Logotipo de Zephyrnet

Inteligencia de datos generativa

Dispositivos médicos

Descripción general de la nueva guía de la FDA sobre ciberseguridad

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 25
Guía de la FDA sobre ciberseguridad para dispositivos médicos"Ciberseguridad en dispositivos médicos: consideraciones sobre el sistema de calidad y contenido de las presentaciones previas a la comercialización | FDA” es un nuevo documento elaborado por la FDA que brinda orientación sobre la integración de la ciberseguridad en la gestión del sistema de calidad y el proceso de presentación previa a la comercialización de dispositivos médicos.
Cubre la gestión de riesgos, controles de diseño, validación de software y otros elementos para garantizar la seguridad, eficacia y protección de los dispositivos médicos frente a posibles amenazas cibernéticas.

El objetivo del documento es transmitir a los fabricantes de dispositivos la necesidad de considerar la ciberseguridad en todos los aspectos del software del dispositivo, incluido el diseño, desarrollo, prueba, monitoreo y mantenimiento. Un concepto clave del documento es la planificación del “Ciclo de vida total del producto”. La FDA ha eliminado muchos aspectos de la ciberseguridad que normalmente se dejarían en manos de HIPAA y de los clientes de dispositivos. Ahora corresponde a los fabricantes de dispositivos integrar prácticas de software seguras desde el comienzo de la fase de desarrollo y mostrar a través de la documentación cómo continuarán garantizando que el dispositivo permanezca seguro.

¿Qué es la ciberseguridad?

NIST (Instituto Nacional de Estándares y Tecnología) tiene una página completa dedicada a los diversos definiciones de ciberseguridad.

NIST identifica Ciberseguridad como sinónimo de seguridad informática[ 1 ]. Son las “Medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de la información procesada y almacenada por una computadora”.[ 2 ] También es “la prevención de daños, uso no autorizado, explotación y, si es necesario, la restauración de los sistemas electrónicos de información y comunicaciones, y la información que contienen, con el fin de fortalecer la confidencialidad, integridad y disponibilidad de estos sistemas”. .”[ 3 ]

Cuando se extiende a los dispositivos médicos, la ciberseguridad abarca la seguridad del usuario y del paciente. Como se indica en la Guía de la FDA en la página 11: “El alcance y objetivo de un proceso de gestión de riesgos de seguridad, junto con otros procesos SPDF (por ejemplo, pruebas de seguridad), es exponer cómo las amenazas, a través de vulnerabilidades, pueden manifestar daños al paciente y otros riesgos potenciales." La Figura 1 a continuación muestra la relación entre el riesgo de ciberseguridad y el riesgo de seguridad.

Cómo gestionar los riesgos de ciberseguridad

La Guía de la FDA sugiere que una forma de gestionar el riesgo de ciberseguridad es a través de lo que llama un "Marco de desarrollo de productos seguro" o SPDF. Un SPDF es esencialmente un plan para identificar amenazas y mitigaciones de ciberseguridad durante toda la vida útil del dispositivo. Los fabricantes de dispositivos deben implementar un SPDF como parte del Sistema de Gestión de Calidad (QMS) clave que rige cómo se desarrolla y mantiene un dispositivo con software.

El proceso se puede resumir en los siguientes pasos:

  • Identificar amenazas
  • Documentar y evaluar riesgos
  • Documentar e implementar mitigaciones
  • Probar y verificar mitigaciones
  • y finalmente monitorear el dispositivo y el espacio del dispositivo en busca de nuevas amenazas.

Los resultados de estos pasos y la implementación de procedimientos futuros son los insumos que la FDA requiere para todas las nuevas presentaciones regulatorias. Si bien los pasos del proceso se identifican fácilmente, la implementación de un SPDF no es nada fácil.

Más información sobre SPDF

Un marco de desarrollo seguro de productos debería convertirse en una parte estándar de cualquier sistema de gestión de la calidad utilizado para desarrollar un dispositivo médico electrónico o cualquier dispositivo médico con software. Es tentador afirmar que un dispositivo no requiere un SPDF ni consideraciones de ciberseguridad, pero sería un error. No hay forma de demostrarle a la FDA que su dispositivo NO presenta riesgos de ciberseguridad hasta que haya realizado muchos de los pasos iniciales de un SPDF, es decir, la identificación de amenazas y el análisis de riesgos de ciberseguridad. Ya hemos escuchado historias de otros fabricantes que asumieron que eran seguros solo para que la FDA señalara un puerto USB o un puerto de red latente (¡nada menos que detrás de un panel!) y rechazara la solicitud debido a la falta de documentación de ciberseguridad. El hecho de que el dispositivo no se conecte a Internet no significa que un actor de amenazas no pueda explotar una parte de su sistema. La única forma de demostrar que su dispositivo es seguro es implementar un SPDF desde el inicio del ciclo de vida del dispositivo y documentar la ausencia de amenazas o riesgos.

Gestión de riesgos de ciberseguridad

Nuestro equipo de software trabaja con varios profesionales de ciberseguridad, empresas de pruebas de penetración y consultores de la FDA para garantizar que los dispositivos que desarrollamos puedan cumplir con los requisitos de documentación de ciberseguridad de la FDA para dispositivos médicos. Los desarrolladores de dispositivos deben internalizar la nueva guía de la FDA y crear nuevos procesos para ayudar con el cumplimiento y nuevas herramientas para generar los resultados necesarios para satisfacer la FDA. Esta no es una empresa pequeña. Hemos dedicado mucho tiempo y esfuerzo a desarrollar estos sistemas. El esfuerzo ha dado sus frutos a nuestros clientes porque hemos automatizado la detección y la generación de informes de vulnerabilidades.

Si desea saber más sobre cómo StarFish Medical puede ayudarle con el cumplimiento normativo de ciberseguridad, por favor contacta con nuestro grupo de Desarrollo de Negocios. Estarán encantados de analizar cómo Starfish puede ayudarle a crear dispositivos médicos robustos y seguros.

[ 1 ] https://csrc.nist.gov/glossary/term/cybersecurity

[ 2 ] https://www.cnss.gov/CNSS/issuances/Instructions.cfm

[ 3 ] https://doi.org/10.6028/NIST.IR.8074v2

Imagen: FDA

Russell Haley es médico de StarFish Ingeniero Senior de Software. Es un veterano en software y TI con más de 20 años de experiencia en empresas emergentes diseñando sistemas IoT que recopilan datos a través de Wi-Fi, Bluetooth y radios MICS (implantables) y almacenan registros vitales en la nube de boyas oceanográficas, instituciones financieras y trenes de pasajeros. y más recientemente, dispositivos médicos.

Borrador de orientación sobre seguridad cibernética de la FDA

Compartir este…
punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.