Entrar
Ciberseguridad en el sector farmacéutico: la experiencia de Faes Farma
La ciberseguridad en el sector farmacéutico es un asunto de salud pública y de continuidad operativa y no únicamente de protección de datos. En un entorno de digitalización industrial, presión geopolítica, riesgo poscuántico, inteligencia artificial disruptiva y regulación creciente, la única respuesta viable es una estrategia de ciberresiliencia integral, basada en prevención, detección, respuesta y recuperación, respaldada por la alta dirección e integrada en la cultura organizativa. Así lo explicó Jaime López Ostio, director global de TI de Faes Farma, en el evento CIO ForwardTech & ThreatScape Spain, celebrado el 16 de abril en Madrid. Más que evitar ataques, en este sector el objetivo es otro: garantizar que la producción de medicamentos nunca se detenga.
El directivo explicó que, durante los últimos años, la superficie de ataque se ha ampliado de forma exponencial y alcanza también a la cadena de suministro. En esta línea, relató como un incidente en una fábrica de papel puede afectar a la comercialización de un medicamento, al impedir que éste pueda salir al mercado sin prospecto.
También habló de la importancia de incorporar la ciberseguridad desde el diseño. “Así hemos hecho en una nueva fábrica en Vizcaya”, dijo tras apuntar las diferencias con otras instalaciones históricas cuya arquitectura tecnológica responde a paradigmas de hace décadas.
López habló de las características específicas de un sector que, si bien no tiene amenazas completamente diferentes, sí presenta condiciones que amplifican el impacto. Así, habló del alto valor de los datos clínicos y personales que se manejan, de la criticidad operativa y de las restricciones regulatorias.
“Lo que sí tenemos son atacantes especiales, como el grupo APT29, especializado en agredir a la industria farmacéutica”, dijo. También relató algunos ejemplos de ofensivas específicas. “Pueden cambiar las condiciones de producción de los medicamentos; por ejemplo cambiar la temperatura necesaria para ello de 12 a 18 grados. Eso no afecta al usuario final, porque las medicinas se prueban antes de comercializarse, pero arruina toda una producción”, dijo.
El experto describió también nuevos vectores de riesgo que afectan al sector farma. Uno de ellos es el uso no controlado de herramientas de inteligencia artificial por parte de empleados, la ‘Shadow AI’, que supone exposición de datos sensibles, pérdida de control sobre información estratégica y riesgos regulatorios. También la mayor interdependencia de proveedores, que aumenta indefectiblemente la superficie de ataque. La evaluación de proveedores se vuelve clave no solo por continuidad industrial, sino por exposición cibernética indirecta.
Garpress | Foundry
El director global de TI de Faes Farma señaló que algunos ciberataques “pueden cambiar las condiciones de producción de los medicamentos, por ejemplo, la temperatura necesaria para ello de 12 a 18 grados. Eso no afecta al usuario final, porque las medicinas se prueban antes de comercializarse, pero arruina toda una producción”
Riesgo poscuántico
El director global de TI de Faes Farma tampoco escatimó advertencias sobre un peligro que cada vez preocupa más en el sector: el riesgo poscuántico. “El ordenador cuántico para descifrar información encriptada es un riesgo real. Hay quien dice que China ya lo tiene”, advirtió. “Es un robo de información que se hace con nuestra información encriptada. El ‘recoge hoy para descifrar mañana’ parece que está bastante cerca”, dijo.
López Ostio estructuró la estrategia de ciberresiliencia en cuatro pilares fundamentales: prevención y protección proactivas; detección y análisis continuo; respuesta y contención efectivas; y recuperación y continuidad operativa. En este último punto remarcó la conveniencia de aplicar la Regla 3-2-1 de copias de seguridad y realizar simulacros anuales.
Respecto a la regulación, defendió que es una oportunidad para justificar inversiones, alinear negocio y tecnología, imponer estándares internos y generar un efecto cascada en proveedores (NIS2). La presión normativa, aseguró, ayuda a superar resistencias organizativas.
Por último, recopiló las principales lecciones sobre ciberseguridad recibidas en los últimos tiempos. La importancia de la mejora continua; el rol crítico del factor humano; la gestión de terceros y la preparación para incidentes. “Hay que asumir que habrá incidentes, practicar escenarios e integrar la ciberseguridad en la estrategia corporativa”, concluyó.
