GiuRus's Blog: Blogging on Technology & Security by Giuseppe Russo

L'urgenza di una vista unificata del paziente

Fino ad ora abbiamo parlato di cliente in termini generali, ma come va interpretato nel settore healtcare il concetto di vista unificata del cliente e perchè è così urgente una sua implementazione?

Il cliente del settore healtcare è il paziente e con il concetto di vista unificata del paziente si esprime la capacità di incrociare ed integrare in real-time singoli componenti informativi come i risultati di esami laboratorio effettuati dal paziente, le immagini radioscopiche, le prescrizioni mediche, le cartelle cliniche e tutto ciò che attiene al ciclo di vita del paziente. In pratica si tratta di avere sempre a disposizione la giusta informazione, relativa al giusto paziente, erogata in un preciso istante di tempo e in un luogo ben identificato.

Tale vista unificata non deve essere considerata come il tool dei desideri, ma una componente efficace e funzionale all'ottimizzazione della cura del paziente e del sistema di gestione del paziente stesso.

Consideriamo anche che l'attuale scenario socio/economico nel quale si muovono le aziende, incluse quelle sanitarie, genera urgenze che rendono sempre più concreta l'esigenza di una siffatta vista unificata del paziente. Si pensi ad esempio al crescente numero di applicazioni e sistemi che ospitano i dati dei pazienti. In questo caso, un rischio associato ad un errore umano o accidentale produce una perdita di efficienza in tutto il ciclo di vita del paziente. A questo si aggiunga la spinta che arriva dalla necessità di adeguarsi alle normative sulla privacy e le relative disposizioni per garantire la riservatezza dei dati personali in ambito sanitario. Avere a disposizione una soluzione IT che integri tutte le informazioni relative al singolo paziente, integrandole ulteriormente nel ciclo di vita del paziente, non solo fa aumentare l'efficacia della gestione interna del paziente ma provoca un beneficio e una ottimizzazione su tutto il ciclo di assistenza sanitaria a cui il paziente è sottoposto.

..to be continued

Ieri ho partecipato come relatore al convegno "e-healt: verso una sanità in rete". Mi è sembrato opportuno illustrare alcune delle tecnologie Sun che possono contribuire alla implementazione di un sistema sanitario che mette il Paziente al centro dell'attenzione.

Il 23 giugno 2009 si rivela una data importante per l'introduzione ufficiale dell'Open Source nel piano di E-Government 2012.

Infatti è stato firmato un protocollo di intesa  per sviluppare due obiettivi del Piano E-gov 2012: Scuola digitale e Burocrazia digitale. I punti cardini di questo protocollo sono l'introduzione dell'Open Source e la tecnologia VDI - Sunray. Grazie a questo protocollo Sun Microsystems "costituisce il partner strategico per diffondere l' uso del software Open Source nella Pubblica Amministrazione.

Maggiori informazioni al sito del Ministero della Funzione Pubblica... clicca qui ..... oppure qui

--giurus

Anche anche quest'anno saremo presenti al Forum PA.

L'edizione di quest'anno è dedicata al tema "Recuperare efficienza attraverso le idee"

La risposta di Sun è molto chiara: Open Source e i modelli collaborativi basati su standard aperti e condivisi.

Saremo presenti a diversi convegni e metteremo a disposizione presso il nostro Stand momenti di approfondimento tecnologico.

 Lo spirito con cui partecipiamo al Forum PA è riassunto nella seguente intervista rilasciata alla Web TV del Forum PA 2009.

Ho partecipato dal 23 al 25 marzo all'IDC Innovation Forum 2009. Il forum giunto alla quarta edizione è stato un momento di confronto aperto sul futuro dell'IT in un periodo di crisi come quello che stiamo vivendo. Molto interessante dal punto di vista del confronto tra i massimi vertici delle aziende fornitrici di tecnologie e servizi. Tutti hanno evidenziato l'importanza di un modello alternativo di fruizione e della necessità di ripensare alle modalità con cui i nostri sistemi e le nostre reti erogano i servizi agli utenti finali: end users, PMI e aziende enterprise.

Da qui l'emergere di nuove e proposte e di nuove architetture di Cloud Computing che vede Sun Microsystems tra gli attori più attivi e propositivi. Nel seguito una video intervista rilasciata al Forum

L'esigenza di una vista unificata

Il sogno di ogni individuo che si rapporta con una qualunque amministrazione, pubblica o privata che sia, è quello di essere considerato come un'unica entità al centro delle attenzioni dell'amministrazione. Di fatto capita l'esatto contrario. Si pensi ad esempio a quante volte ci è stato richiesto di acquistare un prodotto che già avevamo, oppure siamo stati contattati telefonicamente, via mail, tramite sms, via internet per ottenere o ricevere informazioni che erano già in possesso di chi ci contattava. Ancora a quante volte non eravamo disposti ad accettare una proposta commerciale ed abbiamo ricevuto la stessa telefonata decine di volte.

Mentre questa realtà da un punto di vista personale è una esperienza frustrante, da un punto di vista aziendale (o dell'amministrazione) la stessa realtà è addirittura dannosa. Infatti essa produce una profonda insoddisfazione nel cliente, fa perdere opportunità di fornire al cliente servizi a valore aggiunti, fa perdere di efficacia nella gestione del ciclo di vita del cliente e in generale provoca un significativo danno di immagine.

Va anche detto che spesso l'Amministrazione e molte Aziende sono estremamente efficaci nell'acquisire i dati dei clienti, che vengono rilevati in modo consistente presso Uffici Pubblici o presso i “Punti Vendita”. Spesso le stesse informazioni sono acquisite da fonti multiple ed includono dettagli quali contatti, valutazioni o feedback effettuati dai clienti e risultati di campagne di marketing.

A fronte di questa capacità di acquisizione dei dati non sempre corrisponde la capacità di integrare tali dati, per cui i dati risiedono in veri e propri Silos, isolati gli uno dagli altri, gestiti da diversi dipartimenti o linee di business e risiedono in luoghi geografici diversi. Così facendo i dati non sono mai analizzati, confrontati e ottimizzati in modo da creare un'unica e consistente vista del cliente.

Nonostante il pensiero ed il ragionamento corrono dietro ad intriganti congetture emerge chiaramente che la parola chiave per arrivare alla definizione ed implementazione della vista unificata del cliente è la parola “Integrazione dei dati utente”. 

To be continued.........

Next 18 march 2009, Sun is going to announce his own Public Computing strategy at the next CommunityOne East, at the Marriott Marquis Hotel in New York City. Dave Douglas and Lew Tucker are keynoting at the conference, and will be unveiling more details about Sun's strategy and roadmap for the public cloud computing space at this time.  The CommunityOne team is working with the field to drive developers to the New York event, and the launch team will be hosting a web event – including live and on-demand webcasts of the keynote – at sun.com/communityone.  The primary CTAs from the keynote and web event will be to register for the Early Access and public beta of Sun's cloud services, and to review and comment on Sun's open cloud APIs.

Let's go to register in order to attend the live event. Stay in touch......

Un'altro esempio di tecnologia che supera se stessa prodotta da Cliff Kushler, padre del sistema di scrittura T9 che tutti noi usiamo sui nostri cellulari. La tecnologia Swype inventata dallo stesso Kushler è in grado di produrre fino a 55 parole al minuto e fa uso di una interfaccia innovativa, simulando la classica tastiera QWERTY su un qualunque dispositivo. Per scrivere si passa con un dito, o con l'apposita pennetta del palmare, senza mai staccare il dito, o la penna, dal monitor. Swype riconosce il movimento ricostruisce la parola e corregge eventuali errori.

 Qui sotto il video con la demo.

