Durante a semana passada o furo do jornal Estado de São Paulo abalou a reputação de um dos hospitais mais respeitados do Brasil e a notícia teve ampla repercussão na mídia. O funcionário do (Hospital Albert) Einstein publicou de forma insegura uma senha que permite acesso a dados de ao menos 16 milhões de pessoas, incluindo o presidente Jair Bolsonaro e outros membros do governo.
De acordo com a imprensa, o funcionário do Einstein confirmou que publicou a planilha com as senhas em seu perfil no GitHub, uma rede social para programadores armazenarem dados e fazerem simulações. Segundo ele, o objetivo era fazer um teste na implementação de um modelo, mas o programador do hospital esqueceu de remover o arquivo da página pública. Segundo comunicado do Einstein, o colaborador foi demitido porque infringiu as normas e procedimentos da companhia para garantir proteção e segurança de dados. A situação abalou a imagem da instituição e pode impactar na sua relação com o governo e os pacientes.
O vazamento expôs informações sigilosas de pacientes e revela que é preciso investir em segurança da informação e prevenção de crises.
A recém-nascida lei geral de proteção de dados visa proteger a sociedade e obrigar as organizações a ter responsabilidade com uso e compartilhamento de informações sobre clientes. A LGPD visa criar um cenário de segurança jurídica, com a padronização de normas e práticas para promover a proteção – de forma igualitária e dentro do país e no mundo -, aos dados pessoais de todo cidadão que esteja no Brasil. A lei foi aprovada em agosto de 2018 e, com vigência a partir de agosto de 2020, trata justamente da exposição de informações -como fez o hospital.
A prevenção de crises como metodologia de análise, diagnóstico e preparação, precisa se debruçar sobre essa nova modalidade de situação que pode ocorrer nas organizações. Saliento que não se trata de um assunto apenas para o departamento de tecnologia da informação (T. I.), mas deve haver avaliação de vulnerabilidades e riscos, bem como a criação de um manual com procedimentos rigorosos.
É imprescindível também fazer treinamentos e simulações com todos os funcionários da organização.
Como já alertamos algumas vezes, os crimes cibernéticos estão crescendo e os danos que podem causar são relevantes – e se as empresas não agirem rápido na contenção e resolução, isto pode desencadear uma crise de imagem aguda com prejuízos financeiros dentre outras consequências. A situação do Einstein corrobora a necessidade de investir em formalização de regras, distribuição de comunicações sobre o assunto e capacitações específicas para evitar ameaças e conduta inadequada por parte dos colaboradores. Se o hospital já investia em ações para evitar tal acontecimento e foi surpreendido com a deflagração da crise, imagine as organizações que não estão tomando nenhum cuidado. Prevenir é melhor que remediar!
Comentários
Postar um comentário