Walidacja usług chmurowych. Jak minimalizować ryzyko związane z implementacją SaaS, PaaS i IaaS?

Walidacja usług chmurowych. Jak minimalizować ryzyko związane z implementacją SaaS, PaaS i IaaS?

Migracja do chmury to sposób na redukcję kosztów i zwiększenie wydajności biznesowej. Dlatego firmy coraz chętniej decydują się na taki krok. W branżach farmaceutycznej i life science sytuacja wygląda nieco inaczej ze względu na konieczność przestrzegania szeregu norm bezpieczeństwa. Na szczęście ryzyko związane z wdrożeniem systemu cloudowego można skutecznie zminimalizować dzięki walidacji. Pod warunkiem, że zostanie ona przeprowadzona we współpracy z doświadczonym partnerem.

Aplikacje chmurowe to obecnie chleb powszedni wielu firm, również tych spoza branży IT. Pod tym pojęciem kryją się zarówno proste narzędzia, jak i zaawansowane systemy. Usprawniają one szereg procesów biznesowych, zapewniają szybki dostęp do zasobów, nie wymagają utrzymania ze strony użytkownika, a przede wszystkim są tańsze niż oprogramowanie stacjonarne, instalowane na firmowych komputerach.

Nic dziwnego, że aplikacje cloudowe zyskują popularność również w branżach farmaceutycznej i life science. Ich upowszechnienie spowalniają jednak wysokie standardy z zakresu compliance i bezpieczeństwa, obowiązujące w tych gałęziach biznesu. Dodatkową przeszkodą jest fakt, że nie wszyscy dostawcy usług chmurowych są w stanie sprostać tym normom.

Computer Software Validation (CSV) i Software Quality Assurance (SQA): sposób na zmniejszenie ryzyka przy wdrażeniu usług chmurowych

Warto zaznaczyć, że mimo ewidentnych zalet aplikacje chmurowe nie są zupełnie wolne od słabych stron. Dotyczą one m.in. ograniczonej kontroli nad takim systemem i zależności od zewnętrznego dostawcy. Konkretne czynniki ryzyka mogą zależeć od danej sytuacji. Choć nie sposób ich uniknąć, to jednak można je skutecznie minimalizować. Do tego celu służą procedury z zakresu Computer Software Validation (CSV) i Software Quality Assurance (SQA), ze szczególnym uwzględnieniem audytu dostawcy (ang. Supplier Audit, SA) i oceny ryzyka (ang. Risk Assessment, RA).

Pozwalają one upewnić się, że określone rozwiązanie chmurowe:

– spełnia standardy branżowe i określone dla branży wymagania prawne,

– zapewnia wysokiej jakości rezultaty,

– jest dobrze dopasowane do celów biznesowych firmy,

– dostarcza maksimum korzyści przy możliwie najmniejszym ryzyku.

Zanim zajmiemy się głębiej kwestią walidacji, poświęćmy kilka zdań przypomnieniu podstawowych cech rozwiązań chmurowych oraz korzyści, jakie mogą zapewnić biznesowi, w tym firmom z branż farmaceutycznej i life science.

Przetwarzanie w chmurze: główne modele i cechy chmury obliczeniowej

W najszerszym ujęciu chmura obliczeniowa (ang. cloud computing) to kategoria usług polegająca na zdalnym udostępnianiu narzędzi, mocy obliczeniowej czy urządzeń IT przez zewnętrznego dostawcę. Chmura obejmuje zatem oprogramowanie, narzędzia analityczne, bazy danych, a także  serwery i hosting. Przetwarzanie w chmurze zapewnia elastyczny dostęp do zasobów cyfrowych i ułatwia firmom skalowanie swoich przedsięwzięć oraz wdrażanie innowacji. Przekłada się to na optymalizację procesów biznesowych i zmniejszenie kosztów operacyjnych.

Cloud computing kojarzony jest zwykle z trzema akronimami: SaaS, PaaS i IaaS, z których najpopularniejszy jest ten pierwszy. Odnoszą się one do trzech modeli usług chmurowych, obejmujących, odpowiednio, dostarczanie software’u, środowiska developerskiego (ang. platform) lub infrastruktury. Zastosowanie poszczególnych modeli eliminuje konieczność wdrożenia analogicznych rozwiązań w trybie stacjonarnym (in-house), które w dłuższej perspektywie są droższe i mniej wydajne.

