Para muchos de los que nos dedicamos a la informática y a la administración de sistemas, el reciente paso en falso de GoDaddy, Google y Apple en materia de seguridad digital sin duda nos toca la fibra sensible.
Cada historia como esta nos da al menos una lección en la que pensar. En este caso, se trata de reconocer que dirigir un programa de seguridad digital no consiste solo en hacer el trabajo y marcar una casilla.
Una estrategia eficaz de seguridad y certificados digitales incluye previsión y retrospectiva. Es el tipo de esfuerzo que requiere que tanto los fabricantes de dispositivos médicos (MDM) como las organizaciones de prestación de asistencia sanitaria (HDO) piensen a lo grande, incluyendo la planificación a nivel empresarial, la inversión y la gobernanza continua.
Proteger la Internet de los objetos médicos (IoMT) significa aceptar que todos los dispositivos conectados son vulnerables hasta que dejan de serlo.
¿Cada dispositivo, dices? Sí.
Los dispositivos médicos han sido y seguirán siendo objetivos apetecibles para los piratas informáticos, y los daños pueden ser catastróficos. Los robos de dispositivos se han hecho tan reales que la FDA está intensificando sus esfuerzos en torno a la seguridad del Internet de las cosas médico (IoT ) .
Ya se trate de 100 dispositivos o de 100 millones, los certificados digitales sirven como base natural para identificar de forma exclusiva y proporcionar cobertura de seguridad IoT para cada dispositivo médico conectado sobre el terreno.
¿Cómo influyen las identidades únicas individuales en la seguridad de los productos sanitarios?
El uso de certificados digitales únicos para cada dispositivo valida que un dispositivo es auténtico y afirma con gran seguridad que sus mensajes son genuinos. También permite a las plataformas y aplicaciones IoMT validar la integridad de los datos y la programación enviados desde y hacia cada dispositivo.
Esto garantiza que sólo los destinatarios previstos envían y reciben información sanitaria crítica. El impacto potencial de un dispositivo comprometido se minimiza porque lleva una identidad única, cifra sus datos y está programado con una clave criptográfica asociada a esa identidad.
Entre las alternativas menos seguras se encuentran las contraseñas estáticas y las claves compartidas, ninguna de las cuales proporciona el nivel de seguridad o control requerido. Comprometer una contraseña estática permite el acceso o la suplantación de todos los dispositivos que utilicen esa contraseña. Si la contraseña se almacena en texto claro, la apropiación del dispositivo puede ser una tarea aún más fácil. Actualizar la contraseña comprometida en todos los dispositivos desplegados es difícil y a menudo imposible debido a que está incrustada en el código.
Las claves compartidas son un método más sólido que las contraseñas basadas en texto. Sin embargo, no están asociadas a una raíz de confianza específica ni pueden actualizarse. Esto no permite la diferenciación absoluta entre dispositivos en el ecosistema IoT . Si varios dispositivos se autentican con el mismo par de claves, cualquier información de identificación posterior no puede validarse con gran garantía.
Garantizar que las instrucciones específicas sólo lleguen a un dispositivo concreto, o validar que esos datos específicos proceden de un dispositivo concreto, son tareas inalcanzables a menos que cada dispositivo lleve sus propias credenciales únicas y sólidas.
Con la monitorización permanente de los pacientes a través de redes abiertas en numerosas instalaciones, que se está convirtiendo en una práctica habitual, la seguridad de los dispositivos médicos nunca ha sido tan importante. Esto significa que cada dispositivo debe ser contabilizado, mantenido y supervisado para garantizar su seguridad.
Para obtener más información sobre los principios básicos de una estrategia de seguridad IoMT de éxito, lea nuestros Cinco principios rectores para optimizar la seguridad en IoT o póngase en contacto con nosotros hoy mismo:
