Recursos/White Papers

Opinião

A TI híbrida e o setor de saúde

A TI da saúde está diante de um dilema: inovar para acompanhar outros setores, mas correr o risco de tempo de inatividade ou de violação dos dados, ou permanecer tecnologicamente estagnados

Leon Adato *

Publicada em 09 de março de 2017 às 07h40

Os executivos de TI em organizações do setor de saúde estão relutantes quanto a passar alguns elementos de sua infraestrutura para a nuvem, mesmo deixando outros no local. No entanto, essa estrutura, conhecida como TI híbrida, tornou-se rapidamente a realidade da maioria dos outros setores, sendo que 98% dos profissionais de TI brasileiros recentemente pesquisados pela SolarWinds disseram que adotar tecnologias de nuvem é importante para o sucesso de suas empresas, embora 64% afirmem que é improvável que toda a infraestrutura de TI seja migrada para a nuvem.
 
No setor de saúde, entretanto, preocupações com a segurança tornam a migração para a nuvem um desafio, visto que o processo e o resultado final podem envolver riscos e questões de conformidade. Portanto, a adoção da nuvem pelo setor de saúde apresenta uma defasagem em relação aos outros setores. Vamos explorar essa questão mais a fundo, juntamente com algumas das práticas recomendadas para a implementação da TI híbrida em um ambiente de serviços de saúde.
 
Pesando prós e contras da TI híbrida no setor de saúde
À medida que dados de mais pacientes são digitalizados e o volume desses dados aumenta, a nuvem se torna uma maneira cada vez mais atrativa de gerenciar a capacidade e o crescimento, tudo por um custo total de propriedade menor do que uma estratégia estritamente local poderia oferecer. Além disso, a TI híbrida permite que as empresas, especialmente as que operam em vários fusos horários e com níveis variáveis de atividade ao longo do dia e da noite, atendam às suas próprias necessidades computacionais e reduzam o tempo de inatividade e a latência.
 
Também é interessante a maneira como as estratégias modernas de TI híbrida podem ajudar as organizações do setor de saúde em muitos países, o que inclui o Brasil, a estar em conformidade com os regulamentos de residência de dados, que exigem que empresas na França, por exemplo, mantenham todos os dados confidenciais em servidores localizados em seu próprio país. A solução encontrada pelas empresas cinco a dez anos atrás era manter data centers em miniatura regionalmente, programando aplicativos que garantissem que os dados corretos fossem extraídos para as necessidades adequadas no momento certo. Agora, com um ambiente de TI híbrida, o Amazon Web Services, por exemplo, soluciona essa questão com zonas de disponibilidade, em que todos os dados no data center aparecem como um conjunto contínuo atribuído a determinadas regiões da nuvem. Do ponto de vista da conformidade, as zonas de disponibilidade representam uma das maiores vantagens para as organizações do setor de saúde, pois não permitem que conjuntos de dados específicos sejam transferidos de maneiras incompatíveis com os requisitos de conformidade.
 
Hoje, a saída do Reino Unido da União Europeia, ou “Brexit”, agrega a essa equação mais complicações que a TI híbrida pode ajudar a atenuar. O Reino Unido e a União Europeia ainda devem definir quais padrões de residência de dados o Reino Unido deverá seguir. Assim, com uma estratégia de TI híbrida, as empresas podem funcionar no clima regulatório atual, sendo capazes de realizar rápidas mudanças, caso exigido por alterações na legislação. Sem a TI híbrida e uma estratégia de nuvem, os profissionais de TI em organizações do setor de saúde precisarão gastar horas incontáveis e quantias em dinheiro para reprogramar aplicativos de acordo com os padrões atualizados.  
 
Embora a TI híbrida simplifique a residência dos dados e proporcione maneiras mais fáceis e econômicas de gerenciar quantidades cada vez maiores de dados médicos, também há desafios a serem levados em consideração, como a garantia da disponibilidade dos serviços de nuvem, sem que se tenha o controle direto sobre eles. No fim das contas, os profissionais de TI internos das organizações de saúde ainda são responsáveis por garantir o desempenho de todas as conexões de rede necessárias para suas organizações, sejam elas donas ou não das redes. Em síntese, eles se tornaram responsáveis não apenas por suas próprias redes, mas também pelas redes dos provedores de nuvem e de SaaS, além das redes de seus ISPs.
 
Dessa forma, seus aplicativos baseados em nuvem acabam dependendo de várias redes sobre as quais não possuem visibilidade nem controle. Esses aplicativos podem variar de itens simples, como um site ou serviço Web remoto, até aplicativos de missão crítica complexos, o que, na área de saúde, pode literalmente representar uma questão de vida ou morte.
 
Outra preocupação óbvia é a necessidade cada vez maior de proteger prontuários médicos eletrônicos. Um desafio importante é que o modelo clássico de segurança de confidencialidade, disponibilidade e integridade é bastante diferente no universo da TI híbrida. Por definição, a TI híbrida obtém os dados que estavam em um data center local e os dissemina pela Internet. Como garantir a confidencialidade, se os dados são inseridos no aplicativo de um fornecedor e então enviados para data centers em várias partes do mundo, cada qual com regulamentações diferentes quanto à segurança de dados? A criptografia em trânsito no nível do aplicativo, normalmente TLS, pode ajudar, mas o fato de os dados terem sido transportados com segurança não significa que serão armazenados em segurança.
 
O mesmo se aplica à integridade dos dados. Como garantir que os dados armazenados fora de controle não sejam modificados? Mesmo em implantações totalmente locais, é raro haver um departamento de TI com programas que garantam e auditem a integridade dos dados armazenados. A bem da verdade, é muito mais fácil encontrar notícias sobre violações de dados de implantações locais do que de fornecedores de nuvem pública ou SaaS.
 
