Un lugar donde someterse a preguntas
73 meneos
2249 clics

Soy administrador de sistemas de un gran hospital en Cataluña. Pregúntame

Llevo mas de 13 años en la misma empresa. Administramos más de 1700 equipos cliente y 130 servidores. 15 centros de trabajo, 2500 trabajadores. Atendemos una población de medio millón de personas. Ningún equipo de nuestra red tiene como contraseña "qwerty".

| etiquetas: salud , sanidad , cataluña , hospital
56 17 0 K 117
56 17 0 K 117
Comentarios destacados:                        
#48 #39 Si, por ley estamos obligados a guardarlos. Mínimo 5 años, y dependiendo de alguna prueba hasta 10 o 15.

Los cursos clínicos y los informes, es decir, sólo el texto plano que escriben los médicos, ocupa poco (30Gb). Lo que ocupa son las imágenes de radiología (llevamos 13Tb actualmente), los consentimientos informados y copia en PDF de los informes definitivos (500Gb), que es el que te dan al alta (de urgencias, o del ingreso).

Parte de esta información está cifrada y parte no.

Nosotros no vendemos los datos a nadie, PERO estamos conectados al sistema central de Historia Clínica Compartida de Cataluña, que envía los datos a unos servidores centrales de la Generalitat. Los rumores que aparecieron son en relación a un proyecto en el que una empresa especializada en BigData iba a generar marcadores y cuadros de mando con los datos de todos los hospitales conectados. Los datos a los que iba a tener acceso la empresa son DESASOCIADOS, es decir, que no aparece el nombre, dirección o identificador de nadie.

Mal explicado puede generar mucho alarmismo, pero desde el punto de vista de estrategia sanitaria es de una utilidad increíble, puesto que te permite ver dónde hay mas incidencia de, por ejemplo, enfermedades coronarias, ya que tienes los datos reales de la gente tratada. Así que si hay que asignar recursos a una región sanitaria tienes más datos a la hora de decidir.

Ahora busco los datos de visitas
Muchos intentos de trapicheos (acceso/modificación) sin permisos en archivos? Hay revisión de logs posteriores? Llegan a expediente disciplinarios o no pasa nada?


Si no pones etiquetas BOFHers y "lusers" pareces poco creíble :troll:
#1 No soy Wardog :-D conste que las etiquetas he pensado en ponerlas pero me ha parecido poco serio...

Al lío:

No lo sabemos, porque no hay revision de logs. No tenemos tiempo. Además, los responsables de departamento/area/servicio no son conscientes de la importancia de la seguridad en los sistemas, con lo que, por ejemplo, un residente de segundo año con acceso a la carpeta de neurología, si cambia de servicio seguirá teniendo acceso a la misma carpeta porque nadie nos notifica el cambio.

Tampoco nos informan de las altas/bajas de personal. A intervalos regulares ejecutamos scripts para detectar usuarios que no entran en el sistema desde hace tiempo para deshabilitarlos.
#57 Lo de la mujer de la limpieza nos ha pasado a todas. Eso acaba con normas muy serias y un sistema de gestión de accesos. Aunque viendo lo que dices en #2 ...
#61 Efectivamente, con el cambio al CPD nuevo ésto dejó de ocurrir. Ahora hay cámaras, acceso con tarjeta identificativa, sensores de temperatura, doble SAI, doble climatización, extinción, antimujeresdelalimpieza, etc..
#16 Quizá he sido poco claro. Esta respuesta se refiere solo a los archivos de word, excel, etc... Que son de nivel 3. Las bases de datos que contienen datos de pacientes cumplen todas la LOPD, y se auditan cada año. cc/ #38
Te iba a preguntar qué tal el cumplimiento de la LOPD en la parte que afecta a sistemas, aunque viendo tu comentario en #2 intuyo que mal...
#38 Efectivamente
#2 "A intervalos regulares ejecutamos scripts para detectar usuarios que no entran en el sistema desde hace tiempo para deshabilitarlos"

Me tocó crear un uno. Los logs binarios en Windows son... interesantes.
#7 logs binarios? Nosotros hacemos consultas LDAP contra el directorio activo, es mucho más rapido!
#8 SharePoint . Es marciano, no dejaba con AD.

10 gigas de logs, no daba de sí.

