martes oct 18, 2011

La LOPD y las propuestas de Oracle

Propuestas de Oracle para el cumplimiento de las regulaciones de la LOPD en el entorno sanitario.  Incluye vídeo sobre caso real.
[Read More]

jueves jul 07, 2011

La movilidad clínica que ofrece Oracle se amplía al iPAD

[Read More]

domingo abr 03, 2011

Jadad: más vida a los años en vez de más años a la vida

<script type="text/freezescript">var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/freezescript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

La pasada semana se celebraron en Ávila las Jornadas de e-Salud de Castilla y León con la colaboración de la SEIS, que también celebraba en paralelo en el mismo escenario la primera jornada del Foro de Interoperabilidad.

Sólo he podido asistir al primero de los dos días de las jornadas y quiero hacer una breve reseña de lo que más me llamó la atención. Lo primero es que el formato fue más participativo para la concurrencia que otros eventos del sector, ya que estuvo abierto un canal de comunicación vía Twitter en directo que empezó algo frío pero que fue animando al personal y creo que al final fue enriquecedor y dio una frescura interesante al evento.

Recuerdo que en junio del año pasado la SEIS inició esta idea en las Jornadas de Informática Sanitaria de Andalucía, rompiendo moldes y empezando a plantear la Salud 2.0, aunque entonces sólo unos pocos “pioneros” estuvimos participando. Ahora, menos de un año después, la iniciativa ha cogido carrerilla y es bueno ver a profesionales de la medicina participando, no solo los que venimos de las tecnologías.

La otra conclusión es que para que este modelo progrese hay que considerar la dotación de enchufes abundantes en la sala, ya que los móviles u otros dispositivos no aguantan más que un tiempo y te quedas tirado cuando más lo necesitas. Y otro tema es la cobertura. Yo tuve muchos problemas con el GPRS y otros se quejaron de la cobertura WiFi. En fin, si queremos congresos 2.0 hacen falta buenos recursos.

Yendo al congreso, en la primera parte distintas intervenciones de responsables del SACYL repasaron su estrategia y avances en el despliegue de la Historia de Salud Digital en la Comunidad, en la que destaca la apuesta por desarrollos propios como son Medora para Primaria y Jimena para Especializada con intercomunicación entre ambas por un visor único y varios procesos de interoperación.

José María Pino valoró su Historia Clínica Electrónica a nivel funcional en un 4 sobre una escala de 5. Jesús García-Cruces destacó la neutralidad tecnológica y el sucesivo cumplimiento de las siete líneas estratégicas de actuación que contaron con una financiación razonable.

Las infraestructuras de red, los CPD corporativos en Valladolid y respaldo en Burgos, la imagen digital, la Historia Clínica Electrónica, los aplicativos estratégicos (la receta electrónica -pilotada y pendiente de despliegue masivo-, la telemedicina y la cita previa multicanal), los Sistemas de Información nutridos de la Historia Clínica y la gestión económica, de la mano del proyecto transversal Séneca, constituyen esas siete líneas de actuación. También destacó la realización del Plan Director Seguridad con la colaboración de Red.es y la dirección de Inteco.

La intervención más polémica fue la conferencia de Alejandro Jadad, destacado líder mundial en innovación en sanidad desde su “Centre for Global eHealth Innovation” de la Universidad de Toronto.

Jadad puso énfasis en señalar que la sanidad en los países modernos está obcecada en curar crónicos que son incurables. Esto ha llevado a que en el siglo XX se haya conseguido una victoria pírrica consiguiendo que añadir más años a la vida en vez de más vida a nuestros años. Por tanto eso nos lleva a poblaciones con grandes porcentajes de personas con enfermedades crónicas múltiples y con una calidad de vida mediocre.

Cuestionó el modelo sanitario organizado en base a patologías de órganos o de sistemas. Pero la realidad es que más del 50% de los gastos de la sanidad se aplica a pacientes crónicos múltiples. Descuidamos lo que realmente le interesa a los ciudadanos. Dijo que deberíamos pensar mucho más en los síntomas y en cómo aliviar el dolor, cosa para que la educación de los profesionales está escasamente orientada.

Planteó su modelo de “Escalera del Bienestar” en la que las TIC son pieza básica. El primer peldaño es la autoayuda a través de información y consejos en las web1.0. El segundo peldaño es el apoyo mutuo, en los que las modernas redes sociales de la web2.0 juegan un papel imprescindible. El tercer escalón es el soporte comunitario, habitualmente cuidadoras que se entierran en vida asistiendo a los mayores y a las que las redes sociales están empezando a dar salidas para mejorar su calidad de vida mediante la compartición de esfuerzos en comunidad para lograr vivir y salir de la depresión en la que habitualmente se hunden.

