Todo profissional da área da saúde sabe da importância de proteger as informações dos pacientes, não é mesmo? Infelizmente, esta não é uma tarefa trivial e cria uma questão ainda mais complexa: como demonstrar aos pacientes e aos demais stakeholders que efetivamente uma empresa possui mecanismos funcionais de proteção?
Uma das respostas mais assertivas são as certificações em normas técnicas, como as normas ISO 27001 e ISO 27799. Se uma empresa, por exemplo um hospital, possui certificação nessas duas normas, isso dá à própria organização e ao mercado a certeza de estar seguindo procedimentos eficazes de proteção de informações.
Neste texto, você vai aprender o que significam essas duas normas, por que elas são aplicadas em conjunto, que benefícios trazem para as empresas e quais as maiores dificuldades na sua implementação. Acompanhe nosso conteúdo e entenda por que, cada vez mais, a obtenção dessas certificações é fundamental no mercado de saúde.
O que são as normas ISO 27001 e 27799
A norma ISO 27001 é um conjunto de regras sobre Gestão de Segurança da Informação. Aceita internacionalmente, ela determina a adoção, pelas empresas, de requisitos, processos e controles, para dirimir os riscos de Segurança da Informação nas organizações.
Acontece que, apesar de muito utilizada por organizações de saúde interessadas em proteger as informações de seus pacientes, a ISO 27001 não é considerada específica o bastante, deixando muitas questões em aberto. Por isso, é utilizada em conjunto com a norma ISO 27799, mais recente e focada na proteção de dados e informações pessoais de saúde.
Alguns pontos importantes que a norma ISO 27799 exige das empresas de saúde:
- Controle de acessos de dados, incluindo gerenciamento de acesso privilegiado;
- Controle criptográfico de dados confidenciais;
- Gerenciamento e proteção de chave de criptografia;
- Registro e arquivamento de todos os eventos significativos relativos ao uso e gerenciamento de usuários e informações secretas de autenticação, além de proteção desses registros contra “adulteração e acesso não autorizado”.
ISO 27001 e ISO 27799: benefícios
Manter sua organização de saúde certificada pelas normas ISO 27001 e 27799 possui inúmeras vantagens, dentre as quais podemos destacar:
- Vantagem competitiva. Ter controles e segurança das informações reconhecidos a níveis internacionais destaca a organização tanto para clientes como para parceiros.
- Redução de custos. No médio e longo prazo, segurança significa menor número de erros com informações, facilidade de acesso, redução de risco de invasões e vazamentos e, principalmente, minimização de processos e multas por mau gerenciamento de dados.
- Conformidade. Processos bem organizados e seguros significam integração mais fácil com outros sistemas, cultura organizacional mais arraigada e menor necessidade de treinamentos. Facilitando até a obtenção de acreditações hospitalares.
- Facilidade de adequação à LGPD. A Lei Geral de Proteção de Dados exige das organizações medidas apropriadas, incluindo políticas, procedimentos e processos, para proteger os dados pessoais. A ISO 27001 é um excelente ponto de partida para alcançar os requisitos técnicos e operacionais necessários para isso.
Dificuldades na implementação
Apesar dos benefícios citados, muitas são as circunstâncias que fazem do uso das normas ISO 27001 e ISO 27799 ainda incipiente no Brasil.
Em termos globais, a pesquisa ISO Survey relativa a 2019 revela um crescimento de 12% de instituições de saúde que possuem a certificação na norma ISO/IEC 27001. O número acende um alerta para que tenhamos, aqui no Brasil, uma adoção mais rápida. Na América do Sul, somente 185 certificados foram emitidos. O Brasil, nos últimos anos, tem apresentado um crescimento tímido no setor. Por isso, vale observar os obstáculos que se opõem a um crescimento mais robusto dessa adoção.
Desafios para a adoção de ISO 27001 e ISO 27799
Muitos são os desafios encontrados pelos gestores ao implementar um Sistema de Gestão de Segurança da Informação (SGSI), como o proposto pelas normas ISO 27001 e ISO 27799. Mesmo com o atual estado das Tecnologias da Informação na medicina, em muitas organizações de saúde, isso ainda é novidade; e disrupções como Inteligência Artificial (IA) e Internet das Coisas (IoT) afetam ainda mais a aplicação das normas.
Segundo estudos apresentados na edição XI do Brazilian Symposium on Information System, os principais desafios na implementação das normas são:
- Falta de conhecimento na área de segurança da informação e falta de interesse da direção na implementação das normas;
- Falta de treinamento dos colaboradores, falta de entendimento dos valores de segurança por parte da TI e poucos recursos destinados às ações;
- Baixa flexibilidade da norma ISO 27001 e dificuldade em gerenciar informações confidenciais;
- Dificuldade em identificar corretamente os ativos das empresas e falta de experiência das equipes para implementação dos requisitos da norma;
- Falta de avaliação precisa dos ativos das empresas, baixo comprometimento da direção, resistência à mudança, falta de experiência da equipe e não conhecimento da norma.
Plataformas e APIs
Um caminho que auxilia muito as empresas na implementação de ISO 27001 e ISO 27799 é o uso de plataformas que já incorporam as exigências das normas, como sistemas com chaves de acessos e que mantêm mensagens e informações totalmente criptografadas. É o caso da plataforma Octopus da Neomed, que tem sido utilizada com sucesso para contribuir com o cumprimento das regularidades de ambas as normas.
Danielli Orletti é coordenadora médica na NEOMED. Médica Sanitarista pelo Hospital das Clínicas da Faculdade de Medicina da USP. É especializada em Gestão Hospitalar e de Serviços de Saúde pela Fundação Getúlio Vargas, com foco de atuação em Inovação em Saúde. Atualmente realiza pesquisas junto à Faculdade de Saúde Pública da USP.
CRM SP 181.532
