Que no hackeen tu corazón

Esto va llegando a su fin. Hasta ahora hemos visto los riesgos que presentan los dispositivos médicos y hemos establecido una serie de posibles controles a fin de mitigar los mismos. Además, hemos observado la relevancia de la cual disponen este tipo de dispositivos en la industria.

En este post me gustaría hacer énfasis sobre algunos de los problemas más sonados en los últimos años en cuanto a dispositivos médicos respecta. No con el objetivo de asustaros o alarmaros sino de concienciar sobre la relevancia de todo lo expuesto hasta la fecha y la necesidad de informar a las autoridades pertinentes sobre este tipo de situaciones. Además, me gustaría exponer algunos de los motivos principales por los cuales el sector de la salud resulta el objetivo de tantos ataques. 

¿Os acordáis de la empresa Medtronic?

En el tercer post hablamos sobre cómo esta empresa tuvo que retirar del mercado algunas bombas de insulina ya que resultaban vulnerables a ataques. No obstante, este tipo de vulnerabilidades no solo se limitan a las bombas de insulina.  

A principios de este mismo año, por ejemplo, el Departamento de Seguridad Nacional de EE.UU advirtió sobre una vulnerabilidad crítica en el sistema de transmisión de datos de los implantes cardíacos de Medtronic. Este fallo permitía a los hackers modificar la configuración de los mismos. [1]

Si retrocedemos un poco más en el tiempo, en el año 2017 la FDA emitió la retirada de seis modelos de marcapasos producidos por la compañía Abbott debido a la presencia de una serie de vulnerabilidades. Estas vulnerabilidades permitían que usuarios no autorizados accedieran al dispositivo y modificaran el funcionamiento del marcapasos implantado. Esto podría resultar en daños para el paciente debido a un rápido agotamiento de la batería o a la modificación en la gestión de los latidos del paciente.

A fin de solucionar este problema la compañía desarrolló y validó una actualización correctiva para todos los dispositivos afectados. En este caso en concreto no resultó necesario intervenir a los pacientes a fin de retirar los marcapasos afectados. Sin embargo, al igual que con cualquier actualización de firmware la FDA informó sobre la existencia de una serie de riesgos asociados a la instalación incorrecta de esta actualización. Entre estos riesgos se mencionaba la posibilidad de la pérdida de la configuración del dispositivo o incluso la pérdida completa de la funcionalidad del mismo. [2]

¿Y qué debe hacer una compañía ante estas situaciones?

A fin de detectar posibles problemas de seguridad relacionados con los dispositivos médicos, la FDA requiere la utilización de “Informes de Dispositivos Médicos”. Los fabricantes están obligados a reportar eventos adversos a través de este tipo de informes. Mientras que se alienta a profesionales sanitarios, cuidadores o pacientes a presentar informes voluntarios sobre posibles eventos adversos que estos puedan apreciar. [3]

Uno de los errores más comunes que cometen los fabricantes a la hora de comunicar la situación a las organizaciones correspondientes es esperar demasiado. Y esto puede resultar comprensible hasta cierto punto. Las compañías pueden tener miedo a hacer público este tipo de situaciones debido a las consecuencias sobre su imagen corporativa, a las consecuencias económicas,…

Pero en realidad informar sobre los peligros no solo demuestra un buen hacer por parte de la compañía sino que demuestra una preocupación por la salud de sus clientes.

Los fabricantes necesitan entender que alertar a las organizaciones pertinentes acerca de problemas potenciales no siempre posee como desencadenante una retirada del producto del mercado. No hacerlo puede conducir, a su vez, a una mayor desconfianza por parte de los clientes o incluso a tener que hacer frente a multas cuantiosas.

Otro punto importante a considerar es la transparencia. Los fabricantes de dispositivos médicos deben ser francos sobre la verdadera naturaleza de la situación. Este no es el momento de endulzar los problemas. Los fabricantes deben estar preparados para divulgar el peligro potencial así como su alcance e impacto. [4]

Es importante entender que este tipo de organizaciones permiten actuar de forma más rápida al poder llegar a un mayor número de afectados. 

