ISO 27799 e ISO 27001: entenda a importância dessas normas na área da saúde

5 minutos para ler

Todo profissional da área da saúde sabe da importância de proteger as informações dos pacientes, não é mesmo? Infelizmente, esta não é uma tarefa trivial e cria uma questão ainda mais complexa: como demonstrar aos pacientes e aos demais stakeholders que efetivamente uma empresa possui mecanismos funcionais de proteção? 

Uma das respostas mais assertivas são as certificações em normas técnicas, como as normas ISO 27001 e ISO 27799. Se uma empresa, por exemplo um hospital, possui certificação nessas duas normas, isso dá à própria organização e ao mercado a certeza de estar seguindo procedimentos eficazes de proteção de informações. 

Neste texto, você vai aprender o que significam essas duas normas, por que elas são aplicadas em conjunto, que benefícios trazem para as empresas e quais as maiores dificuldades na sua implementação. Acompanhe nosso conteúdo e entenda por que, cada vez mais, a obtenção dessas certificações é fundamental no mercado de saúde.

O que são as normas ISO 27001 e 27799

A norma ISO 27001 é um conjunto de regras sobre Gestão de Segurança da Informação. Aceita internacionalmente, ela determina a adoção, pelas empresas, de requisitos, processos e controles, para dirimir os riscos de Segurança da Informação nas organizações.

Acontece que, apesar de muito utilizada por organizações de saúde interessadas em proteger as informações de seus pacientes, a ISO 27001 não é considerada específica o bastante, deixando muitas questões em aberto. Por isso, é utilizada em conjunto com a norma ISO 27799, mais recente e focada na proteção de dados e informações pessoais de saúde.

Alguns pontos importantes que a norma ISO 27799 exige das empresas de saúde:

  • Controle de acessos de dados, incluindo gerenciamento de acesso privilegiado;
  • Controle criptográfico de dados confidenciais;
  • Gerenciamento e proteção de chave de criptografia;
  • Registro e arquivamento de todos os eventos significativos relativos ao uso e gerenciamento de usuários e informações secretas de autenticação, além de proteção desses registros contra “adulteração e acesso não autorizado”.

ISO 27001 e ISO 27799: benefícios

Manter sua organização de saúde certificada pelas normas ISO 27001 e 27799 possui inúmeras vantagens, dentre as quais podemos destacar:

  • Vantagem competitiva. Ter controles e segurança das informações reconhecidos a níveis internacionais destaca a organização tanto para clientes como para parceiros.
  • Redução de custos. No médio e longo prazo, segurança significa menor número de erros com informações, facilidade de acesso, redução de risco de invasões e vazamentos e, principalmente, minimização de processos e multas por mau gerenciamento de dados.
  • Conformidade. Processos bem organizados e seguros significam integração mais fácil com outros sistemas, cultura organizacional mais arraigada e menor necessidade de treinamentos. Facilitando até a obtenção de acreditações hospitalares
  • Facilidade de adequação à LGPD. A Lei Geral de Proteção de Dados exige das organizações medidas apropriadas, incluindo políticas, procedimentos e processos, para proteger os dados pessoais. A ISO 27001 é um excelente ponto de partida para alcançar os requisitos técnicos e operacionais necessários para isso.

Dificuldades na implementação

Apesar dos benefícios citados, muitas são as circunstâncias que fazem do uso das normas ISO 27001 e ISO 27799 ainda incipiente no Brasil.

Em termos globais, a pesquisa ISO Survey relativa a 2019 revela um crescimento de 12% de instituições de saúde que possuem a certificação na norma ISO/IEC 27001. O número acende um alerta para que tenhamos, aqui no Brasil, uma adoção mais rápida. Na América do Sul, somente 185 certificados foram emitidos. O Brasil, nos últimos anos, tem apresentado um crescimento tímido no setor. Por isso, vale observar os obstáculos que se opõem a um crescimento mais robusto dessa adoção.

Desafios para a adoção de ISO 27001 e ISO 27799

ISO 27799

Muitos são os desafios encontrados pelos gestores ao implementar um Sistema de Gestão de Segurança da Informação (SGSI), como o proposto pelas normas ISO 27001 e ISO 27799. Mesmo com o atual estado das Tecnologias da Informação na medicina, em muitas organizações de saúde, isso ainda é novidade; e disrupções como Inteligência Artificial (IA) e Internet das Coisas (IoT) afetam ainda mais a aplicação das normas. 

Segundo estudos apresentados na edição XI do Brazilian Symposium on Information System, os principais desafios na implementação das normas são:

  • Falta de conhecimento na área de segurança da informação e falta de interesse da direção na implementação das normas;
  • Falta de treinamento dos colaboradores, falta de entendimento dos valores de segurança por parte da TI e poucos recursos destinados às ações;
  • Baixa flexibilidade da norma ISO 27001 e dificuldade em gerenciar informações confidenciais;
  • Dificuldade em identificar corretamente os ativos das empresas e falta de experiência das equipes para implementação dos requisitos da norma;
  • Falta de avaliação precisa dos ativos das empresas, baixo comprometimento da direção, resistência à mudança, falta de experiência da equipe e não conhecimento da norma.

Plataformas e APIs

Um caminho que auxilia muito as empresas na implementação de ISO 27001 e ISO 27799 é o uso de plataformas que já incorporam as exigências das normas, como sistemas com chaves de acessos e que mantêm mensagens e informações totalmente criptografadas. É o caso da plataforma Octopus da Neomed, que tem sido utilizada com sucesso para contribuir com o cumprimento das regularidades de ambas as normas.

Você também pode gostar

Deixe um comentário