DevOps – leva strategica per il settore sanitario

A cura di:Federica Maria Rita Livelli Ore

Gli ospedali e le varie strutture sanitarie, oggigiorno, si trovano di fronte a sfide legate alla cybersecurity in termini di minaccia sia per la sicurezza dei pazienti sia per le loro operazioni quotidiane. DI fatto, la progressiva digitalizzazione dei servizi sanitari introduce complesse problematiche di sicurezza, in particolare per quanto riguarda la necessità di garantire che i dati siano costantemente disponibili, accessibili in modo semplice e conformi agli standard di sicurezza vigenti. In questo contesto, l’approccio DevOps assume un ruolo cruciale nel settore sanitario. Vediamo di che si tratta.

Importanza del DevOps nel settore sanitario

L’introduzione di DevOps nel settore sanitario offre numerosi benefici. Questa metodologia integra lo sviluppo software (Dev) con le operazioni IT (Ops), incentivando una maggiore collaborazione tra i gruppi responsabili dello sviluppo e quelli incaricati della gestione delle infrastrutture. Ovvero, un approccio che migliora significativamente l’efficienza e la rapidità nello sviluppo e nel rilascio di software, permettendo alle strutture sanitarie di adeguarsi prontamente alle variazioni e alle necessità emergenti nel settore.

Vantaggi nell’implementare i DevOps nel settore sanitario

Di seguito si illustrano i principali vantaggi che possono scaturire dall’implementazione di DevOps nel settore sanitario:

  • Riduzione delle spese operative – Sia le spese operative – poiché non ci sono investimenti iniziali in acquisti e formazione – sia le risorse operative sono notevolmente ridotte
  • Integrazione e Distribuzione Continue – DevOps facilita l’integrazione fluida e il deployment di aggiornamenti software e nuove features, assicurando che i sistemi sanitari rimangano all’avanguardia ed efficienti.
  • Efficienza e Scalabilità Migliorate – Le metodologie DevOps permettono alle organizzazioni sanitarie di espandere rapidamente i loro sistemi in risposta alle esigenze in crescita, assicurando al contempo il mantenimento di operazioni senza intoppi.
  • Automazione Accresciuta – Grazie all’automazione, i team DevOps riescono a semplificare i processi, minimizzando gli errori umani e potenziando l’efficienza generale del sistema.
  • Sfruttamento dei dati migliorato – L’architettura di DevOps garantisce una facile accessibilità attraverso le applicazioni a portata di mano per i pazienti e l’amministrazione. I dati vengono sfruttati in più reparti e piattaforme per un utilizzo multiuso al fine di fornire soluzioni sanitarie integrate.
  • Sicurezza dei dati e conformità normativa – Il principio fondamentale di DevOps, i.e. “l’infrastruttura come codice”, consente agli operatori sanitari di integrare i fondamenti della sicurezza all’interno del modulo applicativo stesso. Secondo questo approccio, l’analisi delle vulnerabilità viene eseguita insieme alle implementazioni della pipeline. Ciò consente agli ingegneri di affrontare tutte le potenziali vulnerabilità al momento dello sviluppo e dell’implementazione. Inoltre, viene utilizzato il principio del “privilegio minimo” per assegnare l’accesso. Ciò significa che le macchine e le persone con il livello di privilegio più basso non ottengono l’accesso alle aree critiche del sistema, garantendo la protezione dei dati e il rigoroso rispetto della conformità attraverso la mitigazione del rischio.
  • Aumento del coinvolgimento – Le organizzazioni sanitarie che implementano pipeline Continued Integration (CI)/(Continued Distribution (CD) spesso forniscono funzionalità e soluzioni più personalizzate, con conseguente miglioramento dell’esperienza del paziente (i.e. sistemi di self-check-in che accelerano elaborazione del paziente o compilazione elettronica delle prescrizioni che consentono ai pazienti di accedere ai farmaci da remoto) per un’assistenza immediata e di qualità. Inoltre, anche gli operatori sanitari possono trarre beneficio dai DevOps, ad esempio, implementando la pianificazione automatizzata degli appuntamenti, per migliorare l’efficienza operativa, mantenendo al contempo un’erogazione di cure ottimale.

