Guía de Implementación del Marco de Ciberseguridad 5.0

SO.2 Gestionar formalmente los cambios

Requisito SO.2Gestionar formalmente los cambios
ObjetivoAsegurar que los cambios no comprometan la seguridad. Lograr un adecuado control y seguimiento de los pedidos de cambio de los sistemas y configuraciones de componentes de la infraestructura, asegurar que los cambios están justificados y autorizados, que se llevan a cabo sin perjuicio de la calidad del servicio y se encuentran registrados, clasificados, documentados y probados de manera adecuada.
Controles

Nivel 1

  • SO.2-1: se han establecido mecanismos para comunicar los cambios en el ámbito tecnológico a las partes interesadas.
  • SO.2-2: los cambios tecnológicos son previamente autorizados por los responsables de los activos.

Nivel 2

  • SO.2-3: se definen el versionado, las líneas base de configuración y los lineamientos de hardenizado de los productos de software.
  • SO.2-4: los cambios de configuración sobre infraestructura crítica requieren validación previa mediante pruebas en ambientes controlados.

Nivel 3

  • SO.2-5: está definida una política de gestión de cambios, la misma contempla los cambios de emergencia en el ámbito tecnológico.
  • SO.2-6: está establecido y documentado un procedimiento para la gestión de los cambios.
  • SO.2-7: los cambios se registran y se les asocia una justificación y responsable.

Nivel 4

  • SO.2-8: se cuenta con herramientas para dar soporte a la gestión de los cambios.
  • SO.2-9: se realizan actividades de control interno para revisar el cumplimiento de los procedimientos relacionados a gestión de cambios.
  • SO.2-10: el resultado de estas actividades es comunicado al RSI y demás partes interesadas.
  • SO.2-11: se toman medidas correctivas ante desvíos.
Guía de implementación

Alcance de la gestión de los cambios
Si bien la gestión de los cambios debe existir y ser formal a nivel de todas las áreas la organización, se debe establecer al menos, un control formal de los cambios en el ámbito tecnológico. Aplica a todo tipo de cambios tecnológicos, como cambios en configuraciones de servidores, sistemas operativos, firewalls y aplicaciones, entre otros.

Política de gestión de cambios
La política de gestión de cambios debe abordar temas tales como: 

  • Solicitud.
  • Registro.
  • Autorización.
  • Evaluación de riesgos e impacto.
  • Priorización.
  • Ejecución, prueba y aprobación.
  • Gestión de configuración.
  • Prever la posibilidad de volver atrás para la recuperación a un estado estable conocido anterior en caso de imprevistos o errores.
  • Control de versionado y línea base.
  • Cambios de emergencia, es decir aquellos que por su urgencia no pueden realizarse según lo establecido en el procedimiento de gestión de cambios tradicional.
  • Herramientas disponibles en la organización para dar soporte a la gestión de los cambios.

Procedimiento de gestión de cambios
Para cada tipo de cambio, se recomienda contar con un procedimiento que acompañe la política, donde se detallen los responsables, las actividades y las herramientas de gestión que apoyan el procedimiento si existieren. Independientemente de la existencia o no de herramientas de apoyo para la gestión, los cambios deben ser siempre registrados.

Puertos de diagnóstico y configuración remota
Los puertos, servicios y aplicaciones instalados en un equipos o sistemas de red, que no sean específicamente necesarios para las operaciones del negocio, se desactivan o eliminan. El acceso a puertos de diagnóstico y configuración se controla mediante cerraduras y procedimientos que restringen su uso a personal autorizado.

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)Los procedimientos, sistemas y hardware se encuentran actualizados, conforme las necesidades del negocio.
Guía de evidencia para auditoría
  • Política de gestión de cambios.
  • Procedimiento para la gestión de cambios.
  • Procedimiento para cambios de emergencia.
  • Listado (muestra) de cambios en el período auditado.
  • Evