Hospitais modernos têm enfrentado uma crescente combinação de atos criminais. A International Association for Healthcare Security and Safety (IAHSS) publicou em seu relatório “2012 Crime and Security Trends Survey” (Pesquisa de Crimes e Segurança de 2012) que o número de infrações relacionados à área de saúde aumentou quase 37% em apenas dois anos, sendo que a privacidade do paciente e o acesso a seus dados confidenciais são áreas-chave de preocupação no setor.
Devido às limitações de tempo dos profissionais da medicina, os hospitais devem possuir uma forma intuitiva e versátil para o acesso às informações necessárias. Enquanto muitas práticas médicas e tecnológicas evoluem de inúmeras formas, certos processos continuam travados e ineficientes, até mesmo processos básicos diários, como o login e o logout dos computadores compartilhados. Com acesso a registros médicos e outras informações altamente reguladas, essas estações de trabalho compartilhadas são portais a informações sensíveis. Além disso, essas máquinas de uso coletivo muitas vezes utilizam desktops virtuais baseados em Citrix e VMWare para cada usuário, que são altamente seguros, mas como resultado, requerem várias etapas para se obter o acesso. Esse processo toma muito tempo do médico.
Facilidade de acesso, porém, não é nada fácil de adquirir. Cada vez mais, os departamentos de segurança e de TI dos hospitais estão trabalhando juntos para projetar, implementar e manter robustas as estratégias e regulações de controle de acesso seguro. Muitas organizações, não somente instituições de saúde, encontram um desafio ao fazer isso, pois os domínios de segurança física e online são, tradicionalmente, mundos separados. No entanto, assim como as separações dos espaços físicos estão desaparecendo conforme a população de usuários mobile está cada vez mais distribuída, as fronteiras que separam a segurança física e online também estão sumindo.
Toda essa pressão e requisitos estão incentivando os hospitais a se tornarem melhores na coordenação de sua abordagem de gerenciamento de identificação dos funcionários e acesso a informações de pacientes. Uma credencial única para acesso físico, da rede e online, oferece uma abordagem mais eficaz.
Cartões Inteligentes
Enquanto tokens e outros dispositivos com senha de uso único (one-time password, OTP) aumentam a segurança, eles podem tomar muito tempo quando são usados diversas vezes ao longo do dia, além de ser uma coisa a mais que os profissionais de saúde têm que se lembrar de levar consigo diariamente. Um crachá de identificação, por outro lado, é algo que o pessoal já leva e se sente confortável em usar na verificação de sua identidade e para obter acesso às instalações e áreas restritas que precisam para trabalhar. Graças ao desenvolvimento da tecnologia dos cartões inteligentes (smart cards), um médico, uma enfermeira ou administrador pode usar o mesmo crachá de identificação que usa para entrar nas áreas restritas do hospital para acessar as informações que precisam em seu PC ou nas estações de trabalho compartilhadas. Eles apenas encostam o crachá na leitora e ganham acesso imediato aos registros de que precisam – não há nada mais para lembrar ou transportar.
Os cartões inteligentes podem ser com contato ou sem contato e podem oferecer três níveis de segurança: autenticação de primeiro, segundo e terceiro fator. O primeiro fator de autenticação é referente apenas ao uso de cartão para acessar portas ou sistemas; o segundo fator – mais comum em processos de autenticação de hospitais – adiciona um nível de segurança, pois requer uma senha de acesso, em adição ao uso do cartão; já o terceiro fator vai mais além, utilizando algum outro método de segurança, como biometria, somado à senha e ao cartão inteligente. Cartões inteligentes sem contato são os mais utilizados para controle de acesso físico e estão sendo adotados para o controle de acesso lógico também.
Uma área em que essa tecnologia pode ter maior impacto é a de controle de infecção. É comum ver álcool gel nas portas e corredores de hospitais, além dos muitos pôsteres com avisos do governo sobre doenças ameaçadoras, como a gripe suína há alguns anos. Por exemplo, durante apenas o período da manhã, um médico pode receber cerca de 20 pacientes em cinco alas diferentes do hospital, acessando diversas áreas e sistemas em computadores. Com tantos pontos de toque, é fácil entender a rapidez com que uma infecção pode se espalhar. Cartões sem contato – onde é preciso apenas passar o cartão na frente da leitora – podem ter um papel chave na limitação da propagação de infecções. Afinal, se o cartão não encosta na leitora, não pode propagar germes. Com essa vantagem, adotar a tecnologia de cartões inteligentes sem contato parece uma opção óbvia. No entanto, muitos hospitais ainda utilizam o processo de controle de acesso mais básico: o cartão de tarja magnética, onde dados magnéticos são armazenados na parte de trás do cartão.
Enquanto os cartões de tarja magnética são de baixo custo de produção, eles podem gerar maiores gastos em termos de manutenção. Esses cartões entram em contato direto com a leitora quando inseridos e todos os detritos que se acumulam no cartão acabam dentro do leitor e sobre os seus pinos de contato. Eles também são suscetíveis à interferência magnética e desgaste de uso: constantemente passar o cartão na leitora faz com que a tarja se deteriore eventualmente. Esse tipo de cartão também é restrito em termos de capacidade de armazenamento de informações, se comparados aos cartões inteligentes. No entanto, a maior desvantagem de cartões de tarja magnética é que eles são facilmente clonados.
Com uma base de cartões inteligentes altamente seguros em uso, os hospitais podem agilizar as operações e estarão bem posicionados para melhorar a gestão de riscos e cumprir com novas legislações e requerimentos. Um único cartão de identificação se encaixa nos desafios de segurança e autenticação no mercado de saúde com envolvimento mínimo da equipe. Aproveitando esse mesmo cartão para conceder acesso físico e online pode melhorar os fluxos de trabalho dos profissionais de saúde, expandir o uso dos investimentos de infraestrutura de acesso da organização e entregar a segurança necessária para garantir a confidencialidade do paciente e regulações de proteção de dados.
Claro que instituições de saúde também devem conter os custos e minimizar investimentos de capital e despesas operacionais associados à implantação e gestão de sistemas de controle de acesso. Por isso, vale dizer que, para alguns hospitais, o custo do upgrade para cartões inteligentes sem contato pode ser visto como barreira para a implementação. Porém, quando se mede o peso dos custos da tecnologia de cartões inteligentes sem contato com os benefícios de maior segurança, a solução de um cartão único para controle de acesso pode oferecer alto valor para o setor de saúde, economizando tempo e dinheiro, protegendo pacientes e equipe e garantindo a segurança de suas informações pessoais.
* Gustavo Gassmann é diretor de vendas da HID Global no Brasil
**As opiniões dos artigos/colunistas aqui publicadas refletem unicamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da IT Mídia ou quaisquer outros envolvidos nesta publicação