Promocione sus productos o servicios con nosotros
Junio de 2015 Página 6 de 9

Los 10 primeros riesgos de la tecnología médica para el 2015 (Parte 2)

ECRI Institute

Eventos como los siguientes ilustran la necesidad de tales protecciones:

  • Dispositivos que se infectaron con software malicioso ocasionaron que un hospital tuviera que cerrar temporalmente su laboratorio de cateterismo.
  • Muchas organizaciones de salud han tenido que comunicar a sus pacientes y a la comunidad en general, que información de salud protegida ha sido divulgada inapropiadamente o incluso robada. Violaciones como éstas comprometen la seguridad y la privacidad de los datos de los pacientes y pueden llevar a grandes sanciones y a publicidad negativa para la organización de salud.
  • Unos pocos investigadores han identificado vulnerabilidades en algunos dispositivos médicos, elevando voces de preocupación sobre actores maliciosos que ingresen sin autorización a los dispositivos de pacientes y lesionen a los enfermos de manera directa. ECRI Institute no está en conocimiento de ningún caso de daños en pacientes resultantes de un dispositivo pirateado. Ante esto, aunque los riesgos teóricos ameritan precaución, el riesgo real para la seguridad de los pacientes resultante de la piratería de dispositivos –considerando el flujo de trabajo y las medidas de protección comúnmente aplicadas en la práctica clínica—parece ser mínimo por el momento.

Proteger los dispositivos médicos contra el software malicioso que pudiera potencialmente afectar la funcionalidad del dispositivo o la integridad de los datos del paciente es una medida clave de ciberseguridad.  Desafortunadamente, las instituciones de salud afrontan una serie de obstáculos que complican el proceso de tener los dispositivos médicos al día con los parches recomendados para el sistema operativo (SO) y con las protecciones anti software malicioso.  Estos obstáculos incluyen:

  • El inmenso esfuerzo requerido –en términos de asignación de recursos—para manejar el número siempre creciente de dispositivos médicos trabajando en red.
  • Demoras en la disponibilidad de los parches del SO debido a la necesidad de los fabricantes de dispositivos de probarlos y validarlos antes de implementarlos.
  • La imposibilidad de aplicar parches del SO o del software malicioso a ciertos dispositivos médicos (comúnmente en dispositivos antiguos) sin la preocupación de que la modificación vaya a afectar la funcionalidad del dispositivo o anule su garantía.
  • La necesidad continua de utilizar dispositivos que operan sólo con hardware y software muy viejos, que ya no son respaldados por el fabricante o están cerca de la fecha de finalización del soporte técnico. (La decisión de Microsoft de finalizar el soporte de Windows XP, por ejemplo, está afectando a numerosos dispositivos en los hospitales).
  • La necesidad de proteger además los equipos auxiliares utilizados en conjunto con el dispositivo médico. Por ejemplo, los computadores portátiles que pueden estar conectados al dispositivo médico (como, para actualizar el firmware, intercambiar datos o acceder a las historias clínicas) también deben estar adecuadamente protegidos con parches actualizados y software anti-ataques maliciosos.  Desde que los computadores son portátiles, pueden ser más difíciles de controlar para un hospital y también pueden estar expuestos a muchos más vectores de amenaza, tales como conectarse a internet.
  • Soporte inconsistente por parte de la industria de dispositivos médicos.  Los fabricantes de estos pueden ayudar a las instituciones de salud con sus esfuerzos de protección apoyando activamente la ciberseguridad en el diseño y desarrollo de sus dispositivos.

Para facilitar este proceso, la FDA convocó a un taller en octubre de 2014 para reunir a los múltiples grupos de interés [2]. La FDA además emitió un documento guía identificando problemas relacionados con ciberseguridad que deberían ser considerados por los fabricantes. En el documento guía, la FDA recomendó que las solicitudes previas a la comercialización (requisitos para aprobar la comercialización de un dispositivo médico en los Estados Unidos) incluyeran un resumen del plan del fabricante para “entregar acorde a las necesidades actualizaciones y parches del software validados durante todo el ciclo de vida del dispositivo médico para continuar garantizando su seguridad y eficacia” (FDA 2014 Oct). 

  • Soporte inconsistente de la industria de IT. Los productos del IT que hacen interfaz con los dispositivos médicos –para ayudar a los hospitales a integrar los dispositivos dentro de las operaciones del hospital, por ejemplo—pueden no estar diseñados con suficientes protecciones para blindar los dispositivos médicos a la exposición injustificada a riesgos de ciberseguridad. Las instituciones de salud necesitan evaluar las protecciones ofrecidas y adoptar las precauciones pertinentes al implementar tales productos.

Otra medida clave de ciberseguridad implica la protección de los datos del paciente recolectados y transmitidos por los dispositivos y sistemas médicos. Aunque las brechas en los datos no constituyen una amenaza directa para la salud del paciente, es incuestionable que deben ser atendidas por un programa de ciberseguridad de la institución de salud. Los computadores portátiles, los dispositivos USB y los teléfonos celulares, por ejemplo, están siendo cada vez más utilizados para intercambio de datos o para acceder a datos de los dispositivos y sistemas médicos. Dado que estos dispositivos pueden ser fácilmente extraviados, robados o accedidos por usuarios no autorizados, es importante que las instituciones consideren medidas de seguridad tales como el encriptamiento y el control de acceso para éstos y para cualquier otro dispositivo que puede acceder a información de los pacientes y almacenarla. (ECRI Institute trató algunos de los temas de seguridad asociados con el uso de teléfonos inteligentes en Health Devices de octubre de 2012.)

x
Notas complementarias

Sección patrocinada por

Otras noticias de Industria de tecnología médica

Documentos relacionados