Resumen

Debido al marco económico global actual, las organizaciones biotecnológicas y farmacéuticas se ven en la obligación de buscar nuevas medidas tecnológicas que les brinden ahorro en los costes, mayor agilidad y una escalabilidad que les permita responder a los rápidos cambios a los que se ven sometidas. La computación en cloud, con su modelo comercial de bajo coste y de pago según crecimiento, parece ser la opción más atractiva para ayudar a estas compañías a ser más competitivas, pero ¿qué consideraciones se deben tener para garantizar el cumplimiento regulatorio?

 

Contenido

El NIST (National Institute of Standards and Technology), define la computación en cloud como un modelo que permite un acceso a la red, de forma omnipresente y según conveniencia, a un conjunto compartido de recursos computacionales configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se puede aprovisionar y liberar rápidamente con un mínimo esfuerzo de gestión o de interacción con el proveedor del servicio. Así pues, los beneficios inmediatos del uso de sistemas cloud salen de la misma definición de este: proporcionar servicios de computación, desde el almacenamiento y procesamiento de datos hasta el software, que estén disponibles de forma instantánea, sin compromiso y bajo demanda.

Existen 3 modelos principales para soluciones cloud: Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS) o Software como Servicio (SaaS). Las responsabilidades de utilizar cualquiera de estos modelos como soluciones GxP son comparables a la utilización de cualquier modelo tradicional de TI y todas se aplican de manera similar.

Sin embargo, y dependiendo del modelo utilizado, la naturaleza de algunas de estas responsabilidades podría cambiar:

Computación cloud en un entorno GxP

Figura 1 – Computación cloud en un entorno GxP, GAMP Cloud Computing SIC Pharmaceutical Engineering, enero/febrero 2014

 

Bajo estos modelos, es importante que los clientes que pretendan usar productos cloud como parte de sus sistemas GxP evalúen y acuerden las responsabilidades a cubrir por el proveedor del servicio: los clientes externalizan un servicio y pierden gobernanza sobre elementos de su estructura de TI, pero siguen siendo los responsables del proceso frente a las autoridades, por lo que deben asegurar el almacenamiento y disponibilidad de sus datos.

Además, cabe mencionar que los proveedores cloud tienden a concentrar una gran cantidad de recursos y de datos que, desde el punto de vista de la seguridad, constituyen un objetivo muy atractivo para los ciber atacantes: de acuerdo con el informe ENISA (European Network and Information Security Agency) sobre amenazas en tecnologías emergentes de 2015, la computación en cloud se está convirtiendo en el principal objetivo de los ciberataques.

En resumen, en el momento de contratar un servicio cloud se está cediendo el control sobre el almacenamiento de los datos y sobre las medidas de seguridad que deben existir sobre éstos, así como en la capacidad de retener, recuperar y eliminar estos datos, puntos ampliamente tratados en la normativa vigente referente a las buenas prácticas del sector farmacéutico.

Un ejemplo de su importancia es que, en 2016, la FDA (Food and Drug Administration) publicó un borrador referente a la “Orientación sobre integridad de datos”, que, por primera vez, mencionó el servicio cloud en la categorización de un sistema informático: “Computadora o sistemas relacionados que pueden referirse a hardware, software, dispositivos periféricos, redes, infraestructura en cloud, operadores y documentos asociados”.

A continuación, puede obtener el detalle de la guía de la FDA.

En conclusión, la validación de sistemas en cloud es ciertamente un desafío; sin embargo, y siguiendo las directrices de la FDA y de la guía GAMP Good Practice Guide: IT Infrastructure Control and Compliance, se puede demostrar que es posible utilizar la computación en cloud en el entorno regulado GxP y mantener los beneficios que ofrece esta tecnología innovadora.

Para tal objetivo, los esfuerzos en la validación de los sistemas informatizados que se soportan sobre estructuras cloud deberán focalizarse en el almacenamiento, disponibilidad y seguridad de los datos, así como en la continuidad del negocio y los acuerdos que se establecen con los proveedores, siempre bajo el alcance y profundidad que dictamine la evaluación del riesgo llevada a cabo.

En CSV Experts disponemos de un equipo de consultores con amplia experiencia en la validación de sistemas computerizados y en el cumplimiento regulatorio en las industrias farmacéutica, veterinaria y cosmética. Para soporte en la validación de sistemas en cloud puede contactarnos en nuestra página web (www.csvexperts.com) o llamando al teléfono 93 169 65 98.