L E IA D S C D CO PE IDA ÍNI ES UR L G SC SE TO A D
ISSN:0719-3424
Seguridad TIC
Nuevas tecnologías Nuevas brechas Ciberataques a la Salud y otra Infraestructura Vital Asociación Médica Mundial
Actualidad IT en salud y las nuevas brechas de seguridad
Opinión experta ¿Un BUS de servicios asegura la la Integración de Sistemas ? Victor Borgoño
IM Informática Médica / Edición Nº28 / Abril-Mayo de 2017 / Informática, Tecnología y Equipamiento Médico
HISTORIA CLÍNICA COMPARTIDA E INTEGRADA DISPONIBLE Y AL ALCANCE DE LA SALUD PÚBLICA DE CHILE
SaludTIntegra Al servicio de una Historia Clínica Compartida CENTRADA EN EL PACIENTE
HOSPITALES DE DIVERSAS COMPLEJIDADES
portal cLÍNICO
Visualizador en línea de la Historia Clínica del Paciente, desde diversas fuentes de información
FICHAS CLÍNICAS DE DESARROLLO PROPIO O DE TERCEROS
con un
potente motor DE INTEGRACIÓN
con estándares internacionales de Interoperabilidad
ATENCIÓN PRIMARIA
(SAPU, CESFAM, SAR, HOSPITAL COMUNITARIO, ETC)
LABORATORIOS
PORTAL DE PACIENTES
OTRAS FUENTES DE INFORMACIÓN CLÍNICA RELEVANTE
COMPARTIR INFORMACIÓN MEJORA LA ATENCIÓN EN SALUD +56 2 2588 8800 Merced 480 - Piso 2, Santiago Región Metropolitana
www.rayensalud.com
EDITORIAL
Fernando Ripoll Garrido Editor Ejecutivo
Seguridad de la información en hospitales: ¿Un tema nuevo? Si pensamos que el concepto de confidencialidad de la información clínica viene desde los antiguos griegos, donde hasta el día de hoy el juramento hipocrático marca el hito de llegar a ser médico de forma oficial -con todo el poder que significa y la enorme responsabilidad que conllevanos daremos cuenta que llevamos varios miles de años con este tema en la palestra. Desde el momento del juramento el profesional de la salud y de forma solidaria su equipo de trabajo, asumen este mismo compromiso de confidencialidad restringido sólo a los profesionales tratantes, a excepción de estar de por medio una orden judicial, debiendo mantener bajo reserva los datos clínicos en general.
ber sido devuelta a tiempo por falta de trazabilidad de archivos, atenta al principio de “disponibilidad”.
Debido a la misma naturaleza de la atención sanitaria el registro de información clínica fue necesidad desde el comienzo, por lo que el registro, almacenamiento y procesamiento en papel, en teoría, ha estado sujeto al mismo tratamiento con el fin de mantener la integridad, confidencialidad y disponibilidad de dicha información.
Sin embargo, las TI al igual que el “papel”, son simples herramientas, aunque con mayores ventajas, pero dichas ventajas están asociadas a su adecuada implementación, gestión y control, lo que sobrepasa el ámbito tecnológico y recae en el plano organizacional.
Desde este mismo comienzo los sistemas en general han mostrado fallas que han sido abordadas desde los ámbitos legal, organizacional o tecnológico, en general con un gran desfase respecto de los avances técnicos y las complejidades de la sociedad moderna. Algunos ejemplos de las fallas de los registros en papel son la pérdida de antecedentes o de una ficha clínica, lo que atenta al principio de integridad de la información o en otras palabras, “información incompleta”. El hecho de dejar una carpeta arriba de un mesón o abierta en un lugar transitado, atenta contra el principio de “confidencialidad”, siendo en forma flagrante una violación del juramento hipocrático.Y finalmente, el haber perdido una carpeta o simplemente el haberse traspapelado o no ha-
Hoy las TIC permiten mantener y almacenar una gran cantidad de información, gracias a lo que se cuenta con información más completa que nunca; las TIC permiten registrar cada acceso a las bases de dato, cada modificación o eliminación, gestionando a través de perfiles de usuario y datos encriptados, generando en teoría información más “Integra”; finalmente, las TIC permiten acceder a la información desde distintas plataformas y entornos, brindando como nunca una mayor “disponibilidad”.
Las fallas de seguridad no sólo son “culpa” de las técnicas utilizadas para el registro, almacenamiento o proceso de la información, sino que principalmente obedecen a errores de planificación, implementación y control de las instituciones que las llevan a cabo, recayendo la principal responsabilidad en los mismos establecimientos de salud respecto de la definición de políticas que luego deberán ser implementadas por terceras partes por la vía de contratos de servicios. Hoy es posible la confidencialidad en un entorno de redes público-privadas, es posible la Integridad en un trabajo colaborativo de equipo clínico y es posible la disponibilidad en un entorno controlado. Analicemos la tecnología disponible, sus ventajas y fallas, definamos políticas y seamos prolijos en su implementación y control.
3
ÍNDICE CONTENIDOS PRINCIPALES
05
ASOCIACIÓN MÉDICA MUNDIAL
04
ESPECIAL
Declaración sobre los Ciberataques a la Salud
Tecnologia y brechas de seguridad
18
24
OPINIÓN
Pablo Orefice. Seguridad de la información en salud
34
OPINIÓN
Victor Borgoño. ¿Se asegura la Integración de Sistemas sólo con un BUS de Servicios?
ARTÍCULO
Seguridad en equipos informáticos y biomédicos
52
VIDA TI
Cobertura a principales eventos.
GESTIÓN COMERCIAL Y DISTRIBUCIÓN: Tiferi Ediciones y Asesorías Spa TELÉFONO: (56-9) 9289 3226 SITIO WEB: www.informaticamedica.cl GERENTE GENERAL Y DIRECTOR RESPONSABLE: Fernando Ripoll Garrido. GERENTE COMERCIAL: Fernando Ripoll Castillo. (56-9) 9289 3226 EDITORA PERIODISTICA: Ana María Cuneo DISEÑO: Carolina Schwartz M. FOTOGRAFÍA: Viviana Peláez A. Idea original y derechos reservados pertenecientes a Fernando Ripoll Garrido. Santiago, Chile. “Tiferi Infomática Médica” es marca registrada de Fernando Ripoll Garrido.
4
16
OPINIÓN
¿Cómo compatibilizar confidencialidad de datos sin limitar su uso?
26
FACTOR HUMANO
54
COLUMNA DE HIPÓCRATES
Entrevista. Clínica Internacional de Perú comparte experiencias en seguridad del paciente
¿Está seguro?
Contenidos e independencia editorial: Con la finalidad de mantener la credibilidad y objetividad de esta publicación, el comité editorial se reserva el derecho de publicar o rechazar la información recibida conforme a la pauta editorial de la publicación, así también titularla o rotularla según sea su origen e interés del articulista o anunciante. Contenidos pagados: • Artículos o entrevistas rotulados como “Punto de Vista”, corresponden a contenidos cuya publicación ha sido pagada por un tercero y cuyo contenido no es evidentemente publicitario. • Artículos o entrevistas rotulados como “Publirreportaje”, corresponden a contenidos cuya publicación ha sido pagada por un tercero y cuyo contenido es publicitario sin ser necesariamente un aviso explícito. • Avisos publicitarios explícitos no van rotulados por no inducir a confusión respecto de su objetivo promocional.
DECLARACIÓN
Declaración de la AMM sobre los Ciberataques a la Salud y otra Infraestructura Vital Fuente: AMM
Adoptada por la 67ª Asamblea General de la AMM, Taipei, Taiwán, octubre 2016
INTRODUCCIÓN Los avances en la tecnología de la información (IT) moderna han permitido mejoras en la prestación de atención médica y siguen ayudando tanto a la fluidez del trabajo de los médicos como al mantenimiento de registros médicos a la atención de pacientes. Al mismo tiempo, la implementación de nueva infraestructura IT más sofisticada tiene sus desafíos y riesgos, incluida los ciberataques y el robo de información. Las amenazas a la seguridad cibernética son una realidad lamentable en la era de la información y comunicación digital. Los ataques a la infraestructura vital y patrimonio esencial de interés público, como los utilizados en energía, suministro de alimentos y agua, telecomunicaciones, transporte y salud, van en aumento y representan una grave amenaza para la salud y el bienestar de los ciudadanos. Con la proliferación de los registros médicos electrónicos y los sistemas de facturación, el sector de la salud se ha convertido en un área susceptible para las intrusiones cibernéticas y blanco principal de delincuentes. Las instituciones de salud y los asociados comerciales, desde la más pequeña consulta privada a los más grandes hospitales, son vulnerables no solo para el robo, alteración y la manipulación de registros electrónicos médicos y financieros de los pacientes, sino que también a intrusiones en sofisticados sistemas, cada
vez más frecuentes, que pueden poner en peligro la capacidad para atender a pacientes y responder a urgencias médicas. Especialmente desconcertante es la amenaza al derecho fundamental del paciente a la privacidad y seguridad de su información. Además, la reparación del daño causado por los ciberataques puede implicar costos importantes. La información del paciente también necesita protección porque con frecuencia incluye información personal sensible que puede ser utilizada por delincuentes para tener acceso a cuentas bancarias, robar identidades u obtener recetas médicas de manera ilegal. Por esta razón tiene mucho más valor en el mercado negro que sólo la información sobre tarjetas de crédito. Las alteraciones o el abuso de la información del paciente puede ser perju-
5
DECLARACIÓN
dicial para la salud, seguridad y situación material de los pacientes. En algunos casos, las violaciones incluso pueden tener consecuencias que pongan en peligro la vida. Los procedimientos y estrategias de seguridad actuales en el sector de la salud por lo general no han seguido el ritmo del volumen y la magnitud de los ciberataques. Si no se protegen adecuadamente, los sistemas de información de los hospitales, de consultas médicas o sistemas de control de aparatos médicos pueden ser blancos para los delincuentes cibernéticos. Los programas de imágenes en radiología, sistemas de videoconferencias, cámaras de vigilancia, dispositivos móviles, impresoras, enca-
6
minadores y sistemas de video digitales utilizados para el monitoreo en línea y procedimientos remotos son sólo algunas de las infraestructuras de tecnología de la información que pueden ser intervenidas. A pesar de este peligro muchas organizaciones e instituciones de salud no tienen ni los recursos financieros ni las competencias administrativas o técnicas y el personal necesarias para detectar o evitar los ciberataques. También pueden no comunicar adecuadamente la gravedad de las amenazas cibernéticas internamente y a los pacientes y asociados externos.
RECOMENDACIONES 1. La AMM reconoce que los ciberataques a los sistemas de salud y otra infraestructura vital representan un problema transfronterizo y una amenaza para la salud pública. Por lo tanto, insta a los gobiernos, legisladores y operadores de salud y otra infraestructura vital a través del mundo a trabajar con las autoridades competentes en seguridad cibernética en sus respectivos países y colaborar internacionalmente, a fin de anticipar y defenderse de estos ataques. 2. Impulsa a las asociaciones médicas nacionales a crear conciencia entre sus miembros, las instituciones de salud y los interesados en el sector sobre la amenaza de los ciberataques y apoyar una estrategia de tecnología de la información en salud eficaz y consistente para proteger la información médica sensible y asegurar la privacidad y la seguridad del paciente.
berataques a su capacidad para ejercer su profesión y a tomar todas las medidas necesarias citadas para proteger la información del paciente, su seguridad y otra información vital. 6. Recomienda que los currículos de educación médica de pre y post grado incluya información completa sobre cómo los médicos puedan aprovechar al máximo la IT y los sistemas de comunicaciones electrónicas y asegurar todavía la protección de la información y mantener los más altos estándares de conducta profesional. 7. Reconoce que los médicos y otros profesionales de la salud puede que no siempre tengan acceso a los recursos, infraestructura y conocimientos necesarios para crear sistemas de defensa a prueba de fallas y destaca la necesidad de que los organismos públicos y también privados apropiados los apoyen para superar estas limitaciones.
3. Recalca el alto riesgo de intrusiones cibernéticas y otros robos de información que enfrenta el sector de la salud e insta a las instituciones médicas a implementar y mantener sistemas integrales para evitar las intrusiones en seguridad, incluido pero no limitado a ofrecer una formación para asegurar que los empleados cumplan con las prácticas óptimas de gestión de información y para mantener la seguridad de los dispositivos informáticos. 4. En caso de robo de información, las instituciones de salud deben implementar sistemas de respuesta probados, incluido pero no limitado a notificar y ofrecer servicios de protección a las víctimas y poner en marcha procesos para corregir errores en los registros médicos producidos por el uso malicioso de la información robada. Se pueden considerar pólizas de seguros contra el robo de información como medida de precaución para sufragar los costos de una potencial intrusión cibernética. 5. Llama a los médicos, como guardianes de la seguridad del paciente y la confidencialidad de la información, a ser conscientes del desafío singular que representan los ci-
7
ACTUALIDAD
Fuente: securelist.lat
Los hospitales bajo ataque en 2016
Se debe tener extremo cuidado al adquirir sistemas biomédicos hoy en día y más cuando de telemedicina se trata, puesto que se emplean canales de comunicación alámbricos e inalámbricos. 2016 tuvo muchos incidentes de seguridad que afectaron a hospitales y equipos médicos. En sólo dos meses se vio un ataque de ransomware a un hospital de Los Ángeles y dos de Alemania, una intrusión de investigadores al monitor y dosificador de medicinas de un paciente, y un ataque a un hospital de Melbourne, entre otros casos. Esta debería ser una preocupación prioritaria para la industria de seguridad. Los ataques no nos tomaron por sorpresa. La industria del Internet de las cosas está en aumento y, por supuesto, la seguridad de la industria de los dispositivos médicos es una de las que más inquietudes provoca. Los dispositivos médicos modernos son computadoras completas que incluyen un sistema operativo y una serie de aplicaciones; la mayoría tiene un canal de comunicaciones a Internet, redes externas y diferentes tipos de servidores en la nube. Están llenos de tecnologías de última generación que tienen un solo fin: ayudar a los doctores a tratar a sus pacientes con la mejor calidad posible. Pero, igual que todos los sistemas industriales, los dispositivos médicos están construidos con un enfoque en estas tecnologías, es decir, para ayudar en el desarrollo de las ciencias médicas, dejando la seguridad informática en segundo o hasta tercer plano. Esto es alarmante. Las vulnerabilidades en el diseño de los programas, las autorizaciones inseguras, los canales de comunicación sin cifrar y las fallas críticas en el software abren paso a que se comprometan estos sistemas. El acceso no autorizado a estos dispositivos podría tener efectos muy graves: no sólo pone los datos personales al
8
alcance de los ladrones virtuales, también podría afectar en forma directa la salud y hasta las vidas de los pacientes. A veces asusta lo fácil que es irrumpir en los sistemas de un hospital, robar la información personal de un dispositivo médico o acceder a él para irrumpir en el sistema de archivos, interfaz del usuario, etc. Imaginemos un verdadero ataque dirigido en el que los cibercriminales que tengan acceso total a la infraestructura médica de un centro de salud puedan manipular los resultados de los sistemas de diagnosis o tratamiento. En muchos casos los doctores dependen mucho de estos sistemas médicos, por lo que su manipulación podría causar tratamientos erróneos en un paciente, lo que empeoraría su condición médica. El problema supera la inseguridad de los equipos médicos, toda la infraestructura informática de los hospitales modernos tiene problemas de organización y protección y esta situación es de alcance mundial. Veamos cómo realizan sus ataques los cibercriminales. Primera falla: el acceso a Internet con poca o ninguna autorización. Existen varias formas de detectar vulnerabilidades en los equipos; por ejemplo, usando el motor de búsqueda Shodan. Si se utiliza bien esta herramienta, se pueden encontrar miles de dispositivos médicos expuestos en Internet: como un hacker puede descubrir escáneres de resonancia magnética, equipos de cardiología y aparatos de radiología conectados a la red. Muchos de estos dispositivos siguen operando con Windows XP y tienen decenas de vulnerabilidades
Resultado del estudio de resonancia magnética de un paciente En mi opinión, esta es una vulnerabilidad grave en el diseño de una aplicación. Aunque no se tenga acceso remoto, ¿por qué quisieron los ingenieros tomar esta oportunidad para darle a la interfaz del doctor acceso a la shell de comandos? Esta, sin duda, no debería ser una característica predeterminada. A esto me refería antes. Puede que una parte esté muy bien protegida, pero otra tenga grandes fallas; quien tenga la intención de atacar va a descubrir estas debilidades para comprometer el dispositivo.
viejas sin parchar que podrían comprometer por completo un sistema remoto. Es más, algunos aparatos todavía usan las contraseñas predeterminadas de fábrica, que son fáciles de encontrar en manuales publicados en la red.
Resultados de búsqueda de Shodan Que un hospital esté protegido desde Internet no significa que un cibercriminal no pueda encontrar otros métodos para irrumpir en los equipos si se lo ha propuesto. Segunda falla: los dispositivos no están protegidos del acceso desde redes locales. Los fabricantes de dispositivos médicos, al crear un sistema completo, lo protegen del acceso interno. Pero por alguna razón creen que cualquiera que trate de acceder a ellos desde dentro es de confianza. Este es un gran error: no hay que depositar toda la confianza en los administradores del sistema y en su forma de organizar la protección interna de las redes de un hospital. Tercera falla: las vulnerabilidades en la arquitectura de los programas. Al conectarse al al dispositivo y pasar la pantalla de inicio de sesión predeterminada, se puede tener acceso inmediato a la interfaz de control y a los datos personales y de diagnóstico de los pacientes del hospital.
Otro factor que influye en las vulnerabilidades de las aplicaciones son las versiones obsoletas de sistemas operativos y las dificultades de la gestión de parches. Este es un ambiente muy diferente al de la estructura informática estándar de PCs o dispositivos móviles; no se puede instalar un parche en un dispositivo médico con la misma facilidad. Es un proceso manual complejo y, en muchos casos, se necesita a un ingeniero calificado en el hospital que ayude a actualizar el sistema y evaluar que los dispositivos estén funcionando como es debido después de la actualización. Eso consume tiempo y dinero, por lo que es esencial crear un sistema bien protegido desde el principio – en la etapa de desarrollo – que tenga aplicaciones con la menor cantidad de vulnerabilidades posible. Los vendedores de equipos médicos e informáticos de los hospitales deben prestar mucha atención a su seguridad informática, ya que se encuentran en la lista de los objetivos más valiosos para el mundo cibercriminal. Estamos por ver un aumento en los ataques a centros médicos en este año, que incluyen ataques dirigidos, infecciones de programas chantajistas, ataques distribuidos de denegación de servicio y hasta aquellos que hacen daño físico a los dispositivos médicos. Por último, la industria ha comenzado a prestar más atención a este problema. Por ejemplo, en Estados Unidos, la Administración de Alimentos y Medicamentos (FDA) publicó una guía para los fabricantes de dispositivos médicos que les indica los pasos a seguir para evadir los riesgos de seguridad informática y proteger así a sus pacientes y la salud pública.
9
ESPECIAL REPORTAJE SEGURIDAD CENTRAL TI
TIC en salud:
¿Información más vulnerable o más protegida? Hace unos meses atrás, el Ministerio de Salud revocó la licitación que daría inicio al convenio Marco de Sidra 2, un proyecto ansiado por la industria que marcaría las pautas para la unificación de datos clínicos en Chile ¿Por qué? El organismo consideró que no existían los parámetros de seguridad informática para concretarlo ¿Están los datos sanitarios correctamente protegidos en Chile y las TI dan cuenta de eso? Expertos opinan sobre la materia. Por Ana María Cuneo
10
La era de tecnología supone muchos avances que vienen a simplificar el trabajo y desempeño de sus usuarios. Aunque son muchos los beneficios innegables que acarrea, también es cierto que nuevas brechas de seguridad se han abierto, que desafían las normativas vigentes y que aún no son del todo enfrentadas por las empresas. Uno de ellos es la seguridad informática o cyber seguridad, concepto que trata acerca de fortalecer la confidencialidad, disponibilidad e integridad de un sistema informático. Según fuentes de la industria los ataques de espionaje cibernético aumentarán en frecuencia, lo mismo que ocurrirá con los dispositivos conectados a la red bajo el concepto de Internet de las cosas (IoT), que se incrementará en proporción con el cada vez mayor aumento del número de aparatos conectados, la falta de “higiene” de seguridad y el alto valor de los datos contenidos en esos dispositivos. “Los sistemas de información hospitalarios y de gestión de prácticas podrían convertirse en pasarelas para los cibercriminales hacia los datos clínicos o financieros de los pacientes. Además, están en riesgo los software de imágenes de radiología, video sistemas de conferencias, cámaras de vigilancia, dispositivos móviles, impresoras, routers y sistemas de video digitales utilizados para la vi-
gilancia de la salud en línea y procedimientos remotos”, asegura una declaración de alerta emitida por la Asociación Médica Mundial (AMM) en su Asamblea Anual de Taiwán realizada en octubre de 2016, organismo que advirtió que se trata de una amenaza real dado que “algunos hospitales están siendo hackeados con regularidad al mismo tiempo que instó a los gobiernos, políticos y operadores de sistemas sanitarios a nivel mundial a trabajar para anticipar y defenderse contra este tipo de ataques. “Es de vital importancia tomar conciencia de esta amenaza, ya que todas las instituciones de salud, desde las pequeñas hasta los grandes hospitales, son vulnerables a los ataques cibernéticos. Los delincuentes no sólo pueden tener acceso a cuentas bancarias y recetas ilegalmente, sino también pueden alterar los datos de un paciente o interferir con procedimientos médicos en curso – ambos con consecuencias peligrosas para la vida”, dijo El Prof. Frank Ulrich Montgomery, Vice Presidente de la AMM. Son muchos los tipos de barrera que se pueden implementar para proteger esos conceptos, entre los que aparecen aquellos que previenen, detectan y corrigen delitos. Existen industrias como la financiera y bancaria en las que el tema es bastante abordado de tal modo que se
11
ESPECIAL SEGURIDAD TI
tos definidos por un comité interministerial, ítems que no eran recogidos por el convenio marco de Soluciones Informáticas de Salud. Según esto, cabe preguntarse, ¿Está la industria protegiendo los datos sanitarios de los ciudadanos? Según el CEO de Nivel4 Seguridad, Fernando Lagos, “los cyber ataques y la difusión mediante los distintos medios de comunicación han hecho que el tema se transforme en una preocupación. En este sentido, la importancia de la seguridad informática y la seguridad de la información va creciendo, lo que se puede ver en los presupuestos de las empresas y gobiernos. Mientras antes no se destinaban recursos a este ítem en la actualidad se están generando áreas especializadas en fraude y riesgo”.
ha generado un nivel aceptable de educación sobre cómo proteger los datos, factor que ayuda a combatir los cyber ataques. Pero esto no se repite en otras industrias tanto o más sensibles que esas: a pesar de la importancia de resguardar datos médicos, los parámetros de seguridad no son lo suficientemente considerados en la industria sanitaria en general. En enero pasado el Ministerio de Salud chileno, a través de la Subsecretaría de Redes Asistenciales, revocó una de las licitaciones más esperadas por la industria tecnológica en salud. El convenio Marco que daría inicio al Sistema de Información de Redes Asistenciales (Sidra 2), que prometía unificar parámetros para la digitalización de los datos sanitarios y se daría un mayor impulso hacia la construcción de una Historia Clínica Compartida nacional, con los beneficios que ello tendría para pacientes, hospitales y centros médicos públicos en Chile ¿Por qué tal medida?. Según rezaba el documento que fundamenta dicha resolución, el ministerio se encontraba realizando un esfuerzo público y privado para el desarrollo de una estrategia nacional de cyberseguridad a través de lineamien-
12
De hecho, ya en 1996 Estados Unidos creó la Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability ACT, HIPAA por su sigla en inglés) con la finalidad de proteger a millones de trabajadores y miembros de sus familias -y a raíz de la cual la filtración de datos privados de salud es penada con altas multas e incluso la cárcel. Mientras, durante el último año de su gobierno, el presidente de Estados Unidos, Barack Obama, destinó US$19 mil millones a la cyberseguridad. Un incremento de US$5.000 millones que representan un alza de 35%. En tanto, el escenario en Chile es distinto. Aún cuando la Organización para la Cooperación y Desarrollo Económico (OCDE) -de la que el Chile forma parte desde 2010- establece ciertos parámetros en materia de seguridad de la información, en el país no se han adoptado como normativa. Pues, si bien existe un decreto ministerial respecto del cuidado de la privacidad de información este no se apoya en una estructura orgánica que dé peso a dicho documento. “Si le preguntamos al Ministerio de Salud si cuenta con una estructura ransomware para poder soportar un ataque en hospitales, consultorios y/o Centros de Salud familiar (Cesfam), probablemente la respuesta sea negati-
Si le preguntamos al Ministerio de Salud si cuenta con una estructura ransomware para poder soportar un ataque en hospitales, consultorios y/o Centros de Salud probablemente la respuesta sea negativa. va. Lo que corre también para clínicas privadas”, dice el experto en seguridad, Alfonso Mateluna, quien además recalca que la permanencia de las fichas clínicas en formatos Word o el envío de información a través documentos Excel sin encriptar facilitan la filtración de datos hospitalarios confidenciales.
Al mismo tiempo, “tener normas que regulen lo anterior y que permitan manejar la riqueza de la información se pueden establecer políticas públicas en relación a ella. Por el contrario los piratas quieren atacar cuando ven países como nosotros que no tenemos un sistema legal ni políticas públicas ni infraestructura que nos proteja, todo lo que nos hace atractivo para un posible ataque”, recalca. En efecto, la OCDE cuenta con un set de parámetros que miden el nivel de seguridad informática que cada país mantiene para resguardar los datos clínicos de sus ciudadanos. En dicho ranking –donde los países están catalogados en una escala de 1 (mínimo) a 6 (máximo)- Chile no aparece. (ver gráfico) Por contrapartida los países que alcanzan la calificación máxima son Inglaterra, Es-
Fotografía: Viviana Peláez
El ejecutivo subraya que la información obtenida puede ser utilizada para discriminar, establecer prejuicios laborales contra una persona o que alguien sea o no aceptado en un plan sanitario determinado al conocerse una posible preexistencia y explica que a partir de esto se hace tan relevante el establecimiento de barreras que impidan la fuga de información. Alfonso Mateluna, experto en seguridad.
cocia, Nueva Zelanda seguidos por Suecia, Estados Unidos, Suiza y Finlandia. “En ninguna parte del ranking aparece América Latina, lo que nos hace un muy buen blanco para el ciber terrorismo”, asegura Alfonso Mateluna, quien también explica que entre los parámetros medidos aparece la “integración de sistemas”. En el caso de Chile, los hospitales cuentan con distintas herramientas desarrolladas por las mismas instituciones, por el mismo Estado o por terceros, cada uno con sus propios niveles de seguridad. “Dado que la información está diseminada es más fácil atacarla, porque tene-
13
ESPECIAL SEGURIDAD TI
En el mercado sanitarios aparece una multitud sistemas informáticos. En todos ellos existe una serie de brechas de seguridad fácilmente detectables incluso por personas que no son expertos en seguridad. Sólo se necesita sentido común.
Por su parte, Fernando Lagos considera que “a nivel de salud existe una jungla de sistemas de información. En una visita a un centro sanitario existe la reserva de hora on line donde se deben ingresar los datos personales, pago de bono con un lector de huella en el que se desconoce a quién se le entrega la información, pago a través de POS, un sistema a través del cual el médico puede acceder a historial de atención y en el que en ocasiones también ingresa un asistente del profesional, toma de exámenes en las que distintas máquinas pueden estar conectadas a la red de la institución y otras con conexión wifi por defecto, por nombrar un ejemplo. En todos ellos existe una serie de brechas de seguridad fácilmente detectables incluso por personas que no son expertos en seguridad. Solo se necesita sentido común”, relata. En términos generales no existe mayor conciencia sobre la importancia de los datos en quienes acceden a la información. “Un médico puede dejar el computador para hacer otra cosa permitiendo a un atacante tomar control del aparato. Basta con 10 segundos para que una persona pueda ejecutar un ataque en forma satisfactoria”, advierte Fernando Lagos.
Principales riesgos ¿Es realmente peligroso un robo de información confidencial? Los expertos aseguran que a partir de la obten-
14
Fotografía: Viviana Peláez
mos distintas formas de protegerla no homologadas ni coordinadas”, dice el experto.
Fernando Lagos, CEO de Nivel4 Seguridad.
ción de datos clínicos privados se pueden usar para extorsionar tanto a las personas como a una empresa. “Un atacante podría armar una especie de ficha clínica de millones de chilenos a través de las vulnerabilidades existentes en los distintos centros sanitarios. Por mi trabajo me ha tocado revisar servidores intervenidos por terceros que almacenan información sensible en las que no se hace ningún esfuerzo por conocer el impacto del ataque. Es decir, después de haber sufrido un ataque no se sabe si el atacante accedió a otro servidor u otro computador de la red, si extrajo algo de información o si la modificó”, cuenta el CEO de Nivel 4 Seguridad Fernando Lagos.
Estos datos son fácilmente utilizables para venta, espionaje o ataques de ingeniería social. Para Alfonso Mateluna la información obtenida, por ejemplo, en una farmacia puede ser entregada a una compañía de seguros de manera de que ésta se entere de las preexistencias que posee una persona a la hora de concretar un convenio. En este sentido, en países como Estados Unidos existen prohibiciones de cruce de información. “El HIPAA prohíbe estos cruces de información y establece penas fuertes a quienes las realicen”; destaca.
¿Cómo avanzar? Definido e identificado el problema se comienzan a buscar las soluciones. En este sentido, existe una comisión que está trabajando en el desarrollo de la ISO 27799:2016, un estándar no certificable que especifica las directrices para el apoyo de la aplicación de la ISO 27001, que define los requisitos para la implantación de un Sistema de Gestión de Seguridad de la Información con la finalidad de preservar la información de las organizaciones garantizando la confidencialidad, integridad y disponibilidad de la información. Sin embargo, el experto en seguridad informática Alfonso Mateluna considera que es necesario ir un paso más allá y llevar este trabajo a un nivel ministerial y político que lo apruebe como norma y que incrementaría el nivel de madurez al respecto. “Recordemos que la industria financiera alcanzó el nivel de seguridad que posee hoy en día gracias a que fue empujado por leyes que la obligaron a encaminarse al alto nivel de madurez que mantiene actualmente. Nos hace falta la madurez y valentía para proteger la información de los ciudadanos. Se requiere un acuerdo político transversal”, asegura. El ejecutivo considera que para que se concrete un cambio real es menester generar un cambio en la manera de concebir la seguridad, los que deben ser desarrollados pensando en ese concepto, pues incluirla una vez que el sistema ya está implementado incrementa los costos y la voluntad de muchas instituciones. Si, por el contrario se
construyen sistemas pensando en la seguridad de la información el funcionamiento es más eficiente. Surge el Retorno sobre la Seguridad de la Información (ROSI por sus siglas en inglés) un concepto utilizado a nivel de gestión de la seguridad de la información para justificar la implementación de controles que mitiguen los riesgos. Según el entendido en la materia, ROSI considera que mientras se imbuya la seguridad en el diseño de la información el resultado será positivo. “Si, por el contrario, a todo lo que ya tiene el Ministerio le imbuyo seguridad, el costo será muy alto y probablemente en muchas instituciones no existirá disposición para incluirlo. Lo anterior es una muy mala mirada respecto del respeto que existe por los pacientes”, asevera. En este sentido la clave parece ser la conformación de leyes que empujen a las instituciones sanitarias a incluir seguridad en sus sistemas informáticos. “Mientras no existan las leyes el tema se ve como un gasto. Con ellas, no habrá espacio para dudar si hacerlo o no. Hecho eso dejaremos de preguntarnos cuánto invertir para cuestionarnos cómo proteger”, recalca.
