Ppt I S H 2010

2. Roma - 30 novembre 2010 I principi per il funzionamento del sistema sono: Collaborazione, Interoperabilità, Fruibilità, Sicurezza, Privacy, Audit www.informationsecurityhospital.it - Copyright © By M. F. Penco 2

3. Roma - 30 novembre 2010 IL CONCETTO DI SICUREZZA E LE LEGGI La Sicurezza dei sistemi informativi è strettamente legata alla tecnologia e deve essere adeguata alle ultime tecnologie esistenti. Regole, leggi, disposizioni, non viaggiano, per loro natura, alla stessa velocità della tecnologia. Quando le leggi divengono “regole tecniche” e quindi, la tecnologia viene forzatamente mescolata con le leggi, il risultato è l’applicazione di una vecchia tecnologia ad una “legge moderna”…… Il rischio, con la rigida applicazione delle leggi, è quello di avere un sistema insicuro, in quanto, se imposto dalla legge, userà sempre tecnologie obsolete. www.informationsecurityhospital.it - Copyright © By M. F. Penco 3

4. Roma - 30 novembre 2010 SI ERA INIZIATO BENE NEL LONTANO 1997 La definizione del documento informatico: Questa semplice definizione doveva essere il principio di base in cui ci si doveva muovere ed a cui ci si doveva attenere senza complicarci la vita. Invece, che cosa è avvenuto? Una pioggia di provvedimenti, regolamenti legislativi, circolari, che hanno completamente ingessato il sistema. Ecco un grafico che illustra parzialmente cosa è avvenuto L’art. 2 Legge 15 Marzo 1997 N° . 59 “Il documento informatico da chiunque formato, l’archiviazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge…” www.informationsecurityhospital.it - Copyright © By M. F. Penco 4

7. Roma - 30 novembre 2010 È difficile muoversi, in quanto tutto il sistema è imbrigliato da leggi e regole estremamente difficili da capire ed interpretare anche dagli addetti ai lavori, in un certo qual modo anche da chi le ha redatte ed approvate Quello che noi tecnici possiamo fare, è indicare i principi per far si che la logica prevalga sulle disposizioni di legge o per meglio dire, che le interpreti, se possibile in modo corretto. Esaminare soluzioni presenti sul mercato, valutarne le architetture e compliance, personalizzarle per il paese. Nella trattazione, ho seguito il progetto della CISCO sulla sanità elettronica che è conforme sia alla HIPAA ed alla normativa EU. Tutto cio’ premesso www.informationsecurityhospital.it - Copyright © By M. F. Penco 7

8. Roma - 30 novembre 2010 La filiera della trasmissione dei dati deve essere quanto più omogenea, interoperabile ed al passo con le nuove tecnologie, non ci può essere infatti, discontinuità dalla creazione dei dati sanitari, alla trasmissione, fino alla loro archiviazione. L’intero sistema deve essere fruibile e consultabile senza interruzioni, sia dagli addetti ai lavori, che dagli utenti stessi e sempre più interoperabile con la sanità, non solo Europea, ma del mondo intero, in un mondo sempre più globale ed interconnesso. Soluzioni di carattere “autarchico”, funzionanti solo in Italia, come la PEC, sono, per loro natura, destinate a perire vanificando, non solo gli investimenti intrinsechi, ma anche tutto l’investimento nell’indotto e nell’addestramento del personale all’uso. Tutto questo si può accomunare alla torre di Babele, per la sua incompatibilità tra sistemi, che oltre a far lievitare enormemente i costi, provoca un fenomeno di incomunicabilità ben più grave di quanto avvenuto a Babilonia. www.informationsecurityhospital.it - Copyright © By M. F. Penco 8

10. Sistema di accesso unificato agli archivi nazionali dei dati sanitari

11. Riservatezza dei dati (non solo sanitari)

12. Trasmissione sicura degli stessi

13. Tracciabilità della trasmissione

14. Reperibilità in assoluto dei dati sanitari

15. Interoperabilità dei sistemi informativi

16. Accessibilità, dei Cittadini e degli addetti ai lavori, ai servizi

18. Roma - 30 novembre 2010 Origine e generazione dei dati La filiera del dato sanitario di una persona ha indubbiamente inizio alla nascita della stessa, a mio avviso è da lì che si deve formare il cosiddetto “file sanitario del soggetto”. www.informationsecurityhospital.it - Copyright © By M. F. Penco 10

