En el post anterior, traté algunas cifras y tendencias de los dispositivos médicos, así como las regulaciones de los mismos. En este post me centraré más en los riesgos TI que pueden producir y su clasificación.
Es importante entender lo que hace que un dispositivo normal sea un dispositivo médico. Para ello, como hablé en el post anterior, la FDA define una clasificación basada en los riesgos de estos dispositivos. Se centra en analizar y entender el nivel de riesgo y, más importante aún, el propósito del dispositivo. [1]
También tiene en cuenta leyes y regulaciones que explicaré más adelante.

Clasificación de los dispositivos médicos
Como se puede observar en la imagen superior, está dividido en 3 clases según el nivel de riesgo. Clase 1 correspondería a nivel bajo de riesgo, clase 2 a moderado y clase 3 a alto y la FDA indica en la parte izquierda qué controles tiene que pasar para ser de una clase u otra, así como ejemplos de dispositivos reales a la derecha.
Otros ejemplos más cercanos a los que usamos todos los días, clasificados, serían: [2]
- Clase I: Gafas, muletas.
- Clase II: Lentillas, termómetros.
- Clase III: Implantes mamarios, prótesis de cadera.
Por otro lado, los dispositivos médicos también se pueden clasificar siguiendo otros patrones. En 2019 la Universidad de Carolina del Norte y Protiviti realizaron un estudio para obtener los riesgos más populares en el ámbito de la salud. Los dividieron de la siguiente manera:
- Riesgos macroeconómicos –> Es probable que afecte a las oportunidades de crecimiento de las organizaciones
- Riesgos estratégicos –> Puede afectar en la estrategia para buscar oportunidades de crecimiento
- Riesgos operacionales –> Puede afectar las operaciones clave de la organización en ejecutar su estrategia
A continuación, eligieron los riesgos más importantes de 2019, los clasificaron y los compararon con los 2 anteriores años. [3]


Riesgos más importantes en 2019
Al final, llegaron a la conclusión que era cierto que esos eran los riesgos que están a la orden del día y que van creciendo cada vez más a medida que pasan los años.
Para determinar la clase de un dispositivo médico, el fabricante se apoya en las normativas y guías tomando como referencia la directiva 93/42/CEE. La directiva europea 93/42/CEE relativa a los dispositivos médicos es aplicada por todos los estados miembros de la UE. [2]
Por otro lado, también es importante recordar la ISO 14971 referida a la gestión de riesgo de productos sanitarios. En esta norma se establecen los requisitos de la gestión de los riesgos para determinar la seguridad de los productos sanitarios.
Estas dos normativas diferencian también a los dispositivos normales de los médicos, por sus características y riesgos que pueden provocar.
Esta ha tenido una clara evolución durante los años, llegando a su versión más reciente en 2020.

Evolución ISO 14971:2019 à ISO 14971:2020
En el próximo post seguiré por este tema, sobre el plan y control de los riesgos.
Volviendo al tema principal de este post, los riesgos TI, voy a comentar algunos ejemplos acerca de los riesgos potenciales relacionados con los dispositivos médicos conectados, según Deloitte [4]:
- Software y firmware sin testear.
- Ataques de denegación de servicio.
- Interferencias electromagnéticas en los dispositivos
- Pérdida o robo de dispositivos médicos conectados.
- Acceso de datos de dispositivos médicos móviles de forma inalámbrica.
- Cambios en la configuración o reprogramación a través de malware.
Sobre todo, indican varios tipos de vulnerabilidades de seguridad y privacidad:
- Descontrol de distribución de contraseñas, no desactivar las antiguas, dejarlas en cualquier sitio, sobre todo si tienen muchos permisos.
- Spyware y malware.
- Redes mal configuradas y con poca seguridad.
- Eliminación inadecuada de datos o información del paciente, pruebas o historiales médicos.
- Mantener los sistemas desactualizados y sin medidas de seguridad.
En el próximo post hablaré sobre los controles y auditoría en los dispositivos médicos, así como clasificación de los riesgos mencionados en forma de matriz.
Referencias
[1] <<Classes of Medical Devices and Risk>>, ISACA, vol 4 (2019): 30
[2] <<La clasificación de los dispositivos médicos>>, E-takescare, consultado el 21/10/2020, http://www.e-takescare.com/es/blog/medical-devices/medical-devices-classification
[3] <<Executive Perspectives on Top Risks in 2019: Healthcare Industry Group Results>>, KnowledgeLeader, consultado el 21/10/2020, https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/surveyreportexecutiveperspectivestoprisks2019healthcare?
[4] << Networked medical device cybersecurity and patient safety: Perspectives of health care information cybersecurity executives>>, Deloitte, consultado el 25/10/2020, https://www2.deloitte.com/content/dam/Deloitte/us/Documents/life-sciences-health-care/us-lhsc-networked-medical-device.pdf
andreagallego
Latest posts by andreagallego (see all)
- 10 cosas que he aprendido en Sistemas de Información Empresarial - 4 enero, 2021
- Dispositivos médicos: empresas y futuro - 24 noviembre, 2020
- El Internet nos une o nos separa - 17 noviembre, 2020
Bien, pero recuerda que nuestro contexto es el mundo TI y que todo lo que se sale de ese ámbito, no es relevante para nosotros. Creo que hay más fondo en este tema de riesgos y que la fuente 1 que mencionas ya te va dando algunas guías que creo que es interesante que explores …