Jul 24 2014

Validación de Sistemas y Aplicaciones en Entornos Industriales Regulados

21-CFR-Part-11-FDA-RegulationsEs habitual que tras la realización de un proyecto en la Planta de fabricación, los responsables de Garantía de Calidad hayan de acudir a compañías especializadas en certificar la adecuación de la solución a las especificaciones correspondientes para mantener – de esta forma – el estado de validación de sistemas e instalaciones y justificarlo de esta forma ante las autoridades reguladoras.

El proceso de validación es – sin embargo – una tarea estrictamente metodológica que, realizada de forma correcta y como parte de las actividades del propio proyecto, nada más requiere de una formalización documental ajustada a la normativa que sea aplicable para que pueda ser considerada aceptable.

Como consecuencia de haber identificado esa necesidad y aprovechando la experiencia en la realización de proyectos dentro del sector farmacéuitico, nuestra Metodología de Validación de Sistemas de Contingencia y Recuperación integra la documentación de diseño y validación típica de un proyecto de estas características en un entorno industrial o de laboratorio con una solución basada en el appliance Unitrends y está pensada específicamente para el sector farmacéutico según las referencias 21 CFR Part 11 (Title 21 – Code of Federal Regulations – Part 11), EU GMP Annex 11y GAMP Guide 5.0.

Con todo ello se ha conseguido disponer de un set de documentación pre-elaborada que (como si fuera una lista de chequeo)  nos permite agilizar todas las etapas del proyecto y obtener un resultado robusto y validado. En definitiva, optimizar la calidad, disminuyendo el coste y acortando sensiblemente los plazos de realización.

Los documentos desarrollados incluyen:

  • Las descripciones de los Requerimientos de usuarios
  • Las especificaciones funcionales que han de cumplimentar los medios de contingencia y recuperación a implementar.
  • El análisis de riesgos
  • El Plan de cualificación
  • La Cualificación de la instalación (IQ)
  • La Cualificación operacional (OQ)
  • La Cualificación de la Puesta en Marcha y del Rendimiento (PQ)
  • La Validación de la integración de un nuevo equipo en el entorno en producción

Permanent link to this article: http://www.ingelan.com/?p=4281

Jul 15 2014

Los 5 estados en cuanto al respaldo para puestos de trabajo

preocupadoAunque nos encontremos en el mundo de los sistemas colaborativos y del cloud, continúan existiendo serios problemas en lo referente a la pérdida (y aquí nos referimos a la pérdida física) de datos corporativos estratégicos que, almacenados en los discos de desktops o laptops de empleados o ejecutivos de las compañías, han sido accidentalmente borrados o se han extraviado (en ocasiones en compañía del propio dispositivo).

Los responsables de los Sistemas de Información tienden a simplificar el problema o a darle poca importancia. Sin embargo, estudios recientes ponen de manifiesto que:

  • Un 62% de empresas perdieron – en el último año – datos corporativos confidenciales que estuvieron ubicados (exclusivamente) en los PCs personales de empleados o directivos.
  • Un 26% extraviaron información sobre la cual gozaban de derechos de propiedad intelectual.
  • Y (curiosamente) un 21% declararon haber perdido datos, aunque no supieron precisar qué es lo que se había perdido.

Sobre los endpoints se concentran grandes volúmenes de datos de singular importancia (se afirma que el 50% de la información estratégica para las compañías está almacenada en los PCs – y sólo en ellos) cuya pérdida puede representar serios problemas. Sin embargo, se parte de la (falsa) premisa de que toda la información relevante para el negocio esta siendo respaldada por los sistemas de backup.

Esta afirmación es cuestionable porque se fundamenta en normativas implementadas que dependen de determinadas condiciones relativas al puesto de trabajo y a la iniciativa de los usuarios que no son acordes a la realidad:

  1. Que el puesto de trabajo es estático y el usuario siempre tiene conectividad con las carpetas del Servidor de Ficheros de las que se le garantiza la copia de seguridad.
  2. Que el usuario siempre deja los datos importantes para el negocio y para su propia actividad en las carpetas de los Servidores de Ficheros de los que sí se hace backup

Lo cierto es que tener copia de la información en la carpeta de red corporativa depende de un gran número de factores que escapan al control de la organización. Entre otros:

  1.   La iniciativa, actitud y nivel de sensibilización del usuario (imposibilidad, descuido, dejadez o falta manifiesta de intención).
  2.   La propiedad del dispositivo: Cada vez más, las compañías están implementando políticas BYOD (bring your own device) para facilitar la operativa y abaratar costes.
  3.   La conectividad: Los portátiles de la fuerza de Ventas, de directivos, colaboradores, etc,… no están permanentemente conectados mientras trabajan y por la tanto generan y manejan información de forma local.
  4.   La confidencialidad – Hay datos que determinados usuarios son reticentes a dejar en sus carpetas de red porque no saben quién puede tener acceso a esa información.

