Ciągłość działania

Ciągłość działania

Ostatnie lata pokazały nam, że jedno jest pewne – sytuacja kryzysowa może pojawić się w każdym momencie. Co więcej, może dotknąć każdego z nas. Zagrożenia i ryzyko są przecież nieodłącznym elementem działalności niezależnie od branży, w której funkcjonujemy. Dotyczy to także sektora zdrowia.

Pandemia koronawirusa była dla wszystkich testem wytrzymałości i wymagała zdolności adaptacji do nowej rzeczywistości. W obliczu globalnego zagrożenia tylko dobrze przygotowane firmy są w stanie zagwarantować ochronę pracowników i dostępność usług. Jak zatem przygotować się na taki kryzys? Co podmioty lecznicze mogą zrobić, aby zapewnić sobie i swoim pacjentom możliwość funkcjonowania w sytuacji kryzysowej? Odpowiedź brzmi: zapewnić ciągłość działania.

Zarządzanie ciągłością działania (ang. Business Continuity Management, BCM) to zbiór działań, jakie podejmuje organizacja w celu zapewnienia klientom i dostawcom dostępności jej krytycznych funkcji biznesowych w przypadku wystąpienia zakłócenia (np. sytuacji kryzysowej).

Zarządzanie ciągłością działania odnosi się do czynności wykonywanych codziennie. Mają one na celu zapobieganie (ograniczanie ryzyka) wystąpienia sytuacji awaryjnej oraz utrzymywanie gotowości do natychmiastowej reakcji gdyby takowa zaistniała. Oznacza to, że każdy podmiot już dziś powinien podjąć działania zmierzające do zapewnienia ciągłości działania.

Aby móc funkcjonować w sytuacji kryzysowej powinniśmy posiadać plan ciągłości działania. Jest to dokument określający, w jaki sposób organizacja będzie kontynuować działalność w trakcie i po zakłóceniu lub katastrofie. Plan obejmuje strategie i procedury utrzymania lub szybkiego przywracania ważnych funkcji biznesowych oraz metody ochrony krytycznych zasobów. Elementami planu ciągłości działania są:

  • Ocena ryzyka – identyfikacja potencjalnych zagrożeń.
  • Analiza wpływu na biznes – jak zidentyfikowane ryzyka mogą wpłynąć na działalność organizacji.
  • Strategia i planowanie – opracowanie strategii utrzymania i wznowienia krytycznych funkcji i procesów po zakłóceniu. Niezbędna do tego jest identyfikacja zasobów kopii zapasowych oraz określenie ról i obowiązków kluczowego personelu.
  • Reakcja na incydent – opracowanie procedur reagowania i komunikowania się po wystąpieniu incydentu.
  • Szkolenia i testy – przygotowanie szkoleń dla personelu w zakresie ich ról i obowiązków w przypadku wystąpienia zakłócenia. Plan należy testować, aby mieć pewność, że można go szybko i skutecznie wdrożyć.
  • Przegląd i aktualizacja – monitorowanie i aktualizacja planu ciągłości działania jest niezbędne w celu uwzględnienia zmian zachodzących w organizacji i jej otoczeniu.
  • Wdrożenie – poinformowanie wszystkich pracowników o planie ciągłości działania i konieczności jego zastosowania w określonych sytuacjach.

Posiadanie planu ciągłości działania w wypadku wystąpienia zjawisk kryzysowych jest również bardzo istotne z punktu widzenia przepisów RODO. Sytuacje krytyczne mogą w bezpośredni sposób zagrażać bezpieczeństwu danych osobowych przetwarzanych i przechowywanych przez organizację. W dzisiejszych czasach coraz częściej zdarzają się ataki na infrastrukturę IT podmiotów leczniczych.

Zalecane jest więc, przygotowanie planu ciągłości działania dla systemu informatycznego. W treści takiego planu należy zamieścić wszelkie procedury i informacje na temat działań zmierzających do ochrony danych osobowych oraz jak najsprawniejszego przywrócenia ich przetwarzania i bezpieczeństwa do poziomu wymaganego przepisami RODO.

Zarządzanie ciągłością działania ma na celu budowanie odporności i zdolności organizacji do efektywnej reakcji na zagrożenie tak, aby zabezpieczyć realizację zadań organizacji i jej wizerunek.

Ciągłość działania w podmiocie leczniczym

Jak już wiemy, zapewnienie ciągłości działania w sytuacji zagrożenia i po jego wystąpieniu to jedno z najpoważniejszych wyzwań w zarządzaniu każdą organizacją, także podmiotem leczniczym. Oprócz znanej nam już pandemii sytuację kryzysową mogą wywołać również: atak terrorystyczny, pożar, awaria, włamanie, kradzież, powódź, atak hakerski, uszkodzenie w wyniku nieprawidłowego użytkowania oraz braku konserwacji i inne. Stanowi ona zagrożenie dla funkcjonowania podmiotu i realizacji jego podstawowych zadań.

