Principios Generales de la Validación de Software

Ricardo Murga
EDP College of Puerto Rico

Principios Generales de la Validación de Software

Ricardo Murga
EDP College of Puerto Rico

Table of Contents SECCIÓN 1. PROPOSITO 6 SECCIÓN 2. ÁMBITO 6 2.1 APLICABILIDAD 7 2.2 AUDIENCIA 7 2.3 REQUISITOS REGLAMENTARIOS PARA LA VALIDACION DE SOFTWARE 8 SECCIÓN 3. CONTEXTO PARA LA VALIDACION DE SOFTWARE 9 3.1 DEFINICIONES Y TERMINOLOGIAS 10 3.1.1 REQUISITOS Y ESPECIFICACIONES 10 3.1.2 VERIFICACION Y VALIDACION 11 3.2 DESARROLLO DE SOFTWARE COMO PARTE DEL DISEÑO DEL SISTEMA 12 3.3 SOFTWARE ES DIFERENTE DE HARDWARE 13 3.4 BENEFICIOS DE LA VALIDACION DE SOFTWARE 15 SECCIÓN 4. PRINCIPIOS DE VALIDACION DE SOFTWARE 16 4.1 REQUISITOS 16 4.2 DEFECTO DE PREVENCION 16 4.3 TIEMPO Y ESFUERZO 16 4.4 PROGRAMA DE CICLO DE VIDA 17 4.5 PLANES 17 4.6 PROCEDIMIENTOS 17 4.7 VALIDACION DE SOFTWARE DESPUES DE UN CAMBIO 17 4.8 VALIDACION DE COBERTURA 18 4.9 INDEPENDENCIA DE REVISION 18 4.10 FLEXIBILIDAD Y RESPONSABILIDAD 19 SECCIÓN 5. ACTIVIDADES Y TAREAS 19 5.1 SOFTWARE DE ACTIVIDADES DEL CICLO DE VIDA 20 5.2 TAREAS TIPICAS DE APOYO DE VALIDACION 21 5.2.1 PLANIFICACION DE LA CALIDAD 21 5.2.2 REQUISITOS 22 5.2.3 DISEÑO 25 5.2.4 CONSTRUCCION O CODIFICACION 27 5.2.5 PRUEBAS REALIZADAS POR EL DESARROLLADOR DEL SOFTWARE 30 5.2.6 PRUEBAS DE USUARIOS DEL SITIO 33 5.2.7 MANTENIMIENTO Y CAMBIOS DE SOFTWARE 34 SECCIÓN 6. ¿Qué es COBIT? 36 6.1 ¿PARA QUE SIRVE COBIT? 36 6.1.1 LA MISION DE COBIT 37 6.2 FAMILIA DEL PRODUCTO COBIT 38 6.2.1 RESUMEN SUMARIO Y EJECUTIVO 38 6.2.2 MARCO 38 6.2.3 OVJECITO DE CONTROL 39 6.2.4 DIRECTRICES DE AUDITORIA 39 6.2.5 INSTRUMENTO DE PUESTA DE PRÁCTICA 39 6.2.6 DIRECTRICES DE DIRECCION 40 APPENDIX A - REFERENCIAS 41

SECCIÓN 1. PROPOSITO
Este documento describe algunos de los principios generales de validación que la Administración de Alimentos y Medicamentos (FDA) considera que es aplicable a la validación de software de dispositivos médicos o la validación de software utilizados para diseñar, desarrollar, o la fabricación de dispositivos médicos.

SECCIÓN 2. ÁMBITO
En este documento se describe cómo algunas disposiciones de la regulación del sistema de dispositivos médicos de calidad se aplican al software y el enfoque actual de la agencia para la evaluación de un sistema de validación de software. Se enumeran los elementos que sean aceptables para la FDA para la validación de software, sin embargo, no una lista de todas las actividades y tareas que se deben, en todos los casos, ser usados para cumplir con la ley.
La planificación, verificación, pruebas, trazabilidad, gestión de configuración, y muchos otros aspectos de ingeniería de software bien discutidos en esta guía son actividades importantes que en conjunto ayudan de apoyo a una conclusión definitiva de que el software se valida.
Se recomienda la integración de la gestión del ciclo de vida del software y gestión de riesgos las actividades. Basado en el uso previsto y el riesgo para la seguridad asociados con el software a desarrollar, el desarrollador de software debe determinar el enfoque específico, la combinación de técnicas que se han utilizado, y el nivel de esfuerzo que deben aplicarse. Se recomienda que la validación de software y actividades de verificación se lleven a cabo durante todo el ciclo de vida del software completo.
Cuando el software es desarrollado por una persona distinta del fabricante del dispositivo (por ejemplo, fuera de la plataforma de software), el desarrollador de software puede no ser directamente responsable del cumplimiento de regulaciones de la FDA.

2.1 APLICABILIDAD
Estas reglas se aplican a: * Software usado como un componente, parte o accesorio de un dispositivo médico; * Software que se trata de un dispositivo médico (por ejemplo, el software de la sangre del establecimiento); * Software utilizado en la producción de un dispositivo (por ejemplo, los controladores, lógica programable en la fabricación de materiales), y * Software utilizado en la implementación del sistema de calidad del fabricante del dispositivo (por ejemplo, el software que mantiene el registro de la historia del dispositivo).

Estas reglas se basan en los principios generalmente aceptados de validación de software y, por tanto, se aplican a cualquier software como lo define la Sección 201 (h) de la Ley Federal de Alimentos, Medicamentos y Cosméticos (la Ley) y por el actual software de la FDA y la política regulatoria. Este documento no se refiere específicamente identificar qué software está o no regulado.

2.2 AUDIENCIA
Esta información útil y se recomienda a las siguientes personas: * Las personas sujetas a la regulación del sistema de calidad de dispositivos médicos * Las personas responsables del diseño, desarrollo o producción de software de dispositivos médicos * Las personas responsables del diseño, desarrollo, producción o adquisición de sistemas automatizados, herramientas utilizadas para el diseño, desarrollo o fabricación de dispositivos médicos o las herramientas de software utilizados para implementar el sistema de calidad propio * Investigadores de la FDA * Oficiales de Cumplimiento de la FDA * Revisores científicos de la FDA

2.3 REQUISITOS REGLAMENTARIOS PARA LA VALIDACION DE SOFTWARE
Un análisis de la FDA de un “Recalls” de 3140 dispositivos médicos llevado a cabo entre 1992 y 1998 revela que 242 de ellos (7,7%) son atribuibles a fallos de software. De los problemas relacionados 192 (o 79%) fueron causados por defectos de software que se han introducido cambios después de su producción y distribución inicial.

Software de validación, prácticas de ingeniería y otros buenos programas relacionados son el principal medio de evitar estos defectos y resultante “Recalls”. La validación del software es un requisito del reglamento del Sistema de Calidad, el cual fue publicado en el
Registro Federal el 7 de octubre de 1996 y entró en vigor el 1 de junio de 1997. (Véase el Título 21 del Código Federal de Reglamentos (CFR), Parte 820, y 61 Federal Register (FR) 52602, respectivamente.)
Salvo en los casos en un reglamento de clasificación, cualquier producto de software del dispositivo médico desarrollado después de Junio 1 de 1997, independientemente de su clase de dispositivo, está sujeta al control de diseños aplicables. (Ver, de 21 CFR § 820.30). Los requisitos específicos para la validación del software del dispositivo se encuentran en
21 CFR § 820.30 (g). Otros controles de diseño, tales como la planificación, de entrada, de verificación y revisiones necesarias para el software de dispositivos médicos. (Ver 21 CFR § 820.30).