Istnieje pięć kluczowych cech przetwarzania w chmurze:

1) samoobsługa na żądanie (ang. on-demand self-service) – konsument może korzystać z usługi w dowolnym momencie bez interakcji z człowiekiem po stronie dostawcy;

2) szeroki dostęp do sieci (ang. broad network access) – dostęp do usługi można uzyskać z szerokiej gamy urządzeń i praktycznie dowolnej lokalizacji z dostępem do internetu;

3) agregacja zasobów (ang. resource pooling) – zasoby są agregowane w obrębie wspólnej infrastruktury i dynamicznie przydzielane oraz zwalniane na życzenie;

4) błyskawiczna elastyczność (ang. rapid elasticity) – usługi są łatwe do skalowania w sposób odpowiadający bieżącym wymaganiom klienta;

5) mierzalność usług (ang. measured service) – usługa chmurowa automatycznie monitoruje i optymalizuje wykorzystanie zasobów.

Niższe koszty, wyższa wydajność – najważniejsze zalety rozwiązań chmurowych

Technologie cloudowe zapewniają firmom szereg korzyści biznesowych i operacyjnych. Do najważniejszych zalet przetwarzania w chmurze należą:

– ograniczenie do minimum kosztów sprzętowych,

– ograniczenie kosztów magazynowania i przetwarzania danych oraz utrzymywania systemów informatycznych,

– zwiększona wydajność i elastyczność procesów biznesowych i technologicznych,

– nieograniczony geograficznie dostęp do zasobów,

– wysoki poziom bezpieczeństwa danych: ochrona przed utratą i nieautoryzowanym dostępem.

Korzyści wynikających z przetwarzania w chmurze jest więcej. W efekcie na usługi spod znaku SaaS decyduje się coraz więcej firm, którym zależy na zwiększeniu wydajności, ograniczeniu kosztów i maksymalizacji przychodów. W przypadku przedsiębiorstw działających w branżach regulowanych i obszarach o podwyższonym ryzyku biznesowym sprawa jest nieco bardziej złożona.

Mimo że rozwiązania chmurowe zwykle zapewniają wysoki poziom bezpieczeństwa danych, to jednak nie zawsze spełniają standardy z zakresu compliance, jakim muszą sprostać firmy z branży farmaceutycznej czy life science. Kluczowym obciążeniem jest zależność od dostawcy usługi. Może się ona wiązać z utratą dostępu do zasobów czy naruszeniem integralności danych (zmianie ich treści w sposób nieautoryzowany). Problem stanowią również kwestie prawne, np. związane z zabezpieczeniem danych czy ich przetwarzaniem w zgodzie z wymaganiami RODO.

Podstawy walidacji: audyt dostawcy i ocena ryzyka

Powyższe wyzwania nie powinny powstrzymywać firmy przed migracją do chmury. Z prostego powodu: takie zaniechanie wiąże się z wymiernymi stratami. Przeprowadzka do środowiska cloudowego powinna jednak być przeprowadzona w sposób maksymalnie kontrolowany i z pomocą doświadczonego partnera zewnętrznego. Kluczowym warunkiem udanej migracji jest walidacja wdrażanego rozwiązania. Poddanie aplikacji chmurowej procedurom z zakresu CSV czy SQA znacząco zmniejsza ryzyko braku zgodności (non-compliance) i eliminuje ewentualne luki bezpieczeństwa.

Warto zaznaczyć, że rezultaty walidacji systemu chmurowego mogą być niekompletne z powodu braku pełnego dostępu do jego mechaniki oraz ograniczonej znajomości polityki i praktyk dostawcy rozwiązania. Dlatego w celu zapewnienia maksymalnej przejrzystości i uniknięcia niezgodności prawnej wdrożenie systemu cloudowego powinno zostać poprzedzone audytem dostawcy i oceną ryzyka. Konkretny sposób postępowania może się różnić w zależności od rodzaju usługi objętej weryfikacją, ale co do zasady procedury realizowane w ramach SA i RA mają zbliżony charakter.

W ramach audytu dostawcy sprawdzana jest przede wszystkim zgodność usług świadczonych przez dostawcę z branżowymi standardami jakości, procedury wsparcia i przywracania systemu oraz specyfikacja techniczno-funkcjonalna. Z kolei podczas analizy ryzyka badamy potencjalne zagrożenia związane z poziomem zaufania do dostawcy rozwiązania, kontroli nad obsługiwanym narzędziem, współdzieleniem odpowiedzialności czy jakością dostarczanych usług. Bierzemy też pod lupę standardy pracy firmy zajmującej się wdrożeniem systemu chmurowego.