15
PUNTO DE VISTA
contacto@digitalhealthconsulting.cl Twitter: @d_h_consulting
¿Cómo abordar la seguridad de la información en salud sin limitar el valor que tiene el uso de los datos?
¿Por qué nos preocupamos de la seguridad y confidencialidad de la información de los pacientes? Principalmente por dos razones: Porque los pacientes entregan a su médico tratante información que posiblemente no darían a ninguna otra persona y se debe mantener la confianza en que la relación médico-paciente es confidencial para que las personas provean información necesaria y fidedigna para su diagnóstico y tratamiento. Porque el mal uso de la información provista por un paciente en el contexto de un encuentro clínico puede traer consecuencias negativas al paciente y su grupo relacionado. Por ejemplo, restricciones y barreras para el acceso al sistema bancario y seguros. En Chile, al igual que en prácticamente todos los países del mundo, existe una ley que busca proteger el uso de datos personales y la vida privada de las personas (Ley Nº 19.628). Dada la sensibilidad de los datos clínicos, la legislación resguarda los deberes y derechos de los pacientes a través de la Ley Nº 20.584. Ésta última se profundiza a través del Reglamento sobre Fichas Clínicas (DTO Nº 41/2012 del Ministerio de Salud). La forma en que los sistemas de información en salud aplican los principios y restricciones de estos cuerpos normativos depende de la naturaleza de los sistemas y de la tecnología que utilicen. Sin embargo, en general, buscan cumplir con lo señalado por las normas ISO 27000 y los criterios de conformidad del Modelo Funcional HL7, versión 2 (ISO/HL7 10.781).
16
¿Cuáles son los usos que se da a la información de los pacientes? Básicamente, dos: Uso primario o clínico: Es el acceso y uso de información que el equipo clínico que está directamente relacionado con la atención del paciente realiza para mantener la continuidad, mejorar la calidad y seguridad del cuidado del paciente. Uso secundario: Es todo uso distinto al anterior. Incluye investigación, análisis, medición de calidad y seguridad, pagos, acreditación de prestadores, actividades comerciales, entre otras. El fin: predecir riesgos, identificar patrones, resultados sanitarios, eficiencia y efectividad del sistema de salud, nuevos productos, etc. ¿Cuáles son las principales preocupaciones a nivel internacional del uso de la información de pacientes? En general, no existen barreras al uso primario de la información. La correcta utilización del Registro Clínico (EMR) e Historia Clínica (EHR) electrónicas facilita esta función. La situación es diferente cuando se trata de vulneración de la seguridad de la información (hacking) y uso secundario de datos. Todo se reduce al mal uso de la información y a la posibilidad de identificar a los pacientes en un contexto de Big Data, combinando datos desidentificados de pacientes con información de redes sociales y otras bases de datos de acceso fácil o público.
¿Cómo se protege la privacidad y seguridad de la información en un contexto de uso secundario de datos de salud? A través de varios mecanismos, los que debieran ser parte de un “Marco de Gobernanza de la Información en Salud”, según las recomendaciones de OCDE1 a sus países integrantes: Primero y fundamental, una adecuada legislación que establezca lo que se protege –qué datos e información del paciente, cómo se puede utilizar dicha información y las penas en caso de mal uso Procedimientos para el uso de datos personales de salud para investigación y otros propósitos de interés público Consentimiento informado y posibilidad de los pacientes de aportar datos para investigación y otros fines Adecuada utilización de técnicas de protección basadas en las normas y estándares Utilización de las normas y recomendaciones para el trato de información estadística
nizaciones privadas e investigadores. Finlandia ha mejorado los servicios de sus hospitales publicando indicadores de desempeño y gestión, que sirven a los establecimientos como benchmarking. Suecia evalúa el funcionamiento, cumplimiento y resultados de las guías clínicas. En HIMSSChile 2016 conocimos de la implementación del Data Discovery Index3, proyecto que mejora el proceso de compartir datos biomédicos para que los investigadores hagan mejor uso de los datos existentes. El uso secundario de datos da un nuevo contexto a las TI en salud, desde meramente automatizar procesos a posibilitar el análisis y comprensión los datos acumulados para poder tomar acciones proactivas y predictivas en pos de una mejor salud.
Existen experiencias como las del Sistema Nacional de Salud del Reino Unido (NHS) y su Servicio de Uso Secundario de Datos de Salud (SUS2) para Inglaterra, que provee servicios de datos de salud a instituciones públicas, orga-
¿Qué puede hacer Chile para posibilitar y potenciar el uso secundario de datos de salud? Tal como se ha mencionado en ediciones previas, con ciertos matices, en el país se cuenta con más de 8 años de registro electrónico en atención primaria y hospitalaria. Para poder devolver a los pacientes y clínicos mayor valor de los datos que consistentemente han entregado y registrado en los sistemas de información del ecosistema de salud nacional, se pueden trabajar los siguientes ámbitos: Actualizar el reglamento de ficha clínica, separando la información de identificación de los pacientes de la información de salud. Esto facilita el uso secundario de datos desidentificados, Implementar sistemas digitales de consentimiento para el uso de su información de salud en contextos no clínicos, Informar y educar a pacientes, y a los tutores de información de los pacientes, respecto de los riesgos y beneficios del uso de su información para fines no clínicos, Facilitar y promover la provisión de infraestructura y datos de salud para investigación y desarrollo, Promover un ecosistema de desarrollo económico basado en la utilización de datos de salud, cambiando el paradigma que dicta que más salud implica mayores costos hacia uno donde más salud significa más innovación y crecimiento económico.
1. Ver http://www.oecd.org/els/health-systems/health-datagovernance.htm 2. Ver http://content.digital.nhs.uk/sus
3 https://datamed.org/
¿Por qué se debe realizar uso secundario de los datos de salud de los pacientes? Respetando lo anteriormente señalado, la teoría y experiencia indican que los beneficios de utilizar los datos de los pacientes para usos no clínicos incluyen: Mejor gestión de políticas sanitarias Materialización de la gestión de salud poblacional Mayor precisión de los procesos de investigación y desarrollo de insumos y procedimientos para el cuidado de la salud Mejores planes de cobertura de salud y mejoramiento de los servicios de prestadores y financiadores Mayor información para el empoderamiento de pacientes a través del benchmarking de prestadores y financiadores Mejor utilización de recursos sanitarios y apoyo a la detección al fraude sistemático
17
OPINIÓN
Cortesía: Pablo Orefice / Coordinador e-health Gobierno de Uruguay
Seguridad de la información en salud
INTRODUCCIÓN Si bien la temática relacionada a la seguridad de la información en salud lleva varios años, es cierto que en estos últimos ha tomado mayor protagonismo por parte del ecosistema de salud. Seguramente se ha dado por el nivel de madurez que han alcanzado algunas organizaciones, por incidentes que se han sucedido en los países de la región y por el propio mercado que ha puesto este tema en la mesa con mayor énfasis. Hoy es más frecuente la incorporación de las TIC en el sector salud, lo que produce un impacto significativo en la mejora de los procesos de gestión – tanto clínica como
18
administrativa - y contribuye a la calidad de la información en el marco de la atención sanitaria. Esta adopción de tecnologías por el ecosistema también incorpora que se deban definir o ajustar ciertos procesos asociados a la seguridad de la información. Estas iniciativas deben ir de la mano con una estrategia en materia de seguridad de la información que considere la gestión de nuevos riesgos asociados a la incorporación de las TIC. La información pasa a ser un activo estratégico en las organizaciones y por consiguiente la gestión de su seguridad una prioridad. La seguridad de la información en muchas referencias se basa en tres conceptos básicos: disponibilidad, integridad y confidencialidad. La disponibilidad es contar con la información en el lugar y momento necesario, independiente de cómo se haya generado la misma y en qué lugar y momento; la integridad apunta a la veracidad y la completitud de la información, y la confidencialidad nos determina que el acceso a la información debe realizarse por la persona adecuada y que la pertinencia de dicho acceso también sea el oportuno. Usualmente la disponibilidad y la confidencialidad se visualizan como conceptos donde sus fronteras pueden generar cierta distorsión, bajo el principio que muchas medidas que tienden a favorecer la disponibilidad de la información penalizan la confidencialidad y viceversa. Es por ello que deben tenerse en cuenta ambas con igual grado de prioridad a la hora de definir los procesos asociados al consumo de la información.
Según la norma ISO se define un incidente de seguridad de la información como un único evento o una serie de eventos indeseados o inesperados de seguridad de la información que tienen un probabilidad significativa de comprometer las operaciones de negocio y de amenazar la segurdidad de la información.1 Por lo tanto es la violación o amenaza inminente a la Política de Seguridad de la Información implícita o explícita.
¿Cómo se enfrenta la seguridad de la información como política de país? Cada país cuenta con mayor o menor grado de avance en el marco regulatorio con respecto a la temática de seguridad de la información. 1 ISO/IEC 18044:2004; ISO 27035
A modo de ejemplo, Estados Unidos cuenta con una fuerte política denominada HIPAA2, para lo cual incursionó no solo en el marco normativo, sino en el montaje de una organización con el cometido de darle gobernanza a estos temas. Europa cuenta con fuertes políticas de seguridad de la información, a través de sus comisiones de la unión europea. Actualmente la RGPD están generando nuevos marcos que afectan la temática asociada a la regulación de la protección de datos. Chile y Uruguay también cuentan con políticas de seguridad de la información, con la diferencia que Chile cuenta con una política para el sector sanitario3 y no así Uruguay. 2 https://www.hhs.gov/hipaa 3 http://web.minsal.cl/wp-content/uploads/2016/11/2016.11.14Res.-1332-Pol%C3%ADtica-General-de-Seguridad-de-laInformaci%C3%B3n.pdf
19
OPINIÓN
Un camino factible de transitar es generar marcos de referencia en torno a esta temática, los cuales se basan en normativa existente, pero que tienen en cuenta la madurez de la organización o sector donde se van a aplicar, esto implica generar no solo el marco, sino el plan de adopción del mismo. Esta estrategia permite avanzar en pro de la seguridad de la información asumiendo un punto inicial y los factores que afectan su avance y por lo tanto diseñar - bajo un esquema de factibilidad – un plan para implementar las políticas y acciones para ajustarse a dicho marco.
¿Por dónde se debería comenzar? Como siempre no hay un esquema universal ni libro de cabecera que sirva para todos los casos y situaciones, pero por suerte hay un cúmulo de buenas prácticas, normas técnicas y bibliografía que nos orientan a la hora de elaborar un plan para el abordaje de esta temática. Dependerá en gran medida en como es nuestra organización o institución de salud, si somos una prestadora de asistencia o una aseguradora, si custodiamos información clínica del paciente o solamente contamos con información administrativa, y muchos otros factores y variables. Pero al final lo que siempre debemos hacer es elaborar un Plan que brinde resguardo a la información ante posibles riesgos y/o amenazas de cualquier índole, tanto humanas como ambientales, tecnológicas o materiales. A su vez se deberá adaptar a las normas o reglamentaciones que existan en su país, como ser leyes de privacidad y protección de datos personales, y marcos normativos sobre la propia seguridad de la información. En muchos países ya cuentan con políticas de seguridad de la información e incluso funcionan los centros de respuesta a incidentes. Una fuerte tendencia actual es la de dar cumplimiento a los principios de protección de datos desde el diseño y por defecto, es decir, que sean incluídos en la adopción de políticas y procesos internos de la organización a fin de dar cumplimiento con los mismos desde su concepción, en este sentido el RGPD 4 se ha enfocado fuertemente en es4 http://rgpd.es/
20
tos aspectos entre otros. Como decíamos hay mucho material, quizás comenzaría por revisar la norma ISO 27799: Gestión de la Seguridad de la Información en Salud utilizando la Norma ISO/IEC 27002:2013, y a continuación la normativa del país de residencia. Lo que sí es cierto es que ya en Europa se habla del principio de responsabilidad (accountability), o sea que será necesario por parte de las organizaciones implementar mecanismos que permitan acreditar que se han adoptando todas las medidas necesarias para tratar los datos personales como se exige. Esta responsabilidad se denomina proactiva ya que las instituciones deberán ser capaces de demostrar que cumplen con las exigencias. Esto determina un enfoque directo hacia la implementación de políticas de seguridad de la información. Una recomendación rápida, incluir en su staff un experto en seguridad de la información.
¿Qué son los centros de respuesta a incidentes? Los CERT son equipos de respuesta y un centro de coordinación de emergencias informáticas un sistema de certificación y monitorización de vulnerabilidades que alerta sobre ataques ocurridos desde o hacia servidores ubicados en el territorio nacional. Los CERT están conformados por grupos de expertos responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. Hasta donde tengo conocimiento Chile ya cuenta con su CL-CERT así como uruguay con su CERTuy. El de Chile se desempeña en la Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile. El CERTuy5 es el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay y su principal foco de atención es su comunidad objetivo y se encuentra en AGESIC. Para el CERTuy un incidente de seguridad de la informa5 https://www.agesic.gub.uy/innovaportal/v/3847/14/agesic/quees.html?idPadre=3846
da la creación de grupos multidisciplinarios en régimen de comités de seguridad de la información. Estos comités básicamente reunen personal capacitado y de dirección y gerencia de áreas sustantivas a fin de determinar una política o norma de seguridad, además recae la administración y gestión de dicho plan en la organización.
En organizaciones de salud, ya existe una tendencia a velar por la seguridad del paciente, ¿estamos bajo la misma temática?
ción se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a la Política de Seguridad de la Información del organismo. Otro equipo de trabajo son los CSIRT que se centran principalmente en la protección de la información y de las infraestructuras. Es usual generar estos equipos especializados para dar respuesta focalizada, mantener un conocimiento sobre este tipo de incidentes, estandarizar las respuestas y contar con un punto centralizado de coordinación y diseminación de la información. Por consiguiente es recomendable no solo que exista un CERT a nivel nacional, sino que existan estructuras como los CSIRT específicos para salud. Adicionalmente, en normas como la 27001 se recomien-
Para la OMS la seguridad del paciente es un principio fundamental de la atención sanitaria. Hay un cierto grado de peligrosidad inherente a cada paso del proceso de atención de salud. Los eventos adversos pueden estar en relación con problemas de la práctica clínica, de los productos, de los procedimientos o del sistema. La mejora de la seguridad del paciente requiere por parte de todo el sistema un esfuerzo complejo que abarca una amplia gama de acciones dirigidas hacia la mejora del desempeño; la gestión de la seguridad y los riesgos ambientales, incluido el control de las infecciones; el uso seguro de los medicamentos, y la seguridad de los equipos, de la práctica clínica y del entorno en el que se presta la atención sanitaria.6 Los efectos adversos se pueden dar por una mala comunicación de la información que reside en los sistemas de información, y que pueden ser modificados a través de un incidente, como por ejemplo en la identificación del paciente, información deficiente en la historia clínica electrónica que no presenta información existente – integridad de la información-, transmisión de datos fallidos, y otros casos posibles. Un incidente asociado a la seguridad de la información, como decíamos, puede entonces afectar o dañar el cuidado de la salud del paciente y su seguridad. Muchas recomendaciones sobre la seguridad del paciente, en lo que refiere a políticas y procedimientos asociados, incluye pautas que están relacionadas directamente con la información y por consiguiente deben ser tenidas en cuenta ante un posible incidentes. 6 http://www.who.int/topics/patient_safety/es/
21
OPINIÓN
A modo de ejemplo, en el informe 7 la Joint Commission del 2015 se han identificado ciertos goals asociado a lo mencionado anteriormente: Identificación del paciente, mejorar y hacer disponible la información necesaria para el evento requerido, integridad de la información con respecto a los medicamentos, entre otros. El Comité de Seguridad del Paciente en una organización de salud debería trabajar de forma coordinada y estrecha con el Comité de Seguridad de la Información, a modo de que las pautas estén alineadas y mantengan su coherencia, siendo además susceptibles a ser auditadas incluso en conjunto.
