Introducción
La computación en la nube se refiere a una infraestructura de Internet de autoservicio a pedido que permite al usuario acceder a recursos informáticos en cualquier momento y desde cualquier lugar . Es un nuevo modelo de suministro de recursos informáticos, no una nueva tecnología. Algunos ejemplos de aplicaciones no relacionadas con el cuidado de la salud de uso común incluyen Microsoft Hotmail y Google Docs, mientras que algunas aplicaciones más conocidas en el cuidado de la salud incluyen Microsoft HealthVault y Google Health platform (recientemente descontinuadas ). Sin embargo, en comparación con la computación convencional, este modelo proporciona tres nuevas ventajas: recursos informáticos masivos disponibles bajo demanda, eliminación de un compromiso inicial por parte de los usuarios y pago por uso a corto plazo según sea necesario . Varios artículos, foros y blogs han informado de sus aplicaciones en la industria, los negocios, el transporte, la educación y la seguridad nacional .
La atención de la salud, como con cualquier otra operación de servicio, requiere innovación continua y sistemática para seguir siendo rentable, eficiente y oportuna, y para proporcionar servicios de alta calidad. Muchos gerentes y expertos predicen que la computación en la nube puede mejorar los servicios de atención médica, beneficiar la investigación de atención médica y cambiar la cara de la tecnología de la información (TI) . Por ejemplo , Schweitzer , Haughton y Kabachinski creen que la computación en la nube puede reducir los gastos de inicio de registros electrónicos de salud (EHR), como hardware, software, redes, personal y tarifas de licencia, y por lo tanto fomentará su adopción. La investigación de Rosenthal et al muestra que la comunidad de la informática biomédica, especialmente los consorcios que comparten datos y aplicaciones, pueden aprovechar el nuevo paradigma de la computación . Como se indica en el documento de Anderson et al, los problemas de manejo de datos, la complejidad y las soluciones computacionales costosas o no disponibles para los problemas de investigación son temas importantes en la gestión y el análisis de datos de investigación biomédica . Varias innovaciones informáticas han demostrado que la computación en nube tiene el potencial de superar estas dificultades .
A pesar de los muchos beneficios asociados con las aplicaciones de computación en la nube para el cuidado de la salud, también hay varios problemas de administración, tecnología, seguridad y legales que deben abordarse. El objetivo de este trabajo es discutir el concepto de computación en la nube, sus aplicaciones actuales en el cuidado de la salud, los desafíos y oportunidades, y cómo implementar la planificación estratégica cuando la organización ha decidido pasar al nuevo modelo de servicio.
Computación en la nube: Un Nuevo Modelo de Computación Económica
La computación en la nube sigue siendo un paradigma en desarrollo, y su definición, atributos y características evolucionarán con el tiempo. Vaquero et al estudiaron más de 20 definiciones e intentaron extraer una definición consensuada, así como una definición mínima que contuviera las características esenciales. Basándose en el estudio, definieron la computación en la nube de la siguiente manera :
Las nubes son un gran conjunto de recursos virtualizados de fácil uso y acceso (como hardware, plataformas de desarrollo y/o servicios). Estos recursos se pueden reconfigurar dinámicamente para ajustarse a una carga variable (escala), lo que también permite una utilización óptima de los recursos. Este conjunto de recursos suele explotarse mediante un modelo de pago por uso en el que el Proveedor de infraestructura ofrece garantías mediante acuerdos de nivel de servicio personalizados.
Desde el punto de vista del servicio, la computación en la nube incluye 3 modelos arquetípicos: software, plataforma e infraestructura .
(1) Software como servicio (SaaS): Las aplicaciones (por ejemplo, EHR) están alojadas por un proveedor de servicios en la nube y se ponen a disposición de los clientes a través de una red, normalmente Internet.
(2) Plataforma como servicio (PaaS): Las herramientas de desarrollo (por ejemplo, sistemas operativos) se alojan en la nube y se accede a ellas a través de un navegador. Con PaaS, los desarrolladores pueden crear aplicaciones web sin instalar ninguna herramienta en su computadora y luego implementar esas aplicaciones sin ninguna habilidad administrativa especializada.
(3) Infraestructura como servicio (IaaS): El usuario de la nube subcontrata el equipo utilizado para respaldar las operaciones, incluidos el almacenamiento, el hardware, los servidores y los componentes de red. El proveedor es propietario del equipo y es responsable de su alojamiento, funcionamiento y mantenimiento. El usuario normalmente paga por uso.
Para implementar la computación en la nube, el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos enumeró 4 modelos (consulte la Figura 1) :
(1) Nube pública: Un proveedor de servicios en la nube pone los recursos (aplicaciones y almacenamiento) a disposición del público en general a través de Internet en régimen de pago por uso. Por ejemplo, Amazon Elastic Compute Cloud (EC2) permite a los usuarios alquilar equipos virtuales en los que ejecutar sus propias aplicaciones. EC2 se ejecuta dentro de la infraestructura de red y los centros de datos de Amazon y permite a los clientes pagar solo por lo que usan sin una tarifa mínima.
(2) nube Privada: Una infraestructura en la nube se opera únicamente para una sola organización. En otras palabras, la red propietaria o el centro de datos suministra servicios alojados a un determinado grupo de personas. Por ejemplo, Microsoft Azure permite a los clientes crear los cimientos de una infraestructura de nube privada mediante Windows Server y la familia de productos System Center con el conjunto de herramientas Dynamic Data Center.
