Notícias
Política reduzirá riscos relativos à segurança da informação
Sistemas e redes do Ministério da Saúde ficarão mais protegidos contra ataques, vazamentos e interrupções. Conscientização dos usuários é uma das principais formas de prevenção preconizadas pela nova política
A nova Política de Segurança da Informação e Comunicações (POSIC), publicada neste mês de fevereiro pelo Ministério da Saúde, vem para promover maior segurança no processamento, armazenamento e comunicação de dados nos sistemas informatizados do Sistema Único de Saúde (SUS) e na rede do Ministério da Saúde. O texto estabelece uma série de diretrizes a serem seguidas para a proteção de dados e informações, com destaque para responsabilidades e deveres dos agentes públicos. A política substitui um documento de 2010, e está em concordância com a legislação vigente, normas internacionais e exigências de órgãos de controle.
O Coordenador-Geral de Gestão de Projetos (CGGP) do Departamento de Informática do SUS (DATASUS), Paulo César Kluge, considera que o texto é essencial para elevar o nível de segurança institucional. “Como o Ministério da Saúde trabalha com muitos dados sensíveis, é imprescindível ter normas de segurança regulamentadas. A existência de uma política de segurança é uma exigência do Gabinete de Segurança Institucional da Presidência da República, e sua efetividade figura nas recomendações do Tribunal de Contas da União. Na elaboração da nova POSIC buscamos nos adequar, procurando o alinhamento com normas e com as melhores práticas internacionais na gestão da segurança da informação”, esclarece.
Confira o texto completo da POSIC.
NOVAS AÇÕES – A POSIC estabelece diretrizes gerais, que serão desdobradas em normas específicas, servindo como base para diversas ações concretas voltadas para a segurança da informação. Sob a tutela da política, atividades importantes estão em planejamento ou já sendo realizadas, como, por exemplo, a Campanha de Conscientização em Segurança da Informação e Comunicação, o Programa de Continuidade de Negócio e a instituição da Equipe de Tratamento de Incidentes na Rede (ETIR).
A campanha visa conscientizar os usuários da rede do Ministério da Saúde a respeito das ameaças a que estão expostos no meio digital, e deve ser periódica, a fim de sempre manter os usuários alertas. A campanha de 2017 já está em fase de concepção. Além disso, ações como o Curso de Conscientização de Segurança da Informação estão sendo normatizadas e promovidas, e outros tipos de atividades poderão ser realizadas junto aos usuários.
Outra medida importante em planejamento é o Programa de Continuidade de Negócios nos sistemas críticos do Ministério da Saúde, que visa garantir a disponibilidade ininterrupta de sistemas chave do SUS. “Esses mecanismos de segurança já foram aplicados no Sistema Nacional de Transplantes (STN). Evitar que ele “caia” requer um bom planejamento, um desenho de processo e cooperação de diversas áreas do Ministério da Saúde”, esclarece Kluge. Também está sendo planejada a implantação nos demais sistemas considerados críticos para a Saúde.
Também já tiveram início as atividades da Equipe de Tratamento de Incidentes na Rede (ETIR), implementada pela POSIC, cujo objetivo é garantir o adequado tratamento dos incidentes de rede, de modo a constituir uma base de conhecimento sobre eles e sobre as ações de correção e medidas proativas necessárias.
CONSCIENTIZAÇÃO – Uma das principais abordagens da POSIC é a conscientização dos usuários sobre a importância de seguirem as normas de segurança estabelecidas. Para isso, foi disponibilizada uma capacitação, obrigatória a todos os usuários, sobre segurança da informação. “Esse curso está capacitando e ampliando a consciência dos riscos a que todos estamos expostos – não só no ambiente de trabalho, mas também no ambiente particular”, explica Kluge.
A importância da conscientização ficou clara em episódio recente no Ministério da Saúde, quando um e-mail de SPAM enviado a diversas listas do domínio “saúde” continha um arquivo malicioso. Em casos como este, uma campanha periódica de conscientização ainda é uma das formas mais eficazes de reduzir o risco de usuários executarem o arquivo malicioso, pois os manteria alertas e informados sobre ameaças digitais.
Por Priscila Silva, da Agência Saúde
Atendimento à imprensa – (61) 3315.3580