Il valore delle informazioni custodite dalle case farmaceutiche e dalle strutture sanitarie lega non solo la protezione del dato alla brand reputation e alla compliance normativa, ma alla sopravvivenza stessa degli operatori.
L’industria farmaceutica protegge informazioni di rilevanza vitale sulla composizione dei farmaci, sui brevetti e sui processi industriali, oltre a tutti i dati delle sperimentazioni cliniche e degli altri ambiti di ricerca. Le strutture sanitarie sono invece un enorme repository di dati sensibili: imaging di esami diagnostici, cartelle cliniche e prescrizioni, oltre a tutte le informazioni relative ai processi amministrativi e alla governance delle strutture stesse. La protezione dei dati, in termini di integrità, accessibilità e confidenzialità, non può subire compromessi di alcun genere. Non dimentichiamo, inoltre, che tutto il mondo life science è fortemente regolato, andando ben oltre l’onnipresente GDPR.
Pharma e Healthcare alla prova del cloud
Le organizzazioni di entrambi i verticali stanno cogliendo l’opportunità del cloud per la loro progressiva modernizzazione: time-to-market accelerato, scalabilità virtualmente infinita, modello as-a-service, nuovi paradigmi di gestione del ciclo di vita del software e sicurezza allo stato dell’arte sono alcune motivazioni alla base del passaggio. Inoltre, l’esigenza di soddisfare rigidi requisiti di compliance e di sfruttare appieno l’innovazione portata dal cloud sta spingendo le imprese verso modelli di tipo ibrido.
Nello specifico della protezione dei dati, il cloud pone una serie di sfide che le imprese devono affrontare per ottenere il massimo valore dal loro journey:
- nei modelli ibridi e multicloud, i dati sono distribuiti in architetture e sistemi complessi: on-premise, cloud privato e pubblico. Occorre centralizzarne la visibilità, la definizione e l’implementazione delle policy di data protection;
- il concetto della responsabilità condivisa, tipico del cloud, può non essere applicato in modo corretto;
- la partnership con più cloud provider rende complessa la gestione.
La responsabilità condivisa, il caso del GDPR e la cloud security
Nell’ambito della responsabilità condivisa, l’esempio più calzante è il Regolamento GDPR: il principio di accountability stabilisce che la responsabilità dell’azienda – che nella fattispecie è il titolare del trattamento – è (anche) quella di scegliere un provider (responsabile del trattamento) che possa dimostrare misure tecniche e organizzative adeguate al dettato normativo. La conformità al GDPR e alla normativa nazionale sulla protezione dei dati personali sono i pilastri che guidano la scelta del provider. Entra in gioco anche il tema della localizzazione geografica dei dati, dei backup e dei sistemi di disaster recovery, oltre alle performance previste negli accordi sui livelli di servizi (SLA).
Di per sé, il cloud ha rivoluzionato i paradigmi di security rispetto alla protezione perimetrale, un cambiamento resosi necessario dalla continua estensione delle superfici d’attacco e il conseguente affinamento delle tecniche e dei sistemi di difesa (lo smart working, sotto questo profilo, non ha aiutato). Le tecniche di protezione dei dati in cloud sono talmente sofisticate ed efficaci (se implementate in modo corretto), che secondo Gartner nel 2025 il 99% degli incidenti legati alla cloud security saranno colpa dell’azienda. In altri termini, si tratterà di errori di configurazione. Per sottolineare la complessità del tema, la stessa Gartner afferma che le aziende che (sempre nel 2025) non riusciranno a controllare al meglio il cloud pubblico finiranno per condividere erroneamente dati sensibili.
Data Protection: 4 motivi (e vantaggi) per scegliere il cloud
Quanto detto finora porta a due considerazioni sinergiche: il cloud è adeguato a gestire tutte le esigenze della moderna protezione dei dati in verticali regolati, ma governare la cloud security non è banale e richiede competenze specialistiche. Posto che quest’ultimo fattore si risolve affidandola a un partner, meglio se con un modello as-a-service, sono almeno 4 i motivi che rendono il cloud una scelta azzeccata per la data protection nell’universo life science.
1. Tecnologie e misure di protezione fisica allo stato dell’arte
Osservando il fenomeno dal punto di vista sistemico, il cloud provider (hyperscaler, ma anche provider di private cloud o cloud ibrido) può contare su misure di protezione del dato più sofisticate e aggiornate rispetto a un data center tradizionale. I cloud provider sfruttano massicciamente la crittografia, monitorano reti e dati in tempo reale per 24 ore al giorno (SOC, Security Operations Center) e, nell’applicazione di policy adeguate di data loss prevention, possono usufruire delle tecnologie più avanzate e innovative, come l’Intelligenza Artificiale.
2. Continuo adeguamento alla normativa di settore
Come si è visto, i cloud provider assumono responsabilità in termini di protezione dei dati. Per questo, esibiscono certificazioni (es, per i data center) che le aziende solitamente non hanno e sono aggiornatissimi su tutta la normativa in tema di sicurezza, privacy e data protection.
3. Innovazione nel mondo della data protection
I cloud provider non si limitano ad applicare soluzioni di protezione dei dati alle informazioni dei propri clienti, ma sviluppano tecnologie ad hoc per essere sempre un passo avanti rispetto ai malintenzionati. Il fatto di gestire infrastrutture e dati di molti clienti li rende particolarmente competenti e proattivi rispetto alle tendenze di mercato.
4. Competenze e processi allo stato dell’arte
Le aziende faticano a integrare esperti di security nelle proprie operations IT. Un cloud provider, invece, attrae i migliori talenti presenti sul mercato e mette a disposizione dei propri clienti le loro competenze specialistiche.