La cybersecurity nel pharma è un argomento fortemente connesso al tema del cloud. Com’è noto, nonostante la ferrea regolamentazione, questo settore non può fare a meno della nuvola: esigenze computazionali sempre maggiori da parte della ricerca, supply chain complesse e l’adozione di modelli produttivi 4.0 hanno spinto notevolmente l’adozione del cloud.
Cloud adoption e il tema della sicurezza
Così come in altri settori soggetti a regolamentazione puntuale (ad es. il finance), anche nel farmaceutico c’è una netta bipartizione tra processi core e non-core: mentre per i primi, soggetti a molteplici vincoli e imposizioni di compliance, le imprese continuano a prediligere le infrastrutture on-premise e il cloud privato, l’area non mission-critical trova nel cloud pubblico un alleato di valore, caratterizzato da resilienza e scalabilità allo stato dell’arte. I vari componenti si uniscono formando il modello enterprise di maggior successo, nel farmaceutico come in tutte le altre industry: quello ibrido.
Le considerazioni circa la cybersecurity nel pharma rientrano nel quadro appena descritto. Dopo decenni di difesa perimetrale tipica dell’universo on-premise, ora l’industria farmaceutica si sta adeguando ai paradigmi di sicurezza moderni e trova proprio nel cloud privato, in quanto destinazione ideale dei processi e degli asset critici, la componente da proteggere con priorità assoluta.
Cybersecurity nel pharma e il binomio cloud pubblico vs cloud privato
Come spesso accade, tra cloud pubblico e privato non ci sono vincitori assoluti in termini di sicurezza e protezione del dato, tanto più che – come anticipato – solitamente le due componenti confluiscono in modelli ibridi.
La certezza è che la single tenancy tipica del private cloud e il controllo totale dell’infrastruttura giocano non solo a favore della cybersecurity del Pharma, ma anche di tutto il tema della compliance e dei suoi controlli, che possono essere soddisfatti unicamente avendo piena visibilità di tutte le componenti infrastrutturali e applicative. Aspetti meritevoli di attenzione, ma che comunque non scoraggiano i grandi player del settore, sono la totale responsabilità in capo all’azienda per quanto concerne la strategia di sicurezza, la relativa esecuzione e gestione successiva. Senza contare il tema delle skill: proprio come in una tipica infrastruttura on-premise, il private cloud richiede competenze specialistiche in ambito security, di cui il mercato è tendenzialmente avaro. Nell’universo private, temi come la sicurezza fisica dell’infrastruttura, la network security, la gestione puntuale degli accessi e delle identità e i metodi di encryption ricadono tutti sotto la responsabilità dell’azienda.
Dal canto suo, il cloud pubblico risponde con un modello di responsabilità condivisa, che soprattutto nei settori regolati rappresenta sia un beneficio che un ostacolo: è un beneficio poiché i grandi hyperscaler impiegano i migliori esperti di sicurezza al mondo, ma è anche un limite poiché ciò inibisce un controllo totale dell’infrastruttura in capo all’azienda cliente, a prescindere dal modello adottato (IaaS, PaaS o SaaS).
Integrare la security nel modello cloud: la soluzione di WIIT
Semplificando, si potrebbero fare due affermazioni:
- la cybersecurity del pharma passa dal private cloud per via della stringente regolamentazione di settore;
- la sicurezza del private cloud è più che adeguata a soddisfare le esigenze di questa industry a patto di adottare un adeguato approccio strategico, gestionale e le migliori soluzioni disponibili.
Quasi superfluo sottolineare le conseguenze di un approccio cyber inadeguato, tra sanzioni di non conformità, inadempienze contrattuali, danni di immagine e – dato lo specifico ambito produttivo – anche rischi per la salute pubblica.
Per i motivi di cui sopra, WIIT integra nella propria offerta non soltanto la progettazione, l’implementazione e la governance del modello enterprise più adeguato alle esigenze del Cliente (modello che molto spesso è ibrido), ma anche tutto il tema della sicurezza, che si estende dalla strategia all’implementazione di soluzioni multi-layer fino a servizi di monitoraggio h24 come il SOCaaS, tipica manifestazione di Managed Security Services. Il tutto, viene erogato tramite un network di data center Tier IV proprietari, in grado di garantire livelli di resilienza e di protezione fisica di assoluto riferimento, a totale beneficio della continuità operativa e della conformità delle aziende Clienti.
