Puntos clave: Gestión centralizada de la seguridad lógica de todos los sistemas. Centralización de logs en un único entorno

Transcripción

1 Seguridad Lógica en Entornos GMP (Trace, Audit & Trust) Acceso al sistema limitado a personas autorizadas. Fecha y hora de cada entrada, cambio o borrado. Los registros modificados no pueden ocultar los anteriores. Los registros de Audit trail deben mantenerse (21 CFR Part D y E) La normativa en cuanto a Seguridad Lógica está claramente definida. Sin embargo, la aplicación de ésta, topa con dificultades por la heterogeneidad de los entornos en cuanto a tipología, ubicaciones distintas y antigüedades diversas de los equipos. El mantenimiento del estado de validación queda en ocasiones cuestionado por criterios de urgencia/negocio debido a la propia complejidad. Existen soluciones orientadas a integrar los diversos sistemas, controlarlos de forma centralizada y, en definitiva, gestionar por excepción haciendo creible y efectivo el cumplimento normativo. Puntos clave: Gestión centralizada de la seguridad lógica de todos los sistemas Un único usuario / contraseña por empleado en todos los sistemas y aplicación de políticas de forma centralizada (p.e. caducidad contraseñas). Análisis por excepción de logs Centralización de logs en un único entorno

2 Dificultades en la Gestión de la Seguridad Lógica Administración de contraseñas: Muchas contraseñas a memorizar y cambiar regularmente. Contraseñas apuntadas en post-it? Suplantación de identidad? Usuarios administradores? Usuarios funcionales con derechos de administración? Quién puede realmente entrar en cada uno de los sistemas? Bajas de colaboradores, Cómo cambio/elimino todas las contraseñas/cuentas? Las incidencias ocurren. Sin una adecuada gestión de la seguridad lógica y audit trail: Cuál fue la causa? Quién es el responsable? Cómo podemos encontrar la información? Cuánto tiempo necesitamos para resolverlo? El concepto: Integrar y centralizar la gestión de la seguridad lógica en un dispositivo que permita Gestionar el audit-trail independientemente de los diversos equipos. Gestionar TODOS los accesos de forma centralizada. Un sólo usuario / contraseña para todos los sistemas integrado con el Directorio Activo.

3 Situaciones Habituales Usuario/contraseñas distintos por sistema? Cada sistema dispone de sus propios roles (administrador, analista, técnico, mantenimiento). Los roles se asocian a usuarios y contraseñas distintos por sistema. Aumenta la dificulad de gestión: diversos usuarios por persona. Dificultad de implantar una política de caducidad de contraseñas efectiva. Sistemas sin audit trail? El audit trail del sistema es un requerimiento GMP, no obsbtante, algunos equipos antiguos no disponen de esta funcionalidad. Qué hacemos? Existen alternativas a la sustitución de todo el equipo? Quién valida? La validación de la seguridad lógica se debe realizar sistema por sistema. Deben intervenir suministradores distintos, s i s t e m a s d i f e r e n t e s y e n t o r n o s heterogéneos. Es posible aprovechar la centralización de la gestión de la seguridad lógica para una validación global? El propio integrador de la solución puede realizar una parte significativa de la validación? Mantenimiento del estado de validación imposible? Cuanto mayor es el número de sistemas, mayor es la complejidad. Si se añade un porcentaje de los equipos con cierto grado de obsolescencia, las desviaciones y la resolución de éstas se convierte en compleja. El mantenimiento del estado de validación queda en ocasiones cuestionado por criterios de urgencia/negocio. Dificultad de revisión de todos los audit-logs? Logs heterogéneos, diversas ubicaciones, diversos usuarios/contraseñas, sistemas distintos,... Todo ello dificulta la revisión de los logs, la identificación de excepciones y/o desviaciones permitiendo únicamente una gestión reactiva. Una centralización y normalización de los logs debe permitir una gestión por excepción. Quién controla los administradores? Administradores de sistemas, administradores del equipo, administración de la seguridad lógica, gestión de recetas,... Es posible separar funciones? Es posible conocer y controlar los cambios que se realizan con usuarios con privilegios amplios sobre los equipos?

