Jornada Digital Anahp discutiu proteção de dados, fornecedores, resposta a incidentes e medidas para reduzir riscos digitais em ambientes hospitalares

A digitalização tornou os hospitais mais conectados e mais dependentes de sistemas para manter a assistência funcionando. Prontuários, exames, prescrições, dispensação de medicamentos, fluxos administrativos, equipamentos médicos e canais de relacionamento dependem de ambientes digitais seguros e disponíveis.

Esse foi o tema do segundo encontro da Jornada Digital Anahp de junho, mês dedicado a Tecnologia e Inovação Digital, realizado em parceria com a MV. No especial que marca os 25 anos da Anahp, a conversa tratou de cibersegurança e proteção de dados em ambientes hospitalares.

Participaram:

• Flávia Brito, CEO da Bidhealth
• Shenandoan Daur, CIO do Real Hospital Português
• Thiago Cachello, gerente de Tecnologia da Informação do Hospital Alemão Oswaldo Cruz
• Leandro Ribeiro, gerente executivo de Defesa Cibernética do Hospital Sírio-Libanês, na moderação

1. O risco para exames, prontuários e cirurgias

Um ataque digital pode atrasar exames, bloquear prontuários, comprometer prescrições, afetar a dispensação de medicamentos e pressionar filas de atendimento.

Quando sistemas críticos ficam indisponíveis, a instituição precisa acionar planos de contingência. Sem preparo, a operação fica mais lenta, com mais retrabalho e maior risco de falhas.

Antes de uma indisponibilidade, o hospital precisa saber:

• Quais sistemas sustentam a assistência direta ao paciente
• Quais serviços são mais sensíveis à interrupção
• Como exames, prescrições e prontuários funcionam em contingência
• Quem define prioridades durante uma crise
• Como documentar decisões e ações durante o incidente

2. O papel da liderança na gestão do risco

A área de tecnologia identifica ameaças, implanta controles e conduz a resposta técnica. A decisão sobre o risco aceito pertence à liderança, pois envolve investimento, prioridade, continuidade assistencial, impacto financeiro, exposição jurídica e reputação.

Decisões que precisam sair da área técnica

• Quanto risco o hospital aceita
• Quais investimentos entram primeiro
• Quais sistemas são críticos
• Qual impacto assistencial é tolerável
• Como o tema entra na matriz de riscos
• Como o plano de continuidade incorpora incidentes digitais

Termos técnicos ganham força quando chegam à gestão conectados a efeitos concretos, como cirurgias canceladas, serviços paralisados, dados expostos, fluxos financeiros afetados e risco jurídico.

3. Inventário, acessos e rede na base da prevenção

Antes de soluções sofisticadas, parte do setor ainda precisa consolidar uma base essencial. Isso inclui inventário de ativos, identificação dos sistemas críticos, segmentação de redes, autenticação multifator, revisão de perfis de acesso, controle de terceiros e processos de contingência documentados.

Sinais de preparo

• O hospital sabe quais ativos não podem parar
• As redes corporativas, assistenciais e de equipamentos estão segmentadas
• Os acessos refletem a função real de cada profissional
• Fornecedores críticos são avaliados periodicamente
• Existem registros de quem acessa dados sensíveis
• Os planos de resposta já foram testados

Frameworks como NIST e ISO ajudam a organizar esse percurso. A diferença aparece na execução contínua.

4. Segurança sem atrapalhar o atendimento

Quando médicos, enfermeiros ou técnicos encontram barreiras excessivas durante o atendimento, cresce o risco de senhas compartilhadas, anotações improvisadas, uso de canais paralelos e descumprimento das políticas internas.

Caminhos discutidos

• Autenticação multifator com melhor desenho de uso
• Passwordless
• Windows Hello
• ZTNA
• Segmentação de redes
• Automação de transferências de chamadas
• Comunicação simples sobre novas regras

A segurança funciona melhor quando reduz risco e preserva a fluidez da assistência.

5. Fornecedores também fazem parte do mapa de risco

Hospitais operam em rede. Um fornecedor vulnerável pode abrir caminho para vazamento de dados, interrupção de serviços ou comprometimento da operação.

O que observar nos fornecedores:

• Quem acessa dados sensíveis
• Quem acessa sistemas internos
• Quais parceiros sustentam processos críticos
• Como acessos são concedidos e revogados
• Quais exigências de segurança entram em contrato
• Como incidentes em fornecedores são comunicados

A proteção da instituição depende também da maturidade da rede que participa da sua operação.

6. Senhas, ligações e informações sensíveis

Credenciais compartilhadas, dados sensíveis passados por telefone, documentos impressos com informações de pacientes, acessos amplos demais a prontuários e golpes baseados em engenharia social seguem como pontos críticos.

Como reduzir brechas na rotina

• Definir quem acessa, quem compartilha e em quais condições
• Restringir acessos conforme a função do profissional
• Registrar atividades em sistemas sensíveis
• Automatizar pontos vulneráveis do atendimento
• Treinar equipes com orientações simples e frequentes

7. Plano de crise antes do incidente

Durante um incidente, além da resposta técnica, o hospital precisa coordenar assistência, operação, comunicação, jurídico, liderança executiva, pacientes, fornecedores e órgãos reguladores.

Respostas que precisam estar prontas

• Quem integra o comitê de crise
• Quem toma decisões operacionais
• Quem se comunica com equipes e pacientes
• Quem aciona fornecedores
• Quem avalia impacto jurídico e regulatório
• Como a assistência será mantida
• Como a operação será retomada com segurança

Iniciativas nacionais voltadas à cibersegurança, como o SeneCyber, e comunidades técnicas do setor também entram nessa agenda de preparação.

Segurança digital na rotina do hospital

A cibersegurança hospitalar avança como parte da gestão institucional. Ela envolve sistemas, dados, infraestrutura, assistência, fornecedores, equipamentos conectados, comunicação e resposta a incidentes.

O avanço depende de controles básicos bem implementados, liderança envolvida, matriz de riscos atualizada, processos claros, equipes treinadas, fornecedores avaliados e planos de continuidade testados.

Em um setor cada vez mais digital, proteger sistemas significa preservar a capacidade do hospital de atender, tomar decisões, se comunicar e responder com segurança em situações críticas.