Creació d’un pla de continuïtat davant contingències

als sistemes d’informació

Forum CIS Barcelona 2011

Pla de continuïtat

Antecedents

A partir del moment en que tots els serveis de l’hospital treballen amb l’estació de treball clínic (ETC) i es deixa d’utilitzar les històries clíniques impreses sobre paper, es fa necessari més imprescindible que mai fer una bona Gestió de la Continuïtat i Disponibilitat dels Sistemes.

La Gestió de la Continuitat i de la Disponibilitat son dos dels principals processos de Provissió de Servei segons defineix ITIL (Information Technology Infrastructure Library) i també la ISO/IEC 20000 i moltes vegades son els dos processos més oblidats en les organitzacions ... fins que hi ha algun daltabaix important.

En els últims temps, molts hospitals hem patit alguna situació de no disponibilitat dels sistemes i és per això que tant l’Hospital de Sant Pau com el Consorci Sanitari Integral, vem iniciar una sèrie de líniesde millora en aquest sentit.

Pas 1. Auditoria de Seguretat. Plantejament

► El primer que es va fer va ser contractar una auditoria per revisar les garanties de disponibilitat dels sistemes d’informació de l’hospital

L’auditoria va constar de les següents fases :

Fase I : Anàlisis PreliminarFase II : Anàlisi de la SituacióFase III: Auditoria TecnològicaFase IV: Recomanacions i pla d’acció

... i va generar el següents informes :

Informe final de l’auditoria • Anàlisis de la situació• Recomanacions de millora• Pla d’acció

Resum executiu

... i va generar el següents informes :

Informe final de l’auditoria • Anàlisis de la situació• Recomanacions de millora• Pla d’acció

Resum executiu

Pas 1. Auditoria de Seguretat. Pla de Treball

El projecte es va desenvolupar amb la total col·laboració del departament d'informàtica i en especial el departament de sistemes : El cap de sistemes, els diferents gestors interns i el personal extern contractat.

El projecte es va desenvolupar amb la total col·laboració del departament d'informàtica i en especial el departament de sistemes : El cap de sistemes, els diferents gestors interns i el personal extern contractat.

El Pla de treball es va basar en els següents fonts d’informació :

• Entrevistes amb les persones adients• Anàlisis de la informació existent• Anàlisis de la situació tecnològica• Normes (ISO) i bones practiques internacionals

Pas 1. Auditoria de Seguretat. Resultats.

► El resultat d’aquesta auditoría va ser diferent en cada hospital degut a les particularitats de cada cas però va coincidir en els dos aspectes fonamentals:

> Definició d’una política de seguretat que permeti desenvolupar un pla de seguretat

> Necessitat de crear un pla de continuïtat, basat en un anàlisi de riscos i el seu impacte

Pas 2. Creació d’un pla de Seguretat

Per assolir els nivells esperats de disponibilitat es necessari la creació d’un pla de seguretat, basat en una política de seguretat per tal de que serveixi de base per la posada en funcionament d’un procés periòdic de control de la seguretat.

Les principals tasques per construir aquest pla son:

o Creació d’un comitè de seguretat.o Revisió pel comitè de seguretat de l’esborrany de política de

seguretat ja existent.o Aprovació de la política de seguretat pel comitè de direcció de

l’hospital. Requereix participació de personal directiu.o Definició d’un pla de seguretat.o Execució del pla.o Contractació d’auditories anuals de seguretat (Revisió del Pla,

Hacking Ètic, ...)• Revisió anual del pla de seguretat.

Pas 3. Creació d’un pla de Continúitat

Les principals tasques per la creació d’un pla de continuïtat dels sistemes d’informació(davant desastres) son:

• Fer un anàlisi d’impacte en el negoci (BIA)o Identificar processos críticso Identificar dependències dels sistemes d’informacióo Identificar riscos i el seu impacte en el negocio Requereix participació del personal directiu de l’hospital

• Definir una estratègia de recuperació de serveiso En funció dels riscoso Definir objectiuso Avaluar opcions, costos i garanties

• Desenvolupar plans de recuperació de desastreso Plans de recuperació del serveio Plans de recuperació de l’entorn original de treball

• Proves, avaluacions, i revisions periòdiques

Resultat del pla de Continuïtat

► La posterior implementació de les mesures identificades en el pla de continuitat per garantir la disponibilitat acordada en el BIA requerirà noves inversions, en funció del disseny resultant:

> Es preveu que ens caldrà construir nous sistemes per ajudar a mantenir funcionant l’hospital quan caiguin els sistemes principals. Exemple: Aplicació de Contingència ja desenvolupada

> Es preveu que ens caldrà invertir per reduir els temps de recuperació dels sistemes principals en cas de caiguda.

> L’import d’aquestes futures inversions dependrà molt de les necessitats que es manifestin en l’estudi inicial.

Nous Sistemes

Sistemes redundants

CPD’s secundaris

………….

