Seguridad Lógica en Entornos GMP (Trace, Audit & Trust) Acceso al sistema limitado a personas autorizadas. Fecha y hora de cada entrada, cambio o borrado. Los registros modificados no pueden ocultar los anteriores. Los registros de Audit trail deben mantenerse (21 CFR Part 11.10 D y E) Puntos clave: La normativa en cuanto a Seguridad Lógica está claramente definida. Sin embargo, la aplicación de ésta, topa con dificultades por la heterogeneidad de los entornos en cuanto a tipología, ubicaciones distintas y antigüedades diversas de los equipos. El mantenimiento del estado de validación queda en ocasiones cuestionado por criterios de urgencia/negocio debido a la propia complejidad. Existen soluciones orientadas a integrar los diversos sistemas, controlarlos de forma centralizada y, en definitiva, gestionar por excepción haciendo creible y efectivo el cumplimento normativo. Gestión centralizada de la seguridad lógica de todos los sistemas Un único usuario / contraseña por empleado en todos los sistemas y aplicación de políticas de forma centralizada (p.e. caducidad contraseñas). Análisis por excepción de logs Centralización de logs en un único entorno
Transcript
Seguridad Lógica en Entornos GMP(Trace, Audit & Trust)
Acceso al sistema limitado a personas autorizadas. Fecha y hora de cada entrada, cambio o borrado. Los registros modificados no pueden ocultar los anteriores. Los registros de Audit trail deben mantenerse (21 CFR Part 11.10 D y E)
Puntos clave:
La normativa en cuanto a Seguridad Lógica está claramente definida. Sin embargo, la aplicación de ésta, topa con dificultades por la heterogeneidad de los entornos en cuanto a tipología, ubicaciones distintas y antigüedades diversas de los equipos.El mantenimiento del estado de validación queda en ocasiones cuestionado por criterios de urgencia/negocio debido a la propia complejidad.Existen soluciones orientadas a integrar los diversos sistemas, controlarlos de forma centralizada y, en definitiva, gestionar por excepción haciendo creible y efectivo el cumplimento normativo.
Gestión centralizada de la seguridad lógica de todos los
sistemas
Un único usuario / contraseña por empleado en todos los sistemas y aplicación de políticas de forma
centralizada (p.e. caducidad contraseñas).
Análisis por excepción de logs Centralización de logs en un único entorno
Dificultades en la Gestión de la Seguridad LógicaAdministración de contraseñas:
¿Muchas contraseñas a memorizar y cambiar regularmente.¿Contraseñas apuntadas en post-it? ¿Suplantación de identidad?¿Usuarios administradores? ¿Usuarios funcionales con derechos de administración?¿Quién puede realmente entrar en cada uno de los sistemas?Bajas de colaboradores, ¿Cómo cambio/elimino todas las contraseñas/cuentas?
Las incidencias ocurren. Sin una adecuada gestión de la seguridad lógica y audit trail:¿Cuál fue la causa?¿Quién es el responsable?¿Cómo podemos encontrar la información?¿Cuánto tiempo necesitamos para resolverlo?
El concepto:Integrar y centralizar la gestión de la seguridad lógica en un dispositivo que permita
Gestionar el audit-trail independientemente de los diversos equipos.Gestionar TODOS los accesos de forma centralizada.Un sólo usuario / contraseña para todos los sistemas integrado con el Directorio Activo.
¿Sistemas sin audit trail?E l a u d i t t r a i l d e l s i s t e m a e s u n requerimiento GMP, no obsbtante, algunos equipos antiguos no disponen de esta funcionalidad.¿Qué hacemos? ¿Existen alternativas a la sustitución de todo el equipo?
¿Usuario/contraseñas distintos por sistema?
Cada sistema dispone de sus propios roles (administrador, analista, técnico, mantenimiento).Los roles se asocian a usuarios y contraseñas distintos por sistema.Aumenta la dificulad de gestión: diversos usuarios por persona.Dificultad de implantar una política de caducidad de contraseñas efectiva.
¿Dificultad de revisión de todos los audit-logs?Logs heterogéneos, diversas ubicaciones, diversos usuarios/contraseñas, sistemas distintos, ... Todo ello dificulta la revisión de los logs, la iden t i ficac ión de excepc iones y /o desviaciones permitiendo únicamente una gestión reactiva.Una centralización y normalización de los logs debe permitir una gestión por excepción.
¿ Q u i é n c o n t r o l a l o s administradores?Administradores de sistemas, administradores del equipo, administración de la seguridad lógica, gestión de recetas, .... ¿Es posible separar funciones? ¿Es posible conocer y controlar los cambios que se realizan con usuarios con privilegios amplios sobre los equipos?
¿Quién valida?La validación de la seguridad lógica se debe realizar sistema por sistema. Deben intervenir suministradores distintos, s i s t e m a s d i f e r e n t e s y e n t o r n o s heterogéneos. ¿Es posible aprovechar la centralización de la gestión de la seguridad lógica para una validación global? ¿El propio integrador de la solución puede realizar una parte significativa de la validación?
