Upload File

nel mondo healthcare - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il...

  • Home
  • Documents
  • nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende
15
Il Cloud nel mondo HEALTHCARE

Upload: phungcong

Post on 18-Feb-2019

216 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

Il Cloudnel mondo

HEALTHCARE

Page 2: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

2

IndiceIntroduzione: il Cloud computing e il settore healthcare 3

Come introdurre il Cloud computing nel settore healthcare 4Gli standard ISO e il Cloud 4

Le “Standard operating procedures” (SOP) 5

Come la legge protegge i dati – le direttive EU e Azure 5

Non un solo Cloud – le diverse tipologie di Cloud e i diversi livelli di ingaggio e responsabilità 6

L’approccio suggerito da Microsoft 6

I 12 principi chiave per una gestione corretta e sicura dei dati in Cloud e cosa Azure propone 7

Il Cloud come risorsa per il settore medico 9Perché scegliere Microsoft 10

Il Cloud e il settore medico – tips&tools per una corretta applicazione 11Identità e autenticazione 11

Controllo dell’accesso 11

Antimalware 11

Acquisizione e gestione dei certificati 12

Criptaggio di dati 12

Collaudo della penetrazione e certificazione 12

Training in cyber security 13

Patch systems 13

Service/server inventory 13

Configurazione sicura del server 13

Il Cloud una risorsa anche per le piccole medie imprese 14Visione Microsoft 14

Intervista a Giancarlo Gervasoni, AD di Zerouno Informatica SpA 15

Page 3: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

3

Il Cloud computinge il settore healthcareDal suo esordio nel 2010, Microsoft Azure, è stato rapidamente adottato da organizzazioni e aziende di tutte le dimensioni in giro per il mondo. Gli utenti di Azure beneficiano di agilità, costi e complessità ridotti, scalabilità pressoché illimitata e innovanzioni rese possibili dal Cloud computing.

Per le organizzazioni facenti parte di settori fortemente controllati e regolamentati, come ad esempio l’healthcare, dove le leggi impongono la tutela dei dati sensibili delle persone, la necessità di capire come il Cloud possa essere un vantaggio, anche in termini di gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende siano al passo con i tempi.

Le startup dell’ambito medicale, i system integrator e i vendor di software che hanno come clienti aziende healthcare, e le aziende stesse che si occupano di cura della salute stanno prendendo in considerazione il Cloud. La difficoltà però che oggi maggiormente riscontrano è la mancanza di una guida nel design delle soluzioni operative che possano rispettare le compliance di sicurezza.

Azure fornisce servizi che possono aiutare a favorire l’incontro fra i bisogni di sicurezza e privacy. Inoltre, Microsoft lavora con i clienti per aiutarli a capire come proteggere i dati e come gestire l’ambiente in Cloud nel modo migliore. L’infrastruttura che Azure mette a disposizione include applicazioni, macchine virtuali e credenziali di accesso.

Questo ebook spiega come quelle aziende che hanno obblighi stringenti per il trattamento dei dati sensibili possano trarre vantaggio dall’adottare una soluzione in Cloud.

Page 4: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

Gli standard ISO e il CloudGli standard ISO stabiliscono anche le regole basilari per sviluppare un sistema informatico di gestione delle informazioni. Per il settore heatlhcare le considerazioni da fare riguardano le norme stringenti in tema di tutela dei dati dei pazienti e l’adozione di un ambiente di sviluppo e di gestione sicuri. Quando ridisegniamo l’infrastruttura IT per l’adozione del Cloud, questi elementi sono da tenere in grande considerazione, così come sono da tenere in considerazione i ruoli e le figure aziendali da coinvolgere: persone che lavorano nella compliance e nell’internal audit, consulenti legali, i risk manager, i solution architects, gli sviluppatori e il personale operativo.

Facciamo prima di tutto una rapida carrellata degli standard ISo più comuni:

Le aziende sono per la maggior parte certificate: ISO27001, 27002, e 27018. Tali norme mirano a definire i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security Management System), e includono aspetti relativi alla sicurezza logica, fisica e organizzativa. Queste norme sono da tenere dunque in considerazione dalle organizzazioni nel momento in cui queste devono progettare e implementare un’infrastruttura IT che rispetti anche gli obblighi di legge in materia di gestione della privacy.

4

Come introdurre il Cloud computing nel settore healthcare

Page 5: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

● L’ISO27001 è lo standard maggiormente diffuso e detta norme e regole che valgono per qualunque settore aziendale e per aziende di qualunque dimensione.

● L’ISO27002 è una raccolta di "best practices" che possono essere adottate per soddisfare i requisiti della norma ISO27001 al fine di proteggere le risorse informative. È una sorta dunque di compendium con suggerimenti concreti e applicabili.

● L’ISO27018 è un set di regole basato sugli standards ISO27001 e 27002, costruito per garantire il rispetto dei principi e delle norme della privacy dettate dalla Direttiva Europea 95/46/CE sul trattamento e la diffusione dei dati personali, da parte dei fornitori di Cloud pubblico che se ne dotano. L’ambizione dichiarata di questo standard è di rappresentare una risposta pratica alle principali questioni giuridiche, sia di natura legale che contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico.

Per le organizzazioni che trattano informazioni sensibili come i dati personali o le informazioni sulla salute, l’ISO 27018 ratificato è lo standard da seguire. Microsoft Azure è stato il primo Cloud Service globale ad adottare questo standard, che fornisce un set di nrome e controlli aggiuntivi da implementare qualora l’organizzazione decida di implementare un Sistema di Gestione della Sicurezza delle Informazioni con il Cloud.