(3) Nube comunitaria: La infraestructura de nube es compartida por varias organizaciones con preocupaciones comunes (por ejemplo, misión, requisitos de seguridad, políticas y consideraciones de cumplimiento). Por ejemplo, Google GovCloud proporciona al Ayuntamiento de Los Ángeles un entorno de datos segregados para almacenar sus aplicaciones y datos a los que solo pueden acceder las agencias de la ciudad.
(4) Nube híbrida: La infraestructura de nube comprende 2 o más nubes (privadas, públicas o comunitarias). En esta infraestructura, una organización proporciona y administra algunos recursos dentro de su propio centro de datos y tiene otros proporcionados externamente. Por ejemplo, IBM colabora con Juniper Networks para proporcionar una infraestructura de nube híbrida a las empresas para extender sin problemas sus nubes privadas a servidores remotos en una nube pública segura .
Estado y adopción de la computación en la Nube en el cuidado de la salud
Muchos estudios anteriores informaron los beneficios potenciales de la computación en la nube y propusieron diferentes modelos o marcos en un intento de mejorar el servicio de atención de la salud . Entre ellos, Rolim et al propusieron un sistema basado en la nube para automatizar el proceso de recopilación de datos vitales de los pacientes a través de una red de sensores conectados a dispositivos médicos heredados, y para entregar los datos a la «nube» de un centro médico para su almacenamiento, procesamiento y distribución. Los principales beneficios del sistema son que proporciona a los usuarios la recopilación de datos en tiempo real los 7 días de la semana, elimina el trabajo de recopilación manual y la posibilidad de errores de escritura, y facilita el proceso de implementación . Nkosi y Mekuria describieron un sistema de gestión de protocolos de computación en la nube que proporciona procesamiento de señales de sensores multimedia y seguridad como servicio para dispositivos móviles. El sistema ha evitado que los dispositivos móviles ejecuten algoritmos multimedia y de seguridad más pesados en la prestación de servicios de salud móviles. Esto mejorará la utilización del dispositivo móvil ubicuo para los servicios sociales y promoverá la prestación de servicios de salud a las comunidades rurales marginadas . Rao et al informaron de una iniciativa en la nube generalizada llamada Dhatri, que aprovechó el poder de la computación en la nube y las tecnologías inalámbricas para permitir a los médicos acceder a la información de salud del paciente en cualquier momento y desde cualquier lugar . Koufi et al describieron un prototipo de sistema médico de emergencia basado en la nube para el Servicio Nacional de Salud de Grecia que integra el sistema de emergencia con los sistemas de registros de salud personales para proporcionar a los médicos un acceso fácil e inmediato a los datos del paciente desde cualquier lugar y a través de casi cualquier dispositivo informático, al tiempo que contiene costos .
Numerosos artículos y recursos también informaron sobre la aplicación exitosa de la computación en la nube en la investigación bioinformática . Por ejemplo, Avila-García et al propusieron un marco basado en el concepto de computación en la nube para el análisis de imágenes de cáncer colorrectal y la investigación para uso clínico . Bateman y Wood utilizaron el servicio EC2 de Amazon con 100 nodos para ensamblar un genoma humano completo con 140 millones de lecturas individuales que requerían alineación mediante un algoritmo de búsqueda de secuencias y alineación por hash (SSAHA). Kudtarkar et al también utilizaron la EC2 de Amazon para calcular relaciones ortólogas para 245.323 comparaciones genoma a genoma. El cálculo tomó poco más de 200 horas y costó 8.000 dólares, aproximadamente un 40% menos de lo esperado . Memom et al aplicaron la computación en la nube para evaluar el impacto de los cuadruplexos G en los arrays Affymetrix . El Laboratorio de Medicina Personalizada del Centro de Informática Biomédica de la Facultad de Medicina de Harvard aprovechó los beneficios de la computación en la nube para desarrollar modelos de pruebas genéticas que lograron manipular enormes cantidades de datos en un tiempo récord .
Además de investigadores académicos, muchas empresas de software de clase mundial han invertido mucho en la nube, ampliando sus nuevas ofertas de servicios de registros médicos, como HealthVault de Microsoft, Exalogic Elastic Cloud de Oracle y Amazon Web Services (AWS), prometiendo una explosión en el almacenamiento de información de salud personal en línea. Además, el uso de la computación en nube de salud se informa en todo el mundo. Por ejemplo, AWS alberga una colección de ofertas de TI para el cuidado de la salud, como la aplicación de almacenamiento de datos para el cuidado de la salud de Spearstone con sede en Salt Lake City, y DiskAgent utiliza Amazon Simple Storage Service (Amazon S3) como infraestructura de almacenamiento escalable .
American Occupational Network está mejorando la atención al paciente digitalizando los registros médicos y actualizando sus procesos clínicos mediante el software basado en la nube de los socios comerciales de IBM MedTrak Systems. La compañía ahora puede proporcionar una facturación más rápida y precisa a individuos y compañías de seguros, acortando el tiempo promedio para crear una factura de 7 días a menos de 24 horas, y reduciendo los costos de transcripción médica en un 80% .
El Departamento de Salud de los Estados Unidos & La Oficina de Servicios Humanos del Coordinador Nacional de Tecnología de la Información de Salud eligió recientemente el sistema de gestión de relaciones con los clientes y gestión de proyectos basado en la nube de Acumen Solutions para la selección e implementación de sistemas de EHR en los Estados Unidos. El software permite a los centros de extensión regionales gestionar las interacciones con los proveedores médicos relacionadas con la selección e implementación de un sistema EHR .
Telstra y el Royal Australian College of General Practitioners anunciaron la firma de un acuerdo para trabajar juntos en la construcción de una nube de salud electrónica. Telstra es uno de los principales proveedores de telecomunicaciones en Australia; la Universidad es el mayor órgano representativo de práctica general en Australia con más de 20,000 miembros y más de 7000 en su Facultad Rural Nacional. eHealth cloud alojará aplicaciones de atención médica, incluidos software clínico, herramientas de apoyo a la toma de decisiones para el diagnóstico y la gestión, planes de atención, herramientas de remisión, recetas, capacitación y otros servicios administrativos y clínicos .
En Europa, un consorcio que incluía IBM, Sirrix AG security technologies, los proveedores portugueses de energía y soluciones Energias de Portugal y EFACEC, el Hospital San Raffaele (Italia) y varias organizaciones de investigación académicas y corporativas europeas contrataron a Trustworthy Clouds, un servicio de atención médica en el hogar centrado en el paciente, para monitorear, diagnosticar y ayudar de forma remota a los pacientes fuera de un entorno hospitalario. El ciclo de vida completo, desde la prescripción hasta la entrega, la ingesta y el reembolso, se almacenará en la nube y será accesible para pacientes, médicos y personal de farmacia .
Oportunidades y desafíos de la computación en la nube para la salud
Investigaciones recientes indican que el 75% de los directores de información informaron que necesitarán y utilizarán la computación en la nube en un futuro próximo . El pronóstico, realizado por Mark Beccue, sugirió que el número de personas que se suscriban a aplicaciones móviles en la nube aumentará de 71 millones a casi mil millones para 2014 . En los sectores de la salud, muchas organizaciones, gerentes y expertos creen que el enfoque de computación en la nube también puede mejorar los servicios y beneficiar la investigación . Además, un informe de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA, por sus siglas en inglés) afirma que este nuevo modelo informático va a ver una inversión global masiva en muchos sectores, incluida la atención sanitaria . El informe también estima que, para 2013, se gastarán US billion 44 mil millones en todo el mundo en computación en la nube, lo que potencialmente proporcionará enormes beneficios para la atención médica.
Al igual que con cualquier innovación, la computación en la nube debe evaluarse rigurosamente antes de su adopción generalizada. Pocos trabajos de investigación han estudiado sistemáticamente el impacto de la computación en la nube en la TI de la atención médica en términos de sus oportunidades y desafíos. Este estudio revisa la literatura y evalúa las oportunidades y desafíos desde el punto de vista de la gestión, la tecnología, la seguridad y la legalidad (ver Tabla 1).
los Aspectos | Oportunidades | Retos |
Gestión | Bajar el costo de los nuevos ITa infraestructura | la Falta de confianza por parte de los profesionales de la salud |
Informática recursos disponibles en la demanda | la inercia Organizacional | |
Pago de uso sobre una base a corto plazo según sea necesario | la Pérdida de gobernabilidad | |
Incierto del proveedor de cumplimiento | ||
Tecnología | Reducción de ITa mantenimiento de las cargas | el agotamiento del Recurso temas |
la Escalabilidad y la flexibilidad de la infraestructura | Impredecible de rendimiento | |
la Ventaja para computación verde | el bloqueo de Datos en | |
transferencia de Datos de los cuellos de botella | ||
Errores en sistemas distribuidos en la nube a gran escala | ||
Seguridad | Más recursos disponibles para la protección de datos | Fallo de separación |
Replicación de datos en múltiples ubicaciones aumentando la seguridad de los datos | Problemas de interfaz de administración pública | |
Recursos defensivos de escala dinámica fortaleciendo la resiliencia | Baja de la clave de cifrado gestión | |
Privilegio abuso | ||
Legal | Proveedor de compromisos para proteger los datos del cliente y de privacidad | los Datos de la jurisdicción problemas |
Desarrollo de las directrices y las tecnologías para permitir la construcción de plataformas de confianza no organizaciones sin fines de lucro | las cuestiones de Privacidad | |
el Fomento de las regulaciones gubernamentales para la protección de datos y privacidad |
la tecnología de la Información.
Aspecto de gestión
Oportunidad
La principal ventaja de la computación en la nube es su bajo costo. Por ejemplo, Amazon cobra solo 0,1 USD por hora por «segmentos» de arquitectura de conjunto de instrucciones de 1,0 GHz × 86 de EC2. Amazon S3 cobra entre US1 0,12 y US 0 0.15 por gigabyte al mes, con cargos adicionales de ancho de banda de 0,10 a 0,15 USD por gigabyte para mover datos hacia y desde AWS a través de Internet . Una organización puede obtener fácilmente una solución de TI local y rentable a través de la computación en la nube sin la necesidad de comprar o evaluar hardware o software, o de contratar personal de TI interno para mantener y dar servicio a la infraestructura interna . El resultado es que la organización puede centrarse en tareas críticas sin tener que incurrir en costos adicionales en relación con la dotación de personal y la capacitación en tecnología de la información.