Team DevOps – ruolo strategico

È essenziale riconoscere il ruolo strategico che i team DevOps rivestono in vari aspetti del settore sanitario, tra cui:

  • Gestione dell’Infrastruttura – Questa è cruciale per assicurare che tutti i componenti infrastrutturali, come server, reti e database, operino in maniera sicura ed efficiente. Ciò include il monitoraggio costante delle prestazioni del sistema, l’identificazione e la risoluzione dei punti critici, nonché l’ottimizzazione dell’uso delle risorse per garantire il massimo livello di prestazioni.
  • Sicurezza delle Applicazioni -Questo compito, che richiede una stretta collaborazione con gli sviluppatori, è rivolto all’implementazione di robuste misure di sicurezza all’interno delle applicazioni. Tra queste, vi sono i controlli di accesso, la crittografia e le pratiche di sviluppo sicuro.
  • Risposta agli Incidenti e Ripristino di Emergenza – L’obiettivo è ridurre al minimo i tempi di inattività e le vulnerabilità del sistema attraverso lo sviluppo e l’attuazione di piani di risposta agli incidenti e strategie di ripristino di emergenza.
  • Principali Rischi per la Cybersecurity nelle Aziende Sanitarie -Con l’avanzamento verso la digitalizzazione e l’innovazione, le aziende sanitarie diventano sempre più bersagli attraenti per i criminali informatici che cercano di sfruttare le vulnerabilità della cybersecurity e sferrare attacchi che possono avere un impatto significativo sull’organizzazione.

In sintesi, l’adozione di pratiche DevOps nel settore sanitario non solo migliora l’efficienza e la reattività delle organizzazioni sanitarie ma gioca anche un ruolo fondamentale nel rafforzare la sicurezza e la resilienza delle infrastrutture critiche di fronte a minacce sempre più sofisticate.

Formazione e sviluppo delle competenze necessarie per adottare efficacemente le pratiche DevOps

È doveroso sottolineare che, per adottare le pratiche DevOps in modo efficace nel settore sanitario, è necessario strutturare una formazione e uno sviluppo di competenze in diverse aree. Per quanto riguarda le competenze tecniche, i professionisti IT dovrebbero acquisire conoscenze nel cloud computing, nell’automazione dell’infrastruttura e nelle tecnologie di containerizzazione. È inoltre essenziale la conoscenza degli strumenti di gestione della configurazione, delle pipeline Continued Integration (CI)/Continued Distribution (CD) e dei sistemi di controllo delle versioni.

Inoltre, per garantire un’efficace implementazione DevOps nel settore sanitario, richiede da parte dei team coinvolti una serie di competenze trasversali, quali: esperienza in materia di sicurezza e conformità, gestione del rischio, capacità di collaborazione e comunicazione, metodologie agili e capacità di problem solving.

Come implementare DevOps nel settore sanitario

Di seguito gli step principali da considerare nell’implementare DevOps nel settore sanitario.

