2 min read
Con el desarrollo de los avances tecnológicos, aumenta el uso de la tecnología de conexión en red para los dispositivos médicos. Los dispositivos médicos conectados almacenan y transmiten los datos de los pacientes y exigen tanto privacidad como precisión. Por lo tanto, la ciberseguridad de los dispositivos médicos seguirá siendo el centro de atención de reguladores y fabricantes.
Al desarrollar un dispositivo, los fabricantes deben ser conscientes de que estará sometido a una prueba infalible contra cualquier tipo de ciberamenaza y mitigar los eventos que puedan tener consecuencias para la integridad de los datos y la privacidad de los pacientes. Por ello, las agencias reguladoras mundiales han desarrollado varias normas y requisitos para ayudar a los fabricantes a crear dispositivos médicos seguros y eficientes. En este blog, vamos a entender algunas de las mejores prácticas para la ciberseguridad de los dispositivos médicos que se encuentran en las normas IEC 62304 e ISO 14971.
Norma IEC 62304 para todo el ciclo de vida del software de dispositivos médicos
Conocida como norma de seguridad funcional, la IEC 62304 abarca las prácticas de diseño y mantenimiento de software de productos sanitarios a lo largo del ciclo de vida del producto. Se aplica tanto a SaMD (Software as a Medical Device) como a dispositivos médicos con software integrado como parte de su funcionalidad. Una de las mejores prácticas de esta norma es la creación de medidas de seguridad al principio del desarrollo. Los procesos relacionados con la seguridad se determinan a partir de las directrices de clasificación de la seguridad del software de la norma, y afectan a todos los requisitos del ciclo del software. Las tres (03) clases de seguridad para dispositivos médicos relacionados con software son:
- Clase A: No es posible que se produzcan lesiones ni daños para la salud.
- Clase B: Las lesiones son posibles pero no graves.
- Clase C: Probabilidad de muerte o lesiones graves.
La norma IEC 62304 consta de nueve (09) partes, que describen los diferentes aspectos de un producto sanitario, como se detalla a continuación:
- Parte 1: Ámbito de aplicación
- Parte 2: Referencias normativas
- Parte 3: Términos y definiciones
- Parte 4: Requisitos generales
- Parte 5: Proceso de desarrollo de software
- Parte 6: Proceso de mantenimiento del software
- Parte 7: Proceso de gestión de riesgos del software
- Parte 8: Proceso de gestión de la configuración del software
- Parte 9: Proceso de resolución de problemas de software
Norma ISO 14971 para la gestión de riesgos de los productos sanitarios
Esta norma internacional se centra principalmente en la gestión de riesgos de los productos sanitarios, se aplica a la seguridad del paciente y garantiza un contacto seguro entre el producto y el paciente o usuario final. Los procedimientos relacionados con la seguridad en diversas etapas a lo largo del ciclo de vida del producto deben mostrarse a través de la documentación y aplicarse en consecuencia. Los componentes esenciales de las directrices de gestión de riesgos son el análisis y la mitigación de riesgos. Hay que prever las formas en que pueden fallar los dispositivos conectados y cuáles pueden ser las consecuencias de los fallos. Esto ayudará a crear los dispositivos de seguridad necesarios para mitigar el potencial de peligro. La AAMI (Asociación para el Avance de la Instrumentación Médica) publicó un informe técnico conocido como TIR57:2016, relacionado con la norma ISO 14971, en el que se describen los principios de seguridad de los dispositivos médicos. Este informe tiende un puente entre los riesgos de seguridad (incluye las violaciones de la seguridad de datos y sistemas y la reducción de la eficacia) y las prácticas de gestión de riesgos relacionados con la seguridad que se encuentran en la norma ISO 14971.
TIR57:2016 proporciona orientación sobre la realización de evaluaciones de riesgos de ciberseguridad de los productos sanitarios y la gestión de los riesgos derivados de las amenazas a la seguridad, que afectan a la confidencialidad, integridad y disponibilidad del producto, o a la información procesada por el producto. Asimismo, la norma IEC 80002-1:2009 para software de dispositivos médicos ofrece orientación sobre la aplicación de la norma ISO 14971 al software de dispositivos médicos y se centra en el análisis de riesgos, la gestión de riesgos, la evaluación de riesgos y los controles de riesgos aplicables al software de dispositivos médicos.
Por último, a medida que aumenta el número de dispositivos médicos conectados a la red, los fabricantes deben cumplir las normas reglamentarias propuestas para evitar o mitigar los riesgos de ciberseguridad. Para obtener las mejores soluciones para la gestión del ciclo de vida completo de sus dispositivos médicos conectados, consulte a Freyr, un experto acreditado en este ámbito. Manténgase informado. Cumpla la normativa.