La sensibilidad y actitud de los Responsables de IT varía y evoluciona ante este tipo de fenómenos: ¿En qué estado se halla su organización?

Estado 1: Negación.

Pese a lo que hemos comentado, aún existen organizaciones en las que se rechaza reconocer el valor de la información contenida de forma exclusiva en los puestos de trabajo. En esta fase, los responsables de IT dan la espalda a la realidad o, reconociéndola, atribuyen a todo el mundo una forma de actuar y una disciplina realmente inalcanzables.

Estado 2: Complacencia.

En este segundo estado y admitiendo lo obvio, se reconoce la necesidad de proteger la información existente en los dispositivos periféricos, pero no se hace nada para conseguirlo. Son típicas de esta fase dos actitudes: La de “Wait and See” – cuando se actúa de forma urgente y reactiva (habitualmente sin reparar en medios) para recuperar la información únicamente en casos de pérdida y en función de quien la haya extraviado – o la de “Restricción/Prohibición” de almacenar datos en local (aún siendo conscientes de que esta directiva no se respetará).

Estado 3: Regateo

Aquí ya se admite la necesidad de respaldar los datos contenidos en los endpoints. Sin embargo y por las razones que sea (mayoritariamente presupuestarias), se decide no invertir en ello y aprovechar medios destinados a otras finalidades para realizar esta función. Es típico reutilizar la infraestructura de backup corporativo (que no está pensada para ello), emplear medios removibles (USBs, CDs), obligar a los usuarios a remitir copia o replicar los ficheros en los servidores corporativos, aprovechar sistemas colaborativos (DropBox) o medios en la nube… Todo ello (como hemos comentado antes y por falta de automatismos) requiere de una disciplina fuera del alcance de muchas organizaciones.

Estado 4: Depresión

¿Qué ocurre cuando el equipo de IT implementa alguna de las inadecuadas tácticas anteriores y la organización experimenta la desaparición de datos de una cierta importancia estratégica? … Pues que se alcanza el nivel depresivo: Muy posiblemente la pérdida sea irreparable y la información irrecuperable. Y – pese a los esfuerzos que se pondrán en juego – ello supondrá una importante pérdida de confianza del equipo ejecutivo y de los usuarios en los servicios y en los responsables de IT

Estado 5: Aceptación

Reconocida la realidad y aceptada la necesidad, IT llega al estado de aceptación cuando implementa una solución específicamente pensada para solventar esta problemática y facilitar la restauración desasistida de datos perdidos o extraviados: Automatizada, simple, flexible, adaptable, segura, independiente del dispositivo y autogestionada.

Pregúnteselo … ¿En qué punto se halla Vd?

Permanent link to this article: http://www.ingelan.com/?p=3814

Jul 06 2014

Autoservicio de contraseñas

password1¿Le supone un problema recibir llamadas de sus usuarios solicitando el reseteo de sus contraseñas por pérdida u olvido?…

Haga que sean ellos mismos quienes estén en codiciones de reactivar sus cuentas sin necesidad de apoyo…

 


En el actual estado de los sistemas de información, las contraseñas (las conocidas passwords) están en todas partes. Cada aplicación, sistema o website que requieran de una acción personalizada o a realizar de una forma mínimamente segura tiene la suya. Y es que este elemento, implementado de forma adecuada, proporciona un razonable nivel de seguridad.

Sin embargo, la necesidad de que – para evitar posibles suplantaciones – tengan una cierta complejidad digamos “gramatical”, hayan de renovarse con una cierta periodicidad (más bien de forma frecuente) y se exija que la nueva no presente semejanza con las n anteriores hace difícil su memorización. Unido este factor al número de contraseñas a recordar (si hay que acceder a diversos sistemas con sus propios sistemas de autenticación y autorización), la posibilidad de olvidarlas con una cierta asiduidad va incrementándose de forma alarmante.

El resultado (o mas bien los resultados): Notas en lugares mas o menos visibles (post-it?)con la (deseablemente reservada) palabra de paso expuesta a la curiosidad pública con un importante riesgo de suplantación. Pérdidas de tiempo (y de productividad) consecuencia de intentos fallidos de acceso que finalizan en el bloqueo de las cuentas correspondientes; llamadas al helpdesk (o a los responsables y administradores del sistema) a fin de restaurar la situación inicial, con la dedicación que ello supone si la situación se presenta de forma reiterada (estudios realizados ponen de manifiesto que un 40% de los tickets solicitando ayuda al helpdesk en compañías de un cierto tamaño corresponden a este tipo de incidencias, con la inversión de recursos que ello implica).