  1. Pianificazione – Il primo passo del processo DevOps è la pianificazione. È necessario esaminare le attività operative e di sviluppo e configurarle in base alla metodologia DevOps. Inoltre, durante questa fase, è necessario controllare anche le risorse tecniche e umane, l’inventario, le linee guida software e le politiche di sicurezza. Ancora, potrebbe essere necessario pianificare riunioni con team diversi ed eseguire la gestione delle attività.
  2. Integrazione continua (Continued Integration – CI) – Il server CI deve eseguire il commit di tutte le modifiche di sistema e dei nuovi moduli di codice nel repository centrale. Ciò consente la condivisione e l’unione del codice tra reparti. Un’efficiente gestione del codice previene anche i ritardi.
  3. Test continui – Il repository condiviso viene continuamente testato per verificarne il funzionamento o meno. Se il test dà risultati positivi, viene inviato alla fase successiva. In caso di test con esito negativo o “inconcludente”, il sistema tenta di identificare l’errore ed eseguendo tale operazione attraverso il proprio database. Ciò permette di verificare se l’errore è noto. Se si tratta di un nuovo errore, il sistema genera un report e crea un evento imprevisto assegnandolo successivamente al team di sviluppo che terrà traccia del problema attraverso un tracker degli incidenti.
  1. Distribuzione continua (Continued Distribution) – Il codice, dopo essere stato testato correttamente, viene distribuito nel sistema di produzione (o nel sistema di sviluppo, a seconda del protocollo aziendale), garantendone una rapida e regolare distribuzione.
  2. Monitoraggio e feedback costante – Il monitoraggio costante assicura che il software funzioni al suo livello ottimale. Di fatto, il sistema invia feedback al team di DevOps e, in caso di problemi nella compilazione, viene generato una segnalazione in tempo reale di incidente che il sistema monitora in modo da tenere traccia degli incidenti.

Conclusioni

DevOps sta emergendo come uno strumento cruciale nel settore sanitario, fungendo da catalizzatore per migliorare sia l’efficienza operativa sia la gestione dei costi delle infrastrutture, oltre ad accelerare i tempi di sviluppo delle applicazioni, facilitare la sinergia tra i collaboratori e massimizzare l’uso sicuro dei dati disponibili.

Le organizzazioni sanitarie devono essere capaci di affrontare le minacce informatiche, proteggendosi dagli attacchi contingenti e futuri. I DevOps, in questo ambito, assumono un’importanza strategica in quanto sono in grado di equilibrare dinamicamente innovazione ed agilità con sicurezza e conformità, senza trascurare l’attenzione verso il paziente e si ritiene che contribuiranno sempre più al miglioramento dei servizi sanitari e, ove necessario, rivolgersi a professionisti del settore in grado di offrire servizi dedicati ed accompagnare i vari attori sanitari lungo il cammino sine die verso la cyberresilience.

Articolo a cura di Federica Maria Rita Livelli, BeDisruptive Training Director/BCI – Cyber Resilience Group/ CLUSIT – Comitato Scientifico /ENIA- Comitato Scientifico /FERMA – Digital Committee/ANRA – Board & Comitato Scientifico

Profilo Autore
Federica Maria Rita Livelli

Certificata in Risk Management (FERMA/ANZIIF certificazioni Iso 3100:2018) & Business Continuity (AMBCI Certification – BCI, UK; CBCP Certification – DRI, Usa), svolge consulenze in Risk Management & Business Continuity oltre ad effettuare un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere. Ricopre anche il ruolo di Training Director presso BeDisruptive Consulting.

Membro de:
· ANRA (Associazione Nazionali Risk Manager & Responsabili Assicurazioni Aziendali) – Membro Comitato Direttivo
· BCI, UK (Associazione Internazionale Business Continuity & Resilience) – Membro del Conduct Committee
· BCI CYBER RESILIENCE SIG – Board Member
· CLUSIT (Associazione Italiana per la Sicurezza Informatica) - Membro Comitato Scientifico e Gruppo CLUSIT AIXIA
· ENIA (- Ente Nazionale per l’Intelligenza Artificiale) - Membro Comitato Scientifico
· FERMA (Federation of European Risk Management Associations) – Membro of Digital Committee
· UNI (Ente Nazionale Italiano di Normazione) - Rappresentante per ANRA al Comitato Tecnico UNI/CT 016/GL 89 "Gestione dell'innovazione" (ISO/TC 279) (Commissione Tecnica -UNI/CT 016 "Gestione per la qualità e metodi statistici")

