Si bien los sistemas heredados ofrecen un entorno consolidado, sus sistemas operativos obsoletos plantean riesgos de ciberseguridad significativos debido a la falta de actualizaciones. Esto deja a los sistemas vulnerables a nuevas y viejas amenazas y ciberataques. Los piratas informáticos a menudo se centran en explotar sistemas obsoletos, sabiendo que se utilizan con frecuencia en entornos críticos (por ejemplo, hospitales o sistemas de control industrial) donde los reemplazos son complejos. Las herramientas de ataque automatizadas pueden identificar y atacar rápidamente los sistemas sin parches.
Además, los sistemas operativos obsoletos obligan a los usuarios a confiar en aplicaciones obsoletas, que también son vulnerables.
Además de las vulnerabilidades internas, los sistemas obsoletos reducen la eficacia de las defensas externas debido a problemas de compatibilidad con el firmware y el hardware modernos. Muchos antivirus, firewall y otras herramientas de seguridad ya no son compatibles con sistemas operativos obsoletos, lo que deja los sistemas desprotegidos.
Un sistema no actualizado puede dar lugar al incumplimiento de diferentes normativas regulatorias. Las organizaciones podrían enfrentarse a multas, sanciones, acciones legales y daños a la reputación si no tienen el cumplimiento regulatorio adecuado.
Un sistema obsoleto va en contra de los principios fundamentales del GDPR (Reglamento General de Protección de Datos), que exige la implementación de medidas técnicas adecuadas para proteger los datos personales y la integración de medidas de seguridad de protección de datos "por diseño y por defecto".
La Directiva NIS2 (Seguridad de las Redes y de la Información) impone requisitos similares, con un ámbito de aplicación más amplio. Las organizaciones deben implementar medidas adecuadas para gestionar los riesgos de ciberseguridad y prevenir incidentes, asegurando la continuidad del negocio con un sólido plan de recuperación ante desastres.
En cuanto a los estándares internacionales, la ISO 27001 exige la identificación y remediación oportuna de vulnerabilidades, el uso seguro de sistemas, software y la garantía de la integridad y disponibilidad de la información. Como se puede entender fácilmente, un sistema obsoleto no puede cumplir con todos estos requisitos, lo que dificulta el cumplimiento de esta norma.
Centrándonos en el sector farmacéutico, la HIPAA (Ley de Portabilidad y Responsabilidad de Seguros Médicos) tiene requisitos similares a las normas y regulaciones anteriores. Un sistema operativo obsoleto también puede comprometer significativamente los requisitos de integridad de los datos, que son necesarios para todas las organizaciones, pero esenciales en este sector.
La integridad de los datos requiere mecanismos robustos de respaldo y recuperación de datos para garantizar que los datos se puedan restaurar en caso de fallo, corrupción o pérdida: un sistema obsoleto puede carecer de compatibilidad con las tecnologías de respaldo modernas o no proporcionar respaldos automatizados y periódicas.
Los sistemas obsoletos también carecen de funciones de seguridad actualizadas como registros de auditoría, autenticación multifactor, control de acceso basado en roles y almacenamiento seguro de contraseñas, lo que los hace vulnerables a accesos no autorizados.
En la industria farmacéutica, los sistemas informatizados deben someterse a una validación rigurosa para garantizar que funcionen como se espera y mantengan los estándares de rendimiento y seguridad requeridos. Los sistemas también deben cumplir con las normativas regulatorias que garantizan la integridad, seguridad y responsabilidad de los datos, como la FDA 21 CFR Parte 11 (para registros y firmas electrónicas) o las regulaciones GxP (Buenas Prácticas). Debe estar disponible una documentación exhaustiva de todos los procesos de validación, incluidos el diseño, las pruebas y el mantenimiento del sistema, así como la capacidad de rastrear cualquier cambio realizado en el sistema.
Un sistema obsoleto, que a menudo carece de las herramientas y las funciones necesarias para la validación, pone en peligro todos los requisitos anteriores. Puede que no sea compatible con los protocolos de seguridad más recientes o que no sea capaz de ejecutar el software de validación más reciente, lo que compromete la seguridad y el rendimiento del sistema.