El cuarto escalón es rediseñar una atención primaria conectada con ciudadano pensando no sólo en diagnósticos y tratamientos sino en promoción de salud y hábitos saludables. Puso como ejemplo Bant, una aplicación móvil que están ensayando en su centro para diabéticos jóvenes con premios motivadores por la consecución de objetivos.

Por otra parte, cuestionó el modelo de hacer cada vez más hospitales comarcales que necesariamente irán bajando la experiencia de los profesionales ya que se fragmenta la demanda. Por contra la experiencia de Centros Sanitarios de producción industrial en India para patologías concretas, están demostrando resultados muy buenos y gran ahorro de costes, por lo que no descarta ver pronto experiencias de este tipo ligadas al turismo en las riberas del Mediterráneo.

También habló de Farmatrust un cajero dispensador fármacos con el que están experimentando. Ello lleva a replantear los roles de los médicos y los farmacéuticos. Mientras todo esto está así en Canadá un 70% de la población es favorable a la eutanasia, lo que nos debería de hacer pensar si lo que ofrece la sanidad a los ciudadanos es lo que realmente quieren.

Sus conclusiones fueron: hay que innovar dramáticamente aprovechando las TIC y la red y no hay tiempo para especular.

Luego hubo un par de mesas debate sobre la asistencia sanitaria del futuro de la que lo que más me llamó la atención fueron la opinión de que la medicina del futuro vendrá marcada por la anticipación y que se está buscando incentivar a los pacientes para sacar todo el provecho a la telemotorización. Tras el amplio debate me quedé con la duda de si son tiempos de gestión de evidencias o de incertidumbres. Y creo que con las TIC las evidencias llegan cuando esas TIC ya están obsoletas, por lo que hay que pensar en colaboración, acotar riesgos y lanzarse a innovar con derecho a reconducir las predicciones fallidas.

El segundo debate del día fue sobre a dónde nos llevan las TIC. Se encaminó mucho a la seguridad y las conclusiones que saqué es que la seguridad necesita buena tecnología pero sobre todo concienciar más a cada uno su actuación en este terreno, bien a nivel de profesional o de simple ciudadano.


<script src="http://platform.twitter.com/widgets.js" type="text/freezescript"></script>

miércoles dic 22, 2010

Escuela de Invierno de Oracle: gratuita y en español

<script type="text/freezescript">var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/freezescript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

Quiero compartir la interesante oferta gratuita de Oracle para los responsables de sistemas, directores de proyectos, arquitectos de bases de datos, administradores de bases de datos y desarrolladores: Oracle European Winter School.

En ella están disponibles una extensa lista de seminarios que cubren los siguientes temas:: Consolidation to Private Clouds, Extreme Performance with Oracle Exadata, Guarenteeing SLAs on a Private Cloud, Security, Managing the Cloud, Oracle Solaris 11SPARC T3 Systems, Oracle Tiered Storage, Oracle Weblogic and Coherence, Fusion Middleware for Applications y Business Process Management.

A pesar de que los títulos están en inglés, se trata de grabaciones en español, lo que sin duda es factor importante a tener en cuenta a la hora de animarse. Se trata de ponencias no muy largas que sirven para profundizar o acercarse a esos temas, muchos de los cuales están ya presentes en la sanidad española y otros pueden ser novedades muy interesantes cara al año que viene como todos los ligados a clouds privadas, Exadata, servidores T3, almacenamiento estratificado, seguridad, etc. 

Una buena alternativa para esos días que hay oportunidad de formarse porque la actividad ha bajado o desde casa, en un rato de libertad. Todos los datos para inscribirse a continuación,


ORACLE

Inscríbase GRATIS a la escuela de invierno de Oracle 2010 a partir del 6 de diciembre

Este invierno, no se pierda los seminarios online sobre las últimas tecnologías de Oracle.

Inscríbase ya

Asista a la escuela de invierno de Oracle y aproveche esta oportunidad de aportar valor a su negocio, mientras sus clientes, compañeros y partners están de vacaciones.

Vea nuestros seminarios online y póngase al día con la tecnología de bases de datos más moderna, con la que podrá crear la infraestructura más rentable para su empresa.


Descubra cómo mejorar la infraestructura de datos que beneficiará a su empresa.
Compruebe cómo puede reducir costes y mejorar el rendimiento de su infraestructura informática con las últimas tecnologías de Oracle.


A quién van dirigidos estos seminarios:
Responsables de sistemas, directores de proyectos, arquitectos de bases de datos, administradores de bases de datos y desarrolladores.

Inscríbase a estos seminarios online o accesa al siguiente link: http://www.online-congress.com/service/helpdesk.html?L=1.

