Tarjeta Electrónica del Profesional Sanitario: Factores críticos del proyecto
Eduardo Martín [email protected]
Foro TIC para la Sanidad24 de Septiembre 2008
© Steria| Tarjeta Electrónica del Profesional Sanitariop2
Usos de una tarjeta profesional electrónica
El impacto de la administración por vía electrónica en la Sanidad se traduce en la adopción de nuevas tecnologías de la información, las cuales requieren la puesta de nuevos medios a disposición de los profesionales.
Entre estos medios destacan los relacionados con la identificación segura, el control de los accesos y la firma electrónica de los usuarios del sistema de Información
Objetivo de la tarjeta electrónica profesional: Integrar en una única tarjeta:La identificación visual del profesional
El control de presencia (tarjeta para fichar)
El control de accesos físicos (tornos / barreras)
El acceso seguro a la red: logon de windows con tarjeta
El acceso remoto seguro: autenticación con tarjeta mediante un cliente VPN desde un ordenador portátil
El envío de mensajes firmados entre profesionales (correo electrónico seguro)
El descifrado de información confidencial
El acceso seguro a las aplicaciones combinando la tarjeta con una solución de SSO
La firma electrónica reconocida
© Steria| Tarjeta Electrónica del Profesional Sanitariop3
La tarjeta electrónica del profesional sanitario: llave para el acceso seguro a los servicios
HCE
Registrode
Profesionales
Acceso remotoy movilidad
Portal colaborativodel profesional sanitario
Acceso seguro a la red corporativa
Credencialesde acceso(LDAP)
identificación única y acceso seguro e a las
aplicaciones corporativas
Consulta y actualización de la Historia Clínica Electrónica
Control de accesos,Control de presencia
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Correo ElectrónicoSeguro entre profesionales
© Steria| Tarjeta Electrónica del Profesional Sanitariop4
Relación con la tarjeta sanitaria electrónica
RED SANITARIA
Hospitales
Dispensación receta electrónica
ServiciosCentrales
Quioscos en unidades administrativas
TARJETA SANITARIA
Aaaaaa Bbbbbbb12345678
TARJETA SANITARIA
Aaaaaa Bbbbbbb12345678
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
TARJETA SANITARIA
Aaaaaa Bbbbbbb12345678
TARJETA SANITARIA
Aaaaaa Bbbbbbb12345678
TARJETA SANITARIA
Aaaaaa Bbbbbbb12345678
TARJETA SANITARIA
Aaaaaa Bbbbbbb12345678
TARJETA SANITARIA
Aaaaaa Bbbbbbb12345678
TARJETA SANITARIA
Aaaaaa Bbbbbbb12345678
Acceso remoto del profesional
Asegurados
Tareas administrativas
Portal sanitario
Unidades deAtención Primaria
© Steria| Tarjeta Electrónica del Profesional Sanitariop5
Escenarios de uso de la tarjeta electrónica del profesional sanitario
ERP
Reg. de profe-
sionales
AplicacionesConsejería de Sanidad de
XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Consejería de Sanidad de XXXXXXXX
Hospital HHHHHH
NOMBREAPELLIDO 1APELLIDO 2
Autenticación(local o remota)
Autorización
Acceso (SSO)
Firma electrónica
Acceso físico
Correo electrónico seguro
Control de accesos
Control de presencia
LDAP
Fichar
DirectorioActivo
© Steria| Tarjeta Electrónica del Profesional Sanitariop6
TEPS: visión global del proyecto
Políticas y Procedimientos
Tar
jeta
s yce
rtifi
cado
s dig
itale
sIdentificación
Control de acceso y presencia
Seguridad de lascomunicaciones
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
© Steria| Tarjeta Electrónica del Profesional Sanitariop7
Factores críticos:Tarjetas y certificados
Elección de la tecnología de tarjeta mas adecuada
Con cripotgrafíaCriptográfica RSAJavacardContactlessDual interfaceTipo de soporte (en función de duración)
Decisión acerca del certificado digitalPerfil del certificado: Certificado corporativoIdentificaciónFirma electrónicaConfidencialidad ¿certificado de descifrado?Prestador de Servicios de Certificación
Servicios de personalizaciónPlástico, chip contactless, chip criptográficoDefinición del servicio de personalizaciónSelección de proveedor
Tarje
tas y
certi
ficad
os d
igita
les
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Seguridad de lascomunicaciones
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
Tarje
tas y
certi
ficad
os d
igita
les
Tarje
