01/04/2013 | Ingelan

Control de Cambios y Audit Trail

Normativa

o Trazabilidad de todas las actividades de manufactura, control y distribución.

o Todas las desviaciones con potencial impacto en la calidad del producto deben estar documentadas e investigadas para mantener el estado de validación.

o Los registros de auditoría deben registrar fecha y hora de las entradas del operador y de las actuaciones de creación, modificación o borrado de registros electrónicos.

o Los cambios no deberán oscurecer información registrada previamente.

Rastreo de eventos críticos y cambios relevantes

No es suficiente con cumplir la normativa GMP. Para que sea eficaz, debe ser creíble

La normativa obliga a recoger y almacenar todos los logs consecuencia de actuaciones realizadas sobre los sistemas relacionados con la producción o los análisis. No obstante, la calidad está basada en la optimización la gestión y minimización de riesgos. Por consiguiente, no es suficiente registrar logs, es necesario analizar la información o cambios relevantes producidos en cualquier sistema de la planta. Pero abordar esta ingente tarea de forma manual es algo prácticamente imposible debido a:

Los diferentes sistemas que los generan, en ubicaciones distintas y con formatos heterogéneos

La cantidad de datos generados por todos estos sistemas que debería analizarse. El esfuerzo a invertir – que es improductivo – está lejos del alcance de cualquier organización

La dificultad en distinguir los diferentes tipos de registros correspondientes a mensajes informativos, avisos o alertas

Existen soluciones orientadas a detectar cambios relavantes e integrar los diversos logs, correlacionarlos y gestionar por excepción haciendo creíble y efectivo el cumplimiento normativo y que abarcan:

Detección de cambios en configuraciones, roles de usuarios, instalaciones no programadas, ficheros, …

Recolección, almacenamiento y análisis de los registros de auditoría

Correlación con los roles de los equipos de producción y/o laboratorio

Elaboración de informes de auditoría y cumplimiento

2

Retorno de la Inversión

En una infraestructura no dotada de automatismos que faciliten la gestión por excepción, los costes generados pueden ser:

Costes de los recursos humanos destinados a colectar, organizar y resumir alertas no estructuradas y/o logs de sistemas

Costes – eventualmente – derivados de la búsqueda forense de información en caso de problemas

Mayor credibilidad con menor esfuerzo ante auditorías de clientes o inspecciones GMP/FDA.

Problemáticas que se plantean Una buena parte de los sistemas empleados en la industria que debe fabricar bajo

regulación dispone de facilidades en cuanto a la generación de registros de auditoría o es

sencilla la detección de cambios en elementos significativos. Sin embargo:

Habitualmente son entorno con numerosos y distintos sistemas. Es decir, muchos

orígenes de información, heterogéneos y bien diferentes entre sí.

Salvo en caso de necesidad y para proceder a una investigación, lo más probable es

que ahí queden los datos…

Sin integrar y correlacionar con el fin de analizar sólo las excepciones

Sin haber procedido a detectar anomalías ocultas en los procesos o sistemas.

Sin aprovecharlos en los procesos de mejora continua.

Requisitos sobre los sistemas

Por lo que respecta a la normativa GMP y en cuanto a la información a tratar por un

sistema de estas características, podemos distinguir entre:

Gestión de permisos de acceso a los sistemas por parte de usuarios/adjudicación de

roles: si los sistemas están basados en plataformas Windows, la integración de este

tipo de registros es inmediata

Modificación de las configuraciones, patrones y/o recetas, que sean gestionados por

los propios sistemas. Se requerirá de un entorno con capacidad para integrar sistemas

heterogéneos y correlacionarlos de forma sencilla

La integración con la Gestión de Identidades que permite la combinación de ambos tipos

de registros de auditoría vinculando los usuarios a actividades específicas a través de

todos los entornos puede permitir a las organizaciones identificar fácilmente los riesgos

críticos, incrementar significativamente la velocidad de reacción y atajar desviaciones de

forma rápida y eficaz, respondiendo a preguntas tales como:

¿Qué cambios se han producido en entornos críticos? ¿Cuáles han sido realizados por

usuarios sin los permisos adecuados?

