Módulo 3 | Aula 1
Introdução à segurança da informação
Política de Segurança da informação e Comunicação
Colocar os 6 princípios da Segurança da Informação em prática é fundamental para manter os dados da organização e dos seus usuários seguros e protegidos. Afinal, os ataques cibernéticos e crimes utilizando dados pessoais aumentam a cada dia. Neste cenário, é essencial que todos estejam prontos e preparados para tomar as medidas cabíveis em casos de identificação do uso de forma indevida dos dados. A política de segurança da informação de uma organização determina as diretrizes para que os princípios sejam atingidos.
O Decreto nº 9.637/2018 instituiu a Política Nacional de Segurança da Informação no âmbito de toda a administração pública federal.
No mesmo sentido, a norma ISO 27001 é a norma padrão e referência internacional para a gestão da segurança da informação.
A ISO 27001 define a segurança da informação como:
"a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades do negócio"
ISO 27001
O entendimento sobre a importância da segurança da informação na organização deve sempre partir do nível mais alto e atingir a todos os colaboradores.
A política de segurança da informação deve incluir práticas como:
- Levantamento de dados e avaliação da criticidade de cada um deles para o negócio;
- Definição de processos, permissões e proibições a serem seguidas pelos colaboradores;
- Fortalecimento da cultura de segurança da informação em toda a organização;
- Responsabilidades de cada área em relação à segurança dos dados;
- Política de senhas;
- Estratégias de backups e restauração de sistemas;
- Controles de acesso físicos e lógicos.
- Treinamentos e divulgação constante para todos os colaboradores.
É essencial que cada colaborador entenda os riscos e consequências do descuido com a proteção dos dados. Para isso, é importante fazer treinamentos constantes, criando uma cultura da segurança da informação em que cada um compreenda sua responsabilidade dentro da organização.
Uma parte importante em qualquer política de segurança é nunca encarar a mesma como um trabalho finalizado. Novas ameaças surgem diariamente e estão no aguardo de qualquer brecha para atacar. E necessário revisão e atualização constante das políticas.
As empresas devem sempre divulgar as suas políticas para deixar claro a importância e como são tratados os dados por aquela instituição.
Você conhece a política de segurança da informação da Fiocruz? O Ministério da Saúde também possui uma política específica.
Não existe uma única forma de se definir uma política, mas atentar em alguns tópicos pode facilitar o trabalho. Confira a seguir algumas boas práticas para a elaboração de uma política de segurança da informação e comunicação:
Em primeiro lugar, antes de começar a elaborar a política, é fundamental que sejam escolhidas as pessoas que criarão o documento.
A segurança da informação é uma responsabilidade de todos os colaboradores, por isso, para a elaboração de uma política eficaz, é importante organizar um comitê multidisciplinar que será responsável pela: criação das diretrizes, implementação, divulgação, revisão, monitoramento e acompanhamento da política de segurança da informação.
A política está relacionada diretamente com a realidade da organização, deve-se levantar quais são os ativos de informação. Somente através disto será possível determinar o que precisa ser protegido. Para esta análise deve-se identificar os dispositivos utilizados, o comportamento dos colaboradores e o nível de acesso dos mesmos.
Através da classificação dos tipos de informações é possível organizar os níveis de acesso dos colaboradores. Além disso, essa ação permite que você saiba quais impactos para a organização, caso ocorra um vazamento dos dados.
É fundamental definir quais são os níveis de acesso dos colaboradores. Para isso, é necessário considerar três fatores fundamentais, sendo eles: quem acessa os dados? Através de qual sistema ou dispositivos esses dados são acessados? Em que momento esses dados podem ser acessados?
Na política, é importante citar quais são as tecnologias utilizadas para proteger os dados em casos de ataque. Geralmente, os mecanismos de defesa mais utilizados são backup, controle de acesso, firewalls, criptografia, monitoramento de rede, auditoria, entre outros artifícios.
Sempre haverá de alguma forma violação das normas, é necessário definir as punições que serão aplicadas nestes casos, seja em falhas intencionais ou não intencionais. As punições podem incluir multas, advertências, demissão entre outros. Através dessa formalização, em caso de incidente, todos os colaboradores já estarão previamente informados quais serão as sanções tomadas.
Outro passo importante em qualquer política é a conscientização de todos ao seu respeito.
É necessário a comunicação a todos sobre o que está descrito na política. Não tem como seguir uma política se ela não for conhecida, o treinamento dos envolvidos é fundamental.
Com todos os colaboradores cientes do assunto, a organização evita que sejam cometidos erros por mera falta de conhecimento.
É sempre importante o apoio de uma consultoria jurídica especializada para elaboração correta da política. A consultoria jurídica vai fazer com que a política tenha e cumpra as principais obrigações legais do negócio.
As políticas devem englobar também questões de acesso físico: roletas, câmeras, crachás, pulseiras, wi-fi, pontos de rede etc. Esta política deve definir responsáveis, procedimentos, alternativas em casos omissos. O controle físico é muito importante para garantir a segurança da informação.
Para garantir a segurança da informação, é fundamental compreender as principais ameaças e vulnerabilidades às quais a organização está exposta. A seguir, listamos as mais comuns:
Os ataques de ransomware representam uma das maiores ameaças cibernéticas para todas as áreas e inclusive para a saúde. Nesse tipo de ataque, os hackers infectam os sistemas de uma organização através de uma vulnerabilidade em algum sistema e a partir daí, utilizando algum software malicioso, criptografam os dados, tornando-os inacessíveis. Esses ataques podem paralisar completamente a operação de uma organização.
Esse tipo de ataque pode levar também à exfiltração de dados para criminosos e pedidos de resgate aos reais proprietários da informação, interrompendo o acesso aos registros médicos dos pacientes e comprometendo a continuidade do atendimento. É muito importante sempre garantir a correção de vulnerabilidades descobertas em sistemas e equipamentos para minimizar este risco.
As violações de dados médicos é uma grave ameaça cibernética na saúde digital. Os dados de prontuários são sensíveis e podem incluir informações pessoais, históricos médicos, resultados de exames e procedimentos, além de informações financeiras de um paciente. Quando esses dados são comprometidos devido a falhas de segurança, os pacientes correm diversos riscos como o roubo de identidade, fraude financeira e de ter sua privacidade violada.
Os criminosos cibernéticos utilizam técnicas de engenharia social para enganar os colaboradores das organizações e obter acesso não autorizado a sistemas e dados confidenciais.
Exemplos disso são e-mails falsificados que se fazem passar por comunicações legítimas da organização, levando os funcionários a divulgarem informações de login ou clicarem em links maliciosos. As técnicas para engenharia social vêm evoluindo bastante, hoje em dia já é possível até efetuar ligações simulando a voz de outra pessoa a fim de obter credenciais e dados sensíveis dos sistemas.
É muito importante a vigilância constante e treinamento dos colaboradores para identificar esses casos, além de ter ações muito bem definidas em casos de ataques deste tipo bem-sucedidos.
Você já pensou como criminosos podem agir com pacientes?
Com a popularização da telemedicina, os riscos aumentam exponencialmente. Deve haver procedimentos para garantir que informações como voz e vídeo de pacientes não estejam sendo gravadas e exfiltradas para uso malicioso.
Os cibercriminosos podem roubar as informações pessoais dos pacientes e usá-las para se passar pelos pacientes, o que pode levar a tratamentos errados ou até a procedimentos médicos desnecessários.
Com o aumento da Internet das Coisas (IoT) na área da saúde, surgem novas preocupações com a segurança. Existem vários dispositivos médicos conectados, como bombas de infusão e monitores de pacientes, que podem ser alvos de ataques cibernéticos se não forem adequadamente protegidos.
Vulnerabilidades nesses dispositivos podem ser exploradas por hackers para interromper tratamentos médicos, alterar dosagens de medicamentos ou até mesmo causar danos físicos aos pacientes.
É extremamente importante a certificação dos equipamentos e implementação das correções assim que divulgadas pelos fabricantes. Procedimentos de rotina devem ser implantados para verificação destes equipamentos.
Este tipo de ataque sobrecarrega os servidores de uma organização com tráfego malicioso, tornando os sistemas indisponíveis para os usuários legítimos. Os pacientes podem enfrentar dificuldades para tarefas em geral: agendamento de consultas, acessar os resultados de exames, etc.