Seguimos con el análisis de los requisitos de ciberseguridad para producto sanitario software. Desarrollamos a continuación los principales hilos que afectan a este riesgo posible que es necesario atajar en el software como producto sanitario.
Requisitos mínimos de las comunicaciones IT, en relación con la ciberseguridad para productos sanitarios
Es necesario determinar, por el fabricante, los requisitos que son necesarios prever en las comunicaciones. Estos requisitos dependerán de cada producto, pero irán desde el protocolo seleccionado hasta las herramientas seleccionadas en el desarrollo, o el interface del usuario.
Incluidos en ellos, se han de tener presentes los riesgos relacionados con la falta de experiencia o conocimiento del usuario, para lo que usaremos la normativa armonizada de Usabilidad, ISO 62366.
Otros requisitos y aspectos a tener presentes
Otros requisitos o fuentes de información que deberemos tener en cuenta son:
- Protección de datos e informaciones de carácter personal (incluso su normativa y legislación de desarrollo).
- La información procedente del seguimiento post-comercialización.
- El informe periódico de seguridad.
- Los incidentes graves reportados a las autoridades.
- Los informes de tendencia.
- La adecuación de la documentación técnica de producto.
- La relación beneficio/riesgo y sus evidencias.
Funcionamiento seguro
Se define el funcionamiento seguro como la protección contra la corrupción malintencionada del producto software capaz de causar comportamientos no intencionados por los usuarios, fabricantes o desarrolladores, se abordan incluso de forma directa los parámetros de la seguridad operativa de la infraestructura. Se trata este de un aspecto que deberá ser analizado en detalle con el avance del estado de la ciencia y tecnología.
Seguridad de la información
Cita MDR explícitamente la necesidad de garantizar la seguridad de la información (o ciberseguridad para productos sanitarios), donde se citan, o recomienda, los principios del estado del arte y de ciclos de vida de desarrollo software (véase ISO 62304).
Seguridad y eficacia
De este modo, los requisitos generales de seguridad y funcionamiento, citan directamente la seguridad y eficacia del producto sanitario software. En este ámbito relaciona los riesgos de seguridad con impacto en la propia seguridad.
Esto es:
- La seguridad debe evitar vulnerabilidades y ataques malintencionados, pero
- Que las medidas de seguridad garanticen que el software es usable y será capaz de proporcionar el suficiente beneficio clínico, en relación con su propio riesgo.
El software se debe proteger contra ataques, sin penalizar por ello su usabilidad!