Informática y Salud
Nº 42. Septiembre 2003
[Entrada] [Actividades] [Revista I+S] [Solicitud de Inscripción SEIS] [Búsquedas]
|
|
Informática y SaludNº 42. Septiembre 2003 |
|
[Entrada] [Actividades] [Revista I+S] [Solicitud de Inscripción SEIS] [Búsquedas] |
||
|
Secretaría Técnica: CEFIC
|
Sesiones
Tecnológicas
Coordinador: Salvador Arribas [Sesión T.1] [Sesión T.2] [Sesión T.3] [Sesión T.4] [Sesión T.5] [Sesión T.6] [Sesión T.7] Sesión Tecnológica 6
Moderador: D. Julián Montalbán. Jefe de Área de Programas Nacionales I+D. Secretaría General de Comunicaciones. Ministerio de Ciencia y Tecnología. Ponentes: D. Raúl García Vega. Responsable de Seguridad y Sistemas de SANILINE. D. Francisco Javier López Fernández. Senior Manager. Altares Consulting D. José Miguel Calderón. Gerente de Soluciones para Sanidad. Microsoft Ibérica. En primer lugar Raúl García Vega se encargó de la ponencia "Seguridad en las Tecnologías de la Información", preguntándose si es seguro realizar transacciones comerciales a través de Internet; ¿con qué problemas de seguridad nos enfrentamos?. Para garantizar la seguridad es necesario ofrecer un servicio 24x7x365 y proteger a la empresa contra todos los posibles delitos informáticos o abusos de la red (DoS, Intentos de Intrusión,Virus...). Al mismo tiempo debe haber absoluta fiabilidad en las transacciones (Autenticidad,Confidencialidad,Integridad y Norepudio) y atenerse a los requisitos legales (LOPD,LSSI). Resumiendo debemos mantener, en cualquier caso la CONFIDENCIALIDAD - INTEGRIDAD- DISPONILIDAD de la información. Hay que partir de la base de que la Seguridad Informática no solo es muy importante, necesaria sino también obligatoria. Para gestionar la seguridad SANILINE utiliza el método de análisis de riesgos. Para ello se ocupan de Identificación de los activos o ámbito Físicos: Servidores, Comunicaciones,Software,Aplicaciones.. Lógicos: Catálogos, Identificación de las amenazas Priorización de amenazas, impactos Identificar las contramedidas Evasión,Seguridad,Detección o Recuperación Análisis del coste Beneficios.
La seguridad física y la disponibilidad de servicios quedan reflejados en la siguiente tabla.
Las contramedidas para los ataques de Red y Abusos el ponente las resume en: Intrusión Detection (ID) y Response Sensores de red o de servidor Sensores de Firma o de aprendizaje Tipos de Firewall Filtrado de paquetes Firewalls de Aplicación Firewalls de Inspección de Estados Diseño de arquitectura de seguridad En cuanto a la seguridad lógica utilizan el cifrado de llave simétrica mediante Ks para convertir el texto plano en cifrado y viceversa. Se trata de un método rápido y seguro (dependiente del tamaño de la llave). El texto cifrado es del mismo tamaño que el texto plano. El número de llaves a tener es igual al cuadrado de los participantes. Lo importante es mantener la Ks en secreto, pero ¿cómo hacerlo?. Sencillamente lo que se encripta con una llave solo se desencripta con la otra. Es más segura la transmisión de llaves que la criptografía simétrica. Hay que advertir que el número de llaves es igual al número de participantes. Los algoritmos lentos, expanden el texto cifrado (llaves largas). La firma digital que utiliza SANILINE se resume en el siguiente gráfico:
Las principales aplicaciones de la seguridad lógica son: Certificados digitales Autoridad de Certificación Revocación de certificados Soporte para no repudio Timestamping Aplicaciones: S/MIME , PEM,SET,SSL,IPSEC,S-HTTP... Finalmente habla del Proyecto CERES (CERtificación ESpañola) que lidera la Fábrica Nacional de Moneda y Timbre, y que en líneas generales, consiste en establecer una Entidad Pública de Certificación, que permita autentificar y garantizar la confidencialidad de las comunicaciones entre ciudadanos, empresas u otras instituciones y administraciones públicas a través de las redes abiertas de comunicación. En cuanto a otros dominios de seguridad cita: Controles Administrativos ( Privilegios,Perfiles) y Accountability Bussiness Continuity Plan Disaster Recovery Plan Seguridad Física Auditoría y Certificación bajo ISO 17799 Normativas legales LOPD y LSSI Como conclusiones se pregunta si es seguro establecer relaciones empresariales a través de internet, admitiendo que: Existen amenazas (no solo internet) Hay que tener claro qué queremos proteger y determinar su solución Determinar inversion vs impacto Determinar soluciones: Seguridad Física,Red,Lógica, BCP, Planes de Backup, Políticas de seguridad...è PLANES DE SEGURIDAD Mantener y monitorizar nuestros sistemas, comunicaciones y aplicaciones
Francisco Javier López Fernández presentó la ponencia "Nuevas Herramientas para la gestión estratégica". Su objetivo fue presentar una herramienta, el Balanced Scorecard (BSC) o cuadro de mando integral, que ayuda a la organización a planificar, implantar, comunicar y llevar a la práctica su estrategia. Divide su intervención en tres partes: El Balanced Scorecard y la Implantación de la Estrategia Proyecto tipo de Implantación de BSC Necesidad de una Herramienta informática El Balanced Scorecard y la Implantación de la Estrategia En este primer apartado, se presentó una introducción al Balanced Scorecard, como una herramienta práctica de gestión que permite enlazar la visión y estrategia de la organicazación, con las acciones cotidianas de los empleados, a través de indicadores e iniciativas concretas.
Una vez implantado, el sistema Balanced Socrecard permitirá planificar, implementar y comunicar la estrategia, así como alinear a las personas con los objetivos de la organización. Proyecto tipo de Implantación de BSC En el segundo apartado, se presentaron las fases más importantes que caracterizan la implantación de un proyecto de BSC. La necesidad de una herramienta informática Las función principal de las herramientas informáticas para Balanced Scorecard es la gestión de un conjunto de indicadores. A continuación se indican las principales características que deben distiguir a una herramienta de soporte de Balanced Scorecard. · Definición de Indicadores: Diferentes tipos de valores, posibilidad de introducir fórmulas de calculo, gestión de series y valores históricos, definición de jerarquías, definición de diferentes niveles de control del valor de indicador (máximo, mínimo, etc.). · Integración de Indicadores : Captura de valores de otros sistemas por ODBC, planificación de importaciones de datos.· Acciones : Introducción de Planes de Acción, Comentarios, estrategia y visión. Gestión de alarmas, con envío de mensajes por e-mail.· Visión Global : Visualización agregada en "árbol" con posibilidad de acceso inmediato a la información de detalle; indicadores gráficos de valor y tendencia; mapa estratégico. Posibilidad de integración en la intranet de la compañía.· Informes : Generación de informes configurables. Exportación de datos a otros sistemas y visualización vía Web.· Gestión de usuarios y perfiles : Control de accesos, personalización del entorno para cada usuario. Multiidioma.· Garantía : Cumplimiento de los estándares. Certificación del Balanced Scorecard Collaborative; configuración a medida de todo el entorno; Facilidad de uso; referencias a nivel internacional; actualización permanente.
José Miguel Calderón presentó la ponencia "Tecnologías de la Información en Salud". Para entender la visión de Microsoft respecto a la Sanidad, tenemos que entender quién es el "cliente" de los servicios que va a ofrecer. Esto nos va permitir determinar sus necesidades.
Se trata del Ciudadano de la "Sociedad de la información" entendida como una Organización económica y social no basada ni en los bienes de producción ni en los servicios, sino en la capacidad universal de acceso de los usuarios a los contenidos relevantes desde cualquier lugar. La Sociedad de la Información necesita de Infraestructuras (Terminales, Redes, Servidores), pero no quedan ahí sus requerimientos. Los resumimos en el siguiente gráfico Por eso, la visión de Microsoft de la Sanidad es aportar valor a las aplicaciones tradicionales de Gestión de Salud (HIS, Radiología digital, Laboratorios…) y Gestión Administrativa (Económico financiera, Recursos Humanos, logística y aprovisionamiento a través de la Sanidad Conectada
Orientado al Ciudadano (Internet como un Servicio Público) o Se respeta su privacidado es independiente del canal (Contact Center, Tlf., Internet) o proactivo y personalizado -en base a sus preferencias- (Alertas médicas, Calendarios de vacunación, Actualización listas de espera, Revisiones , Donación de sangre),o participativo (conoce gasto de tratamiento, elige servicios...) o orientado a hechos de vida (Cambio de domicilio) o medible (vía indicadores específicos para medir la calidad) o y sin exclusiones (Sitios preparados para discapacitados) Ofreciendo nuevos servicios a partir de los Sistemas de Información (con visión integradoras, esto es amortizando inversiones ya realizadas) o Aparecen nuevos tipos de aplicaciones como Historia de Salud que accede a las aplicaciones existentes (de Primaria, Especializada u otras) a través de la Infraestructura de Integración o Añadiendo una capa de seguridad podemos hacer que se exponga estos servicios de estandarización (W3C Web Services) para 3ºs (ej. Portales de Salud) o El mayor beneficio es que se oculta la complejidad real de la organización, se puede ínteroperar sin necesidad de consolidación de la infraestructura actual, y amortizar inversiones.Desde el punto de vista de los Técnicos o Infraestructura de Desarrollo: Construcción