Gestão da segurança 01

•

ESTÁCIO

Thay Benicio

13/08/2022

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

Gorvenança

132 Materiais compartilhados

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

www.hbr.org

Como o Sunnylake
deveria lidar com
o ataque?

Quatro comentaristas
oferecem conselhos de
especialistas.
ESTUDO DO CASO HBR E COMENTÁRIO

Quando Hackers
Viram
Chantagistas
por Caroline Eisenmann

Reimpressão R0910B
harvard business review • outubro de
2009
página
1

C
O
P
Y
R
IG
H
T
©
2
0
0
9
H
A
R
V
A
R
D
B
U
SI
N
E
SS
S
C
H
O
O
L
P
U
B
L
IS
H
IN
G
C
O
R
P
O
R
A
T
IO
N
.
T
O
D
O
S
O
S
D
IR
E
IT
O
S
R
E
SE
R
V
A
D
O
S.

Vidas ficam em jogo quando chantagistas desligam o sistema
eletrônico de prontuários médicos de um hospital

ESTUDO DO CASO HBR

Quando Hackers
Viram
Chantagistas
por Caroline Eisenmann

A segurança da sua rede é uma droga, diz a
mensagem. Mas nós podemos ajudar você.
Por 100k em dinheiro nós garantimos que o
seu hospitalzinho não vai sofrer nenhum
desastre.
"Ridículo", disse Paul Layman para si mesmo,
ao excluir o e-mail. "As coisas que as pessoas
tentam aprontar na internet!".
Paul, o Diretor-Executivo do Hospital de
Sunnylake, estava verificando sua caixa de entrada
sem pressa em uma sexta-feira à tarde, quando
encontrou o e-mail mal educado de um remetente
desconhecido. Ele havia começado no Sunnylake,
cinco anos antes, com a ideia de introduzir
tecnologia de ponta no pequeno hospital. Paul
estava convencido de que o Sunnylake poderia
crescer apenas se livrando dos hábitos e
procedimentos ultrapassados e que a mudança de
prontuários de papel para prontuários médicos
eletrônicos (EMRs) iria melhorar a qualidade dos
cuidados para os pacientes do hospital. Depois de
uma busca cuidadosa, Paul contratou um jovem
sério chamado Jacob Dale para ser diretor de TI
do Sunnylake, e os dois tinham trabalhado para
executar a sua visão.
O sucesso da iniciativa EMR transformou o
Sunnylake de um centro de cuidados da
comunidade estagnado a um modelo para
pequenos hospitais em toda parte. Toda a equipe
médica agora usava leitores eletrônicos para abrir
os arquivos dos pacientes. Muitos dos médicos
tinham resistido inicialmente à mudança, temendo
que a nova tecnologia desviasse a atenção dos
sinais e sintomas dos pacientes. Conforme o
tempo passou, porém, até mesmo o mais dedicado
a moda antiga foi forçado a admitir que os EMRs
tinham aumentado a eficiência, por exemplo, ao
verificar automaticamente se há erros de
medicação e as interações medicamentosas.
O brilhante sucesso havia transformado o
recente departamento de TI de Paul em uma parte
valiosa do hospital. O Diretor-Executivo
considerava os EMRs com seu legado, que
serviria bem a instituição nos próximos anos.
A ameaça implícita no e-mail não provocou
nenhuma ansiedade em Paul. Ele confiava muito
em Jacob,

Os casos HBR, que são ficcionais, apresentam dilemas gerenciais comuns e
oferecem soluções concretas de especialistas.
harvard business review • outubro de
2009
página
2

Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos
direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
Quando Hackers Viram Chantagistas • ESTUDO DO CASO HBR

