Skip to content

TI para Negócios

Como fazer a tecnologia trabalhar pelo seu sucesso e da sua empresa

por Sally Feller

Os profissionais de saúde precisam de acesso imediato aos dados do paciente, mas como as organizações médicas podem ajudar seus funcionários a salvar vidas e, ao mesmo tempo, manter os dados pessoais dos pacientes protegidos?

CISOs (chief information security officer) de empresas de assistência médica já conhecem a realidade em que estão – médicos e enfermeiros usam serviços em nuvem como o Facebook e o Dropbox, assim como o resto de nós. Normalmente, se qualquer violação de dados ocorrer pelo compartilhamento de dados de pacientes nesses aplicativos, pensaríamos que isso foi feito acidentalmente e não por mal.

A natureza humana também desempenha um papel importante quando procuramos entender como as violações de segurança acontecem. Uma pesquisa da Veriphyr, realizada há alguns anos no mercado de saúde, revelou que 35% dos profissionais da área haviam bisbilhotado registros médicos de colegas de trabalho e 27% tinham acessado os registros médicos de familiares e amigos. Imagine Anitta sendo internada em um hospital. A instituição pode ter 100% de certeza de que seus funcionários não vão bisbilhotar seus registros médicos, por curiosidade ou com segundas intenções?

De qualquer forma, a intenção não importa. O resultado é o mesmo. A perda de informações confidenciais de saúde (PHI – protected health information), as perdas financeiras e de confiança da organização e a recuperação pública e privada de tal violação são agora os únicos objetivos no horizonte para o CISO.

Empregados causam mais de 50% das brechas de segurança na área de saúde

A Verizon publicou recentemente um white paper chamado Relatório de Violação de Dados de Informações Confidenciais de Saúde (Protected Health Information Data Breach Report) para 2018, que todos os profissionais de segurança e de TI que trabalham na área da saúde devem ler na íntegra. Vamos abordar apenas os principais tópicos, por uma questão de brevidade.

O relatório constatou que 58% dos incidentes em saúde envolvem funcionários. Observe que a média geral em todos os setores é de 27% (ainda alarmante). Infelizmente, o setor de saúde tem uma honra própria – é o único setor no qual funcionários e fornecedores internos representam a maior ameaça de segurança cibernética para toda a organização.

O HIPAA Journal publicou recentemente um artigo detalhado sobre como se defender contra ameaças internas, ou seja, dos próprios funcionários. Ele se concentra em uma abordagem em quatro etapas para atenuá-las: Educar, Deter, Detectar e Investigar:

Educar: a força de trabalho deve ser instruída sobre usos permitidos e divulgações de PHI, o risco associado a determinados comportamentos, privacidade do paciente e segurança de dados.

Deter: políticas devem ser desenvolvidas para reduzir o risco e aplicar conformidades. As repercussões das infrações da HIPAA e violações de privacidade devem ser claramente explicadas aos funcionários.

Detectar: as organizações de saúde devem implementar soluções tecnológicas que lhes permitam detectar violações rapidamente e os registros de acesso devem ser verificados regularmente.

Investigar: quando possíveis violações de privacidade e segurança são detectadas, elas devem ser investigadas imediatamente para limitar os danos causados. Quando a causa da violação é determinada, devem ser tomadas medidas para evitar uma recorrência.

Etapas mais específicas fornecidas pelo HIPAA Journal são destacadas aqui, mas dicas mais detalhadas estão disponíveis em seu site:

· realizar verificações de antecedentes criminais dos funcionários;

· realizar o treinamento HIPAA e treinamentos de conscientização de segurança;

· todos os funcionários da área de saúde devem estar cientes de suas responsabilidades; o treinamento de segurança deve ser fornecido o mais rápido possível e, idealmente, antes que seja fornecido acesso à rede ou às PHIs;

· implementar defesas anti-phishing e educar os funcionários, incluindo exercícios de simulação de phishing;

· incentivar os funcionários a denunciarem atividades suspeitas (com segurança e anonimato);

· controlar o acesso a informações confidenciais e encerrar o acesso quando ele não for mais necessário para a função de trabalho do funcionário;

· criptografar as PHIs em todos os dispositivos portáteis,

· aplicar o uso de senhas fortes e usar autenticação de dois fatores;

· monitoras as atividades dos funcionários.