Le “Standard operating procedures” (SOP) Quando si implementa un Sistema di Gestione della Sicurezza delle Informazioni, la prima cosa che si fa è stabilire regole, ruoli e compiti. Si redigono, quindi, le Standard Operating Procedures, le procedure standard per la gestione dell’operatività. Queste procedure possono riguardare:● La Privacy – si regolamenta come gestire il flusso delle

informazioni sensibili dei clienti e come proteggerle. Per i fornitori di servizi Cloud avere il dettaglio delle Standard Operating Procedures è un dovere, oltre che un semplice servizio. Microfost Azure, rispettando lo standard ISO 27018 ha le sue Standard Operating Procedures

● La gestione delle risposte in caso di incidente o intrusione – un importante elemento che tutte le organizzazioni dovrebbero implementare è un Organizational Incident Response Plan, cioè un piano organizzativo per la reazione in caso di incidente o intrusione. Un Incident Response si divide in 4 fasi:• La preparazione, cioè la composizione e la

formazione del team dedicato alla gestione delle emergenze di sicurezza.

• La definizione di un piano di risposte, che includa una valutazione iniziale, metodi di contenimento della comunicazione e notificazione. Questo piano deve essere continuamente tenuto aggiornato.

• Recovery strategy - parte del piano di risposta dovrebbe riguardare la procedura su come ripristinare i sistemi nel più breve tempo possibile per evitare ulteriori perdite di dati e di lavoro.

• Le lessons learned. A valle di un incidente di sicurezza, va implementata una nuova procedura atta a prevenire un nuovo avvenimento simile.

Come la legge protegge i dati – le direttive EU e AzureLe norme in materia di salute variano tra i paesi / regioni e alcune volte anche tra gli Stati. La comprensione di questi regolamenti richiede un'analisi giuridica attenta a determinare e stabilire quali controlli siano necessari per dimostrare la conformità con le leggi locali.Dal punto di vista della piattaforma, Azure incontra una vasta gamma di standard di conformità internazionale e industriale specifici, applicabili ai cloud service provider, come ISO 27001, HIPAA, FedRAMP, SOC 1 e SOC 2, nonché alcune norme specifiche di paese, tra cui Australia IRAP, UK G-Cloud, e Singapore MTC.Anche se la direttiva sulla protezione dei dati 95/46 / CE non è specifica per l'assistenza sanitaria, esso rimane uno standard esaustivo che tutela la privacy e il trattamento dei dati personali negli stati membri dell'UE. L'articolo 8 della direttiva sulla protezione dei dati 95/46 / CE contiene disposizioni per "il trattamento di categorie particolari di dati" compresi i dati personali relativi alla salute. Ciascuno Stato membro può scegliere di aggiungere ulteriori controlli sulla base di questa disposizione per i dati sanitari sensibili. Alcuni Stati membri non hanno aggiunto controlli specifici per l'assistenza sanitaria, rendendo così l'adozione del Cloud con clausole modello UE possibili senza ostacoli normativi supplementari.Microsoft è stata la prima azienda a ricevere una lettera di approvazione dal EU’s Article 29 Working Party, che comprende le autorità di protezione dei dati di ciascuno dei membri dell'UE, per il suo forte impegno contrattuale a conformarsi alle leggi sulla protezione dei dati dell'UE e in particolare rispetto al trasferimento di dati sensibili tra stati. Microsoft Azure garantisce ai propri clienti il trasferimento sicuro di dati in Cloud dall'Europa al resto del mondo e viceversa.

5

Page 6: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

6

Il Cloud computing offre grandi opportunità al settore healthcare perché consente una maggiore qualità del servizio e un’accessibilità ai dati migliore, il tutto a costi inferiori. Quando le aziende che si occupano di sanità progettano un passaggio di una parte della loro infrastruttura on-premises al Cloud di Microsoft Azure, devono valutare i fattori di rischio e quali tipologie di dati gestiscono, oltre a prevedere procedure che rispettino normativa sulla privacy e che certifichino la sicurezza delle reti. Il primo passo che un’azienda healthcare deve fare per fare una corretta mappatura dei servizi da attivare in Cloud è: quali sono i principi e le responsabilità condivise con i clienti e con i pazienti in termine di gestione dei dati. Questa prima analisi mira a definire quali sono i controlli e le verifiche periodiche necessarie affinché il sistema protegga e custodisca i dati correttamente. In questa fase, inoltre, l’azienda deve analizzare e comprendere le responsabilità del fornitore di Cloud in merito al trattamento dei dati sensibili.Il secondo passo da compiere è: stabilire delle buone pratiche di governance che includa in maniera precisa come classificare i dati e i diversi divelli di protezione.Procedendo all’analisi partendo da questi primi due step, il disegno della soluzione in Cloud sarà più chiaro in termini di ruoli, obblighi e priorità.Il Cloud può avere caratteristiche diverse e fornire servizi diversi a seconda che si tratti di Infrastructure as a Service (IaaS), di Platform as a Service (PaaS) e di Software as a Service (SaaS). Il modello di servizio che viene scelto dai clienti detta anche le responsabilità di gestione dell’ambiente in Cloud. Il grafico seguente mostra la divisione delle responsabilità per aree chiave ed è fondamentale per tutti i clienti per comprendere e mitigare i fattori di rischio.

L’approccio suggerito da MicrosoftCome punto di partenza generale, Microsoft protegge e controlla le risorse informative chiave attraverso le informazioni di classificazione carta bianca e il quadro, che è disponibile per il download. Questo documento discute

la classificazione delle informazioni come il fondamento dello sforzo di cross-organizzazione, l'approccio suggerito di sostenere un tale sforzo e quindi di trattare e gestire le attività di informazione su tale base, così come i servizi Microsoft, prodotti e tecnologie da considerare in questo contesto per implementare una classificazione di informazioni e l'infrastruttura di applicazione rilevanti. Essa costituisce il punto di partenza per una efficace protezione delle informazioni e di controllo (IPC).Oltre a controllare le pratiche di gestione della sicurezza delle informazioni, Microsoft rende la sicurezza e la privacy una priorità ad ogni passo nella produzione e gestione del software per entrambe le nuvole e on-premise utenti di software e servizi in tutto il mondo. Sostenere che l'impegno, il Microsoft Security Development Lifecycle (SDL) e Microsoft sicurezza operativa per i servizi online sono adottate in tutta l'azienda. Le organizzazioni che adottano pratiche standard simili possono contribuire a mitigare i rischi di sicurezza.

