Promocione sus productos o servicios con nosotros
Junio de 2015 Página 7 de 9

Los 10 primeros riesgos de la tecnología médica para el 2015 (Parte 2)

ECRI Institute

Recomendaciones

Los ingenieros médicos, IT y los departamentos de manejo de riesgos deben trabajar en conjunto en la revisión, y en caso necesario, en la actualización de las políticas de administración de ciberseguridad.  Los pasos que pueden dar las instituciones para mitigar las amenazas de ciberseguridad incluyen:

  • Evaluar proactivamente los riesgos de ciberseguridad, trabajando con los fabricantes de los dispositivos médicos tal como corresponda.

En nuestra publicación de Health Devices de enero 15 de 1014, describimos el programa del Methodist Hospital of Southern California para identificar y resolver proactivamente los riesgos relacionados con (1) disponibilidad e integridad de los datos médicos y (2) seguridad de la información privada de los pacientes en sus dispositivos y sistemas médicos conectados en red y basados en software. Esta iniciativa, que le ameritó a la institución el Health Devices Achievement Award de 2013, involucró nuevos procesos y procedimientos para las inspecciones futuras de los dispositivos médicos  y para el manejo continuo de los dispositivos a lo largo de su vida útil.

  • Mantenerse al día con las últimas actualizaciones y parches del SO y el software anti-ataques maliciosos.  Este esfuerzo se puede facilitar adicionando los requerimientos de seguridad en el proceso de precompra (por ejemplo, en las solicitudes de oferta y en las de información) y haciendo que la ciberseguridad sea un factor en el proceso de selección, así como con la inclusión de observaciones en los contratos de compra respecto al manejo de los parches del SO y al software antiataques maliciosos.
  • Limitar el acceso en la red a los dispositivos médicos mediante el uso de cortafuegos o LAN virtual.  Además, considerar limitar el número y tipos de equipos con acceso a la red de IT de la institución de salud a sólo aquellos dispositivos que requieran dicha conexión.  Las redes separadas o “air-gapped” acarrean costos adicionales, pero proporcionan mayor seguridad que los cortafuegos o las LAN virtuales solas y están recomendadas para infraestructura crítica. [3]
  • Auditar el acceso a todos los dispositivos médicos y garantizar que se ha establecido y se está cumpliendo una política apropiada de contraseñas (u otro método de control de acceso).
  • Configurar un proceso para monitoreo y reporte de amenazas y eventos de ciberseguridad. Los eventos que afectan los dispositivos médicos y los sistemas de información (por ejemplo, las HCE) deberían ser reportados a entidades tales como FDA y ECRI Institute.  Adicionalmente, si hay razón para creer que el evento está relacionado con un ataque malicioso deliberado, debería ser reportado también a autoridades a cargo de hacer cumplir la ley, tales como el FBI.

En términos generales, un programa de seguridad de dispositivos médicos debería semejar –o en lo posible estar incorporado a—el programa de seguridad de IT de la organización. Un plan integral debería incluir:

  • Una evaluación del riesgo de ciberseguridad basado en el inventario institucional actual de dispositivos y sistemas médicos y de infraestructura de la red.
  • Protecciones confiables contra amenazas de ciberseguridad.
  • Un plan de mitigación en el evento de una infiltración de la red o una infección por software malicioso.

10. Saturación de los programas de gestión de revocaciones o retirada de productos y alertas de seguridad

Con los dispositivos médicos se pueden presentar muchos tipos de problemas que van desde asuntos de baja prioridad hasta otros potencialmente amenazantes para la vida. Estos pueden terminar en la expedición de noticias de revocaciones o retirada de productos o de seguridad por parte del fabricante o en alertas de seguridad de organizaciones como la FDA o ECRI Institute; todas ellas están concebidas para informar a las instituciones sobre los problemas identificados antes de que ocurran incidentes adicionales. Sin embargo, las alertas aisladas no pueden proteger a los pacientes del daño; las instituciones de salud deben responder apropiadamente a estas para evitar lesiones prevenibles.

Dos problemas investigados por ECRI Institute ilustran el punto. En ambos casos, el proveedor emitió una noticia acerca de la necesidad de una actualización de software. Y en ambos, la institución recibió la noticia de revocación del producto pero el personal falló en instalar la actualización. (Adicionalmente, el personal que llevó a cabo el mantenimiento preventivo posterior no verificó que fuera la última versión del software la que estaba en uso).  Estos descuidos comprometieron significativamente la seguridad del paciente.  En un caso, los pacientes fueron sometidos a un tratamiento inadecuado. En el otro, el descuido ocasionó que un dispositivo se sobrecalentara, se estropeara seriamente y pusiera en riesgo considerable de daño inmediato al paciente y al personal.

x
Notas complementarias

Sección patrocinada por

Otras noticias de Industria de tecnología médica

Documentos relacionados