19. Roma - 30 novembre 2010 Origine e generazione dei dati - Nel lontano 1999 si era immaginato, trascinati dall’entusiasmo della scelta, di inserire tutte le informazioni ed applicazioni possibili in un microchip da 32kb!!! Poteva quindi essere il sistema di accesso, nella tasca di ognuno di noi, per attivare quel sistema virtuoso di servizi al cittadino e archivi accessibili a tutti, per eseguire ogni genere di operazione possibile. Oggi con chip da oltre 256kb è ancora più facile e quindi attuale ed attuabile. www.informationsecurityhospital.it - Copyright © By M. F. Penco 11

21. Ospedale dove si è nati

22. Scuola

23. Medico di famiglia

25. Roma - 30 novembre 2010 Sistema di accesso unificato agli archivi nazionali dei dati sanitari Enti/professionisti hanno ormai dei sistemi informativi più o meno avanzati, anche il piccolo studio medico ha il suo computer con un archivio informatizzato di tutti i suoi pazienti. Tutti questi archivi sono tenuti da diversi soggetti senza alcun collegamento tra loro ed ovviamente, nessuna interoperabilità, non parliamo della sicurezza nel trattamento dei dati. Lo stesso sistema sanitario nazionale ha un numero imprecisato di banche dati, tra cui alcune parzialmente evolute, relativamente fruibili dagli addetti ai lavori e molto spesso senza alcuna possibilità di accesso da parte del Cittadino/paziente. www.informationsecurityhospital.it - Copyright © By M. F. Penco 13

26. Roma - 30 novembre 2010 Sistema di accesso unificato agli archivi nazionali dei dati sanitari Siamo costretti a recarci al “cosiddetto sportello” per compiere operazioni che si potrebbero fare in modo remoto con l’uso di un PC, ed oggi anche di un cellulare . Fare la fila, per vedere un operatore che fa al PC quello che potremmo fare noi stessi da casa, non è proprio il massimo della modernizzazione del sistema. www.informationsecurityhospital.it - Copyright © By M. F. Penco 14

27. Roma - 30 novembre 2010 Sistema di accesso unificato agli archivi nazionali dei dati sanitari Diciamo che i dati ci sono, ma sono tenuti da più soggetti e in modo, a dir poco confusionario ed insicuro; estrarli e metterli a disposizione in un unico archivio o attraverso un gateway gestito dal sistema sanitario nazionale, non è un’impresa difficile, quello che manca è la volontà politica di farlo. Nell’immagine che segue quella che doveva essere la rivoluzione digitale dell’epoca (1999) di alcune informazioni basilari, annunciata e mai realizzata. www.informationsecurityhospital.it - Copyright © By M. F. Penco 15

28. Roma - 30 novembre 2010 Riservatezza dei dati (non solo sanitari) Ho l’impressione che si sia perso il concetto del valore dei propri dati personali, lo stesso Garante ha di fatto cambiato il suo nome istituzionale da: in “Garante della privacy” Definizione affascinante, ma non mi sembra che abbia lo stesso significato. Può una legge stabilire quanto della mia sfera personale sia sensibile e quanto no? Direi che i dati personali di un individuo appartengono allo stesso e solo lui può stabilire a chi e cosa comunicare pubblicamente sulla sua persona e sul suo status. Dopo l’approvazione del D.L. 30/06/2003 n.° 196 si è dato vita, come succede spesso in Italia, a tutta una serie di interpretazioni dello stesso, arrivando, senza chiederlo agli interessati (I cittadini Italiani) come soli arbitri dei propri dati personali, a classificare in due categorie gli stessi, aggiungendo un concetto nuovo quello dei dati sensibili,chenon mi sembra sia previsto da alcuna normativa. www.informationsecurityhospital.it - Copyright © By M. F. Penco 16

29. Roma - 30 novembre 2010 Riservatezza dei dati (non solo sanitari) Non voglio entrare nel merito del criptico sistema giuridico/legislativo, ma cercare di rimanere nei limiti del senso comune. Non può esserci autorità al mondo che decida senza consultarmi, se alcuni dei miei dati siano sensibili o meno nei confronti di terzi. Non ha, semplicemente, alcun senso. Premesso tutto questo, sperando che siano tutti d’accordo, si può parlare dei dati sanitari, definiti da queste nuove interpretazioni della legge come sensibili, soggetti quindi a maggior controllo e rigore con sanzioni e altre più aspre penalità, ma sicuramente non secondari per riservatezza rispetto ai primi. Ripeto, è difficile scindere le cose, ricordo la battaglia condotta molti anni fa, in cui nella carta di identità, veniva riportata la “non paternità”, poi abolita. Un vero e proprio marchio infamante per i figli illegittimi: figlio di N.N., che segnava un individuo a vita. www.informationsecurityhospital.it - Copyright © By M. F. Penco 17

