Aunque proviene originalmente del sector de las telecomunicaciones, Bayardo Álvarez trabaja desde hace una década –cuando se fundó– en Boston PainCare, un centro especializado en el tratamiento del dolor crónico con sede en el Estado de Massachusetts, EE.UU. Su primer proyecto fue la implementación de la infraestructura de red y sistemas, incluyendo los de historia clínica electrónica y gestión electrónica de la práctica, pero luego vio la necesidad de integrar sistemas autónomos y dispositivos médicos. Así fue que aprovechó ese desafío para aprender más sobre las tecnologías y protocolos utilizados en el sector de salud. Hoy, además de ser el director de TI de Boston PainCare, el ingeniero en Sistemas es también miembro del comité de Privacidad y Seguridad de HIMSS. “Nuestra especialidad, el tratamiento interdisciplinario del dolor crónico, y la forma en la que trabajamos, era algo nuevo en aquel entonces. No había una solución que se adaptara al flujo de trabajo de nuestros médicos. El reto más grande fue desarrollar los sistemas a la medida que hoy utilizamos para el tratamiento y control de nuestros pacientes”, explica a eHealth Reporter.
- ¿Cuáles son los desafíos más importantes a tener en cuenta para desarrollar e implementar sistemas, administrar infraestructuras de red y garantizar la seguridad de la información en el sector de la salud? ¿Es muy diferente al trabajo en el área de las telecomunicaciones, donde trabajó antes?
- Existen algunos elementos en común entre los dos sectores en cuanto a la seguridad de la infraestructura y sistemas, pero en el sector de salud tenemos una gran responsabilidad por proteger la privacidad y seguridad de la información de nuestros pacientes. Además, en algunas clínicas y en ámbitos hospitalarios y ambulatorios modernos se utilizan dispositivos médicos que están integrados a redes de datos. Una brecha de seguridad podría tener consecuencias graves para el bienestar de los pacientes. Por esto, considero que algunos de los desafíos principales son:
- Mantener un balance entre la protección de la información y la facilidad de uso y accesibilidad a esa información (especialmente frente a amenazas cibernéticas externas, pero también por amenazas internas). La información no es útil si nuestros médicos y enfermeros enfrentan obstáculos para acceder a ella, o si no es accesible en el momento preciso en que la necesitan.
- Informar regularmente a usuarios de nuestros sistemas (personal médico, administrativo, gerencia y hasta TI) sobre seguridad y privacidad, y educarlos en el uso apropiado de los recursos de tecnología de la información. Un porcentaje alto de las brechas de seguridad ocurren por error humano.
- Analizar todo cambio o componente nuevo a la red o a sistemas en cuanto a los riesgos de seguridad que podría introducir, y remediar o mitigarlos previo a su implementación.
- Estar preparados con documentación actualizada y procesos comprobados para la recuperación de sistemas en caso de desastre, y capacitar al personal sobre la forma de operar en dichas situaciones.
- Diseñar los sistemas con redundancia y tolerancia a fallas necesaria de acuerdo a su importancia dentro del esquema de la organización.
- Evaluar y ajustar con regularidad nuestra posición en cuanto a ciberseguridad, pues los vectores y agentes de ataque están evolucionando constantemente.
- ¿Qué balance hace de la situación de e-Salud en la región de las Américas, sobre todo, en cuanto al manejo de la privacidad y la seguridad de los datos?
- Mi experiencia en la práctica y como profesional en e-Salud está limitada a los EE.UU., pero puedo comentar sobre dos acontecimientos que considero fueron claves en impulsar estas tecnologías aquí. El primero fue que a raíz de la crisis económica que sufrió EE.UU. en 2007, el gobierno decretó dos años después una ley para promover, estimular e incentivar la adopción y el uso “significativo” o “con sentido” de tecnologías de la información en el sector de la salud (acta HITECH). Por uso “significativo” se entiende mejorar la calidad, seguridad y eficiencia, y reducir disparidades (de grupos étnicos, geográficos, raciales y socioeconómicos); acoplar a pacientes y familias; mejorar la coordinación del cuidado médico, salud pública y salud de la población; y mantener la privacidad y seguridad de la información médica. El segundo acontecimiento fue que, en esta misma ley, se incluyó una sección que abordó directamente los temas de privacidad y seguridad asociados con la transmisión electrónica de información de pacientes.
- ¿Qué se debería hacer para impulsar una mejor privacidad y seguridad? ¿Cuáles son las principales dificultades que hay, sobre todo en los países de América Latina?
- Creo que cada gobierno debe implementar leyes claras, efectivas y realistas en cuanto a privacidad y seguridad, y algunos países ya lo han hecho. Al mismo tiempo, deben desarrollar iniciativas en conjunto con hospitales, empresas privadas, universidades, gobiernos vecinos u otras organizaciones para educar, informar y apoyar a los diferentes sectores a alcanzar mayores niveles de privacidad y seguridad. Un estudio reciente del Banco Interamericano de Desarrollo y la Organización de Estados Americanos (“2016 Cybersecurity Report, Are we ready in Latin America and the Caribbean?”) muestra que la región es altamente vulnerable a ataques cibernéticos “potencialmente devastadores”, y hace un llamado a los países a aumentar sus esfuerzos en torno a ciberseguridad. En Europa, la Comunidad Europea legisla y regula este tema para sus miembros, mientras que en Canadá y Estados Unidos existen leyes específicas para la protección de información electrónica de pacientes (PIPEDA y HIPAA). Aun así, en EE.UU. escuchamos con frecuencia alarmante que nuestros hospitales, clínicas y aseguradoras médicas han sido víctimas de un ciberataque o han sufrido una brecha de seguridad. En mi opinión, el reto para algunos países latinoamericanos será estar debidamente preparados para enfrentar el crecimiento acelerado en la información y servicios que se están trasladando y transportando en el ciberespacio, incluyendo la información personal y clínica de pacientes.
- ¿Qué expectativas tiene del encuentro de HIMSS Brasil en octubre? ¿En qué consistirán sus presentaciones?
- HIMSS Brasil es mi primer evento a nivel internacional, y voy con el afán de aprender, compartir mis experiencias, conocer y establecer contacto con colegas de otros países. Mi primera presentación será sobre prescripción electrónica (e-Prescribing). Voy a hablar sobre los beneficios, retos, cómo se impulsó y desarrolló esta tecnología en EE.UU. Massachusetts, el Estado en donde se ubica Boston PainCare, fue uno de los más exitosos en adoptar rápidamente la tecnología de prescripción electrónica. Mi segunda presentación será más general y tratará sobre ciberseguridad en el sector de salud. En ella compartiré algunas ideas, experiencias y otros temas que vivimos a diario como profesionales en TI en esta industria.
- ¿Qué es la prescripción electrónica y en qué sentido brinda seguridad a los pacientes?
- En esencia, permite ingresar prescripciones a través de una computadora y enviarlas electrónicamente a farmacias para ser dispensadas a pacientes. Algunos de los beneficios son que el farmacéutico ya no necesita interpretar prescripciones escritas a mano, lo que reduce la posibilidad de errores; evita que el paciente pierda la receta, ya que ésta es enviada directamente a la farmacia; permite un mejor monitoreo de la prescripción de medicamentos controlados, y entonces los pacientes ya no pueden obtener múltiples recetas de diferentes médicos; y cuando está integrada a un historial clínico electrónico, alerta al médico si el paciente sufre de ciertas alergias o condiciones de salud, interacción con otro medicamento, o si no cumple con la edad mínima para tomar cierto medicamento.
- ¿Por qué un congreso como el de HIMSS Brasil es importante para la comunidad de e-Salud latinoamericana?
- La visión de HIMSS es mejorar la salud a través del uso de tecnología de la información, y este tipo de evento provee el espacio para aprender sobre las iniciativas y tecnologías que se están desarrollando en otros países, compartir ideas y experiencias, y discutir temas de importancia para el beneficio y progreso de e-Salud en Latinoamérica.
Para inscribirse al congreso de HIMSS Brazil: http://www.himssbrazil.org/
- Quais são os desafios mais importantes a ter em conta para desenvolver e implementar sistemas, administrar infraestruturas de rede e garantir a segurança da informação na área da saúde? É muito diferente do trabalho na área das telecomunicações, onde trabalhou antes?
- Existem alguns elementos em comum entre as duas áreas em relação à segurança da infraestrutura e sistemas, mas na área da saúde temos uma grande responsabilidade por proteger a privacidade e segurança da informação de nossos pacientes. Além disso, em algumas clínicas e em ambientes hospitalares e ambulatórios modernos utilizam dispositivos médicos que estão integrados a redes de dados. Uma brecha de segurança poderia ter consequências graves para o bem-estar dos pacientes. Por isso, considero que alguns dos desafios principais são:
- Manter um balanço entre a proteção da informação e a facilidade de uso e acessibilidade a essa informação (especialmente diante das ameaças cibernéticas externas, mas também por ameaças internas). A informação não é útil se os nossos médicos e enfermeiros enfrentam obstáculos para acessá-la, ou se não é acessível no momento preciso em que a necessitam.
- Informar regularmente osusuários de nossos sistemas (equipe médica, administrativa, gerência e até TI) sobre segurança e privacidade, e educá-los no uso apropriado dos recursos de tecnologia da informação. Uma porcentagem alta das brechas de segurança ocorrem por erro humano.
- Analisar toda mudança ou componente novo à rede ou a sistemas em relação aos riscos de segurança que poderia introduzir, e remediar ou mitigá-los prévio à sua implementação.
- Estar preparados com documentação atualizada e processos comprovados para a recuperação de sistemas em caso de desastre, e capacitar os funcionários sobre a forma de operar em ditas situações.
- Programar os sistemas com redundância e tolerância a falhas necessária de acordo com a sua importância dentro do esquema da organização.
- Avaliar e ajustar com regularidade nossa posição em relação à cibersegurança, pois os vetores e agentes de ataque estão evoluindo constantemente.
- Que balanço você faz da situação de e-Saúde na região das Américas, especialmente, em relação ao manejo da privacidade e a segurança dos dados?
- Minha experiência na prática e como profissional em e-Saúde está limitada aos EUA, mas posso comentar sobre dois acontecimentos que considero que foram essenciais em impulsionar essas tecnologias aqui. O primeiro foi que a partir da crise econômica que os EUA sofreram em 2007, o governo decretou dois anos depois uma lei para promover, estimular e incentivar a adoção e o uso “significativo” ou “com sentido” de tecnologias da informação na área da saúde (ata HITECH). Por uso “significativo” entende-se melhorar a qualidade, segurança e eficiência, e reduzir disparidades (de grupos étnicos, geográficos, raciais e socioeconômicos); acoplar pacientes e famílias; melhorar a coordenação do cuidado médico, saúde pública e saúde da população; e manter a privacidade e segurança da informação médica. O segundo acontecimento foi que, nessa mesma lei, incluiu-se uma seção que tratou diretamente os temas de privacidade e segurança associados com a transmissão eletrônica de informação de pacientes.
- O que deveria ser feito para impulsionar uma melhor privacidade e segurança? Quais são as principais dificuldades que há, sobretudo nos países da América Latina?
- Acho que cada governo deve implementar leis claras, efetivas e realistas em relação à privacidade e segurança, e alguns países já o fizeram. Ao mesmo tempo, devem desenvolver iniciativas em conjunto com hospitais, empresas privadas, universidades, governos vizinhos ou outras organizações para educar, informar e apoiar as diferentes áreas a alcançar maiores níveis de privacidade e segurança. Um estudo recente do Banco Interamericano de Desenvolvimento e Organização dos Estados Americanos (“2016 Cybersecurity Report, Are we ready in Latin America and the Caribbean?”) mostra que a região é altamente vulnerável a ataques cibernéticos “potencialmente devastadores”, e faz um chamado aos países para aumentar seus esforços em torno à cibersegurança. Na Europa, a Comunidade Europeia legisla e regula esse tema para seus membros, enquanto no Canadá e nos Estados Unidos existem leis específicas para a proteção de informação eletrônica de pacientes (PIPEDA e HIPAA). Ainda assim, nos EUA escutamos com frequência alarmante que nossos hospitais, clínicas e seguradoras médicas foram vítimas de um ciberataque ou sofreram uma brecha de segurança. Na minha opinião, o desafio para alguns países latino-americanos será estar devidamente preparados para enfrentar o crescimento acelerado na informação e serviços que estão sendo trasladados e transportados no ciberespaço, incluindo a informação pessoal e clínica de pacientes.
- Que expectativas você tem do encontro da HIMSS Brasil em outubro? Em que consistirão suas apresentações?
- A HIMSS Brasil é meu primeiro evento em nível internacional, e vou com o objetivo de aprender, compartilhar minhas experiências, conhecer e estabelecer contato com colegas de outros países. Minha primeira apresentação será sobre prescrição eletrônica (e-Prescribing). Vou falar sobre os benefícios, desafios, como foi impulsionada e desenvolvida essa tecnologia nos EUA. Massachusetts, o Estado onde se localiza o Boston PainCare, foi um dos que obteve mais sucesso em adotar rapidamente a tecnologia de prescrição eletrônica. Minha segunda apresentação será mais geral e tratará sobre cibersegurança na área da saúde. Nela compartilharei algumas ideias, experiências e outros temas que vivemos diariamente como profissionais em TI nessa indústria.
- O que é a prescrição eletrônica e em que sentido proporciona segurança aos pacientes?
- Em essência, permite ingressar prescrições através de um computador e enviá-las eletronicamente a farmácias para ser dispensadas a pacientes. Alguns dos benefícios são que o farmacêutico já não precisa interpretar prescrições escritas à mão, o que reduz a possibilidade de erros; evita que o paciente perca a receita, já que essa é enviada diretamente à farmácia; permite um melhor monitoramento da prescrição de medicamentos controlados, e então os pacientes já que não podem obter múltiplas receitas de diferentes médicos; e quando está integrada a um prontuário clínico eletrônico, alerta ao médico se o paciente sofre de certas alergias ou condições de saúde, interação com outro medicamento, ou se não cumpre com a idade mínima para tomar certo medicamento.
- Por que um congresso como o da HIMSS Brasil é importante para a comunidade de e-Saúde latino-americana?
- A visão da HIMSS é melhorar a saúde através do uso de tecnologia da informação, e esse tipo de evento provê o espaço para aprender sobre as iniciativas e tecnologias que estão sendo desenvolvidas em outros países, compartilhar ideias e experiências, e discutir temas de importância para o benefício e progresso de e-Saúde na América Latina.
Para inscrever-se ao congreso da HIMSS Brasil: http://www.himssbrazil.org/ehome/174122/registration/