Durante a Pandemia, o segmento de Saúde ganhou um protagonismo nunca vivenciado antes. Infelizmente, esse holofote veio de uma forma não desejada, por conta de um vírus altamente contagioso e letal, que se transformou em uma imensa crise sanitária mundial. Do ponto de vista tecnológico, essa evidência acabou exigindo a aceleração do processo de transformação digital que já estava em curso, mas ainda há passos lentos em alguns setores, principalmente em médios grupos de saúde e unidades públicas.
Só para se ter uma ideia, o líder de TI de um hospital público do Nordeste me confidenciou que durante o ano passado conseguiu colocar em prática projetos de tecnologia que estavam engavetados há anos. Acredito que esse exemplo não seja só da região Nordeste e nem do setor público. Ao mesmo tempo, a quantidade de novos negócios que surgiram no setor, as chamadas health techs, foi relevante no ano passado e deve manter o ritmo esse ano.
Tudo isso para dizer que o setor de saúde não é mais o mesmo, mas principalmente o nível da TI e, consequentemente, da Segurança da Informação, também não serão iguais. Sendo assim, já que estamos diante de uma crise inevitável, é preciso lançar mão desse aprendizado para elevar e aprimorar a maturidade dos processos e das tecnologias utilizadas. Nesse aspecto, toda o ecossistema de saúde poderá se beneficiar. Justamente por se tratar de uma cadeia gigantesca e diversificada, ela é extremamente complexa e muito interdependente, o que torna as questões digitais e, mais ainda, as de segurança, desafiadoras.
Riscos de parceiros. E agora?
Me arrisco a dizer que o ecossistema de saúde é um dos maiores, mais diversificados e complexos se comparado aos de outros setores da economia. Com a Pandemia passamos até a entender melhor essa intrincada cadeia, ao acompanhar o noticiário e o vai e vem das vacinas e dos insumos. Percebemos a interdependência na produção e distribuição dos medicamentos, na prescrição de remédios, no atendimento ao paciente presencialmente ou por telemedicina, no exame laboratorial, no envio de receitas digitais, enfim, em tantas etapas e elementos interligados.
Em todos esses antigos e novos processos a tecnologia está presente e, com ela, riscos e vulnerabilidades. E quanto mais terceiros envolvidos no processo, maiores são as brechas. Como o objeto a ser resguardado é de extrema valia, estamos falando de vidas humanas, o cuidado precisa ser redobrado. Dessa forma, o setor de saúde também passou a ser um alvo do cibercrime e as vulnerabilidades se elevaram a enésima potência. Gerenciar com mais eficiência os riscos de terceiros passou a ser disciplina obrigatória dos gestores de segurança da área de saúde.
Um estudo global da KPMG feito em novembro do ano passado com 1.100 executivos de grandes empresas de diversos segmentos, Third Party Risk Management Outlook 2020, apontou que 77% dos executivos ouvidos admitiram que um programa de gerenciamento de riscos de terceiros é uma prioridade estratégica, já que acreditam que a reputação corporativa está diretamente ligada à performance dos parceiros. Entretanto, apenas 25% dos pesquisados afirmaram que suas empresas estão utilizando alguma tecnologia para melhorar a automação do fluxo de trabalho ou monitor terceiros na organização.
Desafios, sim, mas quais os maiores?
Os grandes desafios da cadeia de saúde não são apenas complexidade e diversidade, mas também a sua extensão. Fernando Galdino, Head de Cyber Security e Governança de TI da Eurofarma, em recente painel na TVD sobre Gestão de Risco no Setor de Saúde, pontuou que esse ecossistema precisa realmente evoluir e amadurecer e que a cadeia é muito longa. Ela começa na China e na Índia, de onde partem os insumos, passa pela Europa, até chegar ao Brasil. Ao aportar no País, entram em cena diversos atores, o dado transita em vários pontos e é difícil saber o quão é confiável cada um desses elementos.
Outro aspecto importante é o fenômeno das startups de saúde. Elas não são um fato novo, mas cresceram com a Pandemia e chegam no segmento com um apetite voraz de inovação, muitas vezes com pouca maturidade em proteção. Realmente, o tema das healthtechs é tão relevante que se tornou um capítulo à parte para a Autoridade Nacional de Proteção de Dados, que irá tratar do tema da proteção e privacidade de dados desse perfil de empresas de forma diferenciada.
