GESTIÓN EFICIENTE, MINIMIZACION DE RIESGOS Y CUMPLIMIENTO CREÍBLE 1 Ingelan Barcelona, 2 de Octubre de 2013 Francesc Garrido
CAMBIO DE PARADIGMA Años 80-90 Hoy 2
PROCESOS INDUSTRIALES 3
EL SOPORTE TECNOLÓGICO Tecnologías de Información Fiables Proceso Datos Disponibles Mejora Análisis 4
TECNOLOGÍA DE LA INFORMACIÓN Argumentos Comerciales iniciales: Tendremos un sistema informático que recoja todos los datos de forma rápida y segura, Podremos analizarlos para obtener indicadores, efectuar mejoras... Accesibilidad immediata de la información... El Santo Grial... El trabajo se iba a hacer solo! 5
PERO LA TECNOLOGIA... Requiere conocimiento especializado Recursos para mantenerla Adaptación continua a los avances del mercado 6
Y ADEMÁS Minimizar Riesgos Cumplimiento Creible Gestión Eficiente 7
Minimizar Riesgos Cumplimiento Creible Gestión Eficiente 8
CUMPLIMIENTO CREÍBLE: QUÉ NORMAS? Farma Veterinaria Normativas del sector Cosmética Buenas Prácticas Normativas fiscales, contables. Protección de datos 9
QUÉ PIDEN LAS NORMATIVAS? Topics Control Cambios Gestión Incidencias Backup & Restore Seguridad Lógica Trazabilidad 10
CÓMO SE DEMUESTRA EL CUMPLIMIENTO? Pruebas de validación Registros de seguimiento de PNT s Registros de cambios Registros de incidencias Control acceso 11
GESTIÓN DEL CUMPLIMIENTO Gran volumen de datos + Seguimiento Proactivo Mantenimiento Manual Costoso o Inexistente Herramientas Tecnológicas 12
HERRAMIENTAS TECNOLÓGICAS PARA GESTIÓN DEL CUMPLIMIENTO; QUÉ DEBEN HACER? Registro de cambios Versiones de programas Parámetros de configuración Parámetros de proceso Registro incidencias Monitorización eventos, interfases Análisis incidencias según origen Análisis repetitividad Gestión autorizaciones Detección intentos fallidos Bloqueo de cuentas peligrosas Anti-spam, antivirus... Control Accesos 13
SOLUCIONES TECNOLÓGICAS Sistemas de monitorización de eventos Control Versiones de software (incluidos PLC) Engineering solutions: - Configuración - Seguimiento - Análisis... Control Acceso a aplicaciones Gestión de inventario sistemas Ayudan, pero no son inteligentes ni autónomos! 14
BACKUP & RESTORE Se hace copia de todo (o casi) Sistemas de backup en cinta física o virtuales Sistemas de Replicación completa de Data Centers Alta automatización de las operaciones Cumplimiento de calendario 15
LA GRAN PREGUNTA Pero nunca se ha probado realmente!!!!! 16
QUÉ BUSCA EL RESTORE? RECUPERAR EL SISTEMA PARA PODER TRABAJAR EN CASO DE FALLO DEL PRINCIPAL... EN LAS MISMAS CONDICIONES, O EQUIVALENTES Y SE DEBE DEMOSTRAR QUE FUNCIONA 17
DIFICULTADES DEL RESTORE Disponibilidad de un entorno equivalente. Recursos tecnológicos. Se debe recuperar y acceder a la aplicación para asegurar que ha funcionado bien. Recursos humanos. Personal formado. Se debe recuperar aplicación, configuración, datos... a menudo repartido en diferentes ubicaciones. Se deja de manos del Business Recovery Plan, pero a menudo nuestros sistemas críticos no están incluidos. Cuando realmente necesitamos recuperar el sistema por fallo del principal, es un proceso muy lento y se pierden datos o la configuración no està actualitzada... 18
SOLUCIONES TECNOLÓGICAS Sistemas de replicación de aplicaciones, con registro de cambios de configuración Engineering solutions: - Configuración - Verificación... Appliances para creación del entorno equivalente Verificación recuperación periódica 19
SEGURIDAD LÓGICA Control de Acceso: ID + password Definición de perfiles Logout automático Cambio peródico de password Complejidad de password Registro de accessos Logs de seguridad 20
DIFICULTADES Cada sistema dispone de su propia política de Seguridad. Dificultad en integrar la política de Seguridad de los diferentes sistemas. ID + passsword está bastante resuelto, pero aun existen usuarios comunes. No nos creemos que sea algo crítico. O no damos a los datos la importancia que les toca. 21
