Inicio » Características » Mitigar riesgos de TI del sector Salud

Mitigación de riesgos de TI en el sector salud: un enfoque centrado en la red

Descargar PDF PDF
 

Actualmente, el sector salud es una de las industrias de más rápido crecimiento. Esto se debe a que las personas son más conscientes de llevar una vida sana y a la facilidad de acceso a una atención médica excelente. Con tal aumento sin precedentes en la demanda de atención médica, a los hospitales no les queda más que buscar un sistema de TI fuerte y robusto para gestionar eficientemente todo su entorno.

Hoy en día, el departamento de TI es tan común como el de radiología en la mayoría de los hospitales. Los hospitales dependen del sistema de TI y las redes informáticas para gestionar todo el ciclo de tratamiento del paciente. Lo anterior va desde el ingreso hasta el alta. Incluso han llegado a ver al departamento de TI como un generador de valor, en lugar de un "centro de costos".

Sin embargo, no todo son buenas noticias. Con esta dependencia generalizada en TI, incluso el más mínimo fallo en el sistema de TI podría destruir todo el hospital. Sumado a ello, el trabajo del administrador del sistema de TI/red se complica aún más debido a que leyes como HIPAA exigen un control riguroso de la seguridad del sistema informático y de la integridad de los datos de los pacientes.

Este artículo plantea una solución para superar los diversos desafíos/riesgos que enfrentan las instituciones de salud. También ofrece una solución para superar los riesgos relacionados con la TI.

La institución de salud actual

Las instituciones de salud vienen en todos los tamaños. Pueden ser desde el centro básico de tratamiento ambulatorio hasta el gran centro médico universitario y los grandes centros comunitarios de atención médica. Lo que tienen en común es el fuerte sistema de TI que posee cada uno y las estrictas leyes federales por las que se rige cada uno. En el caso de los centros grandes, la ley es incluso más estricta y las consecuencias de no cumplir con las leyes podrían suponer ramificaciones perjudiciales. El gasto de TI de las instituciones de salud nunca había sido tan elevado. Esto se debe principalmente a la necesidad de gestionar la información relacionada con la salud de numerosos pacientes y sus historias clínicas. La otra razón de la proliferación de TI es el interés en aprovechar el tratamiento dado. El siguiente diagrama muestra los principales impulsores de la TI en la atención médica.

Principales impulsores de la TI en la atención médica

Prime Healthcare IT Drivers

Uso de la TI para potenciar la prestación de atención médica

El software y los sistemas sanitarios, denominados popularmente HIS (sistemas de información hospitalaria), ayudan a automatizar todos los procesos importantes de la institución sanitaria.

  • El centro de registro de pacientes de la recepción está computarizado
    • Se asigna un MRN (número de expediente médico) único a cada nuevo paciente. En el caso de los que regresan, el número de episodio se incrementa. Esto se refleja en el índice maestro de pacientes.
  • Asignación de habitaciones al paciente
    • En el caso de un paciente internado, se puede asignar electrónicamente una habitación adecuada.
  • Mantenimiento del registro de salud del paciente
    • Toda la información relacionada con la salud del paciente, como la historia clínica y el estado de salud actual, está disponible como registros electrónicos. Los médicos y enfermeras pueden consultarla desde cualquier lugar.
    • Cualquier visualización y actualización de esta información puede ser realizada por el personal autorizado.
  • Gestión de pedidos simplificada
    • Un médico puede definir claramente el medicamento a administrar. También puede determinar la frecuencia y la prescripción que deben seguir las enfermeras.
    • También se puede comprobar rápidamente las alergias del paciente. Se puede identificar cualquier fallo en la administración del tratamiento y tomar medidas correctivas adecuadas.
  • Reducción de las sobrecargas de papel y documentos
    • Gracias al PACS (sistema de archivo y comunicación de imágenes), que permite almacenar electrónicamente todos los documentos y las imágenes en formato escaneado, cada vez se está volviendo más económico. Tiene la ventaja de facilitar el acceso al mismo documento por parte de varios médicos en distintos lugares al mismo tiempo.
  • Un flujo de proceso integrado
    • Con un buen sistema de TI, es posible rastrear la historia clínica y el estado del paciente en cualquier momento. Además, facilita la facturación. Esto se debe a que cada tratamiento dado al paciente —pruebas de laboratorio, radiologías, medicamentos, mejoras de habitación— se puede contabilizar y facturar en conjunto. También es mucho más fácil tramitar las reclamaciones de las agencias de seguros con este flujo de trabajo.
  • Cumplimiento de la HIPAA y de las directrices federales
    • La Ley de portabilidad y responsabilidad de seguros de salud y las leyes federales fueron la gota que colmó el vaso e hicieron que los sistemas hospitalarios adoptaran las TI a gran escala. Dado el creciente énfasis en mantener los EMR (registros médicos electrónicos) sobre la salud del paciente, y garantizar la integridad y seguridad de los datos de los pacientes contra un acceso sin privilegios, la TI es la única manera de hacerlo.

