PwC realiza pequisa e identifica que 51% de presidentes e diretores de empresas nacionais não adotam processos para verificar ameaças à informação. Especialistas alertam o perigo para o segmento da Saúde.
A sexta edição da “Pesquisa Global sobre Crimes Econômicos”, elaborada pela PwC e apresentada em fevereiro de 2012, revela que, do universo de empresas brasileiras entrevistadas, nada menos do que 32% manifestaram ter sofrido algum tipo de crime digital em 2011. O indicativo doméstico está razoavelmente acima da média do resto do planeta, posicionada na ordem de 23%, demonstrando bem o grau de vulnerabilidade a que as organizações locais estão expostas quando o assunto é segurança da informação – a vitimização manifestada por quase um terço dos respondentes é autoexplicativa.Pior é o relato, constatado pelo mesmo estudo, de que os crimes eletrônicos são o segundo principal delito sofrido pelas empresas nacionais, depois de roubos de ativos. Esse indicativo oferece uma importante mensuração a respeito de quanto proteger a informação significa um elemento central para a vida das empresas. Na Saúde, contudo, essa preocupação deve (ou pelo menos deveria) ser elevada à máxima potência. Afinal, o que será da credibilidade de um hospital e quais podem ser os efeitos sobre seu faturamento se “vazar” alguma informação de um paciente ou da fatura pelos serviços médicos prestados? Certamente as consequências serão catastróficas.
Parece incrível, mas esse risco ainda é subestimado por alguns administradores no Brasil. Para não centrar crítica restrita ao setor de Saúde: a mesma pesquisa da PwC informa que 51% dos ouvidos manifestaram que presidentes e diretores de empresas nacionais de diversos setores da economia “não adotaram processos para verificar ameaças” à informação, no ano passado.
Alertas sobre os riscos potenciais não faltam. O noticiário é farto, diariamente, de exemplos de roubo ou mesmo de vazamento de informações armazenadas nos sistemas corporativos. Há todo o tipo de episódio: do furto de senhas bancárias ou desvio de pensões até a publicidade das informações íntimas de personalidades públicas. Claro que o choque e o estarrecimento diante de tais divulgações, no campo da Saúde, ainda prevalecem e ninguém considera essa prática admissível. O prontuário clínico é um ativo de propriedade do paciente, a guarda é de responsabilidade do serviço de saúde, como um fiel depositário, e as informações clínicas são sigilosas.
Como também são as informações financeiras, de faturamento, de compras e de recursos humanos, que obviamente necessitam ser tratadas de forma confidencial e por colaboradores dotados de expertise e responsabilidade para acessá-las e administrá-las. Gerenciar de forma efetiva os acessos dos colaboradores às informações é, portanto, crucial. Quem já não viu, com alguma recorrência, um funcionário se desligar da instituição, mas sua senha de acesso aos sistemas corporativos não ser desabilitada?
Não se trata de estabelecer um Big Brother, mas as empresas têm o dever e a responsabilidade de saber o que seus colaboradores diretos, terceiros e temporários acessam e postam em redes sociais, via rede interna da empresa. Para aportar mais dificuldade a este desafio, é importante lembrar que os sistemas corporativos das instituições de saúde contam com níveis de acesso dos mais variados, indo desde o simples conhecimento dos dados cadastrais até resultado de exames, informações de prontuários e de valores de fatura. Com os recentes avanços da Tecnologia da Informação e Comunicação, temos hoje uma função a mais neste processo: o acesso remoto a informações clínicas, tanto de exames quanto do histórico do paciente. Como qualquer arquivo digital armazenado “nas nuvens”, também se cogita deixar acessível, em qualquer lugar, todos os dados do paciente. Isto traz um ganho enorme para o seguimento e tratamento do paciente, mas com certeza envolverá um risco à segurança dos dados que precisará ser monitorado e gerenciado de forma adequada.
Promover a gestão de acessos significa, dessa maneira, contar com tecnologia e infraestrutura que auxilie no desenho e gestão de acessos, com uma política de segurança muito bem definida, comunicada e monitorada.
O acesso envolve ainda entender e estabelecer a alçada de cada profissional e por qual motivo ele precisa obter ou prover determinada informação para o adequado andamento dos trabalhos. É aceitável, assim, que o acesso da informação seja hierarquizado, por meio do estabelecimento dos níveis de autoridade nos processos de aprovação de liberação de senhas e de informações. Definir, de forma precisa, os processos de trabalho da empresa e criar os papéis e perfis correspondentes específicos dentro dos sistemas corporativos são condicionantes desse sistema de gestão, tanto para concessão quanto para revogação de acessos.
Criar, implementar e monitorar a adoção desta política e os respectivos processos geram, por outro lado, benefícios imensos. Imediatamente, minimizam-se os riscos de acessos indevidos. Também preserva-se a integridade e o sigilo das informações. Outro impacto positivo está no registro dos acessos e rastreabilidade dos processos de trabalho.
No atual contexto de competitividade da área e de busca permanente por ganhos de produtividade, e sempre compreendendo que credibilidade é um requisito básico, cada vez mais as instituições de saúde terão de se preocupar com as suas informações, fruto da intensificação do uso de sistemas informatizados para operacionalizar os processos de trabalho.
Criar a cultura de gestão de acessos dentro das instituições é fundamental para evitar fuga de informações e minimizar erros. Só que, para esse modelo seguir adiante e ser bem-sucedido, administradores e lideranças precisam se envolver. Se não pelos claros benefícios, pelo enorme potencial de estragos.
*Leandro Gausmann,Consultor Sênior da PwC Brasil, e Dr. Carlos Suslik, Diretor da PwC Brasil, especialistas em consultoria em gestão no setor de Saúde
Nenhum comentário:
Postar um comentário
Sua opinião é importante.