Twitter
Linkedin
Youtube
Instagram
Home  /  Validación de Sistemas Informatizados   /  Validación en entornos Cloud
OQOTECH-normativas-ISO-22000

Validación en entonrno Cloud en Oqotech

Analizamos qué tener en cuenta para asegurar la integridad de la información cuando los sistemas informatizados operan en entornos cloud.

Validación en entonrno Cloud en Oqotech

Las empresas que trabajan en sectores altamente regulados como la farmacéutica, de productos sanitarios o cosmética,  están trasladando progresivamente sus sistemas informatizados a entornos cloud para mejorar la eficiencia y reducir los costes.

Si bien, a su vez, este proceso de digitalización plantea a la industria el reto de seleccionar proveedores de servicios en la nube que permitan controlar, validar y garantizar la confidencialidad, integridad y disponibilidad de los datos almacenados en esos sistemas.

A continuación, analizamos los retos de la industria y cómo llevar a cabo la validación en entornos cloud.

El reto de la seguridad de los datos en la nube

El principal reto para la industria relacionado con los sistemas en la nube es, sin duda, gestionar la seguridad e integridad de los datos.

Asegurar una implementación cloud que cumpla con los requisitos regulatorios se sustenta en 4 pilares:

  • Seguridad: cuestiones relativas a la integridad de la información, controles de acceso, cifrado y detección de brechas de seguridad.
  • Control: administrar dónde y cómo se gestionan los datos y las herramientas software que se emplean.
  • Gestión del nivel de servicio (service level management): definir, contratar y asegurar que se cumplen los acuerdos de nivel de servicio entre todas las partes implicadas en la gestión de los datos.
  • Conformidad: dar cumplimiento a los requisitos regulatorios de la industria (FDA CFR 21 Parte 11 y Anexo 11 de la UE).

Frente a los problemas de seguridad de los sistemas en la nube, las empresas deben aplicar controles técnicos de seguridad y políticas de mitigación de riesgos. Por ejemplo, para controlar:

  • Usos malintencionados: modificación del software para eliminar los métodos de protección (cracking), el lanzamiento de puntos de ataque dinámicos, hosting de datos corruptos, etc.
  • Interfaces y APIs inseguras.
  • Ataques internos (insiders maliciosos) que pueden provenir de la combinación de servicios TI o la falta de transparencia en los procesos de seguridad de los proveedores cloud.
  • Problemas de tecnología compartida: CPUs, particiones de disco, otros componentes compartidos no diseñados para una fuerte compartimentación.
  • Pérdida de datos.
  • Secuestro de cuentas (Cloud Account Hijacking).

Mitigación de riesgos

Los riesgos asociados a los sistemas informatizados cloud deben ser evaluados a través de un plan de mitigación de riesgos que considere el siguiente enfoque:

  • Identificación y evaluación de componentes en la nube: ¿qué componentes definen la nube configurada?, ¿dónde están (nube pública, privada, híbrida, comunitaria, combinada)?, ¿cuántas aplicaciones funcionan en la nube?, ¿cuántas de esas aplicaciones cumplen con GxP?, ¿cómo se comunican y controlan los cambios?, ¿cómo se proporciona la integridad y la seguridad de los datos en la nube?
  • Implementación de controles: gestión de cambios, seguridad, supervisión del rendimiento, revisión periódica. Además, para los sistemas en la nube se deben implementar controles adicionales como: gestión de la configuración de la nube; gestión del servidor; administración de redes; servicios de soporte (helpdesk); copias de seguridad, restauración y archivo; plan de recuperación ante desastres; gestión de proveedores.
  • Seguridad de los datos: es fundamental comprender quién tiene acceso a los datos y si necesitan acceso. La segregación de datos es crítica; los datos en la nube generalmente se alojan en un entorno compartido junto con los datos de otras empresas. El cifrado y la separación de los datos propios de los de otras empresas es fundamental para garantizar la integridad de datos. La recuperación es otro factor crítico para garantizar la integridad de los datos mediante los procedimientos de copia de seguridad y restauración. La gestión de cambios es también crítica y debe definirse claramente en los acuerdos de nivel de servicio y los procedimientos de proveedores.

Validación en entornos cloud

Una de las áreas clave en la validación en entornos cloud es la evaluación de los proveedores para determinar la capacidad del proveedor para cumplir con los controles necesarios para garantizar la seguridad, la integridad de los datos, el cumplimiento de los procedimientos del cliente y las exigencias reglamentarias.

