Según un estudio publicado por Deloitte, “El riesgo cibernético y de información privilegiada: La industria farmacéutica”, las organizaciones farmacéuticas y de biotecnología son las más afectadas por el robo de propiedad intelectual (PI), y por tanto el sector es el objetivo número uno para los ciberdelincuentes.
Titulares recientes demuestran que incluso los nombres más importantes de la industria no son inmunes al impacto devastador de las infracciones de la ciberseguridad. Las consecuencias son a menudo graves:
- Fuertes multas de los reguladores
- Pérdida de confianza en la marca
- Años de inversión desperdiciada si la información confidencial cae en manos de los competidores
Retraso en lanzamiento de Medicamentos
Además, dado que los ensayos clínicos a gran escala contienen datos de pacientes, a medida que la industria se centra cada vez más en desarrollar terapias individualizadas, existe una creciente preocupación de que las violaciones de la seguridad cibernética no sólo afecten a los resultados, sino que también comprometan la privacidad y la seguridad de las personas.
“En este caso, la falta de preparación para los requerimientos de seguridad de datos que estas terapias pueden demandar, representa un cuello de botella clave capaz de evitar que los desarrolladores introduzcan medicamentos personalizados e innovadores en el mercado durante los próximos años”.
Ciberseguridad: prioridad del sector
Como era de esperar, la seguridad de los datos es ahora una de las prioridades de la mayoría de las empresas en este sector. Las plataformas robustas de gestión de datos que implementan medidas efectivas son fundamentales para minimizar los riesgos que plantea el delito cibernético.
Sin embargo, a medida que la subcontratación a Contract Research Organization (CRO – Organizaciones de Investigación por Contratoy la colaboración con Instituciones Académicas se convierten en una parte cada vez más importante del moderno panorama de desarrollo y descubrimiento de medicamentos, las plataformas que usan las empresas para controlar su información deben garantizar que la información permanezca fuera del alcance de los delincuentes cibernéticos.
Entonces, ¿cómo pueden las organizaciones equilibrar la seguridad cibernética sólida con la necesidad de un flujo eficiente de información entre colegas y colaboradores?
Deloitte ofrece una serie de consejos fundamentales:
1. Poner foco en Formación y Educación.
El robo de propiedad intelectual no se evita simplemente firmando acuerdos de no divulgación que a menudo ni se leen. Se debe recordar de manera periódica al personal, que los secretos corporativos y otra información confidencial no se pueden retirar de las instalaciones. Es importante recordar a los empleados que guardar datos de la empresa en dispositivos USB y en la nube está prohibido.
La educación de los empleados también es fundamental para reducir la amenaza del phishing. Es importante que el personal sepa que no debe hacer click en enlaces extraños, descargas de archivos ejecutables o incluso archivos de fuentes desconocidas en redes corporativas. Una empresa debe proporcionar un Punto de Contacto Accesible para alertar si ocurre algo inusual.
2. Definir quién tiene acceso y cumplirlo
Muchas empresas tienen controles internos laxos. Una empresa debe limitar quién tiene acceso no sólo a datos clave, también para el hardware y, a veces, incluso la Red en la que reside. Cifrar cosas para mantener fuera de miradas indiscretas es vital. Los controles de acceso deben aplicarse y aplicarse también a los Directivo Superiores y al personal de TI.
3. Prácticas de RRHH diseñadas a reducir el robo de PI
Ciertas clases de empleados representan un mayor porcentaje de amenaza de robo de propiedad intelectual. Específicamente, se considera más probable que los empleados descontentos y los empleados que van a despedir copien documentos corporativos confidenciales y los lleven a casa o los entreguen a terceros.
A menudo, una Investigación Postmortem sobre un robo revelará que el empleado tuvo múltiples problemas de desempeño, o incidentes de seguridad antes del descubrimiento de un robo mayor, pero estos problemas no se notaron o no se detectaron.
Los empleados conflictivos a menudo copian grandes cantidades de datos en las semanas que previas al aviso oficial. El registro y otros controles de acceso deben estar implementados para monitorizar a los empleados existentes y otros empleados de alto riesgo. El objetivo de dichos controles es observar el histórico de transferencia de datos de una persona a un particular.
Por supuesto, estos pasos deben tomarse de acuerdo con las leyes laborales y de privacidad relevantes y deben discutirse con un asesor legal.
Conclusión
La Propiedad Intelectual de una compañía farmacéutica puede aproximarse, si no exceder, al valor de sus activos tangibles. Para este tipo de firma, una Estrategia de Seguridad Inteligente, puede pagarse por sí misma muchas veces.
Si quieres consultar más información sobre el informe de Deloitte, puedes hacerlo aquí