Justificar o investimento em segurança é difícil em qualquer empresa, mas é mais difícil ainda nas empresas de saúde. O orçamento de TI é apertado, a direção é dada por médicos (que simpatizam mais com equipamentos claramente ligados à atividade médica), a cooperação entre as empresas do setor é pouca, a experiência dos fornecedores é recente. Nesta mesa-redonda, seis executivos discutiram o desafio de ajustar a segurança da informação nas empresas de saúde: José Aparecido Vieira Pinto, gerente de gestão de apoio da Fundação Pró-Sangue; Klaiton Luis Ferretti Simão, assessor de TI do Hospital Samaritano; Luiz Carlos Suart Júnior, gerente de TI do Hospital 9 de Julho; Márcio Biczyk do Amaral, diretor de TI do Hospital das Clínicas da Universidade de São Paulo; Regina Maria de Souza Pistelli, consultora; Teresa Elena P. Sacchetta, diretora de informática e telecomunicações do Fleury. A coordenação foi de Wilson Moherdaui, diretor editorial do Informática Hoje, e de Márcio Simões, editor executivo.

IH — Na saúde, a segurança deve ser especial?

Márcio — Trabalhamos com vários enfoques na segurança: infra-estrutura, acesso às máquinas, bancos de dados, criptografia das informações, firewalls. Precisamos de tecnologia para garantir a privacidade das informações sobre pacientes. Por isso investimos, nos últimos três anos, na atualização de toda a rede; temos 5 mil computadores, 200 servidores, 200 máquinas distribuidoras. O Hospital das Clínicas é na verdade um complexo de vários hospitais — o InCor é um dos hospitais, o SUS Central é outro. Temos 26 prédios conectados em arquitetura mista, estrela e anel óptico. Temos uns 20 quilômetros de fibras ópticas e uns 300 switches, para segmentar a rede dos vários institutos, inclusive da Faculdade de Medicina. Usamos como referência a norma ISO NBR 17799, sobre segurança em todos os seus aspectos. Colocamos na intranet uma política de segurança, com várias normas, para o usuário conhecer as regras, o que pode baixar, o problema dos vírus, etc. Todo o nosso cadastro de usuários é alimentado pelo sistema de gestão de recursos humanos — para acessar a rede, a pessoa precisa ser funcionário de uma dessas 26 instituições. A informática faz várias checagens para construir uma matriz de acessos permitidos por sistema e por módulos. Temos cerca de 200 subsistemas na lista, além de um grande sistema hospitalar e vários sistemas menores. Até pouco tempo atrás, esses subsistemas não estavam integrados. Ao longo dos últimos três anos, unificamos os quatro cadastros de RH, três sistemas de gestão hospitalar — isso tudo está agora num portal único, um índice de todos os sistemas da rede. Pelo portal, fazemos o controle dos acessos, das senhas.

IH — Para os esquemas mais tradicionais de segurança, existe até modelo pronto de justificativa dos investimentos. E quanto à segurança de serviços mais elaborados, como o de diagnóstico automático a partir do exame?

Márcio — Vamos conforme as prioridades do hospital. Uma delas é o painel de administração, o cockpit, com indicadores sobre clientes, mercados, finanças, gestão. O orçamento do hospital está em torno de R$ 1 bilhão, e o orçamento da informática está um pouco abaixo de 1% disso, isto é, está abaixo da média de mercado para o setor de saúde, que é de 3% a 5%. Então, no primeiro ano do nosso planejamento, demos prioridade à parte de infra-estrutura, atualizamos a tecnologia da nossa rede, o que é também uma questão de segurança. Esse investimento foi aprovado num comitê, composto de 16 gerentes de informática do complexo hospitalar. A partir dessa primeira fase, atualizamos também software, pusemos gerenciamento de rede, antivírus e assim por diante, até chegar ao ponto de ter serviços com bom grau de segurança e de confiabilidade na rede.
No que é específico da área hospitalar, na rede nós temos dados de pacientes, vários tipos de procedimentos, tudo disponível para os médicos. O paciente colhe a amostra, o tubinho com o código de barras vai para uma das máquinas da biologia, no segundo andar, a máquina faz a análise (hemograma, sódio, potássio, etc.), e assim que o exame está pronto, fica disponível na intranet para os médicos de vários setores — pronto-socorro, internação, ambulatório. Em alguns casos, o exame já vem com sugestão de diagnóstico, assim o profissional de saúde exerce sua profissão da melhor forma possível..

