Gli ospedali e le varie strutture sanitarie, oggigiorno, si trovano di fronte a sfide legate alla cybersecurity in termini di minaccia sia per la sicurezza dei pazienti sia per le loro operazioni quotidiane. DI fatto, la progressiva digitalizzazione dei servizi sanitari introduce complesse problematiche di sicurezza, in particolare per quanto riguarda la necessità di garantire che i dati siano costantemente disponibili, accessibili in modo semplice e conformi agli standard di sicurezza vigenti. In questo contesto, l’approccio DevOps assume un ruolo cruciale nel settore sanitario. Vediamo di che si tratta.
Importanza del DevOps nel settore sanitario
L’introduzione di DevOps nel settore sanitario offre numerosi benefici. Questa metodologia integra lo sviluppo software (Dev) con le operazioni IT (Ops), incentivando una maggiore collaborazione tra i gruppi responsabili dello sviluppo e quelli incaricati della gestione delle infrastrutture. Ovvero, un approccio che migliora significativamente l’efficienza e la rapidità nello sviluppo e nel rilascio di software, permettendo alle strutture sanitarie di adeguarsi prontamente alle variazioni e alle necessità emergenti nel settore.
Vantaggi nell’implementare i DevOps nel settore sanitario
Di seguito si illustrano i principali vantaggi che possono scaturire dall’implementazione di DevOps nel settore sanitario:
- Riduzione delle spese operative – Sia le spese operative – poiché non ci sono investimenti iniziali in acquisti e formazione – sia le risorse operative sono notevolmente ridotte
- Integrazione e Distribuzione Continue – DevOps facilita l’integrazione fluida e il deployment di aggiornamenti software e nuove features, assicurando che i sistemi sanitari rimangano all’avanguardia ed efficienti.
- Efficienza e Scalabilità Migliorate – Le metodologie DevOps permettono alle organizzazioni sanitarie di espandere rapidamente i loro sistemi in risposta alle esigenze in crescita, assicurando al contempo il mantenimento di operazioni senza intoppi.
- Automazione Accresciuta – Grazie all’automazione, i team DevOps riescono a semplificare i processi, minimizzando gli errori umani e potenziando l’efficienza generale del sistema.
- Sfruttamento dei dati migliorato – L’architettura di DevOps garantisce una facile accessibilità attraverso le applicazioni a portata di mano per i pazienti e l’amministrazione. I dati vengono sfruttati in più reparti e piattaforme per un utilizzo multiuso al fine di fornire soluzioni sanitarie integrate.
- Sicurezza dei dati e conformità normativa – Il principio fondamentale di DevOps, i.e. “l’infrastruttura come codice”, consente agli operatori sanitari di integrare i fondamenti della sicurezza all’interno del modulo applicativo stesso. Secondo questo approccio, l’analisi delle vulnerabilità viene eseguita insieme alle implementazioni della pipeline. Ciò consente agli ingegneri di affrontare tutte le potenziali vulnerabilità al momento dello sviluppo e dell’implementazione. Inoltre, viene utilizzato il principio del “privilegio minimo” per assegnare l’accesso. Ciò significa che le macchine e le persone con il livello di privilegio più basso non ottengono l’accesso alle aree critiche del sistema, garantendo la protezione dei dati e il rigoroso rispetto della conformità attraverso la mitigazione del rischio.
- Aumento del coinvolgimento – Le organizzazioni sanitarie che implementano pipeline Continued Integration (CI)/(Continued Distribution (CD) spesso forniscono funzionalità e soluzioni più personalizzate, con conseguente miglioramento dell’esperienza del paziente (i.e. sistemi di self-check-in che accelerano elaborazione del paziente o compilazione elettronica delle prescrizioni che consentono ai pazienti di accedere ai farmaci da remoto) per un’assistenza immediata e di qualità. Inoltre, anche gli operatori sanitari possono trarre beneficio dai DevOps, ad esempio, implementando la pianificazione automatizzata degli appuntamenti, per migliorare l’efficienza operativa, mantenendo al contempo un’erogazione di cure ottimale.
