Grupo Aseguranza

Las empresas de Life Science están expuestas a numerosos riesgos en materia de la ciberseguridad que son específicos de su industria. Las empresas farmacéuticas y biotecnológicas, las de dispositivos médicos y las compañías de servicios como laboratorios de pruebas u organizaciones de investigación por contrato, poseen un gran volumen de datos valiosos, tecnología operativa (OT) crítica, sistemas de IT que debe gestionarse, asegurarse y protegerse.

Si bien los principios fundamentales de la ciberseguridad aplican a casi todos los negocios con independencia del sector, esta lista se enfoca en aspectos específicos de interés para las empresas de Life Science en Europa y el Reino Unido.

Análisis de riesgos de IT

Los riesgos cibernéticos comunes para las empresas de Life Science son, entre otros:

•El hackeo de dispositivos médicos, como bombas de insulina o marcapasos

•El robo de datos de pacientes de redes hospitalarias o sistemas de IT de ensayos clínicos, a través de productos o servicios de Life Science

•La manipulación de sistemas de gestión medioambiental

Estos ataques pueden tener consecuencias serias, como el mal funcionamiento de dispositivos, alteraciones en la producción, pérdidas financieras, daños a la reputación y riesgos para la seguridad de los pacientes.

Involucrar a especialistas de IT en el proceso de análisis de riesgos puede ayudar a identificar vulnerabilidades de ciberseguridad y planificar estrategias de mitigación o implantar medidas de seguridad más estrictas. Los análisis de riesgos de IT también pueden contribuir a mitigar los riesgos que afectan a la fiabilidad y funcionalidad de los dispositivos.

Controles de OT

Monitorizar la seguridad de la Tecnología Operativa, como laboratorios o equipos de producción específicos, es tan importante como la IT para las empresas de Life Science. Los análisis regulares de los sistemas, las evaluaciones de vulnerabilidades y la monitorización ininterrumpida de las redes, pueden ayudar a detectar e identificar anomalías y facilitar una respuesta ágil a actividades sospechosas. La instalación habitual de parches de seguridad y la actualización del software pueden ayudar a mitigar cualquier posible vulnerabilidad.

Protección de datos

Muchas empresas de Life Science pueden gestionar ingentes cantidades de datos médicos cuyo robo o manipulación por parte de ciberdelincuentes, podría tener consecuencias de gran importancia. Los datos deben clasificarse por categorías de riesgos, y la protección de la información médica debe garantizarse al máximo nivel, limitando su acceso únicamente a aquellos empleados que la necesitan. Utilizar medidas de protección como la encriptación en bases de datos, ordenadores portátiles y sistemas que estén conectados a Internet, puede dificultar el acceso a esta información por parte de agentes maliciosos. Asimismo, debe asegurarse el cumplimiento con la normativa en materia de protección de datos, como el RGPD. La información corporativa altamente sensible para el valor de la empresa también necesita estrictos controles en la red corporativa.

Autentificación multifactorial

La autentificación multifactorial (MFA) puede proporcionar una capa adicional de seguridad al exigir a los empleados verificar sus identidades por múltiples métodos. Esto reduce de forma significativa el riesgo de accesos no autorizados. Además, la MFA puede ayudar a las empresas de Life Science a registrar y rastrear todas las acciones de autenticación, permitiéndoles así identificar a las personas que han accedido a los datos o sistemas. Esta función mejora la transparencia, ayuda a identificar corrupciones o vulneraciones potenciales de datos y permite emprender acciones inmediatas en caso de cualquier actividad sospechosa u hostil.

Protecciones físicas

Garantizar la seguridad física de las instalaciones puede ayudar a proteger los valiosos datos de las empresas de Life Science y su propiedad intelectual. Es necesario llevar a cabo un exhaustivo análisis del personal, especialmente aquellos que tienen acceso a datos sensibles. Si la información crítica se almacena localmente, puede resultar útil adquirir un generador de suministro de electricidad ininterrumpida o de emergencia. Además, es importante considerar la protección segura de los activos de alto valor, así como garantizar un acceso apropiado a los sistemas de control tanto para empleados como para visitantes.

Planificación de respuesta a incidentes

Para una respuesta eficaz a los incidentes cibernéticos, las empresas de Life Science pueden desarrollar e implementar un completo plan de recuperación de desastres (DRP) que establezca los procedimientos paso a paso para responder y recuperarse de los ciberataques. Ello incluye el establecimiento de protocolos claros para la comunicación de incidentes, incluido a la Autoridad de Protección de Datos correspondiente, la gestión de incidentes y las estrategias de comunicación. También se recomienda probar de forma regular el DRP y proporcionar formación continua a los empleados sobre el mismo. Además, establecer un plan de continuidad de negocio (BCP) puede ser clave para asegurar que las operaciones comerciales continúan en la mayor medida posible después de un evento o incidente.

Resumen

Dado que las empresas de Life Science recopilan y gestionan datos de Información Protegida de Salud (PHI), sus propios datos y propiedad intelectual, es crucial que tomen medidas para protegerlos de vulnerabilidades cibernéticas. Todas las recomendaciones recogidas en este documento se alinean con los principios de confidencialidad, integridad y disponibilidad (CID). Asimismo, se recomienda que las empresas de Life Science se familiaricen con la normativa ISO 27001 sobre ciberseguridad y aborden este tema en colaboración con ingenieros especializados en riesgos de su compañía de seguros.

En Chubb, una compañía especializada en Life Science desde hace más de 25 años, ofrecemos productos diseñados específicamente para este sector. Contamos con suscriptores, ingenieros de riesgos y gerentes de siniestros especializados en Life Science. Cubrimos desde responsabilidades de productos y ensayos clínicos, hasta indemnización profesional, seguros de daños, ciberseguridad y seguro marítimo. No importa si estás en la fase inicial de investigación y desarrollo o si eres una empresa multinacional altamente compleja, estamos aquí para apoyarte. Ponte en contacto con nosotros hoy mismo para descubrir cómo podemos ayudarte con nuestros conocimientos y experiencia en el ramo de Life Science.

Autora del artículo: Marta Rascado, Head of Cyber Iberia.

Si quiere recibir diariamente y GRATIS noticias como esta, pinche aquí