Como muitas corporações globais, a empresa de diagnósticos Dasa enfrentava um grande desafio para preservar as importantes informações do seu maior ativo: o cliente. Isto justifica a preocupação e o grande empenho da instituição para garantir a segurança dessas informações. “Quando uma pessoa vê suas informações bancárias, de cartões de crédito ou de documentos roubadas por via eletrônica, passado o susto, ela terá como trocar os números e reaver ou minimizar seu prejuízo. Quando o roubo atinge seu histórico médico, não há recuperação, sua intimidade fica exposta. Este dano tem um valor imensurável na sociedade”, compara Pedro Nuno, gerente de Governança de TI e Segurança da Informação da Dasa.
Não há nenhuma novidade na ocorrência de roubo de dados de empresas dos mais diversos setores, mas o setor de saúde tem sido um dos alvos preferenciais dos cibercriminosos, tanto pelas informações industriais, com altos investimentos em pesquisas, quanto pelas informações pessoais de personalidades, artistas, políticos ou qualquer pessoa que tenha alguma projeção social.
Diante de tamanhos riscos, a Dasa resolveu, em 2014, buscar uma empresa parceira para implantação de um sistema de proteção para dados sensíveis estratégicos e, principalmente, laudos de pacientes, com informações médicas. Logicamente, esse sistema também deveria atender as conformidades de normas, garantir a confidencialidade das informações, mas o mais importante seria manter a integridade dos laudos, desde a sua geração em sistemas apropriados para esse fim até a interpretação correta dos resultados pelos médicos.
Os principais pontos de preocupação da Dasa eram o vazamento de informação internamente, de dentro para dentro, de dentro para fora e por meio de ataques externos. Para criar uma barreira sólida contra qualquer dessas possibilidades, a empresa optou por utilizar o Data Loss Prevention (DLP) como proteção.
A implantação
Nuno revela que o primeiro passo foi implementar o processo, “que é o grande segredo de um projeto de DLP”. “Acredito que o DLP é a única ferramenta de segurança da informação propriamente dita, pois evita que haja vazamento de informações sensíveis, mesmo que o agente tenha acesso ao sistema e a intenção de cometer a irregularidade”, afirma.
O curioso, segundo Nuno, é que o processo é uma ferramenta de negócios, e não de segurança ou de TI. Por isso, foi fundamental envolver todo o público interno no projeto, por meio de uma “venda” interna consistente. A partir da avaliação e definição de todos os processos – classificação, uso da informação, avaliação de risco, gestão de fraude, entre outros –, uma equipe ficou encarregada de apresentar o projeto aos diretores e gerentes de cada unidade, mostrando como seria agregado valor àquela área. O plano de ação de TI e segurança da informação, criado após essa avaliação, já determinava onde o DLP deveria ser utilizado.
Numa segunda etapa, foram levantadas todas as informações eletrônicas e físicas e, juntamente com a área de qualidade, foi feita uma classificação da informação. Só, então, o DLP passou a proteger a informação já identificada, classificada, com palavras-chave, pontos críticos e outros parâmetros pré-determinados. O sistema prevê, inclusive, detecção de tentativa de fraude, com regras para monitoramento e avisos logo no início da ocorrência.
As primeiras áreas a utilizar esse sistema foram as de auditoria, jurídica, de riscos e compliance, pois elas têm a possibilidade de monitorar todas as outras áreas. Um acidente crítico em Recursos Humanos, por exemplo, pode começar a ser tratado em conjunto com o departamento jurídico e, em última instância, chegar ao nível de compliance.
Com relação aos laudos dos pacientes, da parte médica, foram seguidos basicamente os passos os mesmos, envolvendo a área de negócios no entendimento do processo, desde a definição de laudo, quais seus campos principais, o que era risco e o que não era, e qual a função do DLP nessa área.
Os resultados
Passado menos de um ano do início da implantação do novo sistema que engloba o uso do DLP, a Dasa já contabiliza resultados positivos do projeto. “Hoje, vemos com exatidão por onde trafegam as informações dos laudos de 3 mil tipos de exames, coletados em mais de 500 unidades de 13 estados no Brasil e que passam por 11 laboratórios para seu processamento. Se um usuário copiar uma informação para um pendrive, encaminhar para uma página na internet ou mesmo enviar para um banco de dados não autorizado, o sistema consegue identificar e bloquear a ação, assim como avisar a área de RH”, declara Nuno.
