Introduzione
Il cloud computing si riferisce a un’infrastruttura Internet self-service on-demand che consente all’utente di accedere alle risorse di Si tratta di un nuovo modello di fornitura di risorse di calcolo, non una nuova tecnologia. Esempi di applicazioni non sanitarie comunemente utilizzate includono Microsoft Hotmail e Google Docs, mentre alcune applicazioni più note nel settore sanitario includono Microsoft HealthVault e Google Health Platform (recentemente interrotto ). Tuttavia, rispetto al calcolo convenzionale, questo modello offre tre nuovi vantaggi: enormi risorse di calcolo disponibili su richiesta, eliminazione di un impegno iniziale da parte degli utenti e pagamento per l’uso a breve termine secondo necessità . Diversi articoli, forum e blog hanno riportato le sue applicazioni nell’industria, negli affari, nei trasporti, nell’istruzione e nella sicurezza nazionale .
L’assistenza sanitaria, come per qualsiasi altra operazione di servizio, richiede un’innovazione continua e sistematica al fine di rimanere economica, efficiente e tempestiva e di fornire servizi di alta qualità. Molti manager ed esperti prevedono che il cloud computing può migliorare i servizi di assistenza sanitaria, beneficiare la ricerca di assistenza sanitaria, e cambiare il volto della tecnologia dell’informazione (IT) . Ad esempio , Schweitzer , Haughton, e Kabachinski ritengono che il cloud computing può ridurre electronic health record (EHR) le spese di avvio, come hardware, software, networking, personale, e costi di licenza, e quindi incoraggerà la sua adozione. La ricerca di Rosenthal et al mostra che la comunità informatica biomedica, in particolare i consorzi che condividono dati e applicazioni, possono trarre vantaggio dal nuovo paradigma informatico . Come indicato nel documento di Anderson et al, i problemi di gestione dei dati, la complessità e le soluzioni computazionali costose o non disponibili ai problemi di ricerca sono problemi importanti nella gestione e nell’analisi dei dati della ricerca biomedica . Diverse innovazioni informatiche hanno dimostrato che il cloud computing ha il potenziale per superare queste difficoltà .
Nonostante i numerosi vantaggi associati alle applicazioni di cloud computing per l’assistenza sanitaria, ci sono anche diversi problemi di gestione, tecnologia, sicurezza e legali da affrontare. Lo scopo di questo documento è quello di discutere il concetto di cloud computing, le sue attuali applicazioni nel settore sanitario, le sfide e le opportunità, e come implementare la pianificazione strategica quando l’organizzazione ha deciso di passare al nuovo modello di servizio.
Cloud Computing: un nuovo modello di calcolo economico
Il cloud computing è ancora un paradigma in via di sviluppo e la sua definizione, attributi e caratteristiche si evolveranno nel tempo. Vaquero et al hanno studiato più di 20 definizioni e hanno cercato di estrarre una definizione di consenso e una definizione minima contenente le caratteristiche essenziali. Sulla base dello studio, hanno definito il cloud computing come segue :
I cloud sono un ampio pool di risorse virtualizzate facilmente utilizzabili e accessibili (come hardware, piattaforme di sviluppo e/o servizi). Queste risorse possono essere riconfigurate dinamicamente per adattarsi a un carico variabile (scala), consentendo anche un utilizzo ottimale delle risorse. Questo pool di risorse è tipicamente sfruttato da un modello di pay-per-use in cui le garanzie sono offerte dal fornitore dell’infrastruttura per mezzo di accordi personalizzati a livello di servizio.
Dal punto di vista del servizio, il cloud computing include 3 modelli archetipici: software, piattaforma e infrastruttura .
(1) Software as a Service (SaaS): Le applicazioni (ad esempio, EHRs) sono ospitate da un provider di servizi cloud e messe a disposizione dei clienti su una rete, in genere Internet.
(2) Piattaforma come servizio (PaaS): Gli strumenti di sviluppo (ad esempio, sistemi operativi) sono ospitati nel cloud e accessibili tramite un browser. Con PaaS, gli sviluppatori possono creare applicazioni Web senza installare alcun strumento sul proprio computer e quindi distribuire tali applicazioni senza competenze amministrative specializzate.
(3) Infrastructure as a Service (IaaS): l’utente cloud esternalizza le apparecchiature utilizzate per supportare le operazioni, inclusi storage, hardware, server e componenti di rete. Il fornitore possiede l’attrezzatura ed è responsabile dell’alloggiamento, della gestione e della manutenzione. L’utente paga in genere su base per uso.
Per implementare il cloud computing, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha elencato 4 modelli (vedi Figura 1):
(1) Cloud pubblico: un fornitore di servizi cloud rende le risorse (applicazioni e storage) disponibili al pubblico su Internet su base pay-as-you-go. Ad esempio, Amazon Elastic Compute Cloud (EC2) consente agli utenti di noleggiare computer virtuali su cui eseguire le proprie applicazioni. EC2 viene eseguito all’interno dell’infrastruttura di rete e dei data center di Amazon e consente ai clienti di pagare solo ciò che utilizzano senza costi minimi.
(2) Cloud privato: Un’infrastruttura cloud viene gestita esclusivamente per una singola organizzazione. In altre parole, la rete proprietaria o il data center fornisce servizi ospitati a un determinato gruppo di persone. Ad esempio, Microsoft Azure consente ai clienti di creare le basi per un’infrastruttura cloud privata utilizzando la famiglia di prodotti Windows Server e System Center con Dynamic Data Center Toolkit.
