La cybersecurity nel pharma è un argomento fortemente connesso al tema del cloud. Com’è noto, nonostante la ferrea regolamentazione, questo settore non può fare a meno della nuvola: esigenze computazionali sempre maggiori da parte della ricerca, supply chain complesse e l’adozione di modelli produttivi 4.0 hanno spinto notevolmente l’adozione del cloud.
Così come in altri settori soggetti a regolamentazione puntuale (ad es. il finance), anche nel farmaceutico c’è una netta bipartizione tra processi core e non-core: mentre per i primi, soggetti a molteplici vincoli e imposizioni di compliance, le imprese continuano a prediligere le infrastrutture on-premise e il cloud privato, l’area non mission-critical trova nel cloud pubblico un alleato di valore, caratterizzato da resilienza e scalabilità allo stato dell’arte. I vari componenti si uniscono formando il modello enterprise di maggior successo, nel farmaceutico come in tutte le altre industry: quello ibrido.
Le considerazioni circa la cybersecurity nel pharma rientrano nel quadro appena descritto. Dopo decenni di difesa perimetrale tipica dell’universo on-premise, ora l’industria farmaceutica si sta adeguando ai paradigmi di sicurezza moderni e trova proprio nel cloud privato, in quanto destinazione ideale dei processi e degli asset critici, la componente da proteggere con priorità assoluta.
Come spesso accade, tra cloud pubblico e privato non ci sono vincitori assoluti in termini di sicurezza e protezione del dato, tanto più che – come anticipato – solitamente le due componenti confluiscono in modelli ibridi.
La certezza è che la single tenancy tipica del private cloud e il controllo totale dell’infrastruttura giocano non solo a favore della cybersecurity del Pharma, ma anche di tutto il tema della compliance e dei suoi controlli, che possono essere soddisfatti unicamente avendo piena visibilità di tutte le componenti infrastrutturali e applicative. Aspetti meritevoli di attenzione, ma che comunque non scoraggiano i grandi player del settore, sono la totale responsabilità in capo all’azienda per quanto concerne la strategia di sicurezza, la relativa esecuzione e gestione successiva. Senza contare il tema delle skill: proprio come in una tipica infrastruttura on-premise, il private cloud richiede competenze specialistiche in ambito security, di cui il mercato è tendenzialmente avaro. Nell’universo private, temi come la sicurezza fisica dell’infrastruttura, la network security, la gestione puntuale degli accessi e delle identità e i metodi di encryption ricadono tutti sotto la responsabilità dell’azienda.
Dal canto suo, il cloud pubblico risponde con un modello di responsabilità condivisa, che soprattutto nei settori regolati rappresenta sia un beneficio che un ostacolo: è un beneficio poiché i grandi hyperscaler impiegano i migliori esperti di sicurezza al mondo, ma è anche un limite poiché ciò inibisce un controllo totale dell’infrastruttura in capo all’azienda cliente, a prescindere dal modello adottato (IaaS, PaaS o SaaS).
Semplificando, si potrebbero fare due affermazioni:
Quasi superfluo sottolineare le conseguenze di un approccio cyber inadeguato, tra sanzioni di non conformità, inadempienze contrattuali, danni di immagine e – dato lo specifico ambito produttivo – anche rischi per la salute pubblica.
Per i motivi di cui sopra, WIIT integra nella propria offerta non soltanto la progettazione, l’implementazione e la governance del modello enterprise più adeguato alle esigenze del Cliente (modello che molto spesso è ibrido), ma anche tutto il tema della sicurezza, che si estende dalla strategia all’implementazione di soluzioni multi-layer fino a servizi di monitoraggio h24 come il SOCaaS, tipica manifestazione di Managed Security Services. Il tutto, viene erogato tramite un network di data center Tier IV proprietari, in grado di garantire livelli di resilienza e di protezione fisica di assoluto riferimento, a totale beneficio della continuità operativa e della conformità delle aziende Clienti.