Aunque los ejecutivos y médicos del Beth Israel Deaconess Medical Center, en Boston, habían tenido motivos para estar orgullosos de su sistema avanzado de computación clínica, recientemente tuvieron una llamada de emergencia especial, cuando el sistema sufrió una falla completa.
Antes de la misma, el equipo de sistemas de información del centro médico había diseñado e implementado una variedad de aplicaciones para asistir a los médicos en la atención de los pacientes. Con ese sistema, los profesionales de todo el centro y de otros 6 centros afiliados al CareGroup podían obtener acceso a los resultados de laboratorio, radiografías y electrocardiogramas electrónicamente, usando un explorador seguro de Internet. Los pacientes tenían también acceso seguro por Internet a dichos resultados. Desde el año 2001 los médicos del centro asistencial habían estado realizando todas las órdenes de los pacientes internados por medio del sistema. Antes del 13 de noviembre de 2002 muchos integrantes de la actual clase de internos en el hospital, nunca habían escrito una orden en un papel.
En esa fecha, un investigador en el hospital que estaba compartiendo datos con colegas, inundó inadvertidamente la red con grandes cantidades de datos causando un drástico enlentecimiento. El equipo de sistemas de información a duras penas pudo resolver el problema volando con equipamiento y expertos desde el proveedor de la red (Cisco Systems). Estos esfuerzos brindaron una recuperación parcial del sistema, pero luego volvió a enlentecerse. A las 24 horas de convivir con la crisis, se tomó la decisión de cerrar la red y volver a los procesos manuales en todo el hospital.
El corte duró 4 días. Durante ese tiempo, los miembros del staff del hospital desde los ayudantes de guardia hasta el oficial en jefe ejecutivo (CEO: chief executive officer) trasportaron manualmente las historias clínicas de los pacientes, los resultados de laboratorio y otros innumerables documentos alrededor del hospital para mantener las operaciones clínicas. La atención médica continuó; contrariamente a los reportes tempranos, la sala de emergencia se mantuvo abierta y las admisiones de rutina y de urgencia y los traslados continuaron en la cantidad habitual. El oficial en jefe de informaciones (CIO: chief information officer) habló temprana y abiertamente con los periodistas sobre el fallo, que recibió amplia cobertura en los medios locales y nacionales de los Estados Unidos.
¿Qué deberíamos aprender de este evento? Aunque se pueden sacar algunas lecciones de los aspectos específicos de la experiencia del CareGroup, la confianza en aumento de los hospitales en las tecnologías de la información lleva a grandes cuestiones sobre la vulnerabilidad de los procedimientos clínicos y administrativos ante una falla tecnológica. En el otoño de 2002, el Beth Israel Deaconess Medical Center estaba operando un sistema extendido de red de computadoras diseñado para cumplir los requerimientos de un entorno mucho más simple. Además, algunos equipos de la red eran antiguos y necesitaban ser reemplazados. El punto principal de la falla fue un programa para direccional el tráfico en la red. Dicho programa fue abrumado por una combinación de volumen de datos y complejidad de red que excedió las especificaciones del software. Una vez que la red se volvió disfuncional, las herramientas de diagnóstico para manejarla, que tenían que ser usadas desde adentro de la red, no fueron de ayuda.
Todos los sistemas computacionales son vulnerables a una amplia variedad de amenazas potenciales. Los virus son amenazas constantes; versiones nuevas y más peligrosas aparecen en Internet a diario y son capaces de infligir estragos en los sistemas hospitalarios. Los ataques internos - a veces no intencionales, como en este caso y otras deliberados - son particularmente difíciles de prever dado que los atacantes tienen legítimo acceso a la red.
Los consultores de sistemas hospitalarios saben que muchos establecimientos tienen políticas y procedimientos para el uso apropiado de los sistemas, pero muchos usuarios son ignorantes de ello, habitualmente con poca o ninguna consecuencia. El problema se magnifica en los centros médicos académicos, en donde investigadores con fuentes económicas independientes pueden comprar hardware y software autónomamente de la vigilancia corporativa. Las redes inalámbricas de computación, que están siendo usadas cada vez más en los hospitales, son especialmente vulnerables a la brechas de seguridad. Además, los firewalls que brindan protección contra accesos externos no autorizados a través de Internet, distan mucho de ser perfectos; un pequeño porcentaje de atacantes pueden ser capaces de penetrarlos y obtener acceso a los sistemas internos.
Los sistemas son capaces de manejar un malfuncionamiento de la red. Las herramientas de manejo "Out of bandwith" pueden ser usadas para monitorear la red sin tener que hacer el trabajo desde adentro. Los sistemas de detección de intrusos identifican fuentes de excesivo tráfico de datos y, de ser necesario, cortan el acceso a la red. Aunque estos sistemas han estado disponibles desde hace varios años, muchos hospitales aún no los han adoptado.
La gran lección tiene que ver con la responsabilidad organizacional. Los eventos narrados pudieron haber ocurrido en muchos otros centros médicos de los Estados Unidos en la actualidad. Dado que los sistemas computacionales clínicos en muchos hospitales no son tan complejos como el del Beth Israel Deaconess, la alteración del servicio puede tener consecuencias menos graves. Pero existe una tendencia hacia la adopción de aplicaciones clínicas avanzadas, incluyendo la entrada computarizada de las órdenes por los médicos, los registros electrónicos de la administración de fármacos y la documentación clínica on line. Muchas de estas aplicaciones tienen el potencial de mejorar la seguridad del paciente mediante la reducción de errores, particularmente en el manejo de los medicamentos.
En la medida en que los hospitales se vuelvan cada vez más dependientes de la tecnología de información para los procedimientos clínicos así como financieros, la responsabilidad de mantener y proteger sus sistemas de información aumenta proporcionalmente. Esto ha sido mejor entendido en el sector financiero, en donde las organizaciones dependen de sus sistemas para las operaciones centrales. Muchas de esas organizaciones han aprendido que la administración de redes con la expectación de mantener un entorne computacional continuo (es decir, ningún período no programado de indisponibilidad) es crítica para su sobrevida. Cumplir con esta responsabilidad requiere una inversión financiera y administrativa para instalar el hardware correcto y manejar los riesgos del sistema.
Será difícil y costoso para los hospitales cumplir este desafío en un momento de penuria financiera a lo largo de la industria. Pero el incidente del Beth Israel Deaconess sirve para recordarnos que los sistemas computacionales se están haciendo críticos en todos los aspectos de la actividad hospitalaria. Siempre existirán riesgos y costos para mitigarlos.
Artículo comentado por el Dr. Rodolfo Altrudi, editor responsable de IntraMed en la especialidad de Cirugía General.