Diventare Chief information officer, la figura che nelle aziende sanitarie può prevenire i data breach

Dalla fusione tra la medicina e l’informatica nasce il Chief Information Officer, cioè il Direttore delle Informazioni all’interno delle strutture sanitarie: scopri cosa fa questo professionista leggendo l’articolo.

Sommario

  1. A che cosa serve il CIO in ambito sanitario
  2. Come può un CIO contribuire a prevenire un data breach

Negli anni ’80 i computer iniziano a presentarsi al grande pubblico e a mostrare al mondo le potenzialità che possono offrire per migliorare i processi lavorativi: sono gli anni del Commodore 64, del PC nominato come personaggio dell’anno dal Time, del sistema operativo DOS (i più anziani lo ricorderanno), del primo telefono cellulare americano (il Motorola DynaTAC 8000X, il mattone che troviamo in molti film dell’epoca), del Macintosh e della nascita di Microsoft Office e dei suoi prodotti che hanno rivoluzionato il modo di lavorare degli uffici di tutto il mondo.

In quegli anni il Chief Information Officer (Direttore delle Informazioni) era una persona altamente specializzata con il compito di guidare le risorse umane e il personale delle aziende nell’adattare il lavoro al cambiamento tecnologico: si trattava di figure professionali che inizialmente lavoravano nell’ombra e che negli anni hanno iniziato ad assumere posizioni dirigenziali all’interno delle aziende.

La professione del CIO ha avuto un declino negli anni Duemila, quando si credeva che l’evoluzione tecnologica all’interno delle aziende si potesse muovere in autonomia, ma negli ultimi cinque sei anni, con l’accelerazione impressionante che ha avuto la tecnologia, la professione del Chief Information Officer si è riconvertita ed è diventata una professione che mixa al suo interno competenze in materia tecnologica e informatica, leadership, problem solving e capacità gestionali e manageriali di livello, tali da garantire la gestione di network sempre più vasti.

Il CIO, in pratica, non è l’uomo che sistema il PC, ma è una figura cardine che si occupa di guidare e accompagnare l’azienda (in qualunque settore essa operi) a comprendere i servizi digitali attualmente esistenti e a capire come possono diventare un supporto fondamentale per le attività aziendali.

L’avvento dell’intelligenza artificiale, in particolare, sta rivalutando la professione di CIO, che adesso guida le aziende nel percorso di inserimento dell’AI all’interno dei processi produttivi.

A che cosa serve il CIO in ambito sanitario

Nel settore sanitario, oggi, le informazioni cliniche, mediche e sociosanitarie relative ai pazienti circolano in digitale sia all’interno delle strutture (pubbliche e/o private) sia tra gli operatori del settore: si tratta di dati personali e dati sanitari, estremamente delicati, che necessitano di essere gestiti in maniera strategica.

Il ruolo del CIO, in questo senso, è fondamentale, perché è a lui che spetta il compito di abilitare e guidare un’azienda sanitaria pubblica o una struttura privata alla totale e completa trasformazione verso il settore digitale, intervenendo nelle decisioni (dalla scelta dei device più idonei per le esigenze d’ufficio all’individuazione delle misure di sicurezza digitale più idonee per tutelare i dati sanitari) e aiutando gli operatori sanitari a comprendere come utilizzare la tecnologia e come metterla a disposizione dell’azienda per migliorare le performance sanitarie, a vantaggio di operatori e pazienti.

Attenzione: il CIO in sanità non deve essere un mero tecnocrate che sforna dati tecnici incomprensibili ai medici, ma prima ancora dell’informatica deve conoscere il mondo sanitario, per comprenderne a fondo le esigenze. Per questo motivo, è preferibile che si tratti di un professionista sanitario con competenze informatiche e digitali che si presti a questa nuova importante professione.

In effetti, il primo Chief Information Officer nominato in Italia da un’azienda sanitaria pubblica è proprio un medico: nella primavera del 2024 l’Azienda sanitaria dell’Alto Adige ha presentato come CIO il Dr. Roberto Silverio, un medico specialista in radiodiagnostica che, durante la sua carriera medica, ha messo le proprie competenze informatiche a disposizione sia delle ASL presso cui ha operato sia del Ministero della Salute e del Dipartimento Innovazione della Presidenza del Consiglio. L’Azienda sanitaria dell’Alto Adige ha presentato il nuovo CIO con una nota in cui spiega che il suo compito sarà quello di “tradurre le esigenze IT del personale clinico e renderle comprensibili per i tecnici” e che la sua figura rappresenterà “l’interfaccia tra il complesso settore della medicina e quello dell’informatica”.

Considerata la vera e propria rivoluzione industriale/tecnologica che stiamo vivendo e la velocità con cui nuovi servizi IT vengono immessi sul mercato (pensiamo all’intelligenza artificiale, ai robot, all’Internet of Things), probabilmente nei prossimi mesi assisteremo a un incremento della domanda di CIO nel settore sanitario, per governare il cambiamento tecnologico in atto nella sanità.

Come può un CIO contribuire a prevenire un data breach

I dati personali e quelli sanitari rappresentano i lingotti d’oro del nuovo millennio. I dati sanitari, in particolare, includono dettagli personali, diagnosi, terapie, informazioni genetiche e altri elementi che, se non protetti adeguatamente, possono esporre i pazienti a gravi rischi di privacy e sicurezza.

Conoscendo i dati di una persona, un malintenzionato può fare qualunque cosa, dalla sostituzione di persona all’apertura di conti correnti o carte di credito a suo nome, fino a ricattarlo per le proprie patologie sanitarie (magari imbarazzanti) con la minaccia di renderle note sul luogo di lavoro.

Quando all’interno dell’azienda sanitaria si verifica una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, si verifica quello che in gergo tecnico viene chiamato un data breach.

Per evitarlo, i dati personali e sanitari all’interno dell’azienda pubblica o della clinica privata devono essere messi in cassaforte, con una telecamera di videosorveglianza sempre puntata sempre puntata all’ingresso del caveau e con delle guardie armate a difesa della porta d’ingresso, come nei cartoni animati di Arsenio Lupin. Sempre per usare il paragone con Arsenio Lupin, in un’azienda sanitaria l’ispettore Zenigata deputato a predisporre il caveau con tutti gli strumenti difensivi utili per evitare che il ladro gentiluomo venga a rubare i dati sanitari è proprio il Chief Information Officer, che lavorerà a stretto contatto con il Responsabile dei dati personali e il Titolare dei dati personali per guidarli nella scelta degli strumenti più adatti alle esigenze aziendali.

Per prevenire un data breach sanitario il CIO potrà suggerire all’azienda sanitaria i firewall, i software antivirus e i sistemi di rilevamento delle intrusioni più innovativi e soprattutto performanti per le esigenze aziendali, predisponendo dei piani di aggiornamento periodico, unitamente al Responsabile del trattamento e al Titolare del trattamento, sia per i software che per gli hardware; inoltre, il CIO e i Responsabili potranno predisporre dei piani di formazione per il personale dell’azienda, in modo da evitare situazioni imbarazzanti (ma realmente accadute) come la password del wi-fi o del pc attaccata su un post-it accanto allo schermo.

Il CIO sarà in grado di valutare se e come l’azienda potrà e dovrà crittografare i dati sanitari dei propri pazienti, sia quelli che vengono conservati presso gli archivi che quelli trasmessi da un medico all’altro o da una clinica all’altra: un ottimo sistema di crittografia può sicuramente scoraggiare Arsenio Lupin 4.0 dal rubare i dati sanitari.

Il CIO, infine, potrà ricercare e scegliere per l’azienda sanitaria i sistemi di autenticazione a più fattori (i cosiddetti MFA) più idonei per rendere sicuro ogni accesso del personale ai dati sensibili, senza però rallentare o rendere macchinoso il processo di diagnosi, cura e trattamento dei dati.

Il CIO, infine, può predisporre e scegliere, unitamente ai Responsabili dei dati, i piani di emergenza e di ripristino dei dati in caso di violazione, valutando i sistemi di backup e di ripristino più adatti e sicuri, in modo da riuscire a recuperare i dati nel più breve tempo e ridurre al minimo (per quanto possibile) i danni.

La figura del CIO in sanità, per concludere, è quella di un medico informatico con competenze multidisciplinari, una sorta di ibrido che cura tutto ciò che riguarda la digitalizzazione dell’azienda sanitaria senza mai perdere di vista lo scopo principale della professione medica che è quello di tutelare la salute del paziente: nei prossimi mesi sentiremo sicuramente parlare di questa nuova figura professionale, sia all’interno delle aziende sanitarie che delle cliniche private.

Leggi anche

Di: Manuela Calautti, avvocato

Argomenti correlati

Privacy