SOLUCIONES TECNOLÓGICAS Single Sign On (LDAP) Engineering solutions: - Configuración - Verificación... Monitorización Eventos de Seguridad: -Acceso usuarios. - Uso funciones críticas Antivirus, Antispam, Anti-intrusismo 22
LA SEGURIDAD LÓGICA Y LA NORMATIVA La Seguridad es un reto global de la compañía Seguridad de los datos Integridad de los datos Disponibles cuando se necesitan Fiabilidad Continuada Los datos están para demostrar cómo se fabrica y analizar tendencias, resultados. 23
Cumplimiento Creible Minimizar Riesgos Gestión Eficiente 24
RIESGOS Posible amenaza Severidad X Probabilidad ocurrencia X Detectabilidad -1 Nivel de riesgo Los riesgos se cuantifican y se definen medidas de control en base al nivel de riesgo que suponga 25
TIPOS DE RIESGOS Negocio Parada procesos Pérdida información crítica Manipulación proceso/datos Normativo Falta de trazabilidad Información no atribuible Modificaciones no controladas Pérdida de datos relevantes 26
RIESGOS PUEDEN AFECTAR A: Integridad Datos no modificables a lo largo del tiempo Seguridad Accesible a usuario autorizado Modificaciones controladas Fiabilidad Los datos provienen de Fuentes seguras Consultables sin alteración 27
Minimizar CÓMO MINIMIZAR RIESGOS Reducir probabilidad ocurrencia Aumentar detectabilidad (Reducir impacto) 28
MINIMIZAR RIESGOS Aumentar probabilidad detección Reducir probabilidad ocurrencia Diseño de la funcionalidad Elementos de control externos (PNT) Origen del riesgo Elementos de control del sistema 29
MINIMIZAR RIESGOS Plan de Control de Riesgos Proceso Tecnología Identificación riesgos - Pérdida de datos - Acceso a funciones críticas - Versiones de SW - Cambios configuración Herramientas de Control Análisis medidas aplicadas 30
Cumplimiento Creible Gestión Eficiente Minimizar Riesgos 31
GESTIÓN DEL CUMPLIMIENTO Cumplimiento Normativas + Control Riesgos Métodos Manuales Costes elevados Difícil de seguir Poca información Métodos Tecnológicos Inversión inicial Configuración Centrado en riesgos Gran volumen de info. 32
Monitorización Identificación anomalías Gestión Cumplimiento Operación del sistema Capa Cumplimiento Sistema 1 Capa Cumplimiento Sistema 2 Capa Cumplimiento Sistema 3 33
Monitorización Identificación anomalías Gestión Cumplimiento Operación del sistema Eventos Categorización Análisis Eventos Diseño eficiente monitorización Elementos de Riesgo 34
RETOS Obtener información relevante de los procesos. Analizar la información para análisis del proceso, del uso de la tecnología, de la aplicación de controles... Mayor conocimiento del proceso de fabricación y de gestión de la información, para mejorarlo. Centrar esfuerzos en puntos críticos. Información Análisis CONOCIMIENTO 35 ICH Q8
36 CONCLUSIONES
CONCLUSIONES La incorporación de la tecnología ha abierto nuevos retos. Es necesario demostrar que los posibles riesgos derivados del uso de la tecnología están bajo control. Se necesita un sistema de gestión del cumplimiento normativo, que requiere tiempo y recursos cualificados. Las operaciones manuales corren el riesgo de no realizarse por no ser prioritarias. Se requieren herramientas tecnológicas para gestionar de forma eficiente el cumplimiento. 37
CONCLUSIONES Existen soluciones tecnológicas, que requieren conocimiento y definición clara de los puntos críticos. Se genera mucha información que se debe saber filtrar y analizar. Es necesario interpretar la información: Data Mining. Evitar repetición de errores. 38
39
Francesc Garrido francesc.garrido@csvexperts.com CSV Experts SL Av. Ernest Lluch 32, TecnoCampus Mataró Torre 2, 5ª Planta www.csvexperts.com +34 93 169 65 98 40