Riesgos en los dispositivos médicos

En el post anterior, traté algunas cifras y tendencias de los
dispositivos médicos, así como las regulaciones de los mismos. En este post me
centraré más en los riesgos TI que pueden producir y su clasificación.

Es importante entender lo que hace que un dispositivo normal
sea un dispositivo médico. Para ello, como hablé en el post anterior, la FDA
define una clasificación basada en los riesgos de estos dispositivos. Se centra
en analizar y entender el nivel de riesgo y, más importante aún, el propósito
del dispositivo. [1]

También tiene en cuenta leyes y regulaciones que explicaré más adelante.

Clasificación de los dispositivos médicos

Como se puede observar en la imagen superior, está dividido en 3 clases según el nivel de riesgo. Clase 1 correspondería a nivel bajo de riesgo, clase 2 a moderado y clase 3 a alto y la FDA indica en la parte izquierda qué controles tiene que pasar para ser de una clase u otra, así como ejemplos de dispositivos reales a la derecha.

Otros ejemplos más cercanos a los que usamos todos los días, clasificados, serían: [2]

  • Clase I: Gafas, muletas.
  • Clase II: Lentillas, termómetros.
  • Clase III: Implantes mamarios, prótesis de
    cadera.

Por otro lado, los dispositivos médicos también se pueden
clasificar siguiendo otros patrones. En 2019 la Universidad de Carolina del
Norte y Protiviti realizaron un estudio para obtener los riesgos más populares
en el ámbito de la salud. Los dividieron de la siguiente manera:

  • Riesgos macroeconómicos –> Es probable que afecte a las oportunidades de crecimiento de las organizaciones
  • Riesgos estratégicos –> Puede afectar en la estrategia para buscar oportunidades de crecimiento
  • Riesgos operacionales –> Puede afectar las operaciones clave de la organización en ejecutar su estrategia

A continuación, eligieron los riesgos más importantes de 2019, los clasificaron y los compararon con los 2 anteriores años. [3]

Riesgos más importantes en 2019

Al final, llegaron a la conclusión que era cierto que esos
eran los riesgos que están a la orden del día y que van creciendo cada vez más a
medida que pasan los años.

Para determinar la clase de un dispositivo médico, el fabricante se apoya en las normativas y guías tomando como referencia la directiva 93/42/CEE. La directiva europea 93/42/CEE relativa a los dispositivos médicos es aplicada por todos los estados miembros de la UE. [2]

Por otro lado, también es importante recordar la ISO 14971
referida a la gestión de riesgo de productos sanitarios. En esta norma se
establecen los requisitos de la gestión de los riesgos para determinar la
seguridad de los productos sanitarios.

Estas dos normativas diferencian también a los dispositivos
normales de los médicos, por sus características y riesgos que pueden provocar.

Esta ha tenido una clara evolución durante los años, llegando a su versión más reciente en 2020.

Evolución ISO 14971:2019 à ISO 14971:2020

En el próximo post seguiré por este tema, sobre el plan y
control de los riesgos.

Volviendo al tema principal de este post, los riesgos TI, voy a comentar algunos ejemplos acerca de los riesgos potenciales relacionados con los dispositivos médicos conectados, según Deloitte [4]:

  • Software y firmware sin testear.
  • Ataques de denegación de servicio.
  • Interferencias electromagnéticas en los
    dispositivos
  • Pérdida o robo de dispositivos médicos
    conectados.
  • Acceso de datos de dispositivos médicos móviles
    de forma inalámbrica.
  • Cambios en la configuración o reprogramación a
    través de malware.

Sobre todo, indican varios tipos de vulnerabilidades de seguridad y privacidad:

  • Descontrol de distribución de contraseñas, no
    desactivar las antiguas, dejarlas en cualquier sitio, sobre todo si tienen muchos
    permisos.
  • Spyware y malware.
  • Redes mal configuradas y con poca seguridad.
  • Eliminación inadecuada de datos o información
    del paciente, pruebas o historiales médicos.
  • Mantener los sistemas desactualizados y sin medidas
    de seguridad.