A partir del
6 de diciembre

Consolidation to Private Clouds
Extreme Performance with Oracle Exadata
Guarenteeing SLAs on a Private Cloud
Security
Managing the cloud
Oracle Solaris 11
SPARC T3 Systems
Oracle Tiered Storage
Oracle Weblogic and Coherence
Fusion Middleware for Applications
Business Process Management

Copyright © 2010, Oracle and/or its affiliates.
All rights reserved.
Contact Us | Legal Notices and Terms of Use | Privacy Statement


<script type="text/freezescript" src="http://platform.twitter.com/widgets.js"></script>

martes nov 09, 2010

Soluciones de Oracle para el cumplimiento de la LOPD (2/2)

<script type="text/freezescript">var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/freezescript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

En la primera parte de esta entrada, hacía referencia al informe de la AEPD sobe el cumplimiento de la LOPD en los hospitale e incluía un cuadro sobre las aportaciones concretas de Oracle a distintos preceptos del reglamento en el apartado de tratamiento automatizado, relegando a esta entrada una breve descripción de las propuestas allí incluidas.

Oracle Database Vault, es un completo portafolio de soluciones de seguridad de bases de datos con el que las organizaciones pueden proteger proactivamente los datos almacenados en bases de datos Oracle de ser accedidos por usuarios privilegiados, permitiendo el cumplimiento reguroso de las regulaciones de protección de datos, Dispone de políticas multicriterio basadas en factores como la hora del día, la dirección IP, el nombre de la aplicación o el método de autenticación.

Identity and Access Management Suite Plus es un solución completa, reconocida como la mejor de su clase, que ofrece un coste de propiedad muy bajo al ser una solución integrada para centralizar la seguridad de las aplicaciones y de los web services. Tiene como componentes Oracle Access Manager 11g (solución centralizada y automatizada de single sign-on (SSO) para gestionar quién tiene acceso a qué información a lo largo de toda la infraestructura de TI), Oracle Identity Manager 11g (avanzada solución de administración de roles y usuarios que automatiza el proceso de crear, modificar y borrar tanto las cuentas de usuarios como las asignaciones de atributos de las mismas a lo largo de toda la organización) y Oracle Identity Federation 11g (servidor de federación de multiprotocolos que permite la interoperabilidad segura de identidades a través de diferentes organizaciones).

Oracle Database Firewall es la primera línea de defensa, con una monitorización en tiempo real de la actividad de la base de datos en la red. Una precisa tecnología basada en la gramática SQL bloquea transacciones no autorizadas apoyándose en políticas de listas blancas, negras y de excepciones, ayudando a prevenir ataques internos y externos. Es fácil de desplegar y no necesita cambios en las aplicaciones ni bases de datos existentes.

Oracle Data Masking, ayuda a cumplir las normativas en los entornos que no son el de producción, permitendo sustituir con valores realistas los datos privados en las bases de datos que se descargan para entornos de desarrollo, pruebas  o prerproducción. Para ello usa una librería de plantillas y reglas de formatos que permiten transformar los datos manteniendo la integridad de referencias para las aplicaciones.

Oracle Secure Backup, permite gestionar el backup de entornos complejos de cientos de servidores y cintas físicas o virtuales con diferentes períodos de retención ubicados en diferentes CPD a través de un interfaz común y con gestión basada en políticas que permite un control fino sobre las cintas y los dominios de backup. Permite la encriptación de cintas, asegurando la normativa de seguridad cuando estas salen fuera de los entornos controlados de CPD.

Oracle Audit Vault automatiza el tedioso proceso de recolección de datos, monitorización y reporte de auditorías. La monitorización no sólo cubre las bases de datos Oracle, sino que contempla también Microsoft SQL Server, IBM DB2 UDB y Sybase ASE. El sistema proporciona informes con fotos instantáneas de los usuarios, privilegios y perfiles de Oracle Database que permiten a los auditores seguir los cambios en los accesos a las bases de datos y disponer de informes predefinidos para cumplir las exigencias de las regulaciones, asi como capacidades de generación de gráficos.

Oracle Label Security es una herramienta potente y fácil de usar para clasificar los datos y controlar el acceso a los mismos en base a su clasificación por aquellos que realmente han de poder acceder a ellos. La granularidad es a nivel de filas y está integrado con otros productos de seguridad de Oracle como Oracle Database Vault y Oracle Identity Management.

Virtual Private Database (VPD) es una funcionalidad de Oracle Database 11g Enterprise Edition. Está indicada cuando los privilegios estándar de los objetos y los roles asociados son insuficientes para asegurar los requisitos de seguridad. VPD se puese usar en combinación con la funcionalidad "contexto de aplicación" para asegurar una seguridad sofisticada a nivel de filas o columnas. Un ejemplo de uso sencillo de VPD sería restringir el acceso a datos de pacientes de consultas externas en horas nocturnas y un ejemplo más sofisticado podría ser restringir el acceso a la tabla de órdenes médicas en base a un disparador iniciado al login sensible al contexto de la aplicación.

