1

Dispositivos medicos: una mirada atrás

A lo largo de estas entradas hemos podido ver diferentes temas de interés relacionados con los dispositivos médicos, las redes a las que están conectados, su regulación en diferentes países y sobre todo, los riesgos que tenerlos supone.

No querría acabar esta serie de entradas sin hacer un pequeño inciso y mostraros en forma de timeline un par consecuencias asociadas a la mala gestión de este tipo de dispositivos. Así que antes de nada os dejo una pequeña ‘evolución’ de lo que han supuesto los dispositivos médicos.

Timeline

  • 2008

    Hack de un marca-pasos – Kevin Fu, UMass Amherst

  • 2011

    Hack de una bomba de insulina – Jerome Radcliffe, Black Hat Conference

  • 2013

    Descubrimiento de una serie de riesgos en multitud de dispositivos médicos como equipamiento de operaciones, dispositivos de anestesia, ventiladores, bombas de insulina, desfibriladores, monitores de constantes, equipamiento de laboratorio, etc. – Billy Rios, Security Researcher.

  • 2014

    Múltiples alertas de seguridad publicadas por el ICS-CERT (U.S. Department of Homeland Security Industrial Control Systems Cyber Emergency Response Team), el FBI, y la FDA (US Food and Drug Administration)

  • 2015

    TrapX y Protiviti publican una investigación demostrando que los dispositivos médicos son realmente explotados por cibercriminales como punto de entrada para acceder a la red del hospital y obtener información sensible de los pacientes.

  • 2014 & 2016

    Se publica la guía de seguridad de la FDA para la Presentación de Premercados y la Administración de Posventa

Viendo que esta clase de eventos son realmente posibles y pueden llegar a tener un gran impacto en la vida humana, y teniendo en cuenta el panorama actual, muchas empresas y compañías están empezando a adoptar nuevos paradigmas de gestión y control. Algunos de esos paradigmas son:

  • Normativas de tratamiento de datos seguros:

    La creciente integración en la red de dispositivos médicos está conduciendo a nuevos riesgos para la seguridad de los pacientes. En octubre de 2014, la FDA publicó su famosa guía sobre: Content of Premarket Submissions for Management of Cybersecurity in Medical Devices, seguido en enero de 2016 por Postmarket Management of Cybersecurity in Medical Devices. Estos documentos ayudan a identificar las cuestiones relacionadas con la ciberseguridad que los fabricantes deben tener en cuenta en el diseño y el desarrollo (premercado) de los dispositivos, así como la necesidad de compartir y gestionar las vulnerabilidades de los dispositivos que circulan en el mercado.

  • Gestión del riesgo:

    Reconociendo los riesgos de seguridad introducidos a través de vulnerabilidades de dispositivos médicos y para cumplir con las regulaciones regionales (por ejemplo, HIPAA para los EE.UU.), los proveedores de atención médica incluyen dispositivos médicos en sus análisis de riesgos de seguridad. La serie de normas ISO / IEC 80001 proporciona un marco específico para el ecosistema de dispositivos médicos mediante la definición de roles y responsabilidades como si de una matriz RACI se tratara.

  • Gestión del ciclo de vida:

    Cada vez más, las organizaciones sanitarias están tomando medidas activas para proteger sus ecosistemas de dispositivos médicos contra las amenazas cibernéticas y los riesgos, tanto internos como externos. Como parte de sus procesos de evaluación de activos y riesgos, ahora  segregan las redes de dispositivos médicos y supervisan los eventos de seguridad a nivel de red para tener un mayor control, minimizar la superficie de exposición y minimizar los riesgos en la medida de lo posible.