Non un solo Cloudle diverse tipologie di Cloud e i diversi livelli di ingaggio e responsabilità

Page 7: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

7

Questi principi chiave per una gestione sicura dei dati sono disegnati affinché le soluzioni progettate in Cloud siano meno vulnerabili e più resistenti ad attacchi. Ciò significa risparmiare tempo per la prevenzione, la localizzazione, il contenimento e la risposta a reali minacce di sicurezza e significa al contempo aumentare la sicurezza dei servizi connessi. Incorporando questi principi e raccomandazioni, i clienti possono dunque limitare e gestire meglio i rischi sin dalle fasi iniziali di implementazione dei servizi in Cloud.

1. Attivare soluzioni di identificazione e autenticazione degli utenti, che si tratti di una soluzione tutta in Cloud, ibrida o on-premises: l’attivazione di questo servizio è importante per classificare gli utenti (standard, speciali, etc.) e abbinare a ciascun utente il corretto accesso al servizio. La gestione dei dati di accessi si concentra sulla prevenzione degli accessi non autorizzati e, se ben progettata e realizzata, aiuta a gestire le liste di utenti e i permessi di visualizzazione e modifica dei dati a seconda dei ruoli e delle responsabilità assegnati. Microsoft Azure dà la possibilità di gestire le utenze e monitorare gli accessi (track identity). In particolare Azure Active Directory (Azure AD) semplifica il lavoro di gestione degli utenti e dei gruppi di utenti unendo le funzionalità di core directory services, advanced identity governance, security, and application access management. Infine Azure consente il monitoraggio degli accessi e certifica il processo di autentificazione anche fuori dall’azienda, e grazie alla funzionalità di Bring your own device (BYOD) movement, l’accesso è possibile in completa mobilità, su strumenti, laptop e smartphone, aziendali o privati, vanificando anche possibili intrusioni dovute all’accesso a internet attraverso reti non sicure.

2. Usare sistemi di controllo degli accessi appropriati: il

controllo delle login è un meccanismo che certifica che le credenziali utilizzate dall’utente siano valide e corrette. Microsoft Azure Active Directory Access Control (ACS) è un servizio in Cloud che fornisce un modo sicuro per autenticare e autorizzare gli utenti ad accedere ai sistemi, alle applicazioni e ai programmi di lavoro.

3. Installare una soluzione antimalware riconosciuta dal mercato. I malware sono programmi che sono inseriti in un sistema, solitamente in modo nascosto, con l’intento di compromettere la riservatezza, l’integrità o la disponibilità dei dati, le applicazioni, e/o i sistemi operativi. Lo scopo è rubare i dati oppure semplicemente rallentare il lavoro delle persone che lavorano in azienda. I malware, come i virus, i trojan e i worm, sono solitamente pensati per lavorare sui sistemi senza che gli utenti inizialmente se ne accorgano. Microsoft Antimalware per Azure è un’estensione di sicurezza che estende la protezione antimalware alle macchine virtuali e ai servizi del Cloud. Il software antimalware usato dai servizi del cloud di Microsoft supporta una soluzione gestita in modo centralizzato che include scansioni real-time dei file, controlli automatici delle firme elettroniche, e ha un sistema di alert incorporato che avverte direttamente il Microsoft Operations Center (MOC) in caso di rilevazione di malware all’interno dei sistemi.

4. Acquisizione e gestione dei certificati di autentificazione. Un certificato è una forma di identificazione per i siti web e le applicazioni utilizzata per verificare l’autenticità dell’utente. I siti web si affidano a TLS and Secure Socket Layer (SSL) per criptare comunicazioni di dati. Per configurare in modo

I 12 principi chiave per una gestione corretta e sicura dei dati in Cloud e cosa Azure propone

Page 8: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

8

sicuro TLS o SSL per una applicazione è necessario un certificato specifico. I certificati autofirmati possono essere accettabili, tuttavia è consigliabile avere un certificato firmato e autorizzato fornito da una Autorità di Certificazione o da partner terzi che distribuiscono certificati.

5. Criptare tutti i dati dei clienti, sia quelli archiviati sia quelli custoditi temporaneamente: il criptaggio è quel processo di codifica dei messaggi e delle informazioni così che solamente l’autore o terzi autorizzate possano leggerli. Il criptaggio non previene di per sé la dispersione dei dati, ma mette il dato al sicuro in caso di perdita. Il sistema di criptaggio infatti, usando un algoritmo di codifica, trasforma il messaggio in un codice di scrittura che può essere letto solo se decriptato. Micosoft Azure permette ai clienti di criptare dati e chiavi gestionali e salvaguardare i dati dei clienti custoditi su applicazioni, piattaforme, sistemi e archivi. Azure offre una vasta gamma di capacità di criptaggio che fornisce alle aziende clienti la flessibilità di scegliere la soluzione che risponde meglio ai loro bisogni specifici. Azure Key Vault aiuta ad ottimizzare la gestione dei codici di criptaggio e a controllarli. Per i dati in transito i clienti possono abilitare il criptaggio per il traffico tra il loro sistema in Cloud e gli utenti destinatari. Azure protegge i dati in transito, operando come tra due network virtuali, usando protocolli di trasporto standard.

6. Identificare i possibili attacchi: le aziende devono comprendere le minacce a cui possono essere soggetti e classificare le attività di informazione con un processo di threat-modeling. Il Security Development Lifecycle di Microsoft (SDL) fornisce un sistema di identificazione e monitoraggio efficace che viene utilizzato per identificare le minacce e le vulnerabilità dei software e dei servizi Cloud. Il threat-modeling di solito è una fase che si affronta nel corso della progettazione dell’infrastruttura o del servizio IT, ma può essere fatto in qualsiasi momento per limitare l'esposizione a possibili minacce.

