Por qué algunos softwares hospitalarios pasan al olvido

Vamos a realizar un acercamiento a los proyectos de software opensource o de repositorios en Internet que no tienen una correcta gestión de seguridad en su desarrollo, están abandonados u obsoletos sin soporte. En la gran mayoría de estos casos, a pesar de los problemas en seguridad que tienen, siguen siendo usados. Estos criterios también podrían ser aplicables en hardware o tecnología en general de la industria hospitalaria.

La comunidad de desarrolladores incrementa cada día. Esto conlleva la posibilidad de tener un alto número de opciones (proyectos) que podrían usarse por parte de las empresas, suponiendo un gran aporte a la sociedad y a la industria, pero también puede llevar riesgos implícitos sobre fallos de seguridad en el desarrollo de software.

Varios de estos proyectos gestionan información de instalaciones hospitalarias en el mundo con datos de registros médicos, resultados de exámenes, fórmulas médicas, imágenes radiológicas, monitoreo de salud de un paciente, información financiera del hospital… en resumen, datos personales que deben estar asegurados para que no haya fugas de información.

Paliar las fallas de seguridad

Desde ya hace algún tiempo se ha evidenciado cómo varios de estos proyectos han mantenido fallos de seguridad que representan un riesgo para los hospitales, clínicas, laboratorios o farmacéuticas que los implementan. Básicamente, se debe a que los controles de seguridad en los desarrollos de este software no son los adecuados, pero esto no es a dónde queremos llegar en esta entrada. De hecho, se ha podido evidenciar cómo algunas empresas toman estos desarrollos, y mediante la agregación de ciertas características adicionales han generado su propio software privativo/comercial, arrastrando los mismos fallos de seguridad, y además, teniendo mayor impacto debido a la masificación de dicho software, ya que para un cliente estar patrocinado por una empresa, representa mayor seguridad, siendo, en varios casos, un error.

La implementación en este tipo de proyectos no avala que cuente con las garantías suficientes de seguridad (disponibilidad, integridad y confidencialidad) de la información para sus clientes. Es importante que cada empresa u organización enfocada a servicios de salud considere realizar evaluaciones de seguridad a estos proyectos previamente a la implantación de manera independiente y frecuente.

Aun con estos inconvenientes, existen propuestas para poder ayudar a este tipo de proyectos en el soporte y código, como el proyecto CodeShelter. En muchos casos, los propios desarrolladores pueden solucionar estos problemas. De todas formas, existen empresas e investigadores que siguen aportando en la búsqueda y reporte de fallos de seguridad para lograr la mejora continua de estas aplicaciones.