Jeśli audyt dostawcy i ocena ryzyka wykażą, że usługa i dostawcą spełniają standardy jakości oraz wewnętrzne wymagania klienta, możemy przejść do kolejnych etapów walidacji. Obejmują one:

– specyfikację wymagań użytkownika,

– plan walidacyjny,

– testy akceptacyjne,

– raport walidacyjny,

– umowę o gwarantowanym poziomie świadczenia usługi,

– operacyjny plan wsparcia.

Nie będziemy tu rozwodzić się na temat powyższych procedur, ponieważ odnoszą się one do dobrze znanych standardów branżowych. Z ich szczegółowym omówieniem można zapoznać się, oglądając nagranie naszego webinaru dostępne w serwisie YouTube: https://www.youtube.com/watch?v=44FrG-yI7CQ .

Case study: walidacja systemu chmurowego służącego do serializacji

Teraz przyjrzyjmy się, jak wygląda walidacja w praktyce na przykładzie konkretnego wdrożenia. Jedno ze zleceń, jakie realizowaliśmy w tym obszarze, dotyczyło działającego w chmurze systemu do serializacji. Mieliśmy do czynienia z dwoma dostawcami usług chmurowych. Jeden z nich odpowiadał za infrastrukturę, drugi – za oprogramowanie. Kwestia, która stanowiła szczególne wyzwanie, dotyczyła bezpiecznej wymiany danych z zewnętrznymi podmiotami.

Proces walidacji skupiony był na czterech obszarach:

1) ocenie ryzyka,

2) audycie dostawcy,

3) dokumentacji projektowej,

4) operacyjnym planie wsparcia.

Pierwszy z nich stanowił podstawę do dalszych działań. Obejmował on:

– analizę danych na temat zamierzonego sposobu wykorzystania systemu chmurowego,

– określenie typu oraz stopnia wrażliwości danych, które będą przetwarzane przez system,

– określenie znaczenia systemu dla rozwoju biznesu.

Musieliśmy również szczegółowo omówić z klientem kwestie związane z utrzymywaniem systemu przez zewnętrznego dostawcę i wykorzystaniem chmurowego przetwarzania danych.

Dzięki rezultatom, jakie uzyskaliśmy przeprowadzając ocenę ryzyka, mogliśmy skupić się na istotnych kwestiach podczas audytu dostawcy. Zweryfikowaliśmy standardy stosowane przez providera, jego wewnętrzne procesy mogące mieć wpływ na sprawność i bezpieczeństwo systemu, jakość dokumentacji, a także poziom wiedzy na temat dobrych praktyk obowiązujących w branży farmaceutycznej. Na szczęście oprogramowanie oferowane przez tę firmę było już wcześniej walidowane w zgodzie z zaleceniami GxP i GAMP5. Uprościło to nasze zadanie, ponieważ pozwoliło nam wykorzystać znaczną część dokumentacji dostarczonej przez firmę do celów prowadzonej przez nas walidacji.

Szczęście nie dopisało nam w przypadku weryfikacji drugiego providera. Dostawca IaaS również był świadom wymagań z zakresu bezpieczeństwa. Jednak zarówno dostarczona przez niego dokumentacja, jak i stosowane przez niego standardy proceduralne były dalekie od satysfakcjonujących. Nasz raport z sugestią zmian nie został przyjęty z entuzjazmem, w efekcie zostaliśmy zmuszeni do poszukiwań innego dostawcy infrastruktury. Spowodowało to drobne opóźnienie w realizacji projektu, ale wkrótce udało nam się znaleźć firmę spełniającą niezbędne wymagania, co zostało potwierdzone przez wyniki naszego audytu.

Zamierzasz wdrożyć rozwiązanie chmurowe? Ogranicz ryzyko dzięki walidacji przeprowadzonej przez doświadczonego partnera

Weryfikacja systemu chmurowego i jego dostawcy pod kątem standardów jakościowych oraz zgodności prawnej to złożony proces. Jej sprawne przeprowadzenie wymaga rozległego doświadczenia i dogłębnego zrozumienia procedur walidacyjnych. Dotyczy to szczególnie branż farmaceutycznej i life science, w których obowiązują podwyższone standardy bezpieczeństwa.

Jeśli zależy Ci na bezpiecznym wdrożeniu usług SaaS, PaaS, IaaS lub innego typu rozwiązań chmurowych, skontaktuj się z nami: validation@ecvalidation.com

Blog