Si bien los sistemas heredados ofrecen un entorno consolidado, sus sistemas operativos obsoletos plantean riesgos de ciberseguridad significativos debido a la falta de actualizaciones. Esto deja a los sistemas vulnerables a amenazas y ciberataques nuevos y antiguos. Los piratas informáticos a menudo se centran en explotar sistemas obsoletos, sabiendo que se utilizan con frecuencia en entornos críticos (por ejemplo, hospitales o sistemas de control industrial) donde los reemplazos son complejos. Las herramientas de ataque automatizadas pueden identificar y atacar rápidamente los sistemas sin parches.
Además, los sistemas operativos obsoletos obligan a los usuarios a confiar en aplicaciones obsoletas, que también son vulnerables.
Además de las vulnerabilidades internas, los sistemas obsoletos reducen la eficacia de las defensas externas debido a problemas de compatibilidad con el firmware y el hardware modernos. Muchos antivirus, firewall y otras herramientas de seguridad ya no son compatibles con sistemas operativos obsoletos, lo que deja los sistemas desprotegidos.
Un sistema no actualizado puede dar lugar al incumplimiento de diferentes estándares regulatorios. Las organizaciones podrían enfrentarse a multas, sanciones, acciones legales y daños a la reputación sin el cumplimiento regulatorio adecuado.
Un sistema obsoleto va en contra de los principios fundamentales del RGPD (Reglamento General de Protección de Datos), que exige la implementación de medidas técnicas adecuadas para proteger los datos personales y la integración de medidas de seguridad de protección de datos "por diseño y por defecto".
Requerimientos similares, con un alcance de datos más amplio, provienen de la Directiva NIS2 (Seguridad de la Información y de las Redes). Las organizaciones deben implementar medidas adecuadas para gestionar los riesgos de ciberseguridad y prevenir incidentes, asegurando la continuidad del negocio con un sólido plan de recuperación ante desastres.
En cuanto a los estándares internacionales, la ISO 27001 exige la identificación y remediación oportuna de vulnerabilidades, el uso seguro de sistemas y software y la garantía de la integridad y disponibilidad de la información. Como se puede entender fácilmente, un sistema obsoleto no puede cumplir con todos estos requisitos, lo que hace que el cumplimiento de esta norma sea un desafío.
Centrándonos en el sector farmacéutico, la HIPAA (Ley de Portabilidad y Responsabilidad de Seguros Médicos) tiene requisitos similares a las normas y regulaciones anteriores. Un sistema operativo obsoleto también puede comprometer significativamente los requisitos de integridad de los datos, que son necesarios para todas las organizaciones, pero esenciales en este sector.
La integridad de los datos requiere mecanismos robustos de respaldo y recuperación de datos para garantizar que los datos se puedan restaurar en caso de falla, corrupción o pérdida: un sistema obsoleto puede carecer de compatibilidad con las tecnologías de respaldo modernas o no proporcionar respaldos automatizados y regulares.
Los sistemas obsoletos también carecen de funciones de seguridad actualizadas como registros de auditoría, autenticación multifactor, control de acceso basado en roles y almacenamiento seguro de contraseñas, lo que los hace vulnerables al acceso no autorizado.
En la industria farmacéutica, los sistemas informáticos deben someterse a una validación rigurosa para garantizar que funcionen como se espera y mantengan los estándares de rendimiento y seguridad requeridos. Los sistemas también deben cumplir con los estándares regulatorios que garantizan la integridad, seguridad y responsabilidad de los datos, como la FDA 21 CFR Parte 11 (para registros y firmas electrónicas) o las regulaciones GxP (Buenas Prácticas). Debe estar disponible una documentación exhaustiva de todos los procesos de validación, incluidos el diseño, las pruebas y el mantenimiento del sistema, así como la capacidad de rastrear los cambios realizados en el sistema.
Un sistema obsoleto, que a menudo carece de las herramientas y las funciones necesarias para la validación, pone en riesgo todos los requisitos anteriores. Es posible que no admita protocolos de seguridad más nuevos o que no pueda ejecutar el software de validación más reciente, lo que da como resultado una seguridad y un rendimiento del sistema comprometidos.
