¿Qué es un inventario de hardware y software?
Un inventario de hardware y software es una lista detallada de todos los equipos y sistemas de la compañía, teniendo en cuenta las áreas de producción, empaque, laboratorio, mantenimiento, calidad, planeación, recursos humanos, y finanzas. Todas las áreas de la compañía deben ser revisadas de forma precisa y detallada ya que a la hora de hacer inventario ninguna tiene una jerarquía superior a la otra.
Este inventario debe contemplar las aplicaciones ya sean sistemas corporativos (ERP, WMS) O locales (Hojas de cálculo) y equipos con su software (HPLC, Sacheteadoras, sistema de aire acondicionado, sistema de Agua purificadas) Para tener un control sobre ellos y a partir de allí definir qué sistemas requieren una validación y que no. Este inventario hace parte del inventario general de la compañía, y debe ser controlado por el área de gestión financiera o de tecnología IT, cabe aclarar que los equipos de cómputo y su infraestructura también deben ser contemplados, de igual forma se hará con los elementos de uso personal pero en propiedad de la compañía como celulares corporativos.
Estos activos son significativos para llevar correctamente la gestión de seguridad de la información, ya que se tienen en cuenta: Elementos físicos, software, documentos, servicios, personas e instalaciones y hardware. Es decir, todos aquellos activos que generan valor a la compañía. Por eso, dentro del cumplimiento de integridad de datos y sus principios se hace necesario como primera medida controlar este listado, además que también es un requerimiento necesario para dar cumplimiento a la norma ISO27001 referente a la seguridad de la información
¿Por qué ISO 27001? Con el fin de preservar la información, se ha demostrado que no es suficiente la implantación de controles y procedimientos de seguridad realizados frecuentemente sin un criterio común establecido, en torno a la compra de productos técnicos y sin considerar toda la información esencial que se debe proteger.
La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO / IEC 27000, establece una implementación efectiva de la seguridad de la información empresarial desarrolladas en las normas ISO 27001 / ISO 27002.
¿Por qué debería hacer un inventario de mis equipos?
Todas las organizaciones deben crear un marco para mitigar riesgos, por ejemplo el uso ilegal de programas puede generar brechas en la seguridad de la información de la empresa, en el control del software hay una oportunidad de prevención, analizando su aplicabilidad y asegurando su oportuno licenciamiento. Al registrar las copias instaladas en la empresa se podrá garantizar su uso.
Te recordamos que tener control sobre estos activos aportará de forma significativa para una correcta gestión de seguridad de la información, lo invitamos a que haga su inventario sin olvidar:
- Elementos físicos
- Software
- Documentos
- Servicios
- Personas
- Instalaciones
- Hardware
Todos aquellos activos que generan valor a la compañía deben aparecer en el inventario, de acuerdo al cumplimiento de integridad de datos, además también es un requerimiento necesario para dar cumplimiento a la norma ISO27001 referente a la seguridad de la información.
Good Manufacturing Practices ¿Qué ventaja ofrecen?
Si le damos un enfoque GMP, los inventarios deben tener en cuenta criterios exigidos por los entes reguladores, definiendo cada sistema o software la categoría al cual pertenece, esta categoría está determinada por las GAMP5 del ISPE.
¡Ojo los inventarios varían según el tipo de compañía, pero tenerlo es una necesidad para poder obtener o mantener la certificación ISO27001!
Para el caso de la industria farmacéutica es necesario controlar cada uno de estos activos y el impacto GxP, porque hacen parte del Plan CSV y/o Plan Maestro de Validación de la compañía, cumpliendo la regulaciones locales o externas bajo las normativas como:
- CFR 21 Parte 11 de la FDA
- Norma Técnica 127 Buenas Prácticas de Manufactura (BPM)
- ISP, Resolución 3619 de 2013 del INVIMA
- La NOM-164-SSA1-2015, Buenas prácticas de fabricación para fármacos
- La NOM-059-SSA1-2006, Buenas prácticas de fabricación para establecimientos de la industria químico farmacéutica dedicados a la fabricación de medicamentos de COFEPRIS, entre otras.
Para concluir y dando un enfoque en las Buenas Prácticas de Manufactura , los elementos principales del plan de validación deben estar claramente definidos y documentados en el Plan CSV, el cual debe ir soportado por el inventario de Hardware y Software; de acuerdo con los requisitos GxP, la compañía es responsable de planificar la validación y aprobación durante el ciclo de vida del sistema.
Cualquier cambio en las instalaciones, equipos, materias primas y procesos que afecten la calidad del producto debe documentarse y evaluarse formalmente por su impacto en el estado de validación. El Plan CSV es una guía para las actividades de validación de sistemas computarizados, ya sean aplicaciones corporativas, sistemas automáticos o semiautomáticos, y define qué de todo ese inventario se debe validar, también se debe tener en cuenta los criterios exigidos por los entes reguladores, definiendo la categoría a la que pertenece cada sistema o software, esta categoría está determinada por las GAMP5 del ISPE.
