Enero 30, 2017
Una nueva encuesta Orientación de la FDA En cuanto a la gestión de riesgos, ayuda fabricantes de dispositivos médicos cumplir con las expectativas con respecto a un programa eficaz de ciberseguridad posterior a la comercialización.
Ciberseguridad: seguridad del paciente, eficacia del producto y cumplimiento normativo
A los fabricantes de dispositivos médicos expertos no hace falta recordarles dos veces que un programa sólido de ciberseguridad es fundamental para la seguridad del paciente, la eficacia del producto y el cumplimiento de las estrictas regulaciones de la FDA. Últimamente, se han reportado graves supuestas infracciones de ciberseguridad, lo que debería servir para subrayar la gravedad que ha adquirido la ciberseguridad en diversos frentes.
- Dispositivos médicos – Se han identificado vulnerabilidades de ciberseguridad en los dispositivos cardíacos implantables y el transmisor Merlin@home de St. Jude Medical.
- hospitales – St. Joseph Health pagará una Multa de 2.14 millones de dólares con respecto a posibles violaciones de las Normas de Privacidad y Seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) tras los informes de que archivos que contenían información de salud protegida electrónicamente (ePHI) fueron accesible públicamente a través de motores de búsqueda de Internet.
- Utilidades – El 2015 de diciembre Ciberataques a las centrales eléctricas de Ucrania sirvió como una llamada de atención para la red eléctrica de Estados Unidos.
Guía de gestión de riesgos: ciberseguridad
La FDA acaba de emitir ayuda que proporciona más aclaraciones sobre la ciberseguridad Gestión sistemática del riesgo, Al mismo tiempo, proporciona valiosos consejos para crear y mantener un sistema de gestión de calidad (SGC) que ayude a identificar, priorizar y mitigar riesgos.
Recordatorios y recomendaciones para fabricantes de dispositivos médicos
Basándose en un extenso documento del Instituto Nacional de Estándares y Tecnología («Marco para la Mejora de la Ciberseguridad de las Infraestructuras Críticas»), la FDA utiliza sus propias directrices para ofrecer recordatorios y recomendaciones a los fabricantes de dispositivos médicos. Estos son algunos de los consejos más importantes:
- Definiciones Un plan integral de gestión de riesgos de ciberseguridad debe incluir directrices claras para el seguimiento de la seguridad y el rendimiento esencial de un dispositivo médico, el posible daño al paciente en caso de un problema y los criterios de aceptación de riesgos. Los fabricantes de dispositivos médicos deben aplicar estos pasos para priorizar las vulnerabilidades y su remediación.
- Gestión de reclamaciones – La FDA señala que los fabricantes de dispositivos médicos deben analizar quejas, productos devueltos, registros de servicio y otras fuentes de datos de calidad para identificar causas existentes y potenciales de productos no conformes u otros problemas de calidad.
- Evaluación de riesgos - La FDA recomienda que los fabricantes de dispositivos médicos caractericen y evalúen las vulnerabilidades identificadas. Una gestión eficaz de estos factores proporcionará información que también podrá utilizarse para la clasificación de problemas a medida que se detecten.
- Modelado de amenazas Los fabricantes de dispositivos médicos deben realizar análisis de riesgos de ciberseguridad que incluyan modelos de amenazas para cada uno de sus dispositivos y, sobre todo, actualizarlos periódicamente. Si se realiza correctamente, el modelado de amenazas proporcionará paradigmas tradicionales de gestión de riesgos y análisis de modos de fallo. Además, proporcionará a los fabricantes un marco para evaluar la amenaza de lo que la FDA denomina "adversarios activos/uso malicioso".
- Fuentes de amenazas, detección e impacto Las fuentes de amenaza deben caracterizarse por su gravedad. Los dispositivos médicos podrían no ser capaces de detectar la actividad de amenazas y, en muchos casos, dependerán de la monitorización de la red. La FDA recomienda encarecidamente que los fabricantes de dispositivos médicos evalúen el impacto de una señal de ciberseguridad tanto horizontal como verticalmente. En este contexto, el análisis horizontal podría detectar un problema en toda la cartera de productos del fabricante. Por el contrario, un enfoque vertical permitiría detectar si existe un impacto en componentes específicos del dispositivo médico.
Violación de la ciberseguridad: protección, respuesta y recuperación
Las directrices de la FDA se centran en la protección, la respuesta y la recuperación ante una brecha de ciberseguridad u otro problema. En este sentido, la agencia recomienda que los fabricantes de dispositivos médicos implementen funciones basadas en el dispositivo, como controles de diseño, como principal medida para mitigar cualquier riesgo para los usuarios finales de dispositivos médicos.
Explora la automatización #gestión de riesgos solución proporcionada por el sistema de gestión de calidad AssurX #SGC ! http://ow.ly/dPMT3083CvP
— AssurX (@AssurX) Enero 17, 2017
Adopción de una política coordinada de divulgación de vulnerabilidades
La FDA también insta a los fabricantes de dispositivos médicos a adoptar una política y prácticas coordinadas de divulgación de vulnerabilidades que incluyan un medio claro para reconocer la recepción de cualquier vulnerabilidad al remitente de la misma dentro de un plazo de tiempo claramente definido.
Plan de Aprovechamiento de la Vulnerabilidad de la Ciberseguridad
Una vez que un plan se aprueba internamente y se implementa, los fabricantes de dispositivos médicos deben aprovecharlo de diversas maneras, entre ellas:
- Gestión de riesgos - Determinar si la amenaza de daño al paciente planteada por la vulnerabilidad se aborda y controla adecuadamente mediante las características existentes y/o los controles compensatorios definidos, es decir, si los niveles de riesgo residual se han considerado aceptables según un criterio defendible.
- Plan de acción – Debe existir un plan de acción que refleje la magnitud del problema identificado y lo alinee con los riesgos demostrados y potenciales.
- Evaluación transparente – Los fabricantes de dispositivos médicos también deberían incluir una evaluación detallada y transparente del riesgo residual y de cualquier riesgo introducido por la propia remediación.
¿Mejora o retirada del mercado de dispositivos médicos?
Finalmente, la guía aclara que los cambios realizados para la vulnerabilidad del riesgo controlado se consideran, generalmente, mejoras de dispositivos médicos y no retiradas totales de productos. Además, las actualizaciones rutinarias de los programas de ciberseguridad y el uso de parches no suelen considerarse mejoras de dispositivos médicos.
Si los servicios públicos pueden ser violados…
Las amenazas a la ciberseguridad son tan recientes como los titulares de hoy. A medida que la nación... utilidades Tras un reciente informe sobre una filtración de datos, es evidente que los fabricantes de dispositivos médicos también están en riesgo. Si bien la mayoría de los hackers no tienen las habilidades de quienes aparecen en las noticias hoy en día, cabe destacar que un fabricante de dispositivos médicos es un blanco mucho más fácil que las instituciones con protecciones mucho más estrictas que ya han sido vulneradas.
Descargue este informe técnico para conocer los errores más comunes y las estrategias esenciales para alcanzar el éxito al automatizar su sistema de gestión de calidad (QMS).
¿Cumplimiento del Sistema Manual de Gestión de Riesgos?
Ciberseguridad para fabricantes de dispositivos médicos Seguirá siendo un tema constante en 2017. ¿Cómo puede mantener el cumplimiento de la FDA si su sistema actual de gestión de calidad? solución de gestión de riesgos ¿Incluye un componente manual? Un sistema automatizado de gestión de calidad como AssurX ofrece una capa adicional de protección contra las amenazas de ciberseguridad mediante actualizaciones continuas y un análisis más sencillo. Actúe ahora. ¿Vale la pena esperar a ver cómo responderá su empresa a una brecha de ciberseguridad con un proceso manual?
