Cloud Computing

Negli ultimi anni l’attenzione dei sistemi informatici e servizi IT in azienda si sta velocemente spostando verso applicazioni Web, architetture “Service-Oriented” e, più in generale, verso sistemi gestiti in Cloud.

Il “Cloud Computing”, termine introdotto per la prima volta in un contesto moderno da Google nel 2006, sta velocemente diventando lo standard in molte applicazioni industriali per la sua affidabilità e i numerosi vantaggi rispetto alle soluzioni On-Premise, per citarne alcuni: accesso facilitato da qualsiasi postazione di rete in qualsiasi momento, ridimensionamento dinamico on-demand delle risorse in base alle richieste del cliente, alta qualità del servizio (QoS), costi di acquisto e gestionali (Total Cost of Ownership) significativamente ridotti (infrastruttura e software, sistemi operativi, patching e aggiornamenti), anche grazie alle soluzioni Pay-As-You-Go (PAYG).

L’interazione con i server remoti può essere catalogata in 3 livelli o layers (XaaS) a impatto crescente:

• Infrastructure as a Service (IaaS) fornisce un ambiente per il rilascio, funzionamento, gestione di macchine virtuali (VM) e stoccaggio di informazioni;
• Platform as a Service (PaaS) fornisce una piattaforma per lo sviluppo di altre applicazioni, come Google App Engine (GAE);
• Software as a Service (SaaS) fornisce applicazioni complete, completamente gestiti in modalità remota, quali sistemi Electronic Batch Record (EBR), Manufacturing Execution System (MES) o Customer Relationship Management (CRM).

Per comprendere più facilmente le diverse forniture di servizio possiamo usare l’analogia di Paul Kerr (Data Integrity and Quality Culture Virtual Symposium, PDA, 21^st May 2020) di un appartamento in affitto: paghi un canone mensile per luce, acqua e gas (IaaS); paghi un canone mensile per luce, acqua, gas, tv via cavo, amministratore di condominio, giardino che tu produci e mantieni (PaaS); paghi un canone mensile per luce, acqua, gas, tv via cavo, amministratore di condominio, condiviso cucina/giardino/parcheggio con i vicini che è tuo secondo necessità, il proprietario garantisce risorse condivise e sufficienti per tutti (SaaS).

Data Integrity as a Service (DaaS)

Il cambio di paradigma comporta nuove problematiche e sfide da gestire. Innanzitutto abbiamo una diminuzione fisiologica-naturale della sicurezza dei dati immagazzinati in Cloud, dovuta alle maggiori possibilità di accesso, del fornitore stesso e di terze parti, rispetto alla sola intranet aziendale e al fatto che l’utente finale, proprietario dei dati, non ha accesso diretto fisico ai server.

Come affermato più volte e recentemente sottolineato nella nuova edizione della linea guida PIC/S (PI 041-1, Good Practices for Data Management and Integrity In Regulated GMP/GDP Environments, 1^st July 2021), gli utenti finali si possono e si devono avvalere di alcuni strumenti per assicurare l’integrità dei dati e mitigare il rischio, in particolare:

• Valutazione del sistema di qualità del fornitore attraverso revisioni periodiche, qualifica del fornitore (SLA) e audit con focus sulla data governance;
• Sviluppo di una strategia di convalida e mantenimento attraverso validation plan, specifiche utente e performance qualification (IQ e OQ sono a carico del fornitore), revisioni periodiche di hardware e software, leveraging dei documenti (note di rilascio, ecc.), valutazione dell’impatto dei cambiamenti, riqualifiche periodiche (continuous validation);
• Monitoraggio continuo della qualità e delle performance come parte dell’approccio Lifecycle con gli opportuni indicatori individuati attraverso analisi del rischio.

L’assicurazione dell’integrità dei dati è nelle mani del fornitore del servizio ma la responsabilità rimane al produttore e al titolare AIC (MAH).

Le soluzioni SaaS Cloud stanno velocemente prendendo piede e sono qui per restare. Inevitabilmente i fornitori dei servizi dovranno adeguarsi alle normative regolatorie per assicurare l’integrità e la sicurezza dei dati. Parallelamente le unità di qualità delle aziende devono espandere le prospettive di convalida e monitoraggio dei sistemi informatici, oltre le applicazioni on-premise tradizionali e adottare le misure adeguate per garantirne la conformità.

Non è realistico aspettarsi grandi cambiamenti alle normative di integrità per adattarsi al Cloud Computing, ciò che deve cambiare è l’interpretazione delle suddette normative, i controlli e i requisiti di convalida applicati a questi ambienti come evoluzione naturale del sistema di qualità per adeguarsi ai cambiamenti tecnologici, sempre in un’ottica industria 4.0.

Andrea Pedna | Senior Consultant

FORMAZIONE