AUTORE PRINCIPALE
Emanuele Bertelli
AFFILIAZIONE
IRCCS Ospedale San Raffaele
VALUTA IL CHALLENGE
GRUPPO DI LAVORO
Emanuele Bertelli – IRCCS Ospedale San Raffaele, Lombardia
Marco Tiraboschi – IRCCS Ospedale San Raffaele, Lombardia
AREA TEMATICA
ICT ed informatica medica
ABSTRACT
L’IRCCS Ospedale San Raffaele di Milano con l’entrata in vigore del GDPR ha avuto la necessità di sviluppare uno strumento per valutare e gestire le apparecchiature elettromedicali e da laboratorio dal punto di vista della cybersecurity e privacy dei dati.
Per iniziare è stato effettuato un censimento delle apparecchiature esistenti con lo scopo di identificare e valutare quelle che trattano dati personali quelle collegate alla rete aziendale e i fornitori di assistenza tecnica che accedono a dati personali. Il censimento ha evidenziato tre aree critiche: aggiornamento dei sistemi operativi e dell’antivirus gestione delle credenziali di accesso backup sicuro dei dati.
Per queste aree sono stati definiti dei requisiti minimi di sicurezza cui le apparecchiature dovrebbero ottemperare per poter essere presenti in Istituto. Tali requisiti sono stati identificati tramite un lavoro congiunto tra varie Direzioni (SIC DSI DPO Ufficio Legale Economato).
Quindi è stata creata una checklist composta da domande che declinano i requisiti minimi di sicurezza. La checklist da sottoporre ai fornitori in fase di valutazione di acquisto di un’apparecchiatura è a compilazione guidata e prevede a seconda delle domande risposte “si/no” oppure un campo note.
Infine è stato costruito un algoritmo che in base alle risposte ottenute restituisce in modo automatico:
- le attività di adeguamento da svolgere durante l’installazione dell’apparecchiatura necessarie per ottemperare ai requisiti pre-definiti;
- i soggetti incaricati per le singole attività (SIC / DSI / fornitore / utilizzatore);
- il grado di difficoltà atteso nel realizzare queste attività (su scala 1-4);
- un alert nel caso in cui delle attività possano generare dei costi diretti di installazione o di futura gestione;
- infine a valle delle attività svolte o non svolte la stima del rischio residuo (su scala 1-16) di un eventuale danno in termini di cybersecurity o privacy.
Lo strumento ideato non stabilisce quindi dei criteri assoluti di inclusione / esclusione nel valutare l’acquisto di un’apparecchiatura ma è interamente basato sulla valutazione e gestione del rischio in quanto indica per ogni risposta data dal fornitore nella checklist una possibile attività di adeguamento ed un rischio residuo rimanente in carico all’Istituto (rischio che l’Istituto può decidere di sopportare o meno in base alla destinazione d’uso dell’apparecchiatura e/o alla sua infungibilità).
