Os CISOs da saúde estão preparados para lidar com a complexidade crescente da segurança digital?

‎Por Everson Remedi

A atuação dos Chief Information Security Officers (CISOs) no setor de saúde tornou-se uma das funções mais estratégicas e, ao mesmo tempo, mais pressionadas da atualidade. Em um cenário onde dados sensíveis circulam entre sistemas cada vez mais interconectados, onde dispositivos médicos inteligentes estão integrados à rede hospitalar e onde o atendimento ao paciente depende de plataformas digitais, os desafios enfrentados por esses líderes vão muito além da proteção técnica. Eles envolvem riscos clínicos, reputacionais, financeiros e até de vida. E a pergunta que paira sobre o setor é clara: estamos realmente preparados?

Um dos principais dilemas enfrentados pelos CISOs é equilibrar agilidade operacional com robustez de segurança. Em hospitais e clínicas, a prioridade sempre será o cuidado com o paciente, o que impõe pressões intensas por sistemas rápidos, acessíveis e intuitivos. Qualquer medida de segurança que gere fricção ou atrase o fluxo assistencial tende a ser rejeitada pelas áreas clínicas. Por isso, a segurança precisa ser quase invisível — eficaz sem ser intrusiva, rigorosa sem atrapalhar.

A complexidade técnica do ecossistema de saúde agrava esse desafio. O ambiente hospitalar é composto por sistemas legados, equipamentos biomédicos com softwares desatualizados, dispositivos de IoT pouco protegidos e sistemas de gestão hospitalar que nem sempre foram desenhados com foco em cibersegurança. Isso cria uma superfície de ataque extensa e heterogênea, onde os pontos mais frágeis são frequentemente aqueles mais críticos à operação.

Outro fator que pressiona os CISOs é o aumento exponencial dos ataques cibernéticos direcionados ao setor de saúde. Grupos de ransomware, por exemplo, veem hospitais como alvos rentáveis por uma razão simples: a impossibilidade de paralisação. Um ataque bem-sucedido pode impactar diretamente a assistência, o que eleva o risco e acelera a decisão de pagamento. Isso coloca os líderes de segurança sob tensão constante, forçados a garantir resiliência em um ambiente de guerra permanente.

O orçamento também é um ponto sensível. Embora os riscos estejam cada vez mais evidentes, muitos executivos ainda tratam a segurança como custo, e não como investimento. Os CISOs, por isso, precisam justificar cada linha do orçamento com clareza, traduzindo ameaças técnicas em impactos de negócio. Essa habilidade de “falar a língua do board” é hoje uma competência tão necessária quanto o conhecimento técnico.

A gestão de identidade e acesso é outro campo desafiador. Em hospitais, centenas de profissionais circulam por turnos, com múltiplos perfis e acessos diferenciados a sistemas sensíveis. Garantir que cada colaborador tenha apenas as permissões necessárias, sem criar barreiras operacionais, exige uma governança sofisticada e uma arquitetura de IAM (Identity and Access Management) robusta, adaptada à lógica assistencial.

Além dos colaboradores internos, o setor de saúde envolve uma cadeia extensa de terceiros: laboratórios, clínicas parceiras, operadoras de plano, fornecedores de tecnologia e prestadores de serviços. Cada elo representa um vetor potencial de risco. A gestão da segurança precisa incluir contratos com cláusulas específicas, auditorias regulares, avaliações de risco de terceiros e mecanismos de segregação de dados e acessos.

O compliance regulatório também desafia os CISOs. A LGPD impôs uma série de obrigações que exigem a revisão de processos, fluxos de dados e medidas técnicas. Além disso, normativas específicas do setor, como as exigências da ANS e do Ministério da Saúde, ampliam a complexidade do ambiente regulatório. Cumprir todas essas obrigações sem comprometer a fluidez da operação é um exercício diário de conciliação.

O aumento do uso de inteligência artificial em diagnósticos, triagens e suporte clínico traz uma nova camada de desafios. O uso de dados para treinar algoritmos exige critérios rigorosos de anonimização, consentimento e governança. Os CISOs precisam garantir que a inovação não comprometa a privacidade, e que os modelos estejam protegidos contra manipulações externas, violações ou vazamento de dados sensíveis.

A integração entre sistemas clínicos e administrativos, impulsionada por modelos como value-based healthcare, também exige atenção especial. A fluidez do dado é essencial para uma gestão eficiente, mas ela precisa acontecer de forma segura. Os CISOs devem atuar como facilitadores da interoperabilidade segura, garantindo que a informação circule com integridade, confidencialidade e disponibilidade.