Por eso, con la influencia de todos estos nuevos paradigmas, el dispositivo medico cambia, evoluciona y pasa a ser algo mucho mas complejo, del que se necesita mayor supervisión, control y gestión. Como consecuencia todas las partes involucradas en el proceso de creación pasan a formar parte de un mismo todo, en el que cada una tiene un roll diferente, tal y como se puede apreciar, a continuación, en la imagen.

plan-do-check-act

Minimizando los riesgos

Una manera efectiva de minimizar los riesgos de un producto medico es a través de las normativas territoriales. En caso de cumplirlas, el producto tendrá menos riesgos que en caso de no cumplirlas. En el caso de la UE, un producto medico cumple con las normativas vigentes cuando tiene el documento de conformidad.

La declaración de conformidad CE es un documento que valida que un dispositivo medico:

  • Satisface las provisiones de la directiva.
  • Existe un representante autorizado
  • Existe un organismo notificado
  • Se han aplicado los procedimientos de conformidad adecuados
  • Se ha marcado el producto con la etiqueta ‘CE’

Existen diferentes procesos a llevar a cabo dependiendo del tipo de dispositivo medico sea, por lo que para no alargar la entrada, me centraré en los de clase dos y clase tres especialmente. Estas clases tienen un proceso de ‘certificación CE‘ similar que se puede ver, en las dos imágenes siguiente:

Proceso de certificación de un dispositivo de clase II

clase2b

Proceso de certificación de un dispositivo de clase III

clase3

Con toda esta información podemos llevar a la conclusión que, el evitar los riesgos es una responsabilidad compartida. No solo se tiene que involucrar los fabricantes sino que ademas, las empresas que suministran los componentes, los centros que usan dichos dispositivos, los pacientes, los gobiernos, e incluso la sociedad.

Porque si algo falla, es un problema que nos afecta a todos.

Medical devices security risks

Referencias:

[1] Security Challenges for Medical Devices

http://cacm.acm.org/magazines/2015/4/184691-security-challenges-for-medical-devices/fulltext

[2] Understanding ISO 14971 Medical Device Risk Management

http://blog.greenlight.guru/iso-14971-medical-device-risk-management

[3] Symantec™ Industry Focus: Medical Device Security,
https://www.symantec.com/content/dam/symantec/docs/data-sheets/symc-med-device-security-en.pdf

 




Dispositivos médicos: regulación

Creo que este será uno de los post más densos en cuanto a conceptos teóricos y legislativos ya que se centrará en la definición y aplicación de las leyes actuales sobre dispositivos médicos, tanto en Europa como Estados Unidos, por el hecho de ser dos de los más importantes lugares donde este tipo de productos tienen aplicabilidad.

Dado que la legislación es diferente dependiendo del país en el que se esté, se comentara primero la regulación de Estados Unidos y a continuación la Europea. Pero independientemente del país, los dispositivos médicos se clasifican en los siguientes grupos:

  • Clase I: incluye los dispositivos que presentan un grado muy bajo de riesgo.
  • Clase II: incluye los dispositivos que presentan un grado de riesgo moderado.
  • Clase III: incluye los dispositivos que presentan un elevado potencial de riesgo.
  • Clase IV: incluye los  dispositivos   considerados  los más críticos  en  materia de riesgos.
Regulación global

A continuación se muestran brevemente las herramientas regulatorias usadas y requisitos por los diferentes miembros de la OMS[1]. Es importante tener en cuenta que aunque sean dirigidos por diferentes entidades y usen una definicion de terminos diferente, sus funciones son muy similares.

view

Regulación en Estados Unidos

En EEUU existe un organismo llamado FDA (Food & Drug Administration) que es el encargado de gestionar las normativas y velar por su aplicación.En cuanto a los grupos por ejemplo, no existe una clase IV, sino que existe hasta la clase III y se divide en dos subgrupos: alto riesgo y bajo riesgo.

