Digitalización en industria farmacéutica: amenazas bajo control

Los productores farmacéuticos están transformando sus operaciones con la digitalización y mejorando drásticamente su competitividad.

El acceso a más datos y la simplificación de las arquitecturas de control pueden disminuir los tiempos de cambio de producto y conducir la producción a la excelencia operativa. Otros productores están utilizando MES modernos para aumentar el número de lotes procesados en más de un 50% o para evitar por completo el uso del papel.

Se trata de una tendencia que probablemente continuemos observando a medida que los nuevos reglamentos y las leyes contra las falsificaciones continúen empujando a los productores farmacéuticos a adoptar operaciones conectadas y preparadas para suministrar todo tipo de información.

Pero esta digitalización no puede abordarse sin tener en cuenta la seguridad industrial. Muchas empresas farmacéuticas ya temen que una mayor conectividad pueda poner en riesgo su propiedad intelectual u otra información sensible. Y les preocupa el hecho de que personas externas puedan interferir en la producción poniendo en riesgo la calidad de sus productos.

Se trata de preocupaciones fundadas, pero que no tienen por qué detener sus planes de digitalización. Para proteger mejor su información confidencial, sus operaciones y sus productos, puede reforzar su estrategia de seguridad industrial siguiendo las mejores prácticas y utilizando recursos industriales.

No existe una solución para todo

No existe una única tecnología o técnica de seguridad que pueda proteger las operaciones de la industria farmacéutica de todas las amenazas.

Los bancos, por ejemplo, no se limitan a cerrar sus puertas para proteger sus fondos físicos y los datos sensibles de sus clientes —como su información financiera—. Las empresas farmacéuticas conectadas, con operaciones por valor de millones o miles de millones de dólares, ¿no deberían entonces aplicar una estrategia similar, con varias facetas, para proteger sus activos físicos y digitales?

La seguridad de defensa en profundidad se basa en esta lógica. Esta estrategia asume que cualquier punto de protección puede ser —y probablemente acabará siendo— vencido, de ahí que utilice varias capas de protección. La estrategia de seguridad recomendada en la serie de normas IEC 62443 (ISA99) indica la necesidad de desplegar medidas protectoras en seis niveles:

1. Políticas y procedimientos
2. Físico
3. Red
4. Ordenadores
5. Aplicaciones
6. Dispositivos

Una receta para la industria farmacéutica

Jim LaBonty, director de automatización global para Pfizer Global Engineering, habló en la 2016 Automation Fair^® de Rockwell Automation sobre el despliegue de una seguridad global en las operaciones de la industria farmacéutica.

LaBonty mencionó que su empresa utiliza diferentes zonas de seguridad, divididas por firewalls desarrollados al efecto, que protegen unos activos del negocio respecto a otros. Y no solo eso, también explicó que la empresa mantiene los equipos antiguos desconectados de los sistemas y dispositivos más modernos, una diferenciación que deben hacer los equipos de IT y de automatización en un trabajo conjunto.

“Es bueno establecer cargos y responsabilidades claros para la seguridad. Se trata de un enfoque que resulta de ayuda cuando diferentes actores deben hablar entre ellos”, explicó.

LaBonty también habló de utilizar un software capaz de analizar los patrones de tráfico en la red. Un software capaz de detectar anomalías, por ejemplo, puede monitorizar el tráfico entre activos de red industriales de forma pasiva y analizar las comunicaciones al nivel más profundo. Las anomalías que se detecten se pueden enviar a seguridad o a otro grupo que ayude a investigar, a responder o a recuperar los sistemas de forma eficiente.

Otra medida clave de seguridad en la industria farmacéutica son las zonas industriales desmilitarizadas. Se trata de establecer una barrera que restrinja el tráfico que circula entre las zonas de producción y el resto de la empresa. El software de autentificación, de autorización y de cuentas también puede acotar quién puede acceder a la red y qué puede hacer cada cual en ella, además de ofrecer un registro auditable completo de las acciones del personal.

¿Síntomas de ansiedad?

Es fácil experimentar ansiedad o sentirse superado por las amenazas a la seguridad industrial. A veces, ya es un reto saber por dónde empezar. Pero no hay por qué preocuparse. Muchos recursos disponibles pueden ayudarle, entre ellos los siguientes:

• Las arquitecturas de referencia Ethernet para plantas convergentes ofrecen directrices para la creación de arquitecturas de red preparadas para el futuro que también abordan los riesgos de seguridad.
• Su personal de OT e IT puede utilizar los cursos de formación y certificación para alcanzar la competencia necesaria para gestionar y administrar de forma segura los sistemas de control conectados a redes industriales.
• Los servicios de seguridad también pueden ayudarle a realizar evaluaciones de seguridad y a desplegar nuevas tecnologías o incluso a gestionar de forma permanente diferentes aspectos de su programa de seguridad.

Si desea obtener más información sobre estos recursos, visite nuestra página web sobre seguridad industrial.

Automation Fair es una marca comercial de Rockwell Automation, Inc.