Team DevOps – ruolo strategico
È essenziale riconoscere il ruolo strategico che i team DevOps rivestono in vari aspetti del settore sanitario, tra cui:
- Gestione dell’Infrastruttura – Questa è cruciale per assicurare che tutti i componenti infrastrutturali, come server, reti e database, operino in maniera sicura ed efficiente. Ciò include il monitoraggio costante delle prestazioni del sistema, l’identificazione e la risoluzione dei punti critici, nonché l’ottimizzazione dell’uso delle risorse per garantire il massimo livello di prestazioni.
- Sicurezza delle Applicazioni -Questo compito, che richiede una stretta collaborazione con gli sviluppatori, è rivolto all’implementazione di robuste misure di sicurezza all’interno delle applicazioni. Tra queste, vi sono i controlli di accesso, la crittografia e le pratiche di sviluppo sicuro.
- Risposta agli Incidenti e Ripristino di Emergenza – L’obiettivo è ridurre al minimo i tempi di inattività e le vulnerabilità del sistema attraverso lo sviluppo e l’attuazione di piani di risposta agli incidenti e strategie di ripristino di emergenza.
- Principali Rischi per la Cybersecurity nelle Aziende Sanitarie -Con l’avanzamento verso la digitalizzazione e l’innovazione, le aziende sanitarie diventano sempre più bersagli attraenti per i criminali informatici che cercano di sfruttare le vulnerabilità della cybersecurity e sferrare attacchi che possono avere un impatto significativo sull’organizzazione.
In sintesi, l’adozione di pratiche DevOps nel settore sanitario non solo migliora l’efficienza e la reattività delle organizzazioni sanitarie ma gioca anche un ruolo fondamentale nel rafforzare la sicurezza e la resilienza delle infrastrutture critiche di fronte a minacce sempre più sofisticate.
Formazione e sviluppo delle competenze necessarie per adottare efficacemente le pratiche DevOps
È doveroso sottolineare che, per adottare le pratiche DevOps in modo efficace nel settore sanitario, è necessario strutturare una formazione e uno sviluppo di competenze in diverse aree. Per quanto riguarda le competenze tecniche, i professionisti IT dovrebbero acquisire conoscenze nel cloud computing, nell’automazione dell’infrastruttura e nelle tecnologie di containerizzazione. È inoltre essenziale la conoscenza degli strumenti di gestione della configurazione, delle pipeline Continued Integration (CI)/Continued Distribution (CD) e dei sistemi di controllo delle versioni.
Inoltre, per garantire un’efficace implementazione DevOps nel settore sanitario, richiede da parte dei team coinvolti una serie di competenze trasversali, quali: esperienza in materia di sicurezza e conformità, gestione del rischio, capacità di collaborazione e comunicazione, metodologie agili e capacità di problem solving.
Come implementare DevOps nel settore sanitario
Di seguito gli step principali da considerare nell’implementare DevOps nel settore sanitario.
- Pianificazione – Il primo passo del processo DevOps è la pianificazione. È necessario esaminare le attività operative e di sviluppo e configurarle in base alla metodologia DevOps. Inoltre, durante questa fase, è necessario controllare anche le risorse tecniche e umane, l’inventario, le linee guida software e le politiche di sicurezza. Ancora, potrebbe essere necessario pianificare riunioni con team diversi ed eseguire la gestione delle attività.
- Integrazione continua (Continued Integration – CI) – Il server CI deve eseguire il commit di tutte le modifiche di sistema e dei nuovi moduli di codice nel repository centrale. Ciò consente la condivisione e l’unione del codice tra reparti. Un’efficiente gestione del codice previene anche i ritardi.
- Test continui – Il repository condiviso viene continuamente testato per verificarne il funzionamento o meno. Se il test dà risultati positivi, viene inviato alla fase successiva. In caso di test con esito negativo o “inconcludente”, il sistema tenta di identificare l’errore ed eseguendo tale operazione attraverso il proprio database. Ciò permette di verificare se l’errore è noto. Se si tratta di un nuovo errore, il sistema genera un report e crea un evento imprevisto assegnandolo successivamente al team di sviluppo che terrà traccia del problema attraverso un tracker degli incidenti.
- Distribuzione continua (Continued Distribution) – Il codice, dopo essere stato testato correttamente, viene distribuito nel sistema di produzione (o nel sistema di sviluppo, a seconda del protocollo aziendale), garantendone una rapida e regolare distribuzione.
- Monitoraggio e feedback costante – Il monitoraggio costante assicura che il software funzioni al suo livello ottimale. Di fatto, il sistema invia feedback al team di DevOps e, in caso di problemi nella compilazione, viene generato una segnalazione in tempo reale di incidente che il sistema monitora in modo da tenere traccia degli incidenti.
Conclusioni
DevOps sta emergendo come uno strumento cruciale nel settore sanitario, fungendo da catalizzatore per migliorare sia l’efficienza operativa sia la gestione dei costi delle infrastrutture, oltre ad accelerare i tempi di sviluppo delle applicazioni, facilitare la sinergia tra i collaboratori e massimizzare l’uso sicuro dei dati disponibili.
Le organizzazioni sanitarie devono essere capaci di affrontare le minacce informatiche, proteggendosi dagli attacchi contingenti e futuri. I DevOps, in questo ambito, assumono un’importanza strategica in quanto sono in grado di equilibrare dinamicamente innovazione ed agilità con sicurezza e conformità, senza trascurare l’attenzione verso il paziente e si ritiene che contribuiranno sempre più al miglioramento dei servizi sanitari e, ove necessario, rivolgersi a professionisti del settore in grado di offrire servizi dedicati ed accompagnare i vari attori sanitari lungo il cammino sine die verso la cyberresilience.
Articolo a cura di Federica Maria Rita Livelli, BeDisruptive Training Director/BCI – Cyber Resilience Group/ CLUSIT – Comitato Scientifico /ENIA- Comitato Scientifico /FERMA – Digital Committee/ANRA – Board & Comitato Scientifico
Certificata in Risk Management (FERMA/ANZIIF certificazioni Iso 3100:2018) & Business Continuity (AMBCI Certification – BCI, UK; CBCP Certification – DRI, Usa), svolge consulenze in Risk Management & Business Continuity oltre ad effettuare un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere. Ricopre anche il ruolo di Training Director presso BeDisruptive Consulting.
Membro de:
· ANRA (Associazione Nazionali Risk Manager & Responsabili Assicurazioni Aziendali) – Membro Comitato Direttivo
· BCI, UK (Associazione Internazionale Business Continuity & Resilience) – Membro del Conduct Committee
· BCI CYBER RESILIENCE SIG – Board Member
· CLUSIT (Associazione Italiana per la Sicurezza Informatica) – Membro Comitato Scientifico e Gruppo CLUSIT AIXIA
· ENIA (- Ente Nazionale per l’Intelligenza Artificiale) – Membro Comitato Scientifico
· FERMA (Federation of European Risk Management Associations) – Membro of Digital Committee
· UNI (Ente Nazionale Italiano di Normazione) – Rappresentante per ANRA al Comitato Tecnico UNI/CT 016/GL 89 “Gestione dell’innovazione” (ISO/TC 279) (Commissione Tecnica -UNI/CT 016 “Gestione per la qualità e metodi statistici”)
Speaker in numerosi seminari e convegni nazionali ed internazionali in riferimento a tematiche di Business Continuity & Risk Management, Resilience , Change Management, Innovazione, Cyber Security, Facility Management & Procurement e Artificial Intelligence
È altresì autrice di numerosi articoli inerenti alle tematiche di Risk Management & Business Continuity, Cybersecurity e Resilience pubblicati da diverse riviste italiane e straniere. Co-autrice de: Report 2020-2021-2022 -2023-2024 CLUSIT-Cyber Security e de “Lo stato in Crisi” ed. Franco Angeli.
https://www.ictsecuritymagazine.com/articoli/devops-leva-strategica-per-il-settore-sanitario/