Di obiettivi ambiziosi ce ne sono tanti. Alcuni andrebbero affrontati non solo con validi principi ma anche con un piano ottimale. In questi rientra la sicurezza informatica. Vi mostriamo come poter ottimizzarla autonomamente nel vostro studio medico, passo dopo passo e in maniera pragmatica, iniziando con un inventario IT e un piano di backup.Questo articolo è stato pubblicato il 22 febbraio 2023 nella rivista Schweizerische Ärztezeitung (in tedesco) / Bulletin des médecins suisses (in francese). È stato modificato leggermente per il Blog di HIN.
In quanto professioniste e professionisti della salute vi assumete la responsabilità della gestione dei dati sensibili riguardanti le vostre pazienti e i vostri pazienti. Desiderate migliorare, in tal senso, la sicurezza informatica del vostro studio medico ma non sapete da dove iniziare? La nostra raccolta di articoli vi fornisce degli spunti per ideare, passo dopo passo, un piano di protezione adeguato. Nella prima serie spieghiamo come farsi una panoramica e creare le relative fondamenta – attraverso un dettagliato inventario IT. Questo viene subito adottato come base per creare una strategia di backup.
Video esplicativo: inventario IT e strategia di backup in cinque passi.
Una delle più grandi sfide in relazione alla sicurezza dei dati nel settore sanitario è rappresentata dalla mancanza di trasparenza nel panorama informatico. Senza una panoramica dei dispositivi utilizzati, dei dati e dei sistemi adottati è impossibile realizzare un efficace piano di protezione. La soluzione a tale problematica è costituita da un dettagliato inventario IT che riporta le risorse hardware e software dello studio medico.
Creare trasparenza partendo dall’inventarioPer l’inventario IT vengono dapprima elencati tutti i dispositivi iniziando dai PC e dai Mac nonché i supporti dati quali chiavette USB e dischi fissi esterni, strumenti di laboratorio e altri dispositivi medici. A tal fine potete utilizzare il nostro modello Excel. Per ogni dispositivo e strumento vanno annotate informazioni quali tipo di utilizzo previsto, ubicazione, utenti responsabili, dati ivi contenuti e versioni del software impiegato (sistema operativo, programma di antivirus, applicazioni).
Le informazioni contenute nell’inventario andrebbero verificate e aggiornate annualmente. Dispositivi nuovi vanno inseriti subito nell’inventario e i dispositivi non più usati vanno cancellati dallo stesso oppure contrassegnati con la dicitura «non più in uso». Per quanto riguarda i dispositivi non più in uso bisogna accertarsi che tutti i dati siano stati completamente e irrevocabilmente cancellati prima che i dispositivi vengano smaltiti. Sconsigliamo a tale riguardo di dare ad altri o a vendere dispositivi non più utilizzati.
Sfruttare l’inventario IT creato: piano di backupSfruttiamo subito l’inventario IT creato per definire una strategia di backup – una componente chiave del nostro piano di protezione. Essa fa in modo che in caso di accadimento correlato alla sicurezza – ad esempio un attacco di ransomware, incendio, danno causato dall’acqua o furto – i dati importanti possano essere ripristinati. Stabilendo su quali supporti di archiviazione e con quale frequenza debbano essere messi in sicurezza quali dati e dispositivi potete ridurre al minimo il rischio di perdita di dati rendendo subito possibile la ripresa del lavoro dopo un tale accadimento.Stabilite innanzitutto quali dati sono vitali per lo studio medico, questi avranno una precedenza assoluta nel vostro piano di backup. Vi rientrano, ad esempio, cartelle cliniche, dati finanziari e tutti i dati indispensabili per l’esercizio quotidiano dello studio medico. Tutti questi dati vanno pertanto messi in sicurezza a cadenza giornaliera. Per quanto concerne i dati meno importanti o che vengono cambiati con frequenza minore sono sufficienti cicli di backup settimanali o mensili. Backup automatici possono essere configurati per mezzo di relativi software.
Backup con la regola 3-2-1 La regola 3-2-1 si è dimostrata molto valida per una relativa strategia di backup. Potete adottarla nel vostro piano di backup:
- Conservare 3 copie di tutti i dati vitali (1 originale e 2 backup)
- Utilizzare 2 diversi strumenti di backup (ad esempio 1 disco fisso esterno e 1 cloud sicuro)
- Depositare 1 archivio dati completo in un luogo fisico separato dallo studio medico (ad esempio una cassaforte privata)
Con la regola 3-2-1 aumentate sensibilmente l’affidabilità dei vostri backup. Anche in caso di incendio sviluppatosi nel vostro studio medico o di fallimento del vostro gestore cloud, i vostri dati rimangono intatti e sempre accessibili. Questa regola non è stata ideata da un esperto di informatica bensì da un utente colpito da un’irrimediabile perdita di dati.
Riassumendo: inventario IT e strategia di backup
- Elencate i vostri dispositivi, iniziando dai PC e dai Mac, utilizzando il modello Excel.
- Annotate i dati relativi ai vostri dispositivi nonché informazioni sui dati fisici contenuti su ogni dispositivo.
- Sulla base delle informazioni presenti nell’inventario IT create un piano di backup. Questo deve specificare almeno la raccolta di dati, il supporto di archiviazione e i cicli di backup.
- Mettete in pratica il piano di backup configurando i supporti di archiviazione e allestendo backup automatici.
- Una volta all’anno, come prova ritrasferite i dati dei vostri backup per accertarvi che funzionino correttamente.
Con tale inventario e la nuova strategia di backup avete non solo risolto il problema di base della trasparenza nel vostro panorama informatico ma avete anche creato le fondamenta per un ottimale piano di protezione informatico. Creando un inventario di dispositivi e dati nonché utilizzando tali informazioni per l’allestimento di un piano di backup proteggete il vostro studio medico dal rischio di perdita di dati ed evitate critiche interruzioni di lavoro.
Prospettiva: implementazione del piano di protezione informaticoNelle prossime serie di questa raccolta di articoli spiegheremo come ampliare l’inventario IT, integreremo ulteriori tematiche sulla protezione di base per elevare in maniera continua il livello di protezione dello studio medico. Attraverso un approccio olistico e proattivo in relazione alla sicurezza informatica proteggete i dati sensibili delle vostre pazienti e dei vostri pazienti, assicurando un funzionamento senza intoppi dei vostri sistemi che divengono sempre più indispensabili ma anche vulnerabili.
Ulteriori informazioni e mezzi ausiliari
- Al link www.hin.ch/inventario mettiamo a disposizione un modello d’inventario sotto forma di file scaricabile in Excel.
- Istruzioni, check-list e risposte a domande frequenti inerenti al tema della sicurezza informatica sono consultabili nella nostra sezione Assistenza HIN.
- La FMH ha pubblicato sul proprio sito web i Requisiti minimi per la protezione di base IT per assistenti di studio medico e medici titolari di studio.