Cualquier software que se utiliza para automatizar parte del proceso de producción del dispositivo o cualquier parte de la calidad del sistema debe ser validado para su uso, como es requerido por 21 CFR § 820.70 (i). Este requisito se aplica a cualquier software que se utiliza para automatizar el diseño de dispositivos, las pruebas, la aceptación de componentes, fabricación, etiquetado, envasado, distribución, manejo de quejas, o para automatizar cualquier otro aspecto de la calidad del sistema.

Además, los sistemas de computadora utilizada para crear, modificar y mantener los registros electrónicos y gestionar la firma electrónica también están sujetos a los requisitos de validación. (Ver 21 CFR § 11.10 (a)) Dichos sistemas informáticos deben ser validados para garantizar la exactitud, fiabilidad, un rendimiento constante intención y la capacidad de discernir registros inválidos o alterados.

El uso de software “Off-The-Shelf” en los dispositivos médicos automatizados y en la fabricación automatizada y operaciones del sistema de calidad está aumentando. El software “Off-The-Shelf” puede tener muchas capacidades, sólo unos pocos de los cuales son requeridos por el fabricante del dispositivo. Los fabricantes de dispositivos son los responsables de la adecuación del software utilizado en sus dispositivos, y se utiliza para la fabricación de componentes. Cuando el dispositivo fabricante de compra “Off-The-Shelf”, deben asegurarse de que funcionará como es debido en su elegido de la aplicación.

Se pueden encontrar en la Guía de la FDA para la Industria, los revisores de la FDA, y el cumplimiento de “Off-The-Shelf” de uso de software de dispositivos médicos.

SECCIÓN 3. CONTEXTO PARA LA VALIDACION DE SOFTWARE
Muchas personas han pedido orientación específica sobre lo que la FDA espera que ellos hagan para garantizar el cumplimiento con la regulación del sistema de calidad con respecto a la validación del software. La Validación de Software no es nueva, esto se ha realizado en muchos segmentos de la industria del software por más de 20 años.
Debido a la gran variedad de dispositivos médicos, procesos e instalaciones de fabricación, no es posible el estado en un solo documento todos los elementos de validación específicos que sean aplicables. Sin embargo, los conceptos generales se pueden utilizar con éxito como una guía para la validación del software.
Estos conceptos generales constituyen un marco aceptable para la construcción de un enfoque integral de la validación de software. Información específica adicional está disponible en muchas de las referencias que figuran en
Apéndice A.

3.1 DEFINICIONES Y TERMINOLOGIAS
Si no se define en la regulación del Sistema de Calidad, o de lo contrario se especifica a continuación, todos los otros términos utilizados en este documento son como se definen en la presente edición del Glosario de la FDA y el Sistema Inteligente de Terminología de desarrollo de software.
El médico de calidad del dispositivo de regulación del sistema (21 CFR 820.3 (k)) define "establecimiento" en el sentido de "definir, documento, y poner en práctica. "Donde aparece en este documento, las palabras" establecer "y" establecido " debe interpretarse en este mismo significado.
Algunas definiciones que se encuentran en la regulación del sistema de dispositivos médicos de calidad pueden ser confusas cuando en comparación con la terminología de uso común en la industria del software. Ejemplos de ello son los requisitos, especificación, verificación y validación.

3.1.1 REQUISITOS Y ESPECIFICACIONES
Mientras que la regulación del Sistema de Calidad establece que los requisitos de diseño de entrada deben ser documentados, y que los requisitos especificados deben ser verificados, el Reglamento no se aclare más la distinción entre el término "exigencia" y “especificaciones". Un requisito puede ser cualquier necesidad o expectativa de un sistema de o por su software.
Los requisitos reflejan las necesidades explícitas o implícitas del cliente, y puede ser basado en el mercado, contractual o legal, así como los requisitos internos de la organización. No puede haber diferentes tipos de requisitos (por ejemplo, el diseño, funcionales, de aplicación, la interfaz, el rendimiento o los requisitos físicos). Requisitos de software son normalmente expresados en términos funcionales y están definidos, refinado y actualizado como un proyecto de desarrollo

El éxito en forma precisa y completa documentación de los requisitos del software es un factor crucial en la validación de éxito del software resultante.
Una especificación se define como "un documento que establece los requisitos." (Ver 21 CFR § 820.3 (a).) Es posible que una referencia pueda incluir dibujos, patrones, u otros documentos relevantes y por lo general indica los medios y los criterios para que se conforme con el requisito de verificar.
Hay muchos tipos diferentes de especificaciones escritas, por ejemplo: * Especificación de requisitos del sistema. * Especificación de requerimientos de software. * Especificación de software de diseño. * Especificación de software de prueba. * Especificación de software de integración. * Etc.
Todos estos documentos establecen "los requisitos especificados" y son salidas de diseño para que las diversas formas de verificación que son necesarios.

3.1.2 VERIFICACION Y VALIDACION
-------------------------------------------------
Top of Form
La regulación del Sistema de Calidad está armonizada con las normas ISO 8402:1994, la cual trata de "verificación" y "Validación" como términos separados y distintos. Por otro lado, la ingeniería de software muchas revistas, artículos y libros de texto se utilizan los términos "control" y "validación" de manera intercambiable, o en algunos casos se refieren al software "de verificación, validación y pruebas (VV & T)", como si se trata de un concepto único, sin distinción entre los tres términos.

Verificación de software proporciona evidencia objetiva de que las salidas del diseño de una fase particular del desarrollo de software de ciclo de vida cumplen todos los requisitos especificados para esta fase. La verificación de Software busca coherencia, integridad y exactitud de los programas y su apoyo en documentación, ya que se está desarrollando, y proporciona apoyo a una conclusión posterior de que el software se valida. Las pruebas de software es una de las muchas actividades de verificación destinadas a confirmar que el software, la producción de desarrollo cumpla con los requisitos de entrada.

La validación del software es una parte de la validación del diseño de un dispositivo de acabado, pero no se define por separado en la regulación del Sistema de Calidad. La FDA considera que la validación del software es "la confirmación mediante examen y presentación de evidencia objetiva de que el software las especificaciones se ajustan a las necesidades del usuario y usos previstos" En la práctica, la validación del software puede ocurrir tanto durante, como al final del ciclo de vida del software de desarrollo para asegurar que todos los requisitos se han cumplido. Dado que el software es usualmente parte de un sistema de hardware más grande, La validación de software normalmente incluye evidencia de que todos los requisitos de software se han implementado correcta y completamente, y son atribuibles a los requisitos del sistema.

Verificación y validación de software son difíciles debido a que un desarrollador no puede probar para siempre, y es difícil saber cuánta evidencia es suficiente. En gran medida, la validación del software es una cuestión de desarrollo un "nivel de confianza" que el dispositivo cumple todos los requisitos y expectativas de los usuarios para el software.

3.2 DESARROLLO DE SOFTWARE COMO PARTE DEL DISEÑO DEL SISTEMA
La decisión de implementar la funcionalidad del sistema mediante el software es el que se suele hacer en el diseño del sistema. Requisitos de software suelen ser derivados de los requisitos del sistema general y el diseño de aquellos aspectos del sistema que se llevarán a cabo utilizando el software. Hay necesidades de los usuarios y usos previstos para un dispositivo de acabado, pero los usuarios no especifican si los requisitos son de hardware, software, o una combinación de ambos. Por lo tanto, la validación del software debe ser considerado en el contexto de la validación del diseño general del sistema.

