creació d’un pla de continuitat davant de possibles fallides en els sistemes d’informació
DESCRIPTION
Victor Robert i Javier Grueso MulaTRANSCRIPT
Creació d’un pla de continuïtat davant contingències
als sistemes d’informació
Forum CIS Barcelona 2011
Pla de continuïtat
Antecedents
A partir del moment en que tots els serveis de l’hospital treballen amb l’estació de treball clínic (ETC) i es deixa d’utilitzar les històries clíniques impreses sobre paper, es fa necessari més imprescindible que mai fer una bona Gestió de la Continuïtat i Disponibilitat dels Sistemes.
La Gestió de la Continuitat i de la Disponibilitat son dos dels principals processos de Provissió de Servei segons defineix ITIL (Information Technology Infrastructure Library) i també la ISO/IEC 20000 i moltes vegades son els dos processos més oblidats en les organitzacions ... fins que hi ha algun daltabaix important.
En els últims temps, molts hospitals hem patit alguna situació de no disponibilitat dels sistemes i és per això que tant l’Hospital de Sant Pau com el Consorci Sanitari Integral, vem iniciar una sèrie de líniesde millora en aquest sentit.
Pas 1. Auditoria de Seguretat. Plantejament
► El primer que es va fer va ser contractar una auditoria per revisar les garanties de disponibilitat dels sistemes d’informació de l’hospital
L’auditoria va constar de les següents fases :
Fase I : Anàlisis PreliminarFase II : Anàlisi de la SituacióFase III: Auditoria TecnològicaFase IV: Recomanacions i pla d’acció
... i va generar el següents informes :
Informe final de l’auditoria • Anàlisis de la situació• Recomanacions de millora• Pla d’acció
Resum executiu
... i va generar el següents informes :
Informe final de l’auditoria • Anàlisis de la situació• Recomanacions de millora• Pla d’acció
Resum executiu
Pas 1. Auditoria de Seguretat. Pla de Treball
El projecte es va desenvolupar amb la total col·laboració del departament d'informàtica i en especial el departament de sistemes : El cap de sistemes, els diferents gestors interns i el personal extern contractat.
El projecte es va desenvolupar amb la total col·laboració del departament d'informàtica i en especial el departament de sistemes : El cap de sistemes, els diferents gestors interns i el personal extern contractat.
El Pla de treball es va basar en els següents fonts d’informació :
• Entrevistes amb les persones adients• Anàlisis de la informació existent• Anàlisis de la situació tecnològica• Normes (ISO) i bones practiques internacionals
Pas 1. Auditoria de Seguretat. Resultats.
► El resultat d’aquesta auditoría va ser diferent en cada hospital degut a les particularitats de cada cas però va coincidir en els dos aspectes fonamentals:
> Definició d’una política de seguretat que permeti desenvolupar un pla de seguretat
> Necessitat de crear un pla de continuïtat, basat en un anàlisi de riscos i el seu impacte
Pas 2. Creació d’un pla de Seguretat
Per assolir els nivells esperats de disponibilitat es necessari la creació d’un pla de seguretat, basat en una política de seguretat per tal de que serveixi de base per la posada en funcionament d’un procés periòdic de control de la seguretat.
Les principals tasques per construir aquest pla son:
o Creació d’un comitè de seguretat.o Revisió pel comitè de seguretat de l’esborrany de política de
seguretat ja existent.o Aprovació de la política de seguretat pel comitè de direcció de
l’hospital. Requereix participació de personal directiu.o Definició d’un pla de seguretat.o Execució del pla.o Contractació d’auditories anuals de seguretat (Revisió del Pla,
Hacking Ètic, ...)• Revisió anual del pla de seguretat.
Pas 3. Creació d’un pla de Continúitat
Les principals tasques per la creació d’un pla de continuïtat dels sistemes d’informació(davant desastres) son:
• Fer un anàlisi d’impacte en el negoci (BIA)o Identificar processos críticso Identificar dependències dels sistemes d’informacióo Identificar riscos i el seu impacte en el negocio Requereix participació del personal directiu de l’hospital
• Definir una estratègia de recuperació de serveiso En funció dels riscoso Definir objectiuso Avaluar opcions, costos i garanties
• Desenvolupar plans de recuperació de desastreso Plans de recuperació del serveio Plans de recuperació de l’entorn original de treball
• Proves, avaluacions, i revisions periòdiques
Resultat del pla de Continuïtat
► La posterior implementació de les mesures identificades en el pla de continuitat per garantir la disponibilitat acordada en el BIA requerirà noves inversions, en funció del disseny resultant:
> Es preveu que ens caldrà construir nous sistemes per ajudar a mantenir funcionant l’hospital quan caiguin els sistemes principals. Exemple: Aplicació de Contingència ja desenvolupada
> Es preveu que ens caldrà invertir per reduir els temps de recuperació dels sistemes principals en cas de caiguda.
> L’import d’aquestes futures inversions dependrà molt de les necessitats que es manifestin en l’estudi inicial.
Nous Sistemes
Sistemes redundants
CPD’s secundaris
………….