La FDA define “dispositivo médico” como

instrumentos, máquinas, implantes, catalizadores in vitro, y artículos similares o relacionados, incluyendo accesorios o partes componentes que sean:

En el caso de EEUU, los dispositivos medicos tienen que pasar una serie de controles dependiendo su tipo. Estos controles normalmente son el PMA y el 510(k)[2]

  • El dispositivo en investigación es sometido a un proceso de revisión por parte de la FDA o se considera exento de revisión, según la clase del dispositivo y qué tipos de dispositivos similares ya se encuentran en el mercado.
  • La mayoría de los dispositivos de Clase I y algunos dispositivos de Clase II están exentos de revisión si son de riesgo extremadamente bajo o son muy similares a los dispositivos existentes. De todos modos, estos dispositivos exentos deben cumplir con los estándares de fabricación y control de calidad.
  • Los dispositivos de Clase II generalmente se someten a una revisión 510(k), que se enfoca en determinar si el nuevo dispositivo es “sustancialmente equivalente” a un dispositivo existente. Las revisiones 510(k), por lo general, no requieren ensayos clínicos para demostrar esta equivalencia sustancial.
  • Los fabricantes de dispositivos de Clase III presentan una solicitud de aprobación previa a la comercialización (premarket approval, PMA). Durante la revisión de la solicitud, los expertos de la FDA deciden si el nuevo dispositivo es seguro y efectivo para el tratamiento de una enfermedad o afección específicas. El proceso de PMA debe incluir resultados de estudios clínicos, aunque el diseño del estudio específico varía según el dispositivo. Para cambios menores en los dispositivos de Clase III existentes, se presentan suplementos de la PMA en lugar de una PMA completa. El uso de suplementos de la PMA para dispositivos electrónicos cardíacos implantables se describe en un artículo del número de JAMA del 22/29 de enero de 2014
Regulación en la Unión Europea

En cuanto a Europa existen tres normativas principales:

En un primer lugar, estas normativas solo contemplaban los productos sanitarios, dejando fuera de la normativa a los dispositivos médicos. Ahora, por el contrario, la definición también engloba los dispositivos médicos, quedando de esta manera:

Producto sanitario[3]: cualquier instrumento, dispositivo, equipo, programa informático, material u otro artículo, utilizado solo o en combinación, incluidos los programas informáticos destinados por su fabricante a finalidades específicas de diagnóstico y/o terapia y que intervengan en su buen funcionamiento, destinado por el fabricante a ser utilizado en seres humanos con fines de:

  • diagnóstico, prevención, control, tratamiento o alivio de una enfermedad,
  • diagnóstico, control, tratamiento, alivio o compensación de una lesión o de una deficiencia,
  • investigación, sustitución o modificación de la anatomía o de un proceso fisiológico,
  • regulación de la concepción,

y que no ejerza la acción principal que se desee obtener en el interior o en la superficie del cuerpo humano por medios farmacológicos, inmunológicos ni metabólicos, pero a cuya función puedan contribuir tales medios.

— Wikipedia

Ahora que ya sabemos que entra dentro de la regulación como producto sanitario y que no, es hora de conocer quienes son las personas u organismos encargadas de crear las regulaciones, decidir que se regula y que no, etc. Para dicho propósito, me ayudaré de la foto que pongo a continuación ya que explica muy bien el organigrama[4] de dicho proceso.

players

Las diferentes partes que entran en juego son:

  • El fabricante

    Es la personas física o jurídica responsable del diseño, fabricación, acondicionamiento y etiquetado de un producto medico con vistas a la comercialización de este en su propio nombre, independientemente de que dichas operaciones sean efectuadas por esta misma persona o por un tercero por cuenta ajena.

  • El representante autorizado

    Es un requisito legal para los fabricantes de todos los países que no son miembros de la UE. Su función es comunicar entra las autoridades competentes los organismos notificados y los fabricantes no europeos.

    Mantener un registro del fabricante y un listado de sus productos de clase I antes las autoridades competentes(CA).

  • El organismo notificado
  • Sus actividades están limitadas por el alcance de notificación a la UE. Dependiendo del país, puede estar trabajando en diferentes idiomas o incluso sistemas legales. Ademas pocos organismos notificados cubren tanto DDM como DIV.

