150 palestrantes, 8 congressos 📣 Já emitiu sua credencial para participar do HIS18? Estamos no último lote! Saiba mais →

“Você não resolve sozinho o problema de segurança de dados. Isso é um fato.”

Publicidade

Há 18 anos trabalhando no ramo de segurança de informações, Edgar Parente, presidente da M2G nos conta durante um almoço como foi, em sua visão, a evolução do tema no Brasil e problemas enfrentados atualmente.

Logo em sua primeira empresa, na década de 70, ele percebeu qual seria o seu maior problema: a segurança, na época física e mais tarde digital, dos dados. “Era um desafio manter a segurança física dos dados. Os sistemas caíam, você perdia coisas… Quando eu entrei no ramo de saúde, eu fiquei apavorado porque a ANS poderia pedir para qualquer empresa de saúde, a qualquer momento, os registros: ah, eu quero tal exame, de tal dia, prove que você fez aquilo no prazo correto. Então o meu foco era: eu preciso proteger os dados do meu cliente.” Edgar conta que, um tempo mais tarde, houve alta intercorrência de roubo de dados, uma demanda que, pessoalmente, ele nunca achou que iria ser exposto.

Em sua visão, o mercado de saúde tem enormes problemas, o que é uma oportunidade para excelentes soluções. Nessa fase, a segurança física já havia sido conquistada, mas ele não poderia regredir e estipulou a si mesmo uma nova meta, proteger as empresas de grandes ataques.

Focado em segurança de dados para seguradoras, com cerca de 9 milhões de beneficiários de clientes, a empresa, que já conta com grandes seguradoras em sua carteira, ainda luta para conscientizar as instituições de que o serviço de proteção não é um custo, mas um investimento. “As pessoas estão sentindo que não é só o cartão de crédito que tem informação de valor. Estamos em uma fase complicada, o custo agregado que estamos pagando por esse banditismo é assustador.” disse o executivo.

Vale lembrar que esse assunto é relativamente antigo, começando, conforme citado, com os bancos. Beatriz Lindenberg, COO da empresa, completa “Os dados financeiros são óbvios, e todo mundo sempre ficou de olho no banco, no dinheiro, talvez os bancos começaram a se desenvolver mais por causa disso”. Mas é claro que logo isso se espalhou para outros setores. Empresas que lidam com a saúde humana, como hospitais, clínicas, laboratórios e operadoras, têm em mãos dados muito sensíveis sobre seus pacientes. Por isso, devem estar cercadas de cuidados para que suas informações não sejam expostas, roubadas, destruídas ou alteradas.

A sofisticação dos riscos a que as empresas estão expostas deu vazão a uma mudança total de paradigma na segurança da saúde. Para se ter uma ideia, organizações de saúde gastam 5% do seu orçamento em TI, neste tema, enquanto o mercado financeiro, despende cerca de 14%. Diante deste cenário, Edgar decidiu elaborar um plano estratégico: “Antigamente se concordava em ter custos, depois entramos na fase em que era sadio ter investimentos, hoje em dia nem isso se fala mais. Não tem dinheiro, então o que eu posso conseguir com os meus clientes é que elas troquem custo ruim por custo bom.”, explica o presidente. A ideia é trabalhar a 4 mãos com a operadora para otimizar processos existentes, e assim rearranjar o destino do orçamento.

Um dos artifícios encontrados pela empresa para promover essa eficiência é a utilização de Robot Process Automation (RPA), com ganhos estimados em 10%. Segundo Edgar, a empresa que não se diversificar e pensar soluções para atender as necessidades de seus clientes, não sobreviverá.

Sobre segurança de dados de um ponto de vista mais holístico, ele divide a responsabilidade em 3 vertentes: segurança física, segurança digital e cultura. “Segurança de dados não é um projeto que se resolve por mágica, não é só criptografia. Primeiro há a segurança física: você pode ter o tratado de segurança da informação mais avançado, mas se o dados físico não estiver seguro, não adianta. Segundo, após assegurar que o dado não pode ser subtraído de alguma maneira fisicamente, tem que cuidar da criptografia dos dados. Ter a segurança de somente pessoas autorizadas entenderão a informação através da chave de acesso.”

Outros dois pontos importantes citados por ele são a rastreabilidade e a redundância. Por rastreabilidade se entende documentar tudo o que acontece, o que é muito importante pois os dados podem ser movimentados em qualquer lugar, na nuvem, na empresa, no cliente, e é necessário esse registro para a segurança e prestação de contas caso aconteça algum problema. Já a redundância é um backup no caso de algum dado ser corrompido ou sequestrado.

Em cultura, ele reforça que a segurança dos dados não é algo que se resolva sozinho. Também fala sobre a importância de ser implementada uma política dentro da empresa, além de treinamentos recorrentes entre todos que têm acesso ao sistema. “Por exemplo, nossos funcionários não podem chegar perto de dados de clientes, não estão autorizados pendrives e os computadores devem estar sempre bloqueados com senha.  São várias regras, muitas pequenas práticas, mas a adoção é uma questão de cultura. E mais ainda, é o zelo.” explica Beatriz, e completa: “Temos que rever inclusive os contratos com os clientes, para que eles tenham cuidado, porque eles também têm responsabilidade. É uma mudança, inclusive, de rotina. Na medida que as pessoas se conscientizam e a gente consegue ter uma boa comunicação, fica tudo mais fácil”.

Para finalizar, Edgar comenta que a legislação brasileira está muito atrás em relação à segurança de dados, do que podemos ver em países europeus ou nos EUA. “Nós decidimos, por exemplo, implementar as boas práticas recomendadas pelo mercado europeu. São cuidados a mais em relação aos dados que não seriam necessariamente aplicados na legislação brasileira.”

       
Publicidade

Deixe uma resposta