O papel do CISO vai além da proteção. Ele precisa liderar a cultura de segurança. Em um setor onde a atenção está, com razão, voltada ao cuidado com o paciente, a segurança da informação muitas vezes é vista como acessória. Mudar essa percepção exige um trabalho contínuo de educação, engajamento e construção de uma mentalidade coletiva de responsabilidade digital.

A resposta a incidentes é outro campo crítico. Em saúde, não há espaço para downtime. O plano de contingência precisa ser funcional, testado e conhecido por todos. Os CISOs devem liderar a criação de planos de resposta que envolvam áreas técnicas, clínicas, jurídicas e de comunicação. Um incidente mal gerido pode custar muito mais do que perdas financeiras — pode comprometer vidas.

A escassez de talentos especializados é um problema crescente. Atrair e reter profissionais de cibersegurança é difícil em qualquer setor, mas na saúde, onde a remuneração tende a ser menos agressiva do que em fintechs ou big techs, o desafio é ainda maior. Os CISOs precisam ser criativos: formar internamente, investir em capacitação e construir um ambiente que valorize a missão crítica da segurança.

O avanço da saúde digital, com aplicativos de monitoramento, wearables e plataformas de atendimento remoto, expande a responsabilidade dos CISOs para fora dos muros da instituição. A segurança agora precisa acompanhar o paciente em casa, no celular, no relógio inteligente. Garantir essa proteção de ponta a ponta, em diferentes dispositivos e redes, é uma tarefa que exige visão sistêmica e controle granular.

A fragmentação de fornecedores e tecnologias é outro ponto de atenção. Muitos hospitais operam com dezenas de sistemas distintos, adquiridos em momentos e por áreas diferentes. Essa fragmentação dificulta a centralização da segurança, a padronização de protocolos e o monitoramento contínuo. O CISO precisa atuar como articulador de uma arquitetura coerente e integradora.

A avaliação de risco precisa deixar de ser um relatório anual e passar a ser um processo contínuo. A dinâmica dos ataques exige atualização constante das matrizes de risco, priorização baseada em impacto e capacidade de adaptação rápida. Os CISOs que conseguem transformar risco em inteligência operacional conseguem proteger melhor — e influenciar mais.

A relação com a alta liderança também define o sucesso da estratégia. Quando o CISO é visto apenas como executor técnico, sua influência é limitada. Mas quando ele conquista espaço nas decisões estratégicas, consegue antecipar riscos, alinhar investimentos e construir um modelo de segurança resiliente. Esse reconhecimento passa por entrega, mas também por narrativa — mostrar que segurança é um acelerador, e não um freio.

Por fim, o maior desafio talvez seja manter a serenidade em meio ao caos. O CISO da saúde é um profissional que vive sob pressão, lidando com ameaças reais e impacto direto sobre vidas humanas. Mais do que conhecimento técnico, ele precisa de inteligência emocional, capacidade de liderança e habilidade para operar em ambientes de alta complexidade e ambiguidade.

A missão é desafiadora, mas essencial. O setor de saúde está no centro da revolução digital — e cabe aos CISOs garantir que essa revolução aconteça com segurança, ética e responsabilidade. Porque, no fim das contas, proteger dados na saúde é proteger pessoas. E não existe missão mais crítica do que essa.

Everson-Remedi

CONSELHEIR@

Everson Remedi

Responsável pela equipe de CyberSecurity, com o objetivo de estabelecer e implementar efetivamente a estrutura de Segurança da Informação e Gerenciamento de Riscos, além de questões relacionadas à Arquitetura e Infraestrutura de Segurança, Monitoramento, LGPD Regulatório / Conformidade, Gerenciamento de Rotina, Indicadores. Responsável pela criação e manutenção de Políticas de Segurança Global, linhas de base, padrões e processos.

Auditor Interno – ISO 19011:2018 – Diretrizes para Auditorias de Sistemas de Gestão.

Search

Soluções para Líderes

Entre em contato

Soluções para Empresas

Entre em contato

Sobre a Rede Lideres

A Rede Líderes é uma comunidade que conecta decisores empresariais com soluções de tecnologia para gerar negócios, compartilhar conhecimento e acelerar a inovação. Reunimos CEOs, CTOs e líderes de diversas áreas para trocar experiências, construir conexões estratégicas e antecipar soluções que impactam diretamente o mercado.

Não somos observadores. Somos praticantes. Atuamos dentro das empresas. Estamos no dia a dia de cada líder e empresa. Seja como criadores, como aconteceu no iFood e Loggi, seja como parceiro de empresas como Google, Meta e Uber. Por isso, temos autoridade, reputação e credibilidade com os decisores. SOMOS UMA NOVA GERAÇÃO DE LÍDERES.