Speaker in numerosi seminari e convegni nazionali ed internazionali in riferimento a tematiche di Business Continuity & Risk Management, Resilience , Change Management, Innovazione, Cyber Security, Facility Management & Procurement e Artificial Intelligence

È altresì autrice di numerosi articoli inerenti alle tematiche di Risk Management & Business Continuity, Cybersecurity e Resilience pubblicati da diverse riviste italiane e straniere. Co-autrice de: Report 2020-2021-2022 -2023-2024 CLUSIT-Cyber Security e de “Lo stato in Crisi” ed. Franco Angeli.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Il fenomeno dei Deepfake e le implicazioni cruciali per la Cybersecurity

Il fenomeno dei Deepfake e le implicazioni cruciali per la Cybersecurity

A cura di:Giovanni Villarosa Ore Pubblicato il

La misinformazione è un inganno. La disinformazione è un imbroglio Toba Beta Preambolo: avete idea di quante captazioni “vocali” giornaliere siamo vittime, spesso inconsapevoli, e quanto è grande la galassia dei microfoni che ascoltano tutti i giorni la nostra voce, senza soluzione di continuità? Un hacker falsifica la voce di un dipendente appartenete ad una società operativa…

Employability and Competition

Employability and Competition

A cura di:Redazione Ore Pubblicato il

Ogni professionista sia esso dipendente, consulente o imprenditore studia e acquisisce certificazioni per rendersi maggiormente impiegabile e competere meglio con gli altri. Il mercato del lavoro in Italia non ha ancora ben compreso la grande rivoluzione digitale in atto e, per rendersi conto di questo, basta osservare i mansionari dei contratti nazionali di lavoro, le…

Comunicato Stampa Post Evento 17° Forum ICT Security 2016

Comunicato Stampa Post Evento 17° Forum ICT Security 2016

A cura di:Redazione Ore Pubblicato il

La 17° edizione del Forum ICT Security si è conclusa con un grandissimo successo. L’evento, tenutosi presso il Centro Congressi Roma Aurelia Antica, ha registrato un’eccellente risposta di pubblico ed operatori. 954 visitatori hanno potuto incontrare sponsor, espositori e partners, partecipare alle 4 sessioni e ascoltare 36 relatori, per un’offerta ricca e qualificata di convegni…

Gestione delle credenziali: un’analisi comparativa dei principali strumenti di Password Management

Gestione delle credenziali: un’analisi comparativa dei principali strumenti di Password Management

A cura di:Giorgio Sbaraglia Ore Pubblicato il

Segue dalla prima parte Come riuscire a ricordare le tante password che abbiamo Oggi, secondo le statistiche, ciascuna persona deve gestire mediamente un centinaio di password. E queste nostre password devono essere sempre diverse, lunghe, complesse. Sembrerebbe un problema senza soluzione, ma – al contrario – oggi ci vengono in aiuto i Password Manager, applicazioni…

Il GDPR nei contratti online

Il GDPR nei contratti online

A cura di:Francesco Maldera e Giuseppe Diretto Ore Pubblicato il

Il contratto: una base giuridica da esplorare L’articolo 6 del Regolamento UE 2016/679 (GDPR) espone le basi giuridiche sulle quali fondare un trattamento lecito di dati personali da parte del titolare. Tra le sei basi giuridiche (dalla lettera a) alla lettera f) del primo paragrafo) quella che merita di essere analizzata più in profondità, nel…

Cybersecurity in un mondo quantistico. Cosa cambierà?

Cybersecurity in un mondo quantistico. Cosa cambierà?

A cura di:Alessandro ‘Scinawa’ Luongo Ore Pubblicato il

Intro Era il 1982 quando Feynman propose di utilizzare la meccanica quantistica per creare dei computer capaci di simulare altri sistemi fisici quantistici: un problema, che per grandi dimensioni, diventa intrattabile da qualsiasi computer classico. Da allora, la ricerca nell’ambito dell’informazione e della computazione quantistica non si è mai fermato, e finalmente negli ultimi anni…