No último dia 02/09 terminamos nosso final de semana com uma triste notícia, o incêndio do Museu Nacional no Rio de Janeiro. Anos de História do Brasil perdida em horas e um incidente que poderia ter sido evitado. Sem dúvidas uma tragédia que nos deixa uma mensagem e nos induz a um momento de reflexão sobre como estamos cuidando dos nossos dados e ambiente tecnológico como um todo.
Contextualizando o incidente, via de regra temos um cenário de tragédia anunciada. Desde de 2015, o museu nacional já havia suspendido parte das operações por não ter recursos financeiros para manter uma operação segura. Em 2017, novamente se manifestou alegando ter recursos somente para medidas paliativas. Em 2018, finalmente o momento do Disaster, infelizmente sem possibilidade de Recovery.
Como tudo na vida deve servir para aprendermos algo, é inevitável traçarmos um paralelo com o cenário de T.I, aqui especificamente no ambiente de saúde e o que estamos pensando e fazendo em termos de investimento e ações preventivas, vislumbrando um plano de proteção de dados e de continuidade de negócio em um ambiente crítico e sensível como o de saúde.
Atualmente, é notável uma grande preocupação por parte dos CIO’s em estruturar seu ambiente com ferramentas e políticas de segurança, considerando os recentes casos de ataques a instituições de saúde (http://flip.it/5-sDCJ ), que tiram o sono dos gestores de T.I.
Vejamos estes dados: De acordo com o Gartner, até 2020, 60% das empresas digitais sofrerão grandes falhas de serviço, devido à incapacidade das equipes de segurança de TI de gerenciar o risco digital. Até 2020, 60% dos orçamentos de segurança da informação da empresa serão alocados para abordagens de detecção e respostas rápidas, o que representa um aumento de menos de 30% desde 2016.
Estes dados são interessantes, pois a tendência é que até 2020 ainda teremos muitas dificuldades com estes ataques e, talvez em função disso, a tendência é que estejamos mais precavidos, o que não significa que estaremos seguros. O fato é que a questão da segurança irá nos tirar o sono continuamente e os investimentos deverão ser pensados seguindo a evolução das soluções de segurança.
Os negócios desenvolvidos no mundo digital já se movimentam em ritmo mais acelerado do que os modelos de negócios tradicionais. As abordagens tradicionais de segurança deverão ser projetadas para o máximo controle, pois não funcionarão mais na nova era da inovação digital. As oportunidades de negócios, juntamente com o desenvolvimento de novas soluções, a tomada de decisões baseadas em um oceano de dados, deverão ser abordadas de maneira mais eficiente no que se refere a investimento de segurança da informação.
O crescimento na criação de novas tecnologias, o aumento no uso dos IoT’s, o crescimento do uso de soluções em Cloud Computing, são de grande importância para a melhoria nos tratamentos e consequentemente na humanização do atendimento aos pacientes, porém os projetos de segurança da informação devem seguir na mesma proporção e não podem ser negligenciados, sob pena de sofrermos o Disaster sem a possibilidade de Recovery, exatamente como vimos no incêndio do Museu Nacional.
Mas voltando aos fatos, os incêndios que vem acontecendo quase que anualmente, e não somente nos museus, mostra que não podemos negligenciar nenhum tipo de risco, principalmente quando é notoriamente iminente. O descaso do governo, juntamente com o baixíssimo investimento em manutenção e adequações de segurança, vem resultando em incidentes com danos quase irrecuperáveis.
A principal semelhança, é que no cenário de T.I, principalmente no ambiente de saúde, não podemos negligenciar riscos iminentes, pois a sensibilidade dos dados, a criticidade do ambiente e a complexidade dos possíveis danos, faz com que os investimentos em segurança devam crescer na mesma proporção em que adotamos novas tecnologias e modelos de negócio.
O trabalho precisa ser proativo. Precisamos deixar de fazer economias pouco inteligentes e não ficar esperando o dano acontecer para que comecemos a pensar em o que fazer. Investir em segurança e gerenciamento de risco dever fazer parte do planejamento estratégico, pensando sempre em como evitar sinistros com dados e principalmente no que fazer caso não seja possível evitá-los.
Em linhas gerais, a lição aprendida é que a somatória de se negligenciar riscos, somado a falta de planejamento e do não investimento em segurança, sempre resultará em danos, no nosso caso, especificamente de saúde, danos irreparáveis à vida dos pacientes.
E você, está gerindo riscos e pensando em segurança?
Felipe Colucci
Especialista em E-Health e Diretor na ABCIS