Proteção em CMOs farmacêuticos

Uma cadeia de fornecimento segura começa em casa e engloba todos os parceiros

É claro que, para qualquer empresa farmacêutica, o primeiro elo de uma cadeia de fornecimento cibersegura é a própria infraestrutura e os principais locais de produção. Internamente, as empresas precisam adotar uma abordagem com base em riscos para a cibersegurança que siga as melhores práticas globais, identifique prioridades e aplique tecnologias, políticas e procedimentos baseados em uma estratégia de defesa em profundidade.

Por meio de uma avaliação de risco, a empresa farmacêutica também estabelecerá o nível de segurança necessário para qualquer processo contratado.

O próximo obstáculo é determinar se as CMOs consideradas têm a mesma postura de cibersegurança da empresa farmacêutica e aplicam o mesmo nível de rigor. Novamente, uma avaliação de risco de cibersegurança é a melhor maneira de avaliar a postura de segurança da CMO e atingir essa meta. O ideal é que a avaliação seja realizada no fabricante contratado antes que qualquer contrato seja formalizado.

Além de definir a postura geral de segurança de uma CMO, uma avaliação também identificará lacunas que podem expor os bens da empresa farmacêutica a riscos. Depois, a empresa farmacêutica determina quais soluções reduzirão esse risco e isolarão de modo adequado o sistema do CMO do seu próprio e, ao mesmo tempo, manterão a visibilidade de informações ou processos críticos. As soluções adequadas incluem segmentação de rede, firewalls criados para fins específicos, acesso remoto seguro, zonas de segurança e outras tecnologias.

Manutenção da conformidade com padrões de segurança

Por fim, a empresa farmacêutica e o fabricante contratado devem entrar em um acordo sobre os padrões de segurança a serem seguidos. Como todos nós sabemos, entrar em um acordo sobre os padrões e manter a conformidade com eles podem ser duas coisas muito diferentes.

Portanto, uma abordagem com base em riscos para a cibersegurança da cadeia de fornecimento precisa se estender ao projeto, à implantação e ao monitoramento do sistema da CMO, além de à propriedade dos bens de fabricação e da infraestrutura de informações. Uma empresa farmacêutica tem três opções quando se trata de propriedade com diferentes graus de risco associado:

• A CMO possui os bens de fabricação e a infraestrutura de informações. Essa abordagem exige o menor gasto de capital. Mas também depende de a CMO ter o conhecimento necessário para manter a postura de segurança apropriada com supervisão limitada.
• A CMO possui os bens de fabricação, embora a empresa farmacêutica mantenha a propriedade da infraestrutura de informações. Esta opção minimiza as despesas de capital ao aproveitar os bens de produção em vigor. No entanto, a empresa farmacêutica mantém a propriedade e a gestão da infraestrutura, que normalmente é implantada por meio de um data center industrial em uma rede segmentada.
• A empresa farmacêutica mantém a propriedade dos bens de produção e da infraestrutura de informações. Nesse cenário, a empresa farmacêutica tem os custos maiores de capital, mas um nível maior de garantia de segurança. A CMO fornece apenas o espaço de produção e a equipe para operar o equipamento.

A vantagem da infraestrutura como serviço (IaaS)

Uma empresa farmacêutica pode determinar que a manutenção da propriedade da infraestrutura de informações é a escolha prudente para uma ampla gama de aplicações com CMOs. No entanto, implantar e monitorar uma infraestrutura segura em vários locais de produção contratados pode ser um desafio.

Em primeiro lugar e acima de tudo, as organizações internas encarregadas da gestão de CMOs têm recursos limitados à disposição. Chamar a TI corporativa, que é dedicada aos principais sistemas corporativos e de produção, normalmente não é uma opção. As empresas não têm internamente a largura de banda para assumir a responsabilidade por dezenas (ou centenas) de locais de produção contratados.

Terceirizar a implantação e o monitoramento da infraestrutura pode ser uma opção eficiente e econômica. Um provedor de infraestrutura como serviço (IaaS) pode oferecer uma arquitetura unificada e uma implantação padrão e validada com serviços comuns para vários locais de produção contratados no mundo inteiro.

Engajamentos típicos incluem relatórios trimestrais e acordos de nível de serviço que estipulam tempos de resposta para problemas e anomalias que vão desde falhas de rede ou de infraestrutura até violações de cibersegurança.

Saiba mais sobre a IaaS e outros serviços de redes industriais que podem simplificar a terceirização da produção e ajudar a reduzir o risco de cibersegurança.