En el próximo post hablaré sobre los controles y auditoría en
los dispositivos médicos, así como clasificación de los riesgos mencionados en
forma de matriz.

Referencias

[1] <<Classes of Medical Devices and Risk>>, ISACA,
vol 4 (2019): 30

[2] <<La clasificación de los dispositivos
médicos>>, E-takescare,  consultado
el 21/10/2020, http://www.e-takescare.com/es/blog/medical-devices/medical-devices-classification

[3] <<Executive Perspectives on Top Risks in 2019:
Healthcare Industry Group Results>>, KnowledgeLeader, consultado el
21/10/2020, https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/surveyreportexecutiveperspectivestoprisks2019healthcare?

[4] << Networked medical device cybersecurity and
patient safety: Perspectives of health care information cybersecurity
executives>>, Deloitte, consultado el 25/10/2020, https://www2.deloitte.com/content/dam/Deloitte/us/Documents/life-sciences-health-care/us-lhsc-networked-medical-device.pdf




Redes sociales: Cara y cruz

¡Brr, brr!

Suena el teléfono: Tweet de Donald Trump. Si mantienes la respiración y escuchas atentamente se pueden oír los latidos de los corazones de los asesores de la Casa Blanca súbitamente incrementando. Su jefe acaba de publicar un tweet que ha causado un revuelo imprevisto y ahora está en sus manos poder mitigar el daño provocado. Las redes sociales se han instaurado en nuestras vidas de tal manera que en muchas ocasiones no somos conscientes del peligro que conllevan. En este ejemplo, sin ir más lejos, este tweet puede derivar en una situación dañina o peligrosa. Igualmente, puede ser un inofensivo comentario que mejore su popularidad. Debemos recordar que la Casa Blanca es una institución pública y similarmente a las instituciones privadas debe tener muy en cuenta estos escenarios adversos que pueden crear las redes sociales.

Estas ventajas y desventajas son cualidades intrínsecas de las redes sociales que todos los usuarios, ya sean las empresas como los usuarios privados, deben considerar al usarlas. En esta entrada nos centraremos en el papel que tienen en el mundo corporativo.

¿Redes Sociales? Adelante.

Los beneficios de esta herramienta son varias pero la más evidente es la habilidad que le otorga a la corporación de poder comunicarse con sus clientes de una manera más cercana y mucho más natural. Hace no muchos años, cuando la mayoría de la ciudadanía no disponía de una cuenta de una red social, las comunicaciones entre una empresa y un usuario eran costosas y lentas. Las redes sociales han resuelto mayormente esta situación.

Las redes sociales son una herramienta cada vez más importante en el mundo corporativo

Actualmente la probabilidad de que un porcentaje muy elevado de los clientes de una compañía dispongan de un usuario en alguna de las plataformas disponibles es muy alta, abriendo así una vía por la cual el contacto entre ambos pudiera darse prácticamente a tiempo-real. De esta forma no solo se optimiza el tiempo y recursos de la consulta sino que el usuario queda mucho más satisfecho y tendrá una imagen más favorable de la compañía.

Otro beneficio conocido es su optimización del marketing. Muchas plataformas ofrecen a las compañías la posibilidad de publicitarse en ellas, ya no solo de manera general, mostrando un mismo anuncio a un gran público homogéneamente, sino que habilita a la empresa a personalizar su publicidad en base al usuario al que se le mostrará.Esto es posible gracias a los datos del individuo que poseen las plataformas con la cual pueden prever sus deseos o necesidades para ofrecerle el producto que más se adecue.  

¿Conoces Nestlé?

Un uso inteligente de las redes sociales es el de Nestlé. La multinacional suiza es conocida por sus productos alimenticios. Lo que mucha gente puede que desconozca son sus varios canales de YouTube en los que publican videos de recetas elaboradas tanto con sus productos como de terceros. 