Lista de usuarios visitando X URLS.

Lo hice con "strings , sort y grep". Ni 2 minutos.
#9 Con tantos gigas de logs ¿no habeis pensado en logtrust para analizar los datos?
#8 #9 ¿Conocéis Log Parser de M$? Es antiguo, usa una sintaxis tipo SQL pero traga con multitud de cosas y funciona a las mil maravillas en automatizaciones, además de ser muy rápido: www.microsoft.com/en-us/download/details.aspx?id=24659

Si se os queda pequeño y sois más de Big Data y petabytes de datos, echadle un vistazo a Splunk: es.wikipedia.org/wiki/Splunk
¿Cuantos equipos siguen con Windows XP? ¿Hay planes para cambiarlos en un futuro a corto plazo?
#3 El 60 por ciento del parque sigue con Windows XP, eso son aproximadamente unos 1000 equipos. De entre ellos, el 5% tiene SP1, 20% SP2, y el resto con SP3. Hay algunos equipos conectados a analizadores o maquinas de Radiología con XP que no se actualizan porque utilizan software propietario solo compatible con lo que tienen instalado.

Planes siempre hay, pero no hay dinero.
#4 ¿Habéis valorado o realizado algún plan para migrar parcial o totalmente a sistemas operativos libres? Linux y otros.

En el caso de que hubieseis analizado una migración pero al final el resultado fuese un no ¿Qué impedimentos tuvisteis para que no fuese viable?
#29 En todos los servidores que podemos, usamos Linux (bastante repartido entre openSuSE y Ubuntu, y un par de CentOS). Servidores de aplicaciones web principalmente, como tomcat o jboss.

Todo y así son minoría en el cómputo total de servidores. Principalmente porque los proveedores de aplicaciones desarrollan para Windows, y éste es siempre el principal escollo cuando se valora una migración a sistema libre.
#17 Los servidores se dejan "morir" o se actualizan a 2008R2 (mínimo). En relación con #32, hace poco se presentó el proveedor de una solución de ecocardiografía que nos exigía 2003 y nos negamos en rotundo.
#32 ¿Y en puestos de trabajo? Quiero decir, no sé si tenéis una plataforma web para vuestros usuarios, o acceden con un cliente de terminal tipo VT100, TN3270, etc o hay plataforma nativa en Windows.

Con los dos primeros una migración no sería tan descabellada, con el tercer supuesto sí.
#44 El programa principal ataca a un servidor Solaris con base de datos IBM DB2. Hay dos tipos de programa cliente: El que usan los médicos, enfermeras, auxiliares, etc... , que se conecta por SUNRPC, y el que usan los administrativos, que se conectan con un cliente telnet (si, telnet...)

Se está EMPEZANDO a estudiar la posibilidad de cambiar la base de datos a Intersystems Caché.
#46 No parece inviable del todo pero sí enormemente costosa en tiempo y esfuerzo. Gracias por tu respuesta.

Te lo preguntaba porque hemos realizado una migración a Linux de varios cientos de equipos hace un par de años en un cliente (un centro educativo). Se hizo en tres fases:

1) Instalación de SL reemplazando cualquier otro software de origen "dudoso" en los equipos cliente (es decir, se puso todo libre salvo Windows). Se pide feedback a los usuarios.
2) Instalación…   » ver todo el comentario
#47 En el sentido de sistemas, nosotros nos parecemos más a una multinacional que a una universidad. Cada departamento tiene sus programas y particularidades, incluso los áreas asistenciales. Hemodiálisis utiliza su propio programa, Cardiología, el suyo, rehabilitación el suyo...

También se estudió utilizar soluciones VDI (con cliente Linux), pero el número de escritorios virtuales diferentes era tan grande que nos disparaba los costes de almacenamiento una barbaridad.
¿Por qué continuamente me pide que actualice a iexplorer 8?

¿Por qué tiene que haber una contraseña distinta para cada programa?

¿Por qué toda la formación de ICS va con iexplorer y si la haces desde tu casa con chrome, firefox u otra directamente ni se cargan las ventanas?
#5 te pide que actualices porque es la versión mínima soportada por el RCA, SIRE, HCCC, etc...

Contraseñas diferentes para bases de datos diferentes. Me consta que la Fundació TicSalut esta trabajando en el tema del inicio de sesión único, pero es complejo...

Lo de que no se carguen las ventanas... Eso habria que preguntarselo a la empresa que diseña la aplicación, depende más del desarrollador que del administrador de sistemas (son cosas diferentes dentro del ramo)
#10 Pues que se pongan ya al día que es una lata tener una contraseña para iniciar el ordenador, otra para el SAP, otra para el Silicion, otra para Gacela, otra para el ATRI, otra para el CampusVirtual y otra para la Borsa/Carrera Profesional.
Es un sindios.

Y ,para más inri, van caducando y debes ir cambiándolas. ¡¡¡Ya no hay archivo de excel que se aclare!!!
#11 haré ver que no he leido lo del excel... Jaja

Todo esto es el resultado de que cada departamento trabaje por separado, departamentos de informatica separados, etc...
#12 Dime un gestor de contraseñas que pueda descargar en un ordenador de ICS sin que me diga que no tengo permisos para modificar ni instalar nada. De momento, o excel o agenda manual.
Si en el 90 % de las ocasiones no puedo ni bajar chrome para ver vídeos de enlaces médicos sin que se cuelgue todo el sistema.
#13 Keepass Portable
#14 Lo probaré mañana y si funciona, volveré a darte un :-*
#15 A mi me gusta passwordsafe.sourceforge.net/ que te permite "usar sin instalar".

Huye del excel por favor. La encriptación de eso no es de verdad, suponiendo que la uses.
Editado, ya veo que no eres Wardog :-(
#18 105, sobre VMWare VirtualCenter 4.1
Hay algún meneante que pueda traducir los comentarios. Soy nivel usuario retrasado de windows xp
Mi padre me compró un amnstrand PCW 2856 compatible consigo mismo. Alguien lo quiere? Pagó 80.000 pesetas. Oigo ofertas. 100 duros a la una, 100 duros a las 2...
El diario Noticias del Mundo, precursor de mundo today, ya decía en aquella época que el 95% de los informáticos eran víctimas de heces de ave, que opinas al respecto?
#21 Pues que efectivamente en la época del instituto se me cagó una paloma encima. Habría que tomarselo en serio.
Como no tengo ni puta idea de ordenadores, tengo un colega que chana, aunque estudió en valladolid. Me arregla mi pentium 133 , le pago en porros. Cuál sería tu precio?
#22 tienes rodilleras?
¿cual es el top 10 de problemas/incidencias mas comunes?
#23 Por orden, en general (no solo de administración de sistemas)

1- Solicitud de acceso a recurso compartido
2- Solicitud de usuario para programa asistencial
3- Solicitud de dirección correo electrónico
4- Incidente por pérdida de archivo/carpeta en recurso compartido
5- Incidente por acceso a pagina web prohibida
6- Solicitud de integración de aparato asistencial de nueva adquisición.
7- Incidente con impresora (no imprime/atasca papel
8- Orientación en uso de programa
9- Estudio de compatibildad de programa con S.O.
10- Estudio de ampliación de recursos/lentitud de sistema
#37 Muchas gracias
Y por ultimo, cual es la mejor manera para quitar el gintonic del teclado?
¿Windows o Linux? ¿Android o IOS o WindowsPhone?
#25 Si me preguntas por nuestras preferencias, Windows y Windows Phone. La realidad del parque es una mezcla de todos, incluso OSX.
¿Cómo vigilas el tema de las herramientas de administración remota? Gracias de antemano.
#26 ¿Te refieres a cómo controlamos que nadie acceda a los servidores con herramientas de administración remota?
#73 controlamos muy mucho los permisos de los usuarios y las contraseñas de los usuarios administradores son diferentes y muy complejas. Intentamos que los equipos no usen protocolos descubiertos (tipo telnet) y que esten al dia de actualizaciones. En alguna unidad organizativa hay directivas de restricción de software
#76 ¿Qué opinas de redes internas independientes en cada hospital conectadas únicamente vía cable?
#81 Todos los modelos topológicos son validos, si se aplican correctamente. En el caso de los hospitales prima la versatilidad por la heterogenia de los equipos que hay.
#82 "En el caso de los hospitales prima la versatilidad por la heterogenia de los equipos que hay."

A elementos versátiles, soluciones versátiles. El hardware per se, conceptualmente, no es versátil, dado que es mucho más difícil modificar una construcción (por los costes de inversión y construcción que implican) que modificar un protocolo de actuación de parte del equipo que precisamente trabaja para ello (o sea, vosotros).

Además, no se puede dar a elegir entre versatilidad y seguridad/privacidad de las historias clínicas.

Permíteme que insista con la propuesta que te he ofrecido.
#83 quizá estas hablando solo de infraestructura física. Yo hablo de física y lógica. Demos gracias a las VLANs. Hay separacion lógica entre elementos de red.
Te has tirado a alguna en el trabajo?
#27 Si, en una habitación vacía de una planta del hospital.
¿Se ha muerto alguna vez alguien por culpa de un fallo informático? ¿Que tipo de fallo: software, hardware, patallazo azul de windows, fallo en un binario, ...?
#28 No que nosotros sepamos. Si lo que quieres saber es si ha habido errores informáticos que hayan afectado al tratamiento de algún paciente, la respuesta es si. Ocurre generalmente con las prescripciones de medicación, porque el catalogo de medicamentos va cambiando constantemente y las unidades de medida también (p.ej. hace poco cambiaron la presentación del clotrimazol de 2% a 2mg/100mg, que sigue siendo lo mismo, pero tuvieron que hacer una versión nueva del programa solo para que quedara claro).
#43 Han caido aviones de pasajeros por tonterías similares. La IE3 tiene un archivo de desgracias gordas debidas a los computadores.
Necesitas algún trabajador?
#31 Necesitarlo, lo necesito, pero no tenemos presupuesto para contratar.
Y como ya no he podido actualizar el comentario anterior...

¿Se guardan los historiales de los pacientes con pruebas escaneadas, informes de quirófano y todo eso? Doy por hecho que sí si estás en uno grande así que, ¿cuánto ocupan los historiales? ¿esa información está cifrada? ¿Qué hay de esos rumores de que a veces se comparten/venden historiales? Por curiosidad, ¿cuántos pacientes habéis tratado en el último año?
#39 Si, por ley estamos obligados a guardarlos. Mínimo 5 años, y dependiendo de alguna prueba hasta 10 o 15.

Los cursos clínicos y los informes, es decir, sólo el texto plano que escriben los médicos, ocupa poco (30Gb). Lo que ocupa son las imágenes de radiología (llevamos 13Tb actualmente), los consentimientos informados y copia en PDF de los informes definitivos (500Gb), que es el que te dan al alta (de urgencias, o del ingreso).

Parte de esta información está cifrada y parte no.

Nosotros no vendemos los datos a nadie, PERO estamos conectados al sistema central de Historia Clínica Compartida de Cataluña, que envía los datos a unos servidores centrales de la Generalitat. Los rumores que aparecieron son en relación a un proyecto en el que una empresa especializada en BigData iba a generar marcadores y cuadros de mando con los datos de todos los hospitales conectados. Los datos a los que iba a tener acceso la empresa son DESASOCIADOS, es decir, que no aparece el nombre, dirección o identificador de nadie.

Mal explicado puede generar mucho alarmismo, pero desde el punto de vista de estrategia sanitaria es de una utilidad increíble, puesto que te permite ver dónde hay mas incidencia de, por ejemplo, enfermedades coronarias, ya que tienes los datos reales de la gente tratada. Así que si hay que asignar recursos a una región sanitaria tienes más datos a la hora de decidir.

Ahora busco los datos de visitas
#48 No tenemos generados los datos de cuantas personas físicas hemos atendido. Si puedo decirte por encima la actividad que hemos tenido durante el 2014:

985000 visitas a atención primaria
20000 hospitalizaciones y visitas a hospital de dia
1300 partos
100000 urgencias
230000 visitas a especialistas
160000 visitas a radiodiagnóstico
#48 Estupendo gracias :-) Esos cuadros de mando son/serán accesibles a la población?
#50 Ni idea... La web del proyecto es ésta: aquas.gencat.cat/ca/projectes/visc/

Está en catalán. Si necesitas traducción con mucho gusto te ayudo.
¿Cuanto tardarías en localizar un cable conectado por ambos extremos al mismo switch y que podría duplicar el tráfico de toda la red?
Conozco el caso que describo en un hospital grande.
#54 Segundos. El spanning tree bloquearía el puerto y el sistema de gestión de la electrónica nos mandaría una alerta. Si el bucle se produce en un switch no gestionable, se bloquea el link desde el switch del nivel superior.
#55 ¿Cómo etiquetais los extremos de los cables de red? Lo documentais en algun sitio, o en caso de despiste és busca per terra?
#60 En la toma de la pared en la que enchufamos el ordenador pone, por ejemplo, "1.234", que viene a significar "Rack 1, punto 234". En el armario de comunicaciones hay el inverso, que seria 3.234, que significa, "Planta 3, punto 234".