¿Y porqué se producen tantos ataques contra este sector?

Después de investigar he podido encontrar una serie de razones [5] por las cuales el sector de la salud y por consiguiente, el de los dispositivos médicos, representan uno de los mayores objetivos para los hacktivistas: 

  • La información privada de los pacientes posee alto valor económico para los atacantes: Los hospitales almacenan una ingente cantidad de datos. Datos confidenciales que valen mucho dinero y que pueden ser vendidos fácilmente, lo que convierte a la industria médica en un objetivo cada vez más relevante.  
  • Dispositivos médicos como punto de entrada: Los dispositivos médicos como los rayos X, las bombas de insulina o los desfibriladores desempeñan un papel fundamental en la atención médica moderna. Sin embargo, este tipo de dispositivos pueden ser utilizados para lanzar un ataque sobre dispositivos mayores como pueden ser los servidores de un hospital. Incluso en el peor de los casos, los hackers pueden hacerse con el control completo de un dispositivo médico, impidiendo que las organizaciones sanitarias proporcionen a los pacientes la atención que requieren. 
  • Acceso a datos remotos: Conectarse a una red de forma remota puede resultar peligroso en caso de que no se tomen las medidas oportunas. De esto hablamos también en el post anterior, en el cual mencioné la necesidad de hacer uso de canales de comunicación seguros. 
  • Los profesionales sanitarios no están concienciados sobre los múltiples riesgos tecnológicos existentes: Cuando hablamos de seguridad, el eslabón más débil suele ser el empleado. El personal sanitario suele estar demasiado ocupado como para mantenerse informado sobre las últimas amenazas correspondientes a los dispositivos médicos. Sin embargo con que un solo dispositivo se vea comprometido, toda la red puede haber sido vulnerada. 

Y ahora que ya tenemos una visión completa, me gustaría decir que a pesar de que los dispositivos médicos presenten múltiples riesgos y resulten vulnerables a ataques también facilitan la vida de muchas personas y permiten que muchas personas continúen con vida. Con el transcurso del tiempo cada vez obtendremos dispositivos médicos más seguros, eficaces y efectivos. 

Ojala yo hoy no tuviera contenido para escribir este post, ya que eso implicaría que los dispositivos médicos serían completamente seguros. Ya es imposible cambiar el pasado y solo nos queda aprender de él para evolucionar hacia el futuro.

Ha sido un placer escribir para todos vosotros durante este tiempo pero esto ha llegado a su fin. Ha sido un periodo corto pero espero que os haya gustado. Como se suele decir coloquialmente “lo bueno, si breve, dos veces bueno”.

PD: Aunque se salga un poco de la línea argumental seguida durante este recorrido, no me gustaría acabar este post sin hacer mención a la necesidad de continuar investigando. Hace relativamente poco, por ejemplo, fue el día del cáncer de pulmón, una enfermedad que representa el 20,55% de defunciones en el territorio nacional. Además de resultar uno de los cánceres más letales, la calidad de vida de la cual disponen los pacientes supervivientes se ve considerablemente mermada. Es por ello que a través de este post me gustaría dar visibilidad a todas esas personas que sufren cada día las consecuencias de enfermedades como esta y recalcar la necesidad de continuar investigando. No solo en esta temática en concreto sino en la medicina en general. Solo a través de la investigación conseguiremos erradicar o paliar las consecuencias de este tipo de enfermedades y la tecnología puede resultar una gran fuente de ayuda. La investigación y cooperación son pilares fundamentales para continuar prosperando.

