La ISPE acaba de publicar la segunda edición de la guía de buenas prácticas “IT Infrastructure Control and Compliance”. La primera edición se publicó en el año 2005.

Las infraestructuras IT que nos podíamos encontrar en el año 2005 poco se parecen a las actuales. La infraestructura IT no solo ha evolucionado en potencia de cálculo, también en un abanico de nuevos sistemas y funcionalidades que son aprovechadas rápidamente por los departamentos de IT.

Esta segunda versión extiende el ámbito de la cualificación de infraestructuras IT debido a la tecnología de virtualización, los servicios Cloud (SaaX) y la externalización del datacenter.

La cualificación de infraestructuras se basa principalmente en el cumplimiento de los siguientes tres requisitos:

RequisitoQue se comprueba
Sistemas IT (virtualización, servidores, storage, red…)Acorde las especificaciones.
PersonasRoles y responsabilidades asignados. Formación demostrable.
Procesos y procedimientosEfectividad.

 

La cualificación de infraestructura IT debe realizarse por fases, teniendo en cuanta las siguientes etapas:

  • Requisitos
  • Riesgos
  • IQ, OQ
  • Handover
  • Riesgos residuales
  • Reporting

Una vez cualificado el sistema, los controles de cambios futuros en la infraestructura pueden hacer perder el estado de cualificación fácilmente. Para mantener el estado de cualificación se requiere de procesos y procedimientos tales como el control de cambios y gestión de la configuración, gestión de incidencias y problemas, etc. Estos procesos y procedimientos ayudan a las personas que mantienen los sistemas a operar de forma controlada. Estos procesos y procedimientos deben estar bajo un sistema de gestión de calidad IT.

Los departamentos de IT internos de las compañías deben operar bajo el sistema de gestión de calidad y de alguna forma son proveedores de IT de la misma forma que un cloud también lo es. En este sentido la cualificación de la infraestructura debe ser realizada tanto si es el propio departamento de IT interno de la compañía quien instala, configura y opera el servicio, o el servicio se externaliza en un cloud. Los requisitos regulatorios aplican tanto a unos como a otros sin excepciones.

La guía también indica que debe ser usada juntamente con la GAMP 5 para aportar una visión global.

Para más detalle, acceder a la web de phIT: www.pharmaitps.es .