¿Qué es la ciberseguridad?
La ciberseguridad (o seguridad cibernética) se refiere al conjunto de prácticas, procesos y tecnologías diseñadas para proteger sistemas informáticos, redes, dispositivos y datos contra amenazas, ataques y accesos no autorizados. Estas prácticas se basan en 3 conceptos clave que son: Confidencialidad, integridad y disponibilidad; conocidos como la triada de la ciberseguridad.
El objetivo de las prácticas de ciberseguridad es proteger a los sistemas de posibles amenazas que comprometan la confidencialidad de los datos que resguardan la integridad del sistema y sus datos, y la disponibilidad del propio sistema.
¿En qué se relaciona la ciberseguridad con la integridad de datos?
La relación que guarda la seguridad cibernética con la integridad de datos en entornos GXP es que al no adoptarse estas prácticas, los sistemas se vuelven vulnerables, comprometiendo aspectos como:
- La disponibilidad del sistema: interrumpiendo sus operaciones y por lo tanto suspensión de los procesos que derivaría en fallas en la cadena de suministro, comprometiendo así la salud de los pacientes.
- Robo de la información. El robo derivaría en la publicación de información confidencial (patentes, desarrollo de productos) o bien para fines de extorsión y en el peor de los casos, pérdida total de la información robada y pérdidas económicas por la extorsión
- Alteración de la información. Impacta directamente en el concepto ALCOA y por lo tanto, los datos dejan de ser confiables para producir productos de calidad.
El acceso a la información de personal no autorizado puede derivar en un mal uso de ella, su divulgación o alteración.
Algunas de las prácticas de ciberseguridad que se deben documentar como parte de las pruebas de validación de todo sistema computarizado son:
Controles de acceso físicos
El acceso a los sites debe estar restringido únicamente al personal autorizado, empleando medios como vigilancia, cámaras y tarjetas de acceso.
Seguridad lógica
Desde el uso de las típicas credenciales (usuario y contraseña) o listas de usuarios con acceso autorizado, también suele emplearse la autenticación de dos pasos, aunque también pueden utilizarse medios más sofisticados como los biométricos que deben ser actualizados con frecuencia.
Gestión de privilegios
Consiste en definir niveles de usuario en el que cada nivel otorga una serie de permisos a los usuarios para que puedan ejecutar ciertas acciones. Establece una jerarquía para evitar que usuarios no aptos, tengan acceso a operaciones o datos que no les corresponde por el puesto y actividades que desempeñan, cuidando que exista una congruencia entre los permisos otorgados y la posición de cada persona.
Copias de seguridad y su restauración
Las copias de seguridad son respaldos de datos que se generan con una frecuencia definida y que son empleados para asegurar la disponibilidad de los sistemas en caso de ocurrir algún evento que comprometa los datos o al propio sistema.
Gestión de cambios y actualizaciones
Es necesario contar con un proceso por medio del cual se analice el impacto de todo cambio que se realice al sistema (incluso el cambio de un sistema por otro), ya que en entornos GxP los cambios suelen tener impacto en diversos aspectos como pueden ser el proceso o el cumplimiento regulatorio. Cuando se trata de actualizaciones a los sistemas, podríamos dar por hecho que siempre lo mejor es mantener el sistema actualizado, sin embargo, cuando hablamos de actualizaciones importantes, es necesario evaluar la viabilidad y conveniencia de implementarlos sin poner en riesgo al proceso, los datos o el cumplimiento.
Capacitación del personal
Formar al personal en el uso adecuado del sistema, así como concientizarlo sobre los controles que se requieren, juega un papel tan importante para la protección del sistema, que documentar las formaciones y la frecuencia con la que se realizan, es de carácter mandatorio en entornos GxP.
¿Qué es integridad de datos GxP y qué significa ALCOA?
La integridad de los datos es la garantía de que éstos son originales y fiables; esta garantía además habrá de mantenerse durante todo su ciclo de vida, es decir, desde que son creados, hasta que son retirados y destruidos. Tener datos fiables permitirá producir productos de buena calidad y que garantizan realmente sus productos pueden ayudar a preservar la salud de los pacientes. Al hablar de integridad de datos, viene a nuestra mente el acrónimo ALCOA (por sus siglas en inglés) con el que ya estamos familiarizados, y que nos resume las características que los datos deben poseer para decir que efectivamente cumplen con los requisitos de integridad.
En el siguiente cuadro se explica el significado del acrónimo, así como la explicación de los conceptos clave que conforman la integridad de datos:
Atribuible (Attributable)
- Se debe conocer la persona o el sistema que genera los datos
- Identificar a la persona o sistema que realiza una actividad y que crea o modifica datos
- Datos vinculados a su fuente original
Legible (Legible)
- Entendibles y permanentes
- Accesibles durante todo el ciclo de vida de los datos
- Los datos originales y las modificaciones posteriores no deben ser eliminados por completo, deben permanecer visibles.
Contemporáneo (Contemporaneous )
- Registrados en el momento en que se realiza la actividad.
Orignales (Original)
- Los datos originales son el primer registro y se considera “copia fiel” aquella reproducción que conserva el contenido o el significado de los datos.
Precisos (Accurate)
- Sin errores
- Ninguna edición realizada sin modificaciones documentadas
- Conforme a la verdad o a la norma
- Los datos reflejan exactamente la actividad o las mediciones afectadas
- Los datos deben poder ser comprobados en caso necesario explicando y documentando las modificaciones realizadas.
Conclusiones
Las prácticas de seguridad cibernética contribuyen significativamente a preservar la integridad de los datos y el cumplimiento de principio de ALCOA de los sistemas computarizados en entornos GXP, ya que su objetivo es proteger los datos de amenazas, manipulaciones no autorizadas y otras acciones que comprometan la precisión, confiabilidad y confidencialidad de lo que se genera, almacena y transmite en los sistemas computarizados. La verificación de las prácticas de ciberseguridad se debe incluir en las pruebas de validación con el propósito de demostrar la correcta implementación de las medidas, ade más de cumplimiento regulatorio.
Si deseas verificar las prácticas de ciberseguridad para asegurar la integridad de datos en tus sistemas computarizados, no dudes en ponerte en contacto con nosotros.