¿A qué sistemas y aplicaciones está accediendo un usuario?

¿Qué acciones realiza dentro de dichas aplicaciones?

¿Qué permisos/patrones/variables han cambiado? ¿Cuándo?

En el sentido que se indica en el apartado anterior, debemos exigir a los sistemas informes

orientados a poner de manifiesto este tipo de situaciones, recogiendo – por ejemplo -

La identificación de eventos críticos

La comprobación del estado de validación de los sistemas (control real de cambios)

Disponer de visibilidad global de los usuarios y perfiles configurados en todos los

sistemas.

Identificación de los logs relevantes GMP o anomalías de los equipos, correlacionado

con los roles de usuarios

Control de Cambios y Audit Trail – Ingelan Abril 2013

3

Nuestra propuesta

Para atender a las necesidades anteriores hemos propuesto desplegar una solución que, recogiendo la información de los diversos sistemas y dispositivos, permita su integración y proceso conjunto. Los recopiladores y gestores de este tipo de herramientas ofrecen instrumentos flexibles para supervisar en la práctica cualquier fuente de datos relevante. Pueden recoger y filtrar eventos tanto localmente como de forma remota. Ademas y salvo en ciertos sistemas muy concretos, no precisan de agentes, por lo que pueden capturar datos sin que sea necesario instalar software en el sistema o dispositivo bajo supervisión.

Atributo/Función Características y Medios

Integración de logs y eventos críticos de todos los equipos incluidos en el alcance del sistema

Se integran y consolidan formatos procedentes de dispositivos diversos

Se filtran según políticas definidas (usuarios con privilegios para modificar, listas blancas de aplicaciones, patrones, …)

Normalización y selección de los registros relevantes

Recepción y procesado de logs y aplicación de filtros según protocolos, aplicación u otros criterios.

Indexación, correlacionado y búsqueda de todos los registros

Tratamiento unificado de logs procedentes de diversos sistemas

Correlación con roles de usuario, sistema de control de cambios y/o desviaciones.

Generación de alertas y avisos Alertas en tiempo real y por usuario, definidas sobre cualquier característica/valor de los logs entrantes

Enrutado de los mensajes Por responsable: las alertas se enrutan a los diversos responsables funcionales (producciómn, QC, QA, ingeniería, …)

Por gravedad: según la gravedad, la alerta o aviso puede ser enviada por medio de SMS, correo electrónico o generar un informe para la revisión histórica.

Generación de Informes De forma periódica se generan informes de excepción para hacer posible un proceso de auditoría simple y documentado

Ejemplos de Eventos Críticos

Cambio roles de usuario Nuevas instalaciones Cambios de configuración Inicio de procesos Finalización de procesos Modificaciones de ficheros Modificaciones de carpetas Ficheros leídos Modificaciones en bases de datos

Ejemplos de Políticas

Roles de usuarios (sólo autorizados) Listas blancas (instalaciones validadas)

Formación realizada Patrones/configuraciones históricos

Control de Cambios y Audit Trail – Ingelan Abril 2013

4

Características de la solución que proponemos:

Una solución de este tipo aporta:

Atributo Razón Beneficios

Instrumentos e información de base ya existentes

No hay que introducir ni generar información: logs ya se obtienen de los sistemas que forma parte y las situaciones a considerar forman parte del análisis de riesgos elaborado para la validación

No hace falta elaborar un análisis funcional.