Auditoria de Seguretat

Pla de Seguretat Pla de Continüitat

Aplicació de Contingència

Resum de les etapes

Pas 3. Creació d’un pla de Continuïtat (CSI)

NIVELLS

NIVELL 1: Disaster Recovery Plan (DRP)

NIVELL 2: Estacions de contingència

NIVELL 3: Fitxers amb informació clínica

Nivell 1. Disaster Recovery Plan

Realizació del BIA (Business Impact Plan)

Estudi tecnològic d’escenaris

Implementació del DRP per fases:

• Visibilitat gradual• Depenent de la capacitat d’inversió

Nivell 3. Fitxers amb informació clínica

Creació d’un grup de treball que defineixi el contingut de la informació de contingència

Generació de fitxers PDF amb informació assistencial

Cada fitxer es genera amb freqüència diferent:

• Urgències: cada 30’• Hospitalització: cada 8 h• Programació quirúrgica i ambulatòria: cada 24 h

Nivell 3: Accés al pla de continuïtat

Cada centre estableix els seus procediments operatius per activar el pla

Sistemes d’avís als responsables d’àrea

Sistema d’introducció de la informació després de la crisi

Accions complementàries en altres sistemes crítics(carrussel de farmàcia)

Limitacions

Informació sense estructura: dificultat d’accés

La disponibilitat de la xarxa és un element de risc

Pla de Contingència - Nivell 3

Pla de Contingència - Nivell 3

Pla de Contingència - Nivell 3

Pla de Contingència - Nivell 3

URGÈNCIES

HOSPITALITZACIÓ

AMBULATÒRIA I PROGR. QUIRÚRGICA

Nivell 2. Estacions de contingència

SISTEMA DE CONTINGÈNCIA

PER APLICACIONS ASSISTENCIALS

Sistema SAP

Sistemes no SAP

Xarxa informàtica

Suministrament elèctric

Catàstrofes naturals (inundacions, incendis...)

Aturades planificades del sistema

Altres

Origen de contingència

Abast

Àrees contemplades al sistema:

Hospitalització

Urgències

Hospital de dia

Pacients amb tractament de Sintrom

Consultes externes

Quiròfans

El sistema de contingència no actualitza la informació dels pacients, únicament permet la consulta.

Components del sistema

Hospital de Sant Pau

ISH SAP genera periòdicament un fitxer de cens actiu i un de contingut (dades episodi i assistencials)

L’Estació de Sincronització recull aquests fitxers i integra aquesta informació en una versió

A partir del cens inclòs a la versió es recull la resta d’informació dels altres sistemes NO SAP

Paral·lelament es recull informació per assegurar l’accés segur dels usuaris

Una vegada la versió està complerta les Estacions de Contingència s’encarreguen de recollir-la

Les Estacions de Contingència tenen un històric de fins a 20 versions

L’Estació d’Administració monitoritza l’estat de les Estacions de Contingència assegurant-se de que es troben operatives i amb la darrera versió actualitzada

Hospital de Sant PauESTACIO DE SINCRONITZACIO H.S.P.

Recollida de dades de l’ISH SAP (per fitxer de text)Dades pacient, Antecedents, Hàbits, Vacunes, Al·lèrgies,

Intervencions, Episodis, Curs clínic, Documents, Medicació, Diagnòstics, ...

Recollida dades altres sistemes NO SAPEcocardio (per consulta directa a base de dades)

Informes d’Alta (consulta directa a base de dades + copia d’informes)

Laboratoris (OpenLab) (per base de dades + copia informes)

Laboratori d’urgències (per captura html)

Laboratori Microbiologia (per webservice)

Cures d’Infermeria (Gacela) (per captura html)

Dietes (origen SAP, per fitxer de text + copia de fitxers)

Farmàcia (per captura html)

Funció Pulmonar (per captura html)

ISH SAP disposa d’un WebService que facilita el cens actiu a cada centre

El servidor de contingència, a partir del cens, carrega una versió de dades de contingència

A continuació interroga novamente el WebService publicat a SAP perobtenir les dades personals i assistencials dels pacients

Quan es completa la versió les estacions de contingència la carreguen, triant les dades de la seva ubicació

Les estacions de contingència tenen un històric de fins 20 versions

L’estació de monitoritzación comprova l’estat dels PCs de contingènciagarantint que es trobin operatives i amb la darrera versió actualitzada

Consorci Sanitari Integral

Recollida de dades de SAP (WebServices)

Dades pacientes

Alertes

Antecedents

Intervencions

Diagnóstics

Pauta activa / històrica

Resumen d’urgències

Gràfica de constants

Peticions

Documents

Interconsults

Trajectories

Administració de medicació

Pauta no farmacológica

Pla de cures

Dietes de la unidad

Agenda de cures d’unitat

Hospital de dia

Consultes externas

Curs clínic de l’episodi / històric

Consorci Sanitari Integral

El servidor de contingència recull la informaciódel LDAP per garantir l’accés segur dels usuaris en l’estació de contingencia

L’estació de contingència guarda un registre delsusuaris que es conecten a l’aplicació, així com les històrias clínicas consultades per cada usuari

Des del servidor de contingència es pot consultar el registre de consultes de totes les màquines

LOPD

Sales d’Hospitalització i Urgències

Dades assistenciales dels pacients ingressats

Dietes

Llista de dietes per a les properes 48 hores per cuina

Farmàcia

Disposa d’un llistat amb la medicació pautada

Admisions

Cens i ubicació de los pacients ingressats

Consultes Externes i Hospital de Dia

• Llista dels pacients amb activitat planificada

Quiròfan

•Pacients amb intervenció planificada als propers 4 dies

Localització / Tipus d’estacions

Urgències

Cada 15 minuts

Hospitalització

Cada 2 hores

Dietes

Cada 8 hores

Farmàcia

Cada 8 hores

Admissions

• Cada 2 hores

Consulta externa i Hospital de Dia

Cada 24 hores

Freqüencia d’actualització

Presentació

MOLTES  GRÀCIES