No fim das contas, os executivos de TI do setor de saúde estão diante de um dilema: inovar para acompanhar outros setores, mas correr o risco de tempo de inatividade ou de uma violação dos dados, ou permanecer tecnologicamente estagnados enquanto mantêm a conformidade com os regulamentos de privacidade dos serviços de saúde (e até mesmo os exceder), mas sofrer com a falta de inovação e das vantagens em termos de eficiência e eficácia que a acompanham.
 
Práticas recomendadas
A verdade é que não existe uma solução genérica. Cada organização de saúde é única e precisa considerar a adoção da nuvem e da TI híbrida com base na necessidade, nas vantagens e nos riscos. Isso posto, é importante que qualquer um que planeje adotar ou tenha adotado uma estratégia de TI híbrida siga as práticas recomendadas a seguir para garantir uma transição tranquila para a nuvem, implementar a devida gestão de desempenho de um ambiente de TI híbrida e manter tanta conformidade e proteção quanto possível, ao mesmo tempo que colhe os benefícios da nuvem.

·   Criar um mapa. Não existe uma única resposta para a migração para a nuvem. Ela é diferente para cada organização de saúde, representando, com frequência, uma jornada de vários anos. A melhor opção para qualquer departamento de TI que esteja considerando migrar para a nuvem é criar um mapa. Parte desse processo envolve estar bem-informado para tomar decisões inteligentes quando se trata de nuvem, mesmo que a decisão seja não fazer a transição para ela.

·   Oferecer suporte a sistemas herdados. Não se deve partir da premissa de que a nuvem solucionará todos os problemas. É mais que provável que a organização tenha alguns sistemas que nunca migrem para a nuvem, seja por motivos financeiros, técnicos ou de conformidade. É importante contar com um plano em suporte a sistemas herdados paralelamente à nuvem, tanto agora quanto no futuro.

·   Priorizar a redundância. Da mesma forma, não se deve supor que a confiabilidade da nuvem seja melhor do que a local por sua própria natureza. Com todos os seus benefícios e recursos, o disco rígido ainda pode superar a nuvem. E o que vem depois? Uma solução de backup deve ser redundante em escala e capacidade para manter a largura de banda exigida pela Internet e pelas conexões de rede em um ambiente de TI híbrida. Não basta mais ter apenas uma rede principal e dois backups que operam com capacidade de 25%. Os backups devem ser capazes de sustentar a maior parte das operações, em vez de apenas um failover de capacidade reduzida.

 ·   Ter a segurança sempre em mente. Muitos dos maiores provedores de serviços de nuvem já implementam programas de conformidade para algumas das políticas mais rigorosas, o que inclui a HIPAA. Cada vez que um provedor adiciona um novo serviço ou recurso, essas certificações de conformidade precisam ser restabelecidas para garantir o cumprimento dos requisitos dos clientes e de contratos de SLA específicos. Além disso, metade da batalha é a conscientização de quaisquer ameaças potenciais à segurança e a garantia de que contramedidas estejam instauradas. Uma auditoria deve ser conduzida para compreender o que está coberto em termos de segurança e conformidade em cada plataforma. Ao entender os fundamentos da abordagem do provedor à proteção dos dados, é possível criar um “handshake” sólido entre os dados armazenados no local e os dados hospedados na nuvem. Na era da TI híbrida, processos como criptografia dinâmica, criptografia em repouso, túneis VPN, acesso monitorado de usuários e responsabilização são essenciais para garantir que os dados permaneçam seguros ao se deslocarem de um servidor local para a nuvem e vice-versa.

saudeseguranca
 
·  Monitorar para a era da TI híbrida. Da mesma forma como devem estabelecer uma visão unificada de todo o hardware local, cuja infraestrutura pode ser composta por soluções de fornecedores diferentes, os profissionais de TI devem implementar um sistema de monitoramento capaz de proporcionar uma visão de todo o ambiente de TI híbrida para garantir o desempenho no local e fora dele. Esse tipo de sistema possibilita que os departamentos de TI tomem decisões bem-informadas sobre as cargas de trabalho que pertencem ao hardware local ou à nuvem. A ferramenta deve proporcionar visibilidade – em um único painel de controle que mostre status e estatísticas tanto atuais (em tempo próximo ao real) quanto históricos (forenses) – de quando o desempenho do aplicativo está lento ou insatisfatório, seja na nuvem ou localmente, e comparar o desempenho relativo entre os dois em suporte a decisões bem-informadas.
 
·  Enfatizar o desenvolvimento ou o aprimoramento de determinadas competências e conhecimentos técnicos fundamentais. Como acontece com os profissionais de TI de outros setores, para serem bem-sucedidos no mundo da TI híbrida, os profissionais de TI do setor de saúde da atualidade precisam ir além dos papéis tradicionais de generalistas e especialistas e se tornar especialistas em múltiplas áreas, transitando por diversos domínios tecnológicos. De acordo com a pesquisa mencionada acima, as mais importantes competências e conhecimentos que os profissionais de TI da área de saúde precisam desenvolver ou aprimorar para serem bem-sucedidos no gerenciamento de ambientes de TI híbrida são: segurança, arquiteturas orientadas a serviços, automação, gerenciamento de fornecedores, migração de aplicativos, arquiteturas distribuídas, API e ferramentas e métricas de gerenciamento e monitoramento de TI híbrida.
 
A nuvem e a TI híbrida tiveram seu mérito comprovado em muitos setores e, com os devidos processos e gerenciamento, até mesmo organizações em um setor altamente regulamentado como o setor de saúde também podem se beneficiar.



(*) Leon Adato é gerente técnico da SolarWinds


Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui