1

LA TECNOLOGIA “CHANGE MANAGEMENT” ED I COSTI DI INFORMATION TECHNOLOGY

IN UN'ORGANIZZAZIONE SANITARIA

TRENTO, 15/4/2016 - L'EVOLUZIONE BUSINESS DELL'INFORMATION SECURITY

RELATORE: DOTT. GIAMPAOLO FRANCO - CISM

● ANALISI SITUAZIONE REALE.

● CONSIDERAZIONI OPERATIVE.

● RIDURRE I COSTI IT.

● ABBATTERE IL RISCHIO TECNOLOGICO.

● SOLUZIONE DAL RAPPORTO COSTO/EFFICACIA CONVENIENTE.

GESTIRE IL CAMBIAMENTO DEL SOFTWARE NEL SISTEMA INFORMATIVO SANITARIO

CENTRALIZZAZIONE DEI SERVIZI INFORMATICI

Compliance

Performance

Management

Monitoring

DR

BC

Cost

Security

Compliance

STRATEGY

GRUPPO SICOSICO (Sicurezza Informatica e Continuità Operativa).

● Risk assessment.

● Piano di DR - Test.

● Procedure sostitutive.

● Incident management → Crash.

● Certificazione Cinque.

● Audit interno/esterno.

● Policy di sicurezza.

● Survey.

● Awareness.

● Penetration test.

NUOVO SCENARIO

● Il focus delle problematiche si è spostato.

● Incidenti con maggiore gravità ed impatto.

● Il software risulta la componente meno protetta rispetto a reti e server.

L'IMPORTANZA DEL SOFTWARE

UN PARAGONE FAMILIARE

● Il sistema nervoso centrale del corpo umano: piccoli cambiamenti possono generare grande impatto.

● Rallentamenti, blocchi, mancanza di coordinamento generano danni irreversibili che, visti sia come episodi singoli, che valutati in maniera olistica, sono una minaccia al funzionamento generale del sistema.

● Necessità di protezione.

CARATTERISTICHE DEL SOFTWARE

● COSTOSO

● COMPLESSO

● INDISPENSABILE

● INTERDIPENDENTE

● SI AGGIORNA FREQUENTEMENTE

● PRESENTE IN TUTTI I LIVELLI GESTIONALI

SERVIZI CORE

● Cura del paziente ospedalizzato.● Diagnostica strumentale.● Cure specialistiche ambulatoriali.● Urgenza ed emergenza sanitaria.● Cura del paziente oncologico.● Protonterapia.● Assistenza territoriale.● Assistenza e cura residenziale,

semiresidenziale e sociosanitaria.● Servizi rivolti al cittadino.● Prevenzione e sanità pubblica.● Sanità animale.

● Servizi di fisica sanitaria.● Servizi amministrativi.● Servizi di infrastruttura.● Servizi esternalizzati.

BENEFICI DEL SOFTWARE

● Il cittadino al centro.● Elevato livello di controllo ed

automazione.● Diagnostica strumentale.● Condivisione informazioni tra

i professionisti di strutture interne/esterne.

● Dematerializzazione dei referti e dei certificati di malattia.

● Dematerializzazione delle prescrizioni farmacologiche.

● Sofisticati sistemi automatici di monitoraggio ed allarme.

CRITICITA'

● Semplici aggiornamenti possono creare blocchi parziali o totali di funzionamento e perdita di dati.

● Nella maggior parte delle aziende sanitarie non esistono dei processi e delle figure ad hoc che supervisionino e gestiscano direttamente queste problematiche.

ANALISI DI UN CASO REALE

Una delle attività core della Medicina Nucleare consiste nel misurare la differenza tra stabilità/progressione di malattia e risposta alle terapie (parziale/completa/assente) attraverso strumenti software di diagnostica per immagini.

● Un esame mediamente è composto da 1.200 a 4.000 immagini digitalizzate.

● In media un operatore tecnico svolge un lavoro di 1.800 ore annuali utilizzando tali apparecchiature.

● Questo software rappresenta un asset critico senza il quale la refertazione non è possibile, nemmeno con procedure alternative.

ANALISI DI UN CASO REALE

Un aggiornamento software da parte del fornitore ha causato l'impossibilità di rielaborare gli esami. L'unico modo per eseguire la rielaborazione è stato richiamare uno ad uno ogni esame, correggendolo manualmente da consolle.

● Per sistemare l'incidente, ad un ritmo di 10 esami al giorno per 60 giorni lavorativi, si sono rese necessarie 600 ore lavorative di operatore tecnico.

● Il costo orario dell'operatore è di 25,46 €. Si stima un danno di 600h x 25,46 € = 15.276 €.

A questo si sono aggiunti ulteriori costi intangibili:

● Stress lavoro correlato.

● Disagio operatore.

● Minore qualità.

GAP CULTURALE

● La logica di business utilizzata da controparti esterne differisce di molto da quelle di un'azienda sanitaria: l'Azienda sanitaria non fa business.

● Come è possibile creare una partnership professionale incline alle buone pratiche di sicurezza?

● Gestione del rischio delle terze parti.

SECURITY TESTING

Il software necessita di cambiamenti molto frequenti per motivi legati alla manutenzione ordinaria, alla compliance tecnologica, normativa e di sicurezza. Ogni modifica dovrebbe sempre essere gestita dalla software house tramite un rigoroso processo di security testing prima di essere rilasciata. Ciò a volte non avviene per una questione di costi, ma anche per motivi “culturali”.

I costi relativi alla manutenzione del software in un anno possono incidere dal 10% al 15% sul prezzo di acquisto.

LA PUNTA DELL'ICEBERG

La spesa relativa alla soluzione di problemi correlati alla sicurezza del software incide di molto sul costo del software stesso. Come pagano le aziende sanitarie?

● Perdita di integrità del dato.

● Tempo dedicato alla sua correzione.

● Perdita di disponibilità del dato.

● Tempo dedicato al suo reperimento.

● Minore sicurezza del paziente.

● Disagio e stress lavoro correlato.

MANCANZA DI RISORSE

● Le aziende sanitarie fanno sempre più fatica a sostenere tutti questi costi che includono anche l'adeguamento alle normative in ambito informatico.

● ART.28 Regolamento FSE del 3/9/2015 “Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate provvedono agli adempimenti previsti dal presente decreto con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.”

RISCHIO PRIVACY

Operazioni non autorizzate/alterazioni sui dati personali/sensibili possono comportare:

Dato <=> Paziente

Sanzioni amministrative | Risarcimento del danno

Illecito penale

Sospensione del trattamento

COMITATO AZIENDALE PRIVACY

...a questo punto, una domanda sorge spontanea...

Ce la faranno le aziende sanitarie italiane ad adeguarsi a “costo zero”?

I have reviewed your performance...it's not so good...I am reducing the size of the carrot and increasing the length of the stick...

CARROT AND STICK POLICY

MINORE SUPERFICIE DI RISCHIO

APPOCCIO PROATTIVO

● Definire obiettivi di sicurezza e strategia con Risk Manager e Security Manager.

● Diffondere metodologie di analisi del rischio (es: FMEA).

● Comunicare, monitorare, eseguire controlli preventivi e detettivi.

● Coinvolgere le terze parti con strumenti giuridico/contrattuali ed attività di controllo/audit.

● Contenere gli impatti sulla corretta diagnosi del paziente.

● Evitare alterazioni e propagazione di errori sui dati.

IL GIUSTO APPROCCIO

PREVENZIONE

CURA

IL PROCESSO DI IT CHANGE MANAGEMENT

Una disciplina consolidata dell'IT Service Management che si interessa dei cambiamenti nell’infrastruttura IT.Utilizza metodi e procedure standard con l'obiettivo di:

Analizzare il rischio. Comprendere la transazione in corso. Verificare preventivamente le modifiche software. Ridurre l'impatto umano e tecnologico dovuto ad incidenti. Offrire efficiente gestione dei cambiamenti. Contenere i costi legati ai cambiamenti.

IL PROCESSO DI IT CHANGE MANAGEMENT

IT Change Management è un processo fondamentale che si colloca all'interno del quadro di governo dei servizi IT.

Un software enterprise dedicato aiuta a gestire ed integrare il processo nella governance tramite un Configuration Management Data Base - CMDB.

Change InitiatorRFC (Request For Change)Change ManagerChange Advisory Board (CAB)Change ExecutorForward Schedule of Changes (FSC)Projected Service Availability (PSA)Change Model

FASE DI PROPOSTA

Ogni membro dell'organizzazione (Change Initiator) può essere autorizzato a richiedere un cambiamento tramite l'inoltro di una RFC (Request For Change).

Il primo compito del Change Manager è filtrare le richieste, successivamente quello di dare loro una priorità:

Minor. Significant. Major.

PROPOSTA APPROVAZIONE ESECUZIONE

Le richieste minori vengono gestite direttamente dal Change Manager per velocizzare il processo.

PROPOSTA APPROVAZIONE ESECUZIONE

FASE DI APPROVAZIONE

PROPOSTA APPROVAZIONE ESECUZIONE

FASE DI ESECUZIONE

Viene implementato e testato il Change con la supervisione del Change Manager.

NB: Gli aggiornamenti che creano errori vengono bloccati e non entrano in produzione.

L'infrastruttura IT è sempre più complessa ed è costituita da centinaia di software tra loro interdipendenti utilizzati costantemente da migliaia di persone.

La frequenza di incidenti di sicurezza sul software è molto elevata: i sw vengono modificati continuamente senza un'efficace supervisione.Il rischio è alto.

Se un unico piccolo incidente in una singola unità operativa ha comportato in ore/operatore un danno di 15.000 €, senza contare il disagio, lo stress lavoro correlato e gli eventuali contenziosi legali, quanto graverebbero più incidenti molto più gravi e su più unità operative?

Il costo del personale di una struttura per gestire l'IT Change Management all'interno di un'azienda sanitaria di grosse dimensioni può essere di circa 100.000 € / anno. Il costo del software dedicato può essere anche gratuito ed open source.

Il processo di IT Change Management è un grande patrimonio aziendale e molti casi di successo nel mondo lo dimostrano. Riduce efficacemente il rischio di incidenti legati all'aggiornamento del software e migliora molti aspetti legati all'erogazione del servizio, soddisfacendo esigenze reali delle Business Units.

Risparmio tempo operatore. Risparmio costi di manutenzione sw. Riduzione del gap culturale con i fornitori. Minore rischio. Minore stress e disagio operatore. Riduzione impatto umano e tecnologico. Maggiore qualità ed efficienza. Maggiore controllo delle terze parti. Alta competenza. Approccio proattivo/predittivo Maggiore consapevolezza. Miglioramento continuo.

COSTO EFFICACIA/

IN CONCLUSIONE...

GRAZIE PER L'ATTENZIONE

Dott. Giampaolo Franco

giampaolo.franco@apss.tn.it

www.risk.computer