31. Età

32. Data di nascita

33. Luogo di nascita a cui vanno ad aggiungersi anche i dati relativi alla posizione sociale e finanziaria base, delle prestazioni sanitarie, ticket, bonus, ecc. Tutto questo, forma un insieme inscindibile, che va a generare, con un discutibile ed insicuro obsoleto algoritmo, il codice fiscale, già di per se fonte di un’infinità di problemi, fra l’altro troppo facile da copiare e generare. L’immigrazione ha dato il colpo di grazia al codice fiscale, base del dato generante l’informazione del cittadino, con combinazioni non previste, luogo di nascita non codificabile, ed altro ancora. www.informationsecurityhospital.it - Copyright © By M. F. Penco 18

35. ai dati anagrafici e fiscali della stessa (codice fiscale, tessera sanitaria)

36. alla situazione patrimoniale della persona stessa

37. allo stato sociale: pensionato, disoccupato ecc. Mi sembra quindi che il partito della “no schedatura”non abbia senso, dovrebbe vincere quello della schedatura fatta bene, ad uso del cittadino e delle istituzioni, visto che, comunque sia, siamo tutti schedati, che lo vogliamo o no! www.informationsecurityhospital.it - Copyright © By M. F. Penco 19

39. tra un sistema e l’altro

40. tra entrambia prescindere che sia un’istituzione o un privato cittadino e non solo in ambito nazionale, ma in un sistema mondiale sempre più interconnesso. Di importanza basilare è l’interoperabilità e reciprocità tra le varie nazioni, nell’interesse del “Cittadino paziente”. Diritto essenziale di essere curato ed assistito nel migliore dei modi in qualsiasi paese. La comunicazione e lo scambio di informazioni tra addetti ai lavori in tutto il mondo, non può non essere che a vantaggio del progredire della scienza medica e conseguentemente a vantaggio del cittadino. www.informationsecurityhospital.it - Copyright © By M. F. Penco 20

41. Roma - 30 novembre 2010 Trasmissione sicura dei dati sanitari Quando si parla di trasmissione dei dati, non si può non includere anche la fruizione tramite web di dati on-line ed il suo possibile “downloading”, che rappresenta anch’esso una trasmissione, come pure lo scambio di dati in un sistema interconnesso da server e sistemi complessi. Questa dovrebbe essere la rassicurante immagine del nostro futuro www.informationsecurityhospital.it - Copyright © By M. F. Penco 21

43. Deve avere la capacità di inviare grandi volumi di dati;

44. Il protocollo di sicurezza deve essere universalmente riconosciuto e compatibile in tutti i sistemi del mondo (inventarsi soluzioni proprietarie non ha alcun senso);

45. Limitare la trasmissione dei dati, anziché attraverso e-mail, siano esse certificate o meno con sistemi alternativi di WEB ACCESS ON DEMAND, cioè sistemi sicuri in cui si possa accedere alla rete, sia da parte degli addetti ai lavori, che da parte dei pazienti da qualsiasi postazione;

46. Alla trasmissione deve essere integrato un sistema sicuro di archiviazione dei dati;

47. Il sistema deve essere fruibile e non interrompibile 24 su 24 e 7 giorni su 7;

49. Roma - 30 novembre 2010 Trasmissione sicura dei dati sanitari Non mi pare un traguardo difficile, se si pensa all’ormai obsoleto fax, che ha questa caratteristica ed è purtroppo usato in modo massivo in questo paese, senza alcuna preoccupazione circa la sua sicurezza. In sostanza, tutti i canali di trasmissione debbono essere sicuri nella loro interezza ed accessibili solo a persone autorizzate, con sistemi gerarchici di accesso e funzioni di interazione con un sistema differenziato tra utenti ed addetti ai lavori. www.informationsecurityhospital.it - Copyright © By M. F. Penco 23

50. Roma - 30 novembre 2010 Trasmissione e archiviazione sicura dei dati sanitari Ci sono centinaia di aziende e migliaia di applicazioni in materia. Ecco un esempio di integrazione CISCO dove la parte hardware ed applicativa è sicuramente curata, ma non tanto la parte sicurezza Avere aggiornato il profilo del Paziente e la sua cartella clinica in tempo reale è, non solo possibile, ma relativamente facile. Richiede solo INTEGRAZIONE con i sistemi esistenti. www.informationsecurityhospital.it - Copyright © By M. F. Penco 24