(3) Community cloud: l’infrastruttura cloud è condivisa da diverse organizzazioni con preoccupazioni comuni (ad esempio, missione, requisiti di sicurezza, criteri e considerazioni di conformità). Ad esempio, Google GovCloud fornisce al Consiglio comunale di Los Angeles un ambiente di dati segregato per archiviare le sue applicazioni e dati accessibili solo alle agenzie della città.
(4) Cloud ibrido: l’infrastruttura cloud comprende 2 o più cloud (privati, pubblici o comunitari). In questa infrastruttura, un’organizzazione fornisce e gestisce alcune risorse all’interno del proprio data center e ne ha altre fornite esternamente. Ad esempio, IBM collabora con Juniper Networks per fornire un’infrastruttura cloud ibrida alle aziende per estendere senza problemi i propri cloud privati ai server remoti in un cloud pubblico sicuro .
Stato e adozione del cloud Computing nell’assistenza sanitaria
Molti studi precedenti hanno riportato i potenziali benefici del cloud computing e proposto diversi modelli o framework nel tentativo di migliorare il servizio sanitario . Tra questi, Rolim et al hanno proposto un sistema basato su cloud per automatizzare il processo di raccolta dei dati vitali dei pazienti tramite una rete di sensori collegati a dispositivi medici legacy e per consegnare i dati al “cloud” di un centro medico per l’archiviazione, l’elaborazione e la distribuzione. I principali vantaggi del sistema sono che fornisce agli utenti 7 giorni alla settimana, la raccolta di dati in tempo reale, elimina il lavoro di raccolta manuale e la possibilità di errori di battitura, e facilita il processo di distribuzione . Nkosi e Mekuria hanno descritto un sistema di gestione del protocollo di cloud computing che fornisce l’elaborazione del segnale del sensore multimediale e la sicurezza come servizio ai dispositivi mobili. Il sistema ha sollevato i dispositivi mobili dall’esecuzione di algoritmi multimediali e di sicurezza più pesanti nella fornitura di servizi sanitari mobili. Ciò migliorerà l’utilizzo del dispositivo mobile onnipresente per i servizi sociali e promuoverà la fornitura di servizi sanitari alle comunità rurali emarginate . Rao et al hanno riportato un’iniziativa cloud pervasiva chiamata Dhatri, che ha sfruttato la potenza del cloud computing e delle tecnologie wireless per consentire ai medici di accedere alle informazioni sulla salute dei pazienti in qualsiasi momento e da qualsiasi luogo . Koufi et al hanno descritto un prototipo di sistema medico di emergenza basato su cloud per il Servizio sanitario nazionale greco che integra il sistema di emergenza con i sistemi di cartelle cliniche personali per fornire ai medici un accesso facile e immediato ai dati dei pazienti da qualsiasi luogo e tramite quasi tutti i dispositivi informatici, contenendo i costi .
Numerosi articoli e risorse hanno anche riportato l’applicazione di successo del cloud computing nella ricerca bioinformatica . Ad esempio, Avila-Garcia et al hanno proposto un framework basato sul concetto di cloud computing per l’analisi di imaging del cancro del colon-retto e la ricerca per uso clinico . Bateman e Wood hanno utilizzato il servizio EC2 di Amazon con 100 nodi per assemblare un genoma umano completo con 140 milioni di letture individuali che richiedono l’allineamento utilizzando un algoritmo sequence search and alignment by hashing (SSAHA). Kudtarkar et al hanno anche utilizzato EC2 di Amazon per calcolare le relazioni ortologhe per 245.323 confronti genoma-genoma. Il calcolo ha richiesto poco più di 200 ore e ci è costato 8.000 dollari, circa il 40% in meno del previsto . Memom et al hanno applicato il cloud computing per valutare l’impatto dei G-quadruplex sugli array Affymetrix . Il Laboratorio di Medicina personalizzata del Center for Biomedical Informatics presso la Harvard Medical School ha preso i benefici del cloud computing per sviluppare modelli di test genetici che sono riusciti a manipolare enormi quantità di dati in tempo record .
Oltre ai ricercatori accademici, molte aziende di software di livello mondiale hanno pesantemente investito nel cloud, estendendo le loro nuove offerte per i servizi di cartelle cliniche, come HealthVault di Microsoft, Oracle Exalogic Elastic Cloud e Amazon Web Services (AWS), promettendo un’esplosione nello stoccaggio di informazioni sanitarie personali online. Inoltre, l’uso del cloud computing sanitario è segnalato in tutto il mondo. Ad esempio, AWS ospita una raccolta di offerte IT per l’assistenza sanitaria, come l’applicazione di archiviazione dati Spearstone basata su Salt Lake City, e DiskAgent utilizza Amazon Simple Storage Service (Amazon S3) come infrastruttura di archiviazione scalabile .
La rete occupazionale americana sta migliorando l’assistenza ai pazienti digitalizzando le cartelle cliniche e aggiornando i suoi processi clinici utilizzando il software basato su cloud dei partner commerciali IBM MedTrak Systems. L’azienda ora può fornire fatturazione più veloce e più accurata per gli individui e le compagnie di assicurazione, accorciando il tempo medio per creare una fattura da 7 giorni a meno di 24 ore, e riducendo i costi di trascrizione medica del 80% .
Il Dipartimento della Salute degli Stati Uniti& L’ufficio dei servizi umani del Coordinatore nazionale per la tecnologia dell’informazione sanitaria ha recentemente scelto il sistema di customer relationship management e project management basato su cloud di Acumen Solutions per la selezione e l’implementazione di sistemi EHR negli Stati Uniti. Il software consente ai centri di estensione regionali di gestire le interazioni con i fornitori medici relativi alla selezione e all’implementazione di un sistema EHR .