El canal oficial de YouTube de Nestlé España

Disponen de 4 canales: Nestlé cocina, Recetas Nestlé, Nestlé España, Nestlé TV Bebé. Cada cual tiene un catálogo de contenido audiovisual diferente que permite que una variedad de espectadores puedan suscribirse al canal que más les guste. Al crear contenido no relacionado con sus productos, como pueden ser vídeos promulgatorios de conocimientos sobre la salud o ciertos alimentos, genera en el consumidor la apariencia de que la empresa se preocupa por ti y te ayuda en tus decisiones sin imponer su producto.

Este tipo de interacción a través de esta red social mejora la percepción que los consumidores tienen de la compañía y al crear contenido que usa sus productos promueve su compra.

¡WARNING!

Habiendo visto unos pocos ejemplos de los muchos beneficios de las redes sociales muchos se habrán abierto una cuenta en alguna de ellas a todo correr, ¡pero no tan rápido! Las redes sociales llevan consigo un riesgo enorme que se deben tener muy en cuenta.

Del mismo modo que los beneficios de las redes sociales son variados, los riesgos también lo son. El riesgo más popular es el de destrucción de la marca. 

Tweet de la empresa Hawkers México inoportuno daño gravemente su marca en el país.

Las noticias en el mundo en el que vivimos se difunden muy rápido. Un error en una plataforma puede generar que una avalancha de enfurecidos usuarios arremeta contra la empresa, pudiendo herir la marca letalmente. Estos movimientos tienen un recorrido y alcance aleatorio, pudiendo alargarse durante semanas o meses y cautivando a un extenso grupo de personas, o contrariamente durando unos días y constar de unos pocos usuarios. La imprevisibilidad de estos movimientos supone que el impacto que puedan generar sea difícil de cuantificar hasta qué sucede. Por ello la compañía debe tener un protocolo de actuación en redes sociales y medidas de seguridad. 

Otro conocido riesgo es el conocido Phishing. El Phishing consiste en una técnica en la que el intruso obtiene información sensible a través de suplantar la identidad de una empresa o persona conocida.

Ilustración de un ataque Phishing en el que el intruso se hace pasar por Amazon

Este es simplemente uno de los muchos ataques con los cuales los intrusos pueden obtener datos confidenciales. El peligro de estos ataques suponen un riesgo inminente en cualquier organización y los pasos a seguir para su mitigación deben ocupar un lugar relevante en la planificación de riesgos. 

Datos por aquí, datos por allá 

Uno de los casos de robo de información más sonoros de los últimos fue el caso de Equifax. Equifax, una empresa que gestiona una cantidad enorme de datos financieros de millones de estadounidenses, fue hackeada y los datos de 143 millones de ciudadanos fueron expuestos.

Esta intrusión se debió a una vulnerabilidad que la empresa tenía en uno de los servidores que gestionaban los portales de disputa mediante los cuales los usuarios podían realizar reclamaciones y consultas. Estos portales no son considerados ‘redes sociales’ por muchos pues no tienen la apariencia de las plataformas más conocidas, pero nada más lejos de la realidad, estos portales son consideradas redes sociales pues cumplen la función de permitir la comunicación entre usuario y empresa. Finalmente, Equifax tuvo que pagar aproximadamente 700 millones de dólares en indemnizaciones.

Cantidad de datos obtenidos y tipo de datos

Este ha sido uno de los casos más llamativos debido a que la información que se obtuvo afectaba directamente a los usuarios y ponía en peligro su bienestar. Por fortuna para Equifax al ser una de las pocas empresas que ofrecen estos servicios, muchos usuarios directos, las compañías que operan con los clientes cuyos datos son hospedados por Equifax, no pudieron hacer nada más que mostrar su enfado.

Desgraciadamente la mayoría de empresas no disponen del lujo de ofrecer servicios únicos por lo que una incidencia como la descrita probablemente hubiera acabado con su existencia. 