IH — O usuário realmente lê essas normas na intranet?

Márcio — Fizemos divulgação via e-mail para todos os usuários, e mais para a frente vamos repetir a divulgação. Mas estamos passando as normas como iniciativa de diretoria, não da informática..

Klaiton — É difícil separar o que deve ser apropriado como investimento em segurança da informação, porque a segurança pode ser facilmente confundida com uma funcionalidade da tecnologia. Mas o investimento em segurança segue o velho tripé tecnologia, pessoas e processos. No setor de saúde, vejo três tecnologias importantes: biometria, que é importante para as operadoras [empresas operadoras de planos de saúde], pois fraude é um dos grandes tumores do setor. Não sei se é desinformação minha, mas os avanços na biometria têm sido pequenos, e não vejo as operadoras usando a biometria para identificar clientes. Há dez anos, achávamos que haveria um terminalzinho de biometria para autenticar todos os procedimentos. Certificação digital é outra tecnologia. O Samaritano investe em certificação, especialmente para o prontuário eletrônico, assim o médico não precisa imprimir aquilo e assinar o papel, como o Conselho Federal de Medicina exige. Enquanto o médico for obrigado a imprimir e assinar, não é prontuário eletrônico na acepção correta da palavra, mas é prescrição médica auxiliada por computador... Outra tecnologia são os aplicativos para o negócio-fim do hospital, e não só para as atividades administrativas. Imagine se uma receita médica vai para o paciente errado por causa de um erro de programação. Então, biometria, certificação e uma profunda revisão no código dos aplicativos são o grande desafio de segurança — isso no âmbito da tecnologia.
Com relação às pessoas, o desafio é a conscientização. A segurança da informação deveria ser um problema da corporação, não da TI.
Com relação aos processos, faltam políticas e normas, porque a segurança ficou meio restrita apenas ao perfil do usuário. Mas esse assunto é novo, até mesmo para o pessoal de TI. Acho que a tecnologia ficou complexa demais, de forma muito rápida, e por isso as empresas não tiveram tempo de se estruturar..

José — A Pró-Sangue lida com 15, 20 mil bolsas de sangue todos os meses, num processo regido pela norma ISO 9000, e usa tecnologia para proteger o processo de doação em si e todo o ciclo do sangue, como chamamos, que termina na aplicação do sangue no paciente. Contamos com uma estrutura centralizada de dez servidores. No nosso banco de dados, temos 3,5 milhões de doadores. Como estamos dentro do Hospital das Clínicas, usamos os firewalls do HC. Mas, para mim, o problema da segurança é o pessoal. A solução é treinamento.
Acho que ainda não houve um evento, no Brasil, que fizesse a alta direção do hospital valorizar o investimento em segurança.?

IH — Só para esclarecer: o ciclo do sangue é o caminho do sangue do doador ao receptor?

José — Exatamente. Acabou virando também o nome do software que controla todo o ciclo. Ele exige documento com foto, tem entrada para os sinais vitais e o doador tem lá um momento a sós com a máquina para responder 94 perguntas, por exemplo, se ele esteve no Reino Unido no tempo da vaca louca. Mas investimos mais nos usuários, no conhecimento..

Teresa — O tema, segurança da informação, é relevante. O chão-de-fábrica é a realização do exame, mas o produto final entregue ao cliente é a informação. As pessoas sentem mais o que mexe com o bolso, mas o sigilo da informação médica nem sempre mexe com o bolso, então a conscientização é mais difícil.
Eu vejo o tripé da segurança da informação assim: confidencialidade, disponibilidade e integridade. São os três pontos críticos. A tecnologia aplicada à confidencialidade, as redes, os firewalls, é bem discutida. Mas tem o problema da consciência das pessoas. Não temos como prever as implicações de divulgar as informações de um exame. Tem o problema do convencimento: é fácil calcular o retorno do investimento num espectrômetro de massa, um aparelho caríssimo, mas que gera receita. Temos de convencer a empresa de que existem os riscos, como o risco de imagem se uma informação vazar. Temos de fugir do tecniquês ao dar explicações.
A disponibilidade é até mais simples de enxergar, porque se o Fleury promete o resultado do exame para as 18 horas, o cliente vai reclamar se entrar na Internet e o exame não estiver lá. E é sempre assim: tem que estar disponível, 24 por 7, mas não pode gastar muito. Por isso a gestão de riscos é importante: não é possível gastar com tudo o que seria necessário para manter todas as funções do sistema 100% garantidas, 100% do tempo.
Sobre integridade: nenhum teste é infalível, assim nenhuma informação é sempre correta. Usamos os sistemas para diminuir a chance de erros humanos. A biometria ajuda nisso — às vezes, o funcionário se esquece de pedir o documento de identidade. Por exemplo: no Fleury, um robô processa mais de 10 mil exames por dia. Com o código de barras, ele leva a amostra para a máquina de análise correta, e com isso ninguém comete o erro de colocar a amostra na máquina incorreta. Os resultados já vão para os bancos de dados. E existem os sistemas para ajudar nas decisões. Em geral, o paciente faz vários exames, e às vezes já tem um histórico de exames armazenados, e o sistema de apoio às decisões já simula o raciocínio médico. Faz sentido esse exame de T3, já que ele tem o T4, o TSH e o hemograma, já que ele tem essa idade e esse sexo e esses exames anteriores? Tudo o que não faz sentido, gera um alarme, para ser checado depois por um especialista. Mas o problema principal está nas pessoas, é uma questão cultural. O treinamento ajuda, mas, por exemplo, na central de atendimento ao cliente, a rotatividade é alta. O trabalho é estressante e os atendentes não se consideram daquela profissão.

IH — Você mede a quantidade de falhas humanas sistematicamente, como pré-requisito para conseguir verba para investimentos em segurança?

Teresa — A própria área de negócios faz medições, todo o nosso sistema de qualidade ISO exige o registro das não-conformidades. Fazemos análises disso, que se convertem em melhorias no sistema, feitas por meio de segurança e de qualidade..

Luiz — A partir de 2004, segurança da informação passou a ser da área de gestão de riscos. Temos o risco da informação, do paciente, do negócio e do patrimônio. Falamos de sistemas, mas se alguém joga um pedaço de papel no lixo, uma informação pode sair da empresa. Por isso, saco de lixo no 9 de Julho agora é transparente, assim vemos o que está lá dentro. Assim, a área de TI dá apoio de tecnologia para essa área de gestão de riscos. Sobre usuários: todo novo funcionário passa por uma prova de TI — sabemos o quanto ele conhece de Windows, Excel, Word, PowerPoint. Se ele for trabalhar com computador e não estiver capacitado, ele vai colocar ali informação inconsistente, nem sempre o sistema consegue perceber o erro. Assim, todo o trabalho da TI é feito com a ajuda do comitê de risco. O médico está prescrevendo — então, o sistema pode checar algumas coisas, fazer uma auditoria. Existe uma certificação hospitalar chamada ONA [Organização Nacional de Acreditação], e ela exige um escritório de gestão de riscos, cujo objetivo é incluir todos os riscos empresariais. Um cuidado importante é o manual, com regras de segurança, de marketing, como se comportar com a chegada de alguém importante, responsabilidades — esse manual reduz a quantidade de problemas..

IH — Você compartilha o problema da segurança com as operadoras?

Luiz — Elas trazem as maquininhas e nós obedecemos as regras do jogo..

Teresa — Temos muita dificuldade no relacionamento com as operadoras, e o problema principal é a falta de padrões..

Luiz — Tem a iniciativa da ANS, a tal da TISS [troca de informações em saúde suplementar], mas a TISS é apenas um começo. Deve melhorar alguma coisinha, mas sempre achamos que alguém está tentando nos passar a perna..

Regina — A área de saúde tem esse viés. Todo mundo sempre acha que o outro está ganhando mais, e isso atrapalha um pouco a regulamentação. Mas acho que a segurança, na área da saúde, é tão ou mais importante que na área financeira. A imagem do paciente, se houver divulgação de informações confidenciais, pode ser destruída, como já aconteceu no Brasil e no mundo. E a instituição de saúde deixa de ser confiável. O profissional de saúde se preocupa com as informações que tem nas mãos, mas o sistema todo, os profissionais todos não têm percepção clara dos riscos associados às falhas de segurança..

IH — Os riscos não são percebidos pelas empresas?

