Red Seguridad 095

red seguridad cuarto trimestre 2021 57 opinión vicios informáticos de una organización, instalando software de seguridad de ser necesario, el software de los equipos médicos solo puede ser gestionado por los fabricantes de los equipos. Estos equipos médicos están someti- dos a controles y homologaciones para garantizar la calidad de su operación y la seguridad del paciente, por lo que cualquier manipulación debe someterse también a las mismas pruebas. Pense- mos, por ejemplo, qué ocurriría si un res- pirador ‘va lento’ porque se ha activado un antivirus que se instala y mantiene sin las homologaciones necesarias. Por otro lado, es también cierto que los fabricantes no son precisamente rá- pidos en el despliegue de actualizacio- nes y parches de seguridad, con lo que tenemos la tormenta perfecta: equipos obsoletos, con vulnerabilidades conoci- das, conectados a las redes y sin posibi- lidad de actualizar debidamente. Problemas Si esto no fuera suficiente, los equipos médicos presentan sus propios protoco- los de comunicación, en muchas oca- siones propios de cada fabricante. Esto genera muchas dificultades a las herra- mientas de seguridad de redes que se implementan para los dispositivos IT, ya que no son capaces de identificar correc- tamente los equipos médicos y de anali- zar sus vulnerabilidades y configuración. Por otro lado, aunque ya hay en el mercado equipos médicos que admiten instalación de antivirus, en general no se puede instalar ningún software de ci- berseguridad como control de accesos, configuración, etcétera. De nuevo, no solo tenemos equipos muy vulnerables conectados a los siste- mas, sino que su actualización y control presenta serios problemas. ¿Qué se pude hacer? En mi opinión, las lecciones aprendidas sobre ciberseguridad son de aplicación en el caso de los equipos médicos: La gestión del riesgo de ciberseguri- dad debe incorporarse a los objetivos de la organización. El compromiso de la dirección y la coordinación de equipos es fundamental. En el sector sanitario, los riesgos de ciberseguridad pueden afectar gravemente a la segu- ridad del paciente, un valor siempre presente en la gestión sanitaria. Este compromiso se tiene que ver reflejado en los planes estratégicos y en los re- cursos asignados para su control. Inclusión de criterios de ciberseguri- dad en los planes de adquisición de equipos médicos. Si el mercado prima el compromiso con la ciberseguridad, los proveedores procurarán mejorar en este aspecto. Primar software ac- tualizado, políticas de actualizaciones y parcheo y tiempos de respuesta del fabricante adecuados, entre otros ele- mentos, disminuiría sorpresas desagra- dables cuando los equipos se conectan a las redes. Para esto es fundamental la coordinación entre los equipos de ci- berseguridad y los ingenieros de elec- tromedicina, que normalmente son los que planifican compras y mantenimien- tos en los centros sanitarios. Implementar tecnologías de ciberse- guridad adaptadas al sector sanita- rio. Los proveedores de tecnología de seguridad van desarrollando solucio- nes adaptadas a las necesidades aquí descritas, investigando en los protoco- los de los fabricantes, comportamien- tos típicos, etcétera. Esto va a permitir un mayor control de los equipos, apo- yará la segmentación de las redes y posibilitará la detección temprana de ataques y la respuesta a incidentes. Certificación de producto. La Unión Europea está trabajando en definir normativas de certificación para los dispositivos conectados a las redes desde la aprobación del Cyber Securi- ty Act. Este trabajo se va desarrollando por sectores y esperemos que el sa- nitario tenga sus requisitos de certifi- cación aprobados próximamente y se vayan implementando en sus equipos. Mientras tanto, debemos apoyarnos en las medidas anteriores para pro- curar ofrecer un servicio seguro y de confianza a los ciudadanos. Fuente: “Perfil Tecnológico Hospitalario y Propuestas para la Renova- ción de Tecnologías Sanitarias”. Federación Española de Empresas de Tecnología Sanitaria. 2021, actualizado a diciembre 2020.