Full Service Contract Research Organization

Cuadernos de recogida de datos electrónicos: Auditorías a IT, una oportunidad para mejorar.

Por Pau Faner - Director Técnico

31 de enero de 2013

Cuando se nos llama a ser auditados no es una noticia que precisamente se celebre aunque la  verdad es que debería ser así. Una auditoría, al fin y al cabo, no deja de ser una oportunidad para descubrir en que podemos mejorar.  Un proceso en el que se revisan nuestros procedimientos  normalizados de trabajo y se comprueba que se han seguido en todas las acciones realizadas durante la vida del proyecto. Los auditores a fin de cuentas son profesionales formados en materia de calidad con los conocimientos necesarios para encontrar vulnerabilidades en nuestros procedimientos e informarnos de cómo podemos mejorarlos.

No sé si por suerte o por desgracia en los últimos 3 años los sistemas de IT de Dynamic han sido auditados/inspeccionados en 19 ocasiones, hecho que nos ha llevado a ser más metódicos y concienzudos en nuestro día a día. Pues bien ¿cómo nos hemos preparado para afrontarlas?, la respuesta es tremendamente simple, sin preparar nada extraordinario.  En IT tenemos la gran suerte de no tener que elaborar grandes archivos en papel. Toda nuestra documentación puede ser revisada de forma digital, únicamente hay que tenerla bien organizada. Nuestro archivo no deja de ser un conjunto de controles de versión de código fuente, registros de cambios, documentos de validación, copias de seguridad, etc.  El truco, si es que se le puede llamar así, es dotar al sistema de la capacidad de generar esta documentación. Por ejemplo nuestro sistema cuenta con un perfil de Data Management que da como opción la descargar en tiempo real de una copia de la base de datos junto con toda la documentación de variables. Es decir en IT no generamos archivos de definición de  variables cada vez que implementamos un cambio en el CRD electrónico, estos los genera el sistema de forma automática cuando el usuario lo solicita.  Automatizando todos los procesos evitamos el error humano y nos aseguramos ese punto de calidad extra. Claro está que es necesario que exista un documento que certifique el correcto funcionamiento de este proceso automatizado, de lo contrario la documentación generada carecería de validez en una auditoría.

Se dice que para ser un buen ingeniero informático hay que ser un poco vago, siempre estamos buscando la forma de automatizar todos los procesos para no tener que repetirlos una y otra vez. Para mí esto es sinónimo de eficiencia o eficacia, no de vagancia, y bajo esta premisa basamos nuestra filosofía de trabajo.

El trabajo de IT en una auditoría no empieza con ella sino cuando esta finaliza. Es en ese punto en el que debemos revaluar nuestros procedimientos y modificarlos a fin de no cometer los mismos errores en el futuro, hay que poner solución a todos los findings que el inspector pueda haber hallado.

Esta filosofía y buen hacer nos ha llevado a ser un referente en el desarrollo de CRDs electrónicos,  nuestros sistemas cuentan con las más altas medidas de seguridad y cumplen ampliamente con las exigencias marcadas por la normativa reguladora 21 CFR part 11, normativa de obligado cumplimiento en todos los proyectos informáticos destinados a la investigación clínica. Además  me complace decir  que dicha labor nos ha sido reconocida. En los años 2011 y 2012, en Dynamic, hemos tenido el placer de participar como asesores en materia de seguridad en las jornadas anuales de Inspección de Buenas Prácticas Clínicas de la Agencia Española Del Medicamento y Productos Sanitarios. Así como en distintas jornadas de formación para la asociación de AMIFE en lo que refiere a requisitos técnicos para los sistemas de recogida de datos electrónicos. Nos es grato compartir nuestra experiencia y conocimiento, siempre con la intención de concienciar a la industria de la verdadera importancia que tiene la seguridad en los proyectos de IT y más aún en aquellos destinados a la investigación.

Para todos los sistemas informáticos la facilidad de manejo y la seguridad deberían ser su carta de presentación,  algo que por desgracia en la actualidad no es así.  No podemos presuponer que un sistema es seguro, les garantizo que muchos no lo son. Hay que seguir trabajando para garantizar la disponibilidad, la integridad y la confidencialidad de la información.

Grandes y reconocidas empresas han sido víctimas  de ataques informáticos en los que se han aprovechado brechas en los sistemas de seguridad. Si las grandes empresas han cometido errores, imaginen las irregularidades que podemos encontrar en proveedores más pequeños. Por todo ello debemos defender y apoyar los procesos de auditoría, a fin de cuentas nos dan una oportunidad para mejorar antes de que suceda una catástrofe.