Seguridad en Insulet
Promesa de seguridad de Insulet Corporation
En Insulet Corporation, la seguridad y protección de nuestros pacientes y productos es primordial en todo lo que hacemos. Nos dedicamos a facilitar la vida de las personas con diabetes y otras afecciones mediante el uso de nuestra plataforma de productos Omnipod®. Los dispositivos conectados han dado lugar a la aparición de un nuevo conjunto de desafíos para los pacientes, los proveedores de atención médica y los desarrolladores y fabricantes de dispositivos. Existe la posibilidad de que estos dispositivos se conviertan en objetivos de ataques a la ciberseguridad. Es por eso que la seguridad es la prioridad en nuestro diseño y se integra en el proceso de desarrollo desde el principio y se monitorea durante todo el ciclo de vida de la disponibilidad de nuestros productos.
Alineamos nuestra supervisión y gestión de la ciberseguridad sobre la base de la serie 27000 de la Organización Internacional de Normalización/Comisión Electrotécnica Internacional (International Organization for Standardization/International Electrotechnical Commission) (ISO/IEC 27000) y del “Marco para mejorar la ciberseguridad en infraestructuras críticas” del Instituto Nacional de Estándares y Tecnología (National Institute of Standards of Technology, NIST) (NIST CSF). Hemos auditado los programas de cumplimiento y desarrollo implementados para los dispositivos, sistemas y servicios que vendemos de acuerdo con los requisitos reglamentarios aplicables a los dispositivos médicos.
Insulet Corporation ha establecido un equipo de seguridad de productos global y exclusivo y ha coordinado un programa de divulgación de productos para complementar las sólidas prácticas de seguridad de productos que ya existen. Esto permite a Insulet Corporation incorporar consideraciones de seguridad en el ciclo de vida completo del producto. El equipo de seguridad del producto está integrado en la Oficina de Seguridad Global de Insulet Corporation. Este equipo trabaja de manera transversal en toda la empresa para proporcionar una amplia experiencia en seguridad, gobernanza y supervisión de los problemas de seguridad de los productos. Comparten información de forma proactiva con toda la empresa para fomentar una cultura de aprendizaje y mejores prácticas en una organización global. Además, el equipo supervisa y administra el programa de divulgación coordinado.
A nivel externo, Insulet Corporation trabaja en estrecha colaboración con organismos gubernamentales, socios de la industria e investigadores de seguridad para mejorar los esfuerzos de seguridad en las industrias de dispositivos médicos y atención médica, y para informar y determinar el panorama regulatorio y de orientación.
Seguridad por diseño
Nuestro enfoque de seguridad de dispositivos tiene como objetivo identificar todos los riesgos de ciberseguridad relevantes en el sistema y diseñar mitigaciones eficaces para abordar esos riesgos a lo largo del ciclo de vida del desarrollo del producto. Los objetivos del enfoque de ciberseguridad de Insulet incluyen:
§ Desarrollar y mantener un conjunto de actividades y requisitos básicos comunes relacionados con la ciberseguridad de los productos de dispositivos médicos.
§ Asegurarse de que se implemente y se cumpla un marco repetible para la seguridad de dispositivos médicos.
§ Realizar análisis de seguridad basados en riesgos para determinar los controles adecuados, incluido el desarrollo de modelos de amenazas y el mantenimiento de un Registro de riesgos.
§ Asegurarse de que se lleven a cabo actividades de pruebas de ciberseguridad sólidas y repetibles para un programa de producto determinado.
§ Asegurarse de que el programa de ciberseguridad se ajuste a todas las leyes y regulaciones pertinentes y las cumpla.
§ Monitorear y abordar de manera oportuna y exhaustiva las posibles vulnerabilidades de seguridad futuras en todos nuestros dispositivos médicos.
El enfoque de ciberseguridad de Insulet Corporation descrito anteriormente está diseñado para estar en consonancia directa con el NIST CSF, que orienta las funciones de ciberseguridad en cinco dominios discretos (Identificar, Proteger, Detectar, Responder y Recuperar). La consonancia del programa de ciberseguridad Insulet con el NIST CSF también concuerda con la Guía de la FDA “Contenido de las presentaciones previas a la comercialización para la gestión de la seguridad cibernética en dispositivos médicos” (Content of Premarket Submissions for Management of Cyber Security in Medical Devices), así como con la “Gestión posterior a la comercialización de la ciberseguridad en dispositivos médicos” (Postmarket Management of Cybersecurity in Medical Devices).
Privacidad de los datos
Insulet respeta la privacidad de cada uno de nuestros pacientes y está comprometido con la protección de su información personal. Contamos con equipos especiales dedicados a mantener la información del paciente protegida del acceso no autorizado. Además, nos asociamos con expertos de la industria en protección de la información y ciberseguridad que trabajan con nosotros para permitir que implementemos la tecnología y los procesos adecuados para garantizar la privacidad de los datos.
Seguridad perpetua
El futuro de los dispositivos médicos es extremadamente emocionante con más oportunidades para integrar tecnologías, como los que se llevan puestos. Como consecuencia de los nuevos productos y capacidades, el panorama de la seguridad siempre está cambiando. Insulet Corporation continuará monitoreando el panorama de amenazas en busca de problemas potenciales que afecten a nuestros productos y abordará estos problemas con mejoras de seguridad.
A lo largo de todo el ciclo de vida del producto, desde el diseño hasta la fabricación y el uso del paciente, el equipo de ingenieros, especialistas y socios de Insulet se esfuerza por fabricar los productos más seguros posibles.
Durante todo el ciclo de vida de un dispositivo médico, monitoreamos continuamente los riesgos de seguridad. Evaluamos y realizamos pruebas para detectar vulnerabilidades basándonos en estándares globales, involucramos a los reguladores y comunicamos las mitigaciones pertinentes a las partes interesadas clave. Para obtener más información sobre las actualizaciones de los productos Insulet, las notificaciones y los boletines de seguridad, consulte nuestra página de Boletines de seguridad.
Proceso de divulgación coordinada
Valoramos las contribuciones de la comunidad de investigación en temas de seguridad. Si cree que ha identificado una posible vulnerabilidad de seguridad en uno de nuestros productos o servicios, queremos saberlo para poder investigar.
Como parte de nuestro compromiso con la seguridad continua de nuestros productos, nos hemos asociado con HackerOne para permitir el envío de posibles vulnerabilidades de seguridad. Visite nuestra página coordinada para obtener más información sobre cómo enviar una vulnerabilidad a Insulet Corporation.