7. Aumentare il monitoraggio degli accessi per garantire la sicurezza dei dati: è consigliabile per le aziende avere un registro degli eventi che si verificano all'interno dei sistemi e delle reti. I registri sono composti da voci di registro che contengono informazioni relative a un evento specifico che si è verificato. L’analisi di queste voci può aiutare a individuare buchi di sicurezza o accessi non autorizzati. Azure operational insights raccoglie questi “buchi” non appena si verificano, prima ancora che qualcuno possa manometterli, e consente diversi tipi di analisi. Per le applicazioni distribuite in Azure, il registro di sicurezza del sistema operativo è abilitato di default. I clienti possono poi aggiungere, rimuovere o modificare i registri gli eventi da controllare personalizzando i criteri di controllo del sistema operativo.

8. Determinare la causa principale degli incidenti: il root cause analysis (RCA) è un processo strutturato usato per identificare le cause scatenanti di un evento che ha provocato un risultato indesiderato. Il risultato finale di questo esercizio è quello di sviluppare azioni correttive e preventive e identificare i bachi nei processi e sistemi. Lo scopo di un RCA è quello di scoprire cosa è successo, perché è successo, e determinare quali modifiche devono essere fatte affinché l’evento non si verifichi più. Le organizzazioni hanno bisogno di essere preparate per investigare su una violazione e di fornire una analisi delle cause della violazione.

9. Formare tutto lo staff sulla cyber security: un impegno per la comprensione della sicurezza di base e degli ultimi sviluppi nel campo della sicurezza e della privacy può notevolmente aiutare le organizzazioni a ridurre il numero e la gravità delle vulnerabilità dei software utilizzati. La formazione, meglio se a cadenza annuale, sulla cyber security è fondamentale ancor di più per i team di sviluppo affinché comprendano i principi fondamentali di progettazione sicura e lo sviluppo e il rischio di esecuzione di soluzioni e servizi basati sul web. Tutti i membri delle Operations e i team di sviluppo devono essere informati circa i principi fondamentali di sicurezza e le recenti tendenze in materia di sicurezza e privacy. Perché coloro che sono aggiornati e consapevoli rispetto ai problemi di sicurezza sono meglio in grado di progettare, sviluppare e utilizzare il software in modo sicuro.

10. Aggiornare tutti i sistemi: i sistemi software devono essere aggiornati regolarmente con gli aggiornamenti necessari alla sicurezza e protezione dei dati. Minimizzare le minacce alla sicurezza significa avere sistemi che utilizzano il software più recente e avere gli aggiornamenti software consigliati e i patch installati e correttamente configurati. Microsoft ha sviluppato diverse soluzioni per aiutare le aziende che hanno esigenze diverse per rimanere aggiornate. Attraverso la funzionalità di aggiornamento automatico, Microsoft Update, Windows può mantenere automaticamente i computer allineati con gli ultimi aggiornamenti di sicurezza per tutti i prodotti.

11. Mantenere il servizio e l’inventario del server attuale aggiornato: ciò significa conoscere quali abbonamenti, prerogative, servizi, network, and host sono posseduti e gestiti. Tenere traccia dei servizi e limitare i rischi di intrusione o dispersione dati sono ormai prerogativa fondamentale per effettuare operazioni sicure. Inoltre, si ha una mappa chiara dei dati che sono protetti.

12. Mantenere una chiara configurazione di sicurezza dei server: una configurazione sbagliata dei server è una delle cause piu comuni di intrusione da parte di utenti non autorizzati, che compromettono così l’host. Microsoft Azure fornisce ai propri clienti server che sono stati configurati in modo sicuro.

Page 9: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

Noi stiamo chiaramente entrando in un’era in cui le organizzazioni si stanno innovando e trasformando, e il Cloud è oggi la soluzione all’avanguardia e al passo con i tempi. Proviamo a prendere in considerazione questi numeri:● Il 71% dei fornitori per il mondo della salute hanno

progettato e sviluppato soluzioni in Cloud ● Si prospetta che i dati sulla sanità di tutto il mondo

cresceranno di 50 volte tra il 2012 e il 2020● In media, i fisici usano 2,7 dispositivi per lavoro e non

solo ● I pazienti desiderano accessi e modalità nuove ai dati

e di dialogo con le aziende healthcare, comprese chat online (49%) e messaggi (45%).

Spesso, ma non sempre, i progetti di miglioramento sono dei progetti di rinnovo dell’infrastruttura IT. Per esempio:● Massimizzare di controllo dei processi di monitoraggio

dei sistemi e utilizzare gli schemi di autentificazione degli utenti già esistenti può automaticamente portare a una nuiva gestione dei documenti e dei sistemi del flusso di lavoro o dei progetti di analisi del business senza alcuna variazione della struttura IT.

● Ridurre il numero degli studi medici e automatizzare i processi può dare il via a un sostanziale sistema di accesso ai dati in mobilità con visualizzazione da qualsiasi luogo e con qualunque strumento connesso a internet.

● Ottimizzare la gestione dei fornitori potrebbe condurre

Microsoft e i suoi partner permettono alle aziende healthcare di migliorare la collaborazione, l’accesso veloce alle informazioni in sicurezza, e a migliorare così la cura dei pazienti migliorando la produttività delle cliniche e l’efficienza, oltre a contenere i costi.Il tasso di digitalizzazione dell’informazione sulla salute è elevato, particolarmente nelle aree della registrazione dei dati, nel deposito di immagini, nelle prescrizioni elettroniche, nel processo di ammissione dei pazienti, nella registrazione e nella programmazione delle visite. I vantaggi sono tanti ed è per questo che in tutto il mondo si sta registrando un alto tasso di conversione al Cloud sicuro. Il bisogno di risorse IT sta crescendo in modo costante e l’adozione del Cloud riflette il trend: poiché le richieste di business crescono serve un’opzione flessibile per stare al passo con questa crescita, e il Cloud offre questa opportunità. La domanda a cui rispondere è: come può l’IT di un’azienda sfruttare al massimo le potenzialità del Cloud a seconda anche dei bisogni? E allo stesso modo, come può l’IT continuare a usare a proprio vantaggio i datacenter in una modalità di Cloud ibrido? E, ultimo ma non ultimo, come si può assicurare la privacy dei dati e la sicurezza e il rispetto delle leggi che tutelano i dati sensibili?

