Riesgos en los dispositivos médicos

En el post anterior, traté algunas cifras y tendencias de los dispositivos médicos, así como las regulaciones de los mismos. En este post me centraré más en los riesgos TI que pueden producir y su clasificación.

Es importante entender lo que hace que un dispositivo normal sea un dispositivo médico. Para ello, como hablé en el post anterior, la FDA define una clasificación basada en los riesgos de estos dispositivos. Se centra en analizar y entender el nivel de riesgo y, más importante aún, el propósito del dispositivo. [1]

También tiene en cuenta leyes y regulaciones que explicaré más adelante.

Clasificación de los dispositivos médicos

Como se puede observar en la imagen superior, está dividido en 3 clases según el nivel de riesgo. Clase 1 correspondería a nivel bajo de riesgo, clase 2 a moderado y clase 3 a alto y la FDA indica en la parte izquierda qué controles tiene que pasar para ser de una clase u otra, así como ejemplos de dispositivos reales a la derecha.

Otros ejemplos más cercanos a los que usamos todos los días, clasificados, serían: [2]

• Clase I: Gafas, muletas.
• Clase II: Lentillas, termómetros.
• Clase III: Implantes mamarios, prótesis de cadera.

Por otro lado, los dispositivos médicos también se pueden clasificar siguiendo otros patrones. En 2019 la Universidad de Carolina del Norte y Protiviti realizaron un estudio para obtener los riesgos más populares en el ámbito de la salud. Los dividieron de la siguiente manera:

• Riesgos macroeconómicos –> Es probable que afecte a las oportunidades de crecimiento de las organizaciones
• Riesgos estratégicos –> Puede afectar en la estrategia para buscar oportunidades de crecimiento
• Riesgos operacionales –> Puede afectar las operaciones clave de la organización en ejecutar su estrategia

A continuación, eligieron los riesgos más importantes de 2019, los clasificaron y los compararon con los 2 anteriores años. [3]

Riesgos más importantes en 2019

Al final, llegaron a la conclusión que era cierto que esos eran los riesgos que están a la orden del día y que van creciendo cada vez más a medida que pasan los años.

Para determinar la clase de un dispositivo médico, el fabricante se apoya en las normativas y guías tomando como referencia la directiva 93/42/CEE. La directiva europea 93/42/CEE relativa a los dispositivos médicos es aplicada por todos los estados miembros de la UE. [2]

Por otro lado, también es importante recordar la ISO 14971 referida a la gestión de riesgo de productos sanitarios. En esta norma se establecen los requisitos de la gestión de los riesgos para determinar la seguridad de los productos sanitarios.

Estas dos normativas diferencian también a los dispositivos normales de los médicos, por sus características y riesgos que pueden provocar.

Esta ha tenido una clara evolución durante los años, llegando a su versión más reciente en 2020.

Evolución ISO 14971:2019 à ISO 14971:2020

En el próximo post seguiré por este tema, sobre el plan y control de los riesgos.

Volviendo al tema principal de este post, los riesgos TI, voy a comentar algunos ejemplos acerca de los riesgos potenciales relacionados con los dispositivos médicos conectados, según Deloitte [4]:

• Software y firmware sin testear.
• Ataques de denegación de servicio.
• Interferencias electromagnéticas en los dispositivos
• Pérdida o robo de dispositivos médicos conectados.
• Acceso de datos de dispositivos médicos móviles de forma inalámbrica.
• Cambios en la configuración o reprogramación a través de malware.

Sobre todo, indican varios tipos de vulnerabilidades de seguridad y privacidad:

• Descontrol de distribución de contraseñas, no desactivar las antiguas, dejarlas en cualquier sitio, sobre todo si tienen muchos permisos.
• Spyware y malware.
• Redes mal configuradas y con poca seguridad.
• Eliminación inadecuada de datos o información del paciente, pruebas o historiales médicos.
• Mantener los sistemas desactualizados y sin medidas de seguridad.

En el próximo post hablaré sobre los controles y auditoría en los dispositivos médicos, así como clasificación de los riesgos mencionados en forma de matriz.

Referencias

[1] <<Classes of Medical Devices and Risk>>, ISACA, vol 4 (2019): 30

[2] <<La clasificación de los dispositivos médicos>>, E-takescare,  consultado el 21/10/2020, http://www.e-takescare.com/es/blog/medical-devices/medical-devices-classification

[3] <<Executive Perspectives on Top Risks in 2019: Healthcare Industry Group Results>>, KnowledgeLeader, consultado el 21/10/2020, https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/surveyreportexecutiveperspectivestoprisks2019healthcare?

[4] << Networked medical device cybersecurity and patient safety: Perspectives of health care information cybersecurity executives>>, Deloitte, consultado el 25/10/2020, https://www2.deloitte.com/content/dam/Deloitte/us/Documents/life-sciences-health-care/us-lhsc-networked-medical-device.pdf