Notícias | Somos + Saúde

ULS Gaia/Espinho reforça segurança com MFA

A adoção desta autenticação permite criar uma camada adicional de segurança, protegendo a organização contra acessos não autorizados e aumentando a segurança de dados sensíveis. Permite ainda estar em conformidade com padrões de segurança e privacidade internacionais.”

A implementação do Duplo Fator de Autenticação (MFA) foi concluída com sucesso no Centro Hospitalar, agora Unidade Local de Saúde de Gaia/Espinho, EPE (ULSGE). Observamos já um decréscimo significativo no número de incidentes relacionados com acessos não autorizados na nossa rede. Contudo, antes de avançarmos, importa explicar o que é o MFA e os motivos pelos quais tomámos a decisão estratégica de o implementar na nossa instituição.

O MFA é um método que compreende duas fases de autenticação no computador, com recurso ao telemóvel. O projeto torna-se mais simples quando existem contas de e-mail individuais para todos os colaboradores da instituição, como na ULSGE, o que reforça a identidade da nossa marca. Isto facilita a gestão e identificação dos colaboradores dos vários serviços e a implementação de políticas de segurança que incrementam a rastreabilidade da informação e, consequentemente, a segurança dos dados de todos os nossos utilizadores e utentes.

A existência de contas de e-mail individuais para os colaboradores da instituição também simplifica a comunicação interna, garantindo que todos recebem a informação certa na hora certa, e reforça a consistência da comunicação externa, uma vez que todos comunicam com o exterior.

A adoção do duplo fator de autenticação permite criar uma camada adicional de segurança, protegendo a organização contra acessos não autorizados, aumentando desta forma a segurança de dados sensíveis. Finalmente, permite-nos estar em conformidade com padrões internacionais de segurança e privacidade.

Projeto implementado em quatro meses

O projeto decorreu entre abril e julho de 2023 e foi dividido em quatro fases estruturadas: planeamento, piloto, implementação e resultados da implementação.

Iniciámos com um planeamento rigoroso, no qual definimos o nosso roadmap e as milestones a atingir. Depois, estabelecemos o cronograma, suportado por metodologias ágeis de trabalho e, paralelamente, criámos a nossa estratégia de comunicação interna, para apresentar, a toda a organização, o projeto, os seus benefícios e o plano de implementação.

Cumpridos os requisitos para irmos para o terreno, optámos por realizar o piloto no Serviço de Sistemas de Tecnologias de Informação (SSTI), no Conselho de Administração (CA) e na Unidade de Investigação Clínica, devido à sua importância crítica e diversidade de funções. Graças à nossa estratégia de comunicação, estes serviços já estavam cientes das vantagens do projeto, o que contribuiu para a elevada adesão dos colaboradores. Realizámos várias sessões de comunicação, adaptadas às diferentes categorias profissionais. Durante o piloto, fomos acompanhando e monitorizando a utilização de MFA e acolhendo as opiniões dos profissionais, que foram fornecendo feedback honesto e construtivo.

Este piloto permitiu ajustar a nossa estratégia de implementação do MFA e afinar o plano de comunicação, por forma a correspondermos às expectativas. Concluído o piloto, iniciámos a expansão aos restantes serviços e profissionais. Esta expansão foi realizada de forma faseada, começando pelos serviços com acesso a informação mais sensível e garantindo uma linha de suporte 24/7 para assistência técnica, resolução de problemas e esclarecimento de dúvidas.

Nome da TarefaN.º ColaboradoresData de InícioData de Conclusão
Fase 1 – SSTI e CA incluindo secretariado25
Fase 2 – Ativar Investigação Clínica1510/04/202313/04/2023
Fase 3 – Publicar em BI017/04/202321/04/2023
Fase 4 – Direções de Serviço e Unidades de Gestão10724/04/202328/04/2023
Fase 5 – Áreas de coordenação5201/05/202305/05/2023
Fase 6 – Médicos72808/05/202312/05/2023
Fase 7 – Enfermeiros152715/05/202319/05/2023
Fase 8 – Restantes colaboradores167122/05/202326/05/2023

O plano de comunicação e as ações de formação e informação, bem como a auscultação e acompanhamento constante de todos os colaboradores, desempenharam um papel fundamental para o sucesso do projeto, tendo garantido níveis de aceitação elevados e equipas motivadas.