Caroline Eisenmann é uma
ex estagiária da HBR.
cujas camisas sob medida e a barba de Vandyke
desmentiam sua energia agressiva. Durante o
desenvolvimento do sistema, Paul insistiu
repetidamente que a privacidade dos pacienteis era
essencial. Jacob tinha explicado calma e
exaustivamente que os prontuários digitais iriam torná-
los mais seguros também. Entretanto, Paul estava
nervoso quando o sistema foi colocado no ar, mas os
últimos três anos terminaram com as suas dúvidas.
Apesar de saber que nenhum sistema de computador é
perfeito, ele estava confiante de que a rede não estava
em perigo real, especialmente por causa de um
chantagista que não dominava habilidades básicas de
digitação.
Ele se esqueceu do assunto durante o fim de semana.
Mas às 8h na segunda-feira ele recebeu outro e-mail do
mesmo remetente, com o assunto "Nós advertimos
você.” O corpo do e-mail estava vazio.
O dia mais difícil da carreira de Paul Layman estava
prestes a começar.

Acesso Negado
"Temos um paciente entrando na cirurgia!" o médico
gritou. "Eu preciso desses registros agora!"
A estagiária com quem ele gritou mal tirou os olhos
do dispositivo em suas mãos. Ela estava lá há apenas
uma semana, pensou o médico, e já estava provando
sua incompetência. Ele puxou o leitor EMR dela e,
impaciente, inseriu seu código de acesso. A tela dizia
Acesso negado.
"O que é isto?" ele rosnou. "Eu olhei os arquivos
deste paciente ontem!"
A equipe de TI tinha projetado a rede para que os
registros pudessem ser acessados apenas pelos
médicos, enfermeiros e administradores que
precisassem. Hoje, aparentemente, algo tinha dado
terrivelmente errado. A estagiária ficou parada, com as
mãos nos quadris, balançando a cabeça. Resistindo à
vontade de bater o dispositivo contra uma mesa, o
médico disparou pelo corredor em direção ao
departamento de TI. Ele mal notou o grupo de
enfermeiros preocupados nos seus postos ou os
carrinhos de medicamentos vazios que deveriam estar
fazendo suas rondas matinais.
Uma cena incomum acontecia no centro do
departamento. Um grupo de médicos descontentes
havia se reunido fora de uma sala envidraçada onde
vários servidores estavam zumbindo em racks. Dentro
da sala, alguns caras de TI trabalhavam freneticamente.
Enquanto o médico se aproximava, ele via que todos
os seus colegas seguravam um dispositivo que exibia a
mesma mensagem: Acesso negado.
Resgate dos Prontuários
Minutos depois, Jacob estava no escritório de Paul
quando um terceiro e-mail chegou. Em completo
silêncio os dois olharam para a tela do computador de
Paul. Apostamos que vocês querem seus materiais
de volta. Deveriam ter protegido ele melhor. Pelo
pequeno preço de 100K a gente acaba com essa
situação.
"O que está acontecendo?" Paul perguntou. "Eu tenho
médicos fazendo tumulto nos corredores".
"Isso é algum tipo de pedido de resgate para todo o
sistema" murmurou Jacob. "Em vez de assaltar algumas
pessoas por 50 dólares cada, estes caras estão assaltando
toda a organização. Eles querem US$ 100.000 pela
ferramenta de decodificação". Toda a sua equipe estava
trabalhando tentando restaurar o sistema. A
programação que normalmente permitia apenas acesso
seletivo aos registros havia sido alterada para permitir
nenhum tipo de acesso. Até os administradores do
sistema foram excluídos.
"Como eles entraram em nosso sistema?"
"Talvez através de uma máquina de usuário
individual", respondeu Jacob. "Alguém aqui pode ter
pensado que estava baixando um software antivírus ou
atualizando um aplicativo existente".
"Um idiota em nossa equipe poderia ter causado essa
bagunça toda?" Paul percebeu em um instante revoltante
que o departamento de TI do Sunnylake simplesmente
não era grande ou sofisticado o suficiente para lidar com
um problema tão devastador. Nos últimos três anos a
tecnologia de segurança havia avançado
significativamente, mas de algumaforma o Sunnylake
não havia acompanhado. Apenas alguns dias antes Paul
estava confiante de que era praticamente impossível
infiltrar no sistema. Agora ele tinha que enfrentar a
terrível realidade de que ele tinha sido muito fraco o
tempo todo.
Os prontuários completos tinham cópias de segurança
na rede, dessa forma as informações dos pacientes não
seriam completamente perdidas. Mas o Sunnylake
atualmente não tinha como entregar os prontuários para
os médicos que precisavam deles com urgência para o
atendimento ao paciente. O hospital estava prestes a
chegar a uma paralisação.
"Isto é..." Paul fez uma pausa, perdido nas palavras.
"Muito ruim. Muito, muito ruim". Ele olhou para Jacob.
Os olhos do diretor de TI estavam cerrados e sua
expressão era feroz. "Que pessoa desprezível hackeia
um hospital?" ele perguntou olhando para a tela. "Eles
não se preocupam em machucar pessoas doentes? Você
acha que já viu o pior, mas essas pessoas chegam a
níveis mais baixos o tempo todo".
"Pelo que tenho ouvido, os hackers não seguem um
código moral", disse Paul, suprimindo a vontade de
gritar com Jacob. "Eles
harvard business review • outubro de
2009
página
3