Y ahora sí que sí…THE END 

Referencias

[1] <<Medtronic Conexus Radio Frequency Telemetry Protocol>>, CISA, acceso el día 30 de noviembre del 2019, https://www.us-cert.gov/ics/advisories/ICSMA-19-080-01

[2] <<Firmware Update to Address Cybersecurity Vulnerabilities Identified in Abbott’s (formerly St. Jude Medical’s) Implantable Cardiac Pacemakers: FDA Safety Communication>>, FDA, acceso el día 30 de noviembre del 2019, https://www.fda.gov/medical-devices/safety-communications/firmware-update-address-cybersecurity-vulnerabilities-identified-abbotts-formerly-st-jude-medicals

[3] <<Medical Device Reporting (MDR): How to Report Medical Device Problems>>, FDA, acceso el día 30 de noviembre del 2019, https://www.fda.gov/medical-devices/medical-device-safety/medical-device-reporting-mdr-how-report-medical-device-problems

[4] <<Software is a top cause of medical device recalls: Here’s what you can do>>, Medical Design & Outsourcing, acceso el día 30 de noviembre del 2019, https://www.medicaldesignandoutsourcing.com/software-leading-cause-medical-device-recalls/

[5] <<9 reasons why healthcare is the biggest target for cyberattacks>>, Swivel Secure, acceso el día 30 de noviembre del 2019, https://swivelsecure.com/solutions/healthcare/healthcare-is-the-biggest-target-for-cyberattacks/




Problemas comunes del uso de una herramienta de Business Intelligence

Es innegable que implementar una herramienta de BI trae consigo beneficios, tales como la reducción de costes, reducción para los tiempos, accesibilidad de la información para la toma de decisiones, formulación de estrategias competitivas, entre otros. Sin embargo, tras la fuerte inversión de capital para la herramienta y el proceso ETL, a la hora de hacer uso de la herramienta se dan cuenta que los resultados obtenidos no son los esperados. ¿A qué se debe esto?

En unos casos el problema reside en que la cúpula de las empresas creen que las herramientas del BI son la panacea y sus expectativas en lo que puede hacer están infladas.

En otros casos, el problema varía aunque estos suelen los más comunes:

La herramienta no cuadra con el negocio

Uno de los problemas más comunes es que la herramienta no sea completa o que no cuadre al 100% con el negocio. Esto se debe a una falta de comunicación o malentendidos durante la fase de definición de requisitos, en la que el desarrollador TI intenta desarrollar la herramienta con una lista de requisitos errónea o incompleta.

La datos no son limpios

Las herramientas de BI dependen de la exactitud de los datos. Estos pueden ser adquiridos desde distintas fuentes, desde ERPs automatizados a empleados que anotan los resultados en un bloc de notas. Lidiar con un entorno donde los datos no están actualizados o donde presenta incoherencias ralentiza el tiempo de generación de la solución de BI o puede proporcionar resultados imprecisos.

Puntos ciegos en los datos

En toda organización hay tipos de datos que son fáciles de conseguir en grandes volúmenes y datos que no lo son tanto, esta diferencia puede provocar que los análisis resultantes sufran por preferencia de selección, lo que conlleva a resultados poco precisos.

La herramienta no se mantiene

En otros casos la herramienta en cuestión no pertenece a la empresa y su desarrollo o mantenimiento se ha externalizado. Dependerá del contrato establecido con dicha organización establecer quién se encargará del mantenimiento, actualización, fase de adoptación, etc. Es esencial establecer minuciosamente todos estos datos si no queremos que una vez terminado el desarrollo de la herramienta perdamos el soporte de los desarrolladores.

No se usa

La adopción de los usuarios es siempre una de las fases más duras de todo proyecto. Se estima que el 22% de los empleados se encuentra a gusto con una herramienta de BI. Los motivos pueden ser los siguientes:

  • No les gusta la solución.
  • Los usuarios no están lo suficientemente preparados.
  • Los usuarios no quieren cambiar.

No es future ready

Cabe destacar que medida que la empresa va evolucionando junto con el negocio se dan cuenta que su herramienta de negocio se queda atrás, que no es future ready. Las características que más se echan en falta en sistemas transaccionales son las siguientes:

  • Poder añadir nuevos tipos de datos.
  • Comunicarse con las API emergentes del mercado.
  • Opciones de generación de gráficas y funciones analíticas más avanzadas. (Especialmente para los científicos de datos)
  • Interfaz de usuario que no soporta el look&feel de las demás herramientas de la organización.

Como conclusión, son muchos los factores que pueden poner en peligro la implementación o el uso correcto/limitación de una herramienta BI, es por ello que se necesita de una planificación estratégica previa en la que se monitorice que se cumplen todos los objetivos necesarios para evitar estos problemas y obtener la solución esperada.




La motivación como extra laboral

La palabra motivación viene de la palabra motivo. A su vez esta palabra ha sido definida como «el conjuntomotivacao de las razones que explican los actos de un individuo«, o bien, «la explicación o los motivos por los cuales una persona realiza algo«.

 

Cuando empezamos a trabajar en cualquier sitio, solemos estar motivados , con ganas empezar, porque es algo nuevo que nunca hemos hecho. Queremos retarnos a nosotros mismos a alcanzar metas y demostrarnos que podemos con nuevos desafíos. Cuanto más motivados estemos, mayor será nuestro desempeño a la hora de realizar una tarea (por lo cual, a la empresa le interesa que estemos motivados).

El caso es que la motivación es fácil de conseguir pero difícil que permanezca mucho tiempo con nosotros ya que si vamos viendo que esos objetivos que teníamos marcados no se están cumpliendo, nos venimos abajo y aparecen muchos obstáculos para mantener esa motivación con la misma intensidad que al principio. Según pasa el tiempo vamos cayendo en una rutina en la que, si no somos capaces sacar fuerzas de nuestro interior o nos cuesta más tolerar esas decepciones, de repente vemos que no es lo que esperábamos… Es decir, nuestra motivación cae en picado. ¿Por qué ocurre esto?

motivacion1

Perder la motivación, no solo en el entorno de trabajo, es algo bastante frustrante ya que sentimos que ya no tenemos interés o deseo en seguir haciendo eso que antes nos gustaba y puede resultar confuso y decepcionante. El otro día en clase hablábamos de lo que nos desmotivaba personalmente a cada uno y aquí están algunas de las cosas más comunes:

  • Estrés
  • Rutina
  • No sentirse valorado o poco reconocimiento
  • Salario: ver que llevas 5 años con el mismo salario pero las exigencias hacia tu persona son mayores. O como siempre, comparar sueldos con el compañero cuando hacéis lo mismo.
  • Entorno laboral hostil: esto, aparte de desmotivar, acarrea miedos y afecta psicológicamente de una manera brutal.
  • Influencia externa: por ejemplo, entras en un equipo en el que a la gente la ves sin ganas, desmotivada. Como todo se pega menos la hermosura, en poco tiempo tú estarás igual que ellos. Comprobado.
  • Ver que no hemos cumplido con nuestros objetivos
  • Sentir que lo que hacemos no aporta
  • Equipo sin compañerismo, sin solidaridad
  • Sin plan de desarrollo
  • Demasiada carga laboral

Seguramente mientras leíais los distintos factores os habéis sentido identificados. Y si nunca os ha pasado ninguna de estas cosas, por favor, contactad conmigo y decidme cómo lo habéis hecho.

Bien es cierto que la motivación no es la misma para cada persona, de hecho, se ha realizado un estudio en el que más de la mitad de la gente encuestada preferiría tener un salario común pero con un ambiente de trabajo bueno frente a una pequeña mayoría que valoraba más el salario que otras cosas. ¿A qué mitad pertenecéis?

Con esto quiero concluir que estar motivado no depende del resto, sino de nosotros mismos. La organización debe, claro está, motivar a sus trabajadores pero también enseñarles a automotivarse en situaciones críticas. El vaso se puede ver medio vacío o medio lleno independientemente de los factores externos que te hagan la montaña más alta y el camino más empinado.

automotivacionmotivacion

Os dejo con unas frases que me encantan:

«No es tu aptitud sino tu actitud la que determina tu altitud»

«Cuando pierdas no te fijes en lo que has perdido sino en lo que te queda por ganar»

«He fallado una y otra vez en mi vida y es por eso por lo que tengo éxito»

«En la vida no hay problemas, sólo soluciones que aún no hemos encontrado»