Además, el enfoque de computación en la nube acelera la implementación al tiempo que mantiene una flexibilidad vital (es decir, elasticidad rápida y acceso ubicuo a los recursos de salud). Esta capacidad significa que, a medida que cambia la demanda, los hospitales y otros proveedores de atención de la salud no necesitan ajustar sus infraestructuras para adaptarse a los cambios.
Desafíos
Los principales desafíos incluyen la falta de confianza en la seguridad y privacidad de los datos por parte de los usuarios, la inercia organizacional, la pérdida de gobernanza y el cumplimiento incierto del proveedor.
La confianza está en el corazón de la resistencia que muchos clientes tienen a la nube . Las preocupaciones surgen cuando sus datos confidenciales y aplicaciones de misión crítica se trasladan a un paradigma de computación en la nube donde los proveedores no pueden garantizar la eficacia de sus controles de seguridad y privacidad .
La resistencia cultural (es decir, la inercia organizacional) para compartir datos y cambiar las formas tradicionales de trabajo es un desafío de gestión común para adoptar la computación en la nube.
En algunos casos, un acuerdo de nivel de servicio puede no ofrecer un compromiso para permitir que el cliente audite sus datos. La pérdida de gobernanza de datos podría tener un impacto severo en la estrategia de un usuario de la nube y, por lo tanto, en la capacidad para cumplir con su misión y objetivos.
Finalmente, si un proveedor no puede cumplir con las normas de cumplimiento requeridas (por ejemplo, leyes, regulaciones, estándares, contratos o cambios de política aplicables), la inversión de un cliente puede estar en riesgo. En algunos casos, ciertos servicios de atención al cliente (por ejemplo, transacciones con tarjeta de crédito) no se pueden utilizar .
Aspecto tecnológico
Oportunidad
Los hospitales, consultorios médicos y laboratorios más pequeños no suelen tener personal de TI interno para mantener y dar servicio a la infraestructura interna para aplicaciones de misión crítica, como los EHR. Por lo tanto, eliminar el nuevo coste de infraestructura y las cargas de mantenimiento de TI puede eliminar muchos obstáculos para la adopción de EHR . Para las organizaciones de salud más grandes, colocar el almacenamiento de datos o las necesidades de aplicaciones de TI en manos de un proveedor de nube esencialmente transfiere la carga de la administración de TI a un proveedor externo. Desde el punto de vista de la administración de TI, la computación en la nube puede aumentar la escalabilidad, la flexibilidad y la rentabilidad de la infraestructura.
Además, la computación en la nube tiene ventajas para la llamada computación verde: el uso más eficiente de los recursos informáticos para ayudar al medio ambiente y promover el ahorro de energía. El uso de recursos informáticos listos para usar y adaptados a las necesidades de una organización sin duda ayuda a la ti a reducir los gastos de electricidad. Si bien ahorra electricidad, también ahorra recursos necesarios para enfriar computadoras y otros componentes. Esto reduce la emisión de materiales peligrosos al medio ambiente .
Desafíos
Varios desafíos técnicos relacionados con el uso de la computación en la nube incluyen agotamiento de recursos, imprevisibilidad del rendimiento, bloqueo de datos, cuellos de botella en la transferencia de datos y errores en sistemas de nube distribuidos a gran escala.
Los recursos informáticos y de bajo costo disponibles bajo demanda son dos características clave de la computación en la nube. Sin embargo, el mercado se está llenando de grandes proveedores. Debido a la alta competencia, muchos proveedores de servicios en la nube comprometen excesivamente los recursos informáticos (por ejemplo, asignación de unidades de procesamiento centrales, espacio de almacenamiento, aplicaciones) para atraer clientes. Con el fin de mantener el beneficio, recortan costos en el sistema de entrega de valor. Por ejemplo, pueden limitar el acceso a los recursos de la nube, utilizar hardware o software obsoletos o implementar tecnología de CPU más antigua. Desafortunadamente, la mayoría de los clientes de la nube no pueden gobernar la arquitectura virtual y, por lo general, los proveedores no permiten una auditoría por parte de los clientes. El resultado es variable, lo que lleva a un rendimiento impredecible en el servicio . Esta diferencia entre las expectativas del cliente y lo que el proveedor realmente puede ofrecer presenta un desafío técnico importante para el cliente de la nube para proporcionar un servicio de alta calidad a sus propios usuarios.
El bloqueo de datos también es un desafío importante. En algunos casos, los usuarios de la nube pueden tener que trasladar datos o servicios a otro proveedor o volver a un entorno de TI interno porque el proveedor cesa las operaciones comerciales o de servicio. Por ejemplo, Google decidió suspender su servicio de Google Health el 1 de enero de 2012. Los usuarios tienen un año para descargar sus datos de salud . Desafortunadamente, la mayoría de las infraestructuras en la nube ofrecen muy poca capacidad de interoperabilidad de datos, aplicaciones y servicios . Esto hace que sea difícil para un cliente migrar de un proveedor a otro, o mover datos y servicios de vuelta a un entorno de TI interno.
Algunos usuarios de la nube (por ejemplo, laboratorios de investigación biomédica) pueden necesitar cargar o descargar con frecuencia grandes cantidades de datos de la nube. Los usuarios de aplicaciones pueden encontrar que hay un cuello de botella en la transferencia de datos debido a la limitación de ancho de banda de red física. Otro riesgo técnico específico es el de los errores en los sistemas en la nube distribuidos a gran escala. En comparación con los sistemas de TI internos, los errores en estas grandes infraestructuras distribuidas son más difíciles de depurar .