Telstra e il Royal Australian College of General Practitioners hanno annunciato la firma di un accordo per lavorare insieme per costruire un cloud eHealth. Telstra è uno dei principali fornitori di telecomunicazioni in Australia; il College è il più grande organo rappresentativo di medicina generale in Australia con più di 20.000 membri e oltre 7000 nella sua Facoltà rurale nazionale. L’eHealth cloud ospiterà applicazioni sanitarie tra cui software clinico, strumenti di supporto alle decisioni per la diagnosi e la gestione, piani di assistenza, strumenti di riferimento, prescrizioni, formazione e altri servizi amministrativi e clinici .
In Europa, un consorzio tra cui IBM, Sirrix AG security technologies, i fornitori portoghesi di energia e soluzioni Energias de Portugal ed EFACEC, l’Ospedale San Raffaele (Italia) e diverse organizzazioni di ricerca accademiche e aziendali europee hanno contratto Trustworthy Clouds—un servizio di assistenza sanitaria domiciliare centrato sul paziente-per monitorare, diagnosticare e assistere i pazienti al di fuori di un ambiente ospedaliero. Il ciclo di vita completo, dalla prescrizione alla consegna all’assunzione al rimborso, sarà memorizzato nel cloud e sarà accessibile a pazienti, medici e personale della farmacia .
Salute Cloud Computing Opportunità e sfide
Recenti ricerche indicano che il 75% dei Chief Information officer ha riferito che avranno bisogno e utilizzare il cloud computing nel prossimo futuro . La previsione, condotta da Mark Beccue, ha suggerito che il numero di persone che sottoscrivono applicazioni cloud mobili salirà da 71 milioni a quasi un miliardo entro il 2014 . Nei settori sanitari, molte organizzazioni, manager ed esperti ritengono che l’approccio al cloud computing possa anche migliorare i servizi e favorire la ricerca . Inoltre, un rapporto dell’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) ha dichiarato che questo nuovo modello di calcolo è destinato a vedere massicci investimenti globali in molti settori, tra cui l’assistenza sanitaria . Il rapporto ha anche stimato che, entro il 2013, US billion 44 miliardi saranno spesi in tutto il mondo per il cloud computing, potenzialmente fornendo enormi benefici per l’assistenza sanitaria.
Come con qualsiasi innovazione, il cloud computing dovrebbe essere rigorosamente valutato prima della sua adozione diffusa. Pochi documenti di ricerca hanno studiato sistematicamente l’impatto del cloud computing sulla sanità IT in termini di opportunità e sfide. Questo studio esamina la letteratura e valuta le opportunità e le sfide dal punto di vista della gestione, della tecnologia, della sicurezza e della legalità (vedi Tabella 1).
Aspetti | Opportunità | Sfide |
Gestione | Abbassare il costo del nuovo ITa infrastrutture | la Mancanza di fiducia da professionisti del settore sanitario |
Computing le risorse disponibili su richiesta | l’inerzia Organizzativa | |
il Pagamento di utilizzo su una base a breve termine, come necessario | Perdita di governance | |
Incerto fornitore di conformità | ||
Tecnologia | Riduzione di ITa manutenzione degli oneri | l’esaurimento delle Risorse questioni |
la Scalabilità e la flessibilità dell’infrastruttura | Imprevedibile prestazioni | |
Vantaggio per il green computing | i Dati di lock-in | |
trasferimento di Dati di colli di bottiglia | ||
Bug distribuito su larga scala sistemi cloud | ||
Sicurezza | Maggiori risorse disponibili per la protezione dei dati | Separazione fallimento |
la Replica dei dati in più sedi, aumentando la sicurezza dei dati | Pubblica interfaccia di gestione dei problemi | |
Dinamicamente in scala difensiva risorse per rafforzare la resilienza | Poveri gestione delle chiavi di cifratura | |
Privilegi abuso | ||
Legale | Provider di impegni per proteggere dati e privacy | Dati problemi di giurisdizione |
Sviluppo di linee guida e tecnologie per consentire la costruzione di piattaforme sicure da non-per-profit | questioni di Privacy | |
la Promozione dei regolamenti del governo per la protezione dati e privacy |
la tecnologia dell’Informazione.
Aspetto gestionale
Opportunità
Il vantaggio principale del cloud computing è il suo basso costo. Ad esempio, Amazon addebita solo US US 0.1 all’ora per 1.0 GHz × 86 set di istruzioni architettura “fette” di EC2. Amazon S3 addebita US US 0,12 a $0.15 per gigabyte al mese, con costi aggiuntivi di larghezza di banda da 0,10 a 0,15 USD per gigabyte per spostare i dati da e verso AWS su Internet . Un’organizzazione può facilmente ottenere una soluzione IT on-premise e conveniente attraverso il cloud computing senza la necessità di acquistare o valutare hardware o software, o di assumere personale IT interno per la manutenzione e il servizio dell’infrastruttura interna . Il risultato è che l’organizzazione può concentrarsi su compiti critici senza dover sostenere costi aggiuntivi per quanto riguarda il personale IT e la formazione.
Inoltre, l’approccio di cloud computing accelera la distribuzione, pur mantenendo la flessibilità vitale (cioè, la rapida elasticità e l’accesso onnipresente alle risorse sanitarie). Questa capacità significa che, con i cambiamenti della domanda, gli ospedali e gli altri fornitori di assistenza sanitaria non hanno bisogno di adeguare le loro infrastrutture per adattarsi ai cambiamenti.
