¿Cómo mantener los sistemas informatizados en fase operativa?

La entrega es el proceso de transferencia del sistema informático de la fase de proyecto a la fase operativa. Generalmente incluye las siguientes actividades:

El estado validado del sistema debe confirmarse mediante pruebas documentales (aprobación de certificados de liberación, informes de validación). Se debe confirmar la disponibilidad del uso del sistema y los procesos de soporte (por ejemplo, procedimientos actualizados, personal clave capacitado, etc.). La configuración y los componentes de la aplicación deben estar protegidos para llevar a cabo la recuperación ante desastres, así como la inclusión de datos, componentes de la aplicación y configuración en los programas de copia de seguridad.

La migración de datos se ha completado con éxito de acuerdo con un plan de migración de datos y su informe.

Sehancompletadolasactualizacionesdelabasededatos/listadeelementosdeconfiguracióndeadministracióndeconfiguración.Sehanrealizadoactualizacionesenelinventariodelsistemaoenlabasededatosdegestióndelaconfiguraciónpararegistrarquesehancompletadolosnuevoscomponentesdelsistema,módulooinfraestructura.

Se sugiere una transferencia formal de documentación/registros para garantizar que todos los conocimientos adquiridos durante las fases anteriores de CSV (concepto, proyecto) se hayan transferido correctamente a los roles apropiados (propietario del proceso, propietario del sistema, SME). La transferencia de conocimiento y responsabilidad incluye los conocimientos y experiencias del equipo involucrado en el proyecto para mejorar la eficiencia en proyectos futuros y debe ser consensuada entre ambas partes.

Dependiendo de la complejidad del sistema, se requerirá un período de Hipercuidado o Hipercuidado. En este período, las actividades pasan del equipo del proyecto al equipo de soporte de acuerdo con criterios definidos. El período de Hipercuidado debe definirse previo a la implementación del sistema en su uso operativo. La duración del apoyo continuo del equipo del proyecto debe estar determinada por el nivel de preparación de la empresa para operar el sistema, en caso de que se requieran sistemas más novedosos o complejos durante más tiempo.

Establecimiento y gestión de los servicios de apoyo

El proceso de establecimiento y gestión de los servicios de apoyo garantiza que los servicios de apoyo (internos o externos) estén debidamente documentados y gestionados. Cuando se requieran servicios externos, debe existir un acuerdo formal que defina los servicios y las responsabilidades del proveedor de servicios.

Establecer un acuerdo de servicio: Normalmente, acuerdos de nivel de servicio o SLA. Estos SLA describirán las responsabilidades del proveedor y de la empresa regulada. Además, la empresa regulada puede exigir que el servicio prestado cumpla los requisitos de un acuerdo de calidad.

Los acuerdos de nivel de servicio deben exigir el establecimiento de:

Las responsabilidades pueden transferirse a proveedores alternativos. La rescisión del contrato debe hacerse para reducir el impacto en el servicio del sistema .

La supervisión del sistema se utiliza para controlar y notificar los fallos, la disponibilidad, el rendimiento y los problemas de seguridad del sistema. La información obtenida a través de los procesos de supervisión puede utilizarse para anticipar y responder a los incidentes del sistema y mejorar los controles del entorno. Las actividades de supervisión deben basarse en los riesgos empresariales, la seguridad de los pacientes, la calidad de los productos y la integridad de los datos, así como en las amenazas externas.

Al visualizar el rendimiento de su sistema, puede detectar a tiempo cualquier problema y mitigarlo antes de que se produzca; los problemas pueden abordarse mediante la gestión de incidentes y problemas. La supervisión puede realizarse con herramientas como monitores de rendimiento, archivos de registro e informes de errores.

Un incidente se refiere al efecto de una interrupción no planificada de un servicio o a la reducción de la calidad del servicio, normalmente vinculada a una brecha en el SLA, a la observación de los usuarios o a la información procedente de las herramientas de supervisión.

Los problemas están relacionados con la causa raíz de uno o más incidentes. Pueden notificarse en respuesta a un único incidente o a varios incidentes relacionados.

La forma de llevar a cabo cada uno de los procesos debe ajustarse a procedimientos establecidos. La gestión de incidentes ayuda a clasificar los incidentes y dirigirlos a la vía más adecuada para resolverlos a tiempo, mientras que la gestión de problemas implica analizar las causas raíz y evitar que se produzcan incidentes en el futuro.