"Nossa exposição legal
neste tipo de situação é
enorme", disse ela.
"Literalmente, cada
segundo é uma
responsabilidade".
devem ter percebido que nossa dependência desses
registros nos torna particularmente vulneráveis. Se
você derrubar um site normal por algumas horas, a
empresa provavelmente perde dinheiro. Talvez até
mesmo muito dinheiro. Mas se você tomar prontuários
de um hospital, a equipe pode acabar prejudicando os
pacientes que tanto trabalha para proteger. Esta não é
apenas uma questão de dinheiro. Nós temos vidas de
seres humanos em jogo".
"Meu pessoal está lutando contra isso com tudo que
nós temos", Jacob respondeu defensivamente. "Dado
tempo suficiente, podemos recuperar o controle do
sistema. Então vamos atualizar a segurança para ter
certeza de que nada como isso aconteça novamente.
Instalaremos um sistema de detecção de infecção
baseado na rede. A partir de agora, apenas afastar os
intrusos não é suficiente."
"A questão é: Quando podemos vencer?" Paul disse
calmamente, segurando a sua frustração. "Nós não
podemos seguir sem os prontuários por muito mais
tempo".
"Este é o equivalente digital de um combate corpo a
corpo", Jacob respondeu. "Conhecemos o sistema
melhor do que essas pessoas, mas eles têm a vantagem
do efeito surpresa. Eu não posso dizer quando nós
iremos vencer. Não há uma solução rápida para um
problema como este".
Paul acenou com a cabeça em direção à tela. "Eles
nos ofereceram uma solução rápida", disse ele.
"Você não está pensando seriamente em pagar esses
caras, está?" Jacob perguntou, incrédulo. "Se pagarmos
uma vez, seremos um alvo para sempre. Não faça isso.
Não está certo. Podemos vencer estes caras, Paul.
Apenas me dê mais algum tempo".