Aspecto de seguridad
Oportunidad
Quizás la resistencia más fuerte a la adopción de la computación en la nube en los centros de TI de salud se relaciona con la seguridad de los datos . Sin embargo, en comparación con los datos alojados localmente, este modelo no es necesariamente menos seguro. En algunos casos, normalmente mejora la seguridad porque los proveedores de nube (por ejemplo, Microsoft, Google, Amazon) pueden dedicar enormes recursos a resolver problemas de seguridad que muchos clientes no pueden pagar, en contraste con la destrucción de muchos registros médicos y documentos legales en el terremoto de magnitud 9.0 de Japón o el desastre del huracán Katrina de Nueva Orleans.
Todo tipo de medidas de seguridad, como hardware, software, recursos humanos y costos de gestión, son más baratas cuando se implementan a gran escala. La mayoría de los proveedores de nube replican los datos de los usuarios en varias ubicaciones. Esto aumenta la redundancia de datos y la independencia de los fallos del sistema y proporciona un nivel de recuperación ante desastres. Además, un proveedor de nube siempre tiene la capacidad de reasignar dinámicamente los recursos de seguridad para filtrar, perfilar el tráfico o cifrar con el fin de aumentar la compatibilidad con medidas defensivas (por ejemplo, contra ataques distribuidos de denegación de servicio). La capacidad de escalar dinámicamente los recursos defensivos bajo demanda tiene ventajas obvias para la resiliencia .
Desafíos
Existen muchos riesgos de seguridad de datos en el uso de TI, como ataques de hackers, interrupciones de red, desastres naturales, fallos de separación, interfaz de administración pública, mala administración de claves de cifrado y abuso de privilegios. Los riesgos específicos de la computación en la nube son el fallo de separación, la interfaz de administración pública, la mala administración de claves de cifrado y el abuso de privilegios.
La computación en la nube suele ser accesible para muchos clientes diferentes. Si el proveedor no separa los recursos, podría causar riesgos de seguridad muy graves. Por ejemplo, un cliente solicita que se eliminen los datos almacenados en la infraestructura virtual; al igual que con la mayoría de los sistemas operativos, es posible que esto no dé lugar a un borrado real de los datos de inmediato. Los datos siguen almacenados en el disco, pero no están disponibles . En el entorno de arrendamientos múltiples, los recursos de hardware son reutilizados por otros clientes. En este caso, un tercero podría tener acceso a los datos «eliminados» de otro cliente. Esto presenta un mayor riesgo para los clientes de la nube que con hardware dedicado.
La interfaz de gestión pública es el otro talón de Aquiles de la computación en nube. Como se indica en el resumen de riesgos de cloud computing de la ENISA :
Las interfaces de gestión de clientes de los proveedores de nube pública son accesibles por Internet y median el acceso a conjuntos de recursos más grandes (que los proveedores de alojamiento tradicionales) y, por lo tanto, presentan un mayor riesgo, especialmente cuando se combinan con el acceso remoto y las vulnerabilidades del navegador web
El cifrado sólido con administración de claves es uno de los mecanismos centrales que utilizan los sistemas de computación en nube para protegerse contra la pérdida y el robo de datos. Sin embargo, un procedimiento de gestión de claves deficiente puede causar la pérdida de claves de cifrado, la divulgación de claves o contraseñas secretas a partes maliciosas o el uso no autorizado para la autenticación.
Por último, a medida que aumenta el uso de la nube, los empleados pueden convertirse cada vez más en objetivos de las organizaciones delictivas. Si el interno malicioso es un administrador del sistema, entonces podría usar sus privilegios para robar datos críticos.
Aspecto legal
Oportunidad
La protección de datos y privacidad es esencial para generar la confianza del cliente necesaria para que la computación en la nube alcance todo su potencial. Si los proveedores adoptan políticas y prácticas mejores y más claras, los usuarios estarán en mejores condiciones de evaluar los riesgos conexos a los que se enfrentan. Afortunadamente, muchos proveedores principales tienen el compromiso de desarrollar las mejores políticas y prácticas para proteger los datos y la privacidad de los clientes . Además de los compromisos de los proveedores con esta protección, algunas organizaciones, como Cloud Security Alliance, han desarrollado una guía completa para abordar los problemas de seguridad y privacidad . Trusted Computing Group (http://www.trustedcomputinggroup.org/), una organización sin fines de lucro, sugiere un conjunto de tecnologías de hardware y software para permitir la construcción de plataformas de confianza. Los gobiernos también desempeñan un papel fundamental al fomentar una reglamentación amplia de los acuerdos, tanto para los usuarios como para los proveedores .
Desafíos
El uso de la computación en nube presenta muchos problemas legales, como el derecho contractual, los derechos de propiedad intelectual, la jurisdicción de datos y la privacidad . Entre ellos, las cuestiones de jurisdicción de datos y privacidad son las principales preocupaciones.