El proceso de selección de proveedores de sistemas cloud (SaaS, IaaS, PaaS) se suele realizar en 3 pasos:

  • Revisión de la información del proveedor para conocer si ya trabajan con otros clientes de industrias reguladas y saber si su infraestructura está cualificada para proporcionar un servicio compatible con GxP. En este primer paso, debería resultar una lista de aproximadamente 5 posibles proveedores.
  • Evaluación y auditoría: enviar a la lista corta de posibles proveedores un cuestionario con preguntas sobre su sistema de gestión de la calidad, procedimientos, cualificación de la infraestructura informática, formación del personal, copias de seguridad, planes de contingencia, control de cambios/audit trails, dónde residen físicamente los servidores, seguridad del centro de datos físico, cifrado y administración de claves. Este segundo paso, suele reducir la lista de proveedores a 2.
  • Generar un acuerdo de nivel de servicio (SLA, por sus siglas en inglés). Este documento es un compromiso entre el proveedor del servicio y la empresa. Este contrato debería cubrir al menos:
    • Responsabilidades del cliente.
    • Responsabilidades del proveedor de servicios.
    • Disponibilidad y rendimiento.
    • Gestión de cambios.
    • Calidad del servicio.
    • Copias de seguridad y restauración de datos (procedimiento, frecuencia).
    • Cualificación del personal.
    • Gestión e informes de incidencias.
    • Soporte y mantenimiento.
    • Garantía del servicio.

De acuerdo con las responsabilidades definidas en el SLA, el proveedor de servicios es responsable de la administración del entorno de alojamiento, su seguridad y su mantenimiento. Como tal, debe proporcionar al cliente los procedimientos y documentación que rija estas actividades, como:

  • Política de Seguridad.
  • Plan de continuidad de negocio.
  • Procedimiento de copia de seguridad y restauración.
  • Procedimiento de gestión de cambios.

A partir de estos pasos, el proceso de validación en entornos cloud es el mismo que para sistemas informatizados instalados y mantenidos en las instalaciones de la empresa (on-demand).

La validación de los sistemas en la nube debe realizarse en base a un análisis de riesgos y criticidad. Se deben crear los requisitos de usuario para garantizar que el sistema cumple con las especificaciones técnicas necesarias. La Cualificación de la instalación (IQ) debe ser simple y basada en los requisitos de hardware y software para el sistema. La Cualificación de la operación (OQ) debe basarse en la verificación de las funciones críticas de alto riesgo del sistema e incluir lo siguiente:

  • Seguridad e integridad de datos.
  • Audit trails.
  • Firmas Electrónicas.
  • Requisitos de riesgo alto y medio.

Las actividades de Cualificación del proceso (PQ) deben verificar que todos los requisitos y especificaciones predefinidos se cumplen, y que las pruebas estén debidamente documentadas.

Los sistemas cloud permiten una rápida implementación, mejoran la eficiencia y reducen los costes. Los retos de seguridad deben ser claramente comprendidos y mitigados. Los acuerdos de nivel de servicio son fundamentales para comunicar al proveedor las expectativas del cliente y garantizar el cumplimiento de los requisitos reglamentarios.

Ahora bien, otro importante desafío que enfrentan las empresas altamente reguladas, respecto a la validación en entornos cloud, es traducir los requisitos regulatorios de la industria a los servicios de los proveedores.

En Oqotech podemos ayudarte a realizar el análisis de los requerimientos, seleccionar los proveedores tecnológicos y sistemas informatizados adecuados, y acompañarte en la implantación y mantenimiento de soluciones tecnológicas. Contacta con nuestro equipo.


Do you like what you read? Subscribe to our blog!
  Corrija los campos marcados a continuación.
  *
 *
 *
 *
 *
*
*
I have read and accept the  privacy policy   
Tus datos serán tratados por OQOTECH SL, con la finalidad de enviarte nuestros boletines informativos a tu correo electrónico. La legitimación del tratamiento es tu consentimiento, que podrás retirar en cualquier momento. Tus datos no serán cedidos a terceros. Tienes derecho a acceder, rectificar y suprimir tus datos, así como otros derechos como se explica en nuestra política de privacidad.
¿Te gusta lo que lees? ¡Suscríbete a nuestro blog!

Tus datos serán tratados por OQOTECH SL, con la finalidad de enviarte nuestros boletines informativos a tu correo electrónico. La legitimación del tratamiento es tu consentimiento, que podrás retirar en cualquier momento. Tus datos no serán cedidos a terceros. Tienes derecho a acceder, rectificar y suprimir tus datos, así como otros derechos como se explica en nuestra política de privacidad.

He leído y acepto la política de privacidad
Abrir chat
¡Hola! 👋

⌚ Te informamos que nuestro horario es de lunes a juves de 08:00 a 14:00h y de 15:00 a 17:30h y viernes de 08:00 a 14:00h. (Hora española)

🚀 ¿Quieres hablar con nosotros sobre algún proyecto con el que podemos asesorarte?

❓ ¿Tienes dudas sobre algún tema con el que podemos ayudarte?

¡Escríbenos sin compromiso, te responderemos lo antes posible! 😊