Nel settore sanitario, la forza dei sistemi IT è messa alla prova dall’imprevedibilità delle crisi. Negli ospedali universitari i piani di continuità operativa sono essenziali per proteggere la vita umana.
Nel settore sanitario, dove ogni secondo conta, la forza dei sistemi IT non è messa alla prova dal tempo, ma dall’imprevedibilità delle crisi. I piani di continuità aziendale (BCP) presso i Centri per gli ospedali universitari (CHU) non sono solo una questione di conformità o continuità aziendale, ma sono essenziali per proteggere le vite umane.
Salva file, ma anche vite.
La peculiarità del PCA in ambito sanitario risiede nella sua assoluta importanza. A differenza di altri campi, dove il ritardo nella ripresa delle attività può essere dannoso dal punto di vista finanziario o reputazionale, in un ospedale, ogni minuto di inattività ha un impatto diretto sulla salute e sulla sopravvivenza dei pazienti. Gli scenari incontrati – attacchi ransomware, guasti di sistema, disastri naturali – richiedono una preparazione impeccabile e una risposta immediata.
Pertanto l’équipe medica deve essere in grado, durante l’intervento chirurgico, di passare a sistemi di emergenza, magari in peggioramento del servizio, ma garantendo l’essenziale. A volte è semplice come ottenere la prescrizione del paziente (mentre è sotto anestesia) o le controindicazioni mediche.
Attivare un PCA in un ospedale universitario è una delicata danza di azioni coordinate. Si inizia con la rapida identificazione degli incidenti, seguita da una comunicazione efficace all’interno del team di crisi e, per la componente IT, dal passaggio immediato a un ambiente di produzione di backup. Questo processo è supportato da test regolari e aggiornamenti continui dei piani per adattarsi ai nuovi rischi.
I criteri chiave per garantirne l’efficacia devono includere un’attenta valutazione della criticità delle diverse applicazioni, una solida strategia di backup e ripristino dei dati e un’infrastruttura di backup operativa.
Una sfida professionale e umana.
Nel contesto sanitario, BCP è caratterizzato da requisiti unici per la sicurezza dei dati dei pazienti. Le informazioni mediche sensibili devono essere protette e rese immediatamente disponibili dopo un attacco informatico. Questo livello di preparazione include non solo un’infrastruttura tecnologica adeguata, ma anche una formazione continua dei dipendenti sulle migliori pratiche di sicurezza informatica.
Di fronte all’inevitabilità degli incidenti, la preparazione è la nostra migliore difesa. Un piano di continuità aziendale ben progettato deve tenere conto di tutti gli scenari possibili. Prima che diventi una questione tecnologica, deve riguardare il livello di importanza delle applicazioni e dei dati. Di cosa possiamo fare a meno e per quanto tempo?
I sistemi informativi ospedalieri (HIS) contengono dati strategici. Ovviamente deve essere salvato su un sito esterno. Ma non tutti sono necessari al secondo minuto per garantire la continuità dell’intervento chirurgico.
PCA fornisce risposta a diversi livelli. Immediatamente, dovrebbe fornire accesso immediato ai dati più importanti, opportunamente selezionati e salvati su una posizione esterna. Ciò può essere fatto attraverso un semplice PC, sempre disconnesso dalla rete principale del CHU, tramite collegamento 4G o 5G. È accessibile a un non esperto di computer…
Allo stesso tempo, la crisi deve essere analizzata, con un graduale ritorno alla normalità avviato per fasi per tutti i sistemi. Questa parte corrisponde ad un approccio leggermente più classico Analisi del rischio (Piano di Ripresa delle Imprese) applicabile in molti settori.
Sottolineiamolo ancora una volta: la capacità di recuperare o continuare a funzionare in un ospedale universitario dopo un incidente dipende da backup esterni, in un certo senso Banca dati Certificazione HDS e accesso tramite una rete alternativa.
Oggi più che mai, dobbiamo considerare l’implementazione di un piano di continuità aziendale dal punto di vista dell’importanza dei dati, non come una sfida tecnologica. Il backup esterno, l’attenta gestione dei diritti di accesso e la profilazione dei dati in base alla loro “urgenza” sono il cardine.
È necessario costruire un modello PRA/PCA che non solo soddisfi i requisiti tecnici e normativi di ciascuna istituzione, ma metta anche la sicurezza dei suoi pazienti al centro delle preoccupazioni.
“Un drogato di zombi amante degli hipster. Aspirante risolutore di problemi. Appassionato di viaggi incurabile. Appassionato di social media. Introverso.”