“A adoção desta autenticação permite criar uma camada adicional de segurança, protegendo a organização contra acessos não autorizados e aumentando a segurança de dados sensíveis. Permite ainda estar em conformidade com padrões de segurança e privacidade internacionais.”
A implementação do Duplo Fator de Autenticação (MFA) foi concluída com sucesso no Centro Hospitalar, agora Unidade Local de Saúde de Gaia/Espinho, EPE (ULSGE). Observamos já um decréscimo significativo no número de incidentes relacionados com acessos não autorizados na nossa rede. Contudo, antes de avançarmos, importa explicar o que é o MFA e os motivos pelos quais tomámos a decisão estratégica de o implementar na nossa instituição.
O MFA é um método que compreende duas fases de autenticação no computador, com recurso ao telemóvel. O projeto torna-se mais simples quando existem contas de e-mail individuais para todos os colaboradores da instituição, como na ULSGE, o que reforça a identidade da nossa marca. Isto facilita a gestão e identificação dos colaboradores dos vários serviços e a implementação de políticas de segurança que incrementam a rastreabilidade da informação e, consequentemente, a segurança dos dados de todos os nossos utilizadores e utentes.
A existência de contas de e-mail individuais para os colaboradores da instituição também simplifica a comunicação interna, garantindo que todos recebem a informação certa na hora certa, e reforça a consistência da comunicação externa, uma vez que todos comunicam com o exterior.
A adoção do duplo fator de autenticação permite criar uma camada adicional de segurança, protegendo a organização contra acessos não autorizados, aumentando desta forma a segurança de dados sensíveis. Finalmente, permite-nos estar em conformidade com padrões internacionais de segurança e privacidade.
Projeto implementado em quatro meses
O projeto decorreu entre abril e julho de 2023 e foi dividido em quatro fases estruturadas: planeamento, piloto, implementação e resultados da implementação.
Iniciámos com um planeamento rigoroso, no qual definimos o nosso roadmap e as milestones a atingir. Depois, estabelecemos o cronograma, suportado por metodologias ágeis de trabalho e, paralelamente, criámos a nossa estratégia de comunicação interna, para apresentar, a toda a organização, o projeto, os seus benefícios e o plano de implementação.
Cumpridos os requisitos para irmos para o terreno, optámos por realizar o piloto no Serviço de Sistemas de Tecnologias de Informação (SSTI), no Conselho de Administração (CA) e na Unidade de Investigação Clínica, devido à sua importância crítica e diversidade de funções. Graças à nossa estratégia de comunicação, estes serviços já estavam cientes das vantagens do projeto, o que contribuiu para a elevada adesão dos colaboradores. Realizámos várias sessões de comunicação, adaptadas às diferentes categorias profissionais. Durante o piloto, fomos acompanhando e monitorizando a utilização de MFA e acolhendo as opiniões dos profissionais, que foram fornecendo feedback honesto e construtivo.
Este piloto permitiu ajustar a nossa estratégia de implementação do MFA e afinar o plano de comunicação, por forma a correspondermos às expectativas. Concluído o piloto, iniciámos a expansão aos restantes serviços e profissionais. Esta expansão foi realizada de forma faseada, começando pelos serviços com acesso a informação mais sensível e garantindo uma linha de suporte 24/7 para assistência técnica, resolução de problemas e esclarecimento de dúvidas.
| Nome da Tarefa | N.º Colaboradores | Data de Início | Data de Conclusão |
|---|---|---|---|
| Fase 1 – SSTI e CA incluindo secretariado | 25 | ||
| Fase 2 – Ativar Investigação Clínica | 15 | 10/04/2023 | 13/04/2023 |
| Fase 3 – Publicar em BI | 0 | 17/04/2023 | 21/04/2023 |
| Fase 4 – Direções de Serviço e Unidades de Gestão | 107 | 24/04/2023 | 28/04/2023 |
| Fase 5 – Áreas de coordenação | 52 | 01/05/2023 | 05/05/2023 |
| Fase 6 – Médicos | 728 | 08/05/2023 | 12/05/2023 |
| Fase 7 – Enfermeiros | 1527 | 15/05/2023 | 19/05/2023 |
| Fase 8 – Restantes colaboradores | 1671 | 22/05/2023 | 26/05/2023 |
O plano de comunicação e as ações de formação e informação, bem como a auscultação e acompanhamento constante de todos os colaboradores, desempenharam um papel fundamental para o sucesso do projeto, tendo garantido níveis de aceitação elevados e equipas motivadas.
Apesar de parecer uma tarefa fácil, a implementação foi árdua, nomeadamente no que diz respeito à resistência natural das pessoas perante a mudança. Esta resistência foi gradualmente ultrapassada com ações de formação e apresentação de casos concretos, tendo sido demonstrado como o MFA protege profissionais e pacientes. O apoio do Conselho de Administração foi fundamental para reforçar a necessidade de adoção deste sistema.
“Formar, comunicar e repetir” para melhores resultados
Os resultados foram muito positivos. Observamos um decréscimo significativo no número de incidentes relacionados com acessos não autorizados e maior consciencialização para a segurança informática entre os colaboradores. O tema da segurança e do Regulamento Geral sobre a Proteção de Dados (RGPD) tem tido muita expressão entre todos os colaboradores da instituição. “Formar, comunicar e repetir” tem sido um dos nossos lemas.
Analisamos e monitorizamos os procedimentos de trabalho antes, durante e após a implementação do projeto, não tendo sido registadas interrupções nem atrasos significativos nos serviços hospitalares. Concluímos ainda que a escolha de métodos de autenticação rápidos e simples foi crucial para o sucesso da implementação.
Adicionalmente, garantimos políticas de atualização e melhoria contínua, mantendo sempre um canal de comunicação com os profissionais, de modo a garantir resposta célere a qualquer preocupação. Acompanhamos as tendências de segurança e registamos as preocupações apresentadas pelos colaboradores, procurando refleti-las nas nossas áreas de melhoria.
MFA em números
| 1 – Desde abril de 2023, ativamos lotes de mais de 550 colaboradores todas as semanas. |
| 2 – A comunicação foi efetuada numa base semanal. |
| 3 – No dia anterior à ativação, enviámos um e-mail aos users com informação relevante. |
| 4 – Temos 4.710 colaboradores no total, dos quais 4.130 já se encontram com MFA ativo. |
| 5 – Existem 900 telemóveis ativos, sendo que os restantes profissionais utilizam o seu número pessoal para validação das credenciais. |
| 6 – 5% dos profissionais solicitaram ajuda na gestão da mudança, por servicedesk ou por chamada telefónica. |
| 7 – Recebemos 1 reclamação por escrito. |
Desafios e aprendizagem adquirida
Os principais desafios foram, sem dúvida, a resistência à mudança por parte de alguns profissionais e encontrar o equilíbrio entre a facilidade de utilização e a continuidade dos serviços hospitalares durante a transição para o MFA. Foi possível superar estes desafios através de uma comunicação eficiente, abrangente e recorrente e com uma solução de MFA segura e de fácil utilização.
Percebemos que comunicar e instruir a nossa comunidade para a literacia digital é um passo fundamental para garantir maior tração na adoção de novos projetos e evitar comportamentos de risco por parte dos nossos colaboradores,. Dotar os colaboradores de ferramentas e conhecimentos que lhes permitam preservar a nossa segurança e a dos nossos utentes é um projeto que queremos fazer bem e continuamente.
Com o modelo ULS a funcionar desde 1 janeiro, contamos alargar a utilização de MFA a todos os colaboradores, cerca de 1.500 dos cuidados de saúde primários, ainda antes do final do primeiro trimestre.
Atrevemo-nos a dizer que a implementação do MFA se revelou fundamental para a proteção dos dados dos nossos utentes e na manutenção da confiança no nosso sistema de saúde.
Alexandra Ferreira Cabral, Diretora do Serviço de Sistemas e Tecnologias de Informação da Unidade Local de Saúde de Gaia/Espinho, EPE