Sobre a autora

Sally Feller é gerente de estratégia de conteúdo da Cylance, tendo trabalhado em comunicações, relações públicas e mídias sociais na indústria de segurança cibernética por cinco anos.

Desde janeiro de 2017, o Serviço Britânico de Impostos e Alfândegas coletou 5,1 milhões de amostras para identificação de voz de seus contribuintes através da autenticação de usuário Voice ID. Durante o lançamento do serviço, foi dito que os clientes poderiam escolher o meio pelo qual seria feita a confirmação de sua identidade. No entanto, a organização de direitos humanos Big Brother Watch descobriu que, ao ligar para o call-center, não há opção: é solicitada aos clientes uma gravação de voz.

No site do serviço não há instruções sobre como recusar essa gravação. Funcionários da Big Brother Watch descobriram através de testes que a única maneira, é dizendo “não” três vezes durante a ligação. Para formalizar a recusa do uso da identificação de voz, é necessário passar por um procedimento demorado, mas mesmo depois disso, o serviço continua armazenando a gravação de voz.

Defensores dos direitos humanos exigiram explicações, mas o serviço se recusou a informar como a gravação de voz poderia ser excluída do banco de dados. De acordo com a Big Brother Watch, o serviço viola as regulamentações sobre proteção de dados do GDPR. Após a publicação da organização de direitos humanos, o Gabinete do Comissário da Informação Britânico (ICO) interveio.

Ex-chefe da sede eleitoral de Donald Trump usava foldering para se comunicar com cúmplices

O ex-chefe da campanha presidencial dos EUA, Paul Manafort, recebeu novas acusações. O consultor político é acusado de pressionar testemunhas. Ele lhes enviava mensagens através dos aplicativos Telegram e WhatsApp, e também usava o método foldering para sua comunicação. Durante o segundo semestre de 2017, Paul Manafort foi indiciado em 12 acusações, incluindo lavagem de dinheiro, sonegação fiscal, conspiração contra os EUA, corrupção e tentativas de envolver membros do Congresso dos EUA e políticos europeus em esquemas criminosos. Desde então, ele estava em prisão domiciliar.

As tentativas de Paul Manafort de intervir no depoimento de testemunhas no processo criminal sobre o lobby dos interesses da Ucrânia nos Estados Unidos tornaram-se motivo para uma nova acusação e mudança da medida preventiva de prisão. A investigação sugere que o consultor político tentou convencer as testemunhas a dar falso testemunho. Para as negociações, os membros do conluio usavam uma única caixa de e-mail. As informações nele contidas eram transmitidas através do um método chamado foldering: os participantes do diálogo salvavam os e-mails na pasta de rascunhos em uma caixa compartilhada. Os investigadores confirmaram o conluio com a ajuda de registros de chamadas telefônicas e mensagens encontradas no armazenamento em nuvem de Paul Manafort.

“Os agentes infiltrados que usam este método acreditam que é suficiente excluir o e-mail da pasta de rascunhos depois de sua leitura. No entanto, se um sistema DLP estiver instalado na empresa, a mensagem criada será interceptada, independentemente de ter sido excluída ou não”, – disse Vladimir Prestes, Sócio-diretor da SearchInform no Brasil.

Empresa francesa Optical Center é multada em 250 000 euros por vazamento de dados

Em 7 de junho de 2018, a agência francesa de proteção de dados CNIL (Comissão Nacional de Informática e Liberdade), anunciou oficialmente sua decisão pela aplicação da multa de 250 000 euros à empresa Optical Center, já que a mesma não poderia garantir a proteção dos dados de seus clientes.