Należy pamiętać, że zagrożenia te dotyczą także bezpieczeństwa danych osobowych i ich przetwarzania. Podmioty lecznicze przetwarzają dane szczególnych kategorii, tzw. dane wrażliwe dotyczące stanu zdrowia. Obecnie jedyną możliwą formą prowadzenia dokumentacji medycznej jest dokumentacja w formie elektronicznej. Wynika z tego, że bezpieczeństwo dokumentacji medycznej zależy od działania systemu informatycznego w jakim jest prowadzona. Więcej na temat wymagań dla systemów informatycznych w ochronie zdrowia znajda Państwo w naszej Bazie wiedzy, w artykule Wymagania dla systemów informatycznych w ochronie zdrowia.

Rozwój cyfryzacji i nowych technologii w ochronie zdrowia wymaga stałego monitorowania incydentów bezpieczeństwa w sieci i aplikacjach. Zarządzanie ciągłością działania w cyberbezpieczeństwie dotyczy dostępności zasobów informatycznych wspierających realizację krytycznych procesów: infrastruktury, sieci, sprzętu, systemów, aplikacji, danych.

W przypadku pomiotu leczniczego kluczowym procesem jest udzielanie świadczeń zdrowotnych na najwyższym poziomie i zapewnienie ich dostępności nawet po wystąpieniu incydentu. Zapewnienie fachowej opieki i bezpieczeństwa pacjentom ściśle wiąże się z dostępem do ich dokumentacji medycznej oraz systemu, w którym jest przetwarzana. Na szczęście w dzisiejszych czasach podmioty lecznicze nie muszą wszystkiego robić same.

Jednym z rozwiązań umożliwiających przeniesienie odpowiedzialności za utrzymanie systemu w podmiocie leczniczym są rozwiązania chmurowe. Oferujemy Państwu platformę mMedica.online, w której za działanie i dostępność systemu mMedica odpowiada personel naszego serwisu. Platforma mmedica.online zapewnia większą gwarancję dostępności w razie wystąpienia incydentu niż tradycyjna instalacja. Natomiast Państwo będą mogli skupić swoje działania na świadczeniu usług medycznych na jak najwyższym poziomie. Więcej na ten temat znajduje się na stronie mMedica w Chmurze.

Zaistniała ostatnio sytuacja epidemiologiczna uświadomiła nam jak zmienne i nieprzewidywalne może być otoczenie, w jakim realizowane są usługi medyczne. Sytuacje kryzysowe, choć uznawane za mało prawdopodobne, zdarzają się i mogą przynieść katastrofalne skutki.

Przygotowanie odpowiednich procedur i informacji wpływa na ograniczenie tych zagrożeń do poziomu uznanego za dopuszczalny oraz pozwala na zaplanowanie działań zastępczych i kroków dla przywrócenia stanu sprzed kryzysu.

Dla podmiotów prowadzących działalność leczniczą szczególnie ważne powinno być ograniczenie zagrożeń związanych przetwarzaniem danych i zminimalizowanie ich negatywnych skutków, w szczególności utraty. W tym celu można wdrożyć różne strategie i rozwiązania. Z pewnością podstawowymi i obowiązkowymi są kopie zapasowemonitoring zagrożeń.

Kopie zapasowe

Kopia zapasowa (ang. backup) to zestaw procedur, których realizacja pozwala firmom chronić swoje dane przed utratą i zagwarantować ich dostępność w przypadku jakichkolwiek problemów. Inaczej mówiąc, to proces tworzenia kopii danych w celu odtworzenia ich w przypadku awarii, uszkodzenia lub utraty pierwotnych danych.

Kopie zapasowe muszą być odmiejscowione, czyli przechowywane w innej lokalizacji niż ich oryginał. Kopie zapasowe są często tworzone na nośnikach zewnętrznych, takich jak dyski twarde, płyty CD/DVD, pamięci USB i inne.

W przypadku awarii oryginalnych danych, kopie zapasowe mogą zostać użyte do przywrócenia danych do stanu sprzed awarii.

Obecnie, poza kopiami na nośnikach zewnętrznych, można tworzyć kopie zapasowe online. Kopia zapasowa online to kopia wszystkich ważnych danych na zewnętrznych serwerach znajdujących się w chmurze. Jej ogromną zaletą jest to, że umożliwia przywrócenie danych w dowolnym czasie i z dowolnego miejsca. Ponadto kopia zapasowa online chroni przed wirusami i złośliwym oprogramowaniem, ponieważ dane są przechowywane z dala od zainfekowanych komputerów. Do innych zalet kopii zapasowej w chmurze należą:

  • automatyzacja procesów tworzenia kopii zapasowych,
  • skalowalność, czyli
  • łatwość wdrożenia i użytkowania,
  • jest to znacznie tańsze niż przechowywanie danych na lokalnych serwerach.

