Como um simples rompimento de cabo de telecomunicações afeta a saúde das pessoas

Há cerca de 2 meses um familiar meu sentiu-se mal e eu e minha esposa o levamos para o hospital de nossa cidade. A situação era crítica pois nosso familiar estava com insuficiência respiratória.
Ao chegarmos no hospital, cerca de 23:50 de uma quinta-feira, no setor de convênios, nos deparamos com a seguinte situação: Todo o setor de convênios estava sem sistema, isso já estava ocorrendo a 40 ou 50 minutos.

Pois bem, na situação em que nosso familiar se encontrava, pedimos que atendesse sem sistema e a resposta que ouvimos foi a seguinte:

“- Sem sistema não há como acionar a equipe média, não há como acionar a farmácia, não há como aplicar os medicamentos”.

Então, como sou da área de tecnologia da informação prestei ajuda para solucionar o caso. Verifiquei que o problema era de conexão de rede, desliguei alguns switches que se encontravam pelo caminho e falei com a equipe de suporte via telefone pois a mesma só atendia via remoto quando solicitada.

Percebam a situação, nosso familiar com insuficiência respiratória e sem atendimento por parte do hospital pois um problema de rede afetava um setor de operação essencial e mais, não havia ninguém do suporte para resolver o problema em tempo hábil.

A muito custo conseguimos passar pelos processos e procedimentos de entrada de emergência e ser atendido pelo médico até que 01:30 após o início do incidente o problema foi resolvido com a vinda de um técnico de sua residência.

Sabem qual foi a causa do incidente?

Uma enfermeira. Sim. Uma enfermeira. Simplesmente esta enfermeira fechou uma janela.

Este simples ato de fechar uma janela rompeu um cabo de telecomunicações que estava posicionado entre o vão da janela.

Agora reflitam. Um hospital com centenas de ativos de hardware, softwares, pessoas e comunicações, com vários processos e procedimentos negligenciam em não possuir uma equipe técnica 24 horas 7 dias por semana ao ponto de vidas humanas correrem o risco de não serem atendidas.

Cabe aqui mostrar a falta de gestão de segurança da informação na instituição, a qual eu nasci a 35 anos atrás e também a falta de itens de segurança da informação específicos para este incidente tratado pela ISO 27001 que são eles:

“A.9.22-Utilidades.
Os equipamentos devem ser protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades.

A.9.2.2-Segurança do cabeamento.
O cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações deve ser protegido contra interceptação ou danos.

A.10.6.1-Controles de redes.
Redes devem ser adequadamente gerenciadas e controladas, de forma a protegê-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito.

A. 10.6.2- Segurança dos serviços de rede.
Características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede devem ser identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente como para terceirizados.

A.14.1.1-Incluindo segurança da informação no processo de gestão da continuidade de negócio.
Um processo de gestão deve ser desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização.

A.14.1.2 – Continuidade de negócios e análise/avaliação de risco.
Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as consequências para a segurança de informação.

A.14.1.3 – Desenvolvimento e implementação de planos de continuidades relativas à segurança da informação.
Os planos devem ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

A.14.1.5 – Testes, manutenção e reavaliação dos planos de continuidade do negócio.
Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.”

Felizmente nosso familiar foi atendido mesmo sem sistema e sem respeitar os processos e procedimentos do hospital mas eu como profissional da área de segurança da informação não poderia deixar de fazer um paralelo entre o negócio hospital versus vidas humanas versus segurança da informação.

Grande abraço.

Arlei Vladmir de Souza

Você pode gostar também de…

A segurança do WhatsApp

Todos nós utilizamos o WhatsApp para conversamos com outras pessoas diariamente, sem dúvida essa ferramenta trouxe economia e agilidade. Porem nos últimos dias falou-se muito

Saiba mais »
Tire suas dúvidas agora