Uma Bomba-Relógio
"Paul, nós precisamos fazer isso desaparecer", disse
Lisa Mankins, chefe de assessoria jurídica do
Sunnylake. Seu cabelo estava penteado para trás
suavemente e ela estava vestida como de costume em
um terninho austero, mas Lisa parecia ter acabado de
passar por horas de tortura.
Depois do e-mail mais recente dos hackers, o
departamento de TI tinha conseguido restaurar o
sistema duas vezes, apenas para vê-lo cair minutos
mais tarde. Apesar dos melhores esforços do
departamento, Jacob explicou, os hackers continuavam
recuperando o acesso. A maior parte da equipe
começava a parecer emocionalmente esgotada. O
hospital tinha pedido que todos os médicos
escrevessem ordens para os enfermeiros e receitas em
papel por enquanto. Os médicos mais jovens, que
sempre tinham contado com os EMRs, ficaram
perplexos com a ideia. Mesmo alguns dos mais velhos
tinham esquecido como escrever "Amoxicilina 500
mg" de forma legível.
Paul ligou para Lisa em seu escritório para falar sobre
o controle dos danos.
"Nossa exposição legal neste tipo de situação é
enorme", disse ela. "Quanto mais tempo isso continuar,
maior o risco. Literalmente, cada segundo
é uma responsabilidade. Os médicos estão recorrendo
aos velhos prontuários em papel para os casos mais
urgentes, mas esses registros estão ultrapassados. No
início desta tarde, nós tratamos um paciente com um
medicamento ao qual ele era alérgico. Felizmente, sua
reação foi leve, mas pode ser que não tenhamos a
mesma sorte da próxima vez".
Lisa andava de um lado para o outro em frente à
escrivaninha de Paul. "Temos de avaliar nossas opções.
Não me parece que o departamento de TI conseguirá
corrigir esse problema rápido o suficiente, se isso for
possível."
"Da forma como Jacob explicou, o departamento de
TI precisará de um certo tempo para recuperar o
controle", Paul disse. Ele havia tentado durante toda a
manhã manter sua confiança na capacidade de Jacob,
mas ela estava começando a desaparecer. Cada vez que
o sistema era restaurado, a esperança disparava no peito
de Paul, apenas para sucumbir novamente quando
Acesso negado reaparecia em cada tela.
"Nós não temos esse tempo", Lisa insistiu. "Vocês
sabem disso". Após um momento de silêncio, ela falou
de novo, sua expressão firme. "Temos um orçamento
para este tipo de coisa, você sabe. Um orçamento de
prejuízos aceitáveis. Temos um seguro que cobre riscos
de TI e o dinheiro para pagar esses caras. Somente os
processos de negligência poderiam custar centenas de
milhares de dólares com despesas judiciais a este
hospital, e possivelmente milhões em indenizações.
Cem mil dólares é pouco tendo em vista as perdas que
poderíamos enfrentar se esperarmos por isso. Eu acho
que é prático, até mesmo moral, pagar o resgate. Quanto
mais tempo nós esperarmos, mais corremos o risco de
ferir seriamente nossos pacientes e nós mesmos".
"Eu não gosto da ideia", disse Paul. Nem um pouco.
Não há princípios em recompensar extorsão. Isso apenas
incentivaria essas pessoas e talvez levaria a outros
ataques em outros hospitais". Ele fez uma pausa. "Mas
pode ser tudo o que temos".
Lisa mal tinha deixado seu escritório antes de George
Knudsen, o chefe de pessoal, entrar disparado.
"Quando você vai resolver isso?" ele exigiu. "Você
tem alguma ideia do que isso causaria para a nossa
reputação se algum jornalista ficasse sabendo disso?"
George era um membro grisalho e intimidador do
Sunnylake. Ele já estava lá há anos quando Paul chegou
e talvez permanecesse bem mais tempo que ele. Os dois
tinham discutido sobre a introdução dos EMRs, mas
eram cordiais desde o sucesso da iniciativa. George
parecia tudo, menos cordial agora.
harvard business review • outubro de
2009
página
4