Sfide
Le sfide principali includono la mancanza di fiducia nella sicurezza dei dati e nella privacy da parte degli utenti, l’inerzia organizzativa, la perdita di governance e la conformità del provider incerto.
La fiducia è al centro della resistenza che molti clienti hanno al cloud . Le preoccupazioni sorgono quando i loro dati sensibili e le loro applicazioni mission-critical passano a un paradigma di cloud computing in cui i fornitori non possono garantire l’efficacia dei loro controlli di sicurezza e privacy .
La resistenza culturale (cioè l’inerzia organizzativa) per condividere i dati e cambiare i modi tradizionali di lavorare è una sfida di gestione comune all’adozione del cloud computing.
In alcuni casi, un contratto sul livello di servizio potrebbe non offrire un impegno a consentire al cliente di controllare i propri dati. La perdita di governance dei dati potrebbe avere un forte impatto sulla strategia di un utente cloud e quindi sulla capacità di raggiungere la sua missione e gli obiettivi.
Infine, se un fornitore non è in grado di soddisfare le norme di conformità richieste (ad esempio, leggi, regolamenti, standard, contratti o modifiche alle politiche applicabili), l’investimento di un cliente potrebbe essere a rischio. In alcuni casi, alcuni servizi clienti (ad esempio, transazioni con carta di credito) non possono essere utilizzati .
Aspetto tecnologico
Opportunità
Gli ospedali più piccoli, gli studi medici e i laboratori in genere non dispongono di personale IT interno per la manutenzione e il servizio dell’infrastruttura interna per applicazioni mission-critical come EHRs. Pertanto, eliminando il nuovo costo dell’infrastruttura e gli oneri di manutenzione IT può rimuovere molti ostacoli all’adozione EHR . Per le organizzazioni sanitarie più grandi, l’archiviazione dei dati o le esigenze delle applicazioni IT nelle mani di un provider cloud sposta essenzialmente l’onere della gestione IT a un provider di terze parti. Dal punto di vista della gestione IT, il cloud computing può aumentare la scalabilità, la flessibilità e l’economicità dell’infrastruttura.
Inoltre, il cloud computing ha vantaggi per il cosiddetto green computing – l’uso più efficiente delle risorse informatiche per aiutare l’ambiente e promuovere il risparmio energetico. L’utilizzo di risorse di calcolo pronte su misura per le esigenze di un’organizzazione aiuta certamente a ridurre le spese di energia elettrica. Mentre si risparmia sull’elettricità, si risparmia anche sulle risorse necessarie per raffreddare i computer e altri componenti. Ciò riduce l’emissione di materiali pericolosi nell’ambiente .
Sfide
Diverse sfide tecniche legate all’uso del cloud computing includono l’esaurimento delle risorse, l’imprevedibilità delle prestazioni, il blocco dei dati, i colli di bottiglia del trasferimento dei dati e i bug nei sistemi cloud distribuiti su larga scala.
Il basso costo e le risorse di calcolo disponibili su richiesta sono due caratteristiche chiave del cloud computing. Tuttavia, il mercato sta diventando affollato di grandi fornitori. A causa della forte concorrenza, molti fornitori di cloud overcommit risorse di calcolo (ad esempio, unità di elaborazione centrale allocazione, spazio di archiviazione, applicazioni) per attirare i clienti. Al fine di mantenere il profitto, hanno tagliato gli angoli nel sistema di consegna del valore. Ad esempio, possono limitare l’accesso alle risorse cloud o utilizzare hardware o software obsoleti o distribuire tecnologie CPU meno recenti. Sfortunatamente, la maggior parte dei clienti cloud non è in grado di governare l’architettura virtuale e i provider di solito non consentono un audit da parte dei clienti. Il risultato è variabile che porta a prestazioni imprevedibili nel servizio . Questa differenza tra le aspettative del cliente e ciò che il provider può realmente fornire presenta una grande sfida tecnica per il cliente cloud per fornire un servizio di alta qualità ai propri utenti.
Il blocco dei dati è anche una sfida importante. In alcuni casi, gli utenti cloud potrebbero dover spostare dati o servizi a un altro provider o tornare a un ambiente IT interno perché il provider cessa le operazioni aziendali o di servizio. Ad esempio, Google ha deciso di interrompere il suo servizio Google Health il 1 ° gennaio 2012. Gli utenti hanno un anno per scaricare i loro dati sanitari . Sfortunatamente, la maggior parte delle infrastrutture cloud fornisce pochissime capacità sull’interoperabilità di dati, applicazioni e servizi . Ciò rende difficile per un cliente migrare da un provider a un altro o spostare dati e servizi in un ambiente IT interno.
Alcuni utenti cloud (ad esempio, laboratori di ricerca biomedica) potrebbero dover caricare o scaricare frequentemente grandi quantità di dati dal cloud. Gli utenti dell’applicazione potrebbero scoprire che esiste un collo di bottiglia per il trasferimento dei dati a causa della limitazione della larghezza di banda della rete fisica. Un altro rischio tecnico specifico è quello dei bug nei sistemi cloud distribuiti su larga scala. Rispetto ai sistemi IT interni, gli errori in queste grandi infrastrutture distribuite sono più difficili da eseguire il debug .
Aspetto della sicurezza
Opportunità
Forse la più forte resistenza all’adozione del cloud computing nei centri IT sanitari riguarda la sicurezza dei dati . Tuttavia, rispetto ai dati ospitati localmente, questo modello non è necessariamente meno sicuro. In alcuni casi, in genere, migliora la sicurezza, perché i fornitori di cloud (ad esempio, Microsoft, Google, Amazon) sono in grado di dedicare ingenti risorse per risolvere i problemi di sicurezza che molti clienti non possono permettersi, in contrasto con la distruzione di molte cartelle cliniche e documenti legali in Giappone, terremoto di magnitudo 9.0 o il New Orleans Uragano Katrina disastro.
Tutti i tipi di misure di sicurezza, come hardware, software, risorse umane e costi di gestione, sono più economici se implementati su larga scala. La maggior parte dei fornitori di cloud replica i dati degli utenti in più posizioni. Ciò aumenta la ridondanza dei dati e l’indipendenza dai guasti del sistema e fornisce un livello di disaster recovery. Inoltre, un provider cloud ha sempre la capacità di riallocare dinamicamente le risorse di sicurezza per il filtraggio, il traffic shaping o la crittografia al fine di aumentare il supporto per le misure difensive (ad esempio, contro gli attacchi distributed denial-of-service). La capacità di scalare dinamicamente le risorse difensive su richiesta presenta evidenti vantaggi per la resilienza .
Sfide
Ci sono molti rischi per la sicurezza dei dati nell’uso dell’IT, come attacchi hacker, interruzioni di rete, disastri naturali, errori di separazione, interfaccia di gestione pubblica, scarsa gestione delle chiavi di crittografia e abuso dei privilegi. I rischi specifici per il cloud computing sono il fallimento della separazione, l’interfaccia di gestione pubblica, la scarsa gestione delle chiavi di crittografia e l’abuso dei privilegi.
Il cloud computing è di solito accessibile a molti clienti diversi. Se il provider non riesce a separare le risorse, potrebbe causare rischi per la sicurezza molto gravi. Ad esempio, un cliente richiede di eliminare i dati memorizzati nell’infrastruttura virtuale; come per la maggior parte dei sistemi operativi, ciò potrebbe non comportare la cancellazione effettiva dei dati immediatamente. I dati sono ancora memorizzati sul disco ma non sono disponibili . Nell’ambiente di locazione multipla, le risorse hardware vengono riutilizzate da altri clienti. In questo caso, una terza parte potrebbe avere accesso ai dati “cancellati” di un altro cliente. Ciò presenta un rischio maggiore per i clienti cloud rispetto all’hardware dedicato.
L’interfaccia di gestione pubblica è l’altro tallone d’Achille del cloud computing. Come indicato nel riepilogo del rischio di cloud computing dell’ENISA :
Il cliente per la gestione di interfacce di fornitori di cloud pubblici sono Internet accessibile e mediare l’accesso al più grande set di risorse (rispetto ai tradizionali fornitori di hosting) e costituiscono quindi un aumento del rischio soprattutto se combinato con l’accesso remoto e il browser Web vulnerabilità
Forte crittografia con chiave di gestione è uno dei principali meccanismi di sistemi di cloud computing utilizzare per la protezione contro la perdita di dati e il furto. Tuttavia, una procedura di gestione delle chiavi scadente può causare la perdita di chiavi di crittografia, la divulgazione di chiavi segrete o password a soggetti malintenzionati o l’uso non autorizzato per l’autenticazione.
Infine, con l’aumentare dell’uso del cloud, i dipendenti potrebbero diventare sempre più bersagli per le organizzazioni criminali. Se l’insider dannoso è un amministratore di sistema, allora lui o lei potrebbe usare i suoi privilegi per rubare dati critici.
Aspetto legale
Opportunità
La protezione dei dati e della privacy sono essenziali per costruire la fiducia dei clienti necessaria al cloud computing per raggiungere il suo pieno potenziale. Se i fornitori adottassero politiche e pratiche migliori e più chiare, gli utenti sarebbero più in grado di valutare i rischi correlati che devono affrontare. Fortunatamente, molti fornitori principali si sono impegnati a sviluppare le migliori politiche e pratiche per proteggere i dati e la privacy dei clienti . Oltre agli impegni dei provider per questa protezione, alcune organizzazioni, come la Cloud Security Alliance, hanno sviluppato una guida completa per affrontare i problemi di sicurezza e privacy . Il Trusted Computing Group (http://www.trustedcomputinggroup.org/), un’organizzazione senza scopo di lucro, suggerisce un insieme di tecnologie hardware e software per consentire la costruzione di piattaforme attendibili. Anche i governi svolgono un ruolo fondamentale promuovendo regolamenti di accordi diffusi sia per gli utenti che per i fornitori .
Sfide
L’uso del cloud computing presenta molte questioni legali come il diritto contrattuale, i diritti di proprietà intellettuale, la giurisdizione dei dati e la privacy . Tra questi, la giurisdizione dei dati e le questioni di privacy sono le principali preoccupazioni.
Nel cloud, gli archivi fisici potrebbero essere ampiamente distribuiti in più giurisdizioni, ognuna delle quali potrebbe avere leggi diverse in materia di sicurezza dei dati, privacy, utilizzo e proprietà intellettuale . Ad esempio, l’US Health Insurance Portability and Accountability Act (HIPAA) limita le aziende a divulgare dati sanitari personali a terze parti non affiliate e l’Uniting and Strengthening America fornendo gli strumenti appropriati necessari per intercettare e ostacolare il Terrorism (PATRIOT) Act conferisce al governo degli Stati Uniti il diritto di richiedere dati se dichiara le condizioni come un’emergenza o necessarie per Allo stesso modo, il Canadian Personal Information Protection and Electronic Documents Act (PIPEDA) limita i poteri delle organizzazioni di raccogliere, utilizzare o divulgare informazioni personali nel corso di attività commerciali. Tuttavia, un fornitore può, senza preavviso a un utente, spostare le informazioni dell’utente da una giurisdizione all’altra. I dati nel cloud possono avere più di una sede legale allo stesso tempo, con conseguenze giuridiche diverse.
