Pàgina d'inici » IS Governance » Standards

Category Archives: Standards

Anuncis

GAMP5 i la seguretat del Software

 

USA Flag Spain Flag German Flag

GAMP 5 i la necessitat de protegir el software (programari).

Resum: Si, les GAMP 5 indiquen que cal protegir el software a més a més de les dades.

 

 

 

 

L’adaptació als “nous” standards costa. Costa molt. I no es cert que sempre sigui manca de voluntat, la majoria de vegades es manca de recursos.

En aquesta situació m’he trobat quan he hagut d’explicar que el software cal protegir-lo contra modificació, voluntària o accidental, i que un BackUp, simplificadament, no es més que una protecció contra accidents i no una mesura de protecció del software.

Al final, per a demanar recursos, cal anar a la font regulatòria, i tot i això, les prioritats de recursos no van a seguretat.

Però que diu específicament les GAMP 5? Cal protegir el programa contra modificació?

La seguretat de la informació apareix, però no esta específicament reclamada en la major part dels apartats, bàsicament perquè es focalitza en la qualitat, no en la seguretat. Malgrat això  indica el següent:


4.3.7.1 Security Management
Security management is the process that ensures the confidentiality, integrity, and availability of an organization’s regulated systems, records, and processes. Effective security management protects assets to minimize the business impact of security vulnerabilities and incidents.
Measures should be implemented to ensure that GxP regulated computerized systems and data are adequately and securely protected against willful or accidental loss, damage, or unauthorized change.
Such measures should ensure the continuous control, integrity, availability, and (where appropriate) the confidentiality of regulated data.
See Appendix 10, Security Management for Laboratory Computerized Systems

I que indica al Appendix 10?


17.1 Introduction
Security management is the process that ensures the confidentiality, integrity, and availability of an organization’s regulated systems, records, and processes.
Security measures should be implemented to ensure that only authorized individuals may access the system and the data, and that the data are accurate and available when needed. Data should be adequately protected against willful or accidental loss, damage, or unauthorized change. Security management includes physical, logical, technical, and procedural controls to ensure the confidentiality, integrity, and availability of the system and data.
...
17.1.4 Logical Security
In addition to preventing unauthorized access or damage to the application or operating system, access controls should be enabled to prevent access to modify the system clock, operating system permissions, and application system files.

Que ens diu les MHRA?

A la darrera actualització de Març 2018, al apartat 6.16 indica:


...
Access controls should be applied to both the operating system and application levels.
...
System Administrator rights (permitting activities such as data deletion, database amendment or system configuration changes) should not be assigned to individuals with a direct interest in the data (data generation, data review or approval).
...

Aquesta definició es pot ampliar a persones que, malgrat no tenir drets d’administració complerta sobre el sistema, puguin accedir a la configuració del software.

Que no explica les GAMP 5?

Dons no explica ni la estructura organitzativa, ni les línies de reporting, i tampoc quines guies tècniques s’han de seguir.(Recomano llegir aquest post de sans.org)

Ara bé, donat els canvis estructurals a la indústria farmacèutica, i al món en general, cap a l’ús massiu de dades, es d’esperar que hi hagi un canvi en breu que posi la seguretat de la informació com a un dels pilars fonamentals a tenir en compte durant l’anàlisi de la qualitat.

Com aquests standards ja existeixen (ISO 27K, NIST, etc…) com més aviat incorporem la seguretat als nostres processos, millor preparats i més ràpidament ens podrem adaptar als nous requeriments i això, al cap i a la fi, també es gestió de riscos.

Conclusió

from Pixabay qimono

En conclusió, malgrat que la moda es parlar només de “Data Integrity” això en cap cas exclou protegir el sistema / software que genera les dades.

Quins procediments tècnics i organitzatius emprem per a acomplir-ho es tema per a un altre post i amplia discussió.

No ens hem d’oblidar que l’objectiu de tota aquesta, enorme, normativa es aconseguir fiabilitat en els processos de investigació i comercialització de productes farmacèutics, que tard o d’hora acabarem utilitzant.

 

Enllaços relacionats:

Altres temes dels que parlo:


DevOps o com recuperar la visió global de IS

GAMP, 21CFR part11 … i altres històries de validació

Mites sobre Big Data



 

Anuncis

Configurar llicències de Windows Remote Desktop

USA Flag German Flag Spain Flag
Microsoft Windows Server logo
Microsoft Windows Server

Configurar llicències Terminal Server

Es recomana instal·lar el servidor de Remote Desktop ABANS DE L’APLICACIÓ i un cop fet instal·lar el software de una manera específica per a treballar amb Remote Desktop (ho pots revisar aquí).

A banda cal activar les llicències, seguint uns passos que vaig resumint a continuació:

Pas Exemple
Vés al Server Manager \ Roles

Verifica que esta instal·lat el Remote Desktop Licensing.

 

Si no ho està caldrà executar el Wizard per afegir el rol:

  • Remote Desktop Services / Remote Desktop Licensing
  • Remote Desktop Services / Remote Desktop Session Host

NO configuris el “scope of license server

Remote Desktop

Click per ampliar

Remote Desktop

Click per ampliar

Click per ampliar

Click per ampliar

Arrenca (i t’ho guardes com accés directe) el

Remote Desktop Session Host Configuration

(esta a: %windir%\system32\tsconfig.msc)

Remote Desktop

Click per ampliar

Baixa fins a l’opció de “Remote Desktop licensing mode” i selecciona si es per:

  • Device
  • User

Pots consultar les diferencies aquí

Remote Desktop image

Click per ampliar

En aquest exemple utilitzem “Per Device” i afegim un servidor de llicències.

Nota: Ves amb comte perquè es pot continuar sense afegir res i donarà error posteriorment, tot i que tinguis les llicències activades.

Si no tenim cap servidor de llicències (acostumen a existir en entorns corporatius) escollim “Local”

Click per ampliar

Click per ampliar

Click per ampliar

Click per ampliar

Vés al Server Manager \ Roles \ Remote Desktop Services.

Verifica que esta instal·lat el Remote Desktop Licensing. En cas contrari instal·la i fes Next> a totes les opcions.

Click per ampliar

Click per ampliar

Baixa (o plega les opcions) fins a Advanced Tools

A la dreta del tot selecciona: Remote Desktop Licensing Manager

Click per ampliar

Click per ampliar

Ara hauràs d’activar la llicència que hagis comprat.

Abans de fer-ho 2 comentaris:

  • El sistema telefònic que trobaràs a la pàgina de Microsoft no funcionarà en breu i serà substituït per un sistema de mail.
  • Si el servidor de llicències es d’una versió superior a la versió de Sistema Operatiu (Downgrade) obligatòriament l’hauràs de fer per mail.

Activate Server ( o Install Licenses)

Click per ampliar

Click per ampliar

Click per ampliar

Click per ampliar

Obrirà un Wizard

Click per ampliar

Click per ampliar

i selecciona telèfon (encara que no funcioni) i segueix els passos per a seleccionar país (cal fer-ho malgrat que no serveixi de res)

Nota: Per a fer downgrade cal fer-ho per telèfon obligatòriament. Si tens sort hi haurà un gratuït disponible.

Click per ampliar

Click per ampliar

El Wizard generarà un Product ID (es pot copiar i pegar)

Click per ampliar

Click per ampliar

Amb aquest Product ID cal enviar un mail a tslm@msdirectservices.com – License Activation

obtindràs els valors a introduir, normalment 2 ID:

  • License Server ID
  • License Key pack ID
Exemple:
tslm@msdirectservices.com
License Activation
Server: Windows Server 2008
License: CAL 2012 FOR DOWNGRADE
Product ID: 0000-000-00000
Company name: My Company
Registry ID: 9999999
Programm: 9999999
Una vegada tot estigui finalitzat correctament (es a dir, has introduït correctament tots els valors) tindràs activat el servidor i les llicències.

Click per ampliar

Click per ampliar

 Finalitza per tancar la instal·lació

Click per ampliar

Click per ampliar

 

Enllaços relacionats:

 

 

Altres articles que et poden interessar:


Excel 365, Excel 2013: Creació de plantilles personals

Cloud computing: Enderrocant 10 mites

Incidents de Seguretat: I ara que faig? Com responc?






 

%d bloggers like this: