Segurança da Informação de Saúde

Do ponto de vista da segurança da informação existem de modo geral nas organizações de saúde, nomeadamente nos Hospitais, duas áreas importantes de salientar: área administrativa/económica e a clínica/administrativa. Estas duas áreas carecem de uma política de segurança. No entanto, dada a natureza distinta de cada área, a atitude por parte da organização no que respeita à segurança da informação tem ou pode ser diferente[1]. Se ocorrer uma quebra de segurança na área administrativa/económica pode ser grave para o bom funcionamento da unidade de saúde enquanto “empresa/organização”, uma quebra de segurança na área clínica/administrativa pode ser bem mais nefasta enquanto prestador

8 _{ISO 9001: - A norma ISO 9001 constitui uma referência internacional para a Certificação de Sistemas de Gestão da} Qualidade.

9 _{ISO 14001: - A norma ISO 14001 constitui uma referência internacional para a Certificação de Sistemas de Gestão} Ambiental.

10

41 de cuidados de saúde. Dada a natureza da informação da área clínica/administrativa, esta têm necessidades especiais quanto às seguintes dimensões da segurança (confidencialidade, disponibilidade, integridade e autoria/responsabilidade) [45][46].

A evolução tecnológica tem obrigado a que o conceito de segurança da informação na área clínica/administrativa sofra uma grande evolução e desta forma a noção de confidencialidade da informação clínica já ultrapassou a relação médica/doente, tanto pelo fator tecnológico como pelo surgimento de outros profissionais de saúde. O proteção da privacidade que em tempos estava somente consagrada nos códigos deontológicos das carreiras dos profissionais da área da saúde atualmente é exigido aos sistemas de informação visto que qualquer quebra de segurança neste sector tem um impacto pessoal significativo, principalmente quando se verifica na perda da confidencialidade da informação clinica/administrativa, isto é informações pessoais associadas a hábitos e doenças socialmente rejeitadas [47][48].

A integridade da informação clínica/administrativa também tem uma importância primordial. Uma informação que tenha perdido a sua integridade pode conduzir, por exemplo, à aplicação de um tratamento menos adequado, cujas consequências poderão ser imprevisíveis ou muito graves para o paciente.

A disponibilidade da informação, é tão importante como a confidencialidade e integridade da informação, porque permite evitar que haja consequências negativas por indisponibilidade da informação, quando ela e necessária a quem necessita de um determinado cuidado de saúde [48].

Para alguns autores esta área tem uma natureza específica e consideram que às três dimensões clássicas da segurança da informação se deve juntar a dimensão da autoria/responsabilidade. Esta é caraterizada como a dimensão que permite conhecer o autor e ou responsável por uma determinada informação ou processo. A dimensão autoria/responsabilidade é muita importância nos tempos atuais, pela necessidade de determinar com exatidão onde começa e acaba a responsabilidade de cada profissional de saúde que intervêm nos cuidados prestados a um doente [1][49].

3.6 Discussão

Quando se analisam dados estáticos como os apresentados no anexo C, verifica-se que, no caso dos Hospitais (anexo C.1) em 2010 num universo de 235, existiam em termos percentuais com actividades gerais informatizadas, 93% com gestão financeira e administrativa, 86% com marcação de tratamentos e consultas, 60% com trocas internas de

42 imagens médicas e com actividades médicas informatizadas, 86% com serviço internamento, 75% com base de dados da informação clinica do paciente, 60% com processo clinico eletrónico. No que se refere a segurança formalmente definida, somente 22% é que tem uma subscrição de um serviço de segurança.

Relativamente as Empresas (anexo C.2) em 2010 num universo de 2 843, pode-se verificar que somente 23% das empresas (com 10 ou mais funcionários) é que apresenta políticas de segurança formalmente definidas com plano de revisão regular. Onde relativamente a área de actividade o sector financeiro e de seguros representam 65% dessas empresas e, em relação ao número de funcionários, as empresas com 250 ou mais funcionários representam 62%.

Estes dados mostram que, em Portugal a cultura que as organizações têm, em que não é necessário que a segurança da informação deve estar assente e formalmente definida numa política de segurança suportada por um SGSI, tem de mudar e já começa a dar sinais dessa mudança, sob pena de verem os seus ativos cada vez mais em risco e por consequência a sua própria sobrevivência.

A actividade associada a segurança da informação deve estar integrada nos processos de gestão e decisão, para que a definição de políticas de segurança e o seu respetivo papel, seja assumida na plenitude por toda a organização.

Este trabalho, procura contribuir para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), suportado pelas normas internacionais (família de normas ISO/IEC 27000), que definem os princípios fundamentais e boas práticas (isto e, conjunto de políticas, práticas, procedimentos, mecanismos ou ações que promovem a proteção sobre a informação de uma determinada organização ou pessoa), e por um modelo de gestão de risco que permite, implementar, monitorizar de forma pró-ativa, manter e otimizar a segurança da informação de uma organização através da utilização de controlos preventivos que evitem a ocorrência de incidentes por forma a garantir um nível de proteção adequado e devidamente controlado. E desta forma, permitir que a organização adquira a tranquilidade necessário para gerir as espectativas da sua actividade, a continuidade dos seus resultados e negócio, a eficácia/eficiência dos seus processos, a produtividade pretendida, e a evolução desejada de forma segura e confiável através de um ambiente estável dos seus sistemas de informação. Sendo a gestão de risco, um instrumento determinante para a eficiência de um SGSI, a sua escolha e definição é um requisito fundamental muito importante que merece toda a atenção e cuidado.

43