Saltar al contenido principal

Requisitos y recomendaciones de seguridad

¿Qué es esta sección?

Esta sección explica los requisitos mínimos de seguridad informática y recomendaciones para interactuar con el dispositivo, especialmente en lo que respecta a amenazas de ciberseguridad.

Para garantizar el funcionamiento seguro del dispositivo, es esencial cumplir con ciertos requisitos mínimos de seguridad. De hecho, estos requisitos son tan esenciales que están inherentemente presentes en la mayoría, si no en todos los sistemas operativos. Además, estos requisitos no son específicos del dispositivo, sino comunes a cualquier sistema que procese datos de salud.

Por esa razón, es muy probable que no necesites tomar ninguna acción específica. Aun así, te sugerimos que revises este documento. Seguir estas especificaciones ayudará a prevenir accesos no autorizados, violaciones de datos y otras amenazas cibernéticas, manteniendo así la integridad y confidencialidad de la información de salud sensible en tu sistema. Esto cubre varios aspectos de la seguridad informática, incluyendo, pero no limitado a, configuraciones seguras del sistema operativo, medidas de seguridad de red, protocolos de autenticación y cifrado de datos.

Los requisitos y recomendaciones aquí descritos han sido desarrollados según los últimos estándares y directrices del Medical Device Coordination Group (MDCG) y el Medical Device Regulation (MDR).

Requisitos y recomendaciones

Selección del sistema operativo

  • Elige sistemas operativos conocidos por sus sólidas características de seguridad y que sean compatibles con el fabricante. Los sistemas operativos deben estar en desarrollo activo, con actualizaciones y parches de seguridad regulares disponibles.
  • Prefiere sistemas operativos comúnmente utilizados en entornos seguros y que tengan una amplia comunidad de soporte, como ciertas distribuciones de Linux diseñadas específicamente para mejorar la seguridad.

Configuración y endurecimiento

  • Configura los sistemas operativos según las mejores prácticas de la industria para la seguridad. Esto puede implicar deshabilitar servicios innecesarios, cerrar puertos de red no utilizados y eliminar o deshabilitar cuentas de usuario predeterminadas.
  • Aplica guías de endurecimiento de seguridad específicas para el sistema operativo. Muchos estándares y guías de la industria, como los del Center for Internet Security (CIS), proporcionan pasos detallados para endurecer varios sistemas operativos.

Gestión de parches

  • Implementa una política robusta de gestión de parches para garantizar que todos los parches de seguridad se apliquen tan pronto como se publiquen. Debe realizarse un parcheo programado regularmente, con disposiciones para parches de emergencia en respuesta a vulnerabilidades críticas.
  • Utiliza herramientas que automaticen el proceso de gestión de parches para garantizar consistencia y reducir el riesgo de errores humanos.

Principio de privilegio mínimo

  • Asegúrate de que todos los usuarios y procesos operen bajo el principio de privilegio mínimo, donde se les otorguen solo los derechos de acceso necesarios para realizar sus tareas. Esto limita el daño potencial de una cuenta o proceso comprometido.
  • Revisa y ajusta regularmente los permisos para adaptarse a los cambios en los patrones de uso y cerrar posibles brechas de seguridad.

Características de seguridad

  • Habilita y configura características de seguridad integradas como firewalls, mecanismos de control de acceso y el uso de sistemas de arranque seguro que verifiquen la integridad del sistema operativo al inicio.
  • Utiliza entornos mejorados de seguridad como SELinux (Security Enhanced Linux), AppArmor o Windows Defender, que proporcionan capas adicionales de seguridad y pueden imponer un control estricto sobre los comportamientos del sistema.

Monitoreo y auditoría

  • Configura el registro y monitoreo del sistema para detectar y responder a incidentes de seguridad o violaciones de políticas. Asegúrate de que los registros se conserven según la política de retención de datos de la organización y estén protegidos contra manipulaciones.
  • Utiliza sistemas de detección de intrusos (IDS) o sistemas de gestión de información y eventos de seguridad (SIEM) para analizar registros y alertar a los administradores sobre actividades sospechosas.

Gestión de cuentas de usuario

  • Aplica políticas de contraseñas seguras y considera el uso de herramientas de gestión de contraseñas para ayudar a los usuarios a mantener contraseñas seguras.
  • Implementa políticas de expiración de cuentas, bloqueo de cuentas y revisión regular del uso de cuentas para garantizar que las credenciales no sean abusadas.

Conclusión

Como puedes ver, estas recomendaciones no son específicas del dispositivo, sino aplicables a cualquier computadora, especialmente si ya se utiliza para interactuar con registros de salud. Puede parecer que proporcionar estas directrices excede nuestro rol como proveedor de un dispositivo médico porque todas se aplican a cómo deberías configurar tu propio sistema. Nuestro objetivo es ayudarte a garantizar que tu infraestructura de TI esté adecuadamente preparada para soportar el uso seguro y efectivo del dispositivo, mejorar la seguridad y también facilitar un rendimiento y confiabilidad óptimos.