A crescente dependência dos sistemas de TI na área da Saúde deu origem a desafios únicos de cibersegurança. Armindo Dias e David Grave falam dos principais riscos que as organizações de Healthcare enfrentam e exploram as formas de os mitigar.
As organizações ligadas ao setor da Saúde devem reforçar cada vez mais os seus investimentos em ferramentas de monitorização contínua dos seus sistemas de TI e de deteção avançada de ameaças, como forma de proteger a informação e os pacientes dos riscos crescentes de cibersegurança.
Num artigo de opinião publicado na revista da Associação Portuguesa de Administradores Hospitalares (APAH), os especialistas da Claranet Armindo Dias, Public Sector Director, e David Grave, Security Director, defenderam esses investimentos num contexto dominado por ambientes hospitalares cada vez mais complexos, com inúmeros dispositivos médicos ligados a sistemas de informação e necessidade de ter acesso rápido e permanente a informações clínicas, muitas vezes sensíveis.
Tudo isto, nas palavras destes especialistas, tornou a disponibilidade dos sistemas de TI “num fator crítico e a gestão de riscos ainda mais desafiadora, dando origem a vários tipos de incidentes alarmantes”, ocorridos nos últimos anos com organizações associadas ao setor da Saúde, em Portugal e no mundo:
- Ataques de Ransomware em Hospitais que interromperam o atendimento aos pacientes, afetando diretamente a vida das pessoas;
- Fuga de Dados de Pacientes, que afetaram registos médicos sensíveis e informações pessoais de pacientes;
- Ataques a Dispositivos Médicos, que se tornaram em alvos de ciberataques e numa ameaça direta à saúde dos pacientes.
Além da tecnologia, Armindo Dias e David Grave consideram que “também a formação e consciencialização dos colaboradores [de todas as organizações que atuam no setor da Saúde] têm um papel importante na proteção dos sistemas”.
O primeiro passo, defendem, deverá tornar claras as implicações que a falta de cibersegurança pode ter para os pacientes e para as instituições de saúde - interrupções operacionais, comprometimento de dados, danos reputacionais e custos financeiros elevados associados à recuperação de um incidente de cibersegurança.
Ao investirem em sistemas de monitorização contínua e deteção de ameaças, as organizações ligadas ao setor da Saúde poderão ter uma postura proativa em relação à cibersegurança e assegurar a integridade dos sistemas de TI usados na monitorização e no tratamento dos pacientes.
Esta postura, preventiva e proativa, traduz-se numa redução de custos para as instituições, face a um cenário de recuperação de dados perdidos e/ou reparação de sistemas comprometidos.
Para isso, é importante encarar esse investimento como uma oportunidade para melhorar a qualidade dos cuidados de saúde e proteger os interesses dos pacientes e das instituições.
“Mais do que uma responsabilidade, é tempo de encarar esse investimento como uma prioridade essencial” – concluem os dois especialistas.
in Revista da Associação Portuguesa de Administradores Hospitalares
Written by Armindo Dias - Public Sector Sales Director
Armindo Dias está, desde 1990, ligado às Tecnologias de Informação a nível profissional, com passagem por várias organizações nacionais e multinacionais, ligadas à automação comercial e à banca. Nas últimas duas décadas, dedicou a sua atividade exclusivamente à área comercial das TI associadas ao mercado do Setor Público.
Written by David Grave - Security Director
Com mais de 15 anos de experiência nas áreas de engenharia de TI, segurança e compliance, David Grave tem pautado o seu trabalho pela participação em projetos na área da Cibersegurança, que ajudam a gerir, reduzir e mitigar os riscos nas organizações.
O seu percurso profissional inclui trabalhos em Testes de Penetração, coordenação de equipas de Crise, Critical Security Controls, Auditoria e Implementação de Roadmaps, Digital Forensics and Incident Response (DFIR), bem como Simulação de ataques de Phishing e de Engenharia Social.
Além de um Certificado em Data Protection Officer (DPO), David apresenta certificações e qualificações profissionais em Hacking de Infraestruturas, Web Hacking e Análise Forense.