En la nube, los almacenamientos físicos pueden distribuirse ampliamente en múltiples jurisdicciones, cada una de las cuales puede tener diferentes leyes con respecto a la seguridad de los datos, la privacidad, el uso y la propiedad intelectual . Por ejemplo, la Ley de Portabilidad y Responsabilidad de los Seguros de Salud de los Estados Unidos (HIPAA, por sus siglas en inglés) restringe a las empresas la divulgación de datos personales de salud a terceros no afiliados, y la Ley de Unir y Fortalecer a Estados Unidos Proporcionando las Herramientas Adecuadas Necesarias para Interceptar y Obstruir el Terrorismo (PATRIOT, por sus siglas en inglés) otorga al gobierno de los Estados Unidos el derecho a exigir datos si declara que las condiciones son una emergencia o necesarias para la seguridad nacional. De manera similar, la Ley Canadiense de Protección de la Información Personal y Documentos Electrónicos (PIPEDA, por sus siglas en inglés) limita los poderes de las organizaciones para recopilar, usar o divulgar información personal en el curso de actividades comerciales. Sin embargo, un proveedor puede, sin previo aviso a un usuario, mover la información del usuario de una jurisdicción a otra. Los datos en la nube pueden tener más de una ubicación legal al mismo tiempo, con diferentes consecuencias legales.
La computación en la nube es un entorno de recursos compartidos y multitenencia para la capacidad, el almacenamiento y la red. El riesgo de privacidad de este tipo de entorno incluye el fallo de los mecanismos de separación de almacenamiento, memoria, enrutamiento e incluso reputación entre diferentes inquilinos de la infraestructura compartida. El almacenamiento centralizado y la tenencia compartida del espacio de almacenamiento físico significa que los usuarios de la nube corren un mayor riesgo de revelar sus datos confidenciales (por ejemplo, registros de salud) a partes no deseadas .
La notificación de incumplimiento deficiente también es un importante problema de privacidad . Por ejemplo, la PIPEDA propuso un nuevo requisito para que las organizaciones informen de las violaciones de datos importantes al Comisionado de Privacidad de Canadá y notifiquen a las personas cuando exista un riesgo de daño . Desafortunadamente, la notificación de violación no protege realmente la privacidad de un cliente. Una encuesta reciente muestra que los consumidores que han recibido notificaciones de violación de datos en el último año tienen un riesgo mucho mayor de fraude que el consumidor típico .
Planificación estratégica de Computación en la nube
Cuando una organización de salud considera trasladar su servicio a la nube, necesita planificación estratégica para examinar los beneficios y riesgos del nuevo modelo, evaluar sus capacidades para lograr el objetivo e identificar estrategias diseñadas para su implementación. Hay varias referencias disponibles para establecer un plan estratégico en la nube. Por ejemplo, Marks y Lozano describen el método de ciclo de vida de adopción de computación en la nube que implica 9 etapas para ayudar a los usuarios a comenzar un proyecto en la nube. Estos son prueba de concepto / proyecto piloto, estrategia y hoja de ruta, modelado y arquitectura, planificación de implementación, implementación, expansión, integración, colaboración y madurez.
El Instituto de Gestión de Proyectos, una asociación de miembros sin fines de lucro para la profesión de gestión de proyectos, publicó un libro blanco sobre computación en la nube que puede usarse como referencia para cualquier gerente de proyectos en la nube. El documento proporciona 8 pasos clave para implementar la computación en la nube, así como 2 estudios de caso que respaldan el método .
Stanoevska-Slabeva et al también proporcionan directrices prácticas para trasladar la infraestructura de TI tradicional hacia las nubes: análisis inicial de la demanda y la preparación para la computación en la nube, decisión estratégica para introducir la computación en la nube, implementación piloto, interconexión interna, inclusión de recursos externos y monitoreo y evaluación continuos.
El Plan Estratégico Federal de TI para la Salud de los Estados Unidos, publicado en junio de 2008, también se puede utilizar para que los grandes organismos gubernamentales implementen proyectos de nube de salud. El Plan encomendó a la Oficina del Coordinador Nacional de Tecnología de la Información para la Salud una función de liderazgo en el desarrollo y la aplicación en todo el país de una infraestructura de tecnología de la información para la salud interoperable a fin de mejorar la calidad y la eficiencia de la atención de la salud. El plan estratégico tiene 2 metas: atención de salud centrada en el paciente y salud de la población, con 4 objetivos bajo cada meta. Los objetivos de ambas metas son privacidad y seguridad, interoperabilidad, adopción y gobernanza colaborativa. El Plan para lograr cada objetivo se detalla a través de 43 estrategias que describen el trabajo necesario para lograr cada objetivo. Cada estrategia está asociada con un hito en relación con el cual se pueden evaluar los progresos y un conjunto de medidas ilustrativas para aplicar cada estrategia.
Además de los métodos de planificación estratégica mencionados anteriormente, este documento, basado en un estudio , propone un modelo de planificación estratégica de computación en la nube (HC2SP) para el cuidado de la salud que puede ser utilizado por una organización de salud para determinar su dirección, estrategia y asignación de recursos para migrar de los servicios de salud tradicionales a los servicios basados en la nube. El modelo incluye 4 etapas: identificación, evaluación, acción y seguimiento (ver Figura 2).
Etapa 1: Identificación
En este modelo HC2SP, la primera etapa es analizar el estado actual del proceso de servicio de la organización de salud e identificar el objetivo fundamental de mejorar el servicio escuchando la voz del cliente o de los pacientes. El método de análisis de causas raíz se puede aplicar para analizar los problemas del proceso de servicio actual. Una jerarquía típica de causas se expresaría de la siguiente manera :
Problema #1: El proceso de admisión o alta del paciente en el hospital es demasiado largo. ¿Por qué? Hay demasiados gráficos innecesarios (duplicados). ¿Por qué? El sistema de gráficos en papel es ineficiente. ¿Por qué? Faltan sistemas de información automatizados, como el EHR/EMR. ¿Por qué? Implica una gran cantidad de inversiones y mantenimiento de TI por adelantado.
La identificación objetiva y su alcance deben aclararse para servir a los usuarios finales (pacientes) de manera más eficiente y efectiva. Además, el equipo de planificación estratégica tiene que definir indicadores de calidad de los servicios de salud y explicar su propósito, así como el uso de cada indicador. Esta etapa del modelo proporciona al equipo de planificación estratégica un alcance bien definido para el problema de servicio al que se enfrenta.
Etapa 2: Evaluación
La segunda etapa del modelo es evaluar las oportunidades y los desafíos de adoptar la computación en la nube. ENISA, la Alianza de Seguridad en la Nube y el NIST han desarrollado guías completas para evaluar los beneficios y riesgos de adoptar la computación en la nube. Un usuario potencial también puede aplicar un análisis de fortalezas, debilidades, oportunidades y amenazas (FODA) para evaluar la viabilidad del enfoque basado en la nube .
Además, el usuario necesita evaluar los métodos para manejar los problemas identificados. Para ello se dispone de muchas referencias (véase el cuadro 2 ). Por ejemplo, Armbrust et al reportan 10 obstáculos principales para la computación en nube. Cada obstáculo se combina con oportunidades (soluciones), que van desde el desarrollo directo de productos hasta grandes proyectos de investigación. Buyya y Ranjan discuten varios problemas de administración federada en la nube, como cuellos de botella en la transferencia de datos, registro compartido y federación de clústeres distribuidos. También proporcionan más referencias para tratar las cuestiones examinadas. Además, Kuo et al proponen un mediador basado en XML para superar los problemas de bloqueo de datos.
Retos | Recursos | Resumen de la Solución |
de Administración y asuntos técnicos | Armbrust et al | Diez soluciones para manejar la técnica, la política, y asuntos de negocios |
Buyya y Ranjan | referencias Adicionales para manejar la nube federado de gestión de problemas | |
Kuo et al | XML-basado mediador para manejar el bloqueo de datos en (interoperabilidad) problemas | |
Seguridad y aspectos legales | Cloud Security Alliance | Soluciones para manejar la nube de gobierno y los problemas de funcionamiento (12 dominios) |
Nist directrices | Precaución recomendaciones para lidiar con problemas de seguridad y privacidad | |
Barrio y Sipior | Cinco estrategias para el manejo de datos de aspectos relativos a la jurisdicción |
el Instituto Nacional de Estándares y Tecnología.
La Alianza de seguridad en la nube describe 12 dominios de interés para la computación en la nube. Los dominios se dividen en 2 grandes categorías: gobernanza y operaciones. También se proporcionan recomendaciones de soluciones para cada dominio. Las Directrices del NIST sobre Seguridad y Privacidad en la Computación en la Nube Pública nombran muchos problemas clave de seguridad y privacidad en la nube y las recomendaciones de precaución correspondientes que deben seguir las organizaciones al planificar o iniciar un acuerdo de externalización de servicios en la nube pública. Ward y Sipior se centran en cuestiones de jurisdicción. Recomiendan 5 estrategias para que los clientes de la nube se ocupen de los problemas de jurisdicción.
Etapa 3: Acción
Después de evaluar el nuevo modelo de computación, la organización podrá determinar si adopta el servicio o no. Si la respuesta es afirmativa, debe elaborar un plan de aplicación. Este documento propone un plan de 5 pasos de la siguiente manera.
Paso 1: Determinar el Modelo de Implementación y Servicio en la nube
Como se mencionó anteriormente, la computación en la nube puede referirse a varios tipos de servicios diferentes (SaaS, PaaS e IaaS) y diferentes modelos de implementación (nube privada, pública, comunitaria e híbrida). Cada tipo de servicio o modelo de implementación tiene sus propios beneficios y riesgos . Por lo tanto, las consideraciones clave en la contratación de diferentes tipos de servicios o modelos de implementación deben ser diferentes.
Paso 2: Comparar diferentes proveedores de nube
Elegir un proveedor de nube adecuado es la parte más importante del plan de implementación. Diferentes proveedores pueden ofrecer diferentes modelos de servicio, esquemas de precios, procedimientos de auditoría y políticas de privacidad y seguridad. La organización tiene que comparar diferentes ofertas. Además, debe evaluar la reputación y el rendimiento del proveedor antes de firmar un contrato.
Paso 3: Obtenga garantías del Proveedor de nube seleccionado
La organización necesita garantías de que el proveedor seleccionado proporcionará calidad de servicio y seguirá prácticas y regulaciones legales, de seguridad y de privacidad sólidas. Las garantías de calidad de servicio incluyen acceso bajo demanda, pago por uso, elasticidad rápida, soporte de solución de problemas a tiempo y transparencia operativa . Las garantías de privacidad y seguridad cubren la confidencialidad, integridad, disponibilidad, autenticidad, autorización y no repetición de los datos. Además, el proveedor debe asegurarse de que los datos, incluidas todas sus copias de seguridad, se almacenen solo en ubicaciones geográficas permitidas por contrato, acuerdo de nivel de servicio y regulación.
Paso 4: Considere la migración de datos en el futuro
Es posible que la organización tenga que trasladar datos y servicios a otro proveedor o volver a un entorno de TI interno porque el proveedor cesa sus actividades comerciales o sus operaciones de servicio (por ejemplo, la reciente interrupción de Google Health ), tiene una disminución inaceptable en la calidad del servicio o tiene una disputa contractual. La portabilidad de los datos debe considerarse por adelantado como parte del plan .
Paso 5: Iniciar una implementación piloto
Muchos métodos de planificación estratégica anteriores sugieren que una organización sin experiencia previa en la nube comience con una implementación piloto . El piloto debe ser adecuado para proporcionar pruebas de las ventajas de la computación en la nube para la organización.
Etapa 4: Seguimiento
La última etapa es desplegar la infraestructura de computación en la nube y desarrollar un plan de seguimiento. El plan indica cuándo medir y cómo medir las mejoras del servicio. Se establecen de antemano objetivos razonables, y los resultados de los nuevos servicios se miden con respecto a los objetivos o indicadores de rendimiento especificados para evaluar la magnitud de la mejora . Si la nueva condición de servicio no se satisface, la organización de salud necesita revisar qué hechos influyen en el logro del objetivo. Si la causa principal de la condición de servicio insatisfecha es el proveedor de la nube, la organización consultará y discutirá con el proveedor para mejorar el servicio o puede considerar trasladar datos y servicios a otro proveedor o volver a su entorno de TI interno.
Discusión y conclusión
La computación en la nube es un nuevo modelo de computación que promete proporcionar más flexibilidad, menos gastos y más eficiencia en los servicios de TI a los usuarios finales. Ofrece oportunidades potenciales para mejorar la adopción de EHR, los servicios de atención médica y la investigación. Sin embargo, como se mencionó anteriormente, todavía hay muchos desafíos para fomentar el nuevo modelo en la atención de la salud. Quizás la resistencia más fuerte a la adopción de la computación en la nube en los centros de TI de salud se refiere a la seguridad de los datos y a cuestiones legales. Afortunadamente, muchos proveedores principales (por ejemplo, Microsoft, Google, Amazon) se comprometen a desarrollar las mejores políticas y prácticas para proteger los datos y la privacidad de los clientes . Algunas organizaciones sin fines de lucro, como Cloud Security Alliance y Trusted Computing Group, han desarrollado directrices integrales y tecnologías de hardware y software para permitir la construcción de aplicaciones en la nube confiables. Los gobiernos también fomentan regulaciones (por ejemplo, HIPAA y PIPEDA ) para proteger la seguridad y privacidad de los datos de los usuarios de la nube. Además, la mayoría de los problemas legales relacionados con la computación en la nube generalmente se pueden resolver a través de la evaluación o negociación de contratos .
Cuando una organización de salud considera trasladar su servicio a la nube, necesita una planificación estratégica para examinar factores ambientales como el personal, el presupuesto, las tecnologías, la cultura organizacional y las regulaciones gubernamentales que pueden afectarla, evaluar sus capacidades para lograr el objetivo e identificar estrategias diseñadas para avanzar. Este documento proporciona referencias útiles de planificación estratégica para que los usuarios potenciales inicien proyectos en la nube. También se propone un nuevo modelo llamado HC2SP que podría ser aplicado por una organización de salud para determinar su dirección, estrategia y asignación de recursos para pasar al paradigma de la nube. El modelo incluye 4 etapas: identificación, evaluación, acción y seguimiento. En la primera etapa, la organización analiza el estado actual del proceso de servicio e identifica el objetivo fundamental del servicio. La etapa 2 consiste en evaluar las oportunidades y los desafíos de adoptar la computación en la nube. Mediante el análisis FODA, la organización puede determinar los factores internos de fortaleza y debilidad, así como los factores externos de oportunidad y amenaza de adoptar el nuevo modelo. También se han proporcionado algunas soluciones potenciales para manejar los problemas de la nube. Luego, en la etapa 3, la organización elabora un plan de implementación de computación en la nube. El autor sugiere que esto debe incluir al menos lo siguiente: determine el modelo de implementación y servicio en la nube, compare diferentes proveedores de nube, obtenga garantías del proveedor de nube seleccionado, considere la migración de datos futura e inicie una implementación piloto. La última etapa es implementar la infraestructura de computación en la nube y desarrollar un plan de seguimiento para medir las mejoras en los servicios de atención médica.
Como comentó el Director Ejecutivo de una empresa de TI en la nube:
Si se despertó esta mañana y leyó en el Wall Street Journal que, digamos, Overstock.com ha dejado de usar UPS y FedEx y los Estados Unidos. el correo, y habían comprado flotas de camiones y comenzado a arrendar centros de aeropuertos y a entregar productos ellos mismos, se diría que estaban locos. ¿Por qué es eso mucho más loco que una compañía de atención médica gastando 2 2 mil millones al año en tecnología de la información (tradicional)?
La computación en la nube presenta una oportunidad atractiva para los consumidores de TI y los productores de servicios de información . La investigación de Gartner también encontró que la computación en la nube se clasificó como la principal prioridad técnica de los directores de información en 2011 . Sin embargo, la adopción de la computación en la nube es un proceso complejo que involucra muchos factores. Necesita una evaluación rigurosa antes de introducir el nuevo modelo de computación en una organización. Este documento se centra en 4 aspectos de la evaluación y la planificación estratégica, que ayudarán a las organizaciones de salud a determinar si (o cómo) migrar de los servicios de salud tradicionales a los basados en la nube.