Il Cloud come risorsa per il settore medico

9

Page 10: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

10

a un progetto o a un trasferimento dell’infrastruttura dall’on-premises al Cloud.

● La formazione continua dello staff potrebbe consurre direttamente a delle iniziative di formazione online.

E ancora: si può pensare di implementare il servizio di Microsoft Azure Machine Learning per la gestione dei progetti di ricerca o parlare dei vantaggi dell’Internet of Things (IoT) per collezionare dati utili direttamente dai dispositivi. Si dovrà anche però compiere un passo critico nel viaggio verso il Cloud: cioè fare una scelta tra quei progetti che possono portare vantaggi e archiviare invece quelli che non hanno alcun beneficio. Per illustrare questo, facciamo un esempio e consideriamo i dati raccolti con l’IoT utili per fare un’analisi approfondita della salute del paziente, ridurre i tempi di intervento, velocizzare l’individuazione delle anomalie. Il Cloud infatti permette la raccolta di dati su larga scala provenienti dai dispositivi IoT. Fare un’analisi su una popolazione specifica può guidare a nuove aree di investimento e nuove decisioni. I costi possono essere ridotti, le decisioni possono essere prese velocemente, e le informazioni possono essere scambiate più facilmente. L’IOT è nuovo nel settore healthcare. Ci sono solo una manciata di implementazioni finora e si tratta chiaramente di un’area con una grande carattere innovativo e un alto potenziale, che consente alle organizzazioni sanitarie di essere viste come leader nel settore. Che benefici operativi e IT si possono ottenere mediante l'attuazione di un progetto completamente in Cloud o ibrido?● Si quantifica il costo predittivo per transazione o

paziente / pay per use ● Si possono monitorare anche da remoto i dispositivi IoT.● Si possono connettere dispositivi più facilmente,

comparandolo alle on-premises (es laptop di casa, dispositivi per l’assistenza remota postoperatoria, etc.)

Perché scegliere MicrosoftMicrosoft è l'unica società certificata con una soluzione Cloud versabile e flessibile in grado di adattarsi alle peculiarità aziendali del cliente, alla sua organizzazione e alla sua infrastruttura.Azure permette di potenziare la mobilità aziendale agevolando i dipendenti a connettersi da qualsiasi luogo e su qualsiasi dispositivo, senza compromettere l'integrità della sicurezza dei dati aziendali.Azure permette di creare database con i dati raccolti con i dispositivi IoT: Azure consente di collegare i dispositivi e i sensori in uso e aggiungerne di nuovi per migliorare i processi aziendali.Azure permette di avere una piattaforma unica standard dove risiedono tutte le applicazioni, i programmi, i dati aziendali, sempre aggiornata rispetto ai requisiti di sicurezza per la prevenzione di intrusioni e malware.Azure vi supporta nell’analisi dei Big Data raccolti tramite le interazioni degli utenti. Questo significa poter studiare nuovi servizi per i pazienti, potenziare i servizi già in essere, razionalizzare i costi e migliorare i processi aziendali.E, ultimo ma non per importanza, trasformare il datacenter gestendo tutte le unità server come un’unica unità, rendendo agile e veloce la gestione.

Page 11: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

11

Qui sotto possiamo leggere una serie di consigli da applicare alla realtà heatlhcare che sta approcciando il Cloud.

Identità e autenticazione L’dentità e il processo di autenticazione giocano un ruolo fondamentale. In particolare, regolamentazioni e privacy pretendono che le aziende abbiano il controllo su chi accede ai dati, come e da dove, così da evitare intrusioni o malware e monitorare e sanare eventuali bachi di sistema. Chi accede in particolare ai dati, come, e dove? Ecco i consigli:● Dottori, assistenti medici, infermieri, e lo staff dell’ufficio

devono essere in grado di accedere in modo sicuro ● Nessuna parte del sistema dovrebbe essere

raggiungibile (per esempio, apparecchi telefonici scaricanti dati) senza credenziali di accesso sicure

● Tutti i sistemi di archiviazione devono essere protetti cosicché non possano essere accidentalmente penetrati

● Il sistema deve avere un piano di recupero (recovery plan) in caso di perdita dei dati che garantisca la protezione dei dati e delle informazioni

● I clienti hanno bisogno di un modo sicuro di gestione delle proprie liste di account

Controllo dell’accessoIl controllo degli accessi è essenziale per garantire la riservatezza delle informazioni. È parte del processo di autorizzazione durante il quale il sistema controlla se l’utente può accedere alle risorse richieste. Il controllo dell’accesso è un aspetto importante collegato alle principali caratteristiche dell’Information Security come sono per esempio la riservatezza, l’integrità e la disponibilità dei dati. Quando il sistema ha positivamente identificato chi si sta connetendo al sistema, è importante assicurarsi che i permessi siano attivi per tutta la documentazione che interessa l’utente. Questo perché anche dare accesso a tutti a tutto può provocare la perdita o la divulgazione erronea di

dati sensibili: è essenziale proteggere la privacy dei pazienti e assicurare che solo le persone appropriate possano accedere a particolari dati. Riassumendo:● Tutte le informazioni trasmesse con un network

pubblico (Internet, office network, cell) devono essere protette per evitare perdite di dati accidentali

● Tutti gli accessi ai dati, se letti o scritti, devono essere verificati per garantire che l’utente abbia l’autorizzazione per accedervi

● Tutti gli accessi al sistema da dispositivi esterni devono essere autorizzati e monitorati

● Quando nessuna attività è rilevata per più di 2 minuti l’utente viene automaticamente disconnesso

● Gli archivi di dati non devono essere accessibili direttamente da utenti esterni

Antimalware Il Malware è un problema quotidiano, che va affrontato quotidianamente con l’aggiornamento periodico dei sistemi di sicurezza. Ma, è facile dimenticarsene e per quelle aziende che si occupano di salute e che gestiscono i dati sensibili dei pazienti ciò non deve avvenire. La protezione dai malware è fondamentale e deve diventare una priorità: non deve passare troppo tempo tra un aggiornamento e l’altro e va dedicato tempo all’aggiornamento manuale dei sistemi. Se un sistema viene colpito potrebbe essere compromessa la cura del paziente, oltre a compromettere i file medici dei pazienti stessi. Il sistema deve dunque essere protetto dai malware: Azure offre una soluzione antimalware che può essere aggiunta, che lo rende perfetto per questa applicazione.

