SINGLE SIGN-ON: ECCO I SUGGERIMENTI DEL RESPONSABILE IT
Chuck Christian, Cio del Good Samaritan Hospital (Indiana) racconta come ha implementato la soluzione di single sign-on di Imprivata. Pur essendo un piccolo presidio, il Good Samaritan Hospital rappresenta un utente tecnologico piuttosto sofisticato. Ad esempio, i 247 posti letto dell’ospedale di Vincennes (Indiana) sono dotati da quasi dieci anni di dispositivi a codici a barre per la codifica e la registrazione delle prestazioni mediche. Tuttavia gli investimenti in IT competono con quelli per apparecchiature medicali, come le macchine per la TAC o gli strumenti di analisi, infatti elementi che generano fatturato per l’ospedale. Per questo motivo, quando alcuni anni fa Chuck Christian, Cio del Good Samaritan, ha iniziato a valutare la possibilità di implementare soluzioni di single sign-on (Sso), la motivazione secondo la quale questa tecnologia rappresentasse un adeguato strumento di sicurezza per un ospedale certificato HIPAA (la normativa americana sulla portabilità della polizza assicurativa) era valida, ma insufficiente.
Christian non aveva budget IT da sprecare, con o senza la crisi. Il Cio del Good Samaritan, che serve cinque contee in Indiana e Illinois, gestisce l’IT della struttura con un budget annuale di 3 milioni di dollari, uno staff di 27 persone e un approccio secondo il quale tutti sono chiamati a dare costantemente il proprio contributo.
“Avevamo la necessità di trovare qualcosa che fosse compatibile con il nostro budget e fosse facile da usare e gestire”, commenta Christian. Molte delle soluzioni di single sign-on di alto profilo sono dotate di numerosi add-on. Quello che serviva a Christian era una soluzione che si integrasse con Microsoft Active Directory e permettesse agli utenti di autenticarsi e accedere a tutte le applicazioni con un solo login. “Per usare una metafora: non ci serviva un’auto superaccessoriata, ma solo una buona macchina”.
Christian e i suoi business analyst lessero un articolo su un’appliance di single sign-on facile da usare, proposta da Imprivata, che allora era ancora una startup di Lexington in Massachusetts. “Che colpo di fortuna!”. Tuttavia l’affermazione secondo la quale l’appliance si sarebbe gestita da sola fu accolta con scetticismo.
Imprivata allora inviò al Good Samaritan Hospital un tecnico in modo che Christian potesse provare la soluzione per un mese. Il tecnico arrivò in mattinata e nel pomeriggio già sette applicazioni usate dal personale clinico erano abilitate all’Sso. Il giorno dopo lo staff di Christian estese la soluzione di Imprivata anche al sistema informatico della sala infermiere.
“Le soluzioni che funzionano bene per gli esperti IT non necessariamente si adattano anche al personale clinico. Per questo era importante raccogliere il feedback degli utenti”.
Con l’appliance Sso, su ogni postazione dell’ospedale viene installato un client che è attivo sui computer in cui gli utenti hanno necessità di accedere a più applicazioni durante il giorno. (In ogni caso, il client non è attivo su tutte le postazioni: “Non avrebbe senso, ad esempio, nel caso di un contabile che usa un’unica applicazione durante l’intera giornata lavorativa. La sicurezza dell’applicazione stessa sarebbe sufficiente”). Secondo il sito di Imprivata, la console di gestione fornisce un’interfaccia web-based che rende l’Sso facile da installare, configurare e distribuire. Gli utenti possono autenticarsi per accedere a un’applicazione come sempre. Il sistema crea password uniche ad alta sicurezza “dietro le quinte” per assicurare la conformità agli standard di sicurezza e la riservatezza dei dati del paziente.
Il mese di prova ha permesso di apprendere un’importante lezione: è fondamentale mantenere semplice l’interfaccia di single sign-on, in particolare per gli utenti che devono accedere a più applicazioni durante il giorno.
