" /> Validación en entornos Cloud - OQOTECH - Procces Validation System

Analizamos qué tener en cuenta para asegurar la integridad de la información cuando los sistemas informatizados operan en entornos cloud.

Validación en entornos Cloud

Las empresas que trabajan en sectores altamente regulados como la farmacéutica, de productos sanitarios o cosmética,  están trasladando progresivamente sus sistemas informatizados a entornos cloud para mejorar la eficiencia y reducir los costes.

Si bien, a su vez, este proceso de digitalización plantea a la industria el reto de seleccionar proveedores de servicios en la nube que permitan controlar, validar y garantizar la confidencialidad, integridad y disponibilidad de los datos almacenados en esos sistemas.

A continuación, analizamos los retos de la industria y cómo llevar a cabo la validación en entornos cloud.

El reto de la seguridad de los datos en la nube

El principal reto para la industria relacionado con los sistemas en la nube es, sin duda, gestionar la seguridad e integridad de los datos.

Asegurar una implementación cloud que cumpla con los requisitos regulatorios se sustenta en 4 pilares:

  • Seguridad: cuestiones relativas a la integridad de la información, controles de acceso, cifrado y detección de brechas de seguridad.
  • Control: administrar dónde y cómo se gestionan los datos y las herramientas software que se emplean.
  • Gestión del nivel de servicio (service level management): definir, contratar y asegurar que se cumplen los acuerdos de nivel de servicio entre todas las partes implicadas en la gestión de los datos.
  • Conformidad: dar cumplimiento a los requisitos regulatorios de la industria (FDA CFR 21 Parte 11 y Anexo 11 de la UE).

Frente a los problemas de seguridad de los sistemas en la nube, las empresas deben aplicar controles técnicos de seguridad y políticas de mitigación de riesgos. Por ejemplo, para controlar:

  • Usos malintencionados: modificación del software para eliminar los métodos de protección (cracking), el lanzamiento de puntos de ataque dinámicos, hosting de datos corruptos, etc.
  • Interfaces y APIs inseguras.
  • Ataques internos (insiders maliciosos) que pueden provenir de la combinación de servicios TI o la falta de transparencia en los procesos de seguridad de los proveedores cloud.
  • Problemas de tecnología compartida: CPUs, particiones de disco, otros componentes compartidos no diseñados para una fuerte compartimentación.
  • Pérdida de datos.
  • Secuestro de cuentas (Cloud Account Hijacking).

Mitigación de riesgos

Los riesgos asociados a los sistemas informatizados cloud deben ser evaluados a través de un plan de mitigación de riesgos que considere el siguiente enfoque:

  • Identificación y evaluación de componentes en la nube: ¿qué componentes definen la nube configurada?, ¿dónde están (nube pública, privada, híbrida, comunitaria, combinada)?, ¿cuántas aplicaciones funcionan en la nube?, ¿cuántas de esas aplicaciones cumplen con GxP?, ¿cómo se comunican y controlan los cambios?, ¿cómo se proporciona la integridad y la seguridad de los datos en la nube?
  • Implementación de controles: gestión de cambios, seguridad, supervisión del rendimiento, revisión periódica. Además, para los sistemas en la nube se deben implementar controles adicionales como: gestión de la configuración de la nube; gestión del servidor; administración de redes; servicios de soporte (helpdesk); copias de seguridad, restauración y archivo; plan de recuperación ante desastres; gestión de proveedores.
  • Seguridad de los datos: es fundamental comprender quién tiene acceso a los datos y si necesitan acceso. La segregación de datos es crítica; los datos en la nube generalmente se alojan en un entorno compartido junto con los datos de otras empresas. El cifrado y la separación de los datos propios de los de otras empresas es fundamental para garantizar la integridad de datos. La recuperación es otro factor crítico para garantizar la integridad de los datos mediante los procedimientos de copia de seguridad y restauración. La gestión de cambios es también crítica y debe definirse claramente en los acuerdos de nivel de servicio y los procedimientos de proveedores.

Validación en entornos cloud

Una de las áreas clave en la validación en entornos cloud es la evaluación de los proveedores para determinar la capacidad del proveedor para cumplir con los controles necesarios para garantizar la seguridad, la integridad de los datos, el cumplimiento de los procedimientos del cliente y las exigencias reglamentarias.

El proceso de selección de proveedores de sistemas cloud (SaaS, IaaS, PaaS) se suele realizar en 3 pasos:

  • Revisión de la información del proveedor para conocer si ya trabajan con otros clientes de industrias reguladas y saber si su infraestructura está cualificada para proporcionar un servicio compatible con GxP. En este primer paso, debería resultar una lista de aproximadamente 5 posibles proveedores.
  • Evaluación y auditoría: enviar a la lista corta de posibles proveedores un cuestionario con preguntas sobre su sistema de gestión de la calidad, procedimientos, cualificación de la infraestructura informática, formación del personal, copias de seguridad, planes de contingencia, control de cambios/audit trails, dónde residen físicamente los servidores, seguridad del centro de datos físico, cifrado y administración de claves. Este segundo paso, suele reducir la lista de proveedores a 2.
  • Generar un acuerdo de nivel de servicio (SLA, por sus siglas en inglés). Este documento es un compromiso entre el proveedor del servicio y la empresa. Este contrato debería cubrir al menos:
    • Responsabilidades del cliente.
    • Responsabilidades del proveedor de servicios.
    • Disponibilidad y rendimiento.
    • Gestión de cambios.
    • Calidad del servicio.
    • Copias de seguridad y restauración de datos (procedimiento, frecuencia).
    • Cualificación del personal.
    • Gestión e informes de incidencias.
    • Soporte y mantenimiento.
    • Garantía del servicio.

De acuerdo con las responsabilidades definidas en el SLA, el proveedor de servicios es responsable de la administración del entorno de alojamiento, su seguridad y su mantenimiento. Como tal, debe proporcionar al cliente los procedimientos y documentación que rija estas actividades, como:

  • Política de Seguridad.
  • Plan de continuidad de negocio.
  • Procedimiento de copia de seguridad y restauración.
  • Procedimiento de gestión de cambios.

A partir de estos pasos, el proceso de validación en entornos cloud es el mismo que para sistemas informatizados instalados y mantenidos en las instalaciones de la empresa (on-demand).

La validación de los sistemas en la nube debe realizarse en base a un análisis de riesgos y criticidad. Se deben crear los requisitos de usuario para garantizar que el sistema cumple con las especificaciones técnicas necesarias. La Cualificación de la instalación (IQ) debe ser simple y basada en los requisitos de hardware y software para el sistema. La Cualificación de la operación (OQ) debe basarse en la verificación de las funciones críticas de alto riesgo del sistema e incluir lo siguiente:

  • Seguridad e integridad de datos.
  • Audit trails.
  • Firmas Electrónicas.
  • Requisitos de riesgo alto y medio.

Las actividades de Cualificación del proceso (PQ) deben verificar que todos los requisitos y especificaciones predefinidos se cumplen, y que las pruebas estén debidamente documentadas.

Los sistemas cloud permiten una rápida implementación, mejoran la eficiencia y reducen los costes. Los retos de seguridad deben ser claramente comprendidos y mitigados. Los acuerdos de nivel de servicio son fundamentales para comunicar al proveedor las expectativas del cliente y garantizar el cumplimiento de los requisitos reglamentarios.

Ahora bien, otro importante desafío que enfrentan las empresas altamente reguladas, respecto a la validación en entornos cloud, es traducir los requisitos regulatorios de la industria a los servicios de los proveedores.

En Oqotech podemos ayudarte a realizar el análisis de los requerimientos, seleccionar los proveedores tecnológicos y sistemas informatizados adecuados, y acompañarte en la implantación y mantenimiento de soluciones tecnológicas. Contacta con nuestro equipo.



Guía práctica para la informatización de procesos de negocio

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies

Pin It on Pinterest

Share This