Otro desafío para los sistemas obsoletos es la menor disponibilidad de piezas de repuesto (y, a veces, de sus proveedores); esto hace que los sistemas obsoletos sean muy susceptibles a averías, problemas de rendimiento e incompatibilidad con otro hardware, lo que puede afectar la continuidad de las operaciones comerciales. Los ataques exitosos y las violaciones de datos también pueden provocar tiempos de inactividad del sistema y tiempos de recuperación prolongados, interrumpiendo las operaciones críticas y reduciendo la productividad.
En los párrafos anteriores, hemos comprendido cómo la actualización de sistemas obsoletos es deseable y, a menudo, necesaria. Sin embargo, migrar a un sistema operativo moderno y respaldado por el proveedor requiere un enfoque estructurado. Esto es especialmente crítico cuando se trata de sistemas que respaldan procesos esenciales, donde es imprescindible minimizar el riesgo de fallos e interrupciones operativas. A continuación, nos centraremos en la migración de Windows 10 a Windows 11, pero el enfoque se puede extender fácilmente a cualquier actualización del sistema operativo.
La migración de Windows 10 a Windows 11 requiere una planificación y una ejecución cuidadosas para garantizar una transición sin problemas y, al mismo tiempo, minimizar el tiempo de inactividad, la pérdida de datos y los problemas de compatibilidad.
El primer paso es evaluar el estado actual: se deben identificar todos los dispositivos afectados y evaluar su configuración actual y su cumplimiento de los requisitos mínimos de hardware de Windows 11. En esta fase, también se debe definir una estrategia de sustitución para todo el hardware no compatible.
Una vez identificado y verificado el hardware, se deben identificar todas las aplicaciones críticas que se ejecutan en los dispositivos aprobados y verificar su compatibilidad con Windows 11. Puede realizarse una verificación de primer nivel de forma automática, pero, para las aplicaciones críticas, se recomienda una prueba exhaustiva del sistema, así como una revalidación basada en el riesgo.
Tras la evaluación, se inicia la fase de planificación. El plan definirá la prioridad de la intervención e incluirá hitos para la copia de seguridad inicial de todos los datos críticos, las pruebas piloto, la implementación completa y el soporte posterior a la migración.
Un plan sólido incluirá una estrategia de recuperación en caso de que surjan problemas importantes durante la migración, lo que garantizará que los usuarios puedan volver al sistema operativo anterior si es necesario. Esto puede conseguirse con puntos de restauración del sistema, copias de seguridad o herramientas de recuperación basadas en imágenes para facilitar la recuperación.
Las pruebas piloto son cruciales para identificar posibles problemas y minimizar su impacto en toda la organización y/o en las operaciones críticas. Esta fase comienza con la identificación de muestras de usuarios/aplicaciones que puedan representar el panorama completo de la empresa.
A continuación, se abordarán todos los problemas críticos detectados durante la fase piloto.
La siguiente fase incluye la definición de un proceso de migración estandarizado para garantizar la migración de los datos, perfiles y funcionalidades de los usuarios.
El proceso de actualización está programado para minimizar las interrupciones y se comunica a todas las partes interesadas
En esta fase, se supervisa sistemáticamente el rendimiento del sistema, lo que garantiza que las configuraciones de hardware, software y red funcionan correctamente y se solucionan los problemas identificados.
Además, debe realizarse una gestión adecuada de los cambios de la validación del sistema informático.
La dependencia de sistemas operativos obsoletos en la industria farmacéutica plantea desafíos críticos, incluidos riesgos de ciberseguridad, incumplimiento de las regulaciones y vulnerabilidades operativas. Dado que Microsoft dejará de brindar soporte para Windows 10 en 2025, la migración oportuna a plataformas modernas como Windows 11 es esencial para garantizar la integridad de los datos, la seguridad del sistema y el cumplimiento de la normativa.
Un enfoque de migración estructurado puede minimizar las interrupciones al tiempo que aborda las necesidades únicas de las operaciones críticas.