Apesar de parecer uma tarefa fácil, a implementação foi árdua, nomeadamente no que diz respeito à resistência natural das pessoas perante a mudança. Esta resistência foi gradualmente ultrapassada com ações de formação e apresentação de casos concretos, tendo sido demonstrado como o MFA protege profissionais e pacientes. O apoio do Conselho de Administração foi fundamental para reforçar a necessidade de adoção deste sistema.

“Formar, comunicar e repetir” para melhores resultados

Os resultados foram muito positivos. Observamos um decréscimo significativo no número de incidentes relacionados com acessos não autorizados e maior consciencialização para a segurança informática entre os colaboradores. O tema da segurança e do Regulamento Geral sobre a Proteção de Dados (RGPD) tem tido muita expressão entre todos os colaboradores da instituição. “Formar, comunicar e repetir” tem sido um dos nossos lemas.

Analisamos e monitorizamos os procedimentos de trabalho antes, durante e após a implementação do projeto, não tendo sido registadas interrupções nem atrasos significativos nos serviços hospitalares. Concluímos ainda que a escolha de métodos de autenticação rápidos e simples foi crucial para o sucesso da implementação.

Adicionalmente, garantimos políticas de atualização e melhoria contínua, mantendo sempre um canal de comunicação com os profissionais, de modo a garantir resposta célere a qualquer preocupação. Acompanhamos as tendências de segurança e registamos as preocupações apresentadas pelos colaboradores, procurando refleti-las nas nossas áreas de melhoria.

MFA em números

1 – Desde abril de 2023, ativamos lotes de mais de 550 colaboradores todas as semanas.
2 – A comunicação foi efetuada numa base semanal.
3 – No dia anterior à ativação, enviámos um e-mail aos users com informação relevante.
4 – Temos 4.710 colaboradores no total, dos quais 4.130 já se encontram com MFA ativo.
5 – Existem 900 telemóveis ativos, sendo que os restantes profissionais utilizam o seu número pessoal para validação das credenciais.
6 – 5% dos profissionais solicitaram ajuda na gestão da mudança, por servicedesk ou por chamada telefónica.
7 – Recebemos 1 reclamação por escrito.

Desafios e aprendizagem adquirida

Os principais desafios foram, sem dúvida, a resistência à mudança por parte de alguns profissionais e encontrar o equilíbrio entre a facilidade de utilização e a continuidade dos serviços hospitalares durante a transição para o MFA. Foi possível superar estes desafios através de uma comunicação eficiente, abrangente e recorrente e com uma solução de MFA segura e de fácil utilização.

Percebemos que comunicar e instruir a nossa comunidade para a literacia digital é um passo fundamental para garantir maior tração na adoção de novos projetos e evitar comportamentos de risco por parte dos nossos colaboradores,. Dotar os colaboradores de ferramentas e conhecimentos que lhes permitam preservar a nossa segurança e a dos nossos utentes é um projeto que queremos fazer bem e continuamente.

Com o modelo ULS a funcionar desde 1 janeiro, contamos alargar a utilização de MFA a todos os colaboradores, cerca de 1.500 dos cuidados de saúde primários, ainda antes do final do primeiro trimestre.

Atrevemo-nos a dizer que a implementação do MFA se revelou fundamental para a proteção dos dados dos nossos utentes e na manutenção da confiança no nosso sistema de saúde.

Alexandra Ferreira Cabral, Diretora do Serviço de Sistemas e Tecnologias de Informação da Unidade Local de Saúde de Gaia/Espinho, EPE

05_News PROFISSIONAIS_Site SPMS_Boas práticas
Voltar
Voltar para o topo.