Consejos de ciberseguridad para empresas de Life Science

Las empresas de Life Science están expuestas a numerosos riesgos de ciberseguridad que son específicos de su sector. Las empresas farmacéuticas y biotecnológicas, las de dispositivos médicos y las compañías de servicios como laboratorios de pruebas u organizaciones de investigación por contrato tienen un gran volumen de datos valiosos, tecnología operativa (TO) crítica o sistemas de IT o propiedad intelectual (PI) que debe gestionarse, asegurarse y protegerse. 

Si bien los principios fundamentales de la ciberseguridad aplican a casi todos los negocios de cualquier sector, esta lista destaca áreas específicas de interés para las empresas de Life Science en Europa y el Reino Unido.

Análisis de riesgos de IT

Los riesgos cibernéticos comunes para las empresas de Life Science son, entre otros:

• El hackeo de dispositivos médicos, como bombas de insulina o marcapasos 
• El robo de datos de pacientes de redes de hospitales o sistemas de IT de ensayos clínicos a través de productos o servicios de Life Science
• La manipulación de sistemas de gestión medioambiental

Estos ataques pueden tener consecuencias serias, como el mal funcionamiento de dispositivos, perturbaciones en la producción, pérdidas financieras, daños a la reputación y riesgos para la seguridad de los pacientes. 
 

Implicar a especialistas de IT en el proceso de análisis de riesgos puede ayudar a identificar vulnerabilidades de ciberseguridad y planificar estrategias de mitigación o implantar medidas de seguridad más estrictas. Los análisis de riesgos de IT también pueden contribuir a mitigar los riesgos relacionados con IT que podrían afectar a la fiabilidad y funcionalidad de los dispositivos. 
 

Controles de TO

Monitorizar la seguridad de la Tecnología Operativa, como laboratorios o equipos de producción específicos, es tan importante como la IT para las empresas de Life Science. Los análisis regulares de los sistemas, las evaluaciones de vulnerabilidades y la monitorización ininterrumpida de las redes pueden ayudar a detectar e identificar anomalías y facilitar una respuesta ágil a actividades sospechosas. La instalación habitual de parches de seguridad y la actualización del software pueden ayudar a mitigar cualquier posible vulnerabilidad.
 

Protección de datos 

Muchas empresas de Life Science pueden gestionar ingentes cantidades de datos médicos que podrían tener consecuencias de gran importancia si se roban o se ven manipulados por ciberdelincuentes. Los datos deben categorizarse por clases de riesgos, y la protección de la información sanitaria (PIS) debe garantizarse al máximo nivel y el acceso a esta limitarse únicamente a aquellos empleados que la necesitan. Utilizar medidas de protección de datos como la encriptación en bases de datos, ordenadores portátiles y sistemas que estén conectados a Internet puede dificultar el acceso a esta información por parte de agentes maliciosos. Asimismo, asegura el cumplimiento con los reglamentos locales de datos, como el RGPD. La información corporativa altamente sensible para el valor de la empresa también necesita estrictos controles en la red corporativa.

 Autentificación multifactorial

La autentificación multifactorial (MFA) puede proporcionar una capa adicional de seguridad al exigir a los empleados autentificar sus identidades por múltiples métodos. Esto reduce de forma significativa el riesgo de accesos no autorizados. Además, la MFA puede ayudar a las empresas de Life Science a registrar y rastrear todas las acciones de autenticación, permitiéndoles así identificar a las personas que han accedido a los datos o sistemas. Esta función mejora la transparencia, ayuda a identificar corrupciones o vulneraciones potenciales de datos y permite emprender acciones inmediatas en caso de cualquier actividad sospechosa u hostil.
 

Protecciones físicas

Garantizar la seguridad física de las instalaciones puede ayudar a proteger los valiosos datos de las empresas de Life Science y su propiedad intelectual. Es necesario llevar a cabo un exhaustivo análisis del personal, especialmente aquellos que tienen acceso a datos sensibles. Si el almacenamiento de datos o la infraestructura de IT o TO crítica se almacena en local, puede resultar útil adquirir un generador de suministro de electricidad ininterrumpida o de emergencia. Se debe considerar el almacenamiento seguro de activos valiosos con un acceso apropiado a los sistemas de control para empleados y visitantes.

Planificación de respuesta a incidentes

Las empresas de Life Science pueden planificar de forma efectiva los incidentes cibernéticos implantando un plan de recuperación de desastres (DRP) exhaustivo que ponga de manifiesto procedimientos paso a paso para responder y recuperarse frente a ciberataques. Ello incluye el establecimiento de protocolos claros para la comunicación de incidentes, incluido a la Autoridad de Protección de Datos relevante, la gestión de incidentes y las estrategias de comunicación. También se recomienda probar de forma regular el DRP y proporcionar formación continua a los empleados sobre el plan de respuesta. Asimismo, implantar un plan de continuidad del negocio (BCN) puede ayudar a garantizar que las actividades comerciales prosiguen en la máxima medida posible tras un incidente.

Resumen

Dado que las empresas de Life Science recopilan y gestionan datos de Información Protegida de Salud (PHI), sus propios datos y propiedad intelectual, se recomienda que procuren protegerlos frente a vulnerabilidades cibernéticas. Todos los pasos sugeridos en este documento se alinean con los principios CID: confidencialidad, integridad y disponibilidad. Asimismo, se recomienda que las empresas de Life Science se familiaricen con la normativa ISO 27001 sobre ciberseguridad y la aborden con los ingenieros de riesgos especializados de tu socio de seguros. 
 

Especializada en Life Science desde hace más de 25 años, Chubb ofrece productos específicos, apoyados por suscriptores, ingenieros de riesgos y gerentes de siniestros que son especialistas del sector. Desde la responsabilidad de productos y los ensayos clínicos hasta la indemnización profesional, los seguros de daños, los seguros cibernéticos y marinos, lo cubrimos todo. Podemos respaldar desde la fase inicial de I+D hasta una compleja multinacional. Ponte en contacto con nosotros hoy mismo para descubrir cómo podemos ayudarte con nuestros conocimientos y experiencia en el ramo de Life Science.