In un’azienda sanitaria, il patrimonio informativo rappresenta un bene di primaria importanza: disporre di informazioni corrette e tempestive consente di agire correttamente ed efficacemente nel perseguimento degli obiettivi di salute del singolo e della collettività nella quale l’azienda si trova ad operare. Considerando che il livello di informatizzazione nelle aziende sanitarie, così come nella Pa in genere, è cresciuto esponenzialmente negli ultimi quindici anni (risale agli inizi degli anni ’90 il primo percorso di revisione strutturale, organizzativa e gestionale, finalizzati a migliorare la qualità dell’assistenza garantita ai cittadini, anche attraverso l’It, del Servizio Sanitario Nazionale italiano, ndr), le informazioni prodotte dal sistema informativo assumono un ruolo chiave e diventano, insieme all’infrastruttura stessa, uno dei supporti operativi necessari al funzionamento delle strutture.
Strutture che sono paragonabili a quelle delle grandi aziende. L’Azienda Sanitaria Locale di Modena, per esempio, è un’organizzazione complessa che opera con diversi uffici e strutture offrendo una vasta gamma di servizi. Il sistema informativo si presenta dunque particolarmente articolato in quanto deve supportare la gestione aziendale a diversi livelli (funzionamento organizzativo, amministrativo, controllo, monitoraggio), nonché garantire un elevato livello qualitativo delle prestazioni erogate.
Pierfrancesco Ghedini, direttore del Servizio Sistema Informativo Aziendale (SIA), con un ruolo di rilievo, in qualità di presidente, anche nell’ Associazione dei responsabili dei sistemi informativi nelle aziende sanitarie pubbliche e private (Aisis), racconta a ZeroUno com’è strutturata l’Asl di Modena e quali sono le funzioni del dipartimento It a cui sono demandate anche responsabilità in ambito sicurezza. “Siamo divisi in sette diversi distretti territoriali ed abbiamo un sistema ospedaliero che riunisce otto strutture presenti sul territorio provinciale che fanno capo al Presidio ospedaliero provinciale”, dice Ghedini. “Assistiamo 630 mila cittadini, quindi la costituzione di un unico Presidio provinciale nasce proprio dall’esigenza di orientare e regolare le prestazioni assistenziali, in un’ottica di rete, per garantire un’adeguata risposta ai bisogni della popolazione”. Oltre alla struttura ospedaliera, l’Asl ha poi un’organizzazione territoriale (dislocata in circa 80 sedi con oltre 6000 dipendenti) che viene supportata dal Servizio Sistema Informativo Aziendale il cui compito è la gestione ottimale della risorsa informazione all’interno dell’azienda e assicurare un adeguato supporto informativo a tutte le “articolazioni” aziendali.
“Il Servizio Informativo Aziendale (Sia) è suddiviso in tre diverse aree territoriali (nord, centro, sud) ciascuna delle quali diretta da un dirigente di area – spiega Ghedini -. Ciascuna area gestisce il territorio di propria competenza – distretti sanitari – e gli stabilimenti ospedalieri localizzati in quel territorio. L’area centro ha anche un compito di governo e coordinamento dato che la gestione del sistema informativo è centralizzato”.
“Il Sia deve garantire un’evoluzione in linea con i bisogni dell’utenza aziendale, in maniera tale che l’azienda possa garantire servizi di qualità al cittadino/utente, efficaci e al costo minore possibile – aggiunge il responsabile dei sistemi informativi -. La nostra struttura deve garantire la gestione dell’infrastruttura informatica aziendale e dei flussi informativi interni ed esterni all’azienda. L’intero sistema informativo è al centro della nostra politica di gestione e la condivisione della conoscenza fra i professionisti del settore è diventato un elemento cardine del sistema”.
Il sistema informativo dell’Asl di Modena, infatti, mette in rete applicazioni e dati che devono essere sempre accessibili e gestiti con criteri di economicità. “L’accesso sicuro ai dati ed alle applicazioni è considerato fattore critico di successo per l’intero sistema Ict e per la politica dell’azienda sanitaria”, sottolinea Ghedini.
La sicurezza parte dal dato clinico
La sicurezza in ambito sanitario rappresenta un tassello cardine della politica di gestione delle aziende del settore, sia a livello di sistemi infrastrutturali che di qualità del dato e controllo delle informazioni.
“Avere a disposizione sistemi informativi integrati, in grado di far dialogare non solo tutti i reparti di un azienda ospedaliera o sanitaria, ma anche tutte le aziende di un distretto, o i differenti distretti tra di loro, è una delle esigenze primarie per la sanità pubblica perché rappresenta la base per fornire un’assistenza sanitaria migliore. E la sicurezza di questi sistemi deve andare di pari passo all’evoluzione degli stessi”, dice Ghedini sottolineando ironicamente come, per fortuna, i progetti di sicurezza non abbiano in realtà mai una fine. “La gestione del dato clinico, intesa come supporto all’attività sia diagnostica (individuazione di patologie) che clinica (cura e trattamento delle patologie), è un elemento di supporto ineludibile dalle pratiche diagnostiche e cliniche stesse”, afferma Ghedini. “È chiaro dunque che l’attenzione alla sicurezza diventa di primaria importanza”.