Mesmo em um cenário em que o grupo de saúde consiga estabelecer contratos mais rígidos com terceiros, eles são muitos, estão espalhados pelo País e pelo mundo, submetidos à nossa legislação e também às leis de seus países, com análises de risco, camadas de segurança, due diligence. Como convergir tudo isso, questionou Carlos Campagnoli, Data Protection Manager da Sanofi, durante o painel de debates. Na oportunidade, Campagnoli destacou o quanto é desafiador para os gestores conseguir unificar a gestão, ter uma visão consolidada e ainda garantir um monitoramento adequado.
Automação, colaboração e interdependência: palavras-chave
Um dos caminhos apontados pelos gestores é exigir que o setor eleve o nível de maturidade, cobrando mais e mais requisitos de proteção. Se todos não renunciarem a isso, a cadeia será beneficiada. Em linguagem popular significa “subir a barra” ou, tecnicamente, “aumentar o score”. Fazer avaliações de terceiros já é uma antiga prática do mercado, mas balizar os parceiros sob o ponto de vista de cyber security foi relegado a segundo plano nos últimos anos, na opinião de Rafael Sampaio, Country Manager da Etek Novared, participante do debate. Para ele, criar um score de segurança, definir onde está a barra e classificar o nível da empresa, requer esforço, que tanto poder ser feito manualmente quanto por meio de tecnologias.
Esse trabalho de avaliação não é simples e exige métricas próprias ou o uso de soluções de Security Ratings, mas de qualquer forma depende muito da colaboração e interação com os terceiros, corrobora José Costa, Regional Director, Latam & Iberia Security Scorecard. Para o executivo, as cadeias estão cada vez mais globais e se torna muito mais difícil usar uma linguagem técnica que seja de fácil entendimento, utilizando uma tecnologia universal. Qualquer fornecedor da cadeia é importante, mesmo que ele seja pequeno. Se um elo se rompe, pode ter um impacto muito grande. Enfim, qualquer fornecedor pode ser crítico dentro de uma cadeia.
A palavra colaboração, quando se trata de terceiros, desponta cada vez mais como uma expressão forte. O grande desafio das empresas centenárias do setor de saúde, que sempre cuidaram das pessoas, é ouvir agora alguém dizer que elas não sabem cuidar da sua própria privacidade e explicar que tratar de vidas reais é diferente de preservar a privacidade digital. O digital nem sempre é visível. A colocação, perfeita, foi feita por Sílvio Hayashi, CISO do Grupo Fleury, durante o debate. Para o gestor do Fleury, interdependência é muito importante e esse princípio ainda não está enraizado.
Onboarding de terceiros, um capítulo à parte
Importante dedicar um parágrafo especial ao processo de contratação dos parceiros. Talvez nesse ponto se concentre o princípio de tudo. É preciso ter a tão aclamada visão única da gestão de risco e ela pode ser aplicada desde o início, na porta de entrada. Manter uma disciplina rígida no processo de contratação e no framework de avaliação de risco que permeie todas as áreas, trabalhar forte na colaboração e puxar a régua sempre para cima são medidas recomendadas. E estar sempre alerta. Muitas vezes o parceiro já está dentro da empresa e, a partir daí, ele vai avançando na oferta de serviços, os processos de avaliação vão sendo mais relaxados e o fator de risco aumentando.
Esses e outros pontos foram destacados por Kleber Braga, Gerente de Privacidade e Segurança da Informação da Raia Drogasil. Segundo ele, é necessário manter esse sistema de avaliação em constante evolução. O estreitamento da interação das áreas de compras com os demais setores, que demandam as RFPs, são requisitos a serem abordados desde o início. Mas a área de Segurança da Informação tem um papel fundamental. Por isso, fazer esse alinhamento entre SI e os demais segmentos é tão fundamental. Existe, inclusive, uma questão polêmica, se a área de Security deveria aplicar o processo de onboarding.
Na verdade, o modelo depende bastante de cada organização. No setor público, por exemplo, em que a área de TI costuma ser mandatória, a palavra final é dada por ela, mas passa pelo crivo e pela recomendação da SI, diz Abílio Correia, Gerente de TI do Hospital de Câncer de Pernambuco. De qualquer forma, ele reforça que vale muito nesses casos o networking de cada profissional, o que ajuda na troca de conhecimento e informações que muitas vezes norteiam as parcerias. Entre os CISOs, a maioria acredita que as áreas de segurança não deveriam assumir o processo de onboarding, mas com certeza possuem um papel fundamental na criação dos processos e na seleção de ferramentas que devem ser aplicadas pelas áreas contratantes.