Il Cloud e il settore medico tips&tools per una corretta applicazione

Page 12: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

12

Acquisizione e gestione dei certificatiOltre ad avere un processo per la gestione dell’identificazione positiva per gli utenti, è anche importante per servizi e server a sistema identificarsi positivamente prima di connettersi ad altri servizi e programmi. Questa precauzione minimizza le intrusioni che potrebbero compromettere i dati. I certificati sono la maniera migliore per identificarsi e sono uno strumento di prevenzione.

Criptaggio di datiIl mondo sanitario, viste le norme stringenti in materia di gestione dei dati sensibili, richiede la protezione dei dati sia in transito sia archivati. Ciò può avvenire solo utilizzando algoritmi che criptino i dati, di modo che, anche in caso di perdita, essi non sono leggibili e accessibili. Il criptaggio dei dati deve essere effettuato sia per i dati archiviati, soggetti a furto elettronico, sia per i dati in transito, cioè che passano da un programma all’altro e da un servizio all’altro. La circolazione dei dati infatti aumenta la possibilità di diffusione e furto, quindi attraverso il criptaggio si scongiura che tali dati, anche in caso di perdita, possano essere utilizzati da terzi.In breve, ecco cosa è bene fare:● Tutti i dati archiviati

contenenti i dati dei pazienti devono essere protetti in modo tale che la pirateria informatica, la perdita di dati o eventi simili non causino la dispersione di informazioni

● Il sistema deve avere un piano di recupero che garantisca il ripristino e la protezione dei dati e delle informazioni

● I database non devono essere accessibili direttamente da utenti esterni

Collaudo della penetrazione e certificazioneIl collaudo della penetrazione è quella fase in cui si simula un disastro. Tale esercitazione permette di capire se il sistema di protezione messo in atto è resistente o meno e per sanare eventuali bachi di sistema o debolezze dell’infrastruttura IT.È essenziale inoltre che le soluzioni adottate siano realizzate usando strumenti approvati e autorizzati. Le soluzioni in Cloud certificate riducono il rischio di penetrazione da malware. Inoltre, i service provider si occupano loro stesis dell’aggiornamento della protezione, scongiurando un’obsolescenza del sistema di protezione dei dati.

RegistrazioneLe aziende che si occupano di salute hanno solitamente dei registri storici dei dati dei pazienti. Chi non ce l’ha è necessario che se ne doti al più presto. Il Cloud permette di registrare e monitorare tutti gli aggiornamenti del sistema con data e ora, con il nome dell’utente che ha modificato i dati, le modifiche apportate. Azure utilizza Microsoft SQL Server on-premises per la gestione di tutti i dati utilizzati.

La Root Cause Analisys (RCA)La Root Cause Analysis (RCA) è stata applicata al settore sanitario ed è stata ideata per essere uno strumento molto efficace per migliorare la cura dei pazienti e ridurre i costi sanitari da eventi avversi . La RCA è una metodologia sistemica e completa che mira a identificare le lacune nei sistemi e nei processi di cura dei dati all’interno di una struttura sanitaria che potrebbero non essere immediatamente evidenti e che possono aver contribuito al verificarsi di un incidente.

8a

Page 13: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

Training in cyber security Gli elementi chiave per la formazione del personale in materia si sicurezza informatica da tenere in considerazione sono:● La creazione di un protocollo di sicurezza per i dati

internet e intranet.● Una comunicazione facile ed efficace tra funzioni.● Ruoli delle persone e responsabilità chiaramente

definite.● Commitment della dirigenza sulle norme per la

sicurezza e la protezione dei dati aziendali. ● Formazione periodica e aggiornamento continuo dello

staff, IT e non solo.

Patch systems È il sistema di monitoraggio che permette di individuare eventuali obsolescenze di sistema e sanarle: Azure usa il sistema ActiveX technology per scannerizzare i computer, monitorando ciò che è stato installato e presentando una lista di componenti suggeriti che necessitano di miglioramento basato sulle più aggiornate e accurate versioni. I software hanno bisogno di essere aggiornati regolarmentecosì da scongiurare malware o intrusioni informatiche. Il sistema permette di minimizzare le minacce alla sicurezza grazie a sistemi configurati e protetti adeguatamente grazie a software sempre aggiornati.

Service/server inventoryÈ la mappatura dei servizi attivati e dei server installati. Si suggerisce, prima di iniziare il processo di migrazione al Cloud, di creare un questionario di base per verificare cosa è stato installato, come, se è aggionrnato e dove.

Configurazione sicura del serverIl server va configurato con tutti i requisiti di sicurezza e gli account che accedono ai dati devono essere protetti da password sicure: ciò è essenziale per prevenire un uso non autorizzato dei dati o una dispersione.

13

Page 14: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

I dati di mercato confermano il crescente interesse per il Cloud in Italia. Secondo una ricerca IPSOS Mori del 2015 i dipendenti delle PMI italiane riconoscono l’importanza della tecnologia: il 43% crede che l’utilizzo della tecnologia debba essere una priorità per ridurre i costi, molto diffusa anche la convinzione che la tecnologia possa aiutare la propria azienda a crescere (42%). Le PMI italiane appaiono di fatto in cammino verso l’innovazione: il 33% dei dipendenti lavora già per aziende che seguono logiche paperless e sono ben connesse online e la stessa percentuale, il 33%, dichiara di lavorare per aziende che stanno rinnovando i propri processi IT e passando a un modello online.Mobility e Cloud sono aspetti importanti nell’opinione dei dipendenti italiani per supportare le proprie aziende nel percorso di crescita. Se dovessero suggerire l’acquisto di una nuova soluzione/servizio per aiutare il proprio business ad avere più successo, il 37%, punterebbe su laptop, smartphone e tablet e il 31% sul Cloud, sia che si tratti di infrastruttura o servizi per la collaborazione o il CRM.

