workshop ti e ta - sindusfarma · - lan (local area network) – até 200 metros. ex: computadores...
TRANSCRIPT
Organização TI – Um pouco de História
Fase Artesanal – Até meados dos anos 60 Válvula e Transistores (grandes calculadores)
Conhecimento: forte em Hardware/programação e utilização Utilização: Ambiente Acadêmico e Militar
Fase Sistêmica –Anos 60 aos Anos 80 Mainframes para processamento em lotes (batch)
CPD (Centro de Processamento de Dados) Dependência Tecnológica
Conhecimento: hardware (normalmente alugado) e software básico + aplicativo Utilização : Grandes Corporações Civis
Fase Flexível – Segunda metade dos Anos 80 Evolução Microeletrônica + Evolução Redes de Computadores
Conhecimento: Hardware + Software Básicos + Aplicativos Utilização: Todos
Brasil – Internet liberada
em 1995
Anos 60 – criado o conceito
de automação
Organização TI – Um pouco de História
Gestão do Conhecimento Fase Artesanal - Senhor absoluto do
conhecimento – Usuário e Informática (mesma pessoa)
Fase Sistêmica - Analista de Sistemas – “O cara”
Todos com conhecimento (smartphones/
google, etc)
Surge o usuário e o Analista de Sistemas Surge o conceito de
automação industrial para aumentar produtividade
Surge o usuário-chave e o Analista de Negócio
Automação Industrial com foco em aumento da Qualidade e
flexibilidade e redução de perdas
Organização TI – Atual CIO (Corporate
Information Officer)
Desenvolvimento de Sistemas
Aplicativos
Aplicativos mobile
Business Inteligence
Infraestrutrura
Telecomunicações
Redes
Atendimento ao Cliente
Aonde esta fase “Flexível” nos leva
- Maior aproximação do usuário com TI – Maior Produtividade:
Entrada de Dados e Execução de programas sendo feito
diretamente pelo usuário
- Metodologia e ferramenta de Desenvolvimentos:
Adoção dos controles do Ciclo de Vida
- Sistemas integrados:
Surgimento do ERP, MES, WMS,etc – Trabalho de forma on-line
com decisões rápidas
- Ampla interligação entre sistemas e equipamentos através da
rede:
Tecnologia Mobile/ Tecnologia Automação, etc
- Tendência a Concentração e Externalização:
Data Centers (antigos CPDs)/ Cloud Computing/ Virtualização/
etc
- Trabalho móvel e a distância (trabalho nômade)
Interação entre pessoas fisicamente distantes
Aplicativo
Software básico
Hardware (incluindo infraestrutura, data
center,etc)
Equipamentos (PLC´s, etc)
Primeiro Passo: Conceitos Básicos de TI
Conceitos Básicos de TI: Infraestrutra
O que considerar Infraestrutura? Todo o ambiente tecnológico para a implementação de
um Sistema Informatizado
- Rede
- Servidores
- Aplicativo
- Banco de Dados
- Hardwares
- Coletores
- Desktops padrão
- Desktops especiais
- Periféricos (mouse/ monitores/impressoras, etc)
Conceitos Básicos de TI: Infraestrutura - Rede
- Permite:
Interligação entre o processo industrial (TA) e a
diretoria da empresa (TI)
- Padrão TA:
- Modelo OSI (Open System Interconection) –
Compatibilidade de equipamentos de fabricantes
diferentes
- Padrão ISO/ RM-OSI – Sete Camadas de
interligação
- O que levar em consideração na construção de uma
rede industrial?
1. Taxa de Transmissão – Qtd média de dados a
serem trafegados na rede
2. Extensão das redes de comunicação –
Distância entre os pontos conectados
- Redes TCP/IP – Utilizado pela Internet e na
grande maioria das redes
*IP – Endereço do computador
- Rede Ethernet –
- Automação Industrial
Conceitos Básicos de TI: Infraestrutura - Rede
- O que levar em consideração na construção de uma
rede industrial? (cont.)
3. Extensão das redes de comunicação –
Distância entre os pontos conectados, podendo ser
classificados:
- PAN (Personal Area Network) – Pequeno alcance
e baixo desempenho – Ex: Celular /
computador
- LAN (Local Area Network) – Até 200 metros. Ex:
Computadores na mesma sala ou prédio
- CAN (Campus Area Network) – Até 5Km. Ex:
Computadores em uma Unidade Fabril
- MAN (Metropolitan Area Network) – Até 50Km. Ex:
Computadores em diferentes unidades na
mesma cidade
- WAN (Wide Area Network) – Acima de 50 Km
Conceitos Básicos de TI: Infraestrutura - Rede
- O que levar em consideração na construção de uma
rede industrial? (cont.)
4. Topologia de Rede (Física ou Lógica):
- Anel
- Barramento
- Estrela
- Ponto-a-ponto
- Árvore
Conceitos Básicos de TI: Infraestrutura - Rede
- O que levar em consideração na construção de uma
rede industrial? (cont.)
5. Meio de Transmissão:
- Cabos condutores (Fibra ótica ou Fio de
Cobre)
- Sem fio:
- Infravermelha,
- Radio Frequência (RF):
- Zigbee
- Bluethooth
- Wireless ethernet (Wi-Fi)
- Microondas:
- Simplex
- Half-duplex
- Full-duplex
Especial atenção as interferências
Conceitos Básicos de TI: Infraestrutura - Rede
- O que levar em consideração na construção de uma
rede industrial? (cont.)
6. Método de Acesso:
- Mestre/ Escravo – Mestre possui o direito de
transmissão
- Escravo: Atua na planta: IHM/ Sensores/
Transmissores
- Produtor/Consumidor – diversos produtores
encaminham a diversos conusmidores que
podem inverter o papel quando necessário
Conceitos Básicos de TI: Infraestrutura - Rede - O que levar em consideração na construção de uma rede
industrial? (cont.)
7. Algoritmo de acesso ao barramento – Acessar ou
disponibilizar informações na rede:
- Cíclica ou varredura (cyclic Polling) – Transmite dado a
uma taxa configurada pelo usuário. Usado para dados
que pouco se alteram
- CSMA/CD (Carrier Sense Multiple Access/ Colision
Detection) – Transmite dados assim que detecta que o
canal está disponível. Comunicação Ethernet é baseada nesta
tecnologia
- Token Passing – Utilizada na topologia anel. Caso um
dispositivo deseje transmitir ele deve capturar o “token”
e substituir por um “frame” (dados)
- Mudança de Estado – Dispositivo produzem dados
apenas quando tem seu estado alterado
- CTDMA (Code and Time-Division Multiple Access ) – dados
são trocados conforme o tempo determinado
Conceitos Básicos de TI: Infraestrutura - Rede - O que levar em consideração na construção de uma
rede industrial? (cont.)
8. Confiabilidade e Disponibilidade:
- Confiabilidade = Tempo médio entre falhas (MTBF – Mean Time Between Failure)
- Disponibilidade = tempo médio entre falhas e
tempo médio para reparo (MTTR – Mean Time To
Repair )
Conceitos Básicos de TI: Infraestrutura - Rede - O que levar em consideração na construção de uma
rede industrial? (cont.)
9. Funcionalidade: Que tipo de dados a rede vai
“trafegar” e qual funcionalidade:
- Transferência de arquivo
- Suporte a aplicações (sistemas
informatizados)
Conceitos Básicos de TI: Infraestrutura - Rede - Componentes de uma rede:
- Repetidores (Repeaters) – Amplificam o sinal
afim de transmitir em maior distância
- Pontes (bridges) – Conexão entre duas redes
com diferentes características elétricas e de
protocolos
- Roteadores (routers) – Retransmitir pacotes
entre várias redes, definindo o caminho
- Gateways – promovem a interoperabilidade
em redes incompatíveis (ex: OSI e não OSI)
Conceitos Básicos de TI: Infraestrutura - Rede - Protocolos – As redes são denominadas pelos protocolos
utilizados, não se limitando a:
- MODBUS – Concedida pela Modicon Industrial Automation
Systems em 1979 para uso do seu CLP, tornou-se um padrão de fato
na indústria
- PROFIBUS - Foi concebida a partir de 1987 em uma iniciativa
conjunta de fabricantes, usuários e do governo alemão
- ETHERNET - A rede Ethernet foi desenvolvida pela Xerox no seu
Centro de Pesquisa Palo Alto (PARC) nos anos 70.
- FIELDBUS FOUNDATION - padrão aberto que engloba
diversas tecnologias aplicadas no controle de processos e
automação industrial, tais como: processamento distribuído,
diagnóstico avançado e redundância.
Conceitos Básicos de TI: Infraestrutura - Servidores
Do que é composto um Servidor:
Hardware + Sistema Operacional
O que olhar em um servidor? - Hardware é específico para aplicação ou compartilhado?
- Qual tipo de Disco Rígido (HD)? Mais utilizado é o SCSI (interligação de
vários periféricos através de arranjo RAID)
- Qual tipo de processador? Normalmente possuem processadores alta-
velocidade, sendo alguns multi-processadores
- Quanto possui de memória RAM?
- Estão ligados em geradores ou UPS?
- Como está o sistema de dissipação de calor (coolers)?
- Seu processo precisa continuar operando ? Existe algum tipo de placa ,
por exemplo hot swapping? Permite que tudo continue a operar enquanto
as placas estão sendo trocadas
Conceitos Básicos de TI: Infraestrutura - Servidores
Sistema Operacionais :
- Unix
- Linux
- Solaris
- FreeBSD
- Novell Netware
- Windows NT, Windows 2000, Windows 2003, Windows XP, Windows Vista,
Windows Server 2008, Windows Server 2012, Windows 7, Windows 8 e
Windows 10.
* Os sistemas operacionais Windows 95, Windows 98 e Windows ME
reconhecem somente redes do tipo ponto-a-ponto; e o sistema operacional
DOS não tem suporte a qualquer tipo de rede.
** Em servidores, o sistema Unix e sistemas baseados neste (como Linux e
Solaris) são os sistemas mais utilizados para aplicações como Firewall e
servidor web, ao passo que o sistema Windows, são mais utilizados para
Gerenciamento de Usuários e serviços pela facilidade de operação e
manutenção (AD – Active Directory).
Conceitos Básicos de TI: Infraestrutura - Servidores
Tipos de Servidores, exemplos:
Servidor DNS: Servidores responsáveis pela conversão de endereços de sites em
endereços IP e vice-versa.
Servidor proxy: Servidor que atua como um cache, armazenando páginas da internet
recém-visitadas, aumentando a velocidade de carregamento destas páginas ao
chamá-las novamente.
Servidor de imagens: Tipo especial de servidor de banco de dados, especializado
em armazenar imagens digitais.
Servidor FTP: Permite acesso de outros usuários a um disco rígido ou servidor. Esse
tipo de servidor armazena arquivos para dar acesso a eles pela internet.
Servidor webmail: servidor para criar emails na web.
Servidor de virtualização: permite a criação de máquinas virtuais (servidores
isolados no mesmo equipamento) mediante compartilhamento de hardware, significa
que, aumentar a eficiência energética, sem prejudicar as aplicações e sem risco de
conflitos de uma consolidação real.
Servidor de sistema operacional: permite compartilhar o sistema operacional de
uma máquina com outras, interligadas na mesma rede, sem que essas precisem ter
um sistema operacional instalado, nem mesmo um HD próprio.
Conceitos Básicos de TI: Infraestrutura - Servidores
Tipos de Servidores, exemplos (cont.):
Servidor de arquivos: Servidor que armazena arquivos de diversos usuários.
Servidor web: Servidor responsável pelo armazenamento de páginas de um
determinado site, requisitados pelos clientes através de browsers.
Servidor de e-mail: Servidor publicitário responsável pelo armazenamento, envio e
recebimento de mensagens de correio eletrônico.
Servidor de impressão: Servidor responsável por controlar pedidos de impressão de
arquivos dos diversos clientes.
Servidor de banco de dados: Servidor que possui e manipula informações contidas
em um banco de dados
Conceitos Básicos de TI: Infraestrutura - Servidores
Virtualização
Benefícios:
- Economia – Espaço / Energia – Consolidação de servidores
- Isolamento de Aplicação ou Serviço – Uma aplicação não
afeta a outra pois estão em sistemas operacionais separados
- Simplificação na instalação dos Servidores – Conceito de
imagem de virtualização agiliza o processo e evita falhas
- Aumento de Disponibilidade – Aplicação não está mais
vinculada a um servidor físico
- Múltiplos Sistemas Operacionais em um único hardware
Conceitos Básicos de TI: Infraestrutura - Servidores
Virtualização
Alguns Softwares para virtualizar
Conceitos Básicos de TI: Infraestrutura - Servidores
Data Center (antigo CPD), deve possuir:
- Controle de acesso físico
- Sistema de Refrigeração adequado
- Energia adequada (incluindo redundância)
- Sistema de Segurança para incêndio, alagamento, etc
- Padrão de construção do piso suspenso
- Redundância de dados em outro local ou
outro método
- Link de Internet
Conceitos Básicos de TI: Cloud Computing
Cloud Computing ou Computação nas nuvens ou Computação
em nuvem
- Conceito ganhou força em 2008 – Utilizar em qualquer lugar e
independente de plataforma, as mais variadas aplicações por meio
da internet com a mesma facilidade de tê-las instaladas em um
computador local
- Pode ser: Pública/ Privada ou Híbrida
- Conceito Software as a Service (SaaS)
- Novas derivações:
- PaaS/ DaaS/ IaaS/ TaaS
Sistemas na Indústria Farmacêutica – Escopo de TI
Nível 5 Sistemas responsáveis pela gestão de inteligência da
empresa em tomada de decisões. Ex: Sistemas de BI
(Business Intelligence – Inteligência Empresarial)
Quando surgiu o conceito: Década de 90 (Gartner Group)
Em alguns pontos pode se confundir com o Nível 4
Ainda hoje pouco aplicada em Manufatura, com maior
utilização em Marketing e Vendas
Sistemas na Indústria Farmacêutica – Escopo de TI
Nível 4 Sistemas que abrangem diversas áreas da empresa em uma
única plataforma, dividida em módulos. Exemplos: SAP/ CRM/
SCM/ BPM entre outros
- ERP (Enterprise Resource Planning – Sistema Integrado de
Gestão Empresarial)
Quando surgiu? Década de 80, com foco em Manufatura
(MRP II)
O que mudou? Agilidade nos processos/ Integração
multidepartamental/ Agregação de Finanças, Compras,
vendas, Recursos Humanos
Fornecedores: SAP, Infor, Oracle, TOTVS,
Microdata
Ganhou força na década de 90
Sistemas na Indústria Farmacêutica – Escopo de TI
Nível 4 (cont.) - CRM (Customer Relationship Management/ Gestão de
Relacionamento com o Cliente)
O que engloba? Vendas (incluindo e-commerce)/ Serviço
ao Cliente/ Planejamento de Marketing
O que mudou? Agilidade nos processos/ Análise precisas
dos dados
Fornecedores: SAP, Oracle, Microsoft, SalesForce.com
Sistemas na Indústria Farmacêutica – Escopo de TI
Nível 4 (cont.) - SCM (Supply Chain Management – Gestão da Cadeia de
Suprimentos
O que engloba? Toda a cadeia de logística da empresa -
Produtores/ Transportadores/ Distribuidores/ Varejistas/
Clientes/ Fornecedores de Serviços
Exemplos de Softwares que podem estar separados do
ERP: Planejamento de Produção/ gestão de transporte e frete/
Sistema de Compras
Fornecedores: diversos
Ganhou força na década de 90
Sistemas na Indústria Farmacêutica – Escopo de TI
Nível 4 (cont.) - BPM (Business Process Management – Gestão dos
Processos de Negócio
O que engloba? Modelagem/ Simulação/ Execução/
Controle/ Otimização
Ligações: SOA (Arquitetura Orientada a Serviços),
Validação de Sistemas e Ciclo de Vida de Sistemas
Fornecedores: Aris, Softexpert, etc
Sistemas na Indústria Farmacêutica – Escopo de TI Nível 3 Sistemas que cobrem dentro de uma mesma área, diversos
processos, dividido em módulos. Cobre oficialmente
Produção, Qualidade, Logística e Manutenção.
Exemplos: MES/ LIMS/WMS/DMS/LMS entre outros
- MES (Manufacturing Execution System) – Sistema de Execução de
Manufatura)
- LIMS (Laboratory Information Management System) – Sistema de
Gestão de Laboratório
- WMS (Warehouse Management System) – Sistema de Gestão de
laboratório
- DMS (Document Management System) ou GED (Sistema de Gestão
Eletrônica de Documentos) *
- LMS (Learning Management System) – Sistema de Gestão de
Treinamento *
Para Pensar.....
Sistemas de Call Center
Sistemas de Controle de Acesso Físico
Sistemas de Submissões a ANVISA
Sistemas de Controle de Chamados
Sistema Controle de Amostras Grátis
Planilhas Excel – Um caso a parte?
Documento Oficial x Não oficial - Conceito
Documentos Oficiais – São os que contem em
forma escrita ou gravada a posição e/ou intenção final
da empresa relativa à matéria específica do
documento, ou que são mantidos para satisfazer
exigências legais, regulatórias ou empresariais.
Tempo de Retenção – Tempo necessário por
questões legais e/ou regulatórias para a guarda do
documento.
Local de arquivamento – Local aonde estes
documentos oficiais serão armazenados
Registro Eletrônico
Formato que permite a substituição do registro no papel por meio
eletrônico.
Para tal deve atender aos seguintes requisitos:
- Possibilidade de recuperação das informações
registradas;
- Garantia de recuperação de informações registradas ao
menos pelo período de retenção, mesmo após a
descontinuidade do sistema;
- Segurança e inviolabilidade dos dados contidos nos
bancos de dados do sistema, que não deverá ser acessível
para modificações, mesmo que a impressão dos dados seja
aplicável;
- Criação de trilha de auditoria.
Guia de Validação de Sistemas Computadorizados (Ref: 21.3) – ANVISA / 2010
Registro Eletrônico não caminha obrigatoriamente em conjunto com
Assinatura Eletrônica
Entendendo a Trilha de Auditoria (Audit Trail)
A Trilha de Auditoria é uma coleção de arquivos de log de texto que
contêm informações sobre a interação entre o usuário e as ações
executadas internamente no sistema que gerenciam determinado
processo.
Ao usar a Trilha de Auditoria, você pode gerar
relatórios sobre as mudanças do sistema e do
processo.
# A Trilha de Auditoria pode ocupar muito espaço em um servidor.
Se você ativar a auditoria, implemente um procedimento de
arquivamento para mover regularmente os arquivos gerados pela
Trilha de auditoria para outro computador, por exemplo.
Detalhando a Trilha de Auditoria
A trilha de auditoria deve:
Automática Ser gravada no momento em que a ação (registro eletrônico) ocorre, sendo criação, exclusão ou modificação
Segura Estar devidamente armazenadas e não podem ser alteradas
Cronológica e Localizável Possuir registro de data, hora, pessoa e local em que foram geradas
Rastreável Informações anteriores devem ser mantidas e quando necessário, justificativas devem estar registradas
Disponível Ser de fácil entendimento a todos os que necessitam (incluindo a Agência Regulatória)
Trilha de Auditoria – Quando Começar?
A Trilha de Auditoria deve se iniciar no momento que iniciarei um
processo relevante, notando que não é necessário que cada tecla
acionada seja gravada.
Ex: Processo de Pesagem de Matéria Prima
Trilha de auditoria:
- Data / hora e quem iniciou o processo e de qual cabine (caso exista
alteração de operador, ou mudança de local durante o processo o
mesmo deverá ficar registrado)
- Seleção da ordem a ser pesada (caso o operador selecione uma
ordem incorreta porém não salve, o sistema não registrará este
momento)
- Leitura das etiquetas – Neste caso como a leitura e salva desta
informação ocorre simultaneamente, caso exista uma leitura
incorreta a mesma ficará gravada, devendo estar registrado data,
hora, pessoa e local em que foi feita
- Parâmetros da Pesagem – Registro de peso, variações e possíveis
justificativas devem ficar registradas
Trilha de Auditoria – Detalhes que fazem a diferença
1 - Que horário devo levar em consideração para o registro
das ações?
A documentação do sistema deverá esclarecer detalhes sobre o
fuso horário utilizado, bem como localização ou outras
convenções de nomenclaturas. # Especial atenção a sistemas globalizados – Ex: Servidor na
Alemanha e utilização no Brasil.
2 - Como registrar data e hora?
Para registro da precisão necessária o processo deverá ser
levado em consideração, usualmente hora e minuto são
utilizados, porém um processo pode requerer uma melhor
precisão com relação ao registro. Toda a definição deve constar
na documentação do sistema e como recomendação, na análise
de riscos elaborada.
Trilha de Auditoria – Detalhes que fazem a diferença
3 - Como registrar usuário?
O sistema, e consequentemente seu registro, deverá garantir
que o registro do usuário é único e inquestionável com relação
ao pertencimento.
# Como garantir que realmente quem está registrado foi quem
realmente executou a ação?
- Controle de Acesso:
*Físico
*Sistema – Incluindo o acesso a banco de dados
49
Assinaturas Eletrônica/ Digital
Substituí o papel pelo sistema? Se sim:
Preciso assinar no papel => Preciso assinar eletronicamente
# Realmente a assinatura por um representante legal é solicitada ou um de
acordo é aceito?
Ok, realmente preciso da Assinatura Eletrônica... O que
eu faço?
Assinaturas Eletrônica/ Digital Entendo melhor
Assinatura Digital - Método para autenticação de informação digital,
fornecendo prova inegável de que uma mensagem veio de um emissor.
Contempla para tal, as seguintes propriedades:
- Autenticidade: O receptor deve poder confirmar que a assinatura foi feita
pelo emissor
- Integridade: Qualquer alteração da mensagem faz com que a assinatura
não corresponda mais ao documento
- Irretrabilidade ou Não repúdio – O emissor não pode negar a autenticidade
da mensagem
Assinatura Eletrônica – Qualquer mecanismo, não obrigatoriamente
criptografada, para identificar remetente de uma mensagem eletrônica (ex:
Transmissão por fax de assinatura manuscrita)
Certificado Digital (Reconhecimento de Firma) - O certificado digital é um
documento eletrônico assinado digitalmente por uma autoridade certificadora, e
que contém diversos dados sobre o emissor e o seu titular.
Assinatura Digital não é Assinatura digitalizada
Assinaturas Eletrônica/ Digital
O que controlar em uma assinatura digital?
- Conteúdo do documento precisa estar vinculado a assinatura
- Qualquer alteração no documento a assinatura perde a validade
- Vulnerabilidades do sistema (acessos a banco de dados, etc)
- Garantia de que a assinatura pertence realmente a pessoa em questão
- Demais formas de garantir a autenticidade da assinatura (registros eletrônicos
de data, hora, local da assinatura, por exemplo)
- Auditorias no sistema para garantia das assinaturas que estão sendo
realizadas
- Mudanças em hardware podem significar mudanças na comprovação da
assinatura (mobiles, etc)
O que é integridade de dados
Termo utilizado usado para indicar que os dados não
sofrerão modificações indesejadas.
Em termos de dados farmacêuticos
devemos manter e assegurar que os dados
são:
• Exatos, verdadeiros
• Completos
• Consistentes
Integridade de Dados – Visão geral
Manuais
• Papeis escritos manualmente
Eletrônicos
•Equipamentos
•Sistemas computadorizados
Falhas na integridade de dados
Omissão Erro Alteração
inadequada Descarte Destruição
Intencional Não Intencional
Ambas são violações BPF e estão sujeitas a
sansões
O dado deve ser “ALCOA”
Integridade de Dados - EMA
A Attributable to the person generating the
data
L Legible and permanent
C Contemporaneous
O Original (or true copy)
A accurate
Organização na Prática
59
Alta Liderança
Definição do Data Integrity Officer
Construção da Cultura
Envolvimento Comunicação e RH
Envolvimento Time Técnico
Envolvimento Todos
Constância no tópico
Organização na Prática
60
Alta Liderança
- Qual a importância deste assunto para a sobrevivência da organização?
- Qual “minha” crença pessoal sobre integridade?
- Existe consenso na estratégia entre departamentos?
Organização na Prática
61
Definição do Data Integrity Officer - Qual perfil desejado para este profissional?
- Qual o grau de independência desta função?
- Qual a importância dada a esta função e seus
apontamentos na empresa?
Organização na Prática
62
Construção da Cultura
-Qual a visão dos funcionários com relação a integridade?
- Ética e Integridade estão vinculados aos valores da empresa?
-A liderança está alinhada sobre o conceito
que será trabalhado e apoiam a
participação dos funcionários?
-Qual pontos está sua empresa hoje e para aonde quer ir?
Organização na Prática
63
Envolvimento Comunicação e RH
- Como toda a estratégia definida até agora sairá do papel?
- O que se diz é o que se faz?
- Algum processo precisa ser realinhado?
- É possível se falar abertamente sobre as mudanças e adaptações
necessárias?
Organização na Prática
64
Envolvimento Time Técnico
Existe uma análise dos riscos técnicos existentes para o tópico
Integridade?
Os profissionais da empresa estão devidamente envolvidos:
- Qualidade
- Informática e Engenharia
- Regulatória e Pesquisa Clínica
- Atendimento ao Cliente
- Compras e Jurídico
Organização na Prática
65
Envolvimento Todos
-O Plano de Comunicação está sendo colocado em
prática?
- Existe um canal aberto de comunicação?
- Exemplos relacionados ao dia-a-dia estão
disponíveis nos treinamentos?
- O que a empresa considera “certo ou errado” é
claro a todos?
Organização na Prática
66
Constância no tópico
- O Plano de Comunicação possui reciclagem?
- As Auto Inspeções consideram Integridade de dados?
- As Revisões Periódicas estão envolvendo o tópico Integridade?
- Os riscos estão sendo reanalisados?
- O Data Integrity Officer é atuante e possui “voz” na empresa?
Organização na prática – alguns exemplos
67
Abordagem e estratégia
• Elaborar políticas e programas relacionados a integridade de dados e proteção da informação
• Considerar o gerenciamento de integridade de dados em todas as etapas do ciclo de vida do produto e nos processos paralelos, juntamente com formato para manter estas informações protegidas
Análise e Controle dos riscos
• Elaborar planos e estratégias para garantir que os riscos estão adequadamente gerenciados
68
Monitoramento contínuo
• Elaborar guias, procedimentos e realizar treinamentos
• Inspeções rotineiras para implementar medidas preventivas
• Colaboradores devem estar cientes e concientes
Inclusão do tema em reuniões de qualidade
• Devem ser discutidos os controles e desempenho das atividades relacionadas a integridade de dados e proteção da informação
Organização na prática – alguns exemplos
69
Alinhamento dos conceitos
• Assegurar que as práticas e procedimentos estão alinhados com os requisitos para se assegurar a integridade dos dados
• Boas práticas de documentação
Aquisição automática e eletrônica de dados
• Os equipamentos e sistemas devem estar adequadamente planejados, qualificados, validados, controlados e operar em rotina de forma apropriada.
Organização na prática – alguns exemplos
Proteção da Informação...Voltando no assunto
70
Criação / Elaboração
Utilização
Manuseio
Armazenamento
Destruição
Disposição
A propriedade intelectual, bem como as informações de uma empresa é hoje o
seu maior “tesouro”
Protegendo a informação na prática - Quem deverá participar do tópico tratado?
- Quem pode acessar as informações que estão circulando?
- É necessário um acordo de confidencialidade com os envolvidos?
- Em qual local físico este assunto deverá ser tratado?
- Existe a necessidade de compartilhamento de arquivo?
- Qual o melhor local eletrônico para compartilhamento de arquivo?
- Cloud computing.....
- Tradução de palavras, textos e documentos....
- Qual período esta informação deverá ser retida?
- Em caso de tecnologia, a mídia está preparada para o tempo previsto?
- Armazenamento em local com controle de acesso?
- As “mesas” estão limpas?
- A informação foi corretamente destruída?
71
Balanceando “Compartilhamento” com “Proteção da Informação”
- Conversas em local público
- Mídias Sociais
- Telefonemas suspeitos
- Acessos e Senhas
- Valor da Assinatura Digital
- Utilizando o e-mail corretamente (criptografia?)
72
Conclusões
Integridade de dados e proteção da
informação são fatores primordial
para determinar a credibilidade da
Indústria
Somente com conscientização e
acompanhamento é possível termos
dados íntegros e protegidos
Momento Reflexão
• Será????
• https://www.youtube.com/watch?v=T58YJ_9u6DI
• O Ideal:
• https://www.youtube.com/watch?v=UUckYjoySBc
74
Exemplos de falhas de integridade de
dados
Assinaturas em atividades realizadas por outras
pessoas
“Backdating” (colocar uma data anterior)
Dados originais descartados e registros destruidos
Entrada posterior de dados/ não registro no momento
do evento
Omissão de dados e falta de investigação adequada
para resultados analíticos fora de especificação.
Falsificação de dados
Pre-entrada de dados antes da fabricação do lote
Exemplos de falhas de integridade de
dados
Assinaturas em documentação durante inspeção
(treinamentos, etc)
Dados removidos ou alterados
Falta de controles de sistemas eletronicos para
impedir alterações não autorizadas (controle de
acesso)
Falhas ou não realização de back ups de sistemas
eletrônicos.
Materiais e amostras não identificadas corretamente
Bônus • Invasão da Sony Picture (2014) – Ciberterrorismo – Governo dos EUA
atribuiu a Coréia do Norte a invasão que destruiu sistemas da Sony e cancelou o filme “A Entrevista”.
78
Milhões de Cartões de Crédito roubados do Varejo Americano - Invasores conseguiram instalar pragas digitais em computadores das redes de varejo Target e Home Depot para capturar dados de milhões de cartões de crédito.
Só no caso da Target, as estimativas mais conservadoras apontam a violação de 40 milhões de dados de cartões de crédito, podendo chegar a 100 milhões.
Garoto de 5 anos usa
brecha para jogar X-box
one. Os pais de Kristoffer Von Hassel
proibiram o garoto de cinco anos de
jogar videogames mais violentos e
adultos. Para que a regra fosse
cumprida, o menino usava uma conta
diferente no Xbox One, com restrições
parentais. No entanto, o garoto acabou
descobrindo que podia entrar na conta
do pai preenchendo apenas barras de
espaço na senha. Quando os pais de
Kristoffer notaram que ele estava
jogando o que não devia, perguntaram a
ele como conseguiu. O menino recebeu
jogos e um agradecimento da Microsoft,
que teve de realizar uma mudança na
programação para eliminar a
vulnerabilidade.
Estruturação de Políticas e Procedimentos
Inventário Geral dos Sistemas Computadorizados
Plano Mestre de Validação (incluindo Inventário de
validação – sistemas computadorizados com
impacto BPx)
Avaliação da Criticidade Regulatória - (se o sistema
computadorizado é BPx ou não)
Cronograma de validação
Papéis e Responsabilidades
Requisitos do Usuário
Especificação Funcional/ Projeto
Especificação Design/Técnica
Qualificação de Fornecedor
Testes desenvolvimento (SAT/ FAT)
Planejamento
Plano de Validação/ Relatório de Validação
Análise de Riscos
Qualificação de Infra-Estrutura - servidores/ data
center/hardwares/obsolescências
Qualificação de Instalação
Qualificação de Operação
Qualificação de Desempenho
Matriz de rastreabilidade
Manutenção do Estado Validado (controle de acessos/
controle de mudanças/ backups/ recuperação / log books/
revisão periódica/período de guarda da informação).
Descomissionamento (descontinuidade/aposentadoria/
guarda da informação)
Planejamento
Assinaturas e Registros Eletrônicos
Validação de Planilhas Excel
Integridade de Dados
Qualificação de Infraestrutura
Etc.....
Planejamento
Detalhes de como a empresa pretende
trabalhar
Consenso entre os técnicos e a alta direção
Área de Qualidade essencial neste
processo
Estruturação de Políticas e Procedimentos
Estabelecimento de um Plano único de Validação
para a empresa
Sistema Computadorizados inserido no mesmo
contexto
Cronograma da Validação
Papéis e Responsabilidades
Controles existentes na empresa
Requisitos de qualidade e demais requerimentos
Plano Mestre de Validação
Identificação dos sistemas computadorizados
existentes
Identificação de Planilhas e outras formas de controle
Identificação da Infra estrutura da empresa –
Servidores e seus componentes
Envolvimento de todas as áreas
Avaliação de Criticidade
Aprovação formal
Revisão constante
Inventário Geral
Priorização: Foco na qualidade e segurança do
produto/ integridade do dados
Primeira análise de riscos do processo de controle –
Alta criticidade = Maior Impacto = Maior
Prioridade de Validação
Cronograma formal com datas e prazos – de acordo
com a estratégia individual de cada empresa
Avaliação de Criticidade e Priorização da Validação
Qualidade começa na aquisição;
Baseada em informações documentadas e
confiáveis;
Especial cuidado aos conflitos de interesse.
Avaliação de Fornecedores
• Anterior ao início do processo de Validação de Sistemas
• Cada atividade deverá ter um responsável
• Sugestão de papéis:
Definição de Papéis e Responsabilidades
Dono do Sistema Qualidade
Usuário Chave
Especialistas em Validação de
Sistemas
Equipe Técnica
Fornecedor
Documentação - Geral
Requisito de Usuário
Especificação Funcional
Especificação de Projeto
Especificação de Design/ Técnica
Testes em Desenvolvimento
Qualificação Instalação
Matriz de Rastreabilidade
Qualificação Operação
Qualificação Performance
Planejamento e Controle Implementado:
- Processo de passagem eficiente (Handover)
- Processo de Controle de Mudanças
- Procedimentos implementados
- Controle dos incidentes/ problemas do sistema
- Monitoramento constante
- Processo CAPA também aplicado a sistemas
- Revisão Periódica
Manutenção do Estado Validado
E para os legados...???
Ponto Inicial : Requerimento claro do que o sistema
necessita (processo e regulatório)
Posterior: Execução de Análise de Riscos
identificando quais pontos necessários de controle x
requerimento
Decisão de como prosseguir!
Aposentando o Sistema Computadorizado
Chegou a hora...e agora? O que preciso fazer?
O descomissionamento ou simplesmente “aposentadoria” de
um sistema precisa ser planejado levando-se em consideração:
- Dados armazenados são oficiais ou não?
- Tempo de retenção destes dados?
- Aonde os dados destes sistemas ficarão armazenados?
- Como será preparado o ambiente para consulta futura?
# Sistemas armazenado sempre possuem custos
• A ORGANIZAÇÃO DO TRABALHO EM INFORMÁTICA: RUMO À FLEXIBILIDADE? Clevi E. Rapkiewicz e Lidia M Segre - Engenharia de Produção, Universidade Estadual do Norte Fluminense (UENF)
• REDES DE COMUNICAÇÃO PARA SISTEMAS DE AUTOMAÇÃO INDUSTRIAL Orientadora: Professora Dra. Karla Boaventura Pimenta
Ouro Preto , Escola de Minas – UFOP, Agosto/2009
• GUIA DE VALIDAÇÃO DE SISTEMAS – ANVISA/ 2009
• GUIA DE QUALIFICAÇÃO E VALIDAÇÃO – Sindusfarma/ 2016
Bibliografia