L’Asl di Modena ha da anni intrapreso un percorso di potenziamento della propria infrastruttura di sicurezza Ict. È stato sviluppato un piano finalizzato a garantire un livello di protezione adeguato dei dati sanitari e sensibili e il rispetto della vigente normativa sulla privacy che si concretizza in diverse scelte tecnologiche, ma anche in interventi di tipo procedurale e organizzativo. In questo contesto Ibm ha fornito alcune delle soluzioni tecnologiche implementate supportando e facilitando le politiche di sicurezza dell’Azienda sanitaria avvalendosi anche delle migliori esperienze realizzate a livello internaizonale. Il piano si è reso necessario anche in virtù dei cambiamenti che hanno coinvolto le aziende sanitarie negli ultimi anni, portandole a livelli di apertura dei sistemi informativi decisamente più ampi con conseguenti problemi di complessità gestionale e aumento di rischi e vulnerabilità. “Con la riforma del titolo V della Costituzione – spiega Ghedini – hanno assunto un ruolo chiave in sanità le Regioni. Le Asl, parte di questo processo, hanno dovuto garantire un’evoluzione adeguata dei sistemi informativi aziendali per potersi confrontare non solo con il tradizionale livello di governo centrale – ministeriale – ma anche con il livello di governo intermedio – regionale – che spesso ha arricchito, anche in maniera consistente, il debito informativo tradizionalmente dovuto a livello nazionale.”
Dal punto di vista della gestione delle informazioni, quindi, la struttura che fa capo a Ghedini deve assicurare la possibilità per gli utenti aziendali di “condividere e scambiare dati, al fine di costituire una cartella sanitaria per ogni singolo cittadino che renda disponibile in maniera tempestiva e completa tutta la storia clinica di un paziente”. Cartella sanitaria che secondo il Codice di Tutela della Privacy appartiene al cittadino e quindi deve essere nota, trasparente e facilmente disponibile (che significa livelli di apertura dei sistemi anche verso l’esterno, ad utenti professionali che però non fanno parte dell’azienda ma anche verso i cittadini).
Condivisione e tutela
Ecco dunque che il dato diventa un elemento cardine della politica di sicurezza che vede nella condivisione e nella tutela i due pilastri portanti.
“Dal punto di vista della condivisione – spiega Ghedini – per noi ha significato dover predisporre sistemi integrati ed interoperabili (nonché processi integrati ed il più possibile automatizzati) che rendessero disponibili tutte le informazioni necessarie a governare il sistema in modo sicuro ma anche, e soprattutto efficace, offrendo cioè dati realmente utilizzabili nei processi aziendali”. E per questo, i dati raccolti devono essere di qualità, sicuri e certificati, perché devono avere la possibilità di crescere ed arricchirsi dato che servono per curare le persone. Per rispondere dunque a tutte queste esigenze, l’interconnessione dei sistemi e l’accesso alla rete diventano due fattori importanti verso i quali indirizzare gli sforzi di sicurezza che, nell’esperienza dell’Asl di Modena, ha significato intervenire con sistemi di Intrusion Detection e di Intrusion Prevention. Ghedini sottolinea però come “Nelle aziende sanitarie l’It non è un valore in sé ma un supporto al valore dell’attività clinica; gli investimenti e le scelte vanno quindi commisurati ai reali rischi. La sicurezza non può diventare un ostacolo e nemmeno rallentare i processi operativi dell’azienda”. Dal punto di vista pratico, per esempio, significa garantire l’accesso ai sistemi anche da dispositivi mobili e con reti wireless, assicurando però che questo non succeda in reparti dove si utilizzano macchinari che potrebbero subire malfunzionamenti a causa delle onde magnetiche. È innegabile che comunque l’interconnessione dei sistemi aumenti i rischi di violazione della privacy e della riservatezza dei dati, e quindi, l’altro importante pilastro della politica di sicurezza dell’azienda è dato dalla tutela delle informazioni. “In questa direzione i nostri sforzi si sono concentrati sulla profilazione degli utenti e sul controllo delle identità e degli accessi in modo da poter garantire la disponibilità dei dati a chi realmente ne ha necessità, nonché operare un certo controllo e monitoraggio sui flussi delle informazioni”.
Governo e controllo
L’aspetto del controllo è un altro elemento della Security Governance dell’Asl di Modena. “Le scelte operate permettono alla nostra azienda, oggi, di ottenere un livello di protezione adeguato all’effettivo rischio con la possibilità di documentare – periodicamente o su richiesta – le attività e le performance dei sistemi, nonché dei rischi”, spiega Ghedini. “Dal punto di vista del controllo delle reti, per esempio, il sistema fornisce le eventuali variazioni dell’esposizione al rischio dell’infrastruttura tecnologica, permettendo di pianificare per tempo variazioni e migliorie, e consentendo di innovare ottimizzando i livelli di protezione”.
“La nostra scelta di fondo è sempre stata quella di utilizzare la tecnologia che di volta in volta si adattasse meglio alle nostre esigenze e garantisse i livelli di sicurezza adeguati”, aggiunge ancora Ghedini. “Noi abbiamo scelto di mettere in campo diverse tecnologie perché riteniamo non esista un’unica tipologia di soluzioni capace di garantire tutte le sfaccettature della sicurezza. Crediamo piuttosto nell’impiego di una “rosa di tecnologie” che, se ben governate, ci aiutano a garantire i livelli di sicurezza richiesti ma anche a ridisegnare periodicamente i processi e pensare agli opportuni interventi”.
