Voltar
A inteligência artificial colocou os líderes da área da saúde em uma posição complicada. Embora muitos ainda debatessem se a tecnologia deveria ser usada, seu valor era tão evidente para outros que muitas equipes começaram a utilizá-la muito antes de ser formalmente avaliada, regulamentada ou protegida.
Os médicos têm jogado notas no ChatGPT para economizar tempo, as equipes de operações têm testado chatbots baseados em agentes para agilizar os fluxos de trabalho e os cientistas de dados estão integrando ferramentas SaaS aos pipelines. O potencial ilimitado e a versatilidade da IA significam que ela não tem um roteiro definido — simplesmente surgiu um dia em uma aba do navegador.
É aquela tensão entre a experimentação orgânica e a governança disciplinada que esteve no centro de um recente webinar de CIOs do Sistema de Saúde, Estratégias cibernéticas para proteger a onda da IA.
O que delineamos ao longo da conversa foi um caminho que vai de "IA em todo lugar, sem gerenciamento" para "IA habilitada e com propósito". Neste artigo, compartilharei dicas e conselhos do webinar sobre como os sistemas de saúde podem retomar o controle e transformar a IA em um ativo estratégico, em vez de um risco à segurança.
De "porque está lá" para "porque é o certo"
A primeira armadilha em que a maioria das organizações — sejam da área da saúde ou de outros setores — cai é adotar a IA simplesmente porque está disponível.
O painel comparou isso aos primeiros dias da telemedicina durante a pandemia da covid, quando as ferramentas eram lançadas muito rapidamente, mas a governança, a integração e os riscos de longo prazo eram frequentemente negligenciados. Este é o cenário que todo CISO teme: dados confidenciais vazam para ferramentas de IA e começam a influenciar decisões clínicas ou operacionais sem verificações adequadas. Como resultado, você não está apenas colocando as informações de saúde protegidas (Protected Health Information, PHI) em risco, mas também tudo, desde modelos de pessoal até planos estratégicos e, mais criticamente, tempo de atividade e segurança do paciente.
Portanto, antes de ativar uma ferramenta de IA, pergunte onde os resultados dela aparecerão nos fluxos de trabalho e o que acontecerá se estiverem incorretos. Mesmo ações automatizadas bem-intencionadas, como bloqueios de conta assistidos por IA, não devem ser permitidas a ponto de comprometer algo tão sensível ao tempo quanto uma cirurgia ou levar os médicos a soluções alternativas inseguras.
Também não se trata de extremos. Quando você "bloqueia tudo", mata a inovação; quando você "permite tudo", mata sua capacidade de controle. Portanto, busque o meio-termo: políticas adaptativas, IA controlada pela empresa e limites claros para que você possa proteger os dados e ainda avançar rapidamente.
Do "departamento do Não poder" para o "departamento do Saber"
Se a IA está forçando algo a evoluir, é a cultura de governança.
O modelo antigo que a maioria de nós reconhece é o de encarar a segurança como o "departamento do não poder" — o lugar onde as solicitações chegam e são atrasadas o suficiente para que as pessoas eventualmente desistam de pedir. Isso não funciona na área da saúde, onde as equipes clínicas seguem em frente independentemente, e os riscos são muito maiores do que o atraso no lançamento de um produto.
Em vez de ser conhecida por bloquear, imagine a segurança como o lugar onde as pessoas vão para compreender: o “departamento do Saber (conhecimento)”, formado por equipes de segurança que sabem onde os dados estão armazenados, como eles fluem entre os sistemas, quais ferramentas de IA os acessam e em que termos.
Isso exige um modelo em que a segurança seja responsável por cerca de um terço das decisões de risco, com a conformidade e a governança de dados dividindo o restante entre si. Uma "regra dos 33%" como essa garante que nenhuma função empresarial isolada seja juiz, júri e executor. Isso afasta a organização de uma mentalidade do tipo "o CISO vai resolver isso" e a aproxima de uma visão genuinamente compartilhada sobre o risco da IA.
A conversa então muda. Menos "podemos fazer isso?" e mais "o que precisa ser verdade para que possamos fazer isso com segurança?"
"A segurança não deveria estar ditando todos os componentes, fazendo o bloqueio, definindo a estratégia, fazendo tudo em torno disso. Você precisa ter outras partes interessadas na mesa."
— Steven Ramirez, vice-presidente e diretor de tecnologia de segurança da informação (CISTO), Renown Health
Você não pode proteger aquilo que finge não ver
Após anos de foco na transformação digital, a IA está levando a área da saúde a uma nova fase: transformação e governança de dados. A força da IA é determinada pelos dados que a sustentam, o que torna a higiene, a propriedade e a classificação inegociáveis.
E, embora muitas organizações ainda evitem a descoberta completa de dados, lembre-se de que a IA aprenderá com tudo aquilo a que tiver acesso. Portanto, ignorar focos de exposição não deixa você mais seguro(a); apenas garante que os problemas sejam descobertos mais tarde, quando são mais difíceis de conter.
A proteção da IA começa com a proteção dos dados; é preciso saber onde as informações confidenciais estão em repouso, em movimento e em uso, e aplicar controles consistentes em todas as instâncias. Isso exige uma parceria real entre as equipes de segurança e de dados, pois, assim como não é possível proteger o que não se entende, os líderes de dados não podem conduzir a IA com segurança sem controlar os riscos, a conformidade e a privacidade.
Sessões de exercícios teóricos que simulam incidentes de segurança de IA em tempo real podem ajudar a melhorar a conscientização sobre riscos e a qualidade dos dados. Mas, de forma mais ampla, trata-se de passar do controle para a habilitação, com a segurança fornecendo aos responsáveis pelos dados a visibilidade e as proteções para tomar decisões informadas sobre como a IA interage com esses dados.
A parceria com os usuários é sempre melhor do que bloqueá-los, porque as pessoas mais próximas do fluxo de trabalho sabem onde estão os casos extremos e revelarão os problemas com antecedência se virem a segurança como um colaborador e não como um obstáculo.
"Acho que a IA está meio que forçando nossa mão, como fizemos com a transformação digital, para uma transformação de dados mais acentuada, garantindo mais governança e apropriação nessas respectivas áreas."
— Steven Ramirez, vice-presidente e diretor de tecnologia de segurança da informação (CISTO), Renown Health
A IA como multiplicadora de ameaças e aliada defensiva
A IA não está mudando apenas a forma como o setor de saúde oferece atendimento, mas também a forma como os invasores operam, com o spear-phishing orientado por IA já superando as campanhas tradicionais, e os agentes de estatais colocando a IA em camadas em toda a cadeia de ataque, do reconhecimento à execução do ataque.
Portanto, as equipes de segurança precisam responder da mesma forma, usando a IA defensivamente para observar o comportamento, aprender o que é "normal" e identificar anomalias sutis quase em tempo real. Em vez de depender de conjuntos de ferramentas desconectados, você precisa de um ecossistema digital integrado: plataformas que conversem umas com as outras de forma fluida, suportem políticas unificadas e ancorem a IA em seu EHR principal.
E à medida que a governança se torna mais rígida para acompanhar a urgência dos tempos, a supervisão está passando de trimestral para mensal ou até semanal, à medida que os pilotos de IA aceleram, com o objetivo de avaliar novas ferramentas rapidamente sem abandonar a consistência.
O webinar terminou com o painel oferecendo quatro dicas simples que você pode seguir:
- Não se limite a aplicar patches; pense em medidas de controle compensatórias: questione o que impede um incidente grave caso uma nova rota de ataque habilitada por IA seja explorada amanhã.
- Seja um contador de histórias e parceiro, não um monitor de corredor: para manter seu lugar à mesa, você precisa ajudar a empresa a ver como a IA segura pode realmente fazê-la avançar.
- Entenda a expansão da IA paralela e do SaaS: saiba quais ferramentas as pessoas estão usando, como os dados fluem por elas e onde a funcionalidade de IA foi introduzida, e implemente os controles antes, e não depois, de um evento de perda de dados.
- Mude de reativo para proativo: capacite os negócios, mantenha a supervisão e trate a IA como um programa contínuo e colaborativo, não como um projeto único.
Em última análise, evoluir do "departamento do Não poder" para o "departamento do Saber" é uma mudança que permitirá transformar a onda da IA de uma fonte de caos em uma capacidade que você pode direcionar para um cuidado mais seguro, controle mais rígido e inovação mais inteligente.
“Uma boa governança de dados e boas estratégias de proteção de dados ajudam na limpeza dos dados, garantindo que tenhamos boas fontes de dados que estamos rastreando. E isso realmente garante que todos estejam fazendo a lição de casa para garantir que os administradores e responsáveis pelos dados sejam devidamente creditados.”
— Steven Ramirez, vice-presidente e diretor de tecnologia de segurança da informação (CISTO), Renown Health
Assista ao webinar sob demanda para ouvir como os principais líderes em cibersegurança estão indo além do “não” para se tornarem verdadeiros parceiros de inovação. Aprenda a aplicar a proteção Zero Trust e obtenha a visibilidade em tempo real necessária para garantir o futuro do cuidado.
Vai para a HIMSS 2026? Prepare-se para ver o futuro da segurança clínica e garanta um lugar na primeira fila para uma demonstração ao vivo no estande 10107 da Netskope. Clique aqui para ficar por dentro de tudo que a Netskope tem feito na HIMSS.
Leia o Blog