4 Integración Descripción El LOGBOX puede centralizar los logs de todos los equipos (logs originales) integrando formatos y/o dispositivos heterogéneos. Beneficios Simplificación del análisis de logs de diversos equipos por consolidación en un solo dispositivo. Audit Trail Propio El propio equipo genera un log de todas y cada una de las entradas a los equipos conectados. Cumplimiento en equipos que actualmente no disponen de Audit Trail para el control de accesos. Normalización Recepción y procesado de logs aplicando filtro según protocolos, aplicación u otros. filtros. Posibilidad de realizar análisis por excepción. Aplicación de filtros s/ análisis de riesgos validación (mostrar sólo entradas no permitidas). Indexación y Búsqueda Herramientas para la indexación de todos los registros y desarrollo de consultas sencillas para la explotación de la información. Creación de query s y desarrollo de informes para el seguimiento del análisis de riesgos realizado en la validación. Alertas Alertas en tiempo real y por usuario. D e f i n i d a s s o b r e c u a l q u i e r característica de los logs entrantes. Envío de mensajes en caso de entradas no permitidas u otras condiciones predefinidas. Gestión por excepción. Routing Cada log puede ser derivado a otros entornos según parámetros predefinidos. Organización de los logs críticos según los responsables funcionales de cada proceso. Reporting Recepción y procesado de logs aplicando filtro según protocolos, aplicación u otros. Facilita la identificación del origen de los problemas. Visibilidad on-line de todos los dispositivos conectados. Integración AD Integración con el directorio activo corporativo. Definición sólamente de roles en los equipos. Un sólo usuario / contraseña para todos los equipos integrado con el AD. Aplicación efectiva y centralizada de la política de caducidad de contraseñas.

5 Validación (Entregables) Plan de cualificación El plan está elaborado en conformidad con los principios contenidos en las normativas y directrices EU GMP Annex 11 y 21 CFR Part 11. Incluye: Responsabilidades del proceso de validación. Descripción detallada de seguridad lógica. Identificación de las categorías de software y hardware establecidas en el documento GAMP 5. Estrategia de cualificación consistente en: Pre-validación (IQ+OQ) de los elementos de hardware, las capacidades de integración de elementos, single sign-on, caducidad de contraseñas y audit-trail integrado, en nuestras instalaciones. Validación operacional (OQ) una vez finalizada la insalación. Definición de los procedimientos, manuales y documentación técnica necesaria. Cualificación instalación (IQ) Documentación de los siguientes aspectos: Verificación de los componentes instalados respecto a sus especificaciones técnicas. Instalación de acuerdo con las instrucciones y condiciones ambientales especificadas por el suministrador. Configuración de los elementos configurables y su control. Configuración del software de control. Versiones del software y firmware. Cualificación operacional (OQ) Se aportarán evidencias documentales que demuestren: Integración de sistemas. Integración de audit-trails. Single sign-on. Caducidad de contraseñas / integración directorio activo. Entradas positivas / negativas. Política de accesos centralizada. Una vez instalado el entorno sólo será necesario realizar la cualificación operacional de los elementos que se integren: Single sign-on Integración auit-trail Integración directorio activo corporativo (AD) Control perfiles remotos Documentación de soporte Durante la instalación del entorno, se suministrarán los siguientes documentos base, con el fin de sólo realizar las tareas de adaptación: Procedimientos de mantenimiento y operación Política de seguridad lógica Manuales y documentación técnica Recomendaciones control centralizado de seguridad lógica (perfiles / roles / usuarios). Informe final de cualificación Una vez finalizado el proceso de instalación y cualificación, se realizará el informe final de cualificación que permita disponer del entorno llaves en mano tanto a nivel de instalación como de validación. El documento contendrá: Descripción de los trabajos de cualificación realizados. Desviacione detectadas Acciones correctoras propuestas Conclusiones

6 Ingelan Sabemos por experiencia que implicarse es obtener resultados. La variedad de nuestros clientes, en tamaño y sector, nos obliga a trabajar y evolucionar en entornos distintos. Implantar soluciones tecnológicas avanzadas, gestionar proyectos complejos e integrarnos en los equipos de nuestros clientes durante más de 17 años, nos ha aportado el bagaje necesario. La confianza sostenida en el tiempo por nuestros clientes, avalan nuestra capacidad de adaptación. Debemos ser excelentes profesionales para ganar credibilidad, entender los procesos de nuestros clientes para generar valor, conocer sus colaboradores para entender su cultura, debemos diseñar acciones progresivas, entendibles y asumibles para hacer el cambio factible y finalmente, debemos acompañar a nuestros clientes ya que el verdadero cambio se genera en sus propios colaboradores. Líneas de negocio: Seguridad Arquitectura de sistemas Comunicaciones C/ Francesc Carbonell Esc. A Enlo. 3ª Barcelona Tel Fax