¿Los dispositivos médicos también son un problema para la ciberseguridad? Los dispositivos médicos también están dentro del dominio a trabajar en aspectos de seguridad, los mismos también son vulnerables, tanto afectando su eficiencia como en la propia función para la cual fueron creados, incluso pueden presentar un riesgo de daño al paciente. En enero del 2016 la FDA publicó, en su versión final, un documento sobre el manejo de la ciberseguridad en la postventa de dispositivos médicos (“Postmarket Management of Cybersecurity in Medical Devices”8 ). Se debe tener en cuenta que los fabricantes están bajo permanente presión del mercado y muchas veces el tema de ciberseguridad debe abordarse una vez que el producto ya salió a la plaza. No solamente hay que analizar el comportamiento del dispositivo de forma aislada, sino tener en cuenta que cada vez son más frecuentes los que se conectan a internet o a redes privadas de hospitales, actualizan su versiones y usan bluetooth o infrarojo para su funcionamiento. Esto determina que aumenta las probabilidades que se sucedan brechas de seguridad y por consiguiente un 7 http://www.jointcommission.org/assets/1/6/2015_HAP_NPSG_ ER.pdf 8 http://www.fda.gov/downloads/medicaldevices/deviceregulationandguidance/guidancedocuments/ucm482022.pdf
22
riesgo posible en la seguridad del paciente. Tengamos siempre presente que es imposible mantener completamente seguro tanto los dispositivos como su infraestructura de comunicaciones conexas. Ninguna organización puede jamás garantizar que no tendrá un incidente o brecha de seguridad, pero si puede y debe dedicar esfuerzos en estar preparado, haber dado cumplimiento a las políticas y regulaciones existentes y tener mecanismos de mitigación para el evento.
¿Hacia donde vamos, hay alguna tendencia para mitigar la perdida o acceso indebido a la información? A medida que el uso se hace más intensivo y que las amenazas son más variadas y complejas, hoy se está considerando cada vez más tener la información cifrada a fin de mantener los datos seguros. Si bien esta opción tiene muchas voces contrarias por un tema básicamente de performance, lo cierto es que se trata de una opción muy segura para los organizaciones de salud, los ciudadanos y el ente rector. El cifrado nos permite asegurar la información aunque ésta haya podido salirse de la institución de salud y que sean ilegibles sin la clave o código para descifrarlo, ya que la misma hoy tiende a seguir al paciente a través de diversos mecanismos de interoperabilidad dispuesto entre redes con el cometido de dar continuidad a la asistencia y cuidado del ciudadano. El Instituto Nacional de Estándares y Tecnología (NIST) ha liberado un borrador final que describe básicamente una serie de estándares y guías para el cifrado de datos sensibles como son los de salud. Otro tema a investigar es cómo aplicar blockchain a nuestro sector, pero como te mencioné, eso es para otro capítulo.
ehCOS Francisco Becker Contreras, Gerente Health, Everis Chile
Salud centrada en el paciente, nuestro ”TELE” desafío para Chile… El uso creciente de dispositivos inteligentes para comunicarnos está impactando positivamente en todo el ámbito asistencial, hoy en día muchos profesionales del sector mantienen a sus pacientes contactados por diferentes medios generando con esto mayor integración y seguridad ya sea para seguimiento de tratamientos, apoyo diagnóstico y/o control de evolución de enfermedades. Lo anterior, genera un círculo virtuoso que permite prevenir eventos adversos, los que a partir de diversa sintomatología pueden alertar a los responsables de la salud de algún problema de un paciente o grupo de estos. En nuestro caso, el desarrollo de plataformas donde lo clínico es el centro para mejorar la atención de los pacientes, vemos con optimismo como se están definiendo los elementos esenciales para lograr que la interoperabilidad sea posible, generando beneficios que llegarán directamente a nuestros usuarios del sector, principalmente, mejoramos el acceso a la información en todos los niveles de atención, beneficiando la resolutividad, cuyo objetivo es mejorar sustancialmente la calidad, seguridad y servicios que permiten atender integralmente ya sea a los pacientes como a los equipos asistenciales que interactúan con nuestras herramientas. Centrarnos en el paciente, que proviene del latín patiens, y que significa sufriente, sufrido, es una necesidad imperiosa, ellos nos necesitan, debemos ser capaces de disminuir los tiempos para acceder a los especialistas, es por ello que estamos impulsando fuertemente las soluciones del tipo “Tele” como por ejemplo monitoreo remoto de pacientes críticos con análisis predictivo de eventos adversos, tele seguimiento de pacientes con hipertensión con análisis en tiempo real
y que es capaz de enviar alertas en caso de encontrar alguna variables fuera de rango de normalidad,Tele Oftalmología, para comprobar la evolución de patologías como la diabetes o la hipertensión. Creemos en la Continuidad Asistencial es por ello que estamos apoyándonos en todo tipo de soluciones para asegurar esta. Afortunadamente en Chile la telemedicina ha adquirido un papel importante para resolver en la prestación de servicios en salud, llegando a un importante número de personas que no tienen acceso a atención especializada ya sea por estar en regiones aisladas o porque están en listas de espera de alguna especialidad en lugares donde no hay o el número de especialistas es insuficiente para absorver la demanda de horas requeridas. “Telesalud”, “Telediagnóstico”, “Telecuidado”, “Teleasistencia”, “Teleeducación”, son palabras del presente que pueden asegurar equidad en el acceso a la salud en el futuro cercano, hay que romper las barreras para seguir consolidando este tipo de soluciones las que sin lugar a dudas disminuyen considerablemente las brechas de inequidad en el acceso a la salud. Estamos orgullosos de crear en Chile y para el mundo soluciones de clase mundial, las que desarrollamos desde nuestro Hub Digital de Temuco en conjunto con Oficinas de otros países de la región y de Europa, además, pronto inauguraremos el Centro de Excelencia, Innovación y Emprendimiento para Salud en la Ciudad de Concepción, lo que nos tiene muy expectantes ya que vienen varios proyectos del tipo “Tele”. Creemos en los “Tele”, en este caso además es Teletrabajo.
23
ARTÍCULO
Autor: Karim Nader Ch., MD
Tip’s para el uso seguro de equipos informáticos y biomédicos en telemedicina Se debe tener extremo cuidado al adquirir sistemas biomédicos hoy en día y más cuando de telemedicina se trata, puesto que se emplean canales de comunicación alámbricos e inalámbricos. En la actualidad existen infinidad de marcas y modelos en el mundo de equipos biomédicos para telemedicina. Puede resultar incómodo para algunos fabricantes pero sin excepción se debe partir de una premisa fundamental: todo equipo y software biomédico debe poseer certificación válida de la Oficina para la Administración de los Medicamentos y Alimentos de Estados Unidos (FDA, por su sigla en inglés), sean o no para ser empleados en telemedicina. En el caso de los equipos y software biomédicos, Stephen Levy colaborador de la empresa Qualified Suppliers to the Medical Device Industry -QMED- afirmó al respecto que: “las guías de la FDA deberían incluir dentro de sus estándares de aprobación de equipos médicos, una cláusula que evalúe su seguridad cibernética para la administración de datos”. La recomendación anterior surgió debido en parte a que SANS y NORSE reportaron lo siguiente: “Entre septiembre de 2012 y octubre de 2013, se analizaron cerca de 50.000 eventos maliciosos que afectaron a todo tipo de instituciones hospitalarias, compañías farmacéuticas y aseguradoras en Estados Unidos. Sam Glines, CEO de NORSE, considera estos resultados alarmantes, indicando que la industria médica ha caído sustancialmente en términos de ciberseguridad. “Hay millones de instituciones, aplicaciones, dispositivos y sistemas que se han visto seriamente afectados”, agregó.
24
“Aunque la mayoría de los ataques fueron dirigidos en contra de hospitales, centrales de pago y archivos personales de pacientes, un 3% de estas disrupciones tuvieron la intención de manipular dispositivos de sumo cuidado como las máquinas de anestesia, monitores de signos vitales y herramientas de análisis de laboratorio, lo que puede potencialmente resultar en la pérdida de una vida”, afirma Norse en su reporte. Así las cosas, se debe tener extremo cuidado al momento de adquirir sistemas biomédicos hoy en día y más aún cuando de telemedicina se trata, puesto que estamos empleando canales de comunicación alámbricos e inalámbricos. En lo que respecta a equipos biomédicos para telemedicina, nos referiremos sólo a algunos aplicativos que son de alta relevancia. En el caso de tele-radiología, para la captura de estudios siempre se deben emplear digitalizadores especializados con protocolo DICOM. Para la lectura por parte del radiólogo no se debe caer en el error de adquirir monitores comerciales, basados simplemente en los mega pixeles -MP- que poseen. La creencia común es que cuando tenemos monitores comerciales con más -MP- se ha solucionado la calidad para la lectura. Las normas son claras a nivel mundial: para la lectura de estudios radiológicos se deben emplear monitores especializados sean estos en color o en blanco y negro con
un rango que oscile entre 5 MP y 10 MP. Para el caso de la lectura de mamografías, lo recomendable son los monitores preferiblemente en blanco y negro de 10 MP. Tanto para digitalizadores como para monitores, estos deben tener aprobación de la FDA y de la Comunidad Europea (CE). En instituciones donde se realiza ‘in house’ lectura de ecografías previamente grabadas en un centro de radiología, se deben emplear monitores de 5 a 10 MP. Es en extremo importante que se verifique con el fabricante que los monitores de lectura vengan con su respectivo hardware y software de calibración. Existen múltiples marcas de software para captura y lectura, en todos ellos se debe constatar que cuenten con certificación FDA y CE. Cuando de lectura de electrocardiogramas en telemedicina se trata se deben emplear electrocardiógrafos que tengan salida digital de datos, en caso de quererse realizar la lectura en tiempo real (Lectura sincrónica). Cuando dicha lectura se vaya a llevar a cabo posteriormente (Lectura asincrónica), el computador o la estación de trabajo deben tener instalado el software proporcionado por el fabricante del ECG que permita su conversión en archivos PDF con la demografía del paciente, para una indexación correcta de la información. Respecto a los monitores de lectura, lo idóneo es que sean LED preferiblemente de alta definición (HD, por su sigla en inglés) que tengan un Dot Pitch (distancia entre puntos en una pantalla expresada en milímetros) entre 0.24 y 0.28 con una resolución de 1.024 x 780 píxeles En el caso de tele-dermatología, se deben emplear para los sistemas de telemedicina herramientas que faciliten la lec-
tura de lesiones dermatológicas, bien sea en tiempo real o de forma asincrónica, cumpliendo con las exigencias de la Especialidad. Son pertinentes los softwares especializados de dermatología para la lectura de las lesiones debidamente certificados por la FDA y/o la CE. Las cámaras fotográficas para captura deben tener óptica asférica para evitar aberraciones espurias (tamaño y dimensión) de las lesiones. Lo idóneo es poseer cámaras profesionales para fotografía mínimo de 20 mega pixeles. En lo que se refiere a la iluminación sea esta continua o flash, la temperatura de color entra a jugar un papel importante, hay que trabajar con iluminación que garantice una temperatura de 5.600°K. Es fundamental poseer tele-dermatoscopios con salida serial o digital para la transmisión de imágenes con escala de medición en milímetros, lo cual permite realizar mediciones exactas de las lesiones dermatológicas, siendo esto vital al momento de diagnosticar y determinar ciertas patologías relacionadas con la especialidad. Por último, para una mejor práctica médica no se deben utilizar teléfonos celulares ni tablets para realizar lecturas radiológicas, incluidas ecografías,así como tampoco lecturas dermatológicas. Tampoco se deben utilizar estas herramientas para leer ECG. Hay que recordar que cometer iatrogenias diagnósticas con estas herramientas no tiene ningún tipo de asidero ante un tribunal de ética médica. Las populares tablets se deben utilizar únicamente en el ambiente intrahospitalario, para consultar historias clínicas y/o establecer dictámenes de procedimientos, evolución o bien tratamientos de los pacientes y siempre deben estar ancladas a los servidores de la institución. Las tablets para uso inalámbrico al interior de los hospitales, deben ser suministradas por la institución y sin ningún tipo de excepción deben cumplir con tres condiciones: 1. Operar bajo la red Virtual Private Network -VPN-, SIN ACCESO A INTERNET. 2. Toda tablet anclada a la red VPN debe tener registrada ante la Dirección de Sistemas de la institución la firma digital del profesional de la salud que la va a manejar. 3. Quien la va a operar sólo puede activar la tablet con identificador biométrico (la gran mayoría de las tablets de marca lo poseen) y/o identificador de iris.
25
FACTOR HUMANO
CLÍNICA INTERNACIONAL DE PERÚ
Trabajando por la seguridad del paciente El director de la institución, Maximiliano Ventura, considera que las TIC han sido factor relevante en el camino de liderazgo que mantienen en el país.
26
1959 es el año que marca el inicio de la historia de la Clínica Internacional de Perú que actualmente cuenta con 3 sedes de hospitalización, el Cercado de Lima, Piura y San Borja, una sede ambulatoria y ocho centros médicos que incluyen el centro de diagnóstico por imágenes (CDI) más avanzado del país. En todos ellos la institución atiende ambulatoriamente a una población que supera el millón de personas. La organización ha sido considerada dentro de las 10 mejores clínicas y hospitales de América Latina según un ranking que elabora la revista América Economía, la misma que en 2015 la catalogó como la número 1 de Perú. En consonancia con esto y con la finalidad de ser la red de servicios sanitarios privada referente del país, la organización recorre hace 20 años un camino de modernización que incluye en la inserción de la tecnología en salud. Para ello en la última década ha superado los US$26 millones de inversión tanto en el desarrollo de la tecnología como en la capacitación especializada del cuerpo médico. Al respecto el director de la institución, Maximiliano Ventura, asegura que en un comienzo “la implementación gradual de las TIC a la institución ha estado orientada a dar soporte a las necesidades básicas como comunicación, interconexión entre sedes, sistema de registro y control de información para posteriormente dar soporte a la gestión a través de sistemas transaccionales, control de flujos de pacientes, facturación y contabilidad”. Mientras, cuenta que “actualmente la implementación de TIC se orienta a incrementar el valor y posicionamiento de clínica pro medio de sistemas médicos, integración con equipos médicos, historia clínica electrónica, posiciona-
miento digital, mejora significativa en la experiencia, seguridad y autogestión del paciente, entre otros aspectos”, afirma. En este sentido durante el mes de abril se comenzarán a realizar las primeras pruebas de la implementación de un Sistema de Gestión Clínica (HIS) que el organismo ha venido desarrollando en todas sus sedes en forma simultánea. Además, se avanza en forma paralela en un nuevo Sistema Administrativo (ERP), un doble desafío que el ejecutivo confía en superar satisfactoriamente y que estaría funcionando durante el último trimestre de este año. “La implementación de Historia Clínica Electrónica como parte de un sistema integral de gestión clínica y administrativa implica grandes esfuerzos de transformación que ya han obtenido algunos logros importantes. Actualmente se viene ejecutando un proyecto de implementación de un sistema Clínico -Administrativo - Financiero
27
FACTOR HUMANO
totalmente integrado bajo plataforma SAP, que supone el proyecto de implementación de TIC más ambicioso en el sector privado de salud del país”, subraya el director. Pero como en toda implementación tecnológica en el camino han surgido dificultades. En el caso de la Clínica Internacional la mayor de ellas ha sido la resistencia al cambio, para lo que la institución se ha asesorado por una empresa especialista que ha logrado concientizar a los trabajadores sobre la necesidad de la adopción digital. En este sentido se han debido manejar ítems como el manejo de las expectativas del usuario y el cambio organizacional que los nuevos procesos acarrean. “Existe una resistencia natural durante los procesos de despliegue de nuevas tecnologías, como en cualquier proceso de cambio. Clínica Internacional está profesionalizan-
28
do la gestión del cambio para afrontar esta situación, estamos buscando personal con perfiles orientados a liderazgo, curiosidad y determinación”, asegura. “A distintos niveles muchas personas quieren seguir haciendo su trabajo como han venido realizándolo en el tiempo y cuando una institución cuenta con procesos más estandarizados se deben realizar modificaciones en cuanto al modo que se realicen las cosas. En este proceso hay médicos que tienen que involucrarse en procesos como el registro clínico de recetar un medicamento e identificar a un paciente, por ejemplo. Sin embargo estamos por la seguridad del paciente por lo tanto son cosas que deben implementarse de todas maneras”, reflexiona.
