Seguridad para las CMO farmacéuticas

Seguridad para las CMO farmacéuticas

Durante mucho tiempo, las empresas farmacéuticas han recurrido a complejas cadenas de suministro para poder comercializar sus productos. Y, en años recientes, muchas empresas, además, han comenzado a contratar las denominadas organizaciones de fabricación por contrato (CMO), tanto para la fabricación de los activos farmacéuticos (API) como para las formulaciones de medicamentos terminados (FDF).

El uso de fabricantes por contrato permite a las empresas farmacéuticas centrarse en sus competencias clave, minimizar la inversión de capital y mejorar la agilidad de la fabricación. No obstante, en un mundo con crecientes amenazas de ciberseguridad, la externalización de parte de la fabricación introduce riesgos adicionales si no se despliega la protección apropiada.

De hecho, las empresas farmacéuticas son muy conscientes de que una brecha de seguridad puede tener un gran alcance y poner en peligro la formulación de recetas, el control de calidad, la propiedad intelectual, la productividad y mucho más. Un riesgo aún mayor en caso de que los activos del fabricante por contrato estén integrados en la red principal de la empresa farmacéutica.

Para las empresas farmacéuticas, la pregunta principal es: si externalizo parte de la fabricación, ¿cómo puedo conservar la flexibilidad de la cadena de suministro, mitigando al mismo tiempo los riesgos de ciberseguridad?

El valor de la fabricación inteligente comienza con una infraestructura segura y fiable. Lea el ebook Información y seguridad

Una cadena de suministro segura debe comenzar en la empresa y abarcar a todos los socios

Como es natural, para cualquier empresa farmacéutica el primer eslabón de una cadena de suministro cibersegura es su propia infraestructura y sus plantas de fabricación principales. Las empresas pueden adoptar internamente un enfoque de ciberseguridad basado en riesgos que siga las prácticas recomendadas en todo el mundo, que identifique las prioridades y que aplique las tecnologías, las políticas y los procedimientos propios de una estrategia de defensa en profundidad.

Mediante una evaluación de riesgos, la empresa farmacéutica también podrá establecer el nivel de seguridad que cualquier proceso contratado externamente debe cumplir.

El siguiente obstáculo es determinar si los CMO que se están considerando comparten la postura de la empresa farmacéutica ante la ciberseguridad y, por supuesto, si la aplican con el mismo rigor. En este caso, la evaluación de riesgos vuelve a ser el mejor modo de evaluar esta actitud por parte de la CMO y, por tanto, de cumplir este objetivo. Lo ideal sería que dicha evaluación se llevara a cabo en las instalaciones del fabricante por contrato antes de formalizar ningún tipo de acuerdo.

Esta evaluación, además de definir la actitud general sobre seguridad de la CMO, también podría identificar las lagunas que puedan poner en riesgo los activos propios del sector farmacéutico. Con esa información, la empresa farmacéutica podría elegir las soluciones apropiadas para mitigar esos riesgos y para que el sistema de la CMO quede aislado del propio y, al mismo tiempo, mantener la visibilidad de los procesos o de la información críticos. Estas soluciones podrían incluir la segmentación de la red, el desarrollo de cortafuegos personalizados, acceso remoto seguro, zonas de seguridad y otras tecnologías.

Mantenimiento de la conformidad con las normas de seguridad

En última instancia, la empresa farmacéutica y el fabricante por contrato deben acordar las normas de seguridad a seguir. Pero como todos sabemos, llegar a un acuerdo como ese y conseguir que estas normas se cumplan pueden ser dos cosas muy diferentes.

Por tanto, un enfoque basado en riesgos para la ciberseguridad de la cadena de suministro debe incluir también el diseño, la implementación y la supervisión del sistema de la CMO, así como a los propietarios de los activos de producción y de la infraestructura de la información. En relación con la propiedad, las empresas farmacéuticas disponen de tres opciones, cada una con un grado diferente de riesgo asociado:

  • La CMO es propietaria de los activos de producción y de la infraestructura de información. Con este enfoque, la inversión de capital es la más baja. Pero también depende de que la CMO tenga la experiencia necesaria para mantener adecuadamente la seguridad con una supervisión limitada.
  • La CMO es propietaria de los activos de producción, mientras que la empresa farmacéutica conserva la propiedad de la infraestructura de información. Al aprovechar los activos de producción existentes, esta opción minimiza la inversión de capital. Sin embargo, la empresa farmacéutica, como propietaria de la infraestructura, también debe gestionarla, normalmente en un centro de datos industrial en una red segmentada.
  • La empresa farmacéutica mantiene la propiedad de los activos de producción y de la infraestructura de información. En este escenario, la empresa farmacéutica incurre en mayores inversiones de capital, pero, a cambio, obtiene el mayor nivel de seguridad. La CMO solo proporciona el espacio de producción y el personal para hacer funcionar el equipo.

La próxima transformación en la industria farmacéutica ya ha llegado. Aproveche la última tecnología para maximizar el ROI, mejorar el uso de los activos y acortar el tiempo de comercialización.

La ventaja de la infraestructura como servicio (IaaS, por sus siglas en inglés)

Tal vez la elección más prudente para las empresas farmacéuticas sea mantener la propiedad de la infraestructura de información en la mayoría de las situaciones en las que se trabaje con una CMO. Sin embargo, implementar y monitorizar una infraestructura segura como esa, presente en todas las instalaciones de los distintos fabricantes por contrato, puede ser todo un desafío.

En primer lugar, los departamentos internos encargados de la gestión de las CMO disponen de recursos limitados. Normalmente, recurrir al departamento de IT corporativo —que estará dedicado a los sistemas empresariales y de fabricación, claves para el negocio— no suele ser una opción. Además, las empresas no tienen el ancho de banda interno necesario para asumir la responsabilidad de docenas, si no cientos, de centros de fabricación por contrato.

Una opción eficiente y rentable podría ser externalizar a un tercero la implementación y la supervisión de la infraestructura. Un proveedor de infraestructuras como servicio (IaaS) puede ofrecer una arquitectura unificada (con una implementación estándar y validada y servicios comunes) a múltiples plantas de fabricación por contrato en todo el mundo.

Entre los compromisos habituales con estos proveedores se encuentran los informes trimestrales y los contratos de nivel de servicio, con tiempos de respuesta para diferentes problemas y anomalías, desde caídas en la red o en la infraestructura hasta violaciones de la ciberseguridad.

Obtenga más información sobre IaaS y otros servicios de red industrial que pueden simplificar la externalización de la fabricación y mitigar los riesgos de ciberseguridad.

Thomas House
Publicado 8 Julio 2019 Por Thomas House, Business Development Lead-Life Sciences, Network and Security Services, Rockwell Automation
  • Contacto:

Blog

Nuestros blogs facilitan que nuestros empleados y bloggers invitados puedan informarle sobre todas las novedades de la industria y facilitarle una panorámica sobre las últimas tendencias en tecnología.