Una especificación de requisitos representa las necesidades del usuario y los usos previstos al desarrollo del producto. Un objetivo principal de la validación del software es demostrar entonces que todo terminó y que el producto de software cumple con todos los programas documentados y los requisitos del sistema. La corrección e integridad tanto de los requisitos del sistema y los requisitos de software deben ser tratadas como parte del proceso de validación del diseño para el dispositivo. La validación del software incluye la confirmación de la conformidad con todas las especificaciones del software y la confirmación de que todos los requisitos de software son trazables a las especificaciones del sistema. La confirmación es una parte importante de la validación del diseño en general para asegurar que todos los aspectos del dispositivo médico se ajustan a las necesidades del usuario y usos previstos.

3.3 SOFTWARE ES DIFERENTE DE HARDWARE
Mientras que el software comparte muchas de las tareas de ingeniería con el hardware, tiene algunas muy importantes diferencias. Por ejemplo: * La gran mayoría de los problemas de software tienen su origen en los errores cometidos durante el diseño y el desarrollo del proceso. Si bien la calidad de un producto de hardware depende en gran medida el diseño, desarrollo y la fabricación, la calidad de un producto de software depende principalmente de diseño y desarrollo con un interés mínimo para la fabricación de software. Software de fabricación consiste en la reproducción que puede ser fácilmente verificada. No es difícil la fabricación de miles de copias del programa que funciona exactamente igual que el original, y la dificultad estriba en conseguir que el programa original cumpla con todas las especificaciones. * Uno de los rasgos más significativos de software se está diversificando, es decir, la capacidad de ejecutar una serie de alternativas de comandos a partir de contribuciones diferentes. Esta característica es uno de los principales contribuyentes de otra de las características del software - su complejidad. Incluso los programas cortos pueden ser muy complejos y difícil de comprender. * Por lo general, las pruebas por sí solas no pueden comprobar que el software es completo y correcto. Además de las pruebas, las técnicas de verificación y otros son un proceso de desarrollo estructurado y documentado que deben combinarse para garantizar un enfoque de validación integral. * A diferencia del hardware, el software no es una entidad física, y no se desgastan. De hecho, el software puede mejora con la edad, como los vicios ocultos que se descubren y se retira. Sin embargo, como el software es constantemente actualizado y cambiado, estas mejoras son a veces contrarrestada por nuevos defectos introducido en el software durante el cambio. * A diferencia de algunos fallos de hardware, los fallos de software se producen sin advertencia previa. La ramificación del software puede esconder algunos defectos latentes hasta mucho tiempo después de que un producto de software se ha introducido en el mercado. * Otra característica relacionada de software es la velocidad y la facilidad con la que se puede cambiar. Este factor puede hacer que los profesionales de software y los no profesionales de software crean que los problemas se pueden corregir fácilmente. Combinado con una falta de comprensión de software, se puede conducir a los gerentes a pensar que la ingeniería estrictamente controlada no es necesario tanto para el software como para hardware. De hecho, lo opuesto es verdad. Debido a su complejidad, el proceso de desarrollo de software debe ser aún más estricto control del hardware, con el fin de evitar los problemas que no pueden ser fácilmente detectados más tarde en el desarrollo del proceso. * Al parecer insignificantes los cambios en el código de software pueden crear inesperado y muy importante otros problemas en el programa de software. El proceso de desarrollo de software debe ser suficientemente bien planificada, controlada y documentada para detectar y corregir los resultados inesperados de los cambios de software. * Dada la gran demanda de profesionales del software y la mano de obra altamente móviles, el software personal que realiza cambios de mantenimiento de software no han estado involucrados en el desarrollo de software original. Por lo tanto, la documentación precisa y completa es esencial. * Históricamente, los componentes de software no han sido tan frecuentemente estandarizados e intercambiables como componentes de hardware. Sin embargo, los desarrolladores de software de dispositivos médicos están comenzando a utilizar basado en componentes y herramientas de desarrollo de las técnicas. Metodologías orientadas a objetos y el uso de componentes de software “off-The-Shelf” prometedores para el software más rápido y menos costoso. Sin embargo, los enfoques basados en los componentes requieren una atención muy cuidadosa durante la integración. Antes de la integración, el tiempo es necesario para definir y desarrollar plenamente el software para entender completamente el comportamiento de los componentes fuera del estante.

Por estas y otras razones, la ingeniería del software necesita un mayor nivel de gestión, escrutinio y control que hace la ingeniería de hardware.

3.4 BENEFICIOS DE LA VALIDACION DE SOFTWARE
La validación del software es una herramienta fundamental utilizada para asegurar la calidad del software del dispositivo y en operaciones automatizadas. La validación del software puede aumentar la utilidad y la fiabilidad del dispositivo, dando un resultado en la disminución de las tasas de fracaso, menos llamadas de servicio y acciones correctivas, menos riesgo para los pacientes y usuarios, y la reducción de la responsabilidad a los fabricantes de dispositivos.
Validación de software también pueden reducir los costos a largo plazo por lo que es más fácil y menos costoso para modificar el software fiable y revalidar los cambios de software. El mantenimiento del software puede representar un porcentaje muy importante del coste total de software durante su ciclo de vida.
Un proceso integral que establece la validación del software ayuda a reducir el costo a largo plazo de software, reduciendo el coste de la validación de cada versión posterior del software.

SECCIÓN 4. PRINCIPIOS DE VALIDACION DE SOFTWARE
En esta sección se enumeran los principios generales que deben ser considerados para la validación de software.

4.1 REQUISITOS
Un software documentado de especificación y requisitos proporciona un punto de referencia tanto para la validación y verificación. El proceso de validación del software no se puede realizar sin un software creado con sus especificaciones y requerimientos. (Ref.: 21 CFR 820.3 (z) y (AA) y 820.30 (f) y (g)).

4.2 DEFECTO DE PREVENCION
El aseguramiento de la calidad del software tiene que centrarse en la prevención de la introducción de defectos en el desarrollo de procesos del software y no en tratar de "prueba de calidad en" el código de software después de haberlo escrito.
Las pruebas de software son muy limitadas en su capacidad de superficie de todos los vicios ocultos en el código de software. Por ejemplo, la complejidad de la mayoría del software que evita que sean probados exhaustivamente. Las pruebas de software es una actividad necesaria. Sin embargo, en la mayoría de los casos las pruebas de software por sí solo no son suficientes para establecer la confianza de que el software es apto para su uso previsto.

4.3 TIEMPO Y ESFUERZO
Para construir un caso de que el software se valida requiere tiempo y esfuerzo. La validación debe comenzar temprano, es decir, durante el diseño y la planificación del desarrollo y la entrada para el diseño. La final conclusión de que el software se valida debe basarse en pruebas obtenidas a partir de acciones planificadas que se llevaron a cabo durante todo el ciclo de vida del software.

4.4 PROGRAMA DE CICLO DE VIDA
La validación del software se lleva a cabo en el entorno de un ciclo de vida del software creado. El ciclo de vida del software contiene las tareas de ingeniería de software y la documentación necesaria para apoyar el esfuerzo de validación de software. Además, el ciclo de vida del software contiene específicos de verificación y validación, tareas que son apropiadas para el uso previsto del software. Este documento no recomienda en particular ninguno los modelos de ciclo de vida sólo que deben ser seleccionados y utilizados para un desarrollo de software del proyecto.

4.5 PLANES
El proceso de validación de software definido y controlado es a través del uso de un plan. El plan de validación define el "qué" se va a lograr a través del esfuerzo de validación de software. Los planes son una herramienta de validación del sistema de calidad importante que especifican áreas tales como alcance, el enfoque, los recursos, los horarios y los tipos y alcance de las actividades, tareas y elementos de trabajo.

4.6 PROCEDIMIENTOS
El proceso de validación de software que se ejecuta a través del uso de los procedimientos deben establecer "Cómo" llevar a cabo el esfuerzo de la validación del software. Los procedimientos deben identificar las acciones específicas o secuencia de acciones que se deben tomar para completar las actividades individuales de validación, las tareas y el trabajo.

4.7 VALIDACION DE SOFTWARE DESPUES DE UN CAMBIO
Debido a la complejidad del software, un cambio local aparentemente pequeño puede tener un sistema global significativo e impactante. Cuando cualquier cambio (incluso un pequeño cambio) se hace con el software, la validación de estado del software tiene que ser re-establecido. Siempre que se cambia el software, un análisis de validación debe llevarse a cabo no sólo para la validación del cambio individual, sino también para determinar el grado y el impacto de ese cambio en el sistema de software completo. En base a este análisis, el desarrollador del software debe realizar un adecuado nivel de pruebas de software de regresión para demostrar que porciones sin cambios, pero vulnerables del sistema no se han visto perjudicados. Controles de diseño y pruebas de regresión apropiados proporcionar la confianza de que el software se valida después de que un software es modificado.

4.8 VALIDACION DE COBERTURA
La cobertura de validación debe basarse en la complejidad del software y los riesgos de seguridad, no en el tamaño de la empresa o las limitaciones de recursos. La selección de las actividades de validación, las tareas y los elementos de trabajo deben ser acorde con la complejidad del diseño de software y los riesgos asociados con el uso del software para el uso especificado previsto. Para los dispositivos de menor riesgo, sólo las actividades de validación de referencia pueden llevarse a cabo. A medida que el riesgo aumenta las actividades de validación adicionales, debe añadirse a cubrir un riesgo adicional. Documentación de validación deben ser suficientes para demostrar que toda la validación de software planes y procedimientos se han completado con éxito.

4.9 INDEPENDENCIA DE REVISION
Las actividades de validación deben llevarse a cabo con el precepto básico de garantía de calidad de la "independencia de revisión" la auto-validación es extremadamente difícil. Cuando sea posible, una evaluación independiente es siempre mejor, especialmente para aplicaciones de mayor riesgo. Algunas empresas contratan por un tercero independiente, pero esta solución no siempre es posible. Otro método consiste en asignar miembros del personal interno que no están involucrados en un diseño particular o de su aplicación, pero con conocimientos suficientes para evaluar el proyecto y realizar la verificación y validación.

4.10 FLEXIBILIDAD Y RESPONSABILIDAD
La aplicación concreta de estos principios de validación de software pueden ser muy diferentes de una aplicación a otra. El fabricante del dispositivo dispone de una flexibilidad en la elección de la forma de aplicar estos principios de validación, pero retiene la responsabilidad de que demuestra que el software ha sido validado.
El software es diseñado, desarrollado, validado, y regulado en un amplio espectro de ambientes, y para una amplia variedad de dispositivos con diferentes niveles de riesgo. Regulado por la FDA de dispositivos médicos incluyen aplicaciones que: * Es un componente, parte o accesorio de un dispositivo médico; * Es un dispositivo médico, o * Es utilizado en la fabricación, diseño y desarrollo, o en otras partes del sistema de calidad.

En cada entorno, los componentes de software de muchas fuentes se pueden utilizar para crear la aplicación (Por ejemplo, en la casa de software desarrollado, fuera de la plataforma de software, software de contrato, shareware). Además, los componentes de software vienen en muchas formas diferentes (por ejemplo, software de aplicaciones, sistemas operativos, compiladores, depuradores, herramientas de gestión de configuración, y muchos más). La validación de dichos programas de estos entornos puede ser una tarea compleja, por lo tanto, es conveniente que todos estos programas cuenten con los principios de validación y deben considerarse al diseñar el proceso de validación del software.

SECCIÓN 5. ACTIVIDADES Y TAREAS
La validación del software se lleva a cabo a través de una serie de actividades y tareas que se planifican y son ejecutados en las distintas etapas del ciclo de desarrollo de software.

5.1 SOFTWARE DE ACTIVIDADES DEL CICLO DE VIDA
Este documento no recomienda el uso de cualquier modelo de ciclo de vida de software específico. Los desarrolladores de Software deben establecer un modelo de ciclo de vida del software que es apropiado para su producto y la organización. El modelo de ciclo de vida del software que se selecciona debe cubrir el software desde su nacimiento hasta su jubilación.
Actividades en un modelo de ciclo de vida típico del software incluyen las siguientes: * Calidad de Planificación * Requisitos de definición del sistema * Requisitos de software Especificación detallada * Software Especificaciones de Diseño * Construcción o codificación * Pruebas * Instalación * Operación y Soporte * Mantenimiento * Retiro

Verificación, pruebas y otras tareas de la validación de soporte de software se producen durante cada uno de estas actividades. Un modelo de ciclo de vida organiza estas actividades de desarrollo de software de diversas maneras y proporciona un marco para el seguimiento y control del proyecto de desarrollo de software. Varios software de los modelos de ciclo de vida (por ejemplo, una cascada, espiral, prototípico rápido, el desarrollo incremental, etc.)
Definen en el glosario de la FDA del sistema computarizado y de desarrollo de software de terminología de agosto de 1995. Estos y muchos otros modelos de ciclo de vida se describe en varias referencias que figuran en el Apéndice A.

5.2 TAREAS TIPICAS DE APOYO DE VALIDACION
Para cada una de las actividades del ciclo de vida del software, hay ciertas "típico" tareas de apoyo a una conclusión que el software se valida. Sin embargo, las tareas específicas a realizar, su orden de actuación, y la repetición y el momento de su actuación será dictado por el ciclo de vida del software específico modelo que está seleccionado y el riesgo para la seguridad asociados con la aplicación de software. Algunas tareas pueden no ser necesarias en absoluto. Sin embargo, el desarrollador de software debería por lo menos deberá definir y documentar las tareas que son o no son adecuados para su aplicación específica. La siguiente discusión es genérica y no está destinada a ordenar la vida particular de software de ciclo o modelo determinado.

5.2.1 PLANIFICACION DE LA CALIDAD
Diseño y planificación del desarrollo debe culminar en un plan que identifica las tareas necesarias, los procedimientos para reportar anomalías y resolución, los recursos necesarios y los requisitos de revisión por la dirección, incluyendo revisiones formales de diseño. Un modelo de ciclo de vida del software y las actividades conexas debe ser identificado, así como las tareas necesarias para cada actividad del ciclo de vida del software. El plan debe incluir: * Las tareas específicas para cada actividad del ciclo de vida; * La enumeración de los factores de calidad importantes (por ejemplo, la fiabilidad, mantenimiento y facilidad de uso); * Métodos y procedimientos para cada tarea; * Criterios de aceptación de Trabajo; * Criterios para la definición y documentación de resultados en términos que permitan la evaluación de su conformidad con los requisitos de entrada; * Entradas para cada tarea; * Salidas de cada tarea; * El rol, recursos y responsabilidades para cada tarea; * Riesgos y supuestos, y * Documentación de las necesidades del usuario.

Deberían instaurar procedimientos para informar y resolver las anomalías de software que se encuentra a través de la validación u otras actividades. La dirección debería identificar los informes y especificar el contenido, formato y el responsable de los elementos de organización para cada informe. Los procedimientos también son necesarios para la revisión y aprobación de los resultados de desarrollo de software, incluidos los elementos responsables de la organización de tales revisiones y aprobaciones.

Las tareas típicas - Planificación de Calidad * Riesgo · (Hazard) Plan de Gestión * Configuración del Plan de Gestión * Calidad de Software de: * Software de Verificación y Validación del Plan * Verificación y tareas de validación y criterios de aceptación * Programación y asignación de recursos (para la verificación y validación de software) * Requisitos de información * Requisitos Formales de Revisión del Diseño * Otros requisitos de Revisión Técnica * Problema de Información y Procedimientos de Resolución de * Actividades de Apoyo Otros

5.2.2 REQUISITOS
Los requisitos de desarrollo incluyen la identificación, análisis y documentación de información sobre el dispositivo y su uso previsto. Áreas de especial importancia son la asignación de funciones del sistema, hardware / software, las condiciones de operación, características de los usuarios, los peligros potenciales, y las tareas previstas.
Además, los requisitos deben indicar claramente el uso previsto del software. El documento de especificación de requisitos de software debe contener una definición escrita del software y sus funciones.

Los requisitos típicos de software son los siguientes: * Todas las entradas del sistema de software; * Todas las salidas del sistema de software; * Todas las funciones que el sistema de software ejecutará; * Todos los requisitos de desempeño que el software cumpla, (por ejemplo, transmisión de datos, fiabilidad y tiempo); * La definición de todas las interfaces externas y el usuario, así como cualquier software interno a sistema o interfaces; * ¿Cómo los usuarios interactúan con el sistema?; * ¿Qué constituye un error y cómo los errores deben ser manejados?; * Los tiempos de respuesta requeridos; * El entorno de funcionamiento previsto para el software, si se trata de una restricción de diseño (por ejemplo, plataforma de hardware, sistema operativo); * Todos los rangos, límites, valores predeterminados y los valores específicos que el programa aceptará, y * Todos los requisitos relacionados con la seguridad, especificaciones, características o funciones que se llevarán a cabo en el software.

Los requisitos de software de seguridad se derivan de un proceso de gestión del riesgo técnico que está estrechamente integrado con el proceso de desarrollo de sistemas. Las especificaciones del software deben identificar claramente los riesgos potenciales que pueden resultar de una falla de software en el sistema, así como los requisitos de seguridad a ser implementado en el software.

Las consecuencias de la falla de software se deben evaluar, junto con los medios de mitigar dichos fallos (por ejemplo, la mitigación de hardware, a la defensiva de programación, etc.)

A partir de este análisis, debería ser posible identificar las medidas más apropiadas necesarias para evitar daños.

Cada requisito (por ejemplo, hardware, software, usuarios, interface de operador, y la seguridad) identificadas en la especificación de requisitos de software deben ser evaluados para la exactitud, integridad, coherencia, capacidad de prueba, corrección y claridad. Por ejemplo, el software deben ser evaluado para verificar que: * No existen contradicciones internas entre los requisitos; * Todos los requisitos de rendimiento del sistema se han explicado; * Tolerancia de fallos, seguridad y requisitos de seguridad son completas y correctas; * La asignación de funciones del software es correcta y completa; * Los requisitos son apropiados para los riesgos del sistema, y * Todos los requisitos se expresan en términos que son medibles o verificables objetivamente.

Además de cualquier otro análisis y documentación utilizada para verificar los requisitos de software, una revisión del diseño formal, se recomienda confirmar que los requisitos son totalmente específicos y apropiados antes de que un gran esfuerzo de diseño de software comience.
Los requisitos pueden ser aprobados y liberados progresivamente, pero se debe tener cuidado de que las interacciones y las interfaces entre el software (y hardware) sea debidamente revisada, analizada y controlada.

Las tareas típicas – Requisitos * Análisis Preliminar de Riesgos * Trazabilidad Análisis * Requisitos de software a los requisitos del sistema (y viceversa) * Requisitos de software para el análisis de riesgos * Descripción de las características de los usuarios * Listado de las características y limitaciones de la memoria primaria y secundaria * Requisitos de evaluación de software * Análisis del requerimiento del usuario de software y la interfaz * Test del Sistema del Plan de Generación * Test de Aceptación del plan de generación * La ambigüedad de la revisión o análisis

5.2.3 DISEÑO
En el proceso de diseño, la especificación de requerimientos de software se traduce en uno lógico y físico de la representación del software a implementar. La especificación de diseño de software es una descripción de lo que el software debe hacer y cómo debe hacerlo. Debido a la complejidad del proyecto o habilitar a personas con diferentes niveles de responsabilidades técnicas para entender claramente la información de diseño, la especificación de diseño puede contener un resumen de alto nivel del diseño y el diseño detallado de la información.
El diseño del software necesario para hacer frente a los factores humanos. Los mensajes de errores causados por los diseños que son demasiado complejo o en contra de las expectativas del usuario intuitivo para la operación es una de las más persistentes y problemas críticos encontrados por la FDA. Con frecuencia, el diseño del software es un factor en el uso de tales errores. Ingeniería de factores humanos debe ser tejida en todo el diseño y proceso de desarrollo, incluyendo los requisitos de diseño del dispositivo, los análisis y pruebas. Dispositivo de seguridad y problemas de usabilidad deben ser considerados en el desarrollo de diagramas de flujo, diagramas de estado, las herramientas de creación de prototipos y planes de prueba. Además, la tarea y análisis de funciones, análisis de riesgo, pruebas de prototipos y revisiones, y las pruebas de usabilidad debe ser completamente realizado.
La especificación de diseño de software debe incluir: * Requisitos específicos del software, incluidos los criterios predeterminados para la aceptación del software; * Análisis de riesgos de software; * Procedimientos de Desarrollo y las directrices de codificación (o de otros procedimientos de programación); * Sistemas de documentación (por ejemplo, una narración o un diagrama de contexto) que describe los sistemas de contexto en el que se pretende que el programa funcione, incluyendo la relación de hardware, software, y el entorno físico; * Hardware para ser utilizado; * Parámetros de ser medido o registrado; * Estructura lógica (incluida la lógica de control) y los pasos lógicos de procesamiento (por ejemplo, algoritmos); * Los datos de estructuras y diagramas de flujo de datos; * Definiciones de las variables (control y datos) y la descripción del lugar en que se utilizan; * Error ·, alarmas y mensajes de advertencia; * Apoyar el software (por ejemplo, sistemas operativos, drivers, software de aplicación); * Enlaces de Comunicación (enlaces entre los módulos internos del software, links con el software, links con el hardware, y los vínculos con el usuario); * Las medidas de seguridad (seguridad física y lógica), y * Cualquier restricción adicional no identificada en los elementos anteriores.

Los primeros cuatro de los elementos indicados anteriormente por lo general están separados en documentos preexistentes que se incluyen por referencia en las especificaciones de diseño de software.

Las actividades que se producen durante el diseño del software tienen varios propósitos. Las evaluaciones de software de diseño son llevadas a cabo para determinar si el diseño es completa, correcta, consistente y clara, factible, y fácil de mantener. Consideración adecuada de la arquitectura de software (por ejemplo, estructura, modular) durante el diseño puede reducir la magnitud de los esfuerzos de validación de futuros cambios en el software cuando se necesitan. Evaluaciones de diseño pueden incluir análisis de control de flujo, flujo de datos, la complejidad, el tiempo, el tamaño, la memoria, la asignación, el análisis de criticidad, y muchos otros aspectos del diseño. Un análisis de trazabilidad debe ser llevado a cabo para verificar que el diseño de software implementa todos los requisitos de software. Como técnica para identificar las necesidades que no son suficientes, el análisis de trazabilidad también se debe verificar que todos los aspectos del diseño tienen su origen en los requisitos de software. Un análisis de los vínculos de comunicación debe llevarse a cabo para evaluar el diseño propuesto con respecto al hardware, usuarios y relacionados requisitos de software.

Al final de la actividad de diseño de software, una revisión del diseño formal debe llevarse a cabo para verificar que el diseño es correcto, coherente, completa, exacta y fácil de probar, antes de pasar a implementar el diseño. Partes del diseño puede ser aprobado y puesto en libertad de forma incremental para la ejecución, pero debe tenerse cuidado en cuenta que las interacciones y vínculos de comunicación entre los distintos elementos están correctamente revisada, analizada y controlada.

Las tareas típicas – Diseño * Actualización del software y análisis de riesgos * Análisis de trazabilidad - Especificaciones de Diseño de Requisitos de Software (y viceversa) * Software de Evaluación de Diseño * Análisis de diseño de comunicación de enlaces * Prueba del módulo del Plan de Generación * Prueba de Integración del plan de generación * Prueba de generación de diseño (módulo, integración, sistema, y la aceptación)

5.2.4 CONSTRUCCION O CODIFICACION
El software puede instalarse tanto en la codificación (por ejemplo, la programación) o mediante el ensamblaje de componentes previamente hechos en código (por ejemplo, a partir de librerías de código, fuera de la plataforma de software, etc.) para su uso en una nueva aplicación. La codificación es la actividad de software donde se implementa la especificación de diseño detallado de código fuente. La codificación es el nivel más bajo de abstracción para el proceso de desarrollo de software. Es la última etapa de descomposición de los requisitos de software en el módulo de especificaciones que se traducen en un lenguaje de programación.

La codificación generalmente implica el uso de un lenguaje de programación de alto nivel, pero también puede implicar el uso de en lenguaje ensamblador (o micro código) para las operaciones de tiempo crítico. El código fuente puede ser compilado o interpretado para su uso en una plataforma de hardware de destino. Las decisiones sobre la selección de lenguajes de programación y herramientas de software a construir (ensambladores, enlazadores y compiladores) debe incluir la consideración del impacto en posteriores tareas de evaluación de la calidad (por ejemplo, la disponibilidad de la depuración y herramientas de prueba para el idioma seleccionado). Algunos compiladores ofrecen niveles opcionales y comandos para la comprobación de errores para ayudar a depurar el código. Diferentes niveles de la comprobación de errores se puede utilizar en todo el proceso de codificación, y las advertencias u otros mensajes del compilador pueden o no pueden ser registradas.

Sin embargo, al final del proceso de codificación y depuración, el nivel más riguroso de la comprobación de errores es normalmente utilizado para documentar lo que los errores de compilación aún permanecen en el software. Si el más riguroso nivel de comprobación de errores no se utiliza para la final de la traducción del código fuente, entonces la justificación para el uso de la comprobación de error de traducción menos rigurosos deben ser documentados. Además, para la compilación final, no debe ser la documentación del proceso de compilación y de sus resultados, incluyendo las advertencias u otros mensajes del compilador y su resolución, o la justificación de la decisión de dejar las cuestiones sin resolver.

Las empresas frecuentemente adoptan las directrices específicas de codificación que establecen las políticas de calidad y procedimientos relacionados con el software de proceso de codificación. El código fuente debe ser evaluado para verificar su cumplimiento con determinadas codificación de las directrices. Estas directrices deben incluir las convenciones de codificación en relación con la claridad, el estilo, la complejidad y los comentarios. Los comentarios del código deben proporcionar información útil y descriptiva de un módulo, incluyendo los insumos y productos esperados, las variables de referencia, que se espera los tipos de datos, y las operaciones a realizar. El código fuente también debe ser evaluado para verificar el cumplimiento de las condiciones correspondiente del diseño detallado. Módulos listos para la integración y prueba debe tener documentación del cumplimiento de las directrices de codificación y cualquier otra política de calidad aplicables y procedimientos.
Evaluaciones de código fuente se instauran como las inspecciones de código. Tal análisis estático proporciona un medio muy eficaz para detectar los errores antes de la ejecución del código. Documentación de los procedimientos utilizados y los resultados de las evaluaciones de código fuente, debe mantenerse como parte de la verificación del diseño.

Un análisis de código fuente de la trazabilidad es una herramienta importante para verificar que todo el código está ligada a establecer especificaciones y procedimientos establecidos en la prueba. El código fuente de análisis de trazabilidad debe llevarse a cabo y documentado para verificar que: * Cada elemento de la especificación de diseño de software se ha implementado en el código; * Los módulos y funciones implementadas en el código se remonta a un elemento en el software; * Pruebas de módulos y funciones se remonta a un elemento en el diseño de software y el análisis de riesgos, y * Pruebas de módulos y funciones se remonta al código fuente de los mismos módulos y funciones.

Las tareas típicas - Construcción o codificación * Análisis de trazabilidad * Código fuente de la especificación de diseño (y viceversa) * Casos de prueba para el código fuente y las especificaciones de diseño * Fuente de código y evaluación del código fuente de documentación * Código Fuente Interface Análisis * Prueba de procedimiento y generación de casos de prueba (de módulos, integración de sistemas y aceptación)

5.2.5 PRUEBAS REALIZADAS POR EL DESARROLLADOR DEL SOFTWARE
Las pruebas de software implican la ejecución de productos de software bajo condiciones conocidas con las aportaciones definidas y documentado los resultados que se pueden comparar con sus expectativas predefinidas. Es una pérdida de tiempo, actividad difícil e imperfecto. Como tal, requiere de principios de la planificación con el fin de ser eficaces y eficientes.

Los planes de prueba y casos de prueba se deben crear lo antes posible en el proceso de desarrollo de software como sea posible.
Deben identificar los programas, entornos, recursos (personal, herramientas, etc.), las metodologías, casos (insumos, procedimientos, productos, resultados previstos), la documentación y los criterios de presentación de informes. La magnitud del esfuerzo que se aplicarán en todo el proceso de pruebas puede estar relacionado con la complejidad, criticidad, fiabilidad, y/o problemas de seguridad (por ejemplo, funciones que requieren o módulos que producen resultados críticos que se desafían con pruebas intensivas de sus características de tolerancia a fallos). Descripciones de las categorías de software y el esfuerzo de pruebas de software en la literatura, por ejemplo: * NIST Special Publication 500-235, pruebas estructuradas: una metodología de prueba mediante la Complejidad ciclo matica métricas; * NUREG/CR-6293, Directrices para la verificación y validación de sistemas de alta integridad, y * IEEE Computer Society Press, el Manual de Ingeniería de la fiabilidad del software.

Los planes de prueba del software deben identificar las tareas específicas a realizar en cada etapa de desarrollo e incluir la justificación del nivel de esfuerzo representado por sus criterios de terminación correspondientes.
Las pruebas de software tienen limitaciones que deben ser reconocidos y considerados en la planificación de la prueba de un producto de software en particular. Por lo general, no es posible probar un producto de software con todas las entradas posibles, ni tampoco es posible hacer prueba de todos los caminos posibles de procesamiento de datos que pueden ocurrir durante la ejecución del programa. No hay un solo tipo de ensayo de metodología que puede garantizar que un producto de software en particular ha sido probado a fondo.
Las pruebas de todas las funciones del programa no significan que todo el programa ha sido probado. Las pruebas de un código de programa no significan que toda la funcionalidad necesaria está presente en el programa. Las pruebas de todos la funcionalidad del programa y todo el código del programa no significa que el programa es 100% correcto! La prueba de que no encuentra errores no debe interpretarse en el sentido de que los errores no existen en el software, sino que puede significar que la prueba fue superficial.
Un elemento esencial de un caso de prueba de software es el resultado esperado. Es el detalle clave que permite evaluación objetiva de los resultados de la prueba real. Esta información sobre la prueba necesaria se obtiene de la definición correspondiente, predefinidos o especificación. Un documento de especificación de software debe identificar qué, cuándo, cómo, por qué, etc., se debe lograr con una ingeniería (es decir, medibles u objetivamente verificables) el nivel de detalle con el fin de que sea confirmado a través de la prueba.

El esfuerzo real de efectivas pruebas de software se encuentra en la definición de lo que se va a probar en lugar de en la realización de la prueba. Un proceso de pruebas de software se debe basar en principios que promueven los exámenes de efectivo de un software del producto.

Principios aplicables de pruebas de software incluyen: * El resultado de la prueba se espera predefinido; * Un buen caso de prueba tiene una alta probabilidad de exposición de un error; * Una prueba exitosa es aquella que encuentra un error; * No es la independencia de la codificación; * Tanto la aplicación (usuarios) y software (programación) se emplea la experiencia; * Medidores de utilizar diferentes herramientas de programadores; * El examen un sólo caso más frecuente es insuficiente;

Una vez que las tareas de requisitos previos (por ejemplo, la inspección del código) se han completado con éxito, las pruebas de software comienzan. Se inicia con la prueba de unidad de nivel y concluye con la prueba de nivel de sistema. Es posible que haya una clara integración a nivel de la prueba. Un producto de software debe ser impugnada con los casos de prueba basados en su interior estructura y con los casos de prueba basados en sus especificaciones externas. Las prueba basada en el código también se conoce como pruebas estructurales o de "caja blanca" de prueba.

Las tareas típicas - Las pruebas realizadas por el desarrollador de software * Prueba de Planificación * Pruebas estructurales de identificación de casos * Prueba funcional de identificación de casos * Trazabilidad Análisis - Pruebas * La unidad (módulo) Pruebas para diseño detallado * Pruebas de integración de diseño de alto nivel * Pruebas del sistema de requisitos de Software * Unidad (módulo) la ejecución de pruebas * Integración de la ejecución de pruebas * Ejecución de pruebas funcionales * Sistema de ejecución de prueba * Aceptación de ejecución de prueba * Resultados de pruebas de evaluación * Error Evaluación / Resolución * Informe de evaluación final

5.2.6 PRUEBAS DE USUARIOS DEL SITIO
Prueba en el sitio de usuario es una parte esencial de la validación del software. La regulación del sistema de calidad requiere instalación y los procedimientos de inspección (incluyendo las pruebas en su caso), así como la documentación de inspección y pruebas para demostrar su correcta instalación. (Ver 21 CFR § 820.170.) Del mismo modo, material de fabricación deberán cumplir con los requisitos especificados, y los sistemas automatizados deben ser validados para el uso previsto. (Ver 21 CFR § 820.70 (g) y 21 CFR § 820.70 (i), respectivamente.)

Términos tales como la prueba beta, la validación de sitio, el usuario prueba de aceptación, verificación de la instalación y las pruebas de instalación se han utilizado para describir el sitio del usuario. Para propósitos de este documento, el término "pruebas en sitio de usuario" abarca todos los estilos y las otra prueba que se realiza fuera del ambiente controlado del desarrollador. Esta prueba debe tomar lugar en el sitio de un usuario con el hardware real y software.

Durante las pruebas de usuario del sitio, deberán mantenerse registros de los dos el rendimiento del sistema y todos los fallos del sistema que se encuentran. La revisión del sistema para compensar las fallas detectadas, durante esta prueba el sitio de usuario debe seguir los mismos procedimientos y controles que para cualquier otro software.

Los desarrolladores de software pueden o no participar en las pruebas en terreno del usuario. Si los desarrolladores están involucrados, la perfección se puede llevar al sitio de los usuarios las últimas porciones de sistemas a nivel de diseño en prueba. Si los desarrolladores no están involucrados, es aún más importante que el usuario tenga las personas que comprendan la importancia de la planificación de controles.
Las tareas típicas - Pruebas de usuario del Sitio * Aceptación de ejecución de prueba * Resultados de pruebas de evaluación * Evaluación / Resolución de errores * Informe de evaluación final

5.2.7 MANTENIMIENTO Y CAMBIOS DE SOFTWARE
Tal como se aplica al software, el mantenimiento a largo plazo no significa lo mismo que cuando se aplica al hardware.
El mantenimiento de hardware y software son diferentes, el mantenimiento del hardware suele incluir el reemplazo de componentes, y los cambios correctivos. Mantenimiento de software incluye corregir los errores y fallos en el software, mantenimiento correctivo, perfectivo y adaptativo, pero no incluye acciones de mantenimiento preventivo ni reemplazo de componentes.

El esfuerzo de validación específicos necesarios para cada cambio de software está determinado por el tipo de cambio, los productos de desarrollo afectados, y el impacto de esos productos en el funcionamiento del software. La documentación completa y cuidadosa de la estructura del diseño y las interrelaciones de los diferentes módulos, interfaces, etc., puede limitar el esfuerzo de validación necesaria cuando se realiza un cambio. El nivel de esfuerzo necesario para validar completamente un cambio también depende del grado en que la validación del software original fue documentada y archivada. Por ejemplo, prueba de la documentación, casos de prueba y los resultados de las anteriores las pruebas de verificación y validación deben ser archivados para que puedan estar disponibles para la realización de pruebas de regresión posteriores. La falta de archivar esta información para su uso posterior puede aumentar significativamente el nivel de esfuerzo y los gastos de revalidar el software después de un cambio.

Las siguientes tareas adicionales de mantenimiento para el mantenimiento de software: * Software de validación de plan de revisión - Para el software que fue previamente validado, el actual plan de validación de software debe ser revisado para apoyar la validación del software revisado. Si ningún plan de validación de software anterior existe, dicho plan debería ser establecido para apoyar la validación del software en revisión. * Evaluación de anomalías - las organizaciones de software con frecuencia mantienen la documentación, tales como informes de problema de software que describen las anomalías descubiertas de las acciones correctivas tomadas para corregir cada anomalía. Con demasiada frecuencia, sin embargo, los errores se repiten ya que los desarrolladores de software no dan el siguiente paso para determinar las causas de los problemas y hacer el proceso y los cambios de procedimiento necesarios para evitar la repetición del problema, las medidas correctivas y preventivas deben ser implementadas y documentado para evitar que se repita un problema de calidad similar. (Ver 21 CFR 820.100.) * Identificación de problemas y seguimiento de la resolución - Todos los problemas descubiertos durante el mantenimiento del software debe ser documentado. La resolución de cada problema debe ser seguimiento para asegurarse de que se fija, para la referencia histórica, y de tendencias. * Evaluación de cambio propuesto - Todas las propuestas de modificaciones, ampliaciones o adiciones debe ser evaluado para determinar el efecto de cada cambio que tendría en el sistema. * Tareas de Iteración - Todos cambios en el software, todas las verificaciones necesarias y validación de las tareas se deben realizar para asegurar que los cambios previstos se ejecutan correctamente, toda la documentación debe estar completa y con la fecha. * Documentación de actualización - La documentación debe ser revisada cuidadosamente para determinar qué los documentos han sido afectados por un cambio. Todos los documentos aprobados (por ejemplo, las especificaciones de prueba, procedimientos, manuales de usuario, etc.) que han sido afectados deben ser actualizadas de acuerdo con procedimientos de gestión de la configuración. Las especificaciones deben ser actualizadas antes de que el mantenimiento y cambios de software se realizan.