“All’inizio abbiamo provato ad essere un po’ troppo flessibili. Era possibile lasciare la postazione in diversi modi, troppi, e questo creava confusione nei nostri medici. Siamo tutti abitudinari. E se si lavora su otto, nove o dieci postazioni al giorno, può essere frustrante se ognuna è configurata in modo diverso, anche se sicuro. Abbiamo reinstallato il sistema ed eliminato le alternative”.
Christian non ha voluto calcolare formalmente un Roi per uno strumento che, in un contesto ospedaliero, può rivelarsi critico per salvare delle vite, dato che velocizza il login di medici e infermiere. Tuttavia è stata registrata una significativa diminuzione delle chiamate all’help desk per problemi di password. Un’altra forma di Roi è dovuta al fatto che le nuove infermiere assunte sono già formate sull’Sso, perché il Good Samaritan condivide le sue applicazioni cliniche, compreso l’Sso, con l’università locale. “Quando entrano per la prima volta in ospedale conoscono già le procedure dell’Sso, e questo per noi rappresentata un risparmio sui costi di formazione”.
Nei quattro anni successi all’implementazione, spiega Christian, l’appliance di Imprivata non ha richiesto particolare manutenzione, nonostante quattro aggiornamenti. E l’Sso è diventato non solo una pratica standard, ma un livello di sicurezza critico per le difese del Good Samaritan. Grazie all’Sso Christian può, ad esempio, cambiare velocemente i permessi di accesso alle applicazioni di ciascun dipendente o, in casi estremi, negargli ogni autorizzazione.
Oltre a impedire che personale non autorizzato acceda a dati clinici riservati, la divisione IT del Good Samaritan deve inoltre contrastare chi intende sottrarre l’identità dei pazienti per commettere truffe finanziarie. L’appliance Sso genera audit trail che permettono all’IT di tenere traccia di chi entra dove; un questione che Christian sottolinea molto chiaramente nei suoi training per i nuovi assunti. “Sostanzialmente ricordo loro che grazie all’Sso possiamo controllare in modo dettagliato a quali documenti accedono, quando e da dove”.
Qualche consiglio su come implementare una soluzione di single sign-on
Come si posiziona una soluzione di single sign-on all’interno di una strategia di sicurezza IT?
L’Sso è un componente di un più ampio programma di gestione delle identità. “Il single sign-on è una delle funzionalità di sicurezza che utilizziamo in tutte quelle aree in cui i dispositivi dell’ospedale in cui più utenti accedono a numerose applicazioni”, dice Chuck Christian, Cio del Good Samaritan Hospital. “La possibilità di bloccare una postazione con un solo tasto e proteggere tutte le applicazioni è un vero plus e ora un requisito. Con le sole funzionalità di Windows, bloccare la postazione non sempre permette di evitare anche l’accesso alle applicazioni lasciate aperte”.
Cercare una soluzione che sia adeguatamente dimensionata per la vostra organizzazione.
Le soluzioni di Sso sono spesso accessoriate con diverse funzionalità aggiuntive. Ma le migliori sono quelle che si integrano con il sistema di gestione delle identità già presente, nel caso del Good Samaritan Active Directory.
Cercare il consenso degli utenti.
Anche se il team IT dell’ospedale è rimasto sin da subito colpito dalla semplicità dell’implementazione della soluzione Imprivata, il periodo di test di 30 giorno ha permesso al gruppo di raccogliere e analizzare i feedback degli utenti.
Semplicità.
Per le organizzazioni il cui personale si autentica su diverse postazioni durante il giorno, mantenere uniforme l’interfaccia evita confusione ed errori.
Parlare di policy, non solo di tecnologia.
Il Cio del Good Samaritan ha verificato che un approccio soft alla riservatezza dei dati clinici non funziona. Chi accede a dati o applicazioni senza autorizzazione non avrà futuro nell’ospedale di Vincennes (Indiana).