51. Roma - 30 novembre 2010 Trasmissione e archiviazione sicura dei dati sanitari Una volta scelto il sistema, nell’interno dell’infrastruttura, tipicamente un Ospedale, renderla fruibile all’esterno è relativamente facile. Ecco uno schema di base dove deve esserci la possibilità di integrare, anche con la voce, i sistemi di trasmissione dati. www.informationsecurityhospital.it - Copyright © By M. F. Penco 25

52. Roma - 30 novembre 2010 Tracciabilità della trasmissione Legata più che altro alle problematiche relative alle responsabilità ed al non ripudio, oltre che a giuste regole di carattere legale, la trasmissione dei dati sanitari deve essere tracciabile nel suo percorso, sia per chi li trasmette, che per chi li riceve. Tutto questo può essere garantito con le tecnologie attuali, che saranno sempre più accurate in un futuro molto prossimo; è una necessità sentita in modo molto forte. Ormai, la dipendenza ai sistemi elettronici di trasmissione dati, fa si che lo scambio degli stessi, anche “sensibili”, avvenga attraverso e-mail senza alcuna protezione e molto diffuso è l’uso dei fax. Con qualsiasi sistema si trasmetta, si ha a che fare con una realtà molto complessa ed è ormai inimmaginabile, per i relativi costi, pensare ad una rete proprietaria, dato che la tecnologia ha sviluppato sistemi che consentono l’assoluta sicurezza nelle trasmissioni attraverso la rete Internet. www.informationsecurityhospital.it - Copyright © By M. F. Penco 26

53. Roma - 30 novembre 2010 Tracciabilità della trasmissione È sufficiente che il backbone della trasmissione sia protetto con sistemi ormai largamente in uso, compatibili ed interoperabili. Il protocollo SSL standard X509 è sicuramente il più diffuso, ormai da oltre un decennio. La tracciabilità deve essere poi messa a disposizione per i sistemi di audit, attraverso apparati facilmente consultabili da coloro che ne hanno la responsabilità. www.informationsecurityhospital.it - Copyright © By M. F. Penco 27

54. Roma - 30 novembre 2010 Reperibilità in assoluto dei dati sanitari Nel settore business si definisce come “business continuity”, ancor di più importante è nel settore sanitario, dove la mancanza di un dato può influire anche sulla vita e la morte di una persona. Il problema non è solo di trasmissione dei dati, bensì di accesso agli stessi, in un certo qual modo le due cose si equivalgono. Infatti, è sufficiente conoscere dove, nella rete, sono reperibili i dati per accedere agli stessi e se necessario estrarli in qualsiasi forma si voglia. Ritorniamo, quindi, alla necessità di avere un archivio nazionale o di un punto di accesso nazionale ad “N” archivi, per entrare nel file dove è residente l’informazione che si cerca, per poi consultarla e se necessario, scaricarla nel proprio PC, divenendo anche questo un sistema di auto-trasmissione di dati sanitari, che ovviamente deve essere sempre disponibile, funzionante e sicuro. www.informationsecurityhospital.it - Copyright © By M. F. Penco 28

55. Roma - 30 novembre 2010 Reperibilità in assoluto dei dati sanitari Si possono tracciare infiniti schemi sulla business continuity, essa è comunque parte, come qualsiasi sistema di sicurezza, di un insieme di altri moduli che fanno si che la continuazione di un servizio sia disponibile e non venga mai interrotto. Sarebbe un approccio completamente sbagliato pensare a questo come un sistema a se stante con delle responsabilità avulse dal puzzle della sicurezza. www.informationsecurityhospital.it - Copyright © By M. F. Penco 29

56. Roma - 30 novembre 2010 Interoperabilità dei sistemi Informativi Ovviamente, tutto quanto su descritto funziona solo se viene studiato e creato un sistema in cui esista una vera e propria interoperabilità e compatibilità, altrimenti è meglio lasciare le cose come sono. Ci sono stati molti investimenti senza un vero e proprio disegno globale; non credo che esistano dati certi su quanto speso complessivamente nell’IT dalla Sanità in Italia. Se una persona pensa ad un sistema complesso, questo grafico può terrorizzare chiunque. Sembra insolvibile far colloquiare più sistemi tra loro, eppure, con la moderna tecnologia non c’è nulla di più semplice, ancora una volta occorre una forte volontà politica per far si che ciò avvenga. www.informationsecurityhospital.it - Copyright © By M. F. Penco 30

