O setor de saúde é, há muitos anos, um dos maiores alvos de cibercriminosos no Brasil e no mundo. Ataques direcionados a prontuários clínicos, sistemas hospitalares e ambientes em nuvem miram dados e sistemas profundamente sensíveis.
O A.C.Camargo Cancer Center, hospital oncológico referência em toda a América Latina, decidiu enfrentar um dos maiores desafios desse contexto: adotou uma arquitetura de gestão de identidades e acessos. A ideia é proteger não só a própria operação, mas também os pacientes.
A instituição hospitalar implementou uma solução de gestão de identidades (IDM/IGA) no sistema de gestão Tasy, da Philips. O projeto de modernização utiliza soluções Identity Manager (IGA) e Safeguard SPP/SPS (PAM) da One Identity, e permitiu automatizar e centralizar a gestão de identidades do hospital.
A integração foi baseada em premissas como a criação de uma matriz SoD para definir os perfis-base por área e cargo. Segundo Lúcio Comanche, CISO do A.C.Camargo, as “definições da Matriz de acessos-base são desgastantes, mas fazem toda a diferença no processo e, por mais que você invista tempo nisso, sempre caberá uma revalidação”.
Leia também: Como Djalma Brighenti Jr tirou a TI da Ford do suporte e a tornou estratégica
Para ele, o sucesso do projeto no hospital oncológico buscou assegurar “que cada colaborador tivesse unicamente os acessos necessários”. O CISO também enfatiza a importância da governança e da colaboração com os líderes de negócio para a mitigação de riscos. “É fundamental a validação dos acessos por cada gestor de área, pois isso pode comprometer a segurança dos acessos já no início do projeto”.
Desafios e resultados
O A.C.Camargo enfrentava desafios na segurança de identidade comuns ao setor. Por exemplo, a alta rotatividade de profissionais na área assistencial de saúde, o uso compartilhado de credenciais e a falta de controle dos acessos de prestadores de serviços. Havia alto índice de comprometimento e roubo de credenciais válidas.
O projeto com a tecnologia da One Identity gerou melhorias na segurança e na operação clínica. O tempo de entrega de novos acessos passou de cinco dias para imediato, sendo que todos os novos acessos são entregues em até quatro horas. Além disso, 100% das revogações por desligamentos têm acessos revogados em até uma hora.
Foi reportada queda de 35% no volume de chamados de suporte relacionados a problemas de acesso ao ERP. E oschamados relacionados à concessão de acessos diminuíram em 68%.
O hospital já planeja futuras implementações, incluindo a integração com Microsoft Teams usando chatbotpara solicitações ágeis de acesso. E a evolução para o modelo “Offline Application+ ITSM” para gerenciar múltiplas aplicações adicionais.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