Yin-Yang

Queda claro que las redes sociales pueden suponer un gran beneficio para cualquier empresa que decida comenzar en el mundo digital. Sus beneficios mayormente son notables en el departamento de marketing y soporte pues, como ya hemos dicho, es una gran herramienta para poder crear un vínculo más cercano con el cliente y al mismo tiempo poder tejer publicidad a medida y a una mayor audiencia, facilitando la captación y afiliación de nuevos y antiguos clientes. 

Desafortunadamente, como todo en la vida, emprender el camino de las redes sociales supone enfrentarse a una lista de riesgo que deben ser gestionadas con constante monitorización y deben tenerse en cuenta en la creación de un plan de contingencia de las tecnologías TIC.

Una vez la empresa haya ponderado estos aspectos deberá tomar una decisión acorde y comenzar su aventura. Tanto a aquellos valientes que comienzan sus andaduras como a aquellos que llevan tiempo pululando en las plataformas solo tengo una última cosa que añadir… ¡Buena suerte y nos vemos!

Referencias




Riesgos en el entorno Cloud. Una perspectiva holística de los riesgos

Cloud-Computing-1El pasado lunes, se celebró en Bilbao uno de los eventos más importantes relacionados con la ciberseguridad (Basque Cybersecurity Day) y como no era de extrañar, en prácticamente todas las conferencias se citó de una forma u otra los posibles riesgos asociados a las tecnologías emergentes (entre las cuales se incluye, el Cloud Computing) . No obstante, el enfoque que se le dio a los riesgos tecnológicos era radicalmente distinto a la opinión que tenía acerca del tema.

Por lo tanto, el post que tenía pensado escribir la semana pasada ha sido totalmente reescrito, y he decidido explicar el framework propuesto por ISACA [1] para abordar los riesgos de la tecnología del Cloud Computing pero enriquecido con todas las aportaciones de relevancia que escuché en el ciclo de conferencias.

Entre todas las conferencias hubo una que me llamó la atención en particular, la realizada por la actual CEO de Siemens España, Rosa García [2]. En esta conferencia se abordó la gestión de los riesgos desde un punto de vista holístico y destacaba como en el punto en el que nos encontramos hoy en día los riesgos IT se deben entender como una parte más de la estrategia empresarial. En pocas palabras, cuando se habla de seguridad en estos términos, no solo nos referimos a la parte de la tecnología o la parte “ciber”, sino a todo el entorno que compone la seguridad (la seguridad de los datos y la información, el plan de gobernanza IT, los modelos de fallo y de contingencia, la gestión del cambio, etc … ).

Por otra parte, otro de los puntos relevantes (especialmente para entender el mundo de los riesgos del Cloud Computing), es el referido al papel de los proveedores. La robustez de la seguridad de una organización, viene marcado por el eslabón más débil de la cadena y muchas veces este eslabón ni siquiera es parte central de la organización como es el caso de los proveedores (en los cuales se incluyen los proveedores de servicios cloud). En este punto, son destacables los datos de la encuesta elaborada por KPMG [3] donde cita como el 44% (12 puntos más que en el año 2017) de los encuestados no posee ningún tipo de instrumento para el control del framework de seguridad con los proveedores. Además el 34% de los encuestados, tampoco poseen ningún tipo de control de ciberseguridad en los contratos de terceros y finalmente, el 59% ni siquiera tienen el derecho contractual a la realización de una auditoría del proveedor.

En definitiva, la adopción del cloud computing muchas veces va ligada a contratos con terceros, los proveedores de servicios. No obstante, muchas de las empresas no realizan ningún tipo de supervisión o control de estos y ello supone un claro riesgo para la seguridad de sus empresas. Para explicarlo mejor, me valdré de la siguiente infografía elaborada por Deloitte.[4]

Captura de pantalla 2018-11-10 a las 21.54.03

La infografía representa el nivel de responsabilidad que debe adquirir una compañía en función de su grado de dependencia de terceros. Es decir, una empresa cuyos sistemas estén totalmente gestionados a nivel interno, es totalmente responsable del sistema pero una empresa cuyo entorno está totalmente alojado en la nube, debe ceder esa responsabilidad al tercero.se 

Pero siempre hay que tener en cuenta un hecho crucial, aunque cedas la responsabilidad de tu sistema a un tercero, la responsabilidad de los datos que se gestionan en él siempre va a seguir siendo tuya. Pongamos como ejemplo la seguridad de un teléfono móvil: la seguridad del terminal es responsabilidad del fabricante. Sin embargo, el usuario sigue siendo responsable de la forma en la que use este terminal y en el mundo Cloud sigue siendo igual.

