51%) estão mais maduras a esse respeito. ABRIL DE 2015 Um plano de backup e recuperação de dados define a abordagem que uma organização adota para fazer backup e recuperar dados em caso de necessidade. Recomendação As organizações devem ter um plano de backup e recuperação de dados que atribui responsabilidades claras ao pessoal específico e define os objetivos para backup e recuperação. Além disso, políticas fortes que regulam a eliminação adequada de registros eletrônicos e em papel podem ajudar a impedir que dados confidenciais sejam divulgados sem autorização. Uma política eficaz de eliminação de dados fornece orientações sobre como e onde eliminar dados de modo seguro e protegido e oferece aos usuários as ferramentas necessárias para cumprir a política. Os CSPs geralmente mantêm uma estrutura de backup e recuperação de dados consistente com as práticas do setor. Além disso, dados eletrônicos armazenados pelos CSPs estão normalmente sujeitos a fortes políticas de eliminação de dados, que se originam de programas de classificação de dados e requerem que a mídia descartada seja destruída ou transformada conforme descrito pelo programa de recuperação e retenção de dados. 28% das organizações de saúde pesquisadas não têm políticas de gerenciamento de ativos e realizam descoberta de ativos manualmente 34% de todos os setores pesquisados no mundo não têm políticas de gerenciamento de ativos eficazes, o que sugere que as organizações da saúde (28%) estão mais maduras a esse respeito. Além disso, apenas 42% de organizações de saúde identificaram a si mesmas como maduras na utilização das políticas de gerenciamento de ativos para proteger ativos como equipamentos, produtos farmacêuticos e registros de paciente. O gerenciamento de ativos torna possível manter o controle de informações importantes sobre ativos de TI, incluindo propriedade, local, alterações e idade. Um abrangente programa de gerenciamento de ativos é um pré-requisito importante para garantir que as instalações e o equipamento permaneçam protegidos e operacionais. Recomendação Proprietários de ativos precisam classificar e proteger seus ativos e manter informações atualizadas sobre gerenciamento de ativos, localização e segurança. Os CSPs normalmente usam políticas formais de gerenciamento de ativos, que exigem que todos os ativos sejam contabilizados e tenham proprietários de ativos designados. Um CSP típico mantém um inventário dos principais ativos de hardware usados no ambiente de infraestrutura de nuvem, e realiza auditorias regulares para verificar o inventário. 6 TENDÊNCIAS DE SEGURANÇA 31% das organizações de saúde pesquisadas não têm planos orçados de recuperação de desastres Além disso, apenas 24% testam regularmente o site de recuperação de desastres, o que os coloca em risco potencial de interrupções fora de hora. 35% de todos os setores pesquisados no mundo não têm planos orçados de recuperação de desastres, o que sugere que as organizações de saúde (em 31%) estão mais maduras a esse respeito. Um plano de recuperação de desastres define a abordagem e as etapas que uma organização adotará para retomar as operações em condições adversas, como desastres naturais, ataques ou agitação. Recomendação Um plano de recuperação de desastres deve ser criado atribuindo claras responsabilidades ao pessoal específico; define os objetivos da recuperação; delineia os padrões para notificação, encaminhamento e desaceleração, além de oferecer treinamento a todas as partes interessadas. Os CSPs geralmente mantêm estruturas de recuperação de desastres que sejam consistentes com práticas dos setores. 23% das organizações de saúde pesquisadas não podem impedir que uma queda de energia afete sua organização Sistemas redundantes asseguram a continuidade das operações caso ocorra uma ruptura. 26% de todos os setores pesquisados no mundo não podem impedir que uma queda de energia afete sua organização, o que sugere que as organizações de saúde (23%) estão mais maduras a esse respeito Sem redundância, um data center pode se tornar um único ponto de falha que ameaça as operações de rotina de uma organização. Recomendação Sistemas de energia devem usar um equipamento de fonte de alimentação ininterrupta (UPS) e geradores de backup e todos os principais componentes elétricos devem ser constantemente monitorados. Sistemas de alimentação incluem componentes elétricos críticos, incluindo comutadores de transferência, comutadores de distribuição e módulos de gerenciamento de energia. Os CSPs normalmente têm instalações de centro de operações dedicadas, que monitoram sistemas de suporte importantes, como energia. ABRIL DE 2017