tas y
certi
ficad
os d
igita
les
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Seguridad de lascomunicaciones
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Seguridad de lascomunicaciones
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
© Steria| Tarjeta Electrónica del Profesional Sanitariop8
Factores críticos:Identificación, control de acceso y presencia
Definición de los colectivos usuariosEmpleo establePersonal con contratos temporales o de sustituciónColaboradores externos habitualesColaboradores externos ocasionales¿Quién necesita certificado digital? Acceso al sistema de información
Diseño físico de la tarjetaInformación visible del usuarioLogotipo(s)Diseño gráficoPeriodos de vigencia de tarjetas y certificados
Sistemas de control de acceso y presenciaArquitectura: centralizada, distribuidaModelo de actualizaciónintegración con la gestión del personal (ERP)Modelo de administración
Gestión de las tarjetas y certificados digitalesAplicación de gestiónintegración en el ERP
Tarje
tas y
certi
ficad
os d
igita
les
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Seguridad de lascomunicaciones
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
Tarje
tas y
certi
ficad
os d
igita
les
Tarje
tas y
certi
ficad
os d
igita
les
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Seguridad de lascomunicaciones
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Seguridad de lascomunicaciones
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
© Steria| Tarjeta Electrónica del Profesional Sanitariop9
Factores críticos:Seguridad en las comunicaciones
Acceso a la redSmartcard logon: ¿para quién?Políticas del Directorio ActivoTratamiento de puestos de trabajo críticos: urgencias y control de enfermería
Correo electrónicoDirecciones de correo “colectivas”Integración con registro de profesionales
Acceso remoto seguroCliente VPNidentificación del usuario con certificado digitalAutenticación frente al Dominio
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
Tarje
tas y
certi
ficad
os d
igita
les
Tarje
tas y
certi
ficad
os d
igita
les
Seguridad de lascomunicaciones
Control deaccesosa la red
Correoelectrónico
seguro
Seguridad de lascomunicaciones
Accesoremotoseguro
© Steria| Tarjeta Electrónica del Profesional Sanitariop10
Factores críticos:Acceso seguro a las aplicaciones
Autenticación únicaObjetivo: autenticación transparente en el acceso a las aplicaciones SSOEscritorio personalizadoAutorización y control de los accesos basado en directorio LDAPIntegración LDAP-Directorio ActivoIntegración de aplicaciones de terceros: ej. Gestión de laboratoriosSoluciones diferentes en función del tipo de puestoPolíticas y Procedimientos
IdentificaciónControl de acceso y presencia
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
Tarje
tas y
certi
ficad
os d
igita
les
Tarje
tas y
certi
ficad
os d
igita
les
Seguridad de lascomunicaciones
© Steria| Tarjeta Electrónica del Profesional Sanitariop11
Factores críticos:Firma electrónica
¿Qué debe firmarse?InformesPrescripcionesControles: isótopos, transplantes,…Dirección médica: comunicaciones oficiales, alertas
Certificado digital de firmaTipo de certificadoPosible separación de identificación y firma
Integración de la f.e. en las aplicacionesPlan de integración
Tratamiento posterior de la firmaDatos de no repudio
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
Tarje
tas y
certi
ficad
os d
igita
les
Seguridad de lascomunicaciones
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
Tarje
tas y
certi
ficad
os d
igita
les
Tarje
tas y
certi
ficad
os d
igita
les
Seguridad de lascomunicaciones
© Steria| Tarjeta Electrónica del Profesional Sanitariop12
Factores críticos:Políticas y procedimientos
ProcedimientosAltas y bajas de personalIncidencias: olvido de tarjeta, extravío o roboCambios: paso de tarjeta sin certificado a tarjeta con certificado, sustitución de tarjeta
PolíticasPolítica de seguridad de la tarjetaPolíticas de directorio activoPolítica de gestión de tarjetasPolíticas de control de accesos
Procedimientos de soporte a usuarios (formación al CAU)
Bloqueo de tarjetaRevocación del certificadoCambio de política de D.A.
