Autor: Miguel Monedero, Global Information Security Director en myCloudDoor
El sector farmacéutico ha demostrado ser crucial durante y después de la pandemia de COVID-19, marcando un punto de inflexión en la importancia de la industria para la salud pública global. La rápida respuesta en el desarrollo de vacunas y tratamientos evidenció no solo la capacidad innovadora del sector, sino también sus desafíos en términos de distribución y accesibilidad a nivel mundial. Este periodo ha puesto de manifiesto la necesidad de fortalecer las cadenas de suministro, fomentar la colaboración internacional y promover la investigación y desarrollo continuos para enfrentar futuras crisis sanitarias.
Para las empresas del sector farmacéutico, los principales peligros que plantean los ciberataques son la pérdida de propiedad intelectual y la interrupción de las operaciones. La pérdida de propiedad intelectual y de la información patentada (producto o tecnología farmacéutica) impacta negativamente sobre su ventaja competitiva, ya que las innovaciones y secretos empresariales son robados. Mientras tanto, la interrupción operativa en cualquier etapa de la cadena de valor obstaculiza los procesos de negocio y, en última instancia, los ingresos.
Según los datos de la Oficina Europea de Patentes, la industria farmacéutica fue en 2021, y por cuarto año consecutivo, el sector industrial que más solicitudes de patentes presentó en España (189 patentes), seguido por el sector de la energía y la tecnología sanitaria. Debemos tener en cuenta que la investigación de medicamentos implica de media periodos de más de diez años y unos costes aproximados de unos 2.500 millones de euros.
Los compromisos e incidentes de ciberseguridad siempre generarán daños a la reputación de la compañía y en muchos casos, riesgo de litigios por no haber aplicado las medidas de defensa oportunas. Además, la normativa reciente castiga con mayor severidad la exposición de datos personales, por lo que las organizaciones que manejan datos sanitarios personales sensibles, como las que realizan ensayos clínicos, tienen que ser conscientes de estos peligros.
Debido a la naturaleza sensible de sus investigaciones, la propiedad intelectual y los datos personales que manejan, hay varias prácticas que las empresas farmacéuticas pueden utilizar para defenderse eficazmente contra el robo de información.
Es importante definir y sentar las bases para proteger la información, empezando por:
Identificar la ubicación de los datos: el primer paso para crear una estrategia es descubrir dónde se encuentran los datos y los principales lugares de almacenamiento para poder crear un panorama de los datos.
Clasificar los datos: clasificar los datos es el paso más importante y complejo. Es importante contar con herramientas que automaticen este proceso y utilicen una taxonomía de etiquetado intuitiva y que se ajuste mejor a las normas del sector.
Identificar y resolver datos antiguos: antes de implantar nuevas herramientas, es posible que haya datos antiguos que debamos revisar y resolver. Cuando revisamos estos datos, es importante tener en cuenta la antigüedad de estos y si alguien los sigue utilizando. Además, debemos establecer prioridades y crear reglas para guardar, eliminar y proteger los datos.
Proteger los datos: por último, debemos proteger los datos en función de su clasificación. Proteger la información personal y de los clientes es el núcleo de lo que intentamos proteger. Fomentar la confianza de los clientes y proteger su información es la clave de un programa de protección de la información.
Si su organización está empezando a crear un programa de protección de la información, es importante seguir estos 3 pasos. Desde myCloudDoor ofrecemos una capa de servicios especializados, que cubren los 3 pasos y que hacen que se convierta en un proyecto exitoso.
Gobierno, riesgo y cumplimiento: servicios de consultoría para la definición de los tipos de información que necesita defender. Centrándonos siempre en los datos de los clientes y la información sensible.
Despliegue de herramientas: servicios para el despliegue y gestión de herramientas para la protección de la información y la gestión de derechos de usuario. Desde myCloudDoor ofrecemos el despliegue y la utilización de la capa de aplicaciones de Microsoft Purview, focalizada a proteger la información de la organización.
Microsoft Purview Information Protection
Descubrir y clasificar datos a escala mediante automatización y aprendizaje automático.
Etiquetado y protección integrados.
La plataforma extiende la experiencia de protección al usuario y a la organización.
Cifrado integrado en Microsoft 365, tanto en reposo, en tránsito y en uso.
Microsoft Purview Data Loss Prevention (DLP)
Aplicar automáticamente el cumplimiento de normativas y políticas internas en la nube y en las instalaciones.
Ampliar la política de DLP a endpoints de Microsoft y de otros fabricantes, recursos compartidos de archivos locales, aplicaciones de usuario, navegadores y servicios.
Aplicar una administración de políticas flexible para equilibrar la productividad del usuario.
Microsoft Purview Data Lifecycle Management
Retener o eliminar datos y administrar los registros en los que colaboran los usuarios para gestionar el riesgo y evitar la pérdida de productividad.
Demostrar el cumplimiento con perspectivas de análisis de etiquetas, eliminación defendible y rastreos de auditoría enriquecidos
Gestionar la importación de datos ajenos a Microsoft con conectores de datos predefinidos.
Microsoft Purview Compliance Manager
Gestionar el cumplimiento de principio a fin, desde la incorporación sencilla hasta la implementación del control.
Configurar evaluaciones listas para usar para satisfacer sus requisitos en todos los activos.
Simplificar el cumplimiento con evaluaciones continuas, asignación automatizada de controles y una puntuación de cumplimiento.
Educación y concienciación: servicios de formación sobre el etiquetado y utilización de la información, así como el uso de las herramientas para la protección de la información.
La creación de un programa de protección de la información no es una solución única, pero si se eligen términos de clasificación fáciles de entender y aplicar, se educa proactivamente a los usuarios y se integra la protección de la información en los procesos existentes para minimizar el impacto, se puede aumentar el éxito del programa.
Por: Miguel Monedero - Global information security director