Dzięki posiadaniu prawidłowo wykonanej kopii zapasowej można w każdej chwili, w prosty sposób przywrócić bazę danych systemu mMedica. Plik kopii zapasowej stanowi archiwum całej bazy danych programu mMedica z chwili jej utworzenia.

Ponadto kopia zapasowa programu mMedica może być tworzona jest automatycznie i nie wymaga ingerencji użytkownika. Istnieje także możliwość wykonania kopii zapasowej ręcznie.

Więcej na temat zaleceń dla podmiotów leczniczych dotyczących wykonywania kopii zapasowych znajdą Państwo w naszej Bazie wiedzy we wpisie Wykonywanie kopii zapasowych – rekomendacje Ministerstwa Zdrowia.

Kopie zapasowe stanowią element planu ciągłości działania, a dokładniej planu odzyskiwania danych po incydencie. W planie ciągłości działania należy określić m.in.:

  • Co zrobić z kopiami zapasowymi w razie incydentu utraty danych?
  • Jakie dane zostały utracone?
  • Jaki czas przewidujemy na odzyskanie danych?
Strategia zabezpieczenia danych w systemie mMedica

Dla podmiotów leczniczych szczególnie istotne jest posiadanie strategii tworzenia kopii zapasowych. Jedną z podstawowych strategii tworzenia kopii zapasowych jest zasada 3-2-1. Strategia ta polega na posiadaniu:

  • trzech kopii danych,
  • dwie z tych kopii są przechowywane lokalnie na różnych nośnikach, takich jak wewnętrzny dysk twardy komputera oraz przenośny nośnik danych, np. zewnętrzny dysk twardy,
  • jedna kopia danych przechowywana zdalnie w ramach rozwiązania zewnętrznego, takiego jak oprogramowanie do tworzenia kopii zapasowych w chmurze.

Ponadto w ramach prowadzonej strategii zaleca się monitorowanie i testowanie kopii zapasowych. Pozwoli to uniknąć sytuacji, w której posiadane kopie zapasowe będą błędnie wykonane lub uszkodzone, co uniemożliwi odtworzenie danych.

Monitoring zagrożeń

Nikt z nas nie wyobraża już sobie życia bez internetu. Musimy jednak pamiętać, że oprócz korzyści jakich nam dostarcza czają się tam również zagrożenia. Jednym z nich jest złośliwe oprogramowanie, czyli malware, które może wyrządzić wielkie szkody. Lista potencjalnych zagrożeń obejmuje przykładowo: utratę kontroli nad urządzeniem, usunięcie zapisanych na twardym dysku danych, kradzież informacji poufnych.

Ataki malware są szczególnie groźne dla firm i organizacji, z uwagi na to, że przetwarzają one zwykle duże ilości danych. Właśnie dlatego każdy świadomy użytkownik internetu i każda firma, duża i mała, powinni pomyśleć o ochronie antywirusowej. O innych niebezpieczeństwach kryjących się w internecie przeczytają Państwo w naszej bazie wiedzy we wpisie Zagrożenia dla bezpieczeństwa danych i systemów – cyberataki.

Monitoring zagrożeń to nie tylko ochrona anytwirusowa komputerów. Do pracy wykorzystujemy również między innymi tablety i smartfony. Korzystamy z poczty elektronicznej, dane pomiędzy urządzeniami przesyłamy przy pomocy różnych sieci komputerowych. Luki w zabezpieczeniach połączenia internetowego mogą być dla hakerów furtką, przez którą dostaną się do firmowych danych.

Wynika z tego, że dzisiaj prosty program antywirusowy to już za mało. Obecnie potrzebujemy pakietu, na który składają się różne zabezpieczenia. Dlatego zachęcamy Państwa do zapoznania się z produktami Eset. W ofercie znajdą Państwo szereg usług z zakresu cyberbezpieczeństwa, do których należą m.in.:

  • ochrona stacji roboczych,
  • ochrona tożsamości i danych,
  • bezpieczeństwo poczty elektronicznej,
  • ochrona serwerów plikowych,
  • zarządzanie bezpieczeństwem.

Produkty Eset przeznaczone są do ochrony stacji roboczych z systemami Windows, macOS i Android. W naszej ofercie znajdą Państwo kompletne pakiety bezpieczeństwa, które w znaczący sposób podniosą poziom ochrony przed zagrożeniami czyhającymi w sieci. Zainteresowanych prosimy o kontakt z naszym Biurem Obsługi Klienta.

Skontaktuj się z nami i dowiedz się więcej.

tel: +48 68 422 70 52
e-mail: bok@ea24.pl

EA24.pl