Autenticação forte e aliado essencial na proteção dos dados

Se uma política de segurança e o uso de criptografia são essenciais quando se fala em segurança da informação, a autenticação forte, aliada à comunicação com pacientes e familiares sobre as políticas de segurança da organização, deve ser parte do arsenal de segurança de um prestador de serviços de saúde para proteger dispositivos móveis. No St. Joseph Health System (SJHS), que opera hospitais nos Estados Unidos, a organização em geral exige que todos os dispositivos tenham senhas reforçadas, para que o aparelho contenha ao menos um fator de autenticação para sua própria segurança pessoal, assim como para a segurança relacionada à empresa.

No entanto, não é o caso para pacientes, familiares e outros que frequentam as dependências do SJHS com dispositivos móveis. Eles têm permissão de acessar a rede de visitantes. Por exemplo, pacientes da pediatria podem jogar jogos online ou manter contato com os pais, no trabalho. ?Isso é importante para o paciente?, comentou Bill Lazarus, VP de tecnologia e arquitetura do SJHS. ?Não exigimos autenticação de dispositivos pessoais em nossa rede de visitantes, já que se trata de uma rede isolada da que usamos internamente.?.

A rede de visitantes do SJHS oferece acesso externo à internet, de onde o usuário também pode acessar o portal da organização. Se dados internos são pedidos, como por um médico utilizando um dispositivo pessoal, o portal pede autenticação. ?Exigimos que todos os usuários com dispositivos pessoais que acessam a rede de visitante aceitem nossos termos e condições de uso, que incluem uma declaração de responsabilidade?, afirmou o executivo.

A autenticação também pode ser reforçada. Novas capacidades biométricas, como reconhecimento facial, impressões digitais ou scaneamento de retina – frequentemente usados em instalações governamentais – ainda são raras na maioria das organizações de saúde, mas está começando a surgir em alguns lugares, contou Mike Garzone, diretor de prática do US Commercial Health Delivery Sector da CSC. Conforme essas tecnologias se desenvolvem e se tornam mais baratas, seu uso deve se tornar mais frequente na área da saúde.

Senhas também devem ser consideradas. Uma pesquisa recente realizada pela fornecedora de produtos de segurança Confident Technology descobriu que mais da metade dos usuários de dispositivos móveis não protege smartphones e tablets com senhas, mesmo que estejam conectados em redes corporativas. Prestadores de serviços de saúde devem insistir que dispositivos móveis pessoais sejam protegidos por senha como condição para utilizarem as redes corporativas.

A mistura de dispositivos móveis que podem surgir em um cenário de saúde pode variar imensamente, dependendo de gadgets particulares e tendências preferidas por usuários em momentos específicos. Na Partners Healthcare, um versão móvel do EHR está disponível para médicos que usam iPhone ou iPad. Quando a Partners começou a contemplar uma versão móvel de seu EHR, há alguns anos, o BlackBerry era o dispositivo da vez. Hoje, há menos demanda para o aplicativo em BlackBerry, mas interesse crescente entre os médicos que utilizam devices Android.

Uma vez considerado menos seguro que o iPhone, ?as lacunas do Android estão se fechando?, disse Steve Flammini, CTO da Partners. ?Fabricantes de dispositivos estão aprimorando a segurança do Android, tornando-o mais adequado para o uso corporativo?, comentou. ?A Apple ainda domina na comunidade médica, mas já temos demanda para o Android.?

Em algum ponto desse percurso, o SJHS também deverá permitir que os médicos usem Android para acessar dados de pacientes. ?Os dados passam por antivírus e antimalware e são limpos?, lembrou Karen Mihelic, diretora de compliance de segurança de TI na instituição.

Leia também:

Qual a segurança dos dispositivos móveis de seus clínicos?