Em 2017, uma enorme quantidade de dados da área da saúde será transferida para as nuvens Amazon Web Services (AWS) e Microsoft Azure para uso público ou privado. Faz sentido, já que a liderança hospitalar prefere focar no tratamento dos pacientes ao invés de gerenciar data centers. O baixo custo da computação na nuvem também conta e conforme essa tendência vem ganhando força nesta vertical, é necessário buscar uma estratégia que garanta que seus dados e informações protegidas de saúde (PHI) permaneçam seguros.
Para os profissionais da TI da área da saúde, separei abaixo os quatro principais motivos para você priorizar a segurança na nuvem neste ano:
Os cibercriminosos estão atrás dos dados relacionados à saúde
Apesar da queda registrada no número de violações nessa indústria nos EUA de 113 milhões em 2015 para 16 milhões em 2016, os cibercriminosos ainda estão mirando o setor. Eles sabem que os profissionais estão movendo seus dados para a nuvem e os três cenários citados abaixo continuarão merecendo atenção neste ano:
- Uso do malware para roubar dados e depois vendê-los para alguém que os utilize para roubo de identidade e fraude de seguros;
- Uso do ransomware para criptografar os dados e desbloqueá-los somente após o pagamento de um resgate (geralmente os dados nunca saem do data center);
Cibercriminosos patrocinados pelo Estado roubam dados do setor da saúde para monitorar cidadãos estrangeiros.
A segurança é melhor na nuvem – se você reservar tempo para planejar
Na pressa de migrar os dados para a nuvem, muitas empresas supõem que a segurança virá automaticamente no processo, quando, na verdade, apesar de ser mais simples de implementar na nuvem, a infraestrutura de segurança depende de você.
As nuvens AWS e Azure facilitam o gerenciamento de servidores virtuais e infraestrutura de rede virtual da plataforma, mas cuidado com a falsa sensação de segurança na nuvem – nenhum provedor de nuvem detectará infecções de malware no endpoint. É necessário implantar e gerenciar um antimalware avançado para seus endpoints por conta própria. Na camada de rede a segurança também é configurável e os dois provedores de nuvem citados acima oferecem opções para selecionar e implantar firewalls virtuais de próxima geração para proteção de ameaças em nível de rede nas suas aplicações.
Oportunidade única para solucionar problemas persistentes de segurança
Os cibercriminosos já sabem que a maioria das organizações da saúde utiliza aplicações tradicionais. Algumas até desenvolvidas por fornecedores que nem estão mais no mercado, o que significa a existência de pontos mais vulneráveis de ataque.
De uns tempos para cá, muitas organizações estão abraçando os recursos de rede definida por software em AWS e Azure, já que fornecem também recursos para facilitar a gestão da segurança dos dados em aplicações de alto risco. À medida que migram suas aplicações para a nuvem, eles podem, a qualquer momento, girar os servidores virtuais necessários para se proteger com um novo firewall de próxima geração.
A migração para a nuvem pode ser também uma oportunidade para avaliar e melhorar a segurança geral das aplicações. É possível aproveitar a oportunidade para atualizar a aplicação para uma versão mais recente, implantar a aplicação em um segmento de rede virtual com controle rígido, introduzir prevenção de ameaças na rede, reforçar o controle em bancos de dados e eliminar todas as vulnerabilidades existentes no servidor antes do corte.
Aproveite os recursos melhorados da HIPAA para compliance
A Amazon e a Microsoft, ambas entidades que atendem os padrões da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), oferecem a opção de assinatura de Acordos de Associação de Negócios (BAAs), permitindo o armazenamento de informações protegidas e arquitetura de aplicações em conformidade com a HIPAA. Alguns dos recursos de segurança que atendem às normas da HIPAA incluem:
- Instâncias dedicadas para garantir que o hardware não seja compartilhado entre os clientes;
- Ferramentas que facilitam a aplicação de requisitos rigorosos de criptografia de dados de saúde protegidos – em repouso e em trânsito;
- Controles de acesso aprimorados quando implantados por trás de um firewall virtual de próxima geração, com recursos de identificação de usuário habilitados;
- Melhoria na retenção de log, auditoria, procedimentos de backup de dados e mecanismos de recuperação de desastres.
Uma das características mais poderosas da nuvem é que ela disponibiliza infraestrutura de segurança na borda para organizações de saúde de todos os portes. Mesmo redes de clínicas menores podem implementar ambientes de aplicações corporativas, compatíveis com HIPAA, com uma equipe de TI reduzida. No entanto, não caia na armadilha de pensar que tudo que você precisa fazer é mover uma aplicação para a nuvem que a segurança virá automaticamente. Com um planejamento cauteloso, você pode aproveitar as reduções de custos e a extensibilidade oferecidas pela nuvem, mas também precisa garantir a arquitetura de segurança correta para manter seus dados seguros.
Tenha isso em mente, desafie seus fornecedores e questione os líderes de TI sobre seus planos para manter a segurança na linha de frente da sua estratégia de cloud.
* Arthur Capella é gerente geral da Palo Alto Networks no Brasil