El inconveniente:

Como se deduce de lo anterior, el número de beneficios que la institución sanitaria puede obtener al implementar un sistema de TI es mucho mayor que el gasto inicial que supone adquirirlo. No obstante, una gran amenaza para tal sistema es su dependencia extrema de los sistemas de TI.

Lo anterior significa que un solo fallo en la red podría hacer que el sistema de TI quede inutilizable. Esto afectaría el acceso a la información de todos los pacientes y las instrucciones sobre medicamentos.

Además, con el uso generalizado de los medios electrónicos para fines de comunicación y entretenimiento, la red hospitalaria siempre está bajo la amenaza de ser utilizada indebidamente para fines ajenos al tratamiento de los pacientes. Tal fenómeno podría sobrecargar innecesariamente la red. Esto haría que el ancho de banda para una aplicación mucho más crítica deje de estar disponible.

Desastres en la red:

  • Fallo de un elemento de red que pasa desapercibido
  • Pérdida de acceso a las aplicaciones de TI (HIS)
  • Falta de suficiente ancho de banda para las actividades relacionadas con la atención médica
  • Intrusión no autorizada en la red por elementos escrupulosos y ataques de virus

Estos podrían suponer un grave riesgo para la reputación e incluso la existencia de la institución de salud. Por lo tanto, conviene intentar mitigar los riesgos de la red disponiendo de mecanismos preparados para combatir un desastre en la red.

Un claro ejemplo

Piense en un gran centro médico comunitario que tiene 5.000 empleados y 60 unidades de negocio distintas. Para lograr altos niveles de prestación de servicios y eficiencia, el centro médico implementa un sofisticado sistema de información hospitalaria (HIS) que abarca todo su campus.

  • Un sofisticado sistema de información sanitaria para automatizar todo el flujo del proceso
    • Capacidad para digitalizar los historiales de los pacientes
    • Un sistema de archivo de imágenes (PACS)
  • Una línea de ancho de banda de alta velocidad que conecta todo su campus
  • Sistemas de voz sobre IP que permiten una comunicación fácil y rentable
  • Acceso a internet inalámbrico en cualquier lugar del campus a través de puntos de acceso

Este HIS tiene la capacidad de almacenar los registros médicos electrónicos de los pacientes y facilitar la consulta rápida del estado de salud de los mismos a los médicos autorizados (privilegiados). Además, cuenta con un PACS seguro para almacenar electrónicamente los registros de imágenes de los pacientes. Para permitir el acceso al HIS y PACS desde cualquier lugar, el centro médico dispone de una red con gran ancho de banda en todo su campus. A su vez, esto facilita las comunicaciones de voz sobre IP y el acceso a Internet inalámbrico desde cualquier punto del campus.

Evaluación de riesgos - Los puntos clave a considerar:

Risk-Assessment

Dado que el centro médico depende en gran medida de las redes de TI y computadores, garantizar el acceso remoto a los datos y la conectividad de red es fundamental para el buen funcionamiento de toda la empresa. El administrador de la red/CIO tiene que anticipar los problemas que pueden surgir:

  • La red falla y afecta al acceso a computadores e impresoras
    • Ramificaciones: los médicos no pueden acceder a la información de salud del paciente. Todos los medicamentos y las órdenes quirúrgicas del paciente se interrumpen. El personal administrativo no puede acceder a los datos relacionados con el alta y la facturación, etc.
    • Grandes pérdidas debido a errores que ocurren en caso de falta de acceso a los datos.
  • El ancho de banda de la red se desperdicia en aplicaciones no críticas
    • Debido a las aplicaciones no deseadas que consumen el ancho de banda, las que son vitales ―tales como el PACS― no tienen suficiente ancho de banda para apoyar el acceso médico desde cualquier lugar y al instante.
    • El acceso al HIS también se ve afectado.
  • Acceso sin privilegios a los registros de los pacientes
    • El centro de salud incumple la normativa de la HIPAA al no garantizar una protección adecuada a los datos de los pacientes. En caso de que se produzca tal evento, se espera que el hospital sea capaz de informar sobre los detalles de tales incidentes.
    • Las pérdidas incluyen molestos problemas legales, demandas por difamación y pérdida de valor de la marca.
  • Tiempo medio de reparación (MTTR) muy alto
    • Cualquier negocio dependiente de la red debe tener procedimientos y procesos establecidos que faciliten la rápida resolución de problemas en la red. Es aún más importante en el caso de una industria sensible como la sanitaria. Ser capaz de corregir y solucionar problemas más rápidamente podría salvar la vida de los pacientes.
    • El sistema establecido debe tener procedimientos y procesos establecidos que faciliten la rápida resolución de problemas en la red. Este debe responsabilizar al personal por la solución de los problemas y hacer un seguimiento del progreso de la resolución.

Mitigación de riesgos:

Después de haber evaluado los riesgos potenciales a los que una compañía es vulnerable, es vital abordarlos con eficacia lo antes posible.

El desafío (riesgo percibido)
La solución
(mecanismo de mitigación de riesgos)
1. Monitorear las redes y frustrar proactivamente cualquier posible fallo de redUn buen software de monitoreo de red que pueda inspeccionar toda su red y generar informes significativos y detallados podría ayudar a superar el problema.
2. Monitorear el uso del ancho de banda de la red y garantizar una alta disponibilidad de ancho de banda en todo momento para las aplicaciones críticas

Disponer de una solución de monitoreo WAN sólida que pueda monitorear el ancho de banda de toda la red y todo el tráfico de red. Resulta útil disponer de un informe sobre quiénes son los principales generadores de tráfico en su red, qué aplicaciones están consumiendo más ancho de banda, en qué periodos de tiempo se producen los picos de ancho de banda, el patrón de uso del ancho de banda en los últimos dos meses, etc.

Más importante, esta información puede ayudar a decidir si se va a realizar una planificación de la capacidad y cuánto cuesta.

3. Tener registros de todo el acceso al sistema HIS y los registros de los pacientesDisponer de una solución de análisis de logs robusta que pueda registrar y almacenar logs con información sobre todos los accesos, además de los intentos exitosos o fallidos para acceder al HIS. También debería poder informar sobre los logs almacenados para proporcionar decisiones procesables y ayudar a generar informes sobre el cumplimiento de la HIPAA.
4. Reducir el MTTR (tiempo medio de reparación) en caso de cualquier evento o desastre y tener un sólido proceso de recuperación ante desastresDisponer de un sólido software de gestión de la mesa de ayuda que pueda ayudarle a asignar la propiedad a las personas encargadas de resolver el incidente. También debe poder realizar un seguimiento del progreso del incidente para una rápida resolución del problema.

ManageEngine - Un gestor de redes para empresas sanitarias

Healthcare Enterprise

Aunque existen herramientas que puntualmente abordan cada una de las soluciones de mitigación de riesgos identificadas, es bueno contar con una solución integrada unificada que pueda abordar todos estos aspectos. La suite de ManageEngine tiene dicha función. Los softwares de los módulos OpManager, NetFlow Analyzer, EventLog Analyzer y ServiceDesk Plus abordan el monitoreo de red, monitoreo del ancho de banda, análisis de logs y elaboración de informes, y gestión de la mesa de ayuda, respectivamente.

ManageEngine solution

Para obtener más información sobre ManageEngine NetFlow Analyzer, visite http://www.netflowanalyzer.com

Para consultas técnicas, contacte a netflowanalyzer-support@manageengine.com

Section Content

Clientes de NetFlow Analyzer

Fiserv. - Clientes NetFlow Analyzer
Cable Onda Color - Clientes NetFlow Analyzer
Scotiabank - Clientes NetFlow Analyzer
Genesys - Clientes NetFlow Analyzer
Entel - Clientes NetFlow Analyzer
Related products
BeneficiosProductos relacionados