La visione MicrosoftOgni azienda, a prescindere dalle dimensioni e dal business che trattano, deve oggi ragionare come fosse anche un’azienda digitale. Perché? Perché i volumi sempre crescenti di dati da gestire creano opportunità per le aziende. La Digital Transformation infatti porta con sé novità, nuovi modi di lavorare, nuove possibilità di business e di ingaggio dei clienti. Ma il cambiamento è difficile, sia da instillare nelle persone sia da gestire in termini di processi e nuovi modi di lavorare.Microsoft supporta le aziende a mettere in atto la Digital Transformation fornendo il miglior servizio Cliud possibile e ciò permette alle aziende di usare i social media per guidare e seguire meglio i clienti nella loro esperienza di acquisto, analizzare i dati per cogliere nuove opportunità in real time o quasi, utilizzare strumenti di comunicazione agile come Skype for Business.I nuovi clienti nel mercato PMI crescono di mese in mese

e questo è avvenuto anche grazie all’incremento del numero dei Reseller di prodotti Cloud che fanno parte dell’ecosistema di Partner Microsoft, con cui ci impegniamo per raggiungere in modo capillare le PMI sul territorio, promuovendo la digitalizzazione del tessuto economico nazionale. L’Italia si rivela una Paese molto ricettivo, dove il business Cloud continua a crescere a due cifre con un fatturato anno su anno quasi raddoppiato. La nostra suite per la produttività Office 365 e la nostra piattaforma cloud Azure si rivelano sempre più asset strategici a supporto della competitività delle realtà italiane.Cosa sta accelerando in questi ultimi mesi l’adozione del cloud da parte delle PMI? Sicuramente anche le esperienze di clienti che hanno già ottenuto benefici concreti dalla nostra tecnologia. Si tratta di storie di micro aziende, piccole e medie imprese di settori merceologici diversi ed anche di zone geografiche diverse, giovanissime o presenti da più anni sul territorio, con una rilevanza nazionale o con un respiro internazionale che hanno già scelto Office365 e altri prodotti Cloud based.Le storie mettono al centro il cliente e il partner come abilitatore e implementatore della trasformazione e sono di esempio per altre realtà che condividono gli stessi bisogni.

Il Cloud una risorsa anche per le piccole medie imprese

14

Page 15: nel mondo HEALTHCARE - info.microsoft.com · gestione della privacy, della sicurezza dei dati e il rispetto delle regole della compliance diventa importantissima affinché le aziende

Intervista a Giancarlo Gervasoni, AD di Zerouno Informatica SpA

Di cosa vi occupate? Progettiamo e gestiamo i sistemi informativi e gli asset informatici dei nostri clienti, fornendo servizi di connessione e di supporto 24 ore su 24, 7 giorni su 7. Il nostro obiettivo è occuparci dei sistemi di miglioramento dei processi produttivi dei nostri clienti affinché questi si possano occupare e concentrare sullo sviluppo del proprio business.

Perché avete scelto Microsoft Azure?Azure si integra con le infrastrutture IT che proponiamo ai nostri clienti. Inoltre Microsoft è il service provider che proponiamo anche per le soluzioni on-premises e in Cloud con Azure. Microsoft ha il grande vantaggio di adattarsi in armonia a tutti i sistemi e ha quella flessibilità e adattabilità necessarie per adattarsi a qualunque contesto e business.

Quali servizi proponete alle vostre aziende clienti che si occupano di medicina?Noi ci occupiamo della progettazione dell’infrastruttura e della cyber security, e inoltre abbiamo recentemente sviluppato dei software customizzati proprio per il mondo healthcare. Siamo inoltre in grado di integrare anche l’assistenza ai clienti e ai pazienti in remoto tramite call center con i sistemi Microfost, così da fornire un’assistenza sempre migliore.Inoltre garantiamo gli obiettivi di server consolidation, la business continuity del datacenter e un piano di disaster recovery remoto, mantenendo dinamicità e scalabilità dell’infrastruttura e con i soli applicativi core in locale.

Quali sono i vantaggi dell’adottare una soluzione Cloud Microsoft, anche per una PMI?Noi abbiamo scelto di lavorare con Microsoft perché è affidabile. Inoltre Azure si integra perfettamente con tutti i software permettendo l’accessibilità ai dati in sicurezza anche in mobilità: pensiamo al servizio di emergenza di cardiologia, con il medico che risponde direttamente da casa propria e che accede al dato tramite il proprio smartphone. La nostra soluzione permette ai medici di ricevere infatti telefonate voip integrate nei sistemi così che i dati siano disponibili in tempo reale. In ambito medico la disponibilità del dato è fondamentale, soprattutto quando si agisce in emergenza. Inoltre per i nostri clienti che sono aziende ospedaliere gestiamo la security e le postazioni di lavoro, fornendo laptop con sistemi Microsoft.

Nel settore medicale le leggi sulla protezione dei dati sono stringenti. Come il Cloud diventa un punto di forza anche in questo caso?Microsoft Azure segue tutti i protocolli di protezione necessari a garantire lo storage sicuro dei dati. Inoltre le soluzioni in Cloud permettono periodicamente l’aggiornamento dei sistemi di sicurezza, evitando esposizioni a rischi inutili.

Perché consigliereste Microsoft Azure?Azure è coerente con le piattaforme di business di Microsoft, è parte della strategia di Microsoft in sintonia con l'obiettivo di supportare i clienti. Il Cloud si integra in modo semplice e naturale ed è flessibile, cioè si adatta alle reali esigenze, anche momentanee dell’azienda.

15


Enterprise Cloud Strategy - info.microsoft.com · Arquitectura de plataforma como servicio ..... 123 Contenedores y microservicios ... de ejemplo .....194 Escenarios de nube híbrida

i e i a i c ia Risonanza magnetica , l’imaging diagnostico ... · ritenere la risonanza magnetica come metodi- ... importantissima nello studio e nella caratte-Risonanza magnetica

GIORGIO PERLASCA - partecipiamo.it · recato a Berna per comunicare più facilmente con Madrid. La sua è una missione diplomati-ca importantissima. Informa- ... morto il 15 agosto

IPASVI - L'Infermiere n°3 / 2016...IPASVI - L'Infermiere n 3 / 2016 Gli infermieri sanno bene cosa hanno dovuto affrontare in questi lunghi anni in cui, al di là della pur importantissima

Anatomy of a Breach - info.microsoft.com

A Custom Technology Adoption Profile Commissioned …info.microsoft.com/rs/157-GQE-382/images/EN-Accelerating Digital... · FORRESTER.COM OVERVIEW SITUATION APPROACH OPPORTUNITY CONCLUSIONS

Cloud Lösungen und HoloLens für ... - info.microsoft.com in... · Serviceleisungen tracken und effizient erbringen | Dennis Ahrens - Business Solution Manager Zühlke Engineering

TECHNICAL • COMMUNICATIONS • OPERATIONS • LEGAL …info.microsoft.com/rs/157-GQE-382/images/EN-US-CNTNT-emergency-doc-digital.pdfTECHNICAL • COMMUNICATIONS • OPERATIONS •

GLOBAL TRANSACTION BANKING - info.microsoft.com · Global transaction banking remains a central focus in an ... seizing the opportunity to provide better ... Advanced risk analytics

REGIONE LAZIO - Money.it - Economia, Finanza e Mercati · 2020. 5. 2. · Requisiti per la presentazione delle domande ... rappresentare per il tirocinante una importantissima occasione

Strategies for the digital leader - info.microsoft.com for the... · and operational excellence. ... The first consideration in delivering excellence in digital manufacturing today

Le donne ebbero un ruolo molto importante nella Resistenza: si distinsero per coraggio e talvolta per astuzia, e si dimostrarono una spalla importantissima

Business Model Innovation Guide - info.microsoft.com

Retail Transformation Study How Retail Leaders Are ...info.microsoft.com/rs/157-GQE-382/images/Retail_Transformation_Study.pdfHow Retail Leaders Are Redefining IT and Transforming

capitolo 9 - natura e biodiversità - provincia.ra.it 9.pdf · chino, Vespertilio di Daubenton, Nottola gigante, Nottola, Barbastello. Importantissima, infine, la presenza del Lupo,

Framåt inte tillbaka - info.microsoft.com

Come fare per stare a tempo? - scuoladiballomery.com · all’interno di una frase riconoscendo su quale delle ... Nota importantissima ... 1e, 2 Movimento Base del Samba. In sostanza,

Digital transformation requires - info.microsoft.com Giron... · Digital transformation requires customer obsession Fred Giron, ... —Ashley Latham, CIO, Saxo Bank •Loosely-coupled

Retail Execution - info.microsoft.com · and in-store to deliver personal, seamless, and differentiated customer experiences. Empower people to deliver maximum business impact. Personalize

Digital Workplace for HR - info.microsoft.com Workplace... · Digital Workplace for HR. Supercharging HR with Data, ... general manager for Human Resources Business Intelligence at

NOVENA ALLA DIVINA MISERICORDIA · 2017. 3. 31. · LA NOVENA DELLA DIVINA MISERICORDIA: La novena della Misericordia è importantissima (404-411), può essere fatta in qualsiasi

Approfondimento scuola e fascismo VB/approfondimento... · 2018-04-05 · Approfondimento – scuola e fascismo 2 Importantissima, nel fascismo, fu la propaganda. Essa non si rivolgeva

Uncovering AI in Finland - info.microsoft.com AI in... · invited 20 organizations from 5 different sectors to ... automation chatbots processes ... application initiatives include

…per gli italiani convinti di essere LORO il problemaconvenzioni.cassaforense.it/media/1226/presentazione-scuola.pdf · L’interazione è importantissima: «learn having fun»

Presentazione di PowerPoint - Microsoft · mantenendo sempre una importantissima prerogativa: la flessibilità. Rappresentazione di un particolare punzonato. Simulazione del taglio:

LinkedIn Learning in Education - info.microsoft.com

Ventajas principales - info.microsoft.com · ilustrativo y son ficticios. No debe suponerse ni derivarse ninguna asociación real. Field service conectado El field service conectado

SCIENTOLOGY è uNa RELIGIONE? · Scientology è diventata importantissima nelle vite delle persone intervistate. Occupa un posto molto centrale e, a quanto pare, molto costruttivo

ENOTECA ITALIA · 2010-11-02 · Giorgio Calabrese per l’impegno profuso nel valorizzare il vino come importantissima risorsa del patrimonio culturale ... Barbera d’Alba Doc 2008

RÉSUMÉ — INHALTSANGABE.epa.oszk.hu/00000/00021/00209/pdf/MKSZ_EPA00021_1942_66_02_… · RÉSUMÉ — INHALTSANGABE 231 gli ann1316—1338i e com,e taiebbeparte e importantissima

Enabling a Digital Nigeria - info.microsoft.com

ACCELERATEUR D INNOVATION - info.microsoft.com · se couper de tout ce qui permet aujourd’hui à une organisation d’être agile et concurrentielle : flexibilité, rapidité de

Presentazione standard di PowerPoint · La sensibilizzazione delle persone è importantissima, ma i comportamenti individuali, da soli, non bastano. «Per generare il cambiamento

Ricette gourmand Onnivore - app.dietasocial.itapp.dietasocial.it/pdf/1/16/Ricette_23-05-2016_16.pdf · la funzione importantissima di contrastare l’azione del ... di oliva / Sale

Protecting and empowering your ... - info.microsoft.com · with Microsoft Enterprise Mobility + Security . ... requiring increasingly more sophisticated security tools ... expect