SECCIÓN 6. ¿Qué es COBIT?
COBIT es el modelo para el Gobierno de la TI desarrollado por ISACA y el ITGI Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios: El plan y Organiza, Adquiere y Pone en práctica, Entrega y Apoya, y Supervisa y Evalúa.
Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de TI., apoya el alineamiento con el negocio y simplifica la implantación del COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el trabajo hecho.
Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo entero. Lo ofrecen como un descargado libre (gratis) y, como una ventaja especial para miembros ISACA.
Es un marco de gobernación TI que permite a gerentes acortar el hueco entre exigencias de control, cuestiones técnicas y riesgos de negocio. Permite el desarrollo claro de política y la práctica buena para el control de TI en todas partes de organizaciones.

6.1 ¿PARA QUE SIRVE COBIT?
Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, calidad, eficacia y eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización.
Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmente aceptadas, indicadores, procesos y las mejores prácticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnología de información y desarrollo de la gobernación apropiada TI y el control en una empresa.
Proporciona ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician de COBIT porque esto provee de ellos de una fundación sobre cual TI las decisiones relacionadas e inversiones pueden estar basadas. La toma de decisiones es más eficaz porque COBIT ayuda la dirección en la definición de un plan de TI estratégico, la definición de la arquitectura de la información, la adquisición del hardware necesario TI y el software para ejecutar una estrategia TI, la aseguración del servicio continuo, y la supervisión del funcionamiento del sistema. COBIT beneficia a interventores porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto también les ayuda a corroborar sus conclusiones de auditoria.

6.1.1 LA MISION DE COBIT
La misión COBIT es " para investigar, desarrollar, hacer público y promover un juego autoritario, actualizado, internacional de objetivos de control de tecnología de información generalmente aceptados para el empleo cotidiano por directores comerciales e interventores. " Los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas y decidir el nivel de seguridad (valor) y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernación TI.

6.2 FAMILIA DEL PRODUCTO COBIT
El paquete de programas de COBIT completo es un juego que consiste en seis publicaciones: 1. Resumen (Sumario) Ejecutivo 2. Marco 3. Objetivos de Control 4. Directrices de auditoria 5. Instrumento de puesta en práctica 6. Directrices de Dirección

6.2.1 RESUMEN SUMARIO Y EJECUTIVO
Las decisiones de negocio están basadas en la información oportuna, relevante y concisa. Expresamente diseñado para directores ejecutivos embutidos de tiempo y gerentes, el Resumen (Sumario) COBIT Ejecutivo, consiste en una descripción ejecutiva que proporciona una conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT y principios. También incluido es un resumen del Marco, que proporciona un entendimiento más detallado de estos conceptos y principios, identificando los cuatro dominios del COBIT (la Planificación y la Organización, la Adquisición y la Puesta en práctica, la Entrega y el Apoyo, la Supervisión) y 34 procesos de TI.

6.2.2 MARCO
Una organización acertada es construida sobre un marco sólido de datos e información. El Marco explica como los procesos de TI entregan la información que el negocio tiene que alcanzar sus objetivos. Esta entrega es controlada por 34 objetivos de control de alto nivel, un para cada proceso de TI, contenida en los cuatro dominios. El Marco se identifica cuál de los siete criterios de la información (la eficacia, la eficacia, la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la fiabilidad), así como que recursos TI (la gente, usos, tecnología, instalaciones y datos) son importantes para los procesos de TI para totalmente apoyar el objetivo de negocio.

6.2.3 OVJECITO DE CONTROL
La llave al mantenimiento de la rentabilidad en un ambiente que se cambia tecnológicamente es como bien usted mantiene el control. Los Objetivos de Control del COBIT proveen la perspicacia (idea) crítica tuvo que delinear una práctica clara de política y buena para mandos de TI. Incluido son las declaraciones de resultados deseados u objetivos para ser alcanzados por poniendo en práctica los 215 objetivos de control específicos, detallados en todas partes de los 34 procesos de TI.

6.2.4 DIRECTRICES DE AUDITORIA
Analice, evalúa, haga de intérprete, reaccione, el instrumento. Para alcanzar sus objetivos deseados y objetivos usted y coherentemente constantemente debe revisar sus procedimientos. Directrices de auditoria perfilan y aconsejan actividades reales ser realizadas correspondiente a cada uno de los 34 objetivos de control de TI de alto nivel, justificando el riesgo de objetivos de control no siendo encontrados. Directrices de auditoria son un instrumento inestimable para interventores de sistemas de información en el aseguramiento de dirección que provee y/o el consejo para la mejora.

6.2.5 INSTRUMENTO DE PUESTA DE PRÁCTICA
Un Instrumento de Puesta en práctica , que contiene la Conciencia de Dirección y el Diagnóstico de Control de TI, y la Guía de Puesta en práctica, FAQs, estudios de caso de organizaciones actualmente que usan COBIT, y las presentaciones de diapositiva que pueden ser usadas introducir COBIT en organizaciones. El nuevo Juego de Instrumento es diseñado para facilitar la puesta en práctica de COBIT, relacionar lecciones cultas de organizaciones que rápidamente y satisfactoriamente aplicado COBIT en sus ambientes de trabajo, y la dirección de plomo(ventajosa) para preguntar sobre cada COBIT tratan: ¿Este dominio es importante para nuestros objetivos de negocio? ¿Bien es realizado? ¿Quién lo hace y quien es responsable? ¿Son formalizados los procesos y el control?
6.2.6 DIRECTRICES DE DIRECCION
Para asegurar una empresa acertada, usted con eficacia debe manejar la unión eficaz entre procesos de negocio y sistemas de información. Las nuevas Directrices de Dirección son compuestas de Modelos de Madurez, ayudar determinar las etapas y los niveles de expectativa de control y compararlos contra normas de industria; Factores de Éxito Críticos, para identificar las acciones más importantes para alcanzar control de los procesos de TI; Indicadores de Objetivo Claves, para definir los niveles objetivo de funcionamiento; e Indicadores de Funcionamiento Claves, para medir si un proceso de control de TI encuentra su objetivo. Estas Directrices de Dirección ayudarán a contestar las preguntas de preocupación (interés) inmediata a todo los que tienen una estaca (un interés) en el éxito de la empresa.

APPENDIX A - REFERENCIAS

Food and Drug Administration References

General Principles of Software Validation; Final Guidance for Industry and FDA Staff,
U.S. Department Of Health and Human Services, Food and Drug Administration
Center for Devices and Radiological Health, Center for Biologics Evaluation and Research, January 11 2002.

Glossary of Computerized System and Software Development Terminology, Division of Field
Investigations, Office of Regional Operations, Office of Regulatory Affairs, Food and Drug Administration, August 1995.

International and National Consensus Standards

ANSI / ANS-10.4-1987, Guidelines for the Verification and Validation of Scientific and
Engineering Computer Programs for the Nuclear Industry, American National Standards Institute, 1987

IEEE Standards 1012-1986, Software Verification and Validation Plans, Institute for Electrical and Electronics Engineers, 1986, Page 38

--------------------------------------------
[ 1 ]. Llamadas de servicio
[ 2 ]. COBIT - Control Objectives for Information and related Technology
[ 3 ]. ISACA - Information Systems Audit and Control Association
[ 4 ]. ITGI – IT Governance Institute
Computer