Para paliar situaciones conflictivas y concientizar a los profesionales que oponen mayor resistencia –que no solo son del área médica, sino que se repite en otros ámbitos- la clínica desarrolla focus group en los que entregan feedback que incluyen información de qué áreas o quiénes son las personas con las que se han obtenido avances y cuáles no. Con ello logran una mayor adhesión pues “a ningún profesional le gusta aparecer al final de la lista”, reconoce. Independiente de los problemas el complejo médico cuenta con indicadores que reflejan una mejora en el proceso de implementación, aun cuando el verdadero estado de avance se revelará durante el mes de mayo, cuando se comiencen a realizar las primeras pruebas. En este camino el facultativo considera fundamental al partner que se escoja para concretar la implementación, pues su éxito o fracaso “es una responsabilidad compartida en 50%. El implementador debe asumir el éxito del proyecto como suyo propio, más allá de los cambios y dificultades que se puedan presentar en el transcurso”. Mientras, sostiene que el cliente debe disponer los recursos que sean necesarios para garantizar el correcto desarrollo del proyecto y trabajar profundamente en la gestión del cambio organizacional. En el camino de incluir más tecnología se han implementado otro tipo de modernizaciones. El último cuatrimestre
del año pasado se lanzó una aplicación de salud disponible en aparatos móviles con plataforma Android e IOS, gracias a la que las consultas y tomas de hora se realizan por esa vía, lo que según el director de la institución “otorga a los pacientes una sensación de modernidad e inmediatez y simplicidad puesto que no deben esperar atención telefónica y pueden acceder al servicio a cualquier hora del día”, cuenta Maximiliano Ventura. Gracias a lo anterior en la actualidad 1 de cada 6 consultas que se producen se realizan por esa vía. En todos los avances se reconoce una simplificación en el trabajo del personal clínico y administrativo, que actualmente trabaja con historia clínica manual. “El solo hecho de saber cuántas personas van a venir a la consulta quiere decir que podemos tener las historias programadas disminuyendo el desorden, caos e improvisación”, sostiene el director del establecimiento.
Otras disciplinas tecnológicas Aún cuando la Historia Clínica Electrónica está en vías de ser implementada la Clínica Internacional de Perú también mira hacia otros horizontes, entre los que se encuentra la telemedicina, disciplina que si bien no está implementada en el establecimiento sí manifiesta cierto desarrollo, pues como cuenta Maximiliano Ventura “venimos trabajando en esa línea mediante pilotos de teleconsulta y teleasistencia, así como en proyectos orientados a PHM (Population Health Management) y el uso de IoT median-
29
FACTOR HUMANO
te weareables que nos permitan manejar pacientes crónicos con enfermedades como la diabetes y la hipertensión”, relata. Y también agrega que en la búsqueda de mejorar la experiencia de sus pacientes las distintas sedes de la institución cuentan con Beacons que permiten guiar y orientar a los pacientes por hiperlocalización cuando se encuentren en las instalaciones del establecimiento.
Certificación internacional A pesar de que Perú no cuenta con un proceso de acreditación obligatorio la Clínica Internacional optó por obtener la certificación internacional que entrega la Joint Commision, la organización con mayor experiencia en acreditación sanitaria a nivel mundial y que actualmente asesora a más de 20.000 instituciones de salud. Fue en 2014 cuando se obtuvo por primera vez y cuya recertificación se desarrollará durante este mes de abril. Además, cuando se cuente con la Historia Clínica hacia fin de este
30
2017 la institución optará por el nivel 5 de la escala HIMSS (Health Care Information Management Systems Society), organización cuyo objetivo es promover el mejor uso de la tecnología de información y sistemas de gestión en la industria del cuidado de la salud. “Más allá del tema tecnológico la importancia que representa contar con la certiicación de estos organismos es lo que tiene que ver con la seguridad del paciente, que es lo que mide la Joint Commision y la seguridad en cuanto a la protección de datos personales y trazabilidad que es lo que entrega HIMSS”, subraya Maximiliano Ventura quien agrega que el trabajo se basa en la aspiración de entregar seguridad a sus pacientes. “Queremos que la gente nos elija porque se siente cómoda con nosotros. Estamos seguros que ellos perciben y valoran la mejor calidad y nivel de seguridad que hemos adoptado para lograr nuestro objetivo”, concluye.
OPINIÓN
Cortesía: PEDRO GONZALO hablandoesalud.wordpress.com
Seguridad en el mundo de la eSalud no poner en riesgo ni la seguridad de los pacientes y los procesos asistenciales ni las propias instituciones sanitarias como salvaguarda de los mismos. Los datos de salud son cada vez más valiosos y hay mucha gente interesada en hacerse con ellos. De hecho, 2014 ha sido el año con mayor crecimiento de infracciones de seguridad, especialmente en el mundo de la salud. Sin embargo no debemos pensar que los fallos de seguridad se deben a ataques directos de grupos que quieren hacerse con nuestra información, puesto que la mayor parte de estos problemas se generan de forma fortuita y son fácilmente evitables aplicando el sentido común y algunas medidas de seguridad sencillas.
Principios básicos de la seguridad De forma general se suele definir la seguridad de la información de acuerdo a tres principios básicos: Una de las consecuencias más importantes del desarrollo de la eSalud es la gran acumulación de datos que se recogen a través del ecosistema de aplicaciones involucradas. Historia Clínica Electrónica, receta electrónica, imagen digital, nuevas aplicaciones y dispositivos que surgen de la mano de teléfonos inteligentes y wearables almacenan gran cantidad de información en distintas plataformas y formatos. En este contexto la seguridad de la información es un aspecto fundamental que no debemos olvidar si queremos
Disponibilidad. La información recogida debe estar disponible siempre y en todo momento independientemente del medio a través del cual haya sido recogida. Integridad. La información debe ser completa y estar libre de errores para que sea de utilidad en el momento en que vaya a ser utilizada. Confidencialidad. La información debe estar únicamente accesible a aquellas personas autorizadas a su uso.
31
OPINIÓN
Existen diversas normas y procedimientos técnicos diseñados para garantizar estos principios básicos en la protección de información. Entre ellas destaca la norma ISO 27001, de carácter generalista pero aplicable en entornos sanitarios y basada en la identificación de todos los potenciales problemas de seguridad y que puede servir de guía para implementar adecuadas políticas de seguridad y control de la información de salud. También la legislación vigente, a través de la LOPD (de sobra conocida por todos) y sus reglamentos tiene en cuenta la protección de datos personales relacionados con la salud. Todos ellos así como nuestro propio sentido común deben servir de guía para la elaboración de sistemas y procedimientos que garanticen que los datos de salud, tan sensibles, estén debidamente protegidos.
Compromiso entre confidencialidad y disponibilidad El punto quizás más crítico a la hora de diseñar una estrategia de seguridad sobre la información es el compromiso entre confidencialidad y disponibilidad, ya que son dos conceptos contrapuestos. Cualquier esfuerzo por hacer los datos más accesibles pone en riesgo la seguridad y confidencialidad de los mismos. Si se limita mucho el acceso a la información se corre el riesgo de que estos no puedan ser consultados cuando un profesional lo requiera. Por el contrario, si hacemos la información fácilmente accesible es seguro que alguien en algún momento accede sin un motivo justificado lo que supone claramente una violación de la confianza que el paciente deposita en aquellos que guardan sus datos de salud. No existe una solución sencilla al problema ni un fórmula mágica que permita cumplir todos los requisitos que la naturaleza de la información sanitaria requiere. Solo un buen análisis de la información almacenada y de los flu-
32
jos de utilización, una correcta segmentación (separando la información más sensible y que, por tanto, requiere más control, de aquella más fácilmente consultable) y una correcta implementación permitirá tener éxito a la hora de poner a disposición de los profesionales los datos de sus pacientes.
¿Quién es dueño de los datos de salud? La titularidad, a debate Existe un gran debate sobre quién es el titular de los datos de salud de los pacientes. Hasta no hace mucho tiempo, los datos pertenecían a las instituciones que los generaban y custodiaban o, incluso, a los propios profesionales responsables de ellos. Esta ha sido la visión que históricamente se ha tenido y que aún persiste en gran número de instituciones y profesionales. Sin embargo, con el avance de la sociedad de la información, el desarrollo de aplicaciones móviles y lo que se ha venido denominando “el paciente empoderado“, la idea que deba ser el propio paciente quien asuma el rol de garante de su propia información está adquiriendo mucha fuerza.
A ello está contribuyendo notablemente el desarrollo de las carpetas personales de salud que muchas instituciones, tanto públicas como privadas están poniendo en marcha. A través de ellas los pacientes podemos consultar la información generada durante los procesos asistenciales y controlar quién y cómo se puede acceder a ella. No obstante aún estamos en las primeras etapas del desarrollo de este tipo de sistemas. Queda mucho trabajo por hacer para equilibrar esos conceptos: la privacidad que los pacientes desean en su propia información frente a la conveniencia de que los profesionales puedan acceder a la totalidad de la historia clínica de un paciente para garantizar que la atención que se le presta sea la mejor posible en función de su situación clínica. Y será , por supuesto, necesario velar por la integridad de la información en posesión de los profesionales durante los procesos asistenciales.
La seguridad en el mundo “wearable” En este caso la problemática es doble puesto que en primer lugar debemos considerar la información almacenada por los propios dispositivos y aplicaciones, gestionada por los usuarios y pacientes, y por otro la almacenada en las plataformas de operadores e instituciones sanitarias, de la que ya hemos hablado. En ambos casos, las medidas de seguridad a aplicar deben tener en cuenta la sensibilidad de la información recogida en todos los entornos y el perfil de los usuarios que lo hacen. No se deberá realizar de la misma forma la protección de los datos en nuestros teléfonos que la almacenada en la nube o en los propios centros.
La seguridad es cosa de todos La mejor forma de atacar los problemas en la seguridad de la información es ser conscientes de que la seguridad es cosa de todos. Solo a través de la formación y concien-
ciación de todos los agentes implicados en los procesos de salud obtendremos el éxito que buscamos: Los equipos directivos deben considerar que la seguridad es algo en lo que es necesario invertir y no verlo como un gasto superfluo. Los responsables de IT deben aplicar las medidas necesarias para proteger la información y trabajar de forma proactiva (y no reactiva) en la detección y eliminación de las brechas de seguridad que puedan surgir. Los desarrolladores de aplicaciones deben poner en marchar todas las medidas necesarias en cuanto a seguridad de la información se refiere y facilitar además el trabajo de los responsables de seguridad implementando sistemas de análisis y auditorías eficientes y eficaces. Los usuarios deben ser conscientes de que la seguridad de la información depende, en gran medida, de sus acciones y prestar la debida atención a los procedimientos que se deben aplicar para su salvaguarda. ¿Están nuestros datos de salud debidamente protegidos? ¿ Se dedica suficiente esfuerzo e inversión a proteger esta información tan valiosa?
33
OPINIÓN
Cortesía: Victor Borgoño /Consultor Senior TIC Salud
¿Se asegura la Integración de Sistemas Solamente con un BUS de Servicios? Implementando Interoperabilidad Sintáctica u Operacional La Interoperabilidad Sintáctica u Operacional es suficiente y se da cuando el objetivo es conectar un conocido sistema informático con otro como es el caso de conectar un sistema de ficha clínica electrónica a sus sistemas de apoyo existentes en un hospital. Para implementar estas integraciones basta contar con un buen BUS de servicios que incluya funcionalidades puramente técnicas como: • Conectores y Adaptadores de tecnología (HTTP, FTP, Web Services, REST, ODBC, JDBC, etc.) • Soporte a los estándares del sector salud (HL7 v2, DICOM, ASTM, FHIR) • Soporte a los perfiles IHE más comunes según las integraciones que se deseen implementar • Sistema de gestión de colas de mensajes que garantice la entrega de los datos Integración de sistemas, o interoperabilidad en salud significa poder intercambiar información entre uno o más sistemas de forma que la información sea bien entendida y utilizada como corresponde en el sistema que la recibe. Y ya nos han explicado hasta agotarnos que hay distintos niveles de interoperabilidad y, aun así, en la salud pública chilena persiste la idea de que la solución para cualquier proyecto de interoperabilidad es la compra de un BUS de servicios. Un BUS es ciertamente fundamental para implementar cualquier proyecto de interoperabilidad, pero no es suficiente para la implementación de proyectos de interoperabilidad semántica -como una Historia Clínica Compartida- en forma segura.
34
Ficha Clínica
Farmacia
ERP
Laboratorio
Radiología
BUS Conectores y Estándares
Colas de Mensajes
Procesos y Reglas de Ruteo
Transformación y Homologación
Seguridad y Auditoría
Alta Disponibilidad
ISP
FONASA
MINSAL
• Sistema de alertas y workflow • Soporte al diseño de procesos de integración (BPEL), reglas de ruteo de mensajes, etc. • Soporte a la transformación y homologación de datos dentro de los procesos y reglas de ruteo de mensajes • Auditoría de Eventos y Mensajes • Seguridad (encriptación de los datos en disco y en tránsito, control de acceso, auditoría de cambios en la plataforma, etc.) • Alta Disponibilidad Sabemos perfectamente cómo cada sistema informático utilizará la información. Todo lo que necesitamos es un BUS para conectarlos de forma que la integración pueda ser construida de forma rápida, robusta, segura y que, durante su operación, tengamos las herramientas necesarias para administrarlas. Cualquier hospital moderno debiese tener su BUS de integración con estas características mínimas para integrar todos sus sistemas conocidos.