57. Roma - 30 novembre 2010 Sistemi di Audit e controllo Un altro aspetto essenziale, a garanzia del funzionamento di un sistema integrato di servizi della Sanità, è senz’altro un robusto ben congegnato sistema di Audit. Attualmente, non credo esista un authority centrale in Italia realmente operativa e dotata dei necessari poteri per stabilire la Best Practice relativa ad un vero sistema di Audit, mi sembra, che tutto sia lasciato ai singoli soggetti che cercano di fare il loro meglio. Gli Stati Uniti, pur non avendo un vero e proprio sistema sanitario nazionale sono i più avanzati in materia; la legge relativa all’ HIPAA è quanto di più severo e complesso in un sistema dove le leggi e i relativi regolamenti vengono scritti poco o nulla, se si prova a sfogliare leCompliance relative all’HIPAA, solo per la parte questionario, si ha un’idea di cosa sia un sistema veramente complesso, ma soprattutto controllato. Con la riforma OBAMA sulla sanità pubblica, da molti criticata con lo spettro della burocrazia, è interessante vedere come viene rappresentata, esempio forse vicino al nostro sistema. www.informationsecurityhospital.it - Copyright © By M. F. Penco 31

58. Roma - 30 novembre 2010 Sistemi di Audit e controllo www.informationsecurityhospital.it 32

59. Roma - 30 novembre 2010 Sistemi di Audit e controllo E’ utile capire, se pur brevemente, il perché questo sia stato fatto ben prima dell’avanzare di Internet, 14 anni or sono, ed assolutamente antesignano alla riforma della sanità, dell’attuale Presidente degli Stati Uniti. Gli Stati Uniti sono una confederazione vera di Stati Indipendenti ed anche nel settore sanitario ci sono regole diverse da Stato a Stato con diversa legislazione; arrivare ad una regola federale l’HealthInsurancePortability and AccountabilityAct (HIAA) è stato articolato e difficile da adottare in tutto il complesso sistema sanitario Americano. Negli USA, come tutti sanno, non esiste un sistema di Sanità pubblica gratuita come da noi. Gli Ospedali sono per la quasi totalità delle vere e proprie aziende che possono, ed è avvenuto, anche fallire. www.informationsecurityhospital.it - Copyright © By M. F. Penco 33

60. Roma - 30 novembre 2010 Sistemi di Audit e controllo Chi fa la parte del leone, in questo sistema, sono le compagnie di assicurazioni che assicurano in pratica tutto il sistema sanitario federale, statale e privato americano, imponendo premi assicurativi strettamente legati all’esperienza di quella od altra struttura, di quel medico o dell’altro, di quella od altra casa farmaceutica, ecc. Arrivando persino a negare la copertura assicurativa, imponendo premi impossibili da pagare, provocando la chiusura di strutture o l’interruzione professionale dei medici. Le cause, verso la struttura sanitaria sono brevi, in tempi, ma molto, molto onerose, anche se gli effetti variano da Stato a Stato. Vi sono poi stuoli di Avvocati, che valutato il caso, lo “comperano”, nel senso che risarciscono loro il danneggiato e procedono per la causa multi milionaria contro la compagnia di assicurazione. Sembra consequenziale e saggio, visti i tempi, che occorrerebbe imitare, eliminando quanto non applicabile nel nostro paese, quanto fatto negli Stati Uniti. www.informationsecurityhospital.it - Copyright © By M. F. Penco 34

62. Roma - 30 novembre 2010 Il Futuro la comunicazione unificata Per un’infinità di motivi, ma anche perché tutte le ricerche tecnologiche vanno in questa direzione, la comunicazione unificata è la tecnologia da seguire per il futuro, in cui non esiste più la sola e-mail o PEC che dir si voglia, ma un sistema unico di comunicazione, unificato. Il semplice schema che segue illustra cosa sta avvenendo un po’ in tutto il mondo. www.informationsecurityhospital.it - Copyright © By M. F. Penco 36

63. Roma - 30 novembre 2010 Il Futuro la comunicazione unificata Tutti investono ormai in questa tecnologia, in cui possono essere inserite tutta una serie di applicazioni, iterazioni, che vanno dalla telemedicina, fino alle consultazioni ed interventi chirurgici a distanza. Insomma, non si può confondere la comunicazione con il solo invio e ricezione di messaggi e documenti tramite e-mail certificata o non. Un grosso passo avanti verso l’integrazione e interoperabilità dei sistemi dove sicuramente la PEC, CEC PAC, non sono né la soluzione, né il futuro, ma neanche un sistema tecnologicamente avanzato. www.informationsecurityhospital.it - Copyright © By M. F. Penco 37

Ppt I S H 2010

Recommandé

Recommandé

Contenu connexe

En vedette

En vedette (11)

Similaire à Ppt I S H 2010

Similaire à Ppt I S H 2010 (20)

Plus de Massimo Penco

Plus de Massimo Penco (9)

Ppt I S H 2010