--giurus 

Il Dipartimento d'Informatica de "La Sapienza" di Roma ospitera' Whitfield Diffie (Chief Security Officer di Sun Microsystems Inc.) per un seminario organizzato congiuntamente da Sun Italia e il Master in Sicurezza, diretto dal Prof. Luigi V. Mancini.

Title: What's Ahead in Security?

Dr. Whitfield Diffie
Chief Security Officer
Sun Microsystems

Where:  Aula Alfa - Di partimento di Informatica, Via Salaria 113 -
Universita'  di Roma La Sapienza

When:  January 31, 2008

Time:  10:00 

Ci si puo' iscrivere tramite il sito messo a disposizione da Sun  e confermare la propria presenza con una mail alla segreteria del Master: mastersicurezza[at]di.uniroma1.it

 

Gli ultimi giorni di gennaio vedranno la presenza a Roma di Withfield Diffie, co-inventore con Helmann della Crittografia a Chiave Pubblica. 

Sun in collaborazione con L'università la Sapienza ha organizzato uno intervento di Diffie presso il Dipartimento di Informatica.

Quando: 31 gennaio ore 10:00
Dove: Dipartimento di Informatica dell'Università La Sapienza di Roma, via Salaria 113 - 00198 Roma
Aula: Aula Alfa (piano terra)

Ho avuto il piacere di conoscere Diffie nel '94, la prima volta che ho partecipato ad una  conferenza annuale organizzata dall'International Association for Cryptographic Research e da allora l'ho sempre considerato un mito. La prima volta che l'ho incontrato e ci ho parlato confesso che mi ha fatto un effetto veramente particolare, anche perchè era in compagnia di Rivest e Shamir (la R e la S del protocollo RSA). Mi trovavo di fronte a chi aveva re-inventato i fondamenti della materia fondamentale che avevo approfondito lungo tutto il mio corso di studi ed che ancora oggi mi dà da vivere.

Quando poi sono entrato in Sun e me lo sono ritrovato come Chief Security Officier per me è stato ancora più lusinghiero. Diffie è il capo del gruppo di ICT Security Worldwide di cui faccio parte. La sua grande disponibilità al confronto, alla condivisione alla diffusione e divulgazione di una sempre nuova cultura nel settore Sicurezza Informatica lo rendono un personaggio unico.
 

Ieri, dopo quasi 2 anni che avevo aperto il mio presonal blog, ho partecipato ad una interessante giornata sul tema marketing for social web tenuta da Mauro Lupi. Ero praticamente l'unico a possedere un embrione di blog e lo stimolo più grosso che ne ho ricevuto è stato quello di dedicare più tempo ad una cosa che mi appassiona e che mi consente di condividere il mondo che mi circonda. L'incontro è stato davvero piacevole e ha suscitato un forte interesse tra i partecipanti, sopratutto tra quelli che non avevano mai frequentato in prima persona un simile argomento, ma solo per sentito dire. Mauro ha avuto la capacità di far uscire, dopo 8 ore, le persone da quella stanza con il desiderio di bloggare, sharare, esporsi.

 Bravo Mauro
 

Ci sono dei momenti della propria attività lavorativa nei quali si deve effettuare la scelta se adottare o meno un sistema operativo che sia certificato secondo lo schema Common Criteria. In questi casi  la prima domanda da farsi è se abbiamo davvero l'esigenza di inserire nel nostro ambiente un tale sistema. Se la risposta è sì allora occorre proseguire verso una scelta consapevole che non tenga conto solamente delle caratteristiche intrinseche della piattaforma, ma sopratutto che tipologia di Protection Profile sono associati al sistema operativo che sto valutando.

 

Una volta identificati i sistemi che meglio si adattano al nostro ambiente occorre evitare di fare un confronto di tipo funzionalità vs funzionalità in quanto il problema non è andare a verificare cosa fa uno e cosa fa l'altro. Invece occorre considerare l'ambiente nel il sistema Common Criteria compliant sarà esercito ed in particolare bisogna considerare:

1. quale è lo scenario nel quale inserisco un sistema CC EAL4+?
2. a quale threat model sto facendo riferimento?