Regina — Sim, pelas empresas, pelos gestores. As pessoas precisam de conscientização, e a necessidade desse trabalho é um reflexo da cultura do setor. Iniciativas como a da ONA falam de formalizar processos, o que é importante, porque na saúde temos funcionários celetistas, não-celetistas, médicos fixos, médicos da rede, outros profissionais de saúde. Com o processo, esse trabalhador consegue ver suas responsabilidades de segurança. Mas tudo isso é muito recente.
Com relação à TI, é importante que os fornecedores nos ajudem a mostrar à empresa a necessidade de investir em equipamentos, software e serviços de segurança, porque as pessoas sempre perguntam: como assim?
Com relação às seguradoras, ninguém precisa de conscientização sobre fraudes, porque mexe com o bolso, é negócio. Mas como o negócio da saúde não tem sido bom para ninguém, não dá para ter tudo de segurança — temos de achar a melhor equação, porque a distância entre custos e lucratividade é pouca. O desafio é achar a segurança adequada, o que é bem complexo. O ser humano sempre vai errar, e por isso devemos investir em tecnologia e processos. Um bom processo, com tecnologia adequada, padroniza o trabalho e reduz o risco de erros. Ser obrigado a buscar uma certificação da ONA é uma maravilha, porque nos obriga a trilhar um caminho sem precisar inventá-lo sozinho. Padrão é sempre a melhor alternativa. E, se o investimento for bem feito, na segurança e tudo o mais, reduzimos os custos e melhoramos a assistência.
Sobre tecnologia, a área da saúde tem uma particularidade: trabalha com imagens. Quando passam imagens na rede, os problemas de segurança triplicam. Além disso, os médicos também trocam executáveis. É difícil separar o que é do bem e o que é do mal.
.

IH — A oferta de tecnologia está adequada ao setor de saúde?

Klaiton — Acho que a tecnologia não supre nossas necessidades, até por culpa nossa, por causa dessa falta de colaboração na cadeia produtiva. Existe tecnologia, mas o custo é proibitivo, o que equivale a não existir. Controle de fraude é um grande problema, até porque agora os sistemas de gestão são usados não apenas pelo pessoal administrativo, mas também por médicos, enfermeiros, auxiliares de enfermagem, nutricionistas, terapeutas. Esses sistemas são caros, mal escritos, instáveis, sujeitos a erro. Não conheço nenhuma ferramenta com o nível daquelas usadas pela indústria..

Márcio — Acho que até existe, mas o preço ainda está alto demais. Nas soluções mais baratas, não existem controles de segurança típicos da área de saúde, por exemplo saber se um paciente tomou ou não a medicação corretamente..

José — Esta semana conversei com um fornecedor de pulseira, que de minuto em minuto manda a temperatura do paciente, mas você pega o preço e multiplica por umas 400 pulseiras — fica inviável falar daquilo com a administração da empresa..

Márcio — Na verdade, a tecnologia existe, leva dois segundos para identificar uma máquina infectada e bloquear a porta na rede, dá para controlar o inventário e tudo o mais. Mas o governo americano gasta 15% do PIB com saúde, e os custos só aumentam, e para eles a TI é a única grande resposta para controlar o sistema de saúde como um todo. Evitar, por exemplo, que o paciente peça o mesmo exame em dois laboratórios, só porque discordou dos resultados do primeiro exame.

Teresa — Existe também o problema da profissionalização da área de TI nas empresas de saúde, que é recente. Os próprios médicos cuidavam da administração da empresa, até porque é mais fácil, sendo médico, aprender de administração. Quando veio a TI, os médicos assumiram a TI também, mas depois foram percebendo que não dá. Com o crescimento das empresas, a gestão da TI precisa ser profissionalizada. Isso impacta também na percepção do custo. Para os médicos, é fácil ver o valor de um espectrômetro de massa, mas é muito mais difícil aceitar o valor da TI.

IH — A justificativa dos investimentos deve ser feita pelo terror?

Klaiton — Um pouco, sim, porque, diante da escassez de recursos, o sujeito que assina os cheques é obrigado a estabelecer prioridades. Segurança é intangível, e só ameaçando ou listando os possíveis prejuízos para tornar a segurança um pouco mais tangível. É difícil dar prioridade ao intangível.

Luiz — Eu sempre levo para a diretoria tudo o que é bom sobre alguma tecnologia e tudo o que é ruim. Assim, não há ilusões. O fabricante diz que o servidor funciona 99,9999% do tempo — mas e se falhar? A empresa precisa decidir se quer o servidor de volta em 1 segundo ou em 4 horas, porque cada tempo tem seu custo.