Auditoria de Seguretat
Pla de Seguretat Pla de Continüitat
Aplicació de Contingència
Resum de les etapes
Pas 3. Creació d’un pla de Continuïtat (CSI)
NIVELLS
NIVELL 1: Disaster Recovery Plan (DRP)
NIVELL 2: Estacions de contingència
NIVELL 3: Fitxers amb informació clínica
Nivell 1. Disaster Recovery Plan
Realizació del BIA (Business Impact Plan)
Estudi tecnològic d’escenaris
Implementació del DRP per fases:
• Visibilitat gradual• Depenent de la capacitat d’inversió
Nivell 3. Fitxers amb informació clínica
Creació d’un grup de treball que defineixi el contingut de la informació de contingència
Generació de fitxers PDF amb informació assistencial
Cada fitxer es genera amb freqüència diferent:
• Urgències: cada 30’• Hospitalització: cada 8 h• Programació quirúrgica i ambulatòria: cada 24 h
Nivell 3: Accés al pla de continuïtat
Cada centre estableix els seus procediments operatius per activar el pla
Sistemes d’avís als responsables d’àrea
Sistema d’introducció de la informació després de la crisi
Accions complementàries en altres sistemes crítics(carrussel de farmàcia)
Limitacions
Informació sense estructura: dificultat d’accés
La disponibilitat de la xarxa és un element de risc
Pla de Contingència - Nivell 3
Pla de Contingència - Nivell 3
Pla de Contingència - Nivell 3
Pla de Contingència - Nivell 3
URGÈNCIES
HOSPITALITZACIÓ
AMBULATÒRIA I PROGR. QUIRÚRGICA
Nivell 2. Estacions de contingència
SISTEMA DE CONTINGÈNCIA
PER APLICACIONS ASSISTENCIALS
Sistema SAP
Sistemes no SAP
Xarxa informàtica
Suministrament elèctric
Catàstrofes naturals (inundacions, incendis...)
Aturades planificades del sistema
Altres
Origen de contingència
Abast
Àrees contemplades al sistema:
Hospitalització
Urgències
Hospital de dia
Pacients amb tractament de Sintrom
Consultes externes
Quiròfans
El sistema de contingència no actualitza la informació dels pacients, únicament permet la consulta.
Components del sistema
Hospital de Sant Pau
ISH SAP genera periòdicament un fitxer de cens actiu i un de contingut (dades episodi i assistencials)
L’Estació de Sincronització recull aquests fitxers i integra aquesta informació en una versió
A partir del cens inclòs a la versió es recull la resta d’informació dels altres sistemes NO SAP
Paral·lelament es recull informació per assegurar l’accés segur dels usuaris
Una vegada la versió està complerta les Estacions de Contingència s’encarreguen de recollir-la
Les Estacions de Contingència tenen un històric de fins a 20 versions
L’Estació d’Administració monitoritza l’estat de les Estacions de Contingència assegurant-se de que es troben operatives i amb la darrera versió actualitzada
Hospital de Sant PauESTACIO DE SINCRONITZACIO H.S.P.
Recollida de dades de l’ISH SAP (per fitxer de text)Dades pacient, Antecedents, Hàbits, Vacunes, Al·lèrgies,
Intervencions, Episodis, Curs clínic, Documents, Medicació, Diagnòstics, ...
Recollida dades altres sistemes NO SAPEcocardio (per consulta directa a base de dades)
Informes d’Alta (consulta directa a base de dades + copia d’informes)
Laboratoris (OpenLab) (per base de dades + copia informes)
Laboratori d’urgències (per captura html)
Laboratori Microbiologia (per webservice)
Cures d’Infermeria (Gacela) (per captura html)
Dietes (origen SAP, per fitxer de text + copia de fitxers)
Farmàcia (per captura html)
Funció Pulmonar (per captura html)
ISH SAP disposa d’un WebService que facilita el cens actiu a cada centre
El servidor de contingència, a partir del cens, carrega una versió de dades de contingència
A continuació interroga novamente el WebService publicat a SAP perobtenir les dades personals i assistencials dels pacients
Quan es completa la versió les estacions de contingència la carreguen, triant les dades de la seva ubicació
Les estacions de contingència tenen un històric de fins 20 versions
L’estació de monitoritzación comprova l’estat dels PCs de contingènciagarantint que es trobin operatives i amb la darrera versió actualitzada
Consorci Sanitari Integral
Recollida de dades de SAP (WebServices)
Dades pacientes
Alertes
Antecedents
Intervencions
Diagnóstics
Pauta activa / històrica
Resumen d’urgències
Gràfica de constants
Peticions
Documents
Interconsults
Trajectories
Administració de medicació
Pauta no farmacológica
Pla de cures
Dietes de la unidad
Agenda de cures d’unitat
Hospital de dia
Consultes externas
Curs clínic de l’episodi / històric
Consorci Sanitari Integral
El servidor de contingència recull la informaciódel LDAP per garantir l’accés segur dels usuaris en l’estació de contingencia
L’estació de contingència guarda un registre delsusuaris que es conecten a l’aplicació, així com les històrias clínicas consultades per cada usuari
Des del servidor de contingència es pot consultar el registre de consultes de totes les màquines
LOPD
Sales d’Hospitalització i Urgències
Dades assistenciales dels pacients ingressats
Dietes
Llista de dietes per a les properes 48 hores per cuina
Farmàcia
Disposa d’un llistat amb la medicació pautada
Admisions
Cens i ubicació de los pacients ingressats
Consultes Externes i Hospital de Dia
• Llista dels pacients amb activitat planificada
Quiròfan
•Pacients amb intervenció planificada als propers 4 dies
Localització / Tipus d’estacions
Urgències
Cada 15 minuts
Hospitalització
Cada 2 hores
Dietes
Cada 8 hores
Farmàcia
Cada 8 hores
Admissions
• Cada 2 hores
Consulta externa i Hospital de Dia
Cada 24 hores
Freqüencia d’actualització
Presentació
MOLTES GRÀCIES