解析CMIS|康日百奥生物科技(苏州)有限公司许舸:构建平衡药企合规和安全控制实践
2024-08-16
感谢主办方,在这里我感谢在座所有人,因为我觉得非常不容易,你们能坚持到现在,但是还有两部分,坚持一下。因为我觉得到最后往往是最好的,我看到今天很惊喜,以前罗氏徐总来了,我2017年听过徐总有一个分享,对我启发非常大,我觉得最后一部分你们可以听一下。
回到我的主题,每个在座人都是IT从业人员,你可能是负责IT或者负责某个模块,但是我们都会碰到这个情况,老板让我们做信息安全都会有,只要你负责IT,我们首先看一组数据。
我比较惭愧,因为我待过大概十多家公司,待得多可能就会有一些数据,我们看每家公司都要做信息安全,但是这么多公司不见得会做合规,合规不仅仅说我们的GMP合规,还有一些council合规,我经历公司有两大类:
1.跨国企业,跨国企业都会做安全和合规,基本上做得不错。
2.biotech,合规不见得做。
我经历这么多家公司做得好的我觉得达不到30%,可能还远远低于这个数,每家企业要求我们做的都会有四个要求:
降低安全风险,老板希望花钱少一点,其实我们都知道商业信息安全可能会降低整个体系信任,用户会有抱怨,我们希望能做的信息安全的落地是用户抱怨很少的,这是我们的期望。
同样信息安全和合规,我们有几个规范要了解一下,比如说ISO27001、CFR11、SOX,大家要了解作为IT负责人我们同时要知道怎么构建架构,这里不说了,但是一定要知道怎么够合规和安全的架构。
首先看几个案例,这个案例现在非常普遍,我没碰到过,还算幸运有很多同行碰到了,我们经常说信息安全会拿这个说事,比如说木桶原理,我们补这个桶里最短的板,一个领导说我中了钓鱼软件或者勒索软件,我的数据完了,没有了,信息安全搞好可以,我们开始怎么做呢?有这样的思路,我上一个沙盒,上一些AI的好一点现在很流行大模型的训练做模拟,上一些合规的制度,我们开始去全员推广、培训、演练,投入了好多钱,花了好多时间,效果的确可以,我们可以通过演练让防御度从比如20%到30%到100%,大家都有合规意识了,确保信息很安全了,这是一种不错的思路,思路很不错,但是我们是不是可以有些另外思路?
仔细想想,我们要不要保护桶里所有的水?我们看一下按照这个思路投入是多少,我们假定一个企业1000人,24小时365天,我们能不能承受,我们能承受的被成功攻击次数有多少?如果说你假定一个月发生一次,我觉得IT负责人已经很头疼了,每个月老板会拉你过去斥责一下,你怎么搞的我们又中毒了,又被勒索了,所以我们希望一年降到十次以下,防御要达到十二分之一。
怎么投入?防火墙要上,假定千分之一的防御率,杀毒软件要上,还要上其他辅助体系,沙盒、人工智能等等,现在人工智能蛮火的,也有很多好的厂商都在做这方面东西,可能整个投入要上百万,有没有其他的思路呢?我们假定桶要不要对所有的桶进行防护?我们首先要甄别一下我们到底要防护哪些数据?哪个是我们真正要核心防护的。
对于药企来说我们有三大类:
1.black office。
2.实验室的Rawdata。
3.生产的Rawdata。
我们应该知道最关键的还是Rawdata,所以我们可以很快鉴定出我们需要防护的核心范围在哪里,我们做一些信息安全分级的部署,我们可以在Rawdata和black office之间再构建一个防护体系,再上一道防火墙就可以做安全的叠加,快速达到十万分之一的要求。
当我们上防护以后,你会发现桶哪怕底漏洞了,都没有问题,所以我们要思考一下该怎么构建在万级和百万级的投入当中,我们要做一个平衡,不是说方式是最好的,但是是可以思考的思路。
同时,还有一些其他的体系可以上,比如说我在体系上面再上一个备份,我们可以用conword马上我又可以达到百万级的防御度了,勒索没关系,我可以恢复,如果我们对数据下载之前还能做一个还原或者定期还原,我们安全级别又提高了,所以它是另外一种思路,可以通过其他的合规控制快速尽量少的投入去达到我们信息安全的防护,有不同的思路可以去思考。
这个基于什么样的方式去做相应的不同解决方案?不同的思路呢?我建议大家看一下这个法规,ISO31000,风险评估在GMP体系当中,当我们有一个方法论之后可以很好利用它有一个新的思路出现了。
再看一下对于信息安全,病毒攻击有哪些合规可以看,数据安全我不见得要去考虑业务连续性等等,备份体系我也不见得要上,但是我们对于数据备份我可以考虑,IT安全、孟县评估和阶段性审核,我可能只要上四个合规控制就可以把体系做得蛮好的了。
找一个管理方法论分析一下,五力模型,我们做信息安全的时候会碰到哪几个力,对于已知会加大基础架构的投入,我们对于未知会有一些promotion,但是我们实施信息安全最大的阻力来自于业务部门的反抗,实际用户不讲究,实际用户的不合规行为以及我们老板的态度犹豫不定,这才是我们真正实施信息安全最大的阻力,而我们主要的思路放到了上下两个方面,对于中间这一层往往只是留于思考的模式,说实话推动合规非常困难,但是我觉得大家应该更多去思考一下这个方面。
由此可以分享我们一个信息安全关键因素在哪里?是社会、设备、技术吗?往往是内部被攻克的,所以我们会发现我们被勒索、感染、被钓鱼都是由于员工不当行为造成的,我个人认为包括经验也是,人是实施信息安全最关键的因素,我们通过风险评估做一些分级治理加上一定技术手段,最有效是对于不合理的行为做惩罚,在这里我分享一下,我以前在快消企业做过,化工类的快消企业,2000年初,那时候民企管理很混乱,突然有一天2004年现场没有烟屁股了,没有一个烟屁股发现,为什么呢?因为那天总经理到现场去,看到一个烟屁股,当天下午一张告示出来,总经理为这个工厂的安全负责,自罚5000,厂长3000,车间主任2000,组长1000,所有工人500。但是那天之后再也没有发生过。
实际效果真正有多大?我们往往要坚持一下,这是一个理想状态,可遇不可求,实际的现状是很难做到的,但是其实核心问题还在这儿,当你发现有一个人故意点软件,被勒索或者信息泄露了,最好方式你能不能说动HR或者老板对这个人处罚,比你投入几十万做有效的宣导有效多。
再说一下数据泄露案例,跨国企业在中国的分支机构,跨国企业做信息研究不错了,在中国落地的时候往往会变形,落地生产质量各个业务部门非常反抗,最后大家坐下来考虑说研发周期,我们把研发要做数据加密防泄露,但是外面大家要工作,外面就算了,最终大家觉得它的研发数据全国满天飞,我称这个实施叫掩耳盗铃式。
再看一个案例,我做的另外一家公司,都是失败案例,这也是一个CEO要上信息安全,它说我要上加密,OK,我们上,上了以后每个部门都抗拒,大家吵坐下来讨论,说怎么办?CMO说他在艾伯维中国的公司到我们新的公司去,他说我们是这样做的,艾伯维也是全球全部用加密,但是到了中国我们又有一个新的思路创新,我们全部放开了,我们会把后台数据定期发给部门负责人让他们看,做一个警示作用,这个方式大家觉得不错,就用这种模式,最终发现什么结果?所有部门负责人每个月要看三万条外发记录,你觉得C level的人有时间看这个吗?这种实施叫什么?鸵鸟政策,一样核心数据也是全国满天飞。
这是另外一家公司,也是我待过的,这家不是我实施的,但是也蛮搞笑的,我进这家公司到离开这家公司它是什么?它分了人员密集、文件密集以及信息密集,我进这家公司到离开我做IT负责人对IT部的信息访问申请都没批下来,大家就知道了,当你过分地去做信息安全防泄露的时候又会出现什么问题,你没法好好工作了。
这是我现在做的,我觉得还是要严控,的确全员防御,但是你必须考虑让大家对外沟通,但是要做变化,以前你用邮件以后可能邮件就要控制了,只有很少数人对外发,你要上一些对外文件分享的平台,以前大家可能通过个人微信的全部要收掉了,用企微、飞书这些,然后对eco system和防泄露系统之间要做协同集成,同时业务系统跟信息安全信息防泄露也要做集成,加一些合规控制,这样完全控制和完全放开之间必须做一个平衡。
这是我目前做的,事实效果推动非常好,就是IT在推,当然我想大家都会碰到这个问题,推动的时候有很多反抗意见,但是如果说你告诉业务部门说我有一个更好方式能够让你更安全而且也非常方便,事实上你做好整合以后就是属于无感防护了,其实它也能接受。
对于此类的防泄露我们应该怎样做合规的协同呢?比如说我们用到用户访问,既然考虑到系统集成就要用户访问,对于一些异常的物理访问也要做相应的控制,所以数据安全管理一定要有,风险评估和阶段性审核这是做任何系统都要考虑的。
至于大家怎么做信息安全以及怎么做合规的协同平衡,我给大家一个路线图大家参考一下,首先我们一定要学法规做架构,知道信息安全架构是什么、合规架构是什么,弄好以后开始做风险评估,甄别出体系当中哪些数据非常核心,什么样的方法可以把它的风险级别降到最低,做完风险评估以后我们要有一些指导性的,为什么ISO31000好呢?它会给出方法论,可以用fima评估做评估,很快得出很稳定的评估结果,我们会按自己的想法做评估,但是往往得出的结果不稳定,但是ISO会给出非常稳固结果,我们对信息安全做分级,相应合规的procedure上去,落地我们的安全体系非常关键的一定要把安全体系和其他的业务系统做一个相应的集成整合,这才能保证你能够很好落地它。
这里有两点非常注意:
第一,大家谨防做信息安全的时候用力过猛,做合规的时候用力过猛,把大家手脚绑住了。
第二,避免掩耳盗铃。有人说我经过的企业信息安全都在做,但是我觉得自我认可以及我知道的一些从业朋友我能认可的不是很多,因为不是说我们技术上做不了,主要还是我说的当中那块业务部门、员工和你、和我最高管理层,他们的思路以及配合是非常重要的,不见得你一定要跟他们整天聊,没用的,要有一些技术手段配合,找到一个平衡点,去妥协的。
我刚刚说的其实失败案例居多,成功案例不多,这是典型把砖头扔出来了,希望大家接过来磨成你们自己能用的一块玉,把各自的信息安全和合规做得更好。
希望对大家有所帮助,谢谢!