¿Manten imien to de l estado de validación imposible?Cuanto mayor es el número de sistemas, mayor es la complejidad. Si se añade un porcentaje de los equipos con cierto grado de obsolescencia, las desviaciones y la resolución de éstas se convierte en compleja.El mantenimiento del estado de validación queda en ocasiones cuestionado por criterios de urgencia/negocio.
Situaciones Habituales
Descripción Beneficios
Integración El LOGBOX puede centralizar los logs de todos los equipos (logs originales) integrando formatos y/o dispositivos heterogéneos.
Simplificación del análisis de logs de diversos equipos por consolidación en un solo dispositivo.
Audit Trail Propio El propio equipo genera un log de todas y cada una de las entradas a los equipos conectados.
Cumplimiento en equipos que actualmente no disponen de Audit Trail para el control de accesos.
Normalización Recepción y procesado de logs aplicando filtro según protocolos, aplicación u otros. filtros.
Posibilidad de realizar análisis por excepción. Aplicación de filtros s/análisis de riesgos validación (most ra r só lo en t radas no permitidas).
Indexación y Búsqueda Herramientas para la indexación de todos los registros y desarrollo de consultas senci l las para la explotación de la información.
Creación de query’s y desarrollo de informes para el seguimiento del análisis de riesgos realizado en la validación.
Alertas Alertas en tiempo real y por usuario. De f i n i das sob re cua lqu ie r característica de los logs entrantes.
Envío de mensajes en caso de entradas no permitidas u otras condiciones predefinidas. Gestión por excepción.
Routing Cada log puede ser derivado a otros entornos según parámetros predefinidos.
Organización de los logs críticos según los responsables funcionales de cada proceso.
Reporting Recepción y procesado de logs aplicando filtro según protocolos, aplicación u otros.
Facilita la identificación del origen de los problemas. Visibilidad on-line de todos los dispositivos conectados.
Integración AD Integración con el directorio activo corporativo.Definición sólamente de roles en los equipos.
Un sólo usuario / contraseña para todos los equipos integrado con el AD. Aplicación efectiva y centralizada de la política de caducidad de contraseñas.
Plan de cualificaciónEl plan está elaborado en conformidad con los principios contenidos en las normativas y directrices EU GMP Annex 11 y 21 CFR Part 11.Incluye:
Responsabilidades del proceso de validación.Descripción detallada de seguridad lógica.Identificación de las categorías de software y hardware establecidas en el documento GAMP 5.Estrategia de cualificación consistente en:
Pre-validación (IQ+OQ) de los elementos de hardware, las capacidades de integración de elementos, single sign-on, caducidad de contraseñas y audit-trail integrado, en nuestras instalaciones.Validación operacional (OQ) una vez finalizada la insalación.
Definición de los procedimientos, manuales y documentación técnica necesaria.
Valid
ació
n (E
ntre
gabl
es)
Cualificación instalación (IQ)Documentación de los siguientes aspectos:
Verificación de los componentes instalados respecto a sus especificaciones técnicas.Instalación de acuerdo con las instrucciones y condiciones ambientales especificadas por el suministrador.Configuración de los elementos configurables y su control.Configuración del software de control.Versiones del software y firmware.
Documentación de soporteDurante la instalación del entorno, se suministrarán los siguientes documentos base, con el fin de sólo realizar las tareas de adaptación:
Procedimientos de mantenimiento y operaciónPolítica de seguridad lógicaManuales y documentación técnicaRecomendaciones control centralizado de seguridad lógica (perfiles / roles / usuarios).
Cualificación operacional (OQ)Se aportarán evidencias documentales que demuestren:
Integración de sistemas.Integración de audit-trails.Single sign-on.Caducidad de contraseñas / integración directorio activo.Entradas positivas / negativas.Política de accesos centralizada.
Una vez instalado el entorno sólo será necesario realizar la cualificación operacional de los elementos que se integren:
Single sign-onIntegración auit-trailIntegración directorio activo corporativo (AD)Control perfiles remotos
Informe final de cualificaciónUna vez finalizado el proceso de instalación y cualificación, se realizará el informe final de cualificación que permita disponer del entorno “llaves en mano” tanto a nivel de instalación como de validación. El documento contendrá:
Descripción de los trabajos de cualificación realizados.Desviacione detectadasAcciones correctoras propuestasConclusiones
IngelanSabemos por experiencia que implicarse es obtener resultados. La variedad de nuestros clientes, en tamaño y sector, nos obliga a trabajar y evolucionar en entornos distintos. Implantar soluciones tecnológicas avanzadas, gestionar proyectos complejos e integrarnos en los equipos de nuestros clientes durante más de 17 años, nos ha aportado el bagaje necesario. La confianza sostenida en el tiempo por nuestros clientes, avalan nuestra capacidad de adaptación. Debemos ser excelentes profesionales para ganar credibilidad, entender los procesos de nuestros clientes para generar valor, conocer sus colaboradores para entender su cultura, debemos diseñar acciones progresivas, entendibles y asumibles para hacer el cambio factible y finalmente, debemos acompañar a nuestros clientes ya que el verdadero cambio se genera en sus propios colaboradores.Líneas de negocio:
