إثبات سلامة البيانات العلمية وأمان السحابة

غالبًا ما تنتج شركات علوم الحياة كميات كبيرة من البيانات – الكثير منها واضح ، لكن كيفية تخزينها قد لا تكون واضحة جدًا للمؤسسات نفسها.

مع انتقال المزيد والمزيد من المؤسسات من التخزين المحلي إلى أنظمة التخزين السحابية (وستكون لها ميزة تنافسية في القيام بذلك) ، قد يتردد البعض ، خوفًا من عدم تمكنهم من تفسير اللوائح أو الامتثال لها ، أو أن بياناتهم قد لا تكون آمنة. أنا أزعم أن الشركات المرنة قد تشعر ، على الرغم من أنها مفهومة ، أنها لا أساس لها إلى حد كبير – وأن الانتقال إلى السحابة له بالفعل بعض الفوائد ، لأنه يلبي عمومًا المتطلبات التنظيمية لسلامة المعلومات وأمنها ، إلى جانب سهولة الوصول. في هذا العصر من Cubid 19 ، أصبحت هذه الفوائد واضحة بشكل متزايد.

من خلال دوري في IDBS ، المزود الرائد للبرامج المتقدمة لمؤسسات البحث والتطوير ، فإن الاهتمام المشترك الذي أسمعه من المؤسسات هو فكرة السحابة بشكل عام ، حيث إنها تستحضر رؤى حول نظام تخزين غير محلي شامل قد يبدو للوهلة الأولى أقل أمانًا من جهاز كمبيوتر في منشأته الخاصة. هذه بالطبع ليست الطريقة التي تعمل بها – التخزين قابل للتكوين والتحكم والموقع.

في الواقع ، يمكن للشركة بالفعل إغلاق المنطقة أو الولاية أو الدولة التي ستؤسس فيها البيانات ، وبما أن اللوائح تستند إلى القوانين التي تحكم المنطقة ، فإن فهمها ضروري.

ومع ذلك ، لأسباب تتعلق بالسلامة على وجه التحديد ، غالبًا ما لا تتعرض عناوين الشوارع لأكثر مراكز البيانات السحابية أمانًا. اتخذت العديد من مؤسسات البنية التحتية للخدمة (IaaS) ، مثل Amazon Internet Services (AWS) ، قرارًا بعدم تقديم عنوان شارع دقيق لمراكز البيانات الخاصة بهم لتقليل المخاطر الأمنية ، وهي طريقة موصى بها اليوم. عندما يتم تخزين البيانات عبر عدد من المواقع عالية السرية ، تكون البيانات في الواقع أكثر أمانًا ويقل احتمال تعرضها لمشاكل أمنية.

نظرًا لأن القدرة على “رؤية” البيانات هي مطلب تنظيمي ، فإن السحابة تجعلها أسهل بكثير ، لأنها تتيح الوصول من أنظمة وأنظمة كمبيوتر متعددة. يتمثل التحدي الذي تواجهه منظمة علوم الحياة في قدرتها على إثبات للمحاسبين أنه تم تطبيق العناية الواجبة المناسبة على البنية التحتية دون التمكن من زيارة الموقع ، وربما حتى معرفة الموقع الدقيق لتخزين البيانات.

من الواضح أن هناك حاجة لتفسير اللوائح التي تحكم تخزين البيانات ، ولكن قد يكون ذلك صعبًا لأن بعضها مفتوح أو لم يواكب التكنولوجيا. على سبيل المثال ، تنص لوائح منظمة التعاون الاقتصادي والتنمية في المملكة المتحدة على ما يلي: “يتم تخزين الموقع (المواقع) حيث يتم تخزين خطة البحث وعينات من عناصر الاختبار والمراجع والعينات والبيانات الأولية والتقرير النهائي.

ومع ذلك ، لا يوجد تعريف لمصطلح “موقع”. ذات مرة ، كان هذا يعني كتابًا معملًا محددًا أو محطة كمبيوتر ، ولكن في العالم الجديد ، يمكن أن يكون اسم الموقع للمنشأة والمنطقة الجغرافية وعنوان URL وقواعد البيانات السحابية وما إلى ذلك. يمكن أن تجعل هذه الصياغة من الصعب استخدام أحدث التقنيات ، ولكنها ليست مستحيلة. تذهب مسودة المبادئ التوجيهية لإدارة الغذاء والدواء (FDA) إلى أبعد من غيرها من حيث أنها تسمح بتطبيقات SaaS للتحقيقات السريرية ، بشرط استيفاء شروط معينة.

أحد الحلول المحتملة لإثبات إجراء العناية الواجبة هو الاعتماد على مستندات امتثال المورد. في حين أن الشهادات مثل ISO 9001 و ISO 27001 توفر ضمانًا ، إلا أن هناك شفافية محدودة: قد لا تتمكن منظمة الأدوية التي تم اختبارها بنجاح من تقديم التفاصيل الكاملة للتدقيق ، مما يترك المؤسسة غير متأكدة من قدرتها على إثبات أن المخاطر قد تم تخفيفها بشكل كبير لائق.

أود أن أزعم أن SOC 2 هو نظام أكثر شفافية وسهل الاستخدام ، حيث يسرد جميع عناصر التحكم وجميع الاستثناءات المعروفة لكل منها. لكي تثبت SaaS أنها متوافقة مع SOC 2 ، يجب ألا تثبت فقط أن لديها الضوابط ذات الصلة ، ولكن أن الضوابط عملت بفعالية لمدة ستة إلى 12 شهرًا. يوفر هذا النوع من المراجعة الموسعة متعددة النقاط مستوى من الرؤية والبصيرة يتجاوز كثيرًا يومًا أو يومين من المراجعة في الموقع.

يقدم Veiga and Calnan (2018) مثالًا ممتازًا على قيام شركة أدوية بتعهيد البحث والتطوير في العديد من مواقع منظمات البحث الإكلينيكي (CRO) ، والتي بدورها تخصص مهام جمع البيانات إلى مستشفى يجمع بيانات المشاركين في التجربة. كما اتصل مسؤول العلاقات بشركة خارجية لتكنولوجيا المعلومات (مزود SaaS) لإدارة البيانات. يوضح المثال أنه يمكن الحفاظ على سلامة البيانات في المواقف شديدة التنظيم ، مع تلبية المتطلبات التنظيمية مع الحفاظ على ميزات أفضل الممارسات لأمان السحابة.

كانت Cubid 19 بمثابة جرس إنذار لبعض المنظمات التي كان عليها التعامل مع ترددها السابق في التحرك. تم التأكيد أيضًا على الحالة الجيدة للمؤسسات التي انتقلت بالفعل إلى نظام قائم على السحابة ، وقادرة على العمل بشكل كامل من المنزل وقت الإغلاق. كما تمكنوا من تجنب القرار الصعب المتمثل في إرسال الموظفين وتعريضهم للخطر أو إبعادهم عن المخاطر مع تقليل مستوى الدعم أو الخدمة.

عند التفكير في الأمان والمرونة (بالإضافة إلى الفوائد التي لم تتم مناقشتها هنا ، بما في ذلك توفير التكاليف والقدرة على التكامل مع التقنيات الجديدة) ، من الصعب المجادلة ضد الانتقال إلى السحابة.

من وجهة نظر السوق ، يتمتع العملاء المشاركون في البحث ودراسة الاعتبارات التنظيمية بميزة تنافسية ، حيث سيخسر العملاء الذين لا يفعلون ذلك. سوف يتحول السوق إلى السحابة – السؤال هو مدى السرعة ومن يتخلف عن الركب.