Seguridad de la información
Tener un data center propio puede dar una falsa impresiónde seguridad de la
información. Sin embargo, es necesario pensar en el riesgo de perderse datos en una
eventualidad inesperada, como inundaciones, incendios o una quiebra de hardware o
cable, por ejemplo. Hacer reparos, en eses casos, puede, todavía, afectar a la atención
ofrecida en el hospital, ya que ellos suelen necesitar más tiempo e impedir el acceso a
los datos. Es importante, aún, resaltar que el nivel de seguridad de la información de
grandes proveedores de computación en la nube es mucho mayor y más
profesionalizado que el de tan solo una entidad.
Otra situación en que el uso del data center puede perjudicar la atención es cuando se
aumenta el flujo de pacientes, como suele ocurrir, por ejemplo, cuando hay surtos de
enfermedades como fiebre amarilla, chikungunya, zika virus o dengue. Eso porque, con
más personas para atender, se hace necesario la ampliación del espacio en el servidor,
para que se pueda almacenar la cantidad exacta de datos generados – lo que exige
inversiones que ya no se utilizarán cuando sea controlado en problema. Data
centers propios no permiten la práctica de escalabilidad en salud digital; es decir, no
permite la ampliación de espacio en servidores y, después, la reducción, cuando el
hospital regrese a su flujo común de atención.
Profesionales
El ambiente propio también exige que el equipo de tecnología de la información (TI)
tenga un enfoque más operacional, ya que debe concentrarse en mantener el sistema
en funcionamiento. Usar un data center interno requiere constante precaución y
corrección de problemas técnicos; muchos de fácil solución, pero que interfieren en el
flujo normal de los profesionales. Ese tiempo gasto en mantenimiento podría ser
invertido en tareas más lucrativas para la organización de Salud como un todo, y más
desafiadoras para el crecimiento de los funcionarios.
Cuando se amplía la red de asistencia a través de la adquisición de unidades y de la
necesidad de integración de los sistemas, el data center puede dificultar la migración e
integración de datos. Eso genera interrupciones que perjudican la rutina hospitalaria –
aún más en unidades que trabajan con urgencia y emergencia 24 horas al día.
Concepto:
Los Data Centers son demandados por las grandes compañías que manejan y procesan
gran cantidad de datos a diario. Debido a su elevado coste en mantenimiento y
seguridad, a las empresas no les sale nada rentable tener su propio centro de datos.
Pero no sólo eso: los Data Centers desempeñan un servicio fundamental en nuestra
vida al garantizarnos el perfecto funcionamiento de las tareas que desempeñamos
cada día.
En su conjunto, el diseño y las medidas de seguridad del Data Center están concebidos
para garantizar la disponibilidad del servicio ante cualquier imprevisto. Por eso, estos
son algunos de los requisitos y cifras de los CPD:
Determinar el tipo de data center que se va a crear. Nos guiaremos por la norma ANSI/TIA-
942. Se trata de un estándar que clasifica los data center en 4 TIER. Cada Tier tiene un plazo de
implementación distinto, un tiempo de inactividad anual estándar, un porcentaje de
disponibilidad. El Tier 1 (el más básico) requiere un mínimo de 3 meses para su
implementación.
Elegir el equipo que se va a utilizar, presente y futuro. Debemos determinar los servidores,
storages, switches de core, librerías de backup y todo el equipamiento necesario. Además,
debemos medir el consumo eléctrico de cada pieza, por ejemplo a través de medidores de
consumo en las unidades de distribución de la energía.
Analizar la refrigeración. Hay múltiples topologías de refrigeración y es quizás la parte más
difícil para diseñar un data center. Hay que tener claro que estos sistemas no se pueden
implementar en cualquier sala, debe tener unas características concretas.
Calcular la potencia necesaria. Cuando ya tenemos claro tanto el equipamiento necesario,
como los sistemas de refrigeración utilizado, calcularemos el consumo de potencia necesario.
Análisis de conectividad. Sea cual sea el tipo de data center que hagamos, todos los
elementos tendrán que seguir una estructura de conectividad. Debemos planificar la red y el
conjunto de dispositivos que vamos a instalar en cada rack.
Establecer el layout necesario. Cuando hemos planificado los puntos anteriores, ya estamos
en condiciones de saber los espacios que vamos a necesitar: una parte exclusiva para los racks
de los servidores, una sala UPS, un espacio para las comunicaciones, otra sala para la
preparación de equipos…
Elección del lugar de emplazamiento. Como puedes ver, no es nada fácil tener tu propio data
center en cualquier edificio. Si quieres crear un data center tipo Tier 4, la norma ANSI/TIA-942
te obliga a tener un edificio entero. Los Tier 3, 2 y 1 sí pueden establecerse dentro de un
edificio, aunque ateniéndose a unas normas de seguridad y requisitos concretos.
Establecer sistemas de control y seguridad. Vas a invertir un alto precio en hardware, pero no
sólo eso. Eres responsable de una enorme cantidad de datos de clientes externos (o de tu
empresa), almacenados en tus servidores. Por tanto, deberás implementar un sistema de
seguridad que proteja tanto el hardware como el software de tu data center.
Presupuestar el proyecto. Habida cuenta de todo lo anterior, hay que crear una relación con
todos los costes que va a tener el data center, incluyendo los gastos de personal externo y
especializado, así como remodelaciones de las salas o edificios, etc.
Confeccionar el proyecto de construcción. El proyecto incluirá la descripción técnica de todo
el equipo que se va a necesitar, pero también por planos de construcción, sistema eléctrico,
cañerías, ventilación, etc.
Aunque necesitas mucha más información que lo que te hemos dado aquí, estos pasos
te ayudarán a tener una idea más clara de cómo se monta un data center.
Muchas empresas tienen claro que es una inversión demasiado elevada y fuera de sus
posibilidades, aparte de que incluso el data center más básico puede superar mucho
las necesidades de cierto tipo de negocios.
Diseño Lógico
En función del alto número de estaciones de trabajo que conformarán la red interna
del Hospital Metropolitano, se escoge la dirección de red Clase B: 172.16.0.0, que
forma parte del rango de direcciones de red privadas. 50 Las estaciones de trabajo
contarán con asignación dinámica (DHCP), mientras que la granja de servidores,
firewall, etc., serán manejadas con direccionamiento estático, esto por las dificultades
que se producirían si continuamente su dirección IP es cambiada aleatoriamente por el
servidor DHCP (por ejemplo, la pérdida de conectividad con un servicio).
Todos los switches que van a integran la red deben ser administrables, por tal motivo
deben tener su propia dirección IP, pero por seguridad se les ha asignado un rango
diferente de direccionamiento, la red contará con un servidor para poder
administrarlos, a su ingreso el administrador deberá ingresar con el login y contraseña
para poder acceder a las configuraciones del switch, estos deben ir etiquetados para su
identificación, una nomenclatura propuesta es las iniciales del cuarto de
comunicaciones al que pertenecen, tipo de switch y número de switch
Los PCs y los teléfonos IP estarán conectados mediante el cable UTP cat6, al patch
panel de datos de cada cuarto de comunicaciones, que posteriormente se enlazará a
los puertos FastEthernet del switch de acceso correspondiente. Mediante los puertos
GbitEthernet de los switches de acceso se enlazarán por medio de cable UTP Cat6a a
los puertos Gbps del switch de distribución, por último la comunicación entre los
switches de distribución y el de core será a través de puertos de 10 Gbps por medio de
fibra óptica multimodo de 6 hilos de 62.5/125um. 52 Por otro lado los servidores de
telefonía IP se enlazan al switch de core, mientras que los servidores de las diferentes
aplicaciones se conectarán a la red por medio de un switch de acceso ubicado en el
Data Center.
TECNOLOGÍA DE RED La red del hospital cuenta con una tecnología FastEthernet por lo
se seguirá con la misma tecnología.
FAST ETHERNET Se empleará esta tecnología para la parte del cableado horizontal,
comprendida desde las estaciones de trabajo hacia los switches de accesos, debido a
que el tráfico estimado por grupo de usuarios no sobrepasa los 100 Mbps
GIGABIT ETHERNET Se empleará para el backbone, cableado vertical comprenderá las
conexiones entre los switches core-distribución y core-servidores con conectores SFP,
mientras que para la conexión entre los switches de acceso-distribución, se empleará
conexiones de 1g cat6a.
DISEÑO DE LA RED INALÁMBRICA El diseño de la red inalámbrica para el acceso a
Internet incluye la autenticación de los usuarios mediante un servidor Radius, está
estructura se mantendrá con los mismos medios de comunicación, es decir el switch
inalámbrico y los Access point wireless 3com 7760, ubicados en cada piso de
hospitalización, cubrirá toda el área de hospitalización, es decir los 3 pisos de
habitaciones (PB, H1 y H2), y el área de cafetería ubicado en el subsuelo del hospital,
en este sector se instalarán 2 antenas y son áreas abiertas que no presentan mayores
obstrucciones entre el usuario y el punto de acceso, mientras que los teléfonos IP
estarán conectados a los switches de acceso que se encuentran en el Rack de la
bodega de sistemas, esto quiere decir que se tendrá 2 redes una de voz y otra de daos.
SEGURIDAD DE LA RED Determinar la seguridad de los equipos de red, especialmente
con los switch y routers conectados. Estos equipos tendrán seguridad lógica y física y
únicamente podrán manipular los equipos el administrador o el encargado de la red,
se creará en el switches Vlans, con el fin de obtener seguridad lógica en la red. La
seguridad de una red es considerada funcional si cumple con las normas de: 53
Confidencialidad, autenticación, integridad, no repudio y disponibilidad.
Adicionalmente se debe incrementar normas la seguridad con la creación de VLANs, y
las VPNs que cuenta el hospital para la interconexión con los puntos remotos (Fybecas
y Médicas).
También se incrementará la seguridad de la red a través de medidas como: Firewall,
IPS (Sistemas de Prevención de Intrusos), herramientas de autenticación y control de
acceso (Active Directory, etc.), software antivirus/antispam (Kaspersy), el Active
Directory divide a los usuarios en grupos y les proporciona permisos de inicio de sesión
FIREWALL KYPUS APPLIANCE El Firewall es un dispositivo de seguridad por el cual
debe atravesar todo el tráfico entrante y saliente de la red. entre las características del
Firewall Kypus Appliance incluye algunos servicios de red, algunos de ellos implican
servidor de correo (antivirus de correo SMTP), Servidor Web, Servidor FTP y HTTP,
DMZ, Reglas de Firewall, Conexiones VPN, sistema de Detección de Intrusos, sistema
Anti-spam, reglas de navegación por Internet, filtrado de paquetes de entrada y salida
por protocolo (HTTP, FTP, P2P, telnet, etc.), control de las conexiones que se realizan
desde el Internet hacia la red interna. Este equipo servirá como defensa perimetral,
todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él, estará
configurado para el filtrado de paquetes de entrada y salida y las reglas de navegación
según la política local de seguridad como: bloque, bajada de música y video, paginas
porno, etc. No se configura el resto de servicios ya que puede saturarse.
Los pacientes por su estado de salud y poca movilidad, podrán acceder mediante la
red inalámbrica solamente al Internet. A estos se les proporcionara una cuenta de
usuario y contraseña.
Topología: