Los expertos en tecnología y ciberseguridad, deben saber y prevenir todas las posibles vulnerabilidades en el software que acompaña a cualquier equipo conectado a la red. Una de las fuentes más grandes y duraderas de estos “agujeros” son los dispositivos médicos, de los cuales hay innumerables en hospitales y sistemas de salud.
Las organizaciones de proveedores han estado a merced de los fabricantes de dispositivos médicos y sus prácticas de seguridad, hoy más que nunca se vuelve urgente cerrar la brecha tecnológica interdisciplinaria entre salud y tecnología. La realidad a la que pocos fabricantes desean hacer frente, es que muchos dispositivos están diseñados y construidos con prácticas de seguridad deficientes y poca capacidad tecnológica para solucionar problemas de seguridad conocidos y emergentes.
Con tantos equipos conectados a la red de atención médica, el entorno resultante es volátil y dinámico. Los dispositivos se mueven y sus puntos de conexión cambian, por lo que las políticas de seguridad deben ser lo suficientemente ágiles para ser consistentes en su efectividad sin importar cómo y dónde se conecten.
La amenaza importante es que un dispositivo se vea comprometido y tenga un impacto negativo en los pacientes. Ya sea que el impacto afecte el robo de datos de pacientes o directamente sobre la atención recibida, ninguno de los resultados es aceptable.
Los dispositivos médicos son intrínsecamente inseguros y, si bien ha habido algunos avances recientes en esta área, la mayoría de las organizaciones de atención médica todavía tienen miles de dispositivos médicos expuestos a riesgos. Pueden pasar años hasta que una vulnerabilidad conocida reciba un parche de software. La organización de atención médica tiene que usar controles de compensación para evitar que estos dispositivos con problemas conocidos sean utilizados como armas por malos actores contra ellos y sus pacientes.
Sin una comprensión clara de lo que se conecta a la red, las políticas de seguridad válidas y prescriptivas son imposibles. Desafortunadamente, muchas organizaciones de atención médica simplemente no tienen el conocimiento detallado sobre qué dispositivos están conectados y cuáles no, lo que hace que asegurarlos sea casi imposible.
Comenzar con un análisis de brechas sobre lo que las organizaciones saben sobre conexiones de red seguras, puede ser un excelente primer paso. Tener información incompleta solo dificultará cualquier mejora estratégica en la postura de seguridad, por lo que saber dónde están las brechas es el primer paso para completar los detalles necesarios.
La colaboración es vital. El hecho de que la seguridad sea compleja no significa que sea imposible o que los líderes y fabricantes deban evitar los siguientes pasos apropiados. Con mejores datos, las organizaciones de atención médica pueden tomar mejores decisiones.
Por: Dalia Solano.
Fuentes:
Health Care IT News.
How health systems can leverage their buying power for safer medical devices.