Con todos estos agentes en juego se debe asegurar que los dispositivos médicos cubren al menos los siguientes requisitos:

  • Cumplen los requisitos esenciales. (protección contra radiación, riesgo eléctrico, infección bacteriana, riesgo de energía, incluyen la información del fabricante, etc.)
  • Están fabricados de acuerdo a una ruta de conformidad apropiada.
  • Llevan la marca CE.
  • Están sujetos a vigilancia o reporte por parte del mercado.
Normas ISO aplicables
  • ISO 13485
  • ISO 14971

La norma ISO-13485 es la norma referida al sistema de gestión de la calidad aplicable para dispositivos médicos.

La ISO 13485 especifica los requisitos de un sistema de gestión de la calidad cuando una organización precisa demostrar su capacidad de proporcionar productos sanitarios y servicios relacionados que cumplen de forma coherente requisitos del cliente y requisitos reglamentarios aplicables a los productos sanitarios y a los servicios relacionados. A su vez, tiene como objetivo es facilitar los requisitos reglamentarios armonizados de productos sanitarios para los sistemas de gestión de la calidad. En consecuencia, incluye algunos requisitos particulares para productos sanitarios y excluye alguno de los requisitos de la Norma ISO 9001 que no son apropiados como requisitos reglamentarios.

La norma ISO 14971 es una norma internacional ISO que contempla la Gestión de Riesgos de productos sanitarios.

En esta norma se establecen los requisitos de la gestión de riesgos para determinar la seguridad de un producto sanitario por parte del fabricante durante todo el ciclo de vida del producto.
Esta norma está armonizada con respecto a las directivas de producto sanitario europeas 93/42/EEC, 90/385/EEC y 98/79/EC[5], que son las comentadas al principio de esta entrada.
Esta norma es de cumplimiento obligatorio, y debe aplicarse a los productos sanitarios pues así está establecido en la ISO 13485 en el apartado 7.1 de planificación.

Medical devices security risks

Referencias:

[1] Medical device regulations

http://www.who.int/medical_devices/publications/en/MD_Regulations.pdf

[2] Aprobación 510(k) de la FDA para dispositivos médicos

https://www.emergogroup.com/es/services/united-states/aprobacion-510k-fda

[3] Producto sanitario,

https://es.wikipedia.org/wiki/Producto_sanitario

[4] Reglamento de dispositivos medicos,

http://www.bioingenieria.edu.ar/grupos/geic/biblioteca/Trabypres/P06TCAr25.pdf

[5] Directiva 98/79/ce Del Parlamento Europeo Y Del Consejo

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CONSLEG:1998L0079:20090807:es:PDF

[6] Regulation of Medical Devices in the United States and European Union

http://www.nejm.org/doi/pdf/10.1056/NEJMhle1113918




BYOD, una política de ‘andar por casa’

Mirad a vuestro alrededor, en vuestro lugar de trabajo, en vuestras casas, en la calle… ¿Qué veis? Seguramente gente (¡o vosotros mismos!) utilizando sus ordenadores portátiles, móviles o tablets. La gran mayoría no lo estarán usando para jugar a Pokemon o consultar su Facebook precisamente, sino para realizar sus tareas laborales.

En esta sociedad en la que vivimos, con 3.4 billones de teléfonos inteligentes entre nosotros, la mayor parte de nosotros disponemos de dispositivos capaces de acceder al correo electrónico o a diferentes recursos de una empresa desde cualquier lugar. Por ello, las compañías han adquirido una política de trabajo denominada BYOD o Bring your own device [1] en la que los empleados deben llevar sus propios dispositivos al lugar de trabajo y hacer uso de ellos para desempeñar sus funciones. Como curiosidad, este término proviene de la tendencia BYOB o Bring your own bottle [2] que se utilizó en los 70 en los restaurantes que permitían llevar tu propio alcohol de casa para consumirlo allí.

byod1

A primera vista, esta tendencia que se ha empezado a utilizar en la última década, parece favorable ya que nos aporta muchos beneficios frente a la TI tradicional [3]. El primero de ellos, está relacionado con la reducción de costes a la empresa en compra de dispositivos, mantenimiento y otros cargos relacionados. Además, ganan tiempo extra al no tener que gestionar el inventario de dispositivos pertenecientes a la empresa. Otro de los beneficios, relacionado con los empleados, es que se consigue una mayor satisfacción en ellos ofreciéndoles una mayor flexibilidad, comodidad con el dispositivo y acceso desde cualquier lugar, lo que hará que sean más productivos. También se ganará en eficiencia al reducir los trabajos manuales o que requerían papeleo.