eficaz de soluciones que interactúen independientemente de los lenguajes, plataformas y dispositivos en un entorno de desarrollo integrado de trabajo en equipo y que incluya el ciclo de vida completo de la aplicación (del modelado, test de rendimiento y guías de arquitectura hasta el despliegue) o Infraestructura de Directorio: El sistema debe ofrecer una vista unificada de la información de identidad (usuarios, aplicaciones y recursos de red), gestionar la integración e interoperación entre nuestro directorio y otros múltiples repositorios, sistemas y plataformas, así como el provisionamiento automatizado. Soporte nativo Smart Card o Infraestructura de Almacenamiento: Soporte de gestión y acceso unificado a los servidores de ficheros ofreciendo una visión jerárquica única. Integación de copias de respaldo con aplicaciones de gestión. Cifrado transparente de ficheros. DRM. Soporte nativo de SAN o Infraestructura de Seguridad: El código debe ser seguro "por defecto" -"out of the box" superar los tests más exigentes, minimizar nº de vulnerabilidades, desarrollo con herramientas y metodología seguras-, minimizar el tiempo desde que se descubre un agujero de seguridad hasta que se distribuyen parches y ofrecer herramientas para aplicar la seguridad y chequear posibles vulnerabilidadesPara la Intranet (desde el punto de vista de la productividad personal) o Correo Universal y Gestor Personal de Información o Escenarios de Colaboración (ej: de equipos de trabajo y corporativos) que se correspondan con la forma de trabajar de los profesionales (ej: Gestión integral de proyectos) o Gestión de documentos y Flujos de trabajo colaborativos o Búsqueda avanzada: acceso proactivo y reactivo a la inf. o Análisis geográfico universalizado para tomar decisiones descentralizadas y contrastadas. Datamining (Análisis comportamientos y patrones, modelos predictivos, segmentación) o Escritorio Virtual acceso personalizado y transparente a aplicaciones independizadas del PC o Multimedia: Video Conferencia, e-learning
Visión completa de la Interoperabilidad Niveles o datos - transacciones, replicación- o aplicaciones -adaptadores- o procesos - orquestación-Servicios o transporte-recepción/ envío- , o parsing -transformación-, o routing -declarativo o en base a datos-, o seguridad -firma, cifrado-, o gestión -tracking y auditoría-Vía motores de integración (EAI) Si tuviéramos que elegir un área que sea más crítica para Salud, esta sería la interoperabilidad vía estándares abiertos de Internet entre todos los agentes realcionados (HIS y SS.II. Depart con Mi Comunidad, Otras Comunidades, Colegios Farmacéuticos, Centros Concertados, Proveedores, Ministerio, Europa…) Desde el punto de vista de Microsoft la conectividad requiere una infraestructura propia (como el portal) denominada "Broker de integración" o "bus de conectividad", cuya estructura podría ser la siguiente:
A través de productos como Biztalk, Microsoft puede ayudar a realizar esta infraestructura. Biztalk puede transportar información de forma segura, convertir formatos de datos, conectar Bases de Datos y Aplicaciones, Interoperar distintas arquitecturas, soportar workflow de procesos y personas e incluye un avanzado motor de reglas. Todo ello desde el mismo interfaz…
Para terminar, explicó el papel deMicrosoft: como Catalizador para SI mediante • Uso de estándares abiertos – Liderazgo en XML Web Services • Innovación – Inversión en I+D: 48% de los beneficios – Orientado a mercados masivos – Productos innovadores (ej. DRM) • División Digital – Oportunidades de integración a colectivos marginados a través de ONGs en 67 países – Más de $250 Millones donandos en 2003 en 105 proyectos en 54 países – Acuerdos y Licencias especiales a muy bajo coste para escuelas, bibliotecas, museos… • Apoyo Local – Modelo de Partnership: 90% beneficio es para el partner, mayoritariamente local
[Sesión
T.1] [Sesión T.2] [Sesión
T.3] [Sesión T.4] [Sesión
T.5] [Sesión T.6] [Sesión
T.7] Informática y SaludNº 42. Septiembre 2003 |
|
|
[Entrada] [Actividades] [Revista I+S] [Solicitud de Inscripción SEIS] [Búsquedas] |
|
Copyright SEIS© 1997, 2003. |