Otro desafío para los sistemas obsoletos es la disponibilidad reducida de repuestos (y, a veces, de sus proveedores); esto hace que los sistemas obsoletos sean muy susceptibles a averías, problemas de rendimiento e incompatibilidad con otro hardware, lo que puede afectar la continuidad de las operaciones comerciales. Los ataques exitosos y las violaciones de datos también pueden provocar tiempos de inactividad del sistema y tiempos de recuperación prolongados, lo que interrumpe las operaciones críticas y reduce la productividad.
En los párrafos anteriores hemos comprendido que actualizar sistemas obsoletos es deseable y, a menudo, necesario. Sin embargo, la migración a un sistema operativo moderno y respaldado por el proveedor requiere un enfoque estructurado. Esto es especialmente crítico cuando se trata de sistemas que respaldan procesos esenciales, donde es imprescindible minimizar el riesgo de fallas e interrupciones operativas. A continuación, nos centraremos en la migración de Windows 10 a Windows 11, pero el enfoque se puede extender fácilmente a cualquier actualización del sistema operativo.
La migración de Windows 10 a Windows 11 requiere una planificación y una ejecución cuidadosas para garantizar una transición sin problemas y, al mismo tiempo, minimizar el tiempo de inactividad, la pérdida de datos y los problemas de compatibilidad.
El primer paso es evaluar el estado actual: se deben identificar todos los dispositivos afectados y evaluar su configuración actual y su cumplimiento de los requisitos mínimos de hardware de Windows 11. En esta fase, también se debe definir una estrategia de sustitución para todo el hardware no compatible.
Una vez identificado y verificado el hardware, se deben identificar todas las aplicaciones críticas que se ejecutan en los dispositivos aprobados y verificar su compatibilidad con Windows 11. Se puede realizar una verificación de primer nivel de forma automática, pero, para las aplicaciones críticas, se recomienda una prueba exhaustiva del sistema y también se debe considerar la revalidación basada en riesgos.
Después de la evaluación, comienza una fase de planificación. El plan definirá la prioridad de la intervención e incluirá hitos para la copia de seguridad inicial de todos los datos críticos, las pruebas piloto, la implementación completa y el soporte posterior a la migración.
Un plan sólido incluirá una estrategia de recuperación en caso de que surjan problemas importantes durante la migración, lo que garantizará que los usuarios puedan volver al sistema operativo anterior si es necesario. Esto se puede lograr con puntos de restauración del sistema, copias de seguridad o herramientas de recuperación basadas en imágenes para facilitar la recuperación.
Las pruebas piloto son cruciales para identificar posibles problemas y minimizar su impacto en toda la organización y/o en las operaciones críticas. Esta fase comienza con la identificación de muestras de usuarios/aplicaciones que puedan representar el panorama completo de la empresa.
A continuación se abordarán todos los problemas críticos detectados durante la fase piloto.
La siguiente fase incluye la definición de un proceso de migración estandarizado para garantizar la migración de los datos, perfiles y funcionalidades de los usuarios.
El proceso de actualización está programado para minimizar las interrupciones y se comunica a todas las partes interesadas
En esta fase, se supervisa sistemáticamente el rendimiento del sistema, lo que garantiza que las configuraciones de hardware, software y red funcionen correctamente y solucionen los problemas identificados.
Además, se debe realizar una gestión adecuada de los cambios de la validación del sistema informático.
La dependencia de sistemas operativos obsoletos en la industria farmacéutica plantea desafíos críticos, incluidos riesgos de ciberseguridad, incumplimiento de las regulaciones y vulnerabilidades operativas. Dado que Microsoft dejará de brindar soporte para Windows 10 en 2025, la migración oportuna a plataformas modernas como Windows 11 es esencial para garantizar la integridad de los datos, la seguridad del sistema y el cumplimiento de las regulaciones.
Un enfoque de migración estructurado puede minimizar las interrupciones y, al mismo tiempo, abordar las necesidades únicas de las operaciones críticas.
