Garantir investimentos adequados para Segurança Cibernética é um dos principais desafios do setor de Saúde no Brasil. Segundo líderes da Comunidade Security Leaders, a falta de padronização em hospitais e clínicas, por exemplo, aliada à baixa autonomia das equipes de SI, compromete a maturidade cibernética das organizações. No entanto, o cenário de transformação digital e os riscos crescentes podem abrir espaço para mudanças estratégicas.
O CISO do Hospital Sírio Libanês, Leandro Ribeiro, reforçou o atual contexto: a quase totalidade dos times de SI na Saúde ainda reportam diretamente ao departamento de Tecnologia, o que, na visão dele, tende a comprometer a liberdade de atuação necessária para proteger os ambientes. “Esse cenário faz aumentar a disputa da Segurança por recursos, não apenas com o negócio, mas também com outras áreas da TI”, acrescenta Ribeiro, em entrevista à Security Report.
Fernando Amorim, Gerente de Infraestrutura de TI e Serviços do Instituto do Câncer do Estado de São Paulo (ICESP), aponta que o setor de Saúde ainda carece de padrões e normas de Cibersegurança estabelecidos pelos órgãos reguladores nacionais. Segundo ele, essas ferramentas seriam essenciais para consolidar a Segurança da Informação como uma demanda estratégica, evidenciando a necessidade de maiores investimentos em recursos e tecnologias no setor.
“Recentemente, tivemos algumas mudanças importantes, mas pontuais. No entanto, até que uma regulação concreta aconteça, muitas organizações de Saúde ainda não percebem completamente os riscos associados à Segurança da Informação. Portanto, o que tem gerado poder de convencimento para o setor são as ocorrências factuais do dia a dia”, comenta Amorim.
Nesse aspecto, ambos os profissionais concordam que, apesar desses obstáculos, incidentes cibernéticos que chegaram aos olhos do público transformaram a relação da Segurança com o board, que passou a ver importância no tema. Segundo eles, ocorrências como no INCA e em diversas cooperativas da Unimed evidenciou os riscos operacionais e reputacionais expostos por uma SI cujo budget é insuficiente.
Alinhando Cibersegurança e cuidado com pacientes
Apesar desse novo ponto de vista, os Líderes apontam que a Segurança deve aproveitar essa nova tendência nos hospitais para direcionar mudanças que impactem diretamente na formação de orçamentos melhores para o departamento. Isso envolve alinhar o discurso da Cyber com uma linguagem compreensível à alta gestão.
“Não se trata de apresentar uma ‘lógica de terror’, mas alinhar um storytelling adequado à realidade do ciberespaço. É necessário mostrar ao board qual o papel da Cyber nas operações do hospital, utilizando linguagem de risco operacional e soft skills de comunicação para permiti-los ver, na prática, o real papel da Cyber”, comenta o CISO do Sírio Libanês.
Fernando Amorim acrescenta ainda que é necessário buscar sempre essa aproximação com o negócio a inclusão da Segurança Digital mantendo o equilíbrio onde não torne a rotina de trabalho dos colaboradores da assistência complexo, tema deve ser sempre discutido no planejamento estratégico da Instituição. “É nessa fase que será possível estabelecer não apenas melhores recursos, mas também capacidade de os aplicar estratégias com mais autonomia e eficiência para as organizações”, disse ele.
Os dois profissionais concluem reforçando que a Cibersegurança, como garantidora da continuidade da missão crítica da saúde, deve assumir sua parte no cuidado dos pacientes “No fim, a Segurança cumpre o papel de garantir que os sistemas hospitalares estejam disponíveis para os cuidados médicos. Isso demanda que o setor seja uma das prioridades do risco corporativo e, portanto, possa contar com mais espaço de orçamento e autonomia”, arremata Ribeiro.