Enterprise User Security es la combinación de la funcionalidad de Oracle Database Enterprise Edition combinada con Oracle Identity Management, y permite la posibilidad de gestionar los usuarios de las bases de datos y sus autorizaciones de forma centralizada, reduciendo de forma espectacular el coste de la provisión y restauración de contraseñas.También permite la gestión centralizada de las autorizaciones usando roles globales y sincronización entre Oracle Internet Directory y otros directorios.

Transparent Data Encryption es una funcionalidad proporcionada por Oracle Advanced Security con Oracle Database 11g Release 2 sin necesidad de modificar las aplicaciones. Los datos se encriptan automáticamente cuando se escriben en el disco y se desencriptan automáticamente cuando la aplicación los lee. La gestión de claves está incorporada, eliminando la tarea compleja de crear, gestionar y proteger las claves de encriptación.

Oracle Information Rights Management (IRM) forma parte de Oracle Universal Content Management y es una tecnología de seguridad de la información que protege y traza la información digital sensible en cualquier lugar en que se almacene y use. Para ello usa la encriptación para extender la gesitión de la información más allá del repositorio a cualquier copia de información sensible de la organización donde quiera que se almacene y use, bien sean portátiles, PCs y otros repositorios, dentro y fuera del firewall. Gestiona no sólo la lectura sino la impresión o las fotos instantáneas y funicona no documentos Microsoft Office y tanto con Oracle Universal Content Management como con Microsoft Sharepoint.


Oracle Universal Content Management ofrece una amplia gama de soluciones para las necesidades de todo tipo de gestión de contenidos, desde consolidaciones de servidores de ficheros a sofisticadas gestiones de contenidos web de diferentes servidores, proporcionando una herramienta robusta y escalable y una poderosa infraestructura que permite crear aplicaciones sesnsibles al contenido.

Respecto a las soluciones específicas de hardware, las citadas en el cuadro son:

Terminales Ultraligeras Sun Ray: El mayor riesgo de violaciones de la confidencialidad proviene de dentro de las propias organizaciones y muchas veces se produce sin especial malicia, por simple error o desconocimiento del usuario. Por ello los terminales ultraligeros Sun Ray con el uso de una tarjeta con firma electrónica como medio físico de acceso conciencian al usuario de su responsabilidad personal en la cadena de seguridad. Si a eso se añade que el sistema permite una conmutación casi instantánea de un usuario a otro en entornos compartidos y que al retirar la tarjeta se produce un bloqueo automático de la sesión, se crea una cultura de privacidad apoyada en un entorno que lo facilita.

Por otra parte la posibilidad de bloquear la conexión de dispositivos de almacenamiento extraible impide la extracción de datos no autorizados y cierra puertas a la entrada de software malicioso. Y para completar la aportación a las seguridad, se puede citar que cuando el enlace del puesto de trabajo con el CPD se hace por conexión inalámbrica el sistema permite el cifrado de las comunicaciones para evitar intrusismos.

Cabinas de Almacenamiento 6X00 con licencias "Data Replication": La cada vez más ingente cantidad de datos que se generan en los entornos sanitarios implican que el factor tiempo sea cada vez más crítico en la gestión de las copias de seguridad y, sobre todo, en la recuperación. La oferta de Oracle de cabinas de almacenamiento 6x00 con software de replicación de datos son una plataforma ideal para gestionar un primer nivel de respaldo a precios asequibles

Cabinas de Almacenamiento ZFS Storage: simplifican notablemente el despliegue del almacenamiento y el nivel de servicio para entornos de tabajo de manejo intensivo de datos. Incorporan una amplia gama de protocolos de conexión y de funcionalidades, entre ellas la replicacion, sin coste adicional, lo que facilita el cumplimiento de altos niveles de seguridad de la información.

Librerías SL24, SL48 y SL500 con tecnología LTO o con LTO Crypto-Ready:: El reglamento de la LOPD exige garantizar la integridad de la información con copias de respaldo y recuperación. Y las copias han de guardarse fuera del CPD en el caso del nivel alto de seguridad. Ello implica sistemas robustos, eficaces y con capacidad de encriptar las cintas que salgan fuera del CPD. La oferta de Oracle es la más amplia y con reconocido liderazgo de mercado.

Servidores SPARC T3 con coprocesador criptográfico en cada core: Cada vez más se dan servicios fuera de la zona de seguridad y la encriptación es requerida por el reglamento de la LOPD. El uso de servidores basados en procesadores SPARC T3 con coprocesadores criptográficos en cada uno de sus dieciséis cores permite suministrar los servicios seguros a gran número de usuarios externos sin impacto en el rendimiento ni costes adicionales.

<script src="http://platform.twitter.com/widgets.js" type="text/freezescript"></script>


lunes nov 08, 2010

Soluciones de Oracle para el cumplimiento de la LOPD (1/2)

<script type="text/freezescript">var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/freezescript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

A finales de octubre la Agencia Española de Protección de Datos publicó el "Informe del Cumplimiento de la LOPD en Hospitales", fruto de una investigación de oficio lanzada en marzo mediante cuastionario enviado a cada uno de los 605 centros públicos y privados que componen el ámbito de competencias de la AEPD, al objeto de conocer el nivel de cumplimiento de la LOPD y de su normativa de desarrollo en centros hospitalarios, ante las 123 denuncias registradas en el 2009.

Por lo que se ve en el informe, quedan fuera del alcance todos los hospitales catalanes y los públicos de Madrid y el País Vasco, cuya competencia recae en sus respectivas agencias autonómicas. Desgraciadamente las ausencias son notables, por lo que los datos nacionales podrían variar si se hubiese cubierto la totalidad de las autonomías. 

No voy a comentar en detalle los resultados, pero en cualquier caso, al estar hablando de leyes el no cumplimiento al 100% es un problema, que en algún caso puede acarrear importantes sanciones. El cuestionario investigaba el cumplimiento de:

  • La inscripción de ficheros en el Registro General de Protección de Datos

  • El cumplimiento del deber de información al interesado y atención al ejercicio de derechos de acceso, rectificación, cancelación y oposición (ARCO)

  • La contratación de servicios de tratamiento de datos personales

  • Las medidas de seguridad y, específicamente sobre el documento de seguridad, funciones y obligaciones del personal, control y registro de acceso, comunicación de datos, gestión de incidencias, gestión de documentación en papel, soportes y documentos, copias de respaldo y recuperación y documentación en papel

  • Auditoría de medidas de seguridad

Como se ve, muchas son medidas administrativas, de gestión efectiva de derechos y de operación en papel y, las que nos incumben, de gestión automatizada de datos. Las conclusiones que señala el propio informe son que "en promedio, y con excepción de las comunidades de La Rioja y Murcia, el nivel de cumplimiento en los centros públicos es menor que en los centros privados", "la mayoría de hospitales (86%) han contratado actividades de tratamiento de datos personales" y que "la implantación de la Historia Clínica Electrónica alcanza al 55% de loshospitales requeridos, siendo mayor en los centros públicos que en los privados (67% frente a 44%)".

Más allá del informe, lo cierto es que los sistemas informatizados van ganando terreno y las buenas prácticas de seguridad y confidencialidad son una necesidad ineludible. Oracle ha ofrecido tradicionalmente soluciones punteras en estos temas, que quedan reforzadas con la incorporación del hardware de Sun, y, dado que una amplia parte del sector ha tenido que hacer un examen de conciencia estos pasados meses, vamos a recordar aquí las principales ofertas de Oracle para el cumplimiento de la LOPD y el Reglamento que lo desarrolla.

Próximamente Oracle lanzará su versión de Sanidad de su solución de gobernaza de la seguridad (Oracle Secure Governor- OSG) que posiblemente presentemos en febrero en el Inforsalud 2011. Pero como aperitivo, vamos a recopilar una amplia serie de soluciones software o hardware que enfocan requerimientos comcretos del reglamento de la LOPD. Estas soluciones son independientes, aunque se pueden combinar. Y, en algún caso, a la misma necesidad se puede dar solución por hardware o por software. En estas circunstancias, la conveniencia de una u otra depende de la situación de la instalación.

Para no cansar al lector dejo para una continuación de esta entrada la descripción más detallada de cada una de las soluciones propuestas en el cuadro.

<script src="http://platform.twitter.com/widgets.js" type="text/freezescript"></script>

jueves sep 16, 2010

Fortalecimiento de la seguridad en red de Oracle DB con Oracle Solaris

<script type="text/freezescript">var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/freezescript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

La seguridad es una preocupación creciente en el entorno TIC sanitario, debido a los altos niveles de confidencialidad con los que se trabaja y los retos de las soluciones de e-Salud que se están desplegando.

Recientemente Oracle ha presentado un informe técnico sobre "El fortalecimiento de Oracle Database con las tecnologías de seguridad de Oracle Solaris". Es un documento orientado a los responsables de los sistemas de información, administradores de sistemas,  responsables de bases de datos y de seguridad y lo traigo a colación aquí por la importante base instalada actualmente desplegada en sanidad con esta combinación y espero que también atraiga la atención de otros profesionales que pueden encontrar en el documento ideas para solucionar sus preocupaciones y puedan empezar a plantearse estas tecnologías.