Implementando Interoperabilidad Semántica Global La interoperabilidad semántica global se da cuando entregamos la información sin necesariamente saber cómo
GRD
Etc.
esta será utilizada en el futuro. El mejor ejemplo es el de la Historia Clínica Compartida (HCC), que entrega una vista completa del paciente, con datos agregados de muchas fuentes distintas. Hay muchos procesos que pueden beneficiarse de la existencia de una HCC. El profesional de salud que reciba a un paciente que fue derivado desde otro establecimiento de salud podrá visualizar la HCC de este paciente que podrá traer historia clínica no sólo de su sistema de ficha clínica en uso en este lugar , sino que además historia clínica agregada desde varios otros centros y redes asistenciales donde el paciente se haya atendido. Cuando estas instituciones entregaron datos del paciente en el pasado, no tenían idea de cuándo y cómo esta información sería ocupada. De la misma manera, cuando el paciente retorna a su establecimiento o red asistencial de origen su médico podrá revisar, a través de la misma HCC, toda la información relativa a la atención entregada a su paciente en el otro establecimiento. Pues bien, para implementar un proyecto de esta naturaleza, no basta con un BUS de Servicios. De inicio, cómo no sabemos cómo y cuándo la información clínica o administrativa se va a utilizar, la solución tecnológica debe hacerse cargo de guardar la información en repositorios. Por ejemplo, cuando un paciente es dado de alta en urgencia,
35
OPINIÓN
Repositorios CDA (IHE XDS.b)
MPI (IHE PIX/PDQ)
Reglas de Acceso y Filtrado
Homologación de Terminologías
Auditoría (IHE ATNA)
Visor Clínico
(IHE BPPC)
BUS
Ficha Clínica 1
Ficha Clínica 2
Ficha Clínica 3
queremos poder recibir un documento clínico en formato CDA (Clinical Document Architecture, un lenguaje basado en XML para la especificación de documentos clínicos) equivalente al DAU (Documento de Alta de Urgencia), ojalá conteniendo todos los procedimientos realizados al paciente. Cuando el documento es guardado en el repositorio de documentos que corresponda a este establecimiento, el índice maestro de pacientes (MPI – Master Patient Index) debe ser actualizado con la información del paciente. El MPI además se encargará de enlazar este registro de paciente, de este establecimiento, con otros registros de paciente de la misma persona, de otros establecimientos conformando así la Historia Clínica Compartida de esta persona. Cuando el médico decide acceder a la HCC de la persona, algo debe recopilar todos los documentos clínicos de esta persona, agregarlos en un único documento clínico de forma segura y desplegarlo
36
Ficha Clínica N
de forma que el médico pueda ver la HCC de forma amigable y clara. Dependiendo de las reglas de consentimiento y privacidad configuradas, será la información que se desplegará al médico. Finalmente, lo que fue visualizado debe quedar auditado en un repositorio de auditoría seguro. Es decir: En el repositorio de auditoría se guarda una copia del documento que se entregó al médico en este momento, como respaldo para sus decisiones clínicas. Está claro que, el BUS es fundamental pero otros componentes de software son necesarios para implementar la interoperabilidad semántica global: • Los repositorios de documentos CDA • Índice Maestro de Pacientes • Motor de Reglas de Acceso y Filtrado (consentimiento y privacidad)
• Motor de homologación de terminologías • Repositorio de Auditoría ATNA • Visor Clínico Esta misma arquitectura soporta otros casos de uso más allá de la Historia Clínica Compartida que se entrega a médico. Podríamos, sobre la misma información almacenada en los repositorios de documentos clínicos: • Permitir que los pacientes ingresen a un portal para acceder a su historia clínica. • Consolidar la información en data warehouses anonimizados o no, para: -- Apoyar a la investigación clínica -- Entregar estadísticas de producción -- Monitorear pacientes crónicos -- Monitorear listas de espera -- Monitorear programas de vacunación -- Implementar programas de prevención -- Enviar Notificaciones de Eventos Clínicos y Administrativos como: °° Recordatorios de citaciones para pacientes °° Automatizar la notificación de Enfermedades de Notificación Obligatoria Además, la Historia Clínica Compartida puede apoyar los procesos de: • Referencia y Contra-Referencia Clínica • Investigación de casos de Reacción Adversa a Medicamentos del ISP que necesitan conocer la historia clínica del paciente • Iniciativas de Telemedicina • Evaluación de Licencias Médicas Electrónica con información completa del paciente • Apoyo a “Salud Responde” en el momento de atender a pacientes IHE (Integrate the Healthcare Enterprise – http://www. ihe.net), en su Framework de TI (IHE IT Infrastructure), ya ha estandarizado y definidos los componentes de una solución completa de Interoperabilidad Semántica Global que incluye las piezas de software mencionadas (MPI, Repositorios XDS.b, Repositorios ATNA, Visor Clínico, etc.). Varios proveedores son capaces de proveer es-
tas soluciones y es importante validar que estén probando constantemente sus soluciones en connect-a-thons IHE (https://connectathon-results.ihe.net). Los principales perfiles IHE, además a verificar son: • XDS.b – Cross-Enterprise Clinical Documents Sharing • XCA – Cross Community Access • PIX – Patient Identifier Cross-Referencing • PDQ – Patient Demographics Query • ATNA – Audit Trail and Node Authentication • BPPC – Basic Patient Privacy Consent Hay que sumar a esto el soporte a HL7v2 y CDA.
En resumen Hay muchos proveedores provenientes de otras industrias -como la banca o el retail- que trabajan con interoperabilidad hace muchos años en estas industrias, pero desconocen los estándares del sector salud y no tienen idea que el término “interoperabilidad” está sobrecargado. Si no se aclara bien el alcance del proyecto estos proveedores, por desconocer a nuestros procesos e idiosincrasias, simplificarán su oferta dejando una tremenda carga de desarrollo y configuración de software para sus clientes. Es importante entender que el BUS es fundamental y suficiente para un proyecto de interoperabilidad sintáctica u operacional (punto a punto). Pero el BUS no es suficiente para implementar un proyecto de interoperabilidad semántica global completo. Para reducir los riesgos y garantizar el éxito, se debe considerar seguir las recomendaciones de IHE y los softwares adicionales que esto conlleva (Repositorios XDS.b, Repositorio ATNA, MPI, Visor Clínico, etc.). Finalmente, independiente del tipo de proyecto de interoperabilidad, las herramientas que se elijan deben cuidar bien del tema de la seguridad en términos de Control de acceso, Auditoría del acceso clínico y administrativo con respaldo clínico, Encriptación de los datos en disco y en tránsito; y alta disponibilidad.
37
ENTREVISTA
Mario Ruiz
RACSEL: Cooperación Regional para el desarrollo de la salud electrónica El representante de la Red Americana de Cooperación en Salud Electrónica se refirió a los avances en la materia en América Latina. La digitalización de la información sanitaria es una necesidad global en la que gran parte de los países alrededor del mundo han puesto su foco en los últimos años. En este marco, en octubre de 2014, se creó la Red Americana de Cooperación en Salud Electrónica (RACSEL), que –compuesta por Colombia, Chile, Uruguay, Costa Rica y Perú- tiene como finalidad el establecimiento de una red inter países para compartir la experiencia de aquellas naciones que están más avanzadas en la implementación de la Historia Clínica Electrónica (HCE) de tal modo que permita pavimentar el camino de aquellos que recién comienzan a abrirse paso en la materia. “La iniciativa presentada al Banco Interamericano de Desarrollo (BID) busca generar un intercambio de conocimiento tecnológico, de gobernanza, buenas prácticas en temas específicos como terminología, arquitectura, estándares y normativa relativos a la informatización de datos clínicos”, dice el médico de la Universidad de Ciencias Médicas de Costa Rica, Mario Ruiz, quien también es uno de los representantes de su país en la red. El proyecto, financiado con US$700 mil por el BID y en US$300 mil por los países miembros de la red y con una duración de 30 meses, responde a la necesidad de co-
38
municar los sistemas de salud que hasta ahora están fraccionados y sin “conversar” entre los niveles sanitarios primarios y secundarios. “Los hospitales son como islas que no se comunican, hay duplicidad de funciones que genera un incremento en los costos. A ello se suma el envejecimiento de la población y el consecuente incremento en la carga de los sistemas de salud producidos por el mayor número de enfermedades crónicas”, asegura el experto.
En términos concretos la red ha trabajado en la definición de estándares y protocolos que permitan unificar la terminología con la que los distintos países denominan a un mismo medicamento. A cargo de la experta en informática médica y asesora del Departamento de Gestión Sectorial TIC del Ministerio de Salud en Chile, Alejandra Lozano, esta iniciativa estará terminada a mediados de 2017, cuando serán presentados en una reunión ministerial que se realizará en Colombia.
Esta es una realidad que se repite en distintos territorios y es en este sentido que como una forma de reducir los costos, iniciativas como RACSEL son un aporte para aquellos países que están iniciando su historia de digitalización en salud.
Otra de las actividades impulsadas por RACSE,L radica en la realización de talleres en distintos países y en un intercambio de técnicos con la finalidad de que cada uno conozca en primera persona las experiencias y avances que otros países realizan en la materia.
Como es sabido, a pesar de que los sistemas de salud son distintos todos han iniciado un proceso de generación de sistemas de información que integre a las diversas estructuras sanitarias que optimizará la eficiencia de la seguridad social. En este sentido, “hay experiencias aprendidas porque cada país que conforma la red tiene fortalezas en distintos ámbitos que al ser traspasadas produce una sinergia que ha demuestra que mucho de lo experimentado funciona para todos en la red”, subraya el costarricense.
En tanto, la agrupación aspira a lograr una colaboración en cuanto al intercambio de datos médicos para atención de turistas a algún país de la agrupación con miras a incrementar el nivel de atención de los pacientes del continente en su totalidad. Sin embargo, Mario Ruiz dice que tras haberlo discutido “llegamos a la conclusión de que tal vez en estos momentos no tengamos una respuesta clara de cómo vamos a manejar eso. Probablemente se solucione con algún aspecto biométrico de identificación personal”, reflexiona.
39
ENTREVISTA
Por ejemplo, en Costa Rica usamos un sistema de identificación única, entonces el mismo número de cédula que te dan al nacer es el que se usa para la seguridad social y pasaporte. El problema de la migración es que hay personas que se vienen a trabajar al país y como no tenemos ingresadas no están en el sistema pero que se deben atender de todas formas. Hemos visto que algunas veces esa persona fue a dos centros sanitarios y se registró con nombres distintos. Ahí es donde se plantea la biometría o la identificación por huella digital, por iris o pupila. Es una decisión que tiene que tomar cada país en forma interna pero va a llegar un momento en que la tecnología nos va a resolver ese problema y aunque ahora no es totalmente accesible de aquí a unos 5 años eso va a estar resuelto”, sentencia.
HCE en Costa Rica El país de 5,5 millones de habitantes lleva la delantera en cuanto al desarrollo en Centroamérica. Con una extensión de 51.100 km2 cuenta con un sistema sanitario único universal que cubre el 98% del sistema de salud. El proyecto “Expediente Digital Único en salud” (ENS) es liderado por la Presidencia Ejecutiva y conformado por un comité gestor que incluye a tomadores de decisiones de todas las áreas sociales. Iniciado en 2012 contempla 104 centros de atención primaria que abarcan todo el país con una cobertura de entre 5 mil y 7 mil personas cada uno. En este nivel de atención en diciembre pasado se completó la totalidad de los equipos básicos de atención con Historia Clínica Electrónica. En paralelo, durante 2015 se inició el proceso de implementación de los 29 hospitales del territorio que, divididos por módulos y distintas fases según complejidad. “En la fase 1 consiste en el ingreso y egreso de los pacientes, incluye un módulo quirúrgico que genera toda la lista de espera, que hemos llamado “gestión quirúrgica”. A través de una aplicación a través de la que los pacientes pueden ver cuál es su posición en esa gestión quirúrgica y
40
también pueden acceder a cierta información de su expediente”, cuenta el profesional de la Universidad de Ciencias Médicas de Costa Rica, Mario Ruiz. El mismo módulo incluye también el sistema de emergencia que ya existe en 16 de los 19 hospitales y que será parte de la totalidad de los recintos a mediados de este año. Luego sigue el módulo 2, que abarca laboratorios y farmacia, y el 3 que es la visita hospitalaria como tal donde el médico y el personal en salud, registran información. Según el médico en el proceso de implementación la gobernanza ha sido fundamental. “Creamos un comité estratégico conformado por autoridades de alto nivel en el que se incluye a la Presidenta Ejecutiva además de gerentes de áreas médicas, de infraestructura, financiera, logística quienes toman decisiones acerca del proyecto”, relata. “En términos generales hemos formado una mancomunión entre industria, academia y gobierno que ha sido muy enriquecedora y provechosa para el avance del proyecto. En términos de la seguridad del sistema el ejecutivo asegura que “todo sistema de información es hackeable y nosotros somos conscientes de eso”. Por ello, el país implementó diversos sistemas de seguridad y distintos niveles de información. “Sabemos que la información del sistema de salud es sensible, un aspecto en el que hay responsabilidad por parte del usuario y también del prestador”, recalca. En este sentido Costa Rica posee un departamento de seguridad encargado de mantener los estándares internacionales: se utiliza firma electrónica y genera trazabilidad en cada una de las actividades que realiza el personal de salud. “Este punto es fundamental puesto que suponiendo que todo sistema podría ser vulnerable, lo importante es que sea rastreable también para poder identificar donde fue esa debilidad y mejorar ese aspecto. Esta trazabilidad es 100% rastreable”, dice.
PUNTO DE VISTA
SANDRA GATICA, GERENTA GENERAL DE RAYEN SALUD:
“Incrementaré la inversión de recursos y el trabajo colaborativo, para fortalecer nuestro quehacer y aportar al desarrollo de la Estrategia Digital en Salud” La nueva líder de la empresa que ha impulsado hace 14 años la incorporación de Tecnología de la Información en la Salud Pública del país, se muestra decidida a hacer de la Interoperabilidad y la Historia Clínica Compartida una realidad. Sandra Gatica es Ingeniera Civil Industrial y ha dedicado gran parte de su vida a la incorporación y adopción de Servicios TI en el sector salud. Después de trabajar en diferentes ámbitos de la gestión de la organización, recientemente asumió el desafío de liderar la empresa Rayen Salud, que hoy cuenta con más de 180 profesionales, 14 años de experiencia y que presta servicios a más de 700 Establecimientos de Salud a lo largo del país.
¿Cómo describiría la nueva etapa que enfrenta Rayen Salud y que su nueva administración deberá enfrentar? Mi gestión en Rayen Salud viene a potenciar el crecimiento y desarrollo de la empresa, a la que ahora se incorporaron nuevos capitales. Con renovado énfasis, profundizaremos la adopción de estándares internacionales de desarrollo, seguridad de la información e interoperabilidad de los Sistemas de Información; seguiremos promoviendo el trabajo colaborativo entre todos los actores interesados en el éxito de la Estrategia Digital en Salud (Públicos, Privados y de la Academia), muy especialmente a los usuarios de los servicios que prestamos; impulsaremos la co-creación de nuevas herramientas, soluciones y servicios tecnológicos, con foco en los ámbitos de la gestión sanitaria; e impulsaremos la incorporación de más mujeres en la tecnología. Nuestra empresa siempre se ha caracterizado por su fuerte orientación al Sentido del Servicio y la Excelencia Operacional, por tanto, he promovido que toda nuestra estructura
41
PUNTO DE VISTA
y sus procesos den cuenta de ello. Por ejemplo, hemos profundizado la comunicación con nuestros usuarios y referentes de salud; hemos incorporado metodologías ágiles, como SCRUM, y otras que involucran aún más a los usuarios en la calidad de nuestros desarrollos, como UX Design; haciéndolos parte desde etapas tempranas, para que los sistemas resulten lo más intuitivos posibles, disminuyendo considerablemente la resistencia al cambio para la adopción TI. Claramente, esto ha significado una fuerte inversión en recursos, tecnología y conocimientos de última generación, incluyendo e implementando estándares de interoperabilidad, con los que este año esperamos avanzar en la aprobación de más perfiles de IHE, tal como lo hicimos el año pasado en la Conectathon de Bochum, Alemania.
¿Cómo se relaciona esto con la nueva etapa de las políticas de TI en Salud chilenas? y ¿Cómo definiría este cambio? Estamos en constante búsqueda de los avances tecnológicos alrededor del mundo para poner la tecnología al servicio de la atención de cada una de las personas; sin distinción. Esto está en sintonía con la Estrategia Digital en Salud y la Agenda Digital del país; que hoy y tal como lo han expresado las autoridades, tienen a Chile como referente latinoamericano en esta materia, al lograr implementar Registro Clínico Electrónico en el 80% de los Establecimientos de Atención Primaria de Salud y el 50% del nivel Hospitalario. La columna vertebral de la Estrategia Digital se había sustentado en el CM SIDRA hasta el 2016, por lo tanto, la revocación hace cinco meses de la licitación del llamado “SIDRA 2” abrió un espacio de incertidumbre, que -en parte- se ha ido clarificando últimamente con nuevas formas de participación y retos, los que enfrentamos con la convicción de lo que sabemos y podemos aportar. Hay temas que se han puesto en la mesa como prioritarios, por ejemplo, la Integración entre las distintas aplicaciones informáticas con los que trabajan los Establecimientos de Salud, desde los Desarrollos Locales -que existen en algunos hospitales hace más de 15 años- hasta los servicios que otorgamos los proveedores privados de TI. Esto va muy en sintonía con lo que como Rayen Salud hemos estado realizando desde hace más de 10 años, logrando una Historia Clínica Compartida entre nuestros sistemas e integrándonos
con sistemas legados y/o de terceros, que así lo han querido. Esto, sin lugar a duda, debería implicar la promoción y adopción de estándares nacionales e internacionales, que permitan la Interoperabilidad de los sistemas y el trabajo colaborativo, normado por la autoridad.