"Todos estão dando o máximo possível", Paul
respondeu. "Tem sido difícil para todos nós".
"Eu não acho que você saiba o quão difícil tem
sido", disse George, irritado. "Você não saberia a
menos que tivesse que tratar pacientes enquanto
se pergunta se na verdade os fará mal. Você não
saberia isso a menos que estivesse com medo de
quebrar seu juramento só porque um jovem
aficionado por computadores achou que seu
sistema era muito mais forte do que realmente é".
"George, você sabe o quão bom o sistema
eletrônicotem sido para este hospital", Paul
respondeu, alarmado pela fúria do homem mais
velho. "Você mesmo admitiu".
"Eu não sabia o preço que teríamos que pagar!"
George rugiu. "Você está fazendo todos os seus
funcionários parecerem incompetentes, ou pior!
O papel podia ser lento, mas era confiável. Se
você não corrigir isso em breve, Paul, eu nunca
tocarei em um daqueles malditos dispositivos
novamente. E eu sei de muitos outros aqui que se
sentirão da mesma forma". Ele saiu.
• • •
Paul estava deitado de costas no sofá na sala dos
funcionários, olhando para o teto que estava
aceso pela metade. Eram 1h da manhã. A equipe
de TI ainda estava no hospital, travando uma
guerra cibernética com o adversário invisível. O
padrão de vitória breve seguido por derrota
continuou noite adentro. Jacob tinha tentado
todos os decrypter on-line que pode encontrar,
sua equipe
Paul apertou os olhos até fechá-los. Ele
continuava vendo imagens cinematográficas de
decifradores de códigos Aliados lutando contra a
máquina Enigma dos alemães. A situação do
Sunnylake era extremamente urgente. Por mais
que ele tentasse, não conseguia limpar sua mente
e cair no sono. A culpa esmagadora, uma
sensação de responsabilidade por tudo o que
havia acontecido naquele dia, pressionava o seu
peito.
Mesmo depois de três anos de sucesso, durante
os quais a equipe quase que sem exceção veio a
apreciar a eficiência dos EMRs,
Paul conseguia se lembrar claramente o quão
duro ele tivera que lutar para instalar o sistema e
fazer com que os funcionários o aceitassem. A
menos que conseguisse resolver esta crise
rapidamente, ele perderia todo o terreno que tinha
conquistado. Os médicos do hospital tinham sido
muito teimosos e resistentes no início, e George
Knudsen não era o único que diria "eu avisei".
Poderia ser quase impossível fazê-los confiar no
sistema, ou nele, de novo.
Se ele pagasse os hackers, apenas esta vez, o
Sunnylake poderia tornar a segurança sua
prioridade número um e assegurar que nada como
isso jamais acontecesse novamente. Paul se virou,
suspirando. Ele estava realmente pensando em
pagar extorsão a esses criminosos?

Como o Sunnylake deveria lidar com o
ataque? Três comentaristas oferecem conselhos
de especialistas.
estava dispersada pelo hospital, varrendo os
computadores atrás de pistas.
Ver Comentário do Caso
harvard business review • outubro de
2009
página
5

Comentário do Caso
por Per Gullestrup
Como o Sunnylake deveria lidar com o
ataque?

O primeiro seria
contratar um
negociador
emocionalmente neutro
que possa abrir um
diálogo com os hackers.
Por mais desagradável que possa parecer, eu
sugeriria que o Sunnylake Hospital fosse em
frente e pagasse o resgate exigido pelos
chantagistas. (Isto pressupõe, naturalmente, que a
ameaça é real e que existe um risco verificável
para a saúde do paciente). Esta pode muito bem
ser a única maneira de Paul Layman preservar os
pacientes do Sunnylake contra danos
e evitar o risco enorme de responsabilidade que
Lisa Mankins, a chefe do jurídico, tanto teme.
Por que eu recomendaria isto? Como Diretor-
Executivo, eu tive que lidar com uma situação
análoga em novembro de 2008, quando piratas
somalianos no Golfo de Aden atacaram um navio
de US$ 15 milhões pertencente ao Grupo Clipper.
Os piratas mantiveram os 13 membros da
tripulação reféns durante 71 dias. Eu liderei a
equipe de resposta de emergência encarregada
por garantir a segurança do navio e da tripulação.
Lidar com extorsão não faz parte da descrição
de trabalho de um Diretor-Executivo. No nosso
caso, os criminosos tinham todas as cartas.
Durante o confronto, eu aprendi que a pirataria
somaliana é uma empresa bem gerida que inclui
uma série de protagonistas e investidores. Apesar
de os piratas poderem tornar a vida dos reféns
desagradável, machucá-los está fora de questão,
isto seria a morte para o modelo de negócios dos
piratas.
Os piratas sabiam que o tempo estava a seu
favor. Se escolhêssemos não pagar, eles
simplesmente ficariam com o navio e a
tripulação; seu sistema bem elaborado facilita o
reabastecimento contínuo do navio. (Embora a lei
dinamarquesa proíba o pagamento de resgate aos
terroristas, não há nada que impeça um armador
de pagar os piratas).
Nenhum Diretor-Executivo consegue aguentar
indefinidamente as constantes reclamações de
parentes desesperados, uma imprensa ansiosa e os
políticos exigentes, é simplesmente insustentável.
No final, nós não tivemos nenhuma escolha a não
ser pagar os milhões de dólares que os piratas
exigiam. (O seguro cobriu o custo).
No caso de Paul, o primeiro e mais importante
passo deve ser contratar um bom negociador
emocionalmente neutro que possa abrir um
diálogo com os hackers e mantê-los envolvidos
na conversa, de modo que será improvável que
eles façam ainda mais mal.
Na medida em que o processo avança, o
negociador pode passar informações entre os dois
lados, enquanto a equipe de TI de Jacob Dale
trabalha para conseguir fazer com que o sistema
funcione e, em seguida, reforça os planos de
segurança e de emergência que deveriam ter em
primeiro lugar. Enquanto isso, a polícia e os
especialistas forenses podem tentar rastrear os
criminosos e colocar um fim a sua organização.
Enquanto as negociações estão em jogo, tudo
se transforma em um tabuleiro de xadrez. O
negociador e a equipe de emergência podem
desenvolver termos e logística. Quando um
acordo for alcançado, o dinheiro é entregue e
todo o episódio acaba.
Outra questão é: E a mídia? É bem provável
que os repórteres descobrirão o que aconteceu no
Sunnylake de alguma forma. No nosso caso, nós
decidimos lidar com os meios de comunicação
muito diretamente, a fim de ajudar a aumentar a
conscientização da ameaça que os piratas
somalianos representam.
Se os armadores compreenderem a proposta de
negócio dos piratas e estiverem prontos para fazer
a difícil negociação necessária, eles estarão muito
melhor equipados para lidar com a ameaça.
Durante o processo de negociação, nós
aprendemos muita coisa sobre para onde o
dinheiro do resgate vai e como ele é usado, e as
autoridades agora estão utilizando essas
informações devidamente.

Per Gullestrup (pgu@clipper-group.com) é o
presidente e diretor executivo da Clipper
Projects em Copenhaga.
harvard business review • outubro de
2009
página
6