Por otra parte y siguiendo con lo planteado inicialmente, me gustaría listar cuales son los riesgos más comunes que deben afrontar las empresas en el mundo del Cloud. El próximo listado de riesgos se extrajo de un informe de ISACA donde se mencionaba una encuesta elaborada por la Cloud Security Alliance [5].

En primer lugar, los CSP (Cloud Service Providers) suelen ofrecer APIs públicas para el acceso a los sistemas en la nube, desde la autenticación y gestión de credenciales hasta la monitorización del uso de recursos. No obstante, estas APIs pueden suponer una puerta de entrada a posibles vulnerabilidades.

En segundo lugar, el documento destaca un problema que mi compañero Pablo ya ha tratado en sus respectivos posts con mucho más detalle, los Insiders Threads. En este caso, el problema se extiende no solo al personal propio de la organización sino al personal perteneciente por ejemplo a los CSP. Este elemento resulta crucial para entender la importancia que tienen los controles al personal implicado de la organización, especialmente a las relaciones con terceros.

Por otro lado, en la mayoría de servicios en la nube los recursos computacionales son compartidos por diferentes usuarios y organizaciones. A pesar de poder contar con elementos de seguridad que permiten aislar el acceso a estos recursos, siempre pueden ser un foco de conflicto.

El cuarto y último aspecto a tratar entre los principales riesgos asociados está relacionado con la pérdida de datos e información. En este punto, hay dos riesgos que hay que tener en cuenta con los datos que se alojan en la nube: la posible pérdida de datos y la aún peor posible filtración de los mismos. Actualmente, las organizaciones y sus estrategias de negocio están completamente orientadas a los datos y por ende, este punto debe ser supervisado y auditado con especial atención.

En definitiva, los servicios alojados en la nube suponen un nuevo reto a las organizaciones que lo incorporan. Además, a pesar de que los riesgos relacionados con la tecnología no son nuevos, el paradigma del cloud computing acrecienta estos riesgos de una forma u otra como ya he mencionado anteriormente.

Por último, me gustaría adelantar el contenido del próximo post donde expondré un caso práctico elaborado por ISACA explicando las medidas y controles que se deben tomar en las organizaciones que decidan adoptar esta tecnología.

Fuente consultadas:

[1] «IT Control Objectives for Cloud Computing – Information Security ….» https://www.isaca.org/chapters2/kampala/newsandannouncements/Documents/IT%20contro%20objectives%20for%20Cloud%20computing.pdf. Se consultó el 10 noviembre del 2018.

[2] García, R. (2018). Perspectiva del CEO en la gestión del Riesgo Empresarial. Conferencia realizada en el Basque Cybersecurity Day.

[3] «Clarity on Cyber Security – KPMG.» 25 mayo 2018, https://assets.kpmg.com/content/dam/kpmg/ch/pdf/clarity-on-cyber-security-2018.pdf. Se consultó el 10 noviembre del 2018.

[4] «Cloud Cyber Risk Management – Deloitte.» https://www2.deloitte.com/content/dam/Deloitte/us/Documents/about-deloitte/us-allian-deloitte-cloud-cyber-risk-considerations-amazon-web-services.pdf. Se consultó el 10 nov.. 2018.

[5] «Top Threats Cloud Computing V1.0 – Cloud Security Alliance.» https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf. Se consultó el 10 noviembre del 2018.

[6] «Risk Landscape of Cloud Computing – isaca.» https://www.isaca.org/Journal/archives/2010/Volume-1/Pages/Risk-Landscape-of-Cloud-Computing1.aspx. Se consultó el 10 noviembre del 2018.