Por Andréa Rangel, Head de Negócios em Saúde da Hexa IT

Vivemos um momento de inflexão no setor de saúde. A transformação digital, antes vista como uma tendência, hoje é uma realidade consolidada em muitas instituições. Prontuários eletrônicos, inteligência artificial, interoperabilidade, dispositivos médicos conectados e sistemas em nuvem se tornaram parte do cotidiano de clínicas e hospitais. Mas com essa modernização acelerada, uma sombra tem crescido na mesma velocidade: o risco cibernético.

• Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link
• Assine nossa newsletter neste link.

Não é mais possível ignorar que a saúde se tornou um dos setores mais visados por cibercriminosos. Segundo dados da Check Point Research, empresa de inteligência de ameaças cibernéticas, em 2025, o número de tentativas de ataques a instituições de saúde ultrapassou a média global. O Brasil registrou 2.664 ataques semanais por organização, com um crescimento de 73% em relação ao ano anterior. O dado mais alarmante é o salto de tentativas de ransomware, que foi de 6.500 em 2023 para 16.000 em 2024. Em dois anos, a saúde foi da 7ª para a 3ª posição entre os setores mais atacados do país.

Essa escalada não é um acaso. A saúde é um setor essencial e vulnerável. Carrega dados extremamente sensíveis, opera com sistemas muitas vezes legados e conta com uma cultura organizacional ainda despreparada para os desafios da segurança digital. É nesse ponto que devemos refletir com urgência, a transformação digital sem uma estratégia robusta de cibersegurança é uma ameaça disfarçada de progresso.

Quando a inovação encontra a fragilidade

É inegável que a tecnologia trouxe ganhos valiosos para a assistência, da melhoria na jornada do paciente à eficiência dos processos administrativos. Mas a pressa em adotar soluções inovadoras sem um olhar atento à segurança abriu brechas perigosas, como infraestruturas defasadas, múltiplos fornecedores desconectados, adoção de IA sem revisão de compliance e uma baixa maturidade cibernética são parte da equação que precisa ser revista.

É comum ver a TI ainda como o “guardião único” da segurança, quando na verdade esse é um compromisso coletivo. A cultura organizacional precisa evoluir. É necessário compreender que o cuidado com os dados do paciente faz parte do próprio cuidado com a saúde dele.

O impacto do despreparo

O que acontece quando a segurança é negligenciada? O resultado pode ser devastador, vazamento de dados, paralisação de sistemas, quebra de confiança e prejuízos financeiros imensuráveis. E pior, muitas vezes as instituições já foram atacadas antes mesmo de perceberem o quão vulneráveis estavam. Isso porque erros primários continuam sendo cometidos, como falta de um plano de resposta a incidentes testado e estruturado, backups ineficientes, sem criptografia ou testes reais de recuperação, permissões de acesso excessivas a dados sensíveis, falta de monitoramento contínuo e alertas proativos, e treinamentos escassos, especialmente para evitar ataques de phishing.

Em um cenário como esse, é quase inevitável que a crise aconteça. E quando ela vem, não há tempo para improvisos, apenas para arcar com as consequências.

Na saúde, a segurança da informação não é um item de checklist técnico, é um pilar de confiança pública. Profissionais da assistência devem compreender os limites éticos e legais do acesso à informação. Desenvolvedores e fornecedores de tecnologia devem entregar soluções com segurança desde o design, respeitando a LGPD, adotando arquiteturas “Zero Trust” e com rastreabilidade plena.

Já os sistemas de prontuário eletrônico precisam ir além da funcionalidade clínica. Devem incorporar criptografia, controle de acesso por perfil, logs auditáveis e múltiplas camadas de autenticação, especialmente com autenticação multifator (MFA). Tudo isso com governança clara e integrada.

Boas práticas: Da teoria à ação

A teoria já está escrita em normativas como a LGPD. Mas o que falta é a prática, o cotidiano seguro. É preciso atualizar constantemente sistemas e dispositivos médicos conectados, implantar MFA em sistemas clínicos e administrativos, realizar revisões periódicas de permissões com base em controle de acesso por função (RBAC), investir em treinamentos frequentes e contextualizados em segurança digital, criptografar dados em trânsito e em repouso, auditar os acessos de forma contínua, realizar pentests e simulações reais de ataque, ter contratos bem definidos com fornecedores, prevendo responsabilidades sobre segurança e privacidade, e contar com um plano de resposta a incidentes bem desenhado, testado e com papéis definidos.

Tudo isso pode parecer complexo, mas é a base mínima para quem deseja operar com segurança no setor da saúde. A ausência dessas práticas não é apenas um risco operacional, é um descuido com a vida humana mediada por sistemas.

A transformação digital na saúde não pode andar em paralelo à segurança, elas precisam caminhar juntas. A saúde não é apenas um serviço, é um direito, é confiança, é vida. E proteger os dados que sustentam essa missão é um compromisso inadiável.

Não podemos esperar o próximo ataque para perceber o valor da prevenção. Cibersegurança, hoje, é parte inseparável da assistência. É o que garante não só a integridade da informação, mas a continuidade do cuidado. Na saúde digital, proteger o dado é proteger o paciente.

*Andréa Rangel é Bacharel em Letras com habilitação para tradutor e intérprete, e possui especialização em Comércio Internacional pelo Institute of Export, em Londres. Além de uma pós-graduação em Automação na saúde e na Medicina, pela FMUSP – Faculdade de Medicina da Universidade de São Paulo. Atualmente, é Head de Negócios em Saúde da Hexa IT.

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.