Actualmente, el porcentaje de empresas que soportan esta tendencia es ya del 72.2% y tan solo un 9.3% no se lo ha planeado nunca, cifras muy llamativas de lo extendida que se encuentra.

byod2

Al leer todos estos beneficios y su grado de aceptación, pensarás que es algo fantástico y por qué no lo están usando todas las empresas actualmente. Ahora viene el lado oscuro de esta historia. Os propongo un juego, haced una búsqueda en el directorio de la IEEE con la palabra “byod”. ¿Qué os encontráis? Un sinfín de artículos que comparten una palabra… Seguridad. Los mayores retos a los que se enfrenta esta tendencia es a la exposición de los datos de la compañía, incluyendo sus vulnerabilidades, y la necesidad de en muchos casos adaptar la red y plataformas para dar compatibilidad a todos los dispositivos. Además, también se destacan retos financieros para realizar esas adaptaciones y de privacidad para proteger todos los datos de la compañía sin perjudicar la experiencia del usuario.

Debido a los riesgos que surgieron con el movimiento BYOD, muchas compañías han optado recientemente por una alternativa denominada COPE o corporate-owned, personally enabled [4]. En este modelo muy similar al BYOD, los dispositivos pertenecen a la compañía, pero a la hora de hacer uso de ellos serán como si fuesen nuestros. Esto va a permitir que la empresa tenga siempre el control de los dispositivos que acceden a sus servicios y así reducir algunos de los riesgos que existían con la anterior solución. A pesar de eso, al ser el usuario libre de instalar cualquier software en él (aunque esto se intente controlar) y conectarse desde cualquier lugar, habrá que seguir teniendo en cuenta otros muchos que ya estaban presentes anteriormente.

Además de todo esto, esta tendencia alternativa conseguirá superar algunos temas legales y regulatorios [5]. Por ejemplo, algunos países de la unión europea no permiten acceder a datos sensibles desde dispositivos personales. Con el modelo BYOD, si un empleado pierde su dispositivo no habría forma de acceder a los datos que en él se encuentran, en este caso esto se solucionaría ya que la organización sería capaz de borrarlo remotamente. Otros aspectos que estarían cubiertos serían la instalación de parches, actualizaciones y aplicaciones que facilitarían la labor de la empresa en las tareas de soporte.

Estoy seguro de que ya conocías estos modelos de trabajo con tu dispositivo, pero en mi caso al menos, no era consciente de todos los riesgos que existían al hacer uso de esa práctica. En mis próximas entradas de este blog veremos cuáles son esos riesgos con mayor profundidad y diferentes ejemplos reales de este tipo de prácticas, entre muchas otras cosas. ¿Seguirás utilizando tu dispositivo para trabajar de la misma forma después de esto? Veremos…

Referencias:

[1] ¿Qué es BYOD?, ventajas e inconvenientes, ComputerHoy, acceso el 12 de octubre de 2016, http://computerhoy.com/noticias/moviles/que-es-byod-ventajas-e-inconvenientes-7250

[2] BYOB, Wikipedia, acceso el 15 de octubre de 2016, https://en.wikipedia.org/wiki/BYOB

[3] JOnline: BYOD in the Enterprise—A Holistic Approach, ISACA, acceso el 13 de octubre de 2016, http://www.isaca.org/Journal/archives/2013/Volume-1/Pages/BYOD-in-the-Enterprise-A-Holistic-Approach.aspx

