“¡Qué bestia!” que dice Tortell Poltrona. Así comenzaba, hace tres años, el post titulado Cosas a seguir haciendo después de la COVID 19.
Hoy empiezo de la misma manera por hablar del ciberataque que sufrió el Hospital Clínic de Barcelona el domingo 5 de marzo. Los ciberdelincuentes utilizaron el Ransomware o software de secuestro para cifrar los sistemas de información después de robar datos, pidiendo un rescate por la recuperación de los sistemas y para evitar la publicación de los datos.
Lo que puede parecer excepcional no puede considerarse así en modo alguno. Un artículo del JAMA Health Forum titulado Trends in Ransomware Attacks on US Hospitals, Clinics and Other Health Care Delivery Organizations, 2016-21 identifica un total de 374 ataques y muestra que el número anual se ha más que doblado en los últimos años, de 43 a 91, aumentando su sofisticación y que en el 44% de los casos se interrumpió la prestación de servicios de salud. [1] La Agencia de Ciberseguridad de Cataluña habla de incrementos también muy elevados de los ataques en todos los sectores de nuestro entorno, siendo relevante el interés de los ciberdelincuentes por el sector sanitario.
Desde el domingo 5 de marzo han pasado muchas cosas que me gustaría compartir para reflexionar sobre formas de trabajar de las organizaciones que nos hacen ser mejores.
El ciberataque ha supuesto un viaje en el tiempo. Hemos vuelto unos años atrás a hacer recetas en bolígrafo y papel, a que los profesionales del Servicio de Farmacia interpretaran, con mayor o menor éxito, la letra de los médicos, hemos desempolvado los formularios de petición de laboratorio y hemos recorrido varios kilómetros trayendo peticiones en el laboratorio y recogiendo los informes de resultados. Tener copias de seguridad diarias nos ha permitido, poco a poco, volver al presente y soñar en el futuro.
Reflexiones sobre organización y cultura organitzativa
El libro Corporate Rebels. Make Work More Fun, de Joost Minnaar y Pim de Morree, habla de la importancia del propósito como elemento decisivo para que las instituciones avancen. Cita dos estudios europeos en los que un 25% de los trabajadores en un caso y un 37% en otro dudan de la utilidad de su trabajo y de la contribución a la sociedad. En sanidad tenemos un claro propósito y es común y compartido por los profesionales que trabajamos. Es sin duda un factor clave de éxito para responder adecuadamente ante situaciones complejas. La respuesta a la COVID y ahora al ciberataque así lo han demostrado.
También ha demostrado cuáles son las mejores herramientas de gestión, muchas de ellas recogidas en Corporate Rebels. Me gustaría destacar:
• El trabajo en equipo apoyado por un liderazgo de apoyo, huyendo de la jerarquía. Un Comité de Crisis diario y la coordinación de todos y muy especialmente de la Dirección de Sistemas de Información, del Área de Comunicación y de los Servicios Jurídicos son ejemplo de esta forma de hacer. Y el equipo de Sistemas de Información que trabaja desde hace años con la metodología ágil, a partir de un propósito y organizados en círculos con roles y sin jerarquías.
• La priorización de acciones para resolver los problemas y la agilidad al ajustar y reconducir decisiones, aceptando los errores. El fundador de Spotify dice que uno de sus objetivos es cometer errores más rápido que ninguna otra institución porque las mejores organizaciones están en continua experimentación y adaptación.
• El establecimiento de alianzas basadas en la confianza y la transparencia. Es lo que ha sucedido estos días con el trabajo conjunto de las áreas de Sistemas de Información y Comunicación del Departamento de Salud, de la Agencia de Ciberseguridad de Cataluña y del hospital Clínic Barcelona. Y con la colaboración del SEM, de diferentes hospitales, del Centro de Urgencias de Atención Primaria y de centros de imagen y laboratorio que ha permitido redireccionar los códigos de activación y el transporte urgente básico, que los pacientes no discontinuaran el tratamiento de radioterapia o que se pudiera recuperar, en gran parte, la actividad de laboratorio y radiología.
Hace unas semanas vi un TED Talk de la médica de urgencias Darria Long. Trata de cómo pasar del modo angustiado al modo preparado. Tal y como sucede en Urgencias, la clave es priorizar sin descanso. Y clasificar los problemas en rojo (requiere atención inmediata), amarillo (urgente pero que no requiere atención inmediata), verde (menor) y negro (cuando no se puede hacer nada), entendiendo que lo que más ruido hace no siempre tiene prioridad.
El equipo de Sistemas de Información del Hospital ha demostrado, con la priorización constante que pide Darria Long, cómo abordar una crisis en modo preparado. Es aconsejable escucharle y sobre todo ponerlo en práctica siempre.
De nuevo hemos sido capaces de sacar lo mejor de cada uno de nosotros y de la institución, tal y como sucedió en el conjunto del sistema sanitario para hacer frente a la COVID. Es bueno recordar las recetas mágicas que utilizamos en estas ocasiones y que no queden olvidadas en un cajón esperando una nueva situación límite que nadie desea. Dejarlo por escrito y reflexionar sobre él puede ayudarnos.
Referencias
[1] Neprash HT, McGlave CC, Cross DA, Virnig BA, Puskarich MA, Huling JD, Rozenshtein AZ, Nikpay SS. Trends in Ransomware Attacks on US Hospitals, Clinics, and Other Health Care Delivery Organizations, 2016-2021. InJAMA Health Forum 2022 Dec 2 (Vol. 3, No. 12, pp. e224873-e224873). American Medical Association.
Foto de Mika Baumeister