Además, en la descripción del puerto dentro del switch ponemos el número de punto de pared.

Y además, las MAC de todos los equipos están registradas en el sistema de gestión de la red, para que sean más fáciles de localizar si hay algún problema.
Las preguntas son lo de menos, lo mejor son las anécdotas. Cuéntanos alguna burrada gorda con un luser.
#56 Buf... Hace años nuestra sala de servidores no era más que una habitación de despacho con 2 armarios, y estaba todo manga por hombro. Un día la mujer de la limpieza (nueva) entró para aspirar el suelo. No vió tomas de corriente libres, y desenchufó un armario entero para enchufar el aspirador. Todo el hospital parado mientras la mujer aspiraba la sala.

Otra buena fué la lluvia de antenas WIFI. El instalador puso los clavos sin taco en el techo y estuvimos 3 o 4 días recibiendo llamadas de usuarios diciendo que les caían las antenas encima...

Hay bastantes anécdotas...
#57

No te hace falta desenchufar nada para tirar un rack.
Le pinchas un aspirador de 2.000 W a una regleta un poco cargada y verás que risa ...
#75 Fuegos artificiales!
#57 ¿Así que también a vosotros? Se trata de un patrón que se repite, el "efecto limpiadora": www.meneame.net/c/7560210 xD xD xD
#86 Hombre, a nosotros sólo nos pasó una vez y lo vimos claro muy rápido... Y afortunadamente no llegó a mayores...
#56 Una buena la tuvimos hace poco. Se cortó la conexión principal con un ambulatorio, y como utilizaban la línea de respaldo (mucho más lenta), los programas casi no tiraban.

Pues vino una doctora a quejarse de que no podía reservar las vacaciones y que se negaba a visitar en estas condiciones.
Los backups externalizados? encriptados?

Qué sistemas (o sea, aplicaciones) pretenden tener una disponibilidad del 100% ? (redundantes). No pregunto por el soporte a enfermos, que eso ya se supone.
#58 Externalizados y encriptados.

Están redundadas las aplicaciones de continuidad de negocio. Ésto es, el programa para visitar a los pacientes y para obtener sus datos y historia clínica, y poder registrar, y el programa y sistema para las imágenes radiológicas.

Los sistemas de soporte vital (respiradores o bombas de infusión de medicación) no dependen de la red informática. Son autónomos, precisamente para evitar que un fallo en la red informática afecte al paciente. Las sondas que llevan los aparatos, por ejemplo, para saber a que ritmo insufla aire el respirador o qué cantidad de medicación queda en la bomba, si que están conectadas para que el control de enfermería no tenga que ir cama por cama a ver cómo van.
Se cumplen las políticas de seguridad en contraseñas como dicta la ley de protección de datos(robusta)?
Yo estuve en un hospital y no se cumplían porque "había mucha gente mayor y no podías pedirle eso"
#68 Los programas que contienen datos de nivel alto cumple todos la LOPD.
¿que marcas y modelos de electrónica de red tenéis?
Gracias.
#71 3com, que luego pasó a ser H3C y que ahora es HP. Seguimos con ellos.
A parte de los informáticos, ¿Quién más tiene acceso a todos los datos del hospital?
#72 Nadie, e incluso nosotros no podemos acceder a todos lados
¿Con que trabajais la seguridad perimetral? ¿Teenis todo en cluster?
#74 Doble firewall y doble DMZ.