Il cloud computing è una risorsa condivisa e un ambiente multitenancy per capacità, storage e rete. Il rischio di privacy di questo tipo di ambiente include il fallimento dei meccanismi per separare lo storage, la memoria, il routing e persino la reputazione tra i diversi tenant dell’infrastruttura condivisa. L’archiviazione centralizzata e la locazione condivisa dello spazio di archiviazione fisico significa che gli utenti cloud sono a maggior rischio di divulgazione dei loro dati sensibili (ad esempio, cartelle cliniche) a parti indesiderate .
La scarsa notifica di violazione è anche un importante problema di privacy . Ad esempio, il PIPEDA ha proposto un nuovo requisito per le organizzazioni di segnalare violazioni dei dati materiali al Commissario per la privacy del Canada e di notificare agli individui dove esiste un rischio di danno . Sfortunatamente, la notifica di violazione non protegge realmente la privacy di un cliente. Un recente sondaggio mostra che i consumatori che hanno ricevuto notifiche di violazione dei dati nell’ultimo anno sono a un rischio di frode molto maggiore rispetto al consumatore tipico .
Pianificazione strategica del cloud computing
Quando un’organizzazione sanitaria considera di spostare il proprio servizio nel cloud, ha bisogno di una pianificazione strategica per esaminare i benefici e i rischi del nuovo modello, valutare le sue capacità per raggiungere l’obiettivo e identificare le strategie progettate per la sua implementazione. Sono disponibili diversi riferimenti per stabilire un piano strategico cloud. Ad esempio, Marks e Lozano descrivono il metodo del ciclo di vita dell’adozione del cloud computing che coinvolge 9 fasi per aiutare gli utenti a iniziare un progetto cloud. Questi sono proof of concept / progetto pilota, strategia e roadmap, modellazione e architettura, pianificazione dell’implementazione, implementazione, espansione, integrazione, collaborazione e maturità.
Il Project Management Institute, un’associazione di appartenenza senza scopo di lucro per la professione di project management, ha pubblicato un white paper sul cloud computing che può essere utilizzato come riferimento per qualsiasi project manager cloud. Il documento fornisce 8 passaggi chiave per l’implementazione del cloud computing, oltre a 2 casi di studio che supportano il metodo .
Stanoevska-Slabeva et al forniscono anche linee guida pratiche per spostare l’infrastruttura IT tradizionale verso i cloud: analisi iniziale della domanda e preparazione per il cloud computing, decisione strategica per introdurre il cloud computing, implementazione pilota, interconnessione interna, inclusione di risorse esterne e monitoraggio e valutazione continui.
Il piano strategico IT della sanità federale degli Stati Uniti , pubblicato nel giugno 2008, può essere utilizzato anche per i grandi enti governativi per implementare progetti cloud sanitari. Il Piano ha affidato all’Ufficio del Coordinatore nazionale per la tecnologia dell’informazione sanitaria un ruolo di leadership per lo sviluppo e l’implementazione a livello nazionale di un’infrastruttura IT sanitaria interoperabile per migliorare la qualità e l’efficienza dell’assistenza sanitaria. Il piano strategico ha 2 obiettivi: assistenza sanitaria focalizzata sul paziente e salute della popolazione, con 4 obiettivi sotto ogni obiettivo. Gli obiettivi per entrambi gli obiettivi sono la privacy e la sicurezza, l’interoperabilità, l’adozione e la governance collaborativa. Il piano per raggiungere ogni obiettivo è dettagliato attraverso 43 strategie che descrivono il lavoro necessario per raggiungere ogni obiettivo. Ogni strategia è associata a una pietra miliare rispetto alla quale è possibile valutare i progressi e a una serie di azioni illustrative per attuare ciascuna strategia.
Oltre ai metodi di pianificazione strategica sopra discussi, questo documento, basato su uno studio , propone un modello HC2SP (Health care cloud computing Strategic planning) che può essere utilizzato da un’organizzazione sanitaria per determinare la sua direzione, strategia e allocazione delle risorse per migrare dai servizi sanitari tradizionali ai servizi basati su cloud. Il modello comprende 4 fasi: identificazione, valutazione, azione e follow-up (vedi Figura 2).
Fase 1: Identificazione
In questo modello HC2SP, la prima fase consiste nell’analizzare lo stato attuale del processo di servizio dell’organizzazione sanitaria e identificare l’obiettivo fondamentale del miglioramento del servizio ascoltando la voce del cliente o dei pazienti. Il metodo di analisi delle cause principali può essere applicato per analizzare i problemi del processo di servizio corrente. Una gerarchia tipica delle cause sarebbe espressa come segue:
Problema #1: Il processo di ammissione del paziente o di dimissione dall’ospedale è troppo lungo. Perché? Ci sono troppi grafici inutili (duplicati). Perché? Il sistema di grafici cartacei è inefficiente. Perché? Vi è la mancanza di sistemi di informazione automatizzati come EHR/EMR. Perché? Si tratta di un sacco di up-front investimenti IT e manutenzione.
L’identificazione oggettiva e la sua portata devono essere chiarite in modo da servire gli utenti finali (pazienti) in modo più efficiente ed efficace. Inoltre, il team di pianificazione strategica deve definire gli indicatori di qualità del servizio sanitario e spiegare il loro scopo, nonché l’uso di ciascun indicatore. Questa fase del modello fornisce al team di pianificazione strategica un ambito ben definito per il problema del servizio da affrontare.
Fase 2: Valutazione
La seconda fase del modello è quella di valutare le opportunità e le sfide dell’adozione del cloud computing. ENISA, the Cloud Security Alliance e NIST hanno sviluppato guide complete per valutare i benefici e i rischi dell’adozione del cloud computing. Un potenziale utente può anche applicare un’analisi SWOT (punti di forza, punti deboli, opportunità e minacce) per valutare la fattibilità dell’approccio basato sul cloud .
Inoltre, l’utente deve valutare i metodi per gestire i problemi identificati. A tal fine sono disponibili numerosi riferimenti (cfr.Tabella 2). Ad esempio, Armbrust et al riportano 10 principali ostacoli per il cloud computing. Ogni ostacolo è associato a opportunità (soluzioni), che vanno dallo sviluppo diretto del prodotto ai grandi progetti di ricerca. Buyya e Ranjan discutono diversi problemi di gestione federati nel cloud, come i colli di bottiglia del trasferimento dei dati, la registrazione condivisa e la federazione di cluster distribuiti. Forniscono inoltre ulteriori riferimenti per gestire le questioni discusse. Inoltre, Kuo et al propongono un mediatore basato su XML per superare i problemi di blocco dei dati.
Sfide | Risorse | Soluzione di Riepilogo |
di Gestione e di problemi tecnici | Armbrust et al | Dieci soluzioni per gestire tecnica, politica, e i problemi di business |
Buyya e Ranjan | Ulteriori riferimenti per gestire il cloud federato problemi di gestione | |
Kuo et al | XML-in base mediatore per gestire i dati di lock-in (interoperabilità) problemi | |
Sicurezza e questioni legali | Cloud Security Alliance | Soluzioni per gestire il cloud governance e l’operazione di problemi (12 domini) |
NISTa linee guida | Precauzione raccomandazioni per affrontare con sicurezza e problemi di privacy | |
Rione e Sipior | Cinque strategie per la gestione dei dati problemi di giurisdizione |
un Istituto Nazionale di Standard e Tecnologia.
La Cloud Security Alliance descrive 12 domini di preoccupazioni per il cloud computing. I domini sono divisi in 2 grandi categorie: governance e operazioni. Vengono inoltre forniti consigli sulla soluzione per ogni dominio. Le Linee guida del NIST sulla sicurezza e la privacy nel cloud computing pubblico menzionano molti problemi chiave di sicurezza e privacy del cloud e le raccomandazioni di precauzione corrispondenti che le organizzazioni devono seguire quando pianificano o avviano un accordo di outsourcing del servizio di cloud pubblico. Ward e Sipior si concentrano su questioni di giurisdizione. Raccomandano 5 strategie per i clienti cloud per affrontare i problemi di giurisdizione.
Fase 3: Azione
Dopo aver valutato il nuovo modello di calcolo, l’organizzazione sarà in grado di determinare se adottare il servizio o meno. Se la risposta è sì, ha bisogno di elaborare un piano di attuazione. Questo documento propone un piano in 5 fasi come segue.
Passaggio 1: Determinare il servizio cloud e il modello di distribuzione
Come discusso in precedenza, il cloud computing può fare riferimento a diversi tipi di servizio (SaaS, PaaS e IaaS) e diversi modelli di distribuzione (cloud privato, pubblico, comunitario e ibrido). Ogni tipo di servizio o modello di distribuzione ha i propri vantaggi e rischi . Pertanto, le considerazioni chiave nella contrattazione per diversi tipi di servizi o modelli di implementazione dovrebbero essere diverse.
Passo 2: Confronta diversi fornitori di cloud
La scelta di un provider cloud adeguato è la parte più importante del piano di implementazione. Diversi fornitori possono offrire diversi modelli di servizio, schemi di prezzi, procedure di audit e politiche di privacy e sicurezza. L’organizzazione deve confrontare diverse offerte. Inoltre, deve valutare la reputazione e le prestazioni del provider prima di firmare un contratto.
Punto 3: Ottenere la garanzia dal provider cloud selezionato
L’organizzazione ha bisogno di garanzie che il provider selezionato fornirà la qualità del servizio e seguire la privacy suono, sicurezza, e le pratiche e le normative legali. Le garanzie di qualità del servizio includono accesso on-demand, pay-per-use, rapida elasticità, supporto per la risoluzione dei problemi in tempo e trasparenza operativa . Le garanzie di privacy e sicurezza coprono la riservatezza dei dati, l’integrità, la disponibilità, l’autenticità, l’autorizzazione e la non ripetizione. Inoltre, il provider deve assicurare che i dati, inclusi tutti i backup, siano archiviati solo in posizioni geografiche consentite da contratto, contratto di servizio e regolamento.
Passaggio 4: Considerare la migrazione futura dei dati
L’organizzazione potrebbe dover trasferire dati e servizi a un altro provider o tornare a un ambiente IT interno perché il provider cessa le operazioni aziendali o di servizio (ad esempio, la recente interruzione di Google Health ), ha una diminuzione inaccettabile della qualità del servizio o ha una controversia La portabilità dei dati deve essere considerata in anticipo come parte del piano .