Paul precisa fornecer
divulgação completa
aos seus vários
componentes:
funcionários, diretoria,
pacientes e público.
Este caso é um exemplo do tipo de ataque que
todas as organizações, pequenas ou grandes,
estão vulneráveis agora. Todas as organizações
dependem de tecnologia, nenhuma é imune às
diversas pessoas ao redor do mundo que buscam
romper suas operações, às vezes apenas pela
diversão e, frequentemente, por razões mal-
intencionadas ou de ganho pessoal.
Isto significa que o Diretor-Executivo e o
conselho são responsáveis pelo "bom senso
comercial" na proteção contra as ameaças. O
primeiro erro de Paul foi rejeitar o e-mail
original. Todas as ameaçasde TI devem ser
levadas a sério, se ele tivesse pensado
claramente, teria avisado Jacob Dale sobre a
ameaça imediatamente. Nenhum sistema de TI é
"à prova de balas".
Além disso, as organizações precisam de um
plano para quando não tiverem certeza da
extensão na qual seus sistemas foram
comprometidos. O Sunnylake deveria possuir um
sistema de backup viável e totalmente testado
para garantir o serviço ininterrupto aos pacientes
e proteger todos os afetados. Médicos e
enfermeiros são treinados para diagnosticar,
resolver problemas e tratar seus pacientes de
forma dinâmica. Sistemas de TI facilitam, mas
não são substitutos para o tratamento do paciente.
O fato de que o hospital não tinha um software de
segurança atualizado instalado, ou um
terceirizado de segurança confiável e um plano
de emergência em vigor é imperdoável.
Por pior que pareça, esta crise é mais fácil de
tratar do que outras ameaças mais vagas (como
programas de software parecidos com robôs que
aleatoriamente alternam entre dormência e
sabotagem ou roubo de dados de clientes), pois o
Sunnylake sabe que houve uma invasão: Alguém
parece ter mudado a segurança de acesso.
Então, o que Paul, o Diretor-Executivo,
deveria fazer? Em primeiro lugar, ele deveria
sair desse sofá e desistir da vã esperança de que o
departamento de TI pode restaurar o sistema e
conseguir fazer o hospital funcionar novamente.
Quando hospitais do CareGroup, uma equipe de
profissionais de saúde
no leste de Massachusetts, enfrentaram uma
situação semelhante em 2002, o Diretor-
Executivo, o Diretor de Informática, os médicos,
os enfermeiros e o pessoal de apoio começaram a
trabalhar da mesma forma que faziam na década
de 1970, antes de seu sistema integrado EMR ser
instalado. Os profissionais que se lembravam
como aquilo funcionava, treinaram aqueles que
tinham sempre dependido de computadores.
Como John Halamka, o Diretor de Informática,
disse ao seu Conselho, “A boa notícia é que os
cuidados de saúde não sofreram.”
Paul também deveria estar se comunicando
amplamente com todos os seus componentes. Ele
deveria entender que, hoje em dia, não há
segredos nos ambientes em redes. Qualquer
violação de TI obriga uma organização a se
perguntar, Quanto nós devemos divulgar sobre
esta ameaça? Nesta situação, Paul precisa realizar
uma divulgação completa aos seus diversos
componentes: funcionários, diretoria, pacientes e
o público.
Ele não deve, sob nenhuma hipótese, aquiescer
às demandas dos chantagistas. Não há nenhuma
garantia de que eles não corromperam ainda mais
o sistema. O código precisa ser examinado linha
por linha e deve ser cuidadosamente limpo. A
infraestrutura da rede do hospital e outros
sistemas de TI devem ser analisados para
verificar se há uma possível corrupção e devem
ser protegidos com um software de segurança
atualizado.
Por fim, Paul precisa enfrentar o fato de que
ele pode perder seu emprego. Afinal, ele é
responsável por todos os recursos estratégicos do
hospital, incluindo TI. O conselho também deve
ser responsabilizado pela falta de supervisão
estratégica.
O caso do Hospital de Sunnylake oferece um
aviso prévio sobre um grave problema emergente
para todos os diretores executivos e seus
conselhos.

Richard L. Nolan (rnolan2@u.washington.edu)
possui a Cadeira Philip M. Condit na Faculdade
de Administração da University of Washington.
Ele é coautor, juntamente com Robert D. Austin
and Shannon O’Donnell, de Adventures of an IT
Leader (Harvard Business Press, 2009).
harvard business review • outubro de
2009
página
7