Despliegue rápido y económico

Escalabilidad sencilla y despliegue progresivo en función de necesidades

Incorporar nuevos sistemas únicamente requiere conectarlos y ajustar los formatos de recolección. Se puede justificar no validar la integración de logs o realizar una validación menor

El riesgo GMP se encuentra en el sistema original. El análisis de los logs facilita el cumplimiento pero no es relevante GMP

Automatización y sistematización

Los procesos se realizan automáticamente y sin intervención de los usuarios

Evita trabajos manuales Seguridad Credibilidad

Integrabilidad con el resto de sistemas de la planta

Administración mucho más sencilla. Implementación centralizada y homogénea

Menores costes de administración con mayor nivel de cumplimiento

Rápido despliegue En la mayor parte de casos no son precisos medios adicionales Gran número de conectores desarrollados (si son necesarios)

Minimización del tiempo y coste del proceso de implantación y puesta en marcha

Credibilidad El análisis por excepción permite focalizarse en la identificación y resolución de los (pocos) problemas realmente importantes que puedan acaecer, eliminando toda la información rutinaria y superflua

No se dilapidan esfuerzos, con lo que tanto la gestión como la actuación es sensiblemente mas eficiente

Ejemplo: Listado de Avisos con

detalle de fecha, usuario, entorno afectado y

actuación identificada

Ejemplo: Actividad anormal de acceso a los sistemas

Control de Cambios y Audit Trail – Ingelan Abril 2013

5

Entregables del Proyecto

Entregable Propósito Ventajas

Documento de Requerimientos

Una vez realizada la primera evaluación del entorno y definidos los sistemas a integrar, se definirán de los requerimientos que deberán tener en cuenta: Formatos de los registros de auditoría procedentes de cada uno de los sistemas

Eventos críticos en cada sistema Políticas a aplicar (en entornos GMP se deriva de las propias validaciones)

Se trabaja con unos requerimientos previamente desarrollados en base a proyectos de la misma tipología facilitando el dimensionamiento del proyecto

Especificaciones Funcionales

Detalles y necesidades identificadas sobre la infraestructura para cubrir los requerimientos definidos desarrolladas a partir del uso de las herramientas focalizadas a las características del entorno industrial

Las expectativas desde la planificación hasta la implantación y validación son fiables, evitando replanificaciones inesperadas.

Caracterización de cada uno de los equipos incluidos en el alcance

La caracterización de los equipos incluyen Eventos críticos Logs relevantes

La descripción de todos los eventos críticos y logs relavantes en cada equipo, facilita las investigaciones posteriores en el caso de desviaciones/alarmas

Documentación de gestión

Procedimientos de mantenimiento y operación

Políticas de tratamiento de los audit-trails. Acciones

Manuales y documentación técnica

Conclusión Gracias a las

herramientas de log&change managementposible detectar cualquier evento crítico o relevante a efectos GMP y solucionarlo a la mayor brevedad posible

Para ello contará con

.

Control de Cambios y Audit Trail – Ingelan Abril 2013

6

Ingelan

Francesc Carbonell, 21-23 Esc.A Ent.3 934 302 989 934 306 300 info@ingelan.com

“Hacemos que las cosas ocurran” Visite nuestra página Web: http://www.ingelan.com

Síganos en:

Resultados

La puesta en marcha de un sistema como el propuesto:

Facilita el control y la credibilidad del cumplimiento normativo mediante la posibilidad de disponer de informes por excepción:

o Modificaciones de configuraciones, de patrones, de recetas

o Modificaciones realizadas sobre permisos y atributos de los usuarios

o Correlación modificaciones de aspectos relevantes GMO, roles de usuario y sistema CAPA

El sistema hace más sencillo el cumplimiento eficiente mediante la integración

Constituye una plataforma única y sencilla de gestión y correlación de eventos crítcoos y audit-trails heterogéneos

Sólo a través de un sistema eficaz hacemos de nuestro entorno GMP una implantación creíble, y la minimización de riesgos es real. Por esa causa, su mantenimiento en el tiempo estará asegurado.

Información privada y confidencial - Control de Cambios Audit Trail – Ingelan Abril 2013 ©