Ci sono degli ambiti dove un controllo accessi, seppur rigoroso, degli utenti autorizzati può non essere sufficiente. Se l'ambiente è caratterizzato da elevati requisiti di sicurezza, si pensi ad un ambiente dove occorre implementare sia politiche di sicurezza tipo Need to Know che una vera Separation of Duty, bisogna allora cominciare a guardare a quei sistemi nei quali sono stati formalmente verificati, secondo lo schema Common Criteria, i concetti di sicurezza sui ruoli e sicurezza multilivello.

Se quello precedente è il nostro scenario di riferimento capiamo che di conseguenza il Threat Model associato presenta una situazione nella quale bisogna sia impedire l'accesso ad utenti non autorizzati sia mitigare la possibiltà che utenti autorizzati sfruttino debolezze del sistema per ottenere accessi privilegiati allo stesso.

In un tale scenario di riferimento allora la scelta da fare non è "quale sistema o prodotto classificato devo adottare", ma "quali sono i protection profile che meglio si adattano al mio scenario di riferimento e al mio threat model" .

Dunque devo andare a d approfondire i contenuti dei Protection Profile.

Se si dà un occhiata all'interno, si vede che il protection profile CAPP (Control Access Protection Profile) afferma esplicitamente che il CAPP NON copre quelle situazioni nelle quali un utente autorizzato di un sistema tenti di usare tecniche e strumenti per innalzare, in modo non autorizzato, i suoi privilegi su quel sistema.

Il protection profile che rafforza e formalizza il concetto di sicurezza basata sui ruoli e i privilegi è il RBACC (Role Base  Access Control Protection Profile). Se un sistema certificato CC EAL 4+ ha associato un RBACPP significa che è stata formalmente verificata la sicurezza della gestione in sicurezza dei ruoli all'interno del sistema.

Infine se il sistema che sto andando ad adottare, per ovvie ragioni, deve poter essere utilizzato in modalità multilivello allora l'unico protection profile che mi garantisce un tale livello di utilizzo è il LSPP (Labelled Security Protection Profile).

Riassumendo, se la scelta di un sistema certificato va fatta in funzione di dello scenario di riferimento e del thread model allora deve essere una scelta strategica di una organizzazione. Pertanto non ha senso concentrarsi su funzionalità di base che più o meno tutti hanno o possono avere con pochi investimenti, ma bisogna guardarsi intorno e capire chi ha invistito sulla certificazione CC e a che livello.

Detto questo consideriamo il caso del sistema operativo Solaris 10:

1. Solaris 10 CC EAL4+. Solaris 10 CC EAL 4+ possiede tre protection profile sullo stesso sistema operativo (CAPP, RBACPP, LSPP). Sun ha investito sulle certificazioni di sicurezza a partire dal 1990 passando per Orange  Book, ITsec, Common Criteria assicurando la contunità delle stesse e l'accurata associazione HW/SW certificato. Inoltre le architetture Sun Microsystems basate su Solaris Certificato CC sono state accreditate in diversi ambiente di Intelligence secondo le direttive Director of Central Intelligence Directive 6/3 (DCID) with Protection Levels 4 and 5 (PL4 and PL5) e in multipli ambienti DOD quali: Secret and Below Information (SABI) e Top Secret and Below Information (TSABI)
   

Inoltre occorre pensare non solo alle componenti di sicurezza coperte dai Protection Profile, ma anche di tutte quelle funzionalità di Sicurezza messe a disposizioni dal sistema per aumentarne la sicurezza intrinseca. Nel caso di Solaris si pensi a tutto il sottoinsieme di User and Process Privileg Management che va a rafforzare il già CC Certificato RBACPP. Ancora si pensi al Crypto Framework di Solaris 10 che consente di firmare i binari e mandarli in esecuzione solo se in accordo alla Politica di Sicurezza..... e tante tante altre funzionalità di Sicurezza.

Today I did add my personal profile to Technorati

<a href="http://technorati.com/claim/wdq93vwwns" rel="me">Technorati Profile</a>

 

 

I Sun Tech Days 2007-2008, una conferenza itinerante a livello mondiale pensata per “portare a casa degli sviluppatori” le novità tecnologiche presentate da Sun in ambito Java, Solaris e tecnologie open per il Web 2.0 (inclusi JRuby, Ajax, JavaFX, OpenESB, OpenSSO, Sun SPOT), sbarcano in Italia:

• a Roma, 24-25 settembre 2007
• a Milano, 26-28 settembre 2007
  

I Tech Days si rivolgono agli sviluppatori e ai tecnologi che all'interno delle aziende, delle università e degli spazi individuali lavorano e fanno ricerca per rendere disponibili soluzioni tecnologicamente avanzate per i servizi online.La partecipazione all'evento è gratuita ed aperta a tutti. Nell'evento sono inclusi sia seminari teorici che sessioni pratiche condotte da un istruttore. Java (EE, SE, ME), Solaris e tutti gli strumenti di sviluppo open sono il cuore dei contenuti, con un particolare focus sui progetti OpenSolaris ,NetBeans e GlassFish. Sul sito Sun si provano l'agenda aggiornata, il modulo di iscrizione (gratuita) e la press release ufficiale che include tutto il percorso dell'evento, da Boston a Mexico City.

I was born in Torre del Greco, a city located in the center of the gulf of Naples between Ercolano and Pompei and lies at the foot of the Vesuvio vulcan. There, when I was a little boy, me and other friends of mine where usual to play a game named “Tien'a muffa” (this is the official Neapolitan name for that game). The English translation for that assertion is “You have got the mildew”. That game had only one rule: if someone touched you with both the medium and forefinger while saying you “Tien'a muffa”, the only way you can continue to play was to reach another friend, touch him and say him “Tien'a muffa”. I like to consider the following mathematical proportion: the “Tien'a muffa” game is related to tagging people in the blogosphere like the Boolean Logic is related to Computer Science.

Thanks to Dan Berg (CTO GSS & VP EMEA Systems Engineering for Sun Microsystems), I have been tagged, so it is my time to share 5 things about me. Of course there is no ordering criteria in the following 5 things.

1) I have been engaged for 14 years with the same girl. She is my wife since '91 and if I add our engagement years and our marriage years I reach the not little number of 30 years of sharing with the same girl. Even though our epoch does not seems to be the age of long love affairs we still are happily here. In my experience the secret to survive for a so long time with the same woman has been “to share a common project, to share everything and be courageous sharing also the dark side of your heart and be respectful of your husband/wife”. Surprisingly, also in this domain the keyword is share.

2) One of the think that get me proud is to be father. I have a fantastic daughter 13 years old. She's take all my time when I come back home. Unfortunately, as the life does not belong to us, 8 years ago I lived also a very sad history. My second baby died after only 11 days he was born. He was a premature infant and he was not able to overcome several problems. Anycase, it has been fantastic to stay close to him and to see how he has tried to combat for the life. He has been a great teacher for me in the way to approach the life.

3) In my spare time I give my support to an european organization that try to help the young to find their way in the life. I think it is important to promote the rising generation in order to build a always new world in which everybody can live in peace.

4) I like to play guitar and to sing songs. When I was more or less twenty years old I composed several songs based on the Book of the Psalms and the Holy Bible. Today my last guitar is an Ibanez AW40ECE and I like to play it with other friends.

5) I absolutely love my work. I got a master degree in Computer Science and I like very much to have a scientific approach to the Information and Communication Technology. I am proud to serve as Chief Technologist, Principal Engineer and Security Ambassador ìn a company like Sun Microsytems. Sun is a great place to work, here is possible not only to be in the first line with the technologies but it is possible to contribute and work side by side whit who design the technologies for the future.

Now let's go to continue the play and let me me tag other friends. I tag Efi, Olaf, Dave, Ken, and Franz.

--giurus