1

Controles y auditoría en los dispositivos médicos

Como expliqué en el post anterior, existen múltiples formas de atacar o de poner en riesgo los dispositivos médicos que utilizamos día a día y cada vez con más vulnerables, desde ataques a través de software mal configurado, hasta la obtención de datos erróneos del paciente. Esto último podría ser fatal ya que pondría en peligro directamente al paciente. ¿Qué pasaría si “por un error informático”, le suministramos una dosis errónea de un medicamento a un paciente? El resultado podría ser fatal. Y eso no ocurre solo a los ordenadores como tal, también dispositivos que tienen los pacientes como los marcapasos o wearable que recogen datos que podrían usarse en caso de emergencia. Por lo que no podemos arriesgarnos en la salud de las personas, hay que controlar los posibles riesgos.

En el post anterior también me adelanté explicando la ISO 14971, que permite evaluar y controlar los riesgos. Este, define unos pasos a seguir. [1]

  1. Crear un plan de gestión de riesgos para el dispositivo
    • Define los pasos detallados de un dispositivo en concreto, incluyendo el análisis del riesgo, en control del riesgo, la revisión y el reporte.
  2. Ejecutar actividades de riesgo
    • Utilizar herramientas de análisis de riesgo, para reducirlos al mínimo. También es conveniente hacer un balance riesgos-beneficios.
  3. Revisar los resultados obtenidos y realizar un reporte
    • Documentar el trabajo realizado y comentar los resultados

Un concepto interesante que se puede usar para medir la probabilidad de que ocurra un riesgo y su posible resultado sería la utilización de una matriz de aceptación de riesgos, que mide con 3 colores el nivel de riesgo. [2]

Ahora que ya hemos identificado los riesgos, los hemos
analizado por niveles, podemos controlarlos. La ISO 14971 sigue ayudándonos
haciéndonos las siguientes preguntas.

  • ¿Podemos reducir el riesgo?
  • ¿Cuál es la mejor manera de hacerlo?
  • ¿Ha funcionado el control del riesgo?
  • ¿Es aceptable el nivel de riesgo que tenemos
    ahora?

HERRAMIENTAS

Si no contamos con experiencia anterior en control de riesgos, puede ser complicado evaluar cuál es la más indicada para tu problema. ¿Tiempo? Finito. ¿Herrramientas? Infinitas (más o menos). Se pueden separar básicamente en 3 tipos: Botton-up, top-down y el resto. La siguiente imagen muestra varias de las más comunes. [3]

También me parece importante destacar que solo se pueden prever los riesgos que están bajo tu control. Por ejemplo, no debemos obsesionarnos con los riesgos que acarrea una pandemia mundial, ya que no está bajo nuestro control y además es nuevo para todos.

Para terminar, también es importante evaluar los beneficios. El tipo, la magnitud o la probabilidad pueden ser unos indicadores positivos

Como ejemplo, voy a intentar establecer los posibles
controles para los riesgos identificados en el anterior post: [4]

  • Limitar los controles de acceso –> Solamente al dispositivo que está conectado y establecer la autenticación en 2 pasos.
  • Actualizaciones periódicas –> Aplicar parches de seguridad es la mejor práctica.
  • Aplicar estándares en el código –> Testearlo rigurosamente antes de desplegarlo y establecer unas características para desarrollarlo de la mejor manera posible.
  • Seguridad por diseño –> Asegurar el inventario de las terceras partes en cuanto a software y hardware. También podría ser importante en el uso de canales encriptados para comunicarse con el resto del mundo.

No se puede hablar sobre los controles sin hablar de los
auditores, que tienen una labor esencial en lo que llevamos hablando en este post
y en muchas otras acciones. Son los responsables en cumplimentar las
regulaciones y procedimientos que se utilizan.

Por ejemplo, el MDSAP (Programa de Auditoría Única de Dispositivos Médicos) es una iniciativa internacional que permite realizar una única auditoría del sistema de gestión de calidad de los fabricantes de dispositivos médicos satisfaciendo todas las regulaciones en múltiples países. De esta manera se logra centralizar un poco la forma de auditar entre los distintos países. [5]

Un ejemplo sobre ello es un artículo que he visto sobre la “gestión de equipos médicos: implementación y validación de una herramienta de auditoría”, en el que explican los detalles, pasos, etapas y la importancia de esta actividad. Es un poco extenso, pero dejo este par de imágenes de resumen. [6]

Evaluación de gestión de equipos médicos en el marco de la resolución 2003 de 2014

Resultados dinámicos de la evaluación de estándares de gestión de la tecnología en el marco de acreditación en salud

Como se puede ver en la imagen superior, el resultado es muy
similar a las actividades que realizamos en clase así que es fácilmente
entendible y muy visual.

Al final del artículo, vuelven a recalcar los beneficios cuando se ha aplicado la auditoría en este ámbito y la importancia de desplegarla en los mayores entornos posibles.

Para terminar, en el próximo post, el último, trataré algunos temas que se me han quedado en el tintero para finalizar con este contenido.

Referencias

[1] <<ISO 14971 and Medical Device Risk Management 101>>,
Oriel Stat a Matrix, consultado el 5/11/2020, https://www.orielstat.com/blog/iso-14971-risk-management-basics/

[2] <<Creating a Medical Device Risk Management Plan
and Conducting a Risk Analysis>>, Oriel Stat a Matrix, consultado el
5/11/2020, https://www.orielstat.com/blog/medical-device-risk-management-planning-analysis/

[3] <<Medical Device Risk Control and Risk Management
Tools>> , Oriel Stat a Matrix, consultado el 5/11/2020, https://www.orielstat.com/blog/risk-controls-risk-management-tools/

[4] <<Device manufacturers – A Snapshot of Guidance>>,
ISACA, vol 4 (2019): 30-31

[5] <<Medical Device ISO 13485:2003 Voluntary Audit Report Pilot Program; Termination of Pilot Program; Announcement of the Medical Device Single Audit Program Operational Phase>>, Océano, consultado el 5/11/2020, https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_cdi_proquest_reports_1749683809&context=PC&vid=deusto&lang=es_ES&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,medical%20devices%20audit

[6] <<Gestión de equipos médicos: implementación y validación de una herramienta de auditoría>>, SciELO, consultado el 5/11/2020, http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0188-95322017000100076