CAPA son las siglas de Corrective and Preventive Action (Acciones Correctivas y Preventivas), que es un enfoque sistemático para identificar y abordar la calidad. ¿cómo? Mediante la corrección y la prevención. La corrección es una medida reactiva que aborda un problema inmediato, mientras que la acción correctiva implica investigar la causa raíz del problema y aplicar medidas para evitar que se repita. La acción preventiva pretende anticipar y abordar los problemas potenciales antes de que se produzcan y es una medida proactiva para reducir o eliminar la probabilidad de que surjan problemas en el futuro.

Una vez detectado un incidente o problema, el CAPA puede utilizarse para poner en marcha acciones destinadas a solucionar el problema, lo que puede incluir la corrección de errores, el parcheado de vulnerabilidades de seguridad y la mejora de procesos. El CAPA también nos ayuda a evitar que se repitan, lo que puede incluir cambios en las políticas y procedimientos, formación de los empleados, etc.

Los CAPA eficaces investigan y resuelven los problemas, identifican las causas, adoptan medidas correctivas y evitan que se repitan. El proceso CAPA debe establecerse en los procedimientos locales y derivar acciones basadas en el riesgo y el impacto en la seguridad del paciente, la calidad del producto y la integridad de los datos.

La gestión de cambios es una parte esencial del mantenimiento de los sistemas informáticos. Implantar un proceso para gestionar los cambios en los sistemas puede ayudar a garantizar su buen funcionamiento y minimizar el riesgo de interrupciones. La gestión de cambios incluye los cambios en los elementos de configuración (por ejemplo, procesos empresariales, software de aplicación, configuración de aplicaciones, datos, infraestructura informática, servicios, etc.).

No todos los cambios de configuración deben gestionarse mediante el mismo proceso de gestión, por lo que es importante crear un procedimiento que nos ayude a identificar, definir y establecer una línea base de elementos de configuración para gestionar las actividades necesarias para evaluar y aplicar los distintos tipos de cambios.

Mediante la realización de revisiones periódicas, podemos detectar si todos los puntos comentados anteriormente se han visto afectados y el estado validado del sistema se ve afectado. Se deben evaluar y valorar los impactos sobre la integridad de los datos, los requisitos normativos y la idoneidad para el uso previsto, en caso de que exista un impacto, puede ser necesaria una revalidación de nuestro sistema .

Las revisiones periódicas deben realizarse de acuerdo con un proceso predefinido en un intervalo adecuado al impacto y al historial operativo del sistema.

Es importante definir los pasos y las eventualidades para realizar la copia de seguridad y la restauración (Backup and Recovery) del sistema. Las copias de seguridad periódicas de los datos pueden ayudar a recuperarlos rápidamente en caso de fallo del sistema o corrupción de los datos. Los procedimientos de restauración también deben documentarse y probarse para garantizar que no se produzca ninguna pérdida de datos durante el proceso.

Debe contar con un Plan de Continuidad de Negocio (PCN) que defina los procesos alternativos a seguir durante la interrupción. Pueden ser procesos manuales o con sistemas informáticos alternativos y deben ser capaces de volver a un nivel de funcionamiento durante el fallo o mantener la empresa operativa durante la catástrofe.

Catástrofes como los desastres naturales, los cortes de electricidad o los ciberataques pueden causar daños importantes a los sistemas informáticos. Como un subconjunto del Plan de Continuidad de Negocio, debe haber un plan de recuperación de desastres en su lugar para ayudarle a recuperarse rápidamente de tales incidentes, este plan debe ser ensayado para que pueda ayudarnos a minimizar los efectos de un desastre.

Conclusión

Realizar revisiones periódicas y llevar a cabo un mantenimiento regional, auditorías de seguridad y formación de los empleados, junto con disponer de un plan de recuperación ante desastres e invertir en herramientas de supervisión y gestión, son los pasos esenciales que debe dar para mantener su sistema informático bajo control y en cumplimiento de la normativa .

¿Necesita ayuda para configurar sus pruebas de software automatizadas? ¿O tiene más preguntas? Nuestros expertos estarán encantados de ayudarle.