[4] COPE, la alternativa al BYOD, Miguel Planas, acceso el 14 de octubre de 2016, http://miguelplanas.es/cope-la-alternativa-al-byod/

[5] BYOD vs. COPE: Why corporate device ownership could make a comeback, SearchMobileComputing, acceso el 14 de octubre de 2016, http://searchmobilecomputing.techtarget.com/feature/BYOD-vs-COPE-Why-corporate-device-ownership-could-make-a-comeback




BYOD no es solo tendencia empresarial

Cuando buscamos BYOD en Internet, la mayoría de los temas son sobre riesgos, seguridad, mejores prácticas, … pero todo ello enfocado a las organizaciones. Sin embargo, también hay otros ámbitos aplicables como el que vamos a tratar hoy: BYOD & EDUCACIÓN

flickeringbradbyodtriumph

Hace algunas décadas era impensable que algún alumno tuviese su móvil en clase y lo utilizase para buscar información (Aunque bueno, hace algunas décadas los Smartphones no eran nuestro pan de cada día pero ese es otro cantar). A día de hoy, hay colegios que alquilan dispositivos para alumnos que lo necesiten o incluso en cada aula tienen unas tablets para consultar lo que deseen. Como ejemplo, mi primo de 13 años. Ellos en el colegio tiene un iPad para cada alumno. No tiene libros, tiene iPad que se lo han prestado en el colegio para el curso académico. Me quedo un poco en shock cada vez que me dice que no tiene libros de texto en…2º de E.S.O. ¡Llamadme antigua!

Todo esto, se prevee que cambie. Se ha estimado que de aquí a dos años, cada alumno se llevará su dispositivo School Uniformsde casa y trabajará con él en clase. Volvemos al problema de siempre: ¿Si pueden utilizar el móvil en clase «para buscar información como si fuese la enciclopedia Espasa» quién dice que no estén en realidad chateando, viendo vídeos, jugando online, etc.? Esta es en realidad una de las resistencias por la cual todavía no está establecida totalmente la política BYOD. Los profesores consideran que en vez de enriquecer o aumentar la productividad en las aulas, lo que ocurrirá será todo lo contrario. Posiblemente, si a alguien entre 13-17 años le dejas utilizar su móvil personal en clase cuyo interés por la asignatura o asignaturas en cuestión es nulo, seguramente hará de todo menos atender en clase. Profesor, todos hemos sido adolescentes y esto ya pasaba sin teléfonos en clase ni tablets ni ordenadores. Si alguien no quiere atender en clase no lo va a hacer, con móvil o sin él. Pasa incluso en clases de la universidad cuando llevas tu propio portátil. El caso es que llega una edad en la que entra en juego la responsabilidad, por eso, de momento, la tendencia BYOD tiene más tirón en un entorno corporativo que en uno educacional.

Aun así, ya hay colegios, institutos y centros de formación, entre otros, aplicando esta técnica ya que:

  • supone un ahorro tremendo en costes de dispositivos de alquiler (ya no hay que comprar 20 iPads por clase)
  • más responsabilidad de los alumnos a la hora de cuidar los dispositivos (no es lo mismo que algo sea tuyo a que te lo dejen)
  • resulta amigable para el alumno utilizar algo que ya conoce bien.

Estos centros son los que han decidido adoptar este modelo como una ventaja y pensando que los dispositivos electrónicos son una herramienta útil para el aprendizaje. Estos centros, en vez de resistirse al cambio, lo han aceptado sabiendo que esto sirve para potenciar el aprendizaje de los alumnos y un apoyo a la hora de dar clase (tengamos claro que no es un sustituto). Obviamente, todo está regulado y tiene una seguridad estricta con sus debidos controles, pero esto me daría para escribir otro artículo entero.

El tren de la tecnología se involucra cada vez más en temas de educación, ¿lo cogemos o no?

Simpson

Haz click en la imagen para ver el futuro no tan futuro