No dia 13 de novembro, a Anahp realizou mais uma edição da Jornada Digital “Inovação e Tecnologia”, que acontece durante o mês em parceria com a Invisual, e abordou um dos temas mais sensíveis e estratégicos da transformação digital: a segurança cibernética em hospitais.
Em um cenário de ameaças crescentes, ataques sofisticados e impacto direto na assistência, o debate reuniu lideranças com experiência prática em proteger ambientes digitais críticos.
Participaram do encontro:
- Leandro Ribeiro, gerente de Segurança da Informação do Hospital Sírio-Libanês
- Vitor Ferreira, CIO do Sabará Hospital Infantil
- Wellington Pimentel, diretor de Infraestrutura e Segurança da Informação da Hospital Care
- Thiago Abreu, gerente de Tecnologia da Informação do Hospital Moinhos de Vento (moderação)
O debate mostrou que nenhuma instituição está totalmente preparada, que o fator humano é o ponto mais vulnerável e que a cibersegurança tronou-se uma questão de continuidade assistencial, reputação e sobrevivência do negócio.
Confira os principais pontos do debate:
O cenário atual: ameaças crescentes e impacto direto na assistência
As equipes de TI e segurança convivem com uma pressão que exige atenção permanente, decisões rápidas e responsabilidade assistencial direta.
“A cada dia surge uma nova ameaça, e a operação não tem margem nenhuma.” — Thiago Abreu
As ameaças são cada vez mais sofisticadas, o volume de tentativas aumentou, ataques ficam mais silenciosos e incidentes podem paralisar unidades inteiras.
“O criminoso trabalha muito mais rápido do que quem está tentando proteger.” — Leandro Ribeiro
O consenso é de que nenhum hospital brasileiro está totalmente preparado. As ameaças evoluem constantemente e a saúde opera com restrições de investimento e altíssima complexidade.
Cibersegurança não é tecnologia: é continuidade assistencial
A segurança cibernética deixou de ser um projeto técnico e é preciso uma mudança de mentalidade para isso.
“Cibersegurança é continuidade assistencial; envolve todas as áreas do hospital.” — Vitor Ferreira
Com hospitais hiperconectados, interrupções prolongadas geram perdas financeiras e riscos assistenciais reais. Paralisam setores essenciais, comprometem prontuários, impactam condutas e afetam diretamente desfechos clínicos.
Três perguntas que definem o grau de prontidão
Antes de falar em tecnologia, um hospital precisa responder a três perguntas estruturantes:
- Existe um processo estruturado de gestão de riscos cibernéticos?
- O BIA (Business Impact Analysis) foi realizado no último ano e apresentado ao conselho?
- A instituição possui estudo atuarial que quantifica o impacto financeiro de um incidente?
“Se uma dessas respostas for ‘não’, a instituição não está preparada.” — Wellington Pimentel
Essas perguntas mostram que segurança não se resolve comprando ferramentas; ela se constrói com governança, priorização e responsabilidade compartilhada.
O maior risco está no comportamento das pessoas
O maior vetor de risco é humano. Mesmo com treinamentos, políticas e alertas, comportamentos inseguros persistem: cliques impulsivos, compartilhamento de credenciais, senhas expostas, anexos suspeitos.
“Não adianta ter o melhor antivírus se o colaborador clica em qualquer link.” — Wellington Pimentel
O painel também discutiu a origem desses comportamentos e apontou o excesso de pressão assistencial, poucos equipamentos por turno, processos mal estruturados e sistemas que não acompanham o ritmo da operação.
O skill gap: maturidade exige especialistas, e eles são raros
Outro ponto decisivo é a falta de profissionais especializados em segurança da informação com experiência em saúde.
“Sem especialistas, podemos comprar todas as ferramentas e, mesmo assim, não proteger o hospital.” — Leandro Ribeiro
A competição com o setor financeiro agrava o problema, pois os bancos atraem os melhores perfis, pagam mais e têm estruturas muito mais maduras. Isso estende a jornada de maturidade e, para construir governança, processos, incident response e monitoramento, são necessários anos de trabalho e pessoas dedicadas.
Legado tecnológico e baixa interoperabilidade interna
Mesmo instituições grandes convivem com infraestrutura legada e processos que não acompanharam o avanço digital:
- sistemas antigos sem atualização
- dispositivos médicos vulneráveis
- integrações frágeis
- silos de informação
- falta de inventário completo de ativos
- dificuldade de padronizar acessos e identidades
“Enquanto tecnologia for vista como custo, a segurança não avança.” — Vitor Ferreira
Os especialistas reforçaram que a insuficiência de investimento cria um círculo vicioso: ambientes frágeis estimulam atalhos; atalhos geram brechas; brechas viram incidentes.
Como medir maturidade e comunicar ao board
Para transformar segurança em prioridade estratégica, o hospital precisa medir, comparar e traduzir riscos. Entre os indicadores destacados:
- percentual de colaboradores treinados
- taxa de cliques nas campanhas de phishing
- tentativas de invasão bloqueadas
- incidentes registrados
- e-mails maliciosos filtrados
- vulnerabilidades críticas abertas
- dependência de sistemas legados
“O board precisa ver números reais, não percepções.” — Leandro Ribeiro
Modelos como NIST, ISO 27001 e níveis de maturidade (CMM) foram citados como referências viáveis e de fácil adoção. Eles permitem que os gestores entendam o impacto de cada decisão e priorizem investimentos financeiro, humano e tecnológico.
Cibersegurança não pode ser “a área do não”
Um ponto sensível é a relação com o usuário final. A segurança precisa ser percebida como viabilizadora, e não como obstáculo.
“O ‘não’ só aparece quando não existe alternativa segura e deve ser uma decisão institucional, não da TI.” — Wellington Pimentel
Explicar o porquê, trazer exemplos reais, propor caminhos alternativos e estar presente nos setores faz diferença. O usuário só adere se compreende o impacto assistencial, não apenas o técnico.
Conclusão
A Jornada Digital mostrou que cibersegurança não é projeto, ferramenta ou modismo, mas estratégia institucional, continuidade assistencial e cultura. E, como reforçaram os líderes, trata-se de uma jornada longa, que exige:
- governança forte
- investimento consistente
- equipes capacitadas
- processos maduros
- comunicação clara
- gestão de riscos
- colaboração entre instituições
“Estamos todos debaixo da mesma tempestade e precisamos nos ajudar.” — Vitor Ferreira
Obrigado por comentar!
