Segurança da informação: diretrizes para proteção de dados e mitigação de ataques na área da saúde.

Abstract

Este artigo faz uma análise simples e prática sobre como um hospital público lida com Segurança da Informação e com a LGPD. A ideia central foi entender como os dados pessoais são protegidos no dia a dia e identificar pontos fracos que podem colocar informações de pacientes e funcionários em risco. Para isso, foram observadas rotinas internas e analisados processos relacionados ao uso de sistemas, controle de acesso, descarte de documentos, treinamentos e políticas internas. Os resultados mostram que o hospital já tem alguns avanços, como assinaturas digitais, antivírus atualizado e biometria em áreas restritas. Mesmo assim, ainda há muitas falhas importantes, como falta de treinamentos contínuos, inexistência de políticas formais, descarte inadequado de documentos, uso de logins genéricos e pouca conscientização dos colaboradores. Também foram identificados riscos no uso de dispositivos pessoais, no acesso remoto, nas redes Wi-Fi abertas e na ausência de procedimentos claros para tratar incidentes. No geral, a análise indica que o hospital ainda está em uma fase inicial de maturidade em segurança da informação e precisa evoluir para atender às exigências da LGPD e das normas ISO. O estudo reforça a necessidade de investir em capacitação, organização de processos e melhorias técnicas para proteger dados sensíveis e evitar problemas futuros.

This article presents a practical analysis of how a public hospital handles Information Security and compliance with the Brazilian General Data Protection Law (LGPD). The study aimed to understand how personal data is protected in daily routines and to identify weaknesses that may expose sensitive information from patients and employees. The research was conducted through direct observation and analysis of internal processes related to system usage, access control, document disposal, training, and internal policies. The results show that the hospital has some positive practices, such as the use of digital signatures, updated antivirus solutions, and biometric access in restricted areas. However, several significant gaps remain, including the lack of continuous training, absence of formal policies, improper document disposal, the use of generic logins, and low employee awareness. Additional risks were identified regarding personal devices, remote access, open Wi-Fi networks, and the lack of clear incident response procedures. Overall, the findings indicate that the hospital is still at an early stage of information security maturity and must improve to adequately meet LGPD and ISO standards. The study highlights the need for investments in staff training, structured processes, and technical improvements to strengthen data protection and prevent future incidents.