Este mini libro blanco describe y demuestra cómo las características estándar de Oracle Solaris se pueden usar para proteger servicios en red contra amenazas internas y externas. En este informe se detallan ejemplos concretos listos para aplicar basados en la combinación de Oracle Database Server 11g Release 2 trabajando sobre Oracle Solaris 10 10/09.

No se repasan exhausitvamente todas las prestaciones de seguridad de Oracle Solaris, sino que se enfoca en un grupo de prestaciones muy concretas orientadas a servicios en red, agrupados en cuatro categorías:

  • Contención, a través de virtualización del sistema operativo y configuración de los file systems
  • Control de privilegios, mediante el sistema de gestión de privilegios basados en roles de Oracle Solaris
  • Fiabilidad y disponibilidad, a través de Oracle Solaris Service Management Facility
  • Responsabilidad, a través del sistema de auditoría

<script src="http://platform.twitter.com/widgets.js" type="text/freezescript"></script>

martes ene 19, 2010

La tecnología importa: criptoaceladores en los sistemas Sun CMT

<script type="text/freezescript"> var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/freezescript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

La enorme apuesta de las organizaciones sanitarias, educativas y de la administración por los servicios en red con aplicaciones cada vez más multimedia ha aumentado notablemente las cargas de los servidores en los últimos años. Afortunadamente la madurez de las tecnologías de virtualización y la mejora constante de la capacidad computacional de los procesadores permiten balancear esta demanda incremental. 

Pero simultáneamente surge la necesidad de implantar la encriptación como medida protectora de la seguridad y confidencialidad de la ingente cantidad de información sensible que se maneja. Y esto genera una sobrecarga adicional nada despreciable. Una forma de abordar el problema es con appliances de red que aumentan la complejidad, el consumo y los costes de los proyectos. Otra solución son las tarjetas criptográficas, que acarrean problemas de compatibilidad, gestión de configuraciones y complejidades de software. Previendo esta necesidad, Sun introdujo capacidades criptográficas en el hardware de los chips de su familia de servidores UltraSPARC® T1, T2 y T2Plus con tecnología CoolThreads™.

Estos criptoaceleradores, incluidos en el propio chip, eliminan la necesidad de tarjetas adicionales, nuevas licencias, appliances de red u otros elementos consumidores adicionales de potencia. Como resultado, el despliegue de servidores con tecnología CoolThreads en entornos HTTP reducen la sobrecarga del sistema, mejoran el rendimiento y la eficiencia conjunta de computación y red, traduciéndose en una mejor respuesta global del servicio.

Los procesadores UltraSPARC T2 y T2 Plus tienen un singular diseño "System-on-a-Chip (SoC)" que incorpora en el propio chip prestaciones criptográficas así como el I/O y capacidad para 10 Gigabit Ethernet.

RSA es el primer y más utilizado algoritmo para un sistema criptográfico de clave pública y es válido tanto para cifrar como para firmar digitalmente. Cada core de los procesadores UltraSPARC T1, T2 y T2 Plus incluye una Unidad Aritmética Modular (MAU) que soporta operaciones RSA y DSA (Algoritmo de Firma Digital). Esta MAU permite cargas sostenidas de 14.000 RSA-1024 y más de 30.000 RSA-1024 operaciones/seg en los procesadores T1 y T2 respectivamente. Pasar todas estas operaciones RSA a la MAU acelera todo el protocolo SSL y libera la CPU para otras tareas computacionales.

Este criptoacelerador se llama Niagara Crypto Provider (NCP) y va incluido en cada core del procesador. Los UltraSPARC T2 y T2 Plus soportan los algoritmos RSA y DSA y añaden mecanismos de encriptación y desencriptación basados en clave simétrica, tales como Data Encryption Standard (DES), Triple DES (3DES), Advanced Encryption Standards AES-128, AES-192 y AES-256), Ron’s Code 4 (RC4), así como operaciones de hashing para generar claves como el algoritmo Message Digest 5 (MD5), SHA1, SHA256, y mecanismos Elliptic Curve Cryptography (ECC), tales como los algoritmos ECCp-160 y ECCb-163.

Adicionalmente, los procesadores T2 disponen de un generador de números aleatorios (N2RNG) incorporado en el chip para soportar operaciones de este tipo para las aplicaciones criptográficas. En la práctica el criptoacelerador NCP usa el Solaris Cryptographic Framework (SCF) para permitir a las aplicaciones de nivel de usuario el descargarse de las operaciones criptográficas y sacar el máximo partido a esta tecnología. SCF es una librería que ofrece un conjunto de servicios criptográficos a nivel de kernel y a nivel de usuario y está basado en el estándar de criptografía de clave pública PKCS#11, creados por los laboratorios californianos RSA Security, Inc.

