Las empresas de Life Science están expuestas a numerosos riesgos de ciberseguridad que son específicos de su sector. Las empresas farmacéuticas y biotecnológicas, las de dispositivos médicos y las compañías de servicios como laboratorios de pruebas u organizaciones de investigación por contrato tienen un gran volumen de datos valiosos, tecnología operativa (TO) crítica o sistemas de IT o propiedad intelectual (PI) que debe gestionarse, asegurarse y protegerse.
Si bien los principios fundamentales de la ciberseguridad aplican a casi todos los negocios de cualquier sector, esta lista destaca áreas específicas de interés para las empresas de Life Science en Europa y el Reino Unido.
Los riesgos cibernéticos comunes para las empresas de Life Science son, entre otros:
Estos ataques pueden tener consecuencias serias, como el mal funcionamiento de dispositivos, perturbaciones en la producción, pérdidas financieras, daños a la reputación y riesgos para la seguridad de los pacientes.
Implicar a especialistas de IT en el proceso de análisis de riesgos puede ayudar a identificar vulnerabilidades de ciberseguridad y planificar estrategias de mitigación o implantar medidas de seguridad más estrictas. Los análisis de riesgos de IT también pueden contribuir a mitigar los riesgos relacionados con IT que podrían afectar a la fiabilidad y funcionalidad de los dispositivos.
Monitorizar la seguridad de la Tecnología Operativa, como laboratorios o equipos de producción específicos, es tan importante como la IT para las empresas de Life Science. Los análisis regulares de los sistemas, las evaluaciones de vulnerabilidades y la monitorización ininterrumpida de las redes pueden ayudar a detectar e identificar anomalías y facilitar una respuesta ágil a actividades sospechosas. La instalación habitual de parches de seguridad y la actualización del software pueden ayudar a mitigar cualquier posible vulnerabilidad.
Muchas empresas de Life Science pueden gestionar ingentes cantidades de datos médicos que podrían tener consecuencias de gran importancia si se roban o se ven manipulados por ciberdelincuentes. Los datos deben categorizarse por clases de riesgos, y la protección de la información sanitaria (PIS) debe garantizarse al máximo nivel y el acceso a esta limitarse únicamente a aquellos empleados que la necesitan. Utilizar medidas de protección de datos como la encriptación en bases de datos, ordenadores portátiles y sistemas que estén conectados a Internet puede dificultar el acceso a esta información por parte de agentes maliciosos. Asimismo, asegura el cumplimiento con los reglamentos locales de datos, como el RGPD. La información corporativa altamente sensible para el valor de la empresa también necesita estrictos controles en la red corporativa.
La autentificación multifactorial (MFA) puede proporcionar una capa adicional de seguridad al exigir a los empleados autentificar sus identidades por múltiples métodos. Esto reduce de forma significativa el riesgo de accesos no autorizados. Además, la MFA puede ayudar a las empresas de Life Science a registrar y rastrear todas las acciones de autenticación, permitiéndoles así identificar a las personas que han accedido a los datos o sistemas. Esta función mejora la transparencia, ayuda a identificar corrupciones o vulneraciones potenciales de datos y permite emprender acciones inmediatas en caso de cualquier actividad sospechosa u hostil.
Garantizar la seguridad física de las instalaciones puede ayudar a proteger los valiosos datos de las empresas de Life Science y su propiedad intelectual. Es necesario llevar a cabo un exhaustivo análisis del personal, especialmente aquellos que tienen acceso a datos sensibles. Si el almacenamiento de datos o la infraestructura de IT o TO crítica se almacena en local, puede resultar útil adquirir un generador de suministro de electricidad ininterrumpida o de emergencia. Se debe considerar el almacenamiento seguro de activos valiosos con un acceso apropiado a los sistemas de control para empleados y visitantes.
Las empresas de Life Science pueden planificar de forma efectiva los incidentes cibernéticos implantando un plan de recuperación de desastres (DRP) exhaustivo que ponga de manifiesto procedimientos paso a paso para responder y recuperarse frente a ciberataques. Ello incluye el establecimiento de protocolos claros para la comunicación de incidentes, incluido a la Autoridad de Protección de Datos relevante, la gestión de incidentes y las estrategias de comunicación. También se recomienda probar de forma regular el DRP y proporcionar formación continua a los empleados sobre el plan de respuesta. Asimismo, implantar un plan de continuidad del negocio (BCN) puede ayudar a garantizar que las actividades comerciales prosiguen en la máxima medida posible tras un incidente.
Dado que las empresas de Life Science recopilan y gestionan datos de Información Protegida de Salud (PHI), sus propios datos y propiedad intelectual, se recomienda que procuren protegerlos frente a vulnerabilidades cibernéticas. Todos los pasos sugeridos en este documento se alinean con los principios CID: confidencialidad, integridad y disponibilidad. Asimismo, se recomienda que las empresas de Life Science se familiaricen con la normativa ISO 27001 sobre ciberseguridad y la aborden con los ingenieros de riesgos especializados de tu socio de seguros.
Especializada en Life Science desde hace más de 25 años, Chubb ofrece productos específicos, apoyados por suscriptores, ingenieros de riesgos y gerentes de siniestros que son especialistas del sector. Desde la responsabilidad de productos y los ensayos clínicos hasta la indemnización profesional, los seguros de daños, los seguros cibernéticos y marinos, lo cubrimos todo. Podemos respaldar desde la fase inicial de I+D hasta una compleja multinacional. Ponte en contacto con nosotros hoy mismo para descubrir cómo podemos ayudarte con nuestros conocimientos y experiencia en el ramo de Life Science.
Todo el contenido de este material es solo para fines de información general. No constituye un consejo personal o una recomendación para ninguna persona o empresa de ningún producto o servicio. Consulte la documentación de la póliza emitida para conocer los términos y condiciones de la cobertura.
Chubb European Group SE, Sucursal en España, con domicilio en el Paseo de la Castellana 141, Planta 6, 28046 Madrid y C.I.F. W-0067389-G. Inscrita en el Registro Mercantil de Madrid, Tomo 19.701, Libro 0, Folio 1, Sección 8, Hoja M346611, Libro de Sociedades. Entidad Aseguradora, cuyo capital social es de 896,176,662€, con sede en Francia y regulada por el código de seguro francés, inscrita en el Registro Comercial de Nanterre con el número 450 327 374 y domicilio social en la Tour Carpe Diem, 31 Place des Corolles, Esplanade Nord, 92400 Courbevoie, France. Supervisada por la Autorité de Contrôle Prudentiel et de Résolution (ACPR), 4, Place de Budapest, CS 92459, 75436 PARIS CEDEX 09 y por la Dirección General de Seguros y Fondos de Pensiones, con código de inscripción E-0155.
Estamos aquí con la respuesta.