以下是現場速記。
樂普生物科技股份有限公司 信息技術部 高級總監 毛磊
毛磊:非常感謝我們主辦方包括范總的邀請,能有這么一個機會來向大家學習以及做一些心得的分享與交流,非常感謝!
時間已經到11點半了,大家已經聽了一個上午,也比較累了,但是我發現在座的還是座位非常的滿。大家都非常的喜歡學習,這個我覺得就非常好,我也很喜歡學習。我也想把我這些在工作跟實踐中學到的東西跟大家做一些分享。
對于藥企來說我可能是個新兵,我最初是在電子設備制造業做的時間比較久,后來又去了服務行業,在一個公關跟廣告行業里頭中國NO.1企業做IT負責人,后來又回歸到制造業,回到了傳統,因為制造業還是我們強國的根本。
稍微介紹一下我現在所在的公司,樂普生物科技股份有限公司是一家制藥企業,是以自己的開發、研發去針對腫瘤治療的企業,是挺新的企業,18年才成立。到今天為止我們已經實現了公司的上市以及產品的上市,我們公司的使命始終是以通過醫藥的創新,提高患者的生存質量,這是我們的使命。
公司因為是一個創新型的公司,所以基于三個大的基礎平臺:包括之前的單抗,現在比較注重的是ADC還有一款是針對于腫瘤的溶瘤病毒,已經上市的產品是單抗部分,去年上市了,有兩種適應癥是它針對的對象。
因為我們是做IT的,我們來交流我們自己的核心內容。剛才開篇的時候咱們雷博士提到了未來的數據也會成為公司的戰略資源,這個發展趨勢已經得到了越來越多的人以及企業的認同。
數據是資源,這個大家毫無疑問的。但是現在它給墜上了戰略兩個字,是它的地位和它對公司的價值產生的變化。它在公司里頭有沒有真正成為戰略級的資源?這個可能每個企業還在不同的理解跟不同的發展階段。
對于一個藥企尤其是創新型的藥企來說,確實數據是蠻致命的。因為我們可能做了無數次的實驗,花了很多、很多的投入,時間與金錢,最終得到的可能也就是很核心的一點-數據。這些數據,如果說有遺失或者被竊取,對我們公司是相對致命的打擊。
保護好數據,我們現在面臨的挑戰確實越來越嚴峻了,大家會列舉的很多了。有的是被動型的,別人要來攻擊,竊取你,甚至我們還發現一個公司上市之前跟上市之后,由于你的關注度不同,你受到了攻擊的程度有可能是十倍級的,上市之前你可能是個小公司,大家不太會關注到你。一旦你成為公開市場的公司,你就會被關注,你受到的攻擊會成倍甚至成十倍的增長。
最近幾年勒索病毒很厲害,它不僅僅是搞破壞,以前更多的病毒是搞破壞,現在不是了。人家是有非常明確的經濟利益的訴求之下,一批很專業的人士來攻擊我們。
相比較而言我們的專業水平跟他們比還是有弱勢點的,因為大家跟我一樣日常的工作有大量的是在滿足各個部門的訴求,真正能把時間跟資源投大安全上的其實蠻少的。人家是專門做這個行業,專門以此為利益訴求的,所以一個非專業的跟一個專業的在對抗的過程當中,我們的挑戰是非常大的。
老板也知道,安全重要。但是老板常問的是你的投入和你的產出。我們始終是在一個有限的資源,包括時間包括人力包括我們自己的關注度,在一個非常有限資源的情況下,怎么去應對?并且我們也不敢跟老板夸海口說投了這個錢安全就解決了,我相信我們在座的也很難回答這個問題。
第二個是這個行業的變動帶來的人員頻繁變動。
生物制藥這幾年還是蠻火的,所以人員在行業里頭的流動是蠻頻繁的。因為火嘛,不停的有新的公司不停的有不同的行業的人涌進來,所以人員變化的頻繁會帶來的是知識產權的泄露的風險會很大。大家也都是看中的是在公司的經驗。
往前三年疫情,疫情的影響對大家來說,可能是工作的不方便。對IT來說,逼著我們有更多的要把開放到互聯網上,因為大家要居家辦公,居家辦公的時候只能是通過遠程的方式來接入,遠程的方式接入就意味著我們要把更多的開放出去。原先的做法是保護起來,我把我們數據鎖起來,這種方式可能會越來越困難,因為畢竟人家是在居家辦公,你就得給人家提供辦公的條件。
第四塊是法規的要求。
因為整個制藥行業跟我之前從事過的幾個行業比,相對來說在法規的要求上面會更高一些,是一個強合規性要求的行業。這些年也看到了無論是國家還是行業、監管,對企業擁有的數據來證明你自己的質量也好或者是你的管理也好是要求越來越高。所以你的數據性的要求會被提得很高。
我想把我這些年在這個領域的一些實踐跟心得我們總結一下。
因為每個人面臨的環境跟問題可能都不一樣,我更多的分享不是說我做了什么,而是說我在針對我們作為這樣的一個群體,是在企業里頭去從事IT的工作,我是怎么思考的?我是怎么去解決問題的方法,這個可能有通用性更強一些。因為具體的內容是每個企業都有自己的特殊的訴求,所以可能內容上面會有差異。
通過這些年的實踐與思考,我覺得做安全這個角度上來說,可以跟所有人打通的或者跟老板去對話的,這兩條是比較關鍵的。一個是合規,對于藥企來說合規是一個下限不是一個上限。合規就意味著有些東西是必須做。第二條利益,老板肯定關心的是投入產出比,老板經常說的是不要跟我講那些專業的術語,確實專業術語是我們要掌握的。核心跟老板對話的還是利益,我們這么干保護的是什么?花的代價是什么?這個事情發生的概率是什么?如果說我們花了很大的錢,保護的是一個很低的概率的事件,可能老板想想這個事情,要不我們買個保險行不行?我們換個思路去解決問題了,哪怕它損失了我買個保險可能也就解決這個問題了。所以合規與保護公司的利益可能是我們可以跟高層甚至跟所有的人去交流的,我們做安全的一個很好的目標。
怎么做?有了目標以后,我們說怎么去實現這個目標?我的理解是要三位一體:管理上面一定要重視,一定要在管理上面去付出努力。因為我們自己搞技術,容易陷入到技術的圈圈里頭。今天看了一個新的防范技術,比如我買了一臺新的防火墻,這個技術很好。但是其實大家仔細去看,我們企業里頭買新設備的也不少,但是你那些最基礎的管理是不是到位了?防火墻的設置是不是還是當初廠家給你做的設置?有沒有根據公司業務的變化做很顆粒度越來越細的設置?有沒有動態的更新?甚至很低級的問題,就是咱們管理員的密碼有沒有設得很復雜并且能做到定期的更換。
據我的了解咱們很多數據庫的密碼是不敢換的,為什么?理由當然有很多。因為這個數據庫可能跟外面連接很多,很多都會跟這個數據庫連接。如果你換了密碼以后,有可能服務就會中斷,但就是因為這個連接越來越多,數據庫的密碼不能換,其實這個風險比我們說你花很多的代價去買高級的防護,那這個風險來得更大一點。
所以我們說三位一體的思想是管理上一定要重視并且要落地的,技術上面依據我們的能力,就跟我們家里頭買車,有錢買奔馳,沒錢買普通的車一樣能過。技術上面,就目前而言我們更多的技術是買來的,還不是自己的團隊開發出來的。如果說我們手頭有足夠的技術力量,我說我們要開發這個邏輯上是可以的,但是成本與效率相對來說會是低下的。
再其次就是第三塊所有的管理跟技術都需要人去落地,對人的這種教育也好、提醒也好,羅嗦、多說兩遍總還是需要的。
我們談數據的安全管理,首先一條我們要先了解我們自己企業的數據分布在哪,哪些數據是我們的很核心的數據?這一條很關鍵。我們上來說所有的數據都重要,如果要這么干的話,我們就沒法開展工作了。老板給你的預算就那么點,你說你有本事把所有數據都保護好,這個是大概率做不到的事情。
所以我們肯定講,我們要抓重點。抓重點就會牽扯到我們要跟數據的擁有方和產生方去談你的數據的關鍵在哪?這種關鍵性可以從兩個維度上去談:一個是它的價值,這個數據帶來的價值是正向的并且很大的,那這個數據很關鍵;還有一個是從反向去談,如果說這個數據丟了會怎么樣?如果說一個數據被你的競爭對手竊取了,你也沒有什么損失,這個事情其實反過來說你對社會做貢獻了。
我們跟這些數據的持有方去談數據關鍵性的時候,大家可能都會遇到一個共同的點。就是說我們不搞業務,我們距離人家的業務還是有差距,比如說我到一個制藥企業來,對于醫藥的很多知識,我跟那些研發部門、臨床部門談的時候就很匱乏。在很匱乏的情況下,你去問人家你這個數據什么是關鍵的?人家可能很禮貌性的拒絕了我,可能會說都關鍵,這個數據都重要。
因為你是個門外漢,他跟你覺得談不到一塊去。我有沒有可能成為門內漢,有沒有可能成為專業比他更高的呢?我覺得成為專業比他更高的不可能,因為每個專業都需要花大量的時間和精力,我能把我自己的這點工作整明白,我已經付出很多的努力了。