¿Cómo cree que afectará este cambio a los usuarios de TI, el público y las empresas? De acuerdo a lo expresado por la autoridad sanitaria, no hay un cambio sustancial, sino de formas de adquisición de los Servicios TI necesarios. Más aún durante este último mes, que se publicaron los Términos de Referencia Técnicos, permitiendo mayor claridad para todos los involucrados. No obstante y lamentablemente, el presupuesto disponible no acompaña un despliegue y ampliación de cobertura suficiente para atender las brechas destacadas. Sobre lo sustantivo que aportan las tecnologías a la gestión en salud y los resultados hoy constatados en el país, no hay dudas. En concreto, la tecnología está disponible y el esfuerzo mayor se debería colocar en la gestión, soporte, mantenimiento y continuidad operacional de estos Servicios. Respecto a las empresas de Servicios TI para la Salud, ya está instalada la idea de que compartir información es la “forma correcta” de prestar un mejor servicio para los usuarios, por lo que no sería nada nuevo el trabajar juntos por este propósito, en beneficio de las personas. Esto -sumado a la inversión continua en nuevas tecnologías para los frameworks y metodologías, la adopción de estándares y normativas, y la innovación en nuevos productos, que generen valor agregado a los Servicios TI- permitirán una sinergia en pro de las Redes Asistenciales.
¿Cómo ve el futuro de las TI en la Salud Pública chilena y cómo se compara con la realidad de otros países de la región? En todo el mundo y ámbitos, no hay dudas del aporte que las TI entregan a cualquier Institución que tiene como objetivo mejorar la eficiencia en su gestión. Nuestro país ha dado pasos importantes y obtenido sustantivos logros, por tanto este es un proceso que avanza y tiende a sintonizarse a la velocidad del cambio tecnológico. No se trata solamente del desarrollo de TI, sino de su permanente actualización y de la configuración de una amplia gama de servicios que conforman
bilidad. Por nuestra parte, contamos con un potente Bus de Integración, que ya ha hecho realidad más de 600 proyectos en esta materia y que, por ejemplo, ya permite conversar a nuestra Ficha Clínica Electrónica con las soluciones de Laboratorio en más de 120 Establecimientos, beneficiando a más de dos millones de personas También hemos disponibilizado un Portal de Pacientes, que se puede alimentar de cualquier Ficha Clínica Electrónica en la Atención Primaria, con especial foco en la Promoción y Prevención, aportando a la relación entre las personas y sus Centros de Salud; y colaborando con el empoderamiento del paciente. el sustento de la continuidad operacional, considerando la gestión de proyectos complejos, como es la incorporación de TI en salud, donde sólo es posible con la participación de todos los actores, en coordinación y colaboración. Vemos que todos los países de la Región, desde sus propias definiciones y/o políticas al respecto, avanzan en la incorporación del Registro Clínico Electrónico, la Interoperabilidad, la Contactabilidad con las personas y, en general, con la gestión administrativa-financiera, en un marco ceñido a los estándares internacionales y normas propias de cada país. Desde fuera, nos ven con mucho interés y, en varias materias de la incorporación TI, nos observan como referentes, dado los logros de la Estrategia Digital en Salud.
¿A dónde nos aproximamos? ¿Registro Único o Registro Unificado? Sobre la base de los resultados obtenidos y que hoy se pueden constatar, creo profundamente en que el trabajo colaborativo y de co-creación tiene mucho mejor resultado, por lo que debiéramos aproximarnos prontamente a un Registro Unificado, o lo que nosotros hemos acuñado como Historia Clínica Compartida e Integrada. Cada solución que se utiliza en Salud tiene su potencial y valor agregado, el mundo y las personas están en la búsqueda de la especialización y especificación de cada ámbito, por lo que fortalecer la “conversación” entre ellos será el primer paso para asegurar una mejora concreta a la atención y en directo beneficio de los pacientes. El trabajo colaborativo es la dirección correcta. En la misma línea, debemos poner especial énfasis en seguir profundizando las iniciativas en materia de Interopera-
¿Cómo será este año para las TIC en salud? Será un año marcado por importantes desafíos. Sin mucha información, vemos que la autoridad sanitaria está en proceso de implementación de una plataforma convergente, que en otros temas debiera operar como un repositorio de datos. Estos últimos se producen o registran en ocasión de la prestación o atención de salud y, por ende, en el lugar que ocurra se debieran fortalecer los estándares de seguridad, normativas y otros, que permitan la interoperabilidad y disponibilidad de la información. Asimismo, debieran tener un importante desarrollo el Análisis e Inteligencia de Negocios en Salud, desde la autoridad central hasta los gestores locales, donde ya es una realidad el hecho que pueden tomar decisiones con datos en línea. Es un año donde la colaboración entre las empresas de la industria, la academia y las autoridades debiera ser impulsada por todos los frentes, buscando un diálogo para que cada uno dentro de su experticia sea un aporte a los objetivos comunes. Hay importantes avances en innovación, no solo tecnológica sino de metodologías, que como industria debiéramos estar impulsando; la Academia tiene ámbitos de investigación de mucho valor, dada la especificidad que le proveen los marcos teóricos, donde pueden llegar a una profundidad que muchas veces la industria no puede lograr; y las autoridades, con sus distintos mecanismos, pueden ser los garantes, generando normas y regulaciones acordes a las nuevas tecnologías para la industria, potenciando las mesas de diálogo, tal como se están generando en el ámbito de los estándares de interoperabilidad.
43
ENTREVISTA
¿Cómo afectará a su salud la nueva Revolución Digital? Alfredo Barriga, columnista de Informática Médica es economista y MBA; fue Secretario Ejecutivo de Desarrollo Digital en el Gobierno de Sebastián Piñera. En septiembre publicó en la plataforma Amazon.com su primer libro titulado “Futuro Presente: como la nueva revolución digital afectará mi vida”.
bir los resultados de exámenes, entregar información del hospital o la clínica es digitalizar la salud. En términos generales se trata de hacer lo mismo, pero con tecnologías digitales. Incorporar inteligencia artificial a los casos médicos de forma que sean capaces de hacer diagnósticos más precisos que un médico, utilizar robots avanzados para operaciones de cirugía, usar la secuenciación de ADN para determinar las enfermedades hacia las que una persona tiene más probabilidades de contraer, utilizar sistemas móviles para toma de presión o insulina va más en la dirección de la digitización de la salud.
El libro cuenta con un Prefacio del mismo Presidente Piñera y de un prólogo del economista Sebastián Edwards. “Creo que es la primera vez que escriben tres economistas a la vez sobre este tema en el mundo”, señala el autor. ¿Por qué habla de una “nueva” revolución digital? ¿No estamos ya en medio de una? Debemos distinguir entre dos términos: “digitalizar” y “digitizar”. Poner la Agenda Digital en el sitio Web, su-
44
¿Qué sería entonces una verdadera digitización de la salud? Porque en los anteriores casos dice que “van en la dirección”. ¿Qué falta? Un cambio en el modelo de atención de salud. Gracias a las tecnologías digitales emergentes, como internet móvil, inteligencia artificial, Internet de las Cosas (IoT), Cloud Computing o Big Data, se puede reinventar la forma en que se realizan prestaciones de salud, en la cual el paciente y la medicina preventiva tienen un rol más activo, y la medicina tradicional es un “segundo recurso” cuando el primero falla. Por ejemplo, si se pudiera masificar realmente el Registro Clínico Electrónico (RCE) y recogiera datos sobre síntomas, resultados de exámenes, diagnósticos, tratamientos y resultados, y eso se pudiera recolectar a nivel mundial, se generaría una capa de conocimiento de sa-
lud que permitiría determinar las variables más importantes para las patologías que más impactan y más cuestan a los sistemas de salud. Asimismo se podrían desarrollar protocolos de salud menos costosos y más eficaces, porque se estaría atacando el origen de las enfermedades más que las enfermedades en sí.. La mejor política de salud es entregar a la población todas las herramientas posibles para que tenga buena salud. La nueva revolución digital permitirá eso. En su libro habla del informe de Mc Kinsey sobre el impacto de las nuevas tecnologías en el mundo. ¿Cómo afectarán la salud? Según Mc Kinsey, para el año 2025 doce tecnologías disruptivas tendrán un impacto económico de entre una y dos veces el actual PGB de Estados Unidos. Eso es como decir que en nueve años más van a surgir uno o dos Es-
tados Unidos más en el mundo. ¡En solo nueve años! Es imposible que ningún sector de la actividad humana no se vea afectado. El mismo informe señala que uno de los sectores que se verá más afectado será precisamente la salud. Si tuviera que resumirlo en una frase, sería “salud conectada, universal, personalizada, de calidad y más económica”, aunque en esto último habría que hacer la salvedad que será más económica para igualdad de prestaciones que hoy existen, porque en la medida que gracias a los avances de la medicina podamos vivir más, esos años extras serán siempre a un gran costo, que solo algunos podrán pagar. Los efectos más perdurables y grandes por su costo serán en países del tercer mundo, que hoy tienen una salud muy precaria. Entre Internet móvil e IoT, por ejemplo, se podrá gestionar la epidemiología a una fracción del costo actual y con mucha más efectividad mediante el
45
ENTREVISTA
control remoto y personalizado de epidemias a través de smartphones. En los países más pobres entregar gratis un smartphone por familia con conexión 4G será la mejor inversión en salud que se podrá hacer, que además queda disponible para la otra gran revolución: la educación. Aparatos como los drones permitirán salvar muchas vidas y costosos traslados. La impresión 3D ya se está usando en prótesis de diverso tipo, a una fracción del costo que tenían hace nada de tiempo. La secuenciación del genoma humano permitirá hacer medicamentos a la medida de cada paciente con un enorme incremento en la tasa de éxito en medicación y tratamiento. En estos elementos aparecen las cinco características de la nueva salud: conectada (smartphones), universal (cobertura 100%), personalizada (genoma humano), de mayor calidad (por menor fatalidad) y más económica (solo los ahorros de costos de salud en epidemias ya generarían un gran impacto). Pero ¿dónde está el cambio en el modelo de negocios? Los actuales roles en torno a la salud cambiarán la naturaleza de su aporte. Los médicos “de cabecera” volverán a tener un gran papel, solo que ahora están empoderados con herramientas que ni soñaron cincuenta años atrás. En cambio, especialidades como el diagnóstico serán sistemas inteligentes. Por mucho “ojo médico” que se tenga, no se compara con el nivel de profundidad que se puede generar incorporando inteligencia artificial a cientos de millones de datos de salud. El mayor protagonismo del paciente también será un cambio en el modelo de negocios. Ya ahora tenemos pacientes mucho más informados, que se meten en Google y averiguan todo lo que pueden sobre su enfermedad o sus síntomas, y que se comunican con sus pares a través de redes sociales para datos útiles en el tratamiento de sus enfermedades. En la medida en que comiencen a recibir información pasada por inteligencia artificial respecto de su salud, incluyendo secuenciación genómica a un costo ridículo, se van a involucrar más y serán más protagonistas de su salud. Creo que la salud pública debería cambiar radicalmen-
46
te su modelo de negocios. Con todos estos avances, se podría plantear un capitado que pagaría por tener al paciente sano, castigando ese importe cuando se enferme. A fin de cuentas, la salud transcurre sobre dos carriles: procedimientos e información. A mejor información, mejores procedimientos. Mejorando ambos se obtiene mejor salud. La novedad está en que con estos avances el costo de uno de esos carriles – la información – se reduce drásticamente, a la vez que también se agiliza y personaliza . El resultado es una mejor salud, más personalizada y más económica. ¿Qué tan adelantados estamos en Chile respecto de estos nuevos paradigmas? Estamos relativamente bien respecto de “gadgets” tecnológicos, pero seguimos haciendo medicina según el modelo del siglo 20. En materia de avances en el modelo de salud no se visualizan mayores cambios. El problema con eso es que los gadgets son caros a menos que se cambie el modelo de atención de salud. Es como si se utilizara un SAP sólo para llevar la contabilidad de una clínica, lo que resultaría carísimo puesto que además no se estaría obteniendo rentabilidad adicional respecto de otras herramientas de contabilidad más económicas. Veo por ejemplo lo que se está haciendo en materia de HIS. Proyectos carísimos, pero con el mismo modelo de salud que existe. La salud en Chile se está digitalizando, pero aún está lejos de digitizarse. Por último: ¿Qué recepción ha recibido su libro? La mayor satisfacción que he tenido por quienes lo han leído y me lo han comentado ha sido que espontáneamente el comentario ha sido el mismo “¡Que entretenido tu libro!”. No han dicho “que técnico” o “que profundo” … sino “que entretenido”. Y eso es lo que buscaba. Que sea entretenido entender la nueva revolución digital. Estoy dando charlas en empresas y en instituciones, donde explico esto mismo pero adaptado a la realidad de cada cual, y les doy un libro. Han tenido una gran acogida. Espero dedicarme a eso. Realmente lo pasamos todos muy bien hablando de la nueva revolución digital. Y siempre dejo unas ganas enormes de hacer algo al respecto.
GESTIÓN Y TECNOLOGÍA CLÍNICA
Suscríbete a Informática Médica y recibe en tu
oficina u hogar la mejor información de tecnología y salud.
Compra la colección completa digital: CLP$ 25.000 + IVA
Descarga cada ejemplar en formato digital: CLP $ 3.000 + IVA (c/u)
Suscripción digital (5 ediciones PDF): CLP $ 10.000 +IVA
Suscripción en papel (5 ediciones papel):
CLP $ 35.000 +IVA (incluye despacho sólo en Chile)
ventas@informaticamedica.cl
Tel: +56 9 92893226
www.informaticamedica.cl
47
ARTÍCULO
Fuente: hablandoesalud
Big Data y Dark Data La aplicación del big data es una realidad en muchas áreas de negocio y diferentes estudios como el de McKinsey Global Institue indican que el uso del big data puede producir un ahorro de más de 200.000 millones de euros en el sector público europeo. Con la llegada de la era de Internet la cantidad de datos generados y por lo tanto disponibles es inimaginable. Este escenario no es diferente en el sector salud. Cada día se generan millones de datos en los sistemas de gestión sanitaria y si a esto añadimos los generados por los dispositivos móviles (donde cada día existen más aplicaciones de salud), la magnitud de la información disponible es inimaginable.
Información no estructurada
Este gran volumen de información es clave para asegurar la atención médica de calidad a los pacientes y mejorar la capacidad de los proveedores tecnológicos sanitarios de ayudar en la mejora de la asistencia sanitaria. Sin embargo tenemos que tener en cuenta que esta gran cantidad de información implica que encontrar información relevante resulta una tarea tediosa y complicada. Para obtener esta información se convierte en imprescindible el uso de técnicas de inteligencia artificial y nuevos algoritmos que surgen constantemente. La cuestión ahora es ¿cómo transformar esta gran cantidad de datos en información útil que pueda ser utilizada para mejorar la atención de los pacientes? Para esto también tenemos que tener en cuenta que tenemos que hacer frente a una serie de obstáculos. El potencial del análisis de estos datos es inimaginable, pero vamos a revisar algunos de los obstáculos que nos encontramos.