Vale lembrar que em toda essa rede da Dasa, que inclui 24 marcas próprias –, como o Delboni, por exemplo –, atendimento ao setor público, mais a prestação de serviços para cerca de 3 mil laboratórios menores, passam cerca de 20 milhões de exames clínicos por ano.
Para Nuno, todo esse controle só é possível graças ao DLP, que é uma ferramenta de segurança que realmente bloqueia a saída de toda informação crítica por meios não autorizados, garantindo que somente o paciente, mesmo com uma senha fraca, acesse seu laudo.
Outra constatação surpreendente foi que, na Dasa, o DLP deixou de ser apenas uma ferramenta de segurança de informação em saúde e ganhou status de ferramenta do negócio, que atua diretamente no processo e que agrega muito valor à empresa.
O papel da Symantec
A Symantec e a ISH Tecnologia, empresa parceira há quase uma década, tiveram os laudos como ponto central para oferecer uma solução de segurança de informação para a Dasa. Partindo dessa premissa, a primeira ação foi reforçar a segurança já existente na companhia, como a proteção endpoint, e aplicar novas técnicas, a fim de criar uma política mais agressiva de proteção ao ambiente. A segurança das mensagens que trafegavam na empresa foi reforçada com metodologias modernas e o DLP foi adicionado, a fim de prevenir vazamentos de informação. Além disso, criou-se uma regra: determinadas informações só poderiam circular depois de criptografadas pela solução Symantec Mail Encryption.
A identificação dos possíveis gargalos de vazamentos das informações foi outro ponto destacado no processo. Esses vazamentos poderiam ser atribuídos a usuários internos distraídos ou mal intencionados e a usuários externos com a intenção de praticar de fato roubo de informação. É importante saber de quem se deve proteger.
Foi exatamente na detecção que a parceria Symantec-ISH se destacou, pois atendeu a todas as normas e os requerimentos exigidos pela Dasa. Para tanto, foi usada uma combinação de tecnologias, como indexação de arquivos para comparação de proximidade ou similaridade, levando mais inteligência para o processo; dados estruturados do cliente, base de arquivos, base de dados e dados em repouso foram outras técnica aplicadas. “Por meio de uma prova de conceito, que consiste na instalação de ferramentas em pequena escala, com o objetivo de captar o máximo de informação possível, conseguimos comprovar para a Dasa a necessidade que a empresa tinha de adotar um sistema de segurança rígido e abrangente. Nessa prova, nossas ferramentas tiveram um desempenho muito eficiente, e esse foi um passo importante para a aprovação do projeto”, explica Armsthon Zanelato, diretor Comercial da ISH Tecnologia.
“Trabalhar com tantas variáveis, englobando a informação descrita, a informação em arquivo, a que está trafegando, a do banco de dados e a dos pacientes, foi um grande desafio, mas foi o que garantiu o sucesso do projeto”, avalia Marcell Borges, gerente de contas da Symantec. “O próximo passo será o uso de uma máquina inteligente, capaz de aprender a diferença entre a imagem de uma tomografia e uma fotografia de uma pessoa, ou seja, detectar o que pode e o que não pode sair do sistema.”
O sistema atua em diversos pontos de controle: na rede, no endpoint, storage e cloud. Nesse caso específico da Dasa, o endpoint não é simplesmente uma máquina em cima da mesa do usuário. Ele está em toda a companhia e também na casa do usuário. Por isso, o controle de acesso a informações sensíveis precisa ser bastante rígido. As redes, com wi fi e VPNs, seguem a mesma linha.
Para Pedro Nuno, da Dasa, a entrega de laudo criptografado por meio de e-mail representa um rompimento de paradigma, pois permite que os resultados de exames cheguem às mãos dos pacientes de forma segura, ágil e confiável, que é o objetivo final da empresa.
Marcell Borges, da Symantec, ressalta que o envolvimento das áreas de negócios da Dasa foi crucial para o projeto e que muita coisa ainda está sendo melhorada. “O DLP não é uma ferramenta estanque, ao contrário, ela permite melhoria contínua, até porque a criatividade para burlar sistemas não tem limite.”
