ISO 27799: Saiba a importância da Norma para a área da saúde

A principal missão dos hospitais e empresas da área de saúde é a segurança dos pacientes, certo?

Contudo, existe outra preocupação implícita em suas operações:  a segurança com informações pessoais de saúde.

E para isso, a área conta com o apoio da norma internacional ISO 27799, que orienta sobre a melhor forma de proteger a confidencialidade, integridade e disponibilidade de dados pessoais de saúde das pessoas que trabalham no setor ou em seus ambientes operacionais.

E é sobre isso que vou falar hoje aqui no post, boa leitura!

Segurança da informação na área da saúde

Assim como em qualquer outro setor, as empresas da área também têm infraestrutura tecnológica, sistemas de informação e aplicações suscetíveis a riscos que precisam ser gerenciados.

A Norma ISO 27001 estabelece requisitos para o Sistema de Gestão de Segurança da Informação. Ela pode ser integrada com outras normas, como por exemplo a ISO 27002, para implementar controles de segurança na área da saúde.

Entretanto, no setor da saúde temos a ISO 27799, que não é uma norma certificável, contudo, podemos dizer que ela serve de  guia na implementação de um SGSI na área da Saúde. E ainda que ela  serve de complemento para as Normas ISO 27001(controles) e 27002 (melhores práticas) nesta área.

Ela provê controles de segurança específicos, com o objetivo de estimular a proteção da confidencialidade, integridade e disponibilidade dos registros pessoais de saúde

Do que se trata a ISO 27001? (H3)

A Norma ISO 27001  estabelece requisitos para um Sistema de Gestão de Segurança da Informação. Ela se divide em duas partes:

• Descrição de um Sistema de Gestão da Informação (SGSI), e seus componentes e funções;
• Os Objetivos de controle de SGSI (Anexo A).

Trata-se de um conjunto de regras sobre GSI que determina a adoção de requisitos, processos e controles, para impedir que os riscos de Segurança da Informação nas organizações se materializem.

Ela pode ser integrada com outras normas, tais como a ISO 27002 e a 27779 para implementar controles de segurança

Do que trata a ISO 27002 (H3)

Para quem não está familiarizado, a ISO 27002, também conhecida como ISO/IEC 27002, é um regulamento que aborda uma série de práticas que, quando aplicadas corretamente, ajudam na implementação de um Sistema de Gestão de Segurança da Informação (SGSI).

Enfim, essa é uma norma de gestão da segurança da informação, ou seja, um ponto essencial para garantir a proteção de todo o ambiente de dados. A última versão da ISO 27799, de 2008, traz os controles da ISO 27002 adaptados para o ambiente de saúde

Portanto, para quem quer implementar a ISO 27799 deve primeiro conhecer a 27002, já que o texto faz referências frequentes às seções relacionadas desta Norma.

Ameaças previstos na ISO 27799 (H2)

A ISO 27001 e a ISO 27002 não são normas  especificamente para a área da saúde. Entretanto, a ISO 27799 apresenta uma lista de ameaças específicas para este setor, complementando-as. Essa lista pode ser encontradas no Anexo A, confira a lista abaixo:

1. Pessoal interno se passando por outra pessoa;
2. Pessoas se passando por provedores de serviço;
3. Pessoal externo se passando por outra pessoa;
4. Uso não autorizado de uma aplicação de informação e saúde;
5. Introdução de software danoso ou de interrupção;
6. Mau uso de recursos de sistemas;
7. Infiltração de comunicações;
8. Interceptação de comunicações;
9. Repúdio;
10. Falha de conexão;
11. Incorporação de código malicioso;
12. Erro acidental de roteamento;
13. Falha técnica de hospedagem, instalações de armazenamento ou de infraestrutura de rede;
14. Falha de suporte ambiental;
15. Falha de sistema ou de software de rede;
16. Falha de aplicação de software;
17. Erro de operador;
18. Erro de manutenção;
19. Erro de usuário;
20. Falta de pessoal;
21. Furto por pessoal interno;
22. Furto por pessoal externo;
23. Dano intencional por pessoal interno;
24. Dano intencional por pessoal externo;
25. Terrorismo.

A materialização destas ameaças pode ser desastrosa, não apenas para a saúde do paciente, mas também para a imagem do estabelecimento.

Enfim, a norma traz orientações especificas para controles que vão desde dispositivos móveis, recrutamento dos colaboradores que vão trabalhar na área das informações, acessos de pessoas, entre outros.

Anexos específicos da 27799 (H3)

A norma tem 3 anexos únicos que valem a pena apresentar, são eles:

Anexo A – descreve as ameaças gerais a informação sobre saúde;

Anexo B: descreve brevemente um plano de ação prático para a implementação de normas internacionais complementares relacionadas com a segurança da informação;

Anexo C: fornece uma lista de verificação para cumprimento da norma.

Benefícios da conformidade com a ISO 27799 juntamente com a ISO 27001 (H2)

As organização de saúde certificadas na norma ISO 27001 e  com a implementação da ISO 27799 possuem inúmeras vantagens, dentre as quais se destacam:

A competitividade:  Ter controles e segurança das informações reconhecidos a níveis internacionais pode ser uma fonte significativa de vantagem competitiva para uma organização. Isso pode destacar a organização tanto para clientes como para parceiros.

Redução de custos – Isso inclui menor número de erros, facilidade de acesso aos dados, menor risco de invasões e vazamentos, além da minimização de processos e multas por mau gerenciamento de dados. Essas medidas garantem a confiança dos clientes, protegem dados sensíveis, cumprem regulamentações e evitam gastos desnecessários no médio e longo prazo.

Conformidade – Menor número de erros com informações: Ao implementar sistemas de controle e segurança robustos, a organização pode reduzir significativamente o número de erros relacionados às informações. Isso inclui erros de entrada de dados, duplicação de dados, perda de dados e outros erros que podem resultar em retrabalho e custos adicionais. Uma melhor qualidade dos dados pode levar a uma maior eficiência operacional e menor necessidade de correção de erros. Facilitando a obtenção de acreditações hospitalares.

Adequação à LGPD – Essas normas ajudam na adequação à Lei Geral de Proteção de Dados (LGPD) –  a lei exige das organizações medidas apropriadas, incluindo políticas, procedimentos e processos, para proteger os dados sensíveis.

A ISO 27001 é um excelente ponto de partida para alcançar os requisitos técnicos e operacionais necessários para a segurança da informação, enquanto a 27799 provê controles de segurança específicos para o segmento de saúde, com o objetivo de estimular a segurança para proteger informações pessoais de saúde, complementando o cuidado com as informações na área.

 Conclusão

A norma 27799 traz o seguinte:

“A adoção desta Norma Internacional por organizações de saúde dentro e entre jurisdições auxiliarão a interoperação e permitirão a adoção segura de novas tecnologias colaborativas na prestação de cuidados de saúde. O compartilhamento seguro e protegido da privacidade de informações pode significativamente melhorar os resultados dos cuidados de saúde”.

Enfim, embora a implementação da Norma 27799 não seja certificável, ela reforça a segurança para as organizações da área da saúde, o que se mostra como muito importante para preservar a reputação da organização e das pessoas inseridas em seu contexto.

Fonte:   INTERNATIONAL STANDARD ISO 27799 Second edition 2016-07-01.

Palestra sobre a ISO 27799 – https://youtu.be/OA8ytOtmgWo.