Proteção em CMOs farmacêuticos

Proteção em CMOs farmacêuticos

Há muito tempo as empresas farmacêuticas contam com uma cadeia de fornecimento complexa para levar produtos ao mercado. Nos últimos anos, mais empresas recorreram a organizações de produção por contrato (CMOs) tanto para ingredientes farmacêuticos ativos (APIs) quanto para formulações de medicamentos acabados (FDFs).

O uso de fabricantes contratados permite que as empresas farmacêuticas se concentrem nas competências principais, minimizem os gastos de capital e melhorem a agilidade de produção. No entanto, com as ameaças elevadas de cibersegurança da atualidade, estender a produção para recursos externos apresenta riscos adicionais se não existirem as proteções apropriadas.

De fato, as empresas farmacêuticas estão bem cientes de que uma falha de segurança pode ter um longo alcance e comprometer a formulação de receitas, o controle de qualidade, a propriedade intelectual, a produtividade e muito mais. O risco cibernético se intensifica se é permitida a integração dos ativos de um fabricante contratado com a rede principal da empresa farmacêutica.

Para as empresas farmacêuticas, a questão fundamental é: Como manter uma cadeia de fornecimento flexível e reduzir o risco de cibersegurança quando a produção se estende além das minhas paredes?

The value of smart manufacturing begins with a secure and reliable infrastructure. Click here to read the Information and Security eBook.

Uma cadeia de fornecimento segura começa em casa e engloba todos os parceiros

É claro que, para qualquer empresa farmacêutica, o primeiro elo de uma cadeia de fornecimento cibersegura é a própria infraestrutura e os principais locais de produção. Internamente, as empresas precisam adotar uma abordagem com base em riscos para a cibersegurança que siga as melhores práticas globais, identifique prioridades e aplique tecnologias, políticas e procedimentos baseados em uma estratégia de defesa em profundidade.

Por meio de uma avaliação de risco, a empresa farmacêutica também estabelecerá o nível de segurança necessário para qualquer processo contratado.

O próximo obstáculo é determinar se as CMOs consideradas têm a mesma postura de cibersegurança da empresa farmacêutica e aplicam o mesmo nível de rigor. Novamente, uma avaliação de risco de cibersegurança é a melhor maneira de avaliar a postura de segurança da CMO e atingir essa meta. O ideal é que a avaliação seja realizada no fabricante contratado antes que qualquer contrato seja formalizado.

Além de definir a postura geral de segurança de uma CMO, uma avaliação também identificará lacunas que podem expor os bens da empresa farmacêutica a riscos. Depois, a empresa farmacêutica determina quais soluções reduzirão esse risco e isolarão de modo adequado o sistema do CMO do seu próprio e, ao mesmo tempo, manterão a visibilidade de informações ou processos críticos. As soluções adequadas incluem segmentação de rede, firewalls criados para fins específicos, acesso remoto seguro, zonas de segurança e outras tecnologias.

Manutenção da conformidade com padrões de segurança

Por fim, a empresa farmacêutica e o fabricante contratado devem entrar em um acordo sobre os padrões de segurança a serem seguidos. Como todos nós sabemos, entrar em um acordo sobre os padrões e manter a conformidade com eles podem ser duas coisas muito diferentes.

Portanto, uma abordagem com base em riscos para a cibersegurança da cadeia de fornecimento precisa se estender ao projeto, à implantação e ao monitoramento do sistema da CMO, além de à propriedade dos bens de fabricação e da infraestrutura de informações. Uma empresa farmacêutica tem três opções quando se trata de propriedade com diferentes graus de risco associado:

  • A CMO possui os bens de fabricação e a infraestrutura de informações. Essa abordagem exige o menor gasto de capital. Mas também depende de a CMO ter o conhecimento necessário para manter a postura de segurança apropriada com supervisão limitada.
  • A CMO possui os bens de fabricação, embora a empresa farmacêutica mantenha a propriedade da infraestrutura de informações. Esta opção minimiza as despesas de capital ao aproveitar os bens de produção em vigor. No entanto, a empresa farmacêutica mantém a propriedade e a gestão da infraestrutura, que normalmente é implantada por meio de um data center industrial em uma rede segmentada.
  • A empresa farmacêutica mantém a propriedade dos bens de produção e da infraestrutura de informações. Nesse cenário, a empresa farmacêutica tem os custos maiores de capital, mas um nível maior de garantia de segurança. A CMO fornece apenas o espaço de produção e a equipe para operar o equipamento.

The next industrial transformation in Life Sciences is here. Leverage the latest technology to maximize ROI, improve asset utilization and achieve greater speed to market. Click here to read the Facility of the Future eBook.

A vantagem da infraestrutura como serviço (IaaS)

Uma empresa farmacêutica pode determinar que a manutenção da propriedade da infraestrutura de informações é a escolha prudente para uma ampla gama de aplicações com CMOs. No entanto, implantar e monitorar uma infraestrutura segura em vários locais de produção contratados pode ser um desafio.

Em primeiro lugar e acima de tudo, as organizações internas encarregadas da gestão de CMOs têm recursos limitados à disposição. Chamar a TI corporativa, que é dedicada aos principais sistemas corporativos e de produção, normalmente não é uma opção. As empresas não têm internamente a largura de banda para assumir a responsabilidade por dezenas (ou centenas) de locais de produção contratados.

Terceirizar a implantação e o monitoramento da infraestrutura pode ser uma opção eficiente e econômica. Um provedor de infraestrutura como serviço (IaaS) pode oferecer uma arquitetura unificada e uma implantação padrão e validada com serviços comuns para vários locais de produção contratados no mundo inteiro.

Engajamentos típicos incluem relatórios trimestrais e acordos de nível de serviço que estipulam tempos de resposta para problemas e anomalias que vão desde falhas de rede ou de infraestrutura até violações de cibersegurança.

Saiba mais sobre a IaaS e outros serviços de redes industriais que podem simplificar a terceirização da produção e ajudar a reduzir o risco de cibersegurança. 

 

 

 

 

 

Thomas House
Publicado 23 Julho 2019 Por Thomas House, Business Development Lead-Life Sciences, Network and Security Services, Rockwell Automation
  • Contato:

Blog

Queremos mantê-lo atualizado com o que está acontecendo na sua indústria para ajudá-lo a estar na frente no futuro. O Blog da Rockwell Automation é uma plataforma para os nossos colaboradores e blogueiros convidados para compartilhar tecnologias e temas relacionados com a indústria.