Al problema de la información no estructurada se une que el origen de la información se produce desde multitud de fuentes lo que implica que poner orden en la misma tiene su complejidad. Se estima que el 80% de los datos son no estructurados y que está en continuo crecimiento por los orígenes de los mismos. La solución a esto es la utilización de nuevas tecnologías cuya aplicación no es sencilla, lo que está provocando que su implantación en el sector salud no se esté realizando a la velocidad adecuada ya que se necesita inversión y actualmente las organizaciones no están en condiciones de concretarlas.
48
Con tal cantidad de datos, una estructura adecuada de la información se convierte en imprescindible. Existen muchas técnicas que permiten trabajar con datos no estructurados pero también es verdad que de alguna manera esta información no estructurada se convierte en estructurada. Esto implica en general una gran capacidad de procesamiento y complejidad en los algoritmos aplicados.
Calidad de la información La calidad de la información analizada es fundamental para obtener información útil con el objetivo de mejorar la atención del paciente. Esto implica que la información registrada debe ser de calidad a nivel cualitativo y cuan-
titativo. Para esto hay que conseguir que los profesionales registren la información de forma correcta y los proveedores de soluciones deben hacer que el registro de la misma sea sencillo e intuitivo y apoyarlo con las formaciones y soporte necesario, etc. Un aspecto que ayuda a conseguir este objetivo pasa por implantar políticas de feedback de información con los profesionales sanitarios, para lo que el big data puede ayudar mucho dado que permite obtener indicadores muy útiles a todos los niveles de la organización. En la calidad de la información también influyen los cambios regulatorios, como por ejemplo la nueva codificación con CIE-10. Los profesionales de documentación indican que la nueva codificación implica un periodo de formación que en general no se está produciendo y los departamentos tampoco se están reforzando. Esto implicará una caída en la calidad de la información y el potencial del CMBD es enorme.
Interoperabilidad La interoperabilidad es fundamental en los sistemas de información de nuestros sistemas de gestión de salud ya que permite tenerlo todo interrelacionado. No obstante, la interoperabilidad ha traído sus propios problemas, como cierta confusión con los mismos conceptos, ya que lo que en algunos sistemas significa una cosa, en otros
significa algo muy diferente. Estándares como el HL7 ayudan mucho en conseguir la continuidad de la información generada en los diferentes sistemas, por lo que es un gran paso su adopción en la resolución de estos problemas pero no es el definitivo.
Poca Conciencia de los Datos Significativos Muchos de los profesionales no son conscientes de los datos asociados a los pacientes que son significativos. Esto implica que mucha información asociada a los pacientes no queda registrada y asociada a los mismos. Los profesionales asistenciales tienen muy claro qué información es muy significativa pero su registro se pierde en datos no estructurados, otros no se consiguen registrar en las historias clínicas lo que implica que los profesionales médicos no tienen la información correcta para hacer su trabajo y además esta información no puede ser analizada con técnicas de big data lo que implica la pérdida de muchas oportunidades futuras.
Capacidad para evolucionar Regularmente, se están lanzando nuevas herramientas y tecnologías que pueden ayudar a evolucionar los sistemas sanitarios. La tecnología está en constante cambio y las organizaciones deben evolucionar con ellas. Las organizaciones están tratando de poner la información en el centro
49
ARTÍCULO
de sus decisiones y las instituciones sanitarias no son una excepción. Nuevas y mejores formas para crear y analizar datos se lanzan todos los días y las organizaciones deben tratar de evolucionar a la misma velocidad, lo que en muchas ocasiones es muy difícil. Las causas son diferentes pero una de ellas es que esto implica inversión.
Dark data, la información que no es útil Vivimos en un mundo controlado por las tecnologías de la información. La cantidad de datos que se registran y almacenan diariamente es ingente y su aprovechamiento a través de técnicas analíticas es cada vez más importante para cualquier tipo de negocio que encuentra en ese universo de datos información muy valiosa que, adecuadamente explotada, puede ayudar enormemente a su desarrollo o a sus resultados. Sin embargo, no todo lo que brilla es oro. Entre toda la información que se recoge y guarda existe una parte, muy importante, que nunca se llegará a usar para nada, bien porque no contiene información útil, porque no se sabe o se puede utilizar. Esos datos basura permanecen almacenados junto con el resto creando un mar de datos (o data lake) en el que es necesario aprender a navegar para encontrarlos granos de información relevante.
¿Qué es el dark data? Según la consultora Gartner el dark data sería toda aquella información que las organizaciones recogen, procesan y almacenan durante los periodos habituales de actividad pero que normalmente no es de utilidad para ningún propósito. Estudios realizados por IBM apuntan a que aproximadamente el 80% de los datos almacenados no son nunca aprovechados o incluso no son útiles de ninguna manera. La consultora IDC eleva este número por encima del 90%
50
dando idea de que se registra una gran cantidad de información que nunca llegará a utilizarse. Los motivos que llevan a este excesivo registro de información son diversos: falta de análisis sobre lo que realmente se necesita recoger, naturaleza perecedera de la misma (aproximadamente el 60% de los datos recogidos pierden su valor inmediatamente después de ser registrados), información no estructurada que impide realizar un análisis adecuado de la misma. Pero en cualquier caso la conclusión es siempre la misma. Guardamos demasiada información que nunca utilizaremos.
¿Existe el dark data en el mundo de la salud? Evidentemente, el entorno sanitario no está exento del registro innecesario de información en los sistemas informáticos. Seguramente todos tenemos en mente algún ejemplo de información que nos ha sido solicitada y que no comprendemos para qué puede ser necesaria en un momento dado. No obstante el factor diferenciador que marcha la diferencia en el entorno de la salud es la utilidad clínica de la información que se recoge. En este sentido vale la pena ser conservador y registrar la mayor cantidad de información posible por si puede ser de utilidad en los procesos clínicos de los pacientes. La vida de una persona puede depender de un determinado dato etiquetado incorrectamente y es por ello que, a priori, decidir que un dato no será de utilidad en el futuro es, cuando menos, arriesgado.
¿Merece la pena registrar y guardar “por si acaso”? Todos habremos pensado que, al menos en el caso de los datos sanitarios, merece la pena guardar la mayor can-
tidad de información posible por si algún día es de utilidad o se le encuentra algún valor. De ello puede depender la calidad de vida de los pacientes o incluso su propia vida en un futuro. Y es cierto que podemos obtener algún tipo de recompensa futura de la tremenda cantidad de información almacenada pero, ¿cuándo llegará ese día? Nadie lo sabe y mientras tanto seguimos registrando información, almacenándola y preservándola, gastando recursos que podrían destinarse a otros usos. A esto hay que añadir que en la mayoría de las ocasiones son los propios profesionales sanitarios los responsables de recoger y guardar en los sistemas de información todos los datos que se les solicitan, invirtiendo en ello una parte de su tiempo, el que optimizando los recursos podrían destinarse a otras labores más provechosas para el sistema.
Analizar antes de recoger Como todos habremos supuesto, la única solución realmente válida para reducir o minimizar el dark data sería el análisis previo de la información que los sistemas van
a pedir o registrar tanto a los profesionales como a los pacientes. Es cierto que a priori etiquetar un determinado dato como inútil es muy complejo y en muchas ocasiones no será hasta mucho después de su recogida, cuando trate de emplearse en procesos analíticos, cuando nos demos cuenta de su utilidad. Pero es necesario realizar ese análisis, tanto previo como posterior, para prevenir en la medida de los posible una sobrecarga de información que incida negativamente tanto en los sistemas como en los profesionales. Una de las grandes dudas que se plantean hoy en día en relación a los datos es la utilidad, presente o futura de todo lo registrado. Es imposible saber a ciencia cierta si una determinada información que hoy guardamos podrá o no ser útil en el futuro dentro de algún proceso analítico o de explotación. Pero mientras tanto seguimos registrando y almacenando esa información, con el esfuerzo (tanto humano como económico) que supone. Quizás deberíamos pensar y analizar un poco más antes de acometer el registro masivo de información en nuestros sistemas.
51
VIDA TI
Segunda edición de Congreso HIMSS en Chile El evento reunió a los más importantes miembros de la industria de tecnología de América, quienes debatieron sobre los temas más relevantes que enfrenta el sector en la actualidad El pasado mes de diciembre se realizó la segunda versión en Chile del congreso que reúne a los principales actores de la industria tecnológica en salud. El HIMSS (Healthcare Information and Management Systems Society) fue organizado por el organismo internacional y contó con la colaboración de ACHISA y el Ministerio de Salud de Chile y se centró en la discusión de los avances en innovación digital en los hospitales chilenos. El evento fue inaugurado por el Executive Vice President de HIMSS Estados Unidos, Jeremy Bonfini y por el Vicepresidente de ACHISA, Marcelo Lopetegui, seguido por la charla inaugural realizada por la Directora General de Informática Clínica del Ministerio de Salud de la Ciudad de Buenos Aires, Analía Baum. La facultativa relató la experiencia de la capital argentina en cuanto a la implementación de la Historia Clínica Digital en atención primaria y hospitales públicos. “En base a un fuerte trabajo en equipo, experimentación y gestión directa con la comunidad, la ciudad de Buenos Aires lleva la delantera en innovación en TI en el área de la salud”, aseguró. Por su parte, la jefa titular del Departamento de Gestión Sectorial TIC del Minsal, Soledad Muñoz, presentó la realidad nacional en cuanto a la digitalización de Redes Asistenciales mientras recalcó que “la continuidad de la estrategia SIDRA está garantizada”. Otros exponentes de la industria que intervinieron en el evento fueron el médico de la Universidad de Ciencias Médicas de Costa Rica y representante de la Red Americana de Cooperación en Salud Electrónica, RACSEL, Ma-
52
rio Ruiz; la Médico MBA en informática Médica de la Universidad de Chile, Alejandra Lozano y el Coordinador de la Historia Clínica Electrónica Nacional de Uruguay, Pablo Orefice. En una de las sesiones de debate denominada “hospital sin papel, lecciones y experiencias”, el Vicepresidente del Hospital Privado de Córdoba, Gustavo Ellena, y la Directora del Hospital de la Florida, Midori Sawada, plantearon sus experiencias en el camino para lograr una total digitalización de la información hospitalaria, datos que pueden ser utilizados tanto en el día a día como en la unificación de datos compartidos entre distintas instituciones de salud en pos de generar una mejora en la atención de pacientes. El congreso, que fue catalogado como exitoso por sus organizadores, se cerró con la charla Big data, Medición de Precisión de Innovación en Información Sanitaria, dictada por la experta en Informática Biomédica de la Universidad de California en Estados Unidos, y editora en jefe del Journal de la American Medical Informatics Association (JAMIA) quien fue enfática en señalar que la entrega de la información médica a los pacientes no es ética, ya que “es importante indicar a la comunidad las opciones de información que generará una conciencia de su salud, pero no resolver sus problemas sanitarios sin la atención de un médico”, sentenció. Por ello “deben existir reglas al compartir datos de historias clínicas en la web, hay mucha información privada que puede ser mal utilizada, por lo que la encriptación en la información es imprescindible”, concluyó.
53
COLUMNA DE HIPÓCRATES
VIVENCIAS Y VICISITUDES DE UN CIUDADANO COMÚN
¿Está Ud. seguro? Quiero comenzar esta columna, que hoy es un clásico en las TIC en salud, con la frase de un célebre filósofo que dijo, “Sólo sé que nada sé”. Esta es quizás la única certeza que enfrentamos los seres humanos ante lo vasto de la ignorancia, lo profundo de la incapacidad y lo extenso del error. Sólo de esto estamos seguros, porque es esta duda o más bien la certeza de la duda es lo que nos mueve a aprender y conocer, a esforzarnos por investigar y tener alguna otra seguridad que el permanente estado de ignorancia en que vivimos. La seguridad, o la ”sensación de total confianza que se tiene en algo o alguien” es -según la Real Academia de Wikipedia- una sensación opuesta a la que genera la duda. ¿Pero qué es lo que que nos hace confiar? ¿Quizás un bonito hospital recién construido, quizás médicos serios y reconocidos, quizás la recomendación de alguien o simplemente fe en las personas que lo administran. La confianza se gana cumpliendo los compromisos, entregando aquello que se espera con una mínima variabilidad sobre esos resultados, se habla de predictibilidad y de constancia. Entonces ¿qué entendemos por datos seguros? Que los datos sean lo que dicen que son y no otra cosa, que los datos no puedan ser alterados por otros, que estén disponibles y que no puedan ser vistos por otros que puedan hacer mal uso de ellos. Confianza en que se registró lo que corresponde, cuando corresponde y dónde corresponde y que fue hecho por el funcionario adecuado es sólo cuestión de confian-
54
za, un mero acto de fe en las instituciones, así como que dichos datos sólo serán usados de buena manera y vistos sólo por quien corresponda. Más allá de si escriben en un papel, computador, tablet u otra cosa, el primer acto de fe comienza por ponerse a las órdenes de un médico, que se supone que estudió, se supone que está titulado, se supone que tiene la práctica y se supone con un grado razonable de certeza que la información que recibió para el diagnóstico es correcta. Entonces ¿podemos hablar de seguridad si al ser sólo una sensación de confianza al interior de cada uno de nosotros, sólo nos queda cerrar los ojos e ir para delante? ¿Es esa seguridad absoluta? No y nunca lo será. Las instituciones evolucionan, la tecnología cambia, la fe pública y los medios de comunicación influyen sobre nosotros y estamos presa de nuestras sensaciones cambiantes. Hay una crisis en las instituciones, la duda se apoderó de todo y de todos. Las certezas de ayer hoy son puestas en duda, y las dudas de hoy se toman como verdades a ciegas sin el más mínimo análisis. Aparece una nueva verdad o seguridad, una que dice borrón y cuenta nueva, que todo estaba malo, todo estaba podrido y que no queda más que “resetear” las instituciones para estar mejor y más seguros en vez de perfeccionar lo que tenemos.. Algunos dicen, “todo tiempo pasado fue mejor”, otros dicen “todo futuro será mejor” ¿Qué cree Ud? ¿Está seguro?
TIFERI Ediciones y Asesorías SPA.
¿Cómo llegar al mercado de la salud con los productos y estrategia correcta? Como editores y fundadores de la Revista Informática Médica, sabemos porque hemos vivido, que levan-
tar proyectos TI en instituciones de salud es un desafío mayor, cuya principal complejidad radica no sólo en la adecuada implementación del proyecto mismo por parte de una empresa externa seleccionada, sino que supone previamente el adecuado diagnóstico de las necesidades internas; una evaluación de los recursos humanos, técnicos y financieros; la adecuada ponderación de las opciones técnicas y modelos de negocio existentes en el mercado, y por cierto el desarrollo de las condiciones organizacionales internas de liderazgo, compromiso y desarrollo de un equipo de trabajo cliente-implementador, fundamental para aumentar las posibilidades de éxito en esta clase de proyectos.
Su organización requiere una visión externa e independiente de industria y haber vivido en carne propia los desafíos de proyectos TI en las áreas clínica y de apoyo (HIS y ERP), brindando apoyo y asesoría en temas como:
► Evaluación estratégica y requerimientos organizacionales ► Determinación y evaluación de recursos y restricciones ► Determinación de pauta de evaluación: técnica, financiera, administrativa (filtro de empresas y soluciones acordes a tamaño y complejidad del desafío) ► Conocimiento de industria, tendencias, tecnologías y proveedores disponibles. ► Apoyo en motivación y formación de una identidad de equipo y proyecto. ► Coordinación de actividades con proveedores. ► Apoyo en levantamiento de RFI ► Apoyo en levantamiento de RFP ► Apoyo en proceso de evaluación ► Control y gestión de contrato ► Seguimiento de proyecto a nivel de directorio. ► Asesoramiento permanente en materias de proyectos y estratégicos.
Tenga en nosotros un partner estratégico y contáctese al +56 9 5234 2875 y solicite una visita. TIFERI Ediciones y Asesorias Spa
55