我想進一步了解它的時候,作為IT領域或者從事數字化領域的,我個人感覺兩個工具或者兩個武器是我們比較擅長的:第一個是我們比較喜歡系統性的思考問題。這是我們工作以及我們現在無論是大系統被嚴格的這么培訓、學習過程中養成的,因為我們總是要想清楚,這個系統跟模塊關系,模塊跟模塊之間的關系,這些東西你不捋清楚,我們在搭實踐過程中這個系統會出問題的。所以把我們養成我們想一個事情我們就會從系統性的角度去思考問題。
這張圖展現的是我對這個企業的整個流程的梳理,就是這個公司的業務它是一個長流程,它從研發一直到自己的臨床實驗,一直到最后的產品生產以及與銷售。這個流程很長,每個流程,每個環節里頭都會有它的很關鍵的數據。我們拿著這個圖跟我們任何一個部門談的時候,別人起碼也獲取到一點點價值,說你看你還懂得這一點,能讓我看清楚我在整個鏈條里的哪個位置,上下游的關系,起碼在聊天的時候我們有一個比較平等的位置,他講他生物的東西我不懂,但是起碼我能給他看到一個全貌。
這是一種方式,相互有價值的對話是在于我們雙方對對方都有價值的產生。再白一點說,他跟我談話的時間不是白花的,我也給他創造了價值,人家才愿意跟你聊。這是一個思維的方式。
每個企業這個圖都會有改變,但是這個思維方式是通用的,這就是系統的一種思維方式。可以體現在流程,也可以體現在價值鏈的圖。就是工具有很多種,上下游、產業鏈的劃分,甚至我們可以把視野再打開一點,因為我們現在要做數字化可能會牽扯到公司內部跟外部,我們在整個產業鏈的上面我們在哪個位置。
剛才說的是第一個工具就是系統,系統的思考方式。系統的思考方式也不僅僅是我們,其實在中國航天事業,咱們的錢學森錢老最初面對中國這么薄弱的研發環境,材料各方面都搞不上,那怎么辦?就取系統的最優。
我們再聊第二個工具-項目。項目管理是我們在整個我們的職業生涯過程中也是會被無數次鍛煉出來的一種能力。項目做得好,那就意味著咱們在整個組織資源、協調資源的角度上面來說我們具有我們的優勢,我們在跟各個部門協同的過程中,我也發現很多部門它的專業性不錯的。但是你說讓它干一點超越它本部門的,超越它專業以外的事情。咱們隨便說,注冊部老板給他一個活,要求什么時間把注冊文件交給藥監局,這個事可不是注冊部自己能干完的,這個需要協調很多個部門去為它提供前期的事情才能夠完成的,這個項目管理在這個領域里頭具有很大的可以發揮的作用,IT人員就可以進行對話與溝通。
前面說的是我們的兩個武器。這一張PPT想說的是作為IT的人,我們可能要想辦法擠到制定規則的這一堆人里頭去,我們要參與或者說參伙。公司的整個管理體系有很多的IT可能覺得那個管理體系是其他部門的事情,跟我們IT關系不大,我們搞技術的干嘛要攙和到人家的管理體系里去?其實我們所有的事情都被人家管理體系所管著呢。
如果我們有機會甚至我們沒有機會我們要想辦法創造機會參與到制定規則里頭去,這樣定出來的規則才是能夠實現我們管理意圖的這樣的一個規則。對于一個藥企來說,有GMP,這是民間的劃分方法,這個不是很科學的,但是現實中是這么運行的。
我們就積極的參與進去,一開始我對GMP體系了解很少,因為畢竟不是一個行業的。從進入到工廠慢慢的理解它的GMP管理的核心跟它的制度的具體內容。我在去年的時候我就做了一件事情,把我們北京工廠的GMP涉及到自動化系統的整個體系搭建了,之前它的管理體系文件是借鑒了,借鑒別人的體系文件有一個好處就是看起來很高大上,但是明顯的弱點是它不落地,它跟我們具體操作實踐的落地性方面欠一些,我們就得反過來是以下往上看,我們既要滿足合規的訴求也要去實現我們自己在具體管理、具體操作層面上的便利性,同時也要通過這種管理制度去約束我們的這些客戶,我們這些用戶的使用的規范性。
舉個很小的例子,大家如果在藥廠里頭負責到藥基部分,無論是生產的還是實驗室的這些設備。用戶忘記密碼,是一個很常發生的一件事情。如果說在一個潔凈車間里用戶說忘記密碼要求重置,人家生產在那等著你去也得去不去也得去,但是你要金屬一個潔凈車間,光換衣服來回幾次消毒半小時花去了,你進去拿管理員密碼重置密碼,它還嫌你姍姍來遲,這就是我們的處境。
怎么辦?我們說用戶不應該忘記密碼,這個事情好像有點違反人性。因為我們一方面要求他的密碼要三個月更換一次,復雜度要很高。那怎么辦呢?我們在管理制度上得想出辦法來。
一方面是以前對于這種忘記密碼的事情,默默的都呈現在IT人員日常工作里面了,我們把它凸顯出來,我們讓忘記密碼去提申請,讓他的領導知道。他自己也不好意思啊,比如一個月要提三次忘記密碼,他的領導估計也該說他了,你不能老忘記密碼。讓這個問題浮出來。
第二個是我們要正向的引導用戶,說咱們設密碼怎么設,密碼放在哪比較合適,又安全又方便記憶,這些小技巧得傳遞給人家。要不然的話,你光把問題暴露又沒有給他很合適的解決方式,這樣就會造成矛盾的激化。矛盾激化對于IT部門來說也不是什么好事,因為IT部門在藥企里面相對來說屬于支撐地位,雖然我們自己想成為一定的跟別人成為合作伙伴,人家未必看得上我們。所以我們用管理制度,用我們的服務的改變去影響到我們的用戶,這就是我們要提的參與到整個管理體系的搭建。
管理體系的搭建,不僅僅是說面上的參與,可能還需要付出很大的代價,要把我們的管理思想與措施落實到一個一個的管理體系文件里頭。因為管理體系不是一個文件構成的,剛才上面的結構顯示了前面有最高級的也要SMP還有SOP還有操作記錄,起碼是四個等級的構成。這張圖怎么來的?這張圖是我去年想動我們廠的GMP體系,我在動之前總是要花點功夫把人家的體系先完全的融會貫通,這就是把它融會貫通的基礎上面重新再造。這張圖是這么來的。
講完了前面的管理這一部分,我們再說中間的人員培訓。
人員培訓,老生常談了,做信息安全都在講員工的安全意識很重要。我們談怎么樣能夠把這個安全意識真正的給員工樹立起來?除了家長式的嘮叨以外,因為嘮叨多了人家可能也不見得聽,我們還是要想盡一些辦法。這就是我們想的辦法,把它放到法律層面,讓HR跟我們一起合作,跟員工去進行簽保密協議也好或者說把它落到更細節的地方,然后再進行宣慣、培訓,可能還要再加上一些技術手段。
這是年前的時候,趁著春節之前,大家要返回回家。趁著春節之前,我就組織了一次全員的信息安全的培訓。因為大家要離開熟悉的無論是工廠還是辦公環境,大家的電腦要帶走,電腦帶走以后你所處的環境就會比在工廠里面的會更復雜一些,這個我們就跟大家要提勒索病毒帶來的危害。
最起碼大家年前的時候有一點點意識,年后我也收到反饋,用戶意識到了,比如他收到一些來歷不明的郵件他會及時的跟我們分享,說這個郵件幫我們看看是不是垃圾郵件或者是不是一種偽造的騙取信息的文件?起碼我們感覺到用戶的意識在增長。
技術體系的防護,其實我不想成為這方面的重點,因為這方面每個公司的技術架構、邏輯都有差異,沒有完全可參考性,這是一方面。第二方面在專業的安全公司可能會給大家出更多的安全的建議,這里面只是想提一條我們始終是在有限資源的條件下做事情。有的時候我們會覺得人家的建議很好、方案也很好,我們怎么辦?如果我有錢不在乎錢當然沒問題,但是我沒有遇到到。
在緊張資源情況下,怎么去開展工作?一定是要找到切入點,找切入點是每個IT從業者要自己去想辦法的。從整個規劃藍圖到每個層面,每個層面基礎性的工作要做到扎實,甚至提到管理員密碼的更換,關于管理員密碼的更換,相信在大家的職責范圍跟權限范圍內是能做到的,有的時候多一事不如少一事,你換了數據庫密碼說不定哪個系統會跑出來用不了了。
所以這些事都是可以去做,把它做到一個扎實的角度就能夠讓大家的安全有一個基礎保障。其實就是我們盡可能的花少成本的基礎上獲得更大的收益。是不是能夠足夠安全?這件事情還要重新評估,這些是屬于基礎性的工作。但是我們看到的很多時候是說我們的基礎性的工作并沒有做到位,帶來的一些事故。
對我剛才的分享進行小結:
我們整個的安全建設的目標可以跟老板談的無外乎合規和利益,兩大條。從它的解決的方法跟思路的角度上來說,我總結下來我倡導的是管理、技術、人員三位一體的立體的推進,在實踐過程中我發現這三者的關系不是加法而是乘法,這三者任何一個環節有出現大的漏洞都會拉低你整體的安全,它是個乘數關系。任何一個環節做得好一樣會被放大,所以我的觀點就是把這三者平衡的去發展好,尤其是在我們現有的約束性條件下。
我的分享就到這,也感謝大家!
京公網安備 11010502049343號