O departamento de
TI precisa executar
uma verificação de
malware em cada
estação de trabalho
do hospital.
Se você enfeitou as janelas e portas da sua rede
com alho, pendurou espelhos e crucifixos e
espirrou água benta em tudo, em forma de
firewalls, software de antivírus e assim por
diante, você provavelmente estará a salvo de
vampiros — hackers ou malwares. Mas, neste
caso, não haviam preparativos para uma violação
de segurança e algum preguiçoso —
possivelmente alguém fazendo compras on-line
em um computador conectado à rede — pode ter
deixado o vampiro entrar.
Infelizmente, a segurança dos dados é uma
consideração tardia em muitos hospitais.
Recentemente, eu passei por um quiosque de
informações do hospital, que deveria possuir um
voluntário. O computador estava ligado, a tela
estava iluminada, mas não havia ninguém — uma
violação grave da lei de proteção à privacidade
do paciente dos Estados Unidos.
Em Sunnylake, o sistema continua falhando
pois os hackers encontram uma nova maneira de
entrar a cada vez que um reparo é feito. Isto pode
ter ocorrido pois o malware — programa maligno
que facilitou a violação inicial — transmitiu uma
mensagem de volta para os hackers, deixando-os
cientes do que Jacob e sua equipe estava fazendo.
Se Paul tivesse avisado a equipe de TI no
momento em que a primeira mensagem chegou,
eles poderiam ter tirado o sistema da Internet
imediatamente, garantindo que um programa
malicioso relacionado ao ataque não pudesse
entrar de fora. Isso também teria bloqueado
quaisquer backdoors criadas pelos hackers.
Em seguida, eles deveriam ter verificado se os
hackers realmente tinham obtido acesso à rede.
Não é incomum um chantagista enviar uma
mensagem ameaçadora na esperança de que o
destinatário forneça alguma recompensa. Jacob
deveria ter verificado os registros do sistema,
juntamente com sua equipe, para ver se haviam
alterações. Se eles tivessem reagido
imediatamente, eles poderiam ter evitado o
segundo e-mail ou penetrações adicionais.
Como o departamento de TI pode reparar a
rede? Primeiro, os administradores do sistema
precisam recuperar suas
senhas e o controle. Sob o risco de se tornar
técnico, isso significa desligar servidores, realizar
uma exclusão segura em todos os discos do
servidor excluindo e substituindo por dados
aleatórios, restaurando os servidores e os dados, e
certificando-se de que os programas de segurança
estejam totalmente atualizados e operantes. O
departamento de TI precisa executar uma
varredura de malware em todas as estações de
trabalho no hospital, caso o ataque venha através
de um computador de um empregado. Embora
trabalhosa, esta varredura é de suma importância.
E os chantagistas? As mensagens de e-mail
oferecem algumas dicas sobre sua identidade. O
uso da abreviatura "vc" para "você" sugere uma
pessoa jovem ou um estrangeiro com pouca
habilidade de inglês ou um amador que baixou o
programa de ataque da internet. Também é
possível que os hackers sejam muito inteligentes
— e é sempre mais seguro superestimar as
habilidades de hackers. Eles podem nem ser
pessoas de fora. Um empregado vingativo ou um
paciente que passa por uma estação de trabalho
abandonada podem causar muitos danos. Antes
de reconectar-se à internet, o Sunnylake deve
vigiar o que acontece por 24 horas. Se os hackers
forem pessoas de dentro que possuem acesso ao
sistema, eles podem tentar entrar no sistema
novamente. Mesmo que Paul contrate um
consultor de segurança, que é um passo que eu
recomendaria, é improvável que o hospital
encontre os hackers. Ainda, o consultor pode
ajudar a construir um perfil dos hackers, melhorar
a segurança e treinar o pessoal-chave, para que o
Sunnylake possa se proteger no futuro.

Peter R. Stephenson é o presidente dodepartamento de computação e o diretor de
segurança de informações na Norwich
University em Northfield, Vermont.

Reimpressão R0910B
Somente o caso R0910X
Somente os comentários R0910Z
Para encomendar, ligue para 800-988-0886
ou 617-783-7500 ou visite www.hbr.org

Gestão da segurança 01

ESTÁCIO

Gorvenança

Continue navegando

Outros materiais