rmatica, Aprile 2009 SAXOS Infor Soluzioni software per la Sanità

Transcript

1 L ANALISI DEL RISCHIO VIOLAZIONE DELLA PRIVACY, ALLA LUCE DELLE NUOVE ACQUISIZIONI TECNOLOGICHE E DEGLI AVANZAMENTI DELLA TECNOLOGIA. Ing. Antonio Lancia

2 Un po di storia 2001 Saxos Informatica fornisce alla C.D.C. Fogliani il software di gestione Cartella Clinica; 2005 Saxos Informatica fornisce alla C.D.C. Fogliani i primi 20 computer per l utilizzo della Cartella Clinica diventando unico fornitore e gestore delle infrastrutture tecnologiche; 2006 Saxos Informatica concorda con la direzione della CDC C.D.C. Fogliani ile attività itàidonee a garantire la sicurezza dei dati gestiti dalla piattaforma Saxos in conformità al disciplinare tecnico Allegato B. del decreto legislativo 30/06/2003, n. 196; 2009 Saxos Informatica oltre alla manutenzione della piattaforma informatizzata di gestione Cartella Clinica ha assunto l incarico di amministratore di sistema nella persona del legale rappresentante Ing. Antonio Lancia;

3 L amministratore di sistema L amministratore di sistema" è una figura essenziale per la sicurezza delle banche dati e la corretta gestione delle reti aziendali. In particolare i compiti a lui affidati dal titolare sono: Verificare il corretto funzionamento degli apparati di rete; Monitorare la sicurezza dei sistemi; Effettuare interventi di manutenzione hardware e software; Gestire le credenziali di accesso ai sistemi; Impartire le policy di sicurezza a fornitori di terze parti; Effettuare prove periodiche di ripristino dei dati; Supportare il titolare del trattamento nell Analisi del Rischio suggerendo l adozione e l aggiornamento delle più ampie misure di sicurezza in rapporto al progresso tecnologico;

4 Il Sistema Fogliani SWITCH 3 piano (2) Studi Medici (1) Sala Medici (1) Direzione (3) Sala Operatoria Carrello (1) Sala Operatoria Fisso (1) Sala pre-anestesia Rete SWITCH (8) Switch obsoleti (4) Switch nuovi ewall Fir (1) Firewall Cisco per l accesso a Internet piano 1 piano (7) Ambulatori (1) Medicheria (1) U.R.P. (1) Carrello mobile (1) Server Backup 2 (2) Ambulatori (2) Guardiola + Caposala (1) Direzione (1) Carrello mobile Pian no Terra (3) Accettazione (3) Ambulatori (1) Terapia Riabilitativa (1) Server Saxos (1) Server Posta Interna (1) Storage Immagini Dicom Rad diologia (1) Accettazione (2) Refertazione (2) Ambulatori (38) Postazioni informatizzate per la (3) Server dislocati in sedi (12) gestione della Cartella Clinic Saxos diverse della struttura itorium Aud (12) Dispositivi di rete dislocati in diverse sedi della struttura (1) Relatore (2) Video Proiettore

5 Analisi del rischio Il personale tecnico di Saxos Informatica partecipa costantemente con la direzione della C.D.C. Fogliani alla valutazione del rischio: MINACCE MISURE DI SICUREZZA Se le minacce pesano di più, si valuta la possibilità di introdurre nuove misure di sicurezza.

6 Possibili minacce al sistema Minacce SENZA movente Agenti casuali quali incendi, inondazioni, sbalzi di tensione, guasti hardware, ecc.. Minacce CON movente Azioni deliberate, ad esempio furti o danni volontariamente causati da personale interno piuttosto che da hacker esterni. Divulgazione di dati: ad es. intercettazioni, hacker, procedure di manutenzione non corrette; Interruzione di servizio: ad es. terremoti, incendi, inondazioni, mancanza di tensione elettrica; Modifica dei dati: ad es. errori nel data entry, hackers; Distruzione: terremoti, incendi, inondazioni, sbalzi di tensione; Rimozione: furto di dati, furto di sistemi;

7 Misure di sicurezza esistenti Assegnamento delle credenziali di accesso per ciascun utente: gestione delle password; Autorizzazione i dinamica i ai dati: gestione diritti itti utente t tramite la procedura di Saxos; Crittografia dei dati: a livello di S.O.; Protezione da virus informatici: virus scan di rete; Protezione dell integrità dei dati: backup automatici; Registrazione degli accessi alle banche dati: registro eventi; Connessione alla rete esterna internet tramite firewall; Rete senza cavi WiFi criptata per i portatili di reparto; Piano di ripristino della disponibilità dei dati: si attuano le azioni previste nella procedura di Disaster Recovery;

8 Misure di sicurezza di prossima realizzazione Gestione delle credenziali di accesso al sistema tramite Dominio Microsoft windows Server 2003; Realizzazione della infrastruttura di rete a stella; Implementazione del sistema di identificazione del paziente tramite braccialetto con RFID;

9 Il partner tecnologico Grazie per l attenzione.