Implementar un sistema que deje en manos del propio usuario la gestión (en condiciones seguras, naturalmente) de sus contraseñas, ayudará a (como mínimo):

  • Minorar el coste del helpdesk y/o liberar a los administradores de los sistemas de las tareas de regeneración de passwords/desbloqueo de cuentas consecuencia de esos lamentables olvidos.
  • Proporcionar a los usuarios la seguridad de que olvidarse de sus credenciales no va a impedirles actuar ni les va a hacer perder el tiempo de una forma exagerada.
  • Eliminar la “necesidad” de anotarlas y depositarlas en un lugar donde pueden ser vistas por otras personas.
  • Mejorar la seguridad y facilitar la implantación de políticas basadas en el empleo de passwords complejas y frecuentemente renovadas.

Una solución de este tipo habrá de proporcionar a los usuarios medios para restaurar o cambiar contraseñas olvidadas y acceder o liberar cuentas bloqueadas facilitando el cambio de la password, la recuperación del UserId, la modificación de propiedades, de datos de contacto y la definición de preguntas de seguridad (y sus correspondientes respuestas) que permitan validar la identidad de quien lo utilice.

Y de cara a incrementar el nivel de seguridad, es absolutamente aconsejable el empleo de mecanismos que permitan realizar una doble autenticación: Mediante mensajes SMS o correo electrónico. Y asegurar que las contraseñas sean difícilmente crackeables (listas de palabras prohibidas, empleo de CAPTCHA para evitar intentos automatizados de acceso a las cuentas y/o dispositivos de prevención de intrusiones).

Todo ello debería complementarse con medios para la generación de alertas y alarmas en caso de que se detecte (con uso de los medios citados anteriormente) actividad anómala. Y también ha de considerarse imprescindible llevar un registro de auditoría (quizá integrado con la consola centralizada de gestión de la red) de la actividad (inicio de sesiones, finalización, modificación de configuraciones, …) para facilitar el análisis forense de situaciones tras incidentes.

NetIQ_Logo_TMNetIQ proporciona una de las mejores soluciones existentes en el mercado: Self Service Password Reset, destacable por su flexibilidad, simplicidad de uso, riqueza funcional, integrabilidad y sencillez en cuanto a instalación y mantenimiento.

Pueden encontrar aquí información adicional sobre este producto.

Permanent link to this article: http://www.ingelan.com/?p=3794

Jul 01 2014

Havex: Un troyano que ataca los Scada

TroyanoInvestigadores de diversas firmas de ciberseguridad (F-Secure, CrowdStrike) informan del creciente peligro que supone – desde inicios de este mes de Junio – el troyano Havex (adaptación de una herramienta de control remoto con objetivos – ahora – semejantes a los de Stuxnet) para los sistemas de supervisión y control (Scada) de las plantas de producción europeas, especialmente en el sector energético.

Havex, que se contrae por exploit kits o mediante spam ha sido también difundido en algún caso mediante versiones infectadas y descargables de aplicaciones legales que los hackers fueron capaces de colocar en las webs de los correspondientes fabricantes (se descarga el troyano bajo la forma de un fichero denominado mbcheck.dll), aunque parece que esta circunstancia está ya controlada.

Los investigadores ponen de relieve que para que se haya producido esta infección tanto los fabricantes de software como los utilizadores han obviado el empleo de elementales medidas de seguridad y buenas prácticas para la instalación de actualizaciones de software que deberían ser observadas en cualquier circunstancia y que – caso de haberse empleado – la hubieran evitado.

Se ignora la motivación que ha llevado a sus creadores a distribuirlo, pero el gusano es capaz tanto de extraer y remitir información de los sistemas Scada, preferentemente los basados en plataformas Windows (como credenciales que pudieran ser utilizadas en suplantación o información de la arquitectura del sistema) como de controlarlos remotamente, pudiendo generar sobrecargas o conseguir la desconexión de partes del sistema con una simple instrucción.

También se desconoce la procedencia, si bien dichos especialistas basándose en experiencias previas la sitúan en un país del Este de Europa e infieren que haya podido ser esponsorizada por alguna agencia gubernamental.

Permanent link to this article: http://www.ingelan.com/?p=3807

Página 1 de 2812345...1020...Última »