Estuvimos encantados de participar en las conferencias BlackAlps 2018 en Yverdon a principios de noviembre. Además de muchos temas de moda relacionados con la ciberseguridad, como la computación cuántica y las criptomonedas, el equipo de BlackAlps decidió este año organizar un evento especial centrado en los dispositivos médicos.
A partir de varias charlas y de una mesa redonda entre expertos del mundo de la medicina y de la ciberseguridad, surgió una afirmación clara de este evento: La falta de un enfoque pragmático y de regulaciones en torno al campo de la ciberseguridad en el ámbito médico representa un gran riesgo y este tema debe ser tomado en consideración lo antes posible.
De hecho, con la interconexión cada vez mayor de los dispositivos médicos, la ciberseguridad desempeña un papel aún mayor para garantizar la seguridad, la eficacia y la privacidad de los datos. El Reglamento de Dispositivos Médicos (MDR), que entró en vigor en mayo de 2017, contiene requisitos esenciales explícitos relativos a la ciberseguridad de los dispositivos médicos. Sin embargo, hasta ahora no existía ninguna norma armonizada aplicable a esto.
Según numerosos testimonios y debates entre especialistas, los requisitos del ámbito médico son muy similares a los del mundo industrial de la automatización.
La serie de normas IEC 62443 se beneficia del hecho de que entiende y trata la ciberseguridad de forma holística con respecto a los aspectos de "personas - procesos - tecnología" y de que el modelo de roles subyacente de la IEC 62443 (desde el propietario/operador de los activos, pasando por el "integrador", hasta el proveedor de productos y sus procesos de desarrollo) puede ser bien mapeado con los roles y dependencias correspondientes en el campo médico, por ejemplo, entre operadores de hospitales, médicos, integradores de TI/redes y fabricantes de dispositivos médicos (véase la Figura 1).
Figura 1: Ejemplo del alcance del ciclo de vida de los productos del SIGC (interpretado a partir de ISA/IEC-62443-2-4)
Por ello, las normas IEC 62443 son cada vez más recomendadas por la FDA, la BSI y otras organizaciones similares para el sector médico. Sin embargo, la aplicación de las normas IEC 62443 en el ámbito de la ingeniería médica no está en absoluto exenta de dificultades, especialmente en lo que respecta a las terminologías utilizadas y las referencias a los sistemas industriales.
En CertX creemos firmemente en el enfoque impulsado por el conjunto de normas IEC 62443 para su uso en el ámbito médico. En esta perspectiva, CertX desarrolla continuamente sus servicios de ciberseguridad y actualmente ofrece:
- Formaciones para introducir/mejorar la conciencia de ciberseguridad para la empresa médica
- Análisis de brechas / modelización de amenazas para evaluar el estado de ciberseguridad de su producto / sistema / infraestructura frente a las mejores prácticas y normas aplicables
- Certificación sobre la conformidad de su proceso/producto/sistema con las normas ISA/IEC 62443
Le animamos a que se ponga en contacto con nosotros para obtener más información sobre estos dominios y poder identificar nuevas oportunidades para mejorar la eficacia de su negocio a largo plazo.