Australia 
Canadá 
Dinamarca 
Francia 
Alemania 
Irlanda 
Países Bajos 
Nueva Zelanda 
Noruega 
España y Portugal 
Reino Unido 
Estados Unidos 17 de diciembre de 2021
Por Matt Walker, asesor en materia de destitución
La ciberseguridad se ha convertido en una cuestión fundamental para el sector de los dispositivos médicos, donde una amenaza cibernética puede provocar lesiones o incluso la muerte.
Para hacer frente a este problema cada vez mayor, la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA), la corporación MITRE y el Consorcio para la Innovación en Dispositivos Médicos (MDIC) han publicado unmanualque ofrece orientación a las organizaciones que están desarrollando o perfeccionando un enfoque para la creación de modelos de amenazas en materia de ciberseguridad de los dispositivos médicos.
¿Qué es el modelado de amenazas y para qué sirve?
Según el manual, el modelado de amenazas consiste en «analizar las representaciones de un sistema para poner de relieve los aspectos preocupantes relacionados con la seguridad y la privacidad». Esto implica plantearse cuatro preguntas clave para empezar a identificar qué puede fallar en un sistema. Estas preguntas son:
- ¿En qué estamos trabajando?
- ¿Qué puede salir mal?
- ¿Qué vamos a hacer al respecto?
- ¿Lo hemos hecho lo suficientemente bien?
Tras llevar a cabo un ejercicio de modelización de amenazas, las empresas identifican las «amenazas»: problemas de diseño o implementación en un dispositivo médico que requieren ajustes o medidas de mitigación. Dada la complejidad y la interconectividad de los dispositivos médicos, es importante que todas las empresas realicen periódicamente ejercicios de modelización de amenazas. Detectar una amenaza a tiempo puede, a menudo, evitar la muerte o lesiones a futuros pacientes.
Las amenazas derivadas de las vulnerabilidades en materia de ciberseguridad son también los riesgos que pueden dar lugar a una retirada del mercado para un fabricante de productos sanitarios. La realización de un ejercicio de modelización de amenazas puede ayudar a los fabricantes a identificar estos riesgos a lo largo de todo el ciclo de vida de un producto sanitario y brindar la oportunidad de mitigarlos antes de que se conviertan en una retirada del mercado.
Aunque la FDA ha señalado que el manual de modelización de amenazas no constituye una guía, Suzanne Schwartz, directora de la Oficina de Asociaciones Estratégicas e Innovación Tecnológica del Centro de Dispositivos y Salud Radiológica de la FDA, ha advertido de que la FDA «exigirá una modelización de amenazas mucho más detallada y exhaustiva como parte del proceso de autorización o aprobación de los productos sanitarios». Teniendo esto en cuenta, todos los fabricantes de productos sanitarios que tengan previsto presentar un producto para su aprobación deben prestar mucha atención al manual de modelización de amenazas y tomar ahora las medidas necesarias para asegurarse de que están preparados para presentar pruebas de un modelo de amenazas adecuado.
La elaboración de modelos de amenazas también ayudará a los fabricantes a identificar los riesgos en una fase temprana del proceso de I+D, además de permitirles valorar el impacto que dichos riesgos podrían tener una vez que el dispositivo se comercialice. En definitiva, una elaboración minuciosa de modelos de amenazas aportará tranquilidad, supondrá un ahorro de costes y, lo que es más importante, salvará vidas.