En cluster virtual estan las 105 maquinas virtuales. Cluster fisico hay de la granja de virtualizacion de aplicaciones, del correo electronico, del sistema de radiologia y de la aplicacion asistencial
#80 ¿la "granja virtual" es un clúster que funciona como una nube? Si es así, ¿qué software utilizáis para ello?
#88 Exacto. El sistema operativo de los servidores (hypervisor) és Vmware ESX 4.1. El software para controlar todo el cluster es VMWare VirtualCenter.
#89 una pregunta respecto a eso: ¿cuando instalas una máquina virtual en ese clúster, ves una nube, instalas la máquina en la nube directamente y el clúster decide en qué servidor físico se instala la máquina automáticamente (e inteligentemente) o tú dices: "En este servidor hay espacio para esta máquina; la meto ahí"? Si no me explicado bien dímelo. :-)
#90 Nosotros decidimos a qué nodo va la máquina virtual, PERO también puedes dejar que lo decida el propio clúster en función de los recursos que necesite la nueva maquina.

De la misma manera también puedes configurar el cluster para que autogestione los recursos. Esto quiere decir que, si en un momento dado, una máquina virtual necesita más memoria o CPU, y el nodo no lo tiene disponible (porque otra maquina está consumiendo mucho), puede mover automáticamente la maquina virtual a un nodo con más recursos disponibles.
#91 y la última y no te molesto más: ¿eso tiene tolerancia a fallos? Es decir, si te peta un servidor físico petan todas sus máquinas?

Muchas gracias por tu paciencia, eh. Te pongo positorios a tutti pleni. :-D Es que soy del gremio, pero estoy poco familiarizado con las posibilidades de vSphere, aunque trabajo con ello, pero a otro nivel. :-)
#92 si se cae un host del cluster, las maquinas virtuales vuelve a encenderse en otro host automaticamente. Hay un tiempo de parada, pero creo que ningun servidor virtualizado tarda (almenos a nosotros) más de 30 segundos en arrancar.

Tranquilo! Para eso es éste hilo. Pregúntame!
#93 hostia. Eso es una virguería. ¿Y cómo lo hace? ¿Guarda una copia de seguridad de cada máquina virtual en otro host?

Muchas gracias por tu paciencia. Es que he mirado en Google, no he visto nada claro al respecto y tengo gran curiosidad, pero si quieres pásame un enlace. :-D
#94 las maquinas virtuales se guardan en una cabina de discos a la que tienen acceso todos los hosts. Hay un servicio que monitoriza los hosts y las maquinas virtuales (vCenter) y cuando detecta el fallo solo tiene que decirle a otro host que arranque la maquina. La tecnologia se llama vMotion. Si buscas seguro que encuentras algo ;)
#95 lo buscaré. La pega que le veo a eso es que puede haber cuello de botella a la hora de acceder a los filers si hay aplicaciones con muchos accesos a disco.

Muchísimas gracias.
#96 De ahí que la conectividad con el filer, no es que tenga que ser buena, es que tiene que ser de lo mejor del mercado. Imaginate 30 maquinas virtuales sobre el mismo nodo escribiendo a la vez sobre la cabina, es la fiesta del I/O !
#97 nosotros tenemos conexiones de 10 Gbps por cabeza y tienen dos conexiones, con lo que creo que son 20 Gbps en total, pero tenemos problemas porque los programadores hacen regresiones (consumen un montón de disco) y los petan, entonces tuvimos que crear particiones locales en los servidores para ciertas tareas, de lo contrario los filers petan.
#98 No podeis cambiar a los programadores....? :troll:

No sé, nosotros usamos Exchange 2010 y muchisimas BBDD Oracle y SQL virtualizadas y no nos dan problemas, por los mismos 20Gbps que tienes.
#99 claro, porque el enfoque de vuestro sistema es muy diferente. Son principalmente aplicaciones de gestión y demás. El nuestro son emulaciones de hardware, compilaciones y regresiones, por eso no podemos apenas virtualizar. Tenemos casi todo en máquinas físicas bajo UGE, puesto que son actividades muy exigentes en cuanto a hardware. Tenemos, por ejemplo, muchos servidores con 20 núcleos que haces un "uptime" en cualquier momento y pone: "load average: 21.1 21.3 20.9". Los tenemos todos petados. :-D Es más, están pensando en instalar algunos servidores con ocho tarjetas gráficas porque hay cálculos (no recuerdo cuales) que la GPU de una tarjeta gráfica hace con más eficiencia que una CPU, aunque parezca mentira.
comentarios cerrados

menéame