Proyectos de Software "olvidados" para la industria HealthCare
Este artículo esta enfocado a realizar un acercamiento a la situación de proyectos de software OpenSource o de repositorios en internet que no tienen una correcta gestión de seguridad en su desarrollo, están abandonados u obsoletos sin soporte; pero en muchos casos siguen siendo usados. Si te estas preguntando ¿Por qué este tipo de software o proyectos? Pues es solo un enfoque que quise darle a este articulo, lo que no quiere decir que varios de los criterios no sean aplicables ha algún software comercial en este tipo de industria, como pueden ser falta de soporte en el desarrollo o fallos de seguridad. Estos criterios también podrían ser aplicables en hardware o tecnología en general de la industria hospitalaria.
La comunidad de desarrolladores incrementa cada día, lo cual conlleva a la posibilidad de tener un alto numero de opciones (proyectos) que podrían usarse por parte de las empresas. Esto determina un gran aporte a la sociedad y a la industria, pero podría conllevar riesgos implícitos sobre fallos de seguridad en el desarrollo de software o soporte del mismo. Varios de estos proyectos gestionan información de instalaciones hospitalarias en el mundo con datos de registros médicos, resultados de exámenes, fórmulas médicas, imágenes radiológicas, monitoreo de salud de un paciente, información financiera del hospital y más.
Desde ya hace algún tiempo se ha evidenciado como varios de estos proyectos han mantenido fallos de seguridad que representan un riesgo para los hospitales, clínicas, laboratorios, farmacéuticas que los implementan; debido a que los controles de seguridad en los desarrollos de este software no son los adecuados, entre otras; pero que no es donde apunta esta entrada. De hecho, se ha podido evidenciar como algunas empresas toman estos desarrollos y agregándole ciertas características “adicionales” han generado su propio software privativo/comercial y arrastran los mismos fallos de seguridad pudiendo tener mayor impacto debido a la masificación de dicho software, ya que para un cliente estar patrocinado por una empresa, representa "mayor" seguridad y en varios casos no es tanto así.
Sin embargo, el implementar este tipo de proyectos no avala que cuente con las garantías suficientes de seguridad (disponibilidad, integridad y confidencialidad) de la información para sus clientes. Es importante que cada empresa u organización enfocada a servicios de salud considere realizar evaluaciones de seguridad a estos proyectos previo a la implantación de manera independiente y frecuente.
Aun con estos inconvenientes, existen propuestas para poder ayudar a este tipo de proyectos en el soporte en su código como el proyecto CodeShelter o los mismos desarrolladores en muchos casos solucionan los problemas. Así mismo, otras organizaciones, empresas e investigadores que siguen dando su aporte buscando y reportando fallos de seguridad para la mejora continua de estas aplicaciones.
Carlos Avila
Chief Security Ambassador
[email protected]
@badboy_nt
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!