Tarje
tas y
certi
ficad
os d
igita
les
Tarje
tas y
certi
ficad
os d
igita
les
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Infr
aest
ruct
ura
T.I.
Infr
aest
ruct
ura
T.I.
Gestión del proyecto (piloto y despliegue)
Seguridad de lascomunicaciones
© Steria| Tarjeta Electrónica del Profesional Sanitariop13
Factores críticos:Infraestructura T.I.
MicroinformáticaInfraestructura del puesto de trabajoDirectorio activo, smartcard logonLibrerías criptográficas¿Posible migración de la plataforma microinformática?
Plataforma de firmaComponentes de creación de firmaComponentes de integración de firmaValidación de firmasCreación de firmas longevasArchivo de no repudio
Autorización y acceso a aplicacionesGestión de identidadesDirectorio LDAPSingle Sign OnEscritorio personalizado
Incorporación de f.e. en las aplicacionesCambios en las aplicacionesPortafirmas electrónico
Tarje
tas y
certi
ficad
os d
igita
les
Tarje
tas y
certi
ficad
os d
igita
les
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Gestión del proyecto (piloto y despliegue)
Seguridad de lascomunicaciones
Infr
aest
ruct
ura
T.I.
Infr
aest
ruct
ura
T.I.
© Steria| Tarjeta Electrónica del Profesional Sanitariop14
Factores críticos:Gestión del proyecto
Organización del proyectoPilotoDespliegue por fasesModelo de gestión basado en Oficina Técnica
Oficina TécnicaComplejidadPluralidad de interlocutoresAfecta a los hábitos de trabajo de los usuariosProyecto de características particulares, que requiere conocimiento de expertosRelaciones con otras entidades: ej. colegios de farmacéuticos
Gestión del cambioPlan de gestión del cambioPlan de comunicación
Organización y formación del soporte a usuariosDefinir Coordinar Prestar
soporte
Controlar
Facilitar el cambio
Definir Coordinar Prestar soporte
Controlar
Facilitar el cambio
Oficina Técnica
Tarje
tas y
certi
ficad
os d
igita
les
Tarje
tas y
certi
ficad
os d
igita
les
Políticas y Procedimientos
IdentificaciónControl de acceso y presencia
Acceso seguroa las aplicaciones
Seguridad jurídica(firma electrónica)
Gestión del proyecto (piloto y despliegue)
Seguridad de lascomunicaciones
Infr
aest
ruct
ura
T.I.
Infr
aest
ruct
ura
T.I.
© Steria| Tarjeta Electrónica del Profesional Sanitariop15
Tarjeta profesional electrónica:Resumen de factores de éxito del proyecto
La definición de la solución tecnológica:Diversas tecnologías: tarjetas chip criptomemory, tarjetas criptográficas RSA, tarjetas javaDiferentes complementos: antena de proximidad, certificados digitales, biometría, desarrollo de aplicaciones en la tarjeta java, etc.
La selección de proveedores:Proveedores de tarjetasProveedores de servicios de personalización de la tarjetaPrestadores de servicios de certificación
La adecuación de las infraestructuras tecnológicas a la utilización de la tarjeta
MicroinformáticaUtilización de certificadosFirma electrónicaIDM y SSO
Los procedimientosEmisión inicial de tarjetas y certificadosAltas, bajasIncidencias: olvido, robo o extravío, expiración de validez
La definición y gestión del proyectoSe trata de proyectos de implantación de una solución innovadora en los que intervienen una diversidad de actores, por lo que la coordinación y control del proyecto a cargo de una oficina técnica es esencial
© Steria| Tarjeta Electrónica del Profesional Sanitariop16
Como empezar: Estudio inicial
Unos dos mesesDURACIÓN ESTIMADA
Definición de requerimientos: colectivos, requisitos funcionales y técnicos, restricciones y condicionantes (legales, plazos, presupuesto, etc.)Definición de la solución: identificación y valoración de alternativas, recomendación, análisis de impacto en las infraestructuras tecnológicas.Definición de procedimientos esenciales: emisión, incidencias, etc.Definición del proyecto y su valoración orientativa
DESCRIPCIÓN
Definir el business case: oportunidad, objetivos, solución y proyectoOBJETIVO
ESTUDIO PARA LA DEFINICIÓN DE LA TARJETA ELECTRÓNICA PROFESIONALTÍTULO