Para los interesados en profundizar en cómo aplicar todas estas prestaciones con Oracle® WebLogic Server 10.3.x ó Java™ Platform, Enterprise Edition 5 Application EnvironmentSun Microsystems ofrece una guía realizada por Ramesh Nagappan (ISV Engineering) y Chad Prucha (Technical Marketing) que se puede descargar gratuitamente en este enlace. Aunque este documento incluye muchos de los detalles funcionales más recónditos de las tecnologías relacionadas con la criptografía, está muy enfocado a aspectos concretos de implementación que no exigen que el lector sea un experto en las más sutiles técnicas criptográficas y de las PKI (Infraestructura de Clave Pública).

Y como conclusión, pienso en la aplicación práctica inmediata en proyectos de Historia Clínica Digital o Historia Personal de Salud en el campo de la sanidad, el acceso a expedientes personales del alumno en el caso del sector educación y todo el abanico de posibilidades que abre la Ley del Acceso Electrónico del Ciudadano a los Servicios Públicos y su Reglamento del Esquema Nacional de Seguridad en el caso de la eAdministración.  Toda la información sobre los servidores UltraSPARC T2 y T2 Plus está accesible en esta dirección.



martes ene 05, 2010

Seguridad en la nube

<script type="text/freezescript"> var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/freezescript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

Ayer fue noticia el ataque a la web oficial de la presidencia española de la UE con la superposición de una imagen de Mr. Bean. Sin olvidar que "el supuesto ataque ha consistido en aprovechar una vulnerabilidad del código fuente denominada XSS (cross site scripting) dirigida a los usuarios de la web y no a la web en sí misma" y que "este tipo de ataques, para resultar efectivos, deben combinarse con alguna técnica adicional que engañe al usuario de la web para que pinche en un enlace modificado malintencionadamente, por ejemplo, con ingeniería social", según aclara un comunicado oficial de La Moncloa basado en un informe de Inteco, lo cierto es que pone en la palestra la importancia de extremar la seguridad en la red. Por cierto, recomiendo la muy clarificadora y detallada explicación que ofrece el blog Security by Default.

Y esta noticia me recordó una entrada pendiente que había dejado pasar por los apuros del fin de año. Y es que a mediados de diciembre, Sun anunció la disponibilidad de importantes herramientas open source para la seguridad del cloud computing y el soporte de la última Guía de Seguridad de la Cloud Security Alliance. En el enlace anterior se puede acceder a la información completa, que intentaré resumir y comentar brevemente.

Lo primero es incidir en que la disponibilidad de estas nuevas herramientas va orientada a permitir la prestación de servicios de nivel empresarial altamente seguros, disponibles y manejables tanto en nubes públicas, mixtas o privadas, entornos estos últimos muy a tener en cuenta en un futuro inmediato en la sanidad, educación y administración españolas. Para el que no lo conozca incluyo un vídeo de una presentación de Vivek Kundra, CIO del gobierno federal norteamericano, sobre su estrategia de cloud computing. Es largo (30 min) pero se entiende muy bien. Para el que no tenga tiempo para escucharlo entero le recomiendo que vea al menos del minuto 19 al 22.

Para los interesados en la "Guidance for Critical Areas of Focus in Cloud Computing - Version 2.1.", en la que los expertos de Sun han tenido un activo papel en su desarrollo, se puede descargar en esta dirección. También recomiendo el libro blanco publicado por Sun sobre como romper las reticencias de los usuarios para usar el Cloud Computing, que se puede descargar en este enlace.

Respecto a las herramientas anunciadas, muchas de ellas van ligadas al proyecto Kenai, una comunidad de desarrollo en open source promovida y soportada por Sun y conviene repasar las indicaciones sobre su estado de madurez. Estas utilidades son:

  • OpenSolaris VPC Gateway: Permite conectarse libremente a una Nube Privada Virtual (VPC) de Amazon sin necesidad de ningún hardware de red específico.

  • Immutable Service Containers (ISC): Permite crear máquinas virtuales con importantes mejoras de seguridad y capacidad de monitorización, aprovechando al máximo las posibilidades de OpenSolaris.


  • Cloud Safety Box: Simplifica la compresión, encriptación y fragmentación del contenido almacenado en la nube y funciona para Solaris, OpenSolaris, Linux y Mac OS X.

Sun continua trabajando con clientes y aliados para construir nubes públicas y privadas abiertas e interoperables. Información sobre las tecnologías Sun implicadas y las API para Clouds Abiertas en www.sun.com/cloud

Y quien quiera conocer algo más sobre el trabajo en la nube con un caso real, les remito al ejemplo de SoundCloud, una compañía alemana que ha revolucionado el mercado musical con una arquitectura en nube mixta y que ha aprovechado las ventajas del programa de Sun para start-ups.




miércoles nov 04, 2009

Ahorro de tiempo de los profesionales sanitarios

<script type="text/freezescript"> var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/freezescript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

Ya sé que la mayoría de los lectores no entienden danés pero este breve reportaje aparecido en el noticiario DRI News de la televisión danesa es suficientemente ilustrativo para que me anime a incluirlo en esta entrada.




Se trata del Bispebjerg Hospital que usa la solución de movilidad con seguridad basada en los terminales ligeros Sun Ray. Lo más relevante es la cotidianidad y sencillez de su uso y los importantes ahorros de tiempo a los profesionales en hacer logon/logoff que van de los 6 a los 24 minutos al día en el caso de los médicos.

El despliegue no es total y se completará el año que viene, pero si acumulamos los 24 minutos de cada uno de los 700 facultativos, nos sale que el hospital adquiere una capacidad asistencial adicional equivalente a tener 35 médicos adicionales. Otra referencia internacional con casi dos años de experiencia también coincide con destacar esta facilidad de uso como el beneficio más apreciado. por encima de temas de seguridad, disponibilidad o costes de propiedad.

Esto es un ejemplo de cómo las TIC unidas a reingeniería de procesos y a motivación de los profesionales pueden forjar unos sistemas de salud sostenibles ante las crecientes necesidades del siglo XXI.

Y en España tenemos varias referencias importantes y otras en camino. Desgraciadamente no las puedo citar por temas de autorizaciones, aunque estamos trabajando para solventar esas barreras de comunicación. Pero hay instalaciones a pleno rendimiento y otras en fase de despliegue que no tendrían nada que envidiar.

viernes oct 09, 2009

Foro Técnico Informática de la Salud: Seguridad en la eAdministración

<script type="text/javascript"> var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/javascript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

Segunda jornada del Foro Técnico de Informática de la Salud que ofreció un formato clásico de dos mesas redondas.  La primera mesa fue moderada por Ana Ceballos, subdirectora de TI del SAS y se centró en el importante papel de la seguridad en el nuevo paradigma de la eAdministración que cobra un peso mayor, si cabe, con la próxima entrada en vigor de la Ley 11/2007 y los reglamentos que la desarrollarán.

Yolanda Llamas, de la Consejería de Sanidad de Madrid, explicó que, aunque sanidad cara al ciudadano no es un servicio más, como avalan las encuestas, tecnológicamente hablando los retos de la nueva ley son comunes con las demás Consejerías por lo que se ha optado por una solución global que representa una capa externa a los servicios propios de cada área pero que ofrece un acceso homogéneo al usuario al catálogo de servicios disponibles.

La seguridad, más allá de ser necesaria por ley es la base de la confianza que necesita el usuario para trabajar en red en un nuevo paradigma en el que en vez de recibir por correo postal las notificaciones o documentación de sus expedientes será avisado telemáticamente para que consulte su buzón en la sede electrónica. La organización tiene ante sí un reto importante de adaptación que será apoyado por las nuevas herramientas de colaboración.

Carlos García Codina, actualmente en el Ministerio de Ciencia e Innovación, acometió el desafío de resumir los puntos más relevantes que incorporará el futuro reglamento del Esquema Nacional de Seguridad del que existe un borrador muy avanzado y que pasará a rango legal muchas de las buenas prácticas que ya se deberían de estar aplicando. Es un reglamento para generar confianza, con un enfoque pragmático, redactado por técnicos y que afectará a todos los contratos de sistemas de información de las administraciones públicas. Mi impresión es que exigirá potenciar el equipo humano de los servicios de informática de las organizaciones.

Juan Miguel Signes, de la Conselleria de Sanitat de Valencia, indicó que la seguridad es responsabilidad de toda la organización y no un asunto de informática. De hecho, el gran activo de los organismos es la información y no los sistemas de información, pero falta formación y sensibilización de los usuarios.

Puso en la mesa la existencia en alguna comunidad de reticencias al uso de la firma electrónica por parte de los profesionales asistenciales pues aunque en su servicio valenciano ya hay más de 10 millones de actos médicos firmados digitalmente, si la reticencia se extendiese, podría ser un problema serio. Se comentó que en otras organizaciones públicas se había planteado antes pero la Agencia de Protección de Datos lo aprobó plenamente. Ello no quita que pueda que hacer algún ajuste operativo en determinados casos.





About

Mi punto de vista desde mi posición en Oracle.

Los puntos de vista de este blog son míos y no necesariamente reflejan los de Oracle.

Search

Categories
Archives
« abril 2014
lunmarmiéjueviesábdom
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Hoy