Passo 5: Avviare un’implementazione pilota
Molti metodi di pianificazione strategica precedenti suggeriscono che un’organizzazione senza esperienza cloud precedente inizi con un’implementazione pilota . Il pilota dovrebbe essere adatto a fornire la prova dei vantaggi del cloud computing per l’organizzazione.
Fase 4: Follow-up
L’ultima fase consiste nell’implementazione dell’infrastruttura di cloud computing e nello sviluppo di un piano di follow-up. Il piano indica quando misurare e come misurare i miglioramenti del servizio. Gli obiettivi ragionevoli sono stabiliti in anticipo e i risultati dei nuovi servizi sono misurati rispetto agli obiettivi specificati o agli indicatori di performance per valutare l’entità del miglioramento . Se la nuova condizione di servizio non è soddisfatta, l’organizzazione sanitaria deve rivedere quali fatti influenzano il raggiungimento obiettivo. Se la causa principale della condizione di servizio insoddisfatta proviene dal provider cloud, l’organizzazione si consulterà e discuterà con il provider per migliorare il servizio o potrebbe considerare lo spostamento di dati e servizi a un altro provider o al suo ambiente IT interno.
Discussione e conclusione
Il cloud computing è un nuovo modello di calcolo che promette di fornire maggiore flessibilità, meno spese e maggiore efficienza nei servizi IT agli utenti finali. Offre potenziali opportunità per migliorare l’adozione di EHR, i servizi sanitari e la ricerca. Tuttavia, come discusso sopra, ci sono ancora molte sfide per promuovere il nuovo modello nell’assistenza sanitaria. Forse la più forte resistenza all’adozione del cloud computing nei centri IT sanitari riguarda la sicurezza dei dati e le questioni legali. Fortunatamente, molti fornitori principali (ad esempio, Microsoft, Google, Amazon) hanno impegni per sviluppare le migliori politiche e le pratiche per proteggere i dati dei clienti e la privacy . Alcune organizzazioni senza scopo di lucro, come la Cloud Security Alliance e il Trusted Computing Group, hanno sviluppato linee guida complete e tecnologie hardware e software per consentire la costruzione di applicazioni cloud affidabili. I governi promuovono anche le normative (ad esempio, HIPAA e PIPEDA) per proteggere la sicurezza dei dati e la privacy degli utenti del cloud. Inoltre, la maggior parte dei problemi legali coinvolti nel cloud computing di solito possono essere risolti attraverso la valutazione del contratto o trattative .
Quando un’organizzazione sanitaria considera di spostare il proprio servizio nel cloud, ha bisogno di una pianificazione strategica per esaminare i fattori ambientali come il personale, il budget, le tecnologie, la cultura organizzativa e le normative governative che possono influenzarlo, valutare le sue capacità per raggiungere l’obiettivo e identificare le strategie progettate per andare avanti. Questo documento fornisce utili riferimenti di pianificazione strategica per i potenziali utenti per avviare progetti cloud. Inoltre, viene proposto un nuovo modello chiamato HC2SP che potrebbe essere applicato da un’organizzazione sanitaria per determinare la sua direzione, strategia e allocazione delle risorse per passare al paradigma cloud. Il modello comprende 4 fasi: identificazione, valutazione, azione e follow-up. Nella prima fase, l’organizzazione analizza lo stato attuale del processo di servizio e identifica l’obiettivo fondamentale del servizio. La fase 2 consiste nel valutare le opportunità e le sfide dell’adozione del cloud computing. Utilizzando l’analisi SWOT, l’organizzazione può determinare i fattori di forza e debolezza interni, nonché i fattori di opportunità e minaccia esterni dell’adozione del nuovo modello. Sono state fornite anche alcune potenziali soluzioni per gestire i problemi del cloud. Quindi, nella fase 3, l’organizzazione redige un piano di implementazione del cloud computing. L’autore suggerisce che questo dovrebbe includere almeno quanto segue: determinare il servizio cloud e il modello di distribuzione, confrontare diversi provider cloud, ottenere la garanzia dal provider cloud selezionato, considerare la migrazione futura dei dati e avviare un’implementazione pilota. L’ultima fase è quella di distribuire l’infrastruttura di cloud computing e sviluppare un piano di follow-up per misurare i miglioramenti del servizio sanitario.
Come l’amministratore delegato di una società IT cloud ha commentato:
Se ti svegli questa mattina e leggi sul Wall Street Journal che, per esempio, Overstock.com ha smesso di usare UPS e FedEx e gli Stati Uniti. mail, e aveva comprato flotte di camion e ha iniziato hub aeroportuali di leasing e la consegna dei prodotti stessi, si direbbe che erano fuori di testa. Perché è molto più folle di una società di assistenza sanitaria che spende billion 2 miliardi all’anno in tecnologia dell’informazione (tradizionale)?
Il cloud computing rappresenta un’opportunità interessante per i consumatori di IT e i produttori di servizi di informazione . La ricerca di Gartner ha anche rilevato che il cloud computing si è classificato come la massima priorità tecnica dei Chief Information officer nel 2011 . Tuttavia, l’adozione del cloud computing è un processo complesso che coinvolge molti fattori. Ha bisogno di una valutazione rigorosa prima di introdurre il nuovo modello di calcolo per un’organizzazione. Questo documento si concentra su 4 aspetti della valutazione e della pianificazione strategica, che aiuteranno le organizzazioni sanitarie a determinare se (o come) migrare dai servizi sanitari tradizionali a quelli basati sul cloud.