Durante a verificação, os profissionais da CNIL descobriram que era possível acessar contas de clientes inserindo várias URLs na barra de endereços do navegador. Entre as informações comprometidas estão nomes e endereços de clientes, endereços postais, informações sobre o quadro de saúde (correção oftalmológica), e também números do seguro social. No momento do incidente, o banco de dados da empresa continha mais de 300.000 documentos.

Os representantes da CNIL salientaram que era necessário divulgar sua decisão, já que o número de vazamentos de dados aumentou significativamente nos últimos anos e é preciso aumentar a conscientização. O incidente ocorreu antes da entrada em vigor do GDPR, por isso a Optical Center foi multada em conformidade com a lei da França n.º2016-1321 de 07 de outubro de 2016 “Sobre a república digital”.

Junho sob a vigência do GDPR

Não importa o quão foram alarmadas, nem todas as empresas tiveram tempo para se preparar para a entrada em vigor das regras de proteção de dados pessoais do GDPR. Entre as vítimas está a gigante Jaguar Land Rover. A empresa permitiu o vazamento de dados sobre as demissões planejadas, e informações sobre o assunto chegaram à mídia algumas horas antes de os regulamentos entrarem em vigor.

Foram divulgadas informações sobre 647 funcionários que trabalham na empresa Jaguar Land Rover, na Inglaterra. Um dos documentos continha os nomes dos funcionários, dados da folha de pagamento, notas sobre violações disciplinares e a duração de afastamentos médicos. Em outra lista, eram fornecidas informações sobre lesões e deficiências. Em outro arquivo, centenas de nomes estavam marcados em vermelho, e ao lado de alguns havia datas específicas.

Após a publicação no HuffPost UK, o Gabinete do Comissário da Informação Britânico (ICO) disse que iria realizar sua própria auditoria. É muito provável que a Jaguar Land Rover seja a primeira empresa a ser sancionada pelo GDPR.

Serviço genealógico MyHeritage admitiu o vazamento de 92 milhões de contas

MyHeritage, serviço de genealogia e testes de DNA, permitiu o vazamento de dados pessoais, endereços de e-mail, e senhas com hash de mais de 92 milhões de clientes. As informações se aplicam exclusivamente aos usuários que se cadastraram na empresa MyHeritage antes de 26 de outubro de 2017.

Segundo o chefe do departamento de segurança da informação, um pesquisador de SI independente notificou que um arquivo foi encontrado com o nome da empresa no servidor fora dos perímetros da MyHeritage.

A empresa iniciou uma investigação sobre o incidente. O representante da MyHeritage acredita que nenhum outro tipo de dado de usuários foi comprometido, uma vez que as informações sobre cartões de crédito são processadas por terceiros, como PayPal e BlueSnap, e os dados de DNA do usuário são armazenados em sistemas separados.

Em linha com a política global da empresa, a Oracle acaba de contratar Daniele Botaro para liderar a área de Diversidade e Inclusão em sua operação na América Latina. Nesta posição, Daniele desenvolverá programas alinhados com a transformação cultural que a Oracle vem implementando, para promover um ambiente ainda mais inclusivo a fim de valorizar as diferenças em todas as dimensões da organização na região bem como incentivar o engajamento, inovação e produtividade de seus colaboradores, de olho também na satisfação do cliente.

As mais recentes iniciativas da sua área, foram a realização de um painel de debates sobre “O Impacto da Diversidade nas empresas de Tecnologia”, que aconteceu durante o evento de TI e negócios, o Oracle OpenWorld Brasil 2018, em junho, em São Paulo, e a comemoração do dia do orgulho LGBTQ que aconteceu simultaneamente em todos os escritórios da America Latina.

Com larga experiência sobre o tema, ela desenvolveu estratégias e atividades de diversidade para empresas de diversos setores pela consultoria ImpulsoBeta. Daniele é doutora em Ciências pela Universidade Federal do Rio de Janeiro e Universidade Técnica de Munique, com especialização em Gestão de Recursos Humanos na Escola de Negócios de São Paulo.