Comentarios en: Validación de Sistemas Informáticos (1/2) http://www.fernandotazon.com.es/2008/04/19/validacion-de-sistemas-informaticos-12/ La nueva generación de asesoría industrial Wed, 07 Jan 2009 05:23:53 +0000 http://wordpress.org/?v=2.6.3 Por: Fernando http://www.fernandotazon.com.es/2008/04/19/validacion-de-sistemas-informaticos-12/#comment-2487 Fernando Mon, 03 Nov 2008 17:54:55 +0000 http://www.fernandotazon.com.es/2008/04/19/validacion-de-sistemas-informaticos-12/#comment-2487 Hola Gabriel. Como bien dices, la clave está en que el implementar un sistema de detección de intentos de accesos no autorizados al sistema, los archivos o los datos, no es una obligación sino que, dentro de la estrategia de gestión de riesgos, debe considerarse si es necesario o no, dependiendo del sistemas, los datos que almacene y la criticidad GMP. Si vuestra valoración de riesgos lo considera innecesario, no estáis obligados a implementarlo. Si esa misma valoración determina una criticidad y riesgo alto para el sistema, datos o archivos, es una buena práctica GMP el poner en marcha un mecanismo de ese tipo. Hola Gabriel.
Como bien dices, la clave está en que el implementar un sistema de detección de intentos de accesos no autorizados al sistema, los archivos o los datos, no es una obligación sino que, dentro de la estrategia de gestión de riesgos, debe considerarse si es necesario o no, dependiendo del sistemas, los datos que almacene y la criticidad GMP.
Si vuestra valoración de riesgos lo considera innecesario, no estáis obligados a implementarlo.
Si esa misma valoración determina una criticidad y riesgo alto para el sistema, datos o archivos, es una buena práctica GMP el poner en marcha un mecanismo de ese tipo.

]]> Por: Gabriel Cereceda C http://www.fernandotazon.com.es/2008/04/19/validacion-de-sistemas-informaticos-12/#comment-2437 Gabriel Cereceda C Sat, 01 Nov 2008 00:24:39 +0000 http://www.fernandotazon.com.es/2008/04/19/validacion-de-sistemas-informaticos-12/#comment-2437 Hola, mi nombre es Gabriel Cereceda y en estos momentos trabajo en la Validación de un sistema informatizado para el manejo y liberación de Materias Primas y Productos Terminados en la Corporación Farmacéutica Recalcine, Chile. Esta validación, corresponde a una de las primeras (sino la primera) dirigidas a sistemas informáticos en Chile. Durante todo el proceso hemos estudiado las normas entregadas por el anexo 11, junto con las guías GAMP 5 y PIC/S, lo que nos ha permitido cumplir con gran parte de lo que se quiere establecer en esta nueva versión del anexo 11 de la UE. Sin embargo, en esta nueva versión y también en la guía PIC/S, aparece una sugerencia con respecto a la necesidad de mantener un sistema de DETECCIÓN de intentos de accesos no autorizados al sistema (sección 8.5 anexo 11). Recalco la palabra DETECCION, por el hecho de que es ahí donde mantenemos una visión distinta de las necesidades para un sistema informático. Para el caso del sistema informático que estamos validando, existe un sistema de seguridad que permite sólo el ingreso de usuarios autorizados al sistema (puede entenderse como un sistema preventivo), pero que en ningún caso presenta un registro de entradas erróneas ni mucho menos algún sistema de detección de quien hizo tales intentos de entrar con claves falsas. Entonces, lo que nosotros entendemos como DETECCIÓN, es precisamente esta capacidad que nuestro sistema informático no tiene, pero que no obstante, creemos innecesario de tener, por los siguientes motivos: 1. A pesar de que sí es posible generar un sistema que detecte entradas falsas y las registre, se vuelve muy difícil generar una detección de quien hizo tales entradas, por lo que los datos que puedan obtenerse, sólo permitirían el determinar sectores más violentados que otros y con ello generar medidas paliativas o preventivas, lo que no marca gran diferencia con nuestra condición preventiva inicial, que es sin este sistema de detección de entradas falsas. 2. Creemos además que el registro y detección de intentos de acceso no autorizados, distorsiona el real objetivo que busca la implementación de sistemas informáticos bajo las normas GMP. Esto por que tal necesidad de detección, tiene un carácter más bien “policiaco”, mientras que nuestra necesidad pasa por la de asegurar la operación del sistema sólo por personas capacitadas y autorizadas para ello. Bueno, me despido agradeciendo la oportunidad que me ofrecen de manifestar mis inquietudes y comentarios y espero junto con ello, haberlos ayudado un poco en la obtención de este tan importante anexo. Por favor, cualquier duda, comentario o respuesta a lo que señalé, les agradecería me lo hicieran llegar a gfcereceda@gmail.com o gcereceda@difrecalcine.cl . Gracias, Saludos Cordiales… QF. Gabriel Cereceda Corporación Farmacéutica Recalcine S.A. Depto. Garantía de Calidad Hola, mi nombre es Gabriel Cereceda y en estos momentos trabajo en la Validación de un sistema informatizado para el manejo y liberación de Materias Primas y Productos Terminados en la Corporación Farmacéutica Recalcine, Chile. Esta validación, corresponde a una de las primeras (sino la primera) dirigidas a sistemas informáticos en Chile.

Durante todo el proceso hemos estudiado las normas entregadas por el anexo 11, junto con las guías GAMP 5 y PIC/S, lo que nos ha permitido cumplir con gran parte de lo que se quiere establecer en esta nueva versión del anexo 11 de la UE. Sin embargo, en esta nueva versión y también en la guía PIC/S, aparece una sugerencia con respecto a la necesidad de mantener un sistema de DETECCIÓN de intentos de accesos no autorizados al sistema (sección 8.5 anexo 11). Recalco la palabra DETECCION, por el hecho de que es ahí donde mantenemos una visión distinta de las necesidades para un sistema informático.

Para el caso del sistema informático que estamos validando, existe un sistema de seguridad que permite sólo el ingreso de usuarios autorizados al sistema (puede entenderse como un sistema preventivo), pero que en ningún caso presenta un registro de entradas erróneas ni mucho menos algún sistema de detección de quien hizo tales intentos de entrar con claves falsas. Entonces, lo que nosotros entendemos como DETECCIÓN, es precisamente esta capacidad que nuestro sistema informático no tiene, pero que no obstante, creemos innecesario de tener, por los siguientes motivos:

1. A pesar de que sí es posible generar un sistema que detecte entradas falsas y las registre, se vuelve muy difícil generar una detección de quien hizo tales entradas, por lo que los datos que puedan obtenerse, sólo permitirían el determinar sectores más violentados que otros y con ello generar medidas paliativas o preventivas, lo que no marca gran diferencia con nuestra condición preventiva inicial, que es sin este sistema de detección de entradas falsas.

2. Creemos además que el registro y detección de intentos de acceso no autorizados, distorsiona el real objetivo que busca la implementación de sistemas informáticos bajo las normas GMP. Esto por que tal necesidad de detección, tiene un carácter más bien “policiaco”, mientras que nuestra necesidad pasa por la de asegurar la operación del sistema sólo por personas capacitadas y autorizadas para ello.

Bueno, me despido agradeciendo la oportunidad que me ofrecen de manifestar mis inquietudes y comentarios y espero junto con ello, haberlos ayudado un poco en la obtención de este tan importante anexo.

Por favor, cualquier duda, comentario o respuesta a lo que señalé, les agradecería me lo hicieran llegar a gfcereceda@gmail.com o gcereceda@difrecalcine.cl .

Gracias,

Saludos Cordiales…

QF. Gabriel Cereceda
Corporación Farmacéutica Recalcine S.A.
Depto. Garantía de Calidad

]]>