900 mil euros para reforçar segurança numa saúde cada vez mais digital

A digitalização dos serviços da saúde e o valor da informação que circula nas redes dos prestadores que os fornecem, transformaram o sector num dos grandes alvos do crime informático. Em Portugal a coordenação das políticas de TI no sector público da saúde está a cargo dos Serviços Partilhados do Ministério da Saúde, criada em 2010 para centralizar as funções de compras, financeira e de recursos humanos daquele sector do Estado.

Nos últimos três anos, esta Entidade Pública Empresarial desenhou e está a colocar no terreno um programa de risco e segurança, baseado num quadro de referência e num conjunto de iniciativas para colmatar as falhas identificadas. A usar mais tecnologia do que nunca, o Ministério da Saúde também está a investir como nunca na segurança dos seus sistemas de informação.

«O principal desafio tem sido convencer todos os intervenientes internos e externos de que a segurança evoluiu e que não é apenas um tema da Informática», diretor de sistemas de informação Serviços Partilhados do Ministério da Saúde.»

O programa foi lançado em 2015 e no ano seguinte «existiu uma grande preocupação de capacitar a SPME e o eSIS (Arquitetura do Ecossistema de Informação de Saúde) com boas práticas de referência ao nível da gestão da segurança da informação; políticas, normas, procedimentos alinhados com as boas práticas de referência; campanhas de comunicação e awareness; e ações de formação e capacitação», como explica Rui Gomes, diretor e sistemas de informação.

Este ano os objetivos estão diretamente relacionados com a operacionalização das boas práticas desenvolvidas, sobretudo no que se refere à gestão de incidentes de cibersegurança e resposta a desafios externos relacionados com a proteção dos dados, em particular no domínio da privacidade.

Neste âmbito já está aliás em vigor a alteração legislativa que reforça a capacidade de receber e fornecer informação da SPMS, junto dos seus principais interlocutores. O diploma, publicado em Diário da República no passado mês de fevereiro, passa a centralizar na SPMS a comunicação de incidentes, por todas as entidades na dependência do ministério e determina que a participação em sessões de esclarecimento promovidas pelo organismo passa a ter caráter obrigatório.

O diploma justifica que “o nível de complexidade que pode ser atingido [pela crescente utilização de meios tecnológicos] leva a prever que não seja suficiente adotar mecanismos de proteção e segurança, sendo necessário também garantir meios que permitam vigiar em permanência o estado desses mecanismos e sempre que possível otimizá-los”.

 

Procurar o máximo de sinergias aumentou exigências do projeto

Na preparação desta resposta mais global aos novos desafios da segurança, Rui Gomes explica que «o principal desafio tem sido convencer todos os intervenientes internos e externos de que a segurança evoluiu e que não é apenas um tema da Informática», mais ainda porque o programa implementado pelo ministério, junta à dimensão tecnológica da segurança outras dimensões, nomeadamente de organização, processos e pessoas, as duas últimas cada vez mais relevantes como foco de vulnerabilidades.

O responsável admite que, se por um lado «o facto de ter existido a ambição de encarar a segurança de forma transversal em todo o Ministério da Saúde resultou num conjunto de oportunidades relacionadas com as sinergias entre as diferentes entidades», também aumentou os desafios do projeto, no que se refere à orquestração de todos os intervenientes.

Outra das grandes questões da tarefa está na capacitação de recursos humanos nestas áreas, pelo que a formação tem sido uma das grandes vertentes de ação, cobrindo desde os conselhos diretivos aos profissionais de saúde, passando por quem está na área das TI.

«Todos os incidentes de segurança em unidades de saúde públicas têm de ser reportados à SPMS. A participação nas sessões de esclarecimento promovidas por esta EPE passaram a ser de frequência obrigatória.»

«O caminho que temos vindo a percorrer tem tido resultados muito interessantes, com o nível de colaboração e interajuda a aumentar a cada dia», reconhece Rui Gomes. Traduzindo esta aposta em valores de investimento, o contrato programa assinado entre a ACSS-SPMS atribui à segurança um orçamento de 900 mil euros, o maior de sempre. Rui Gomes não esconde que era preciso mais para formar quadros e munir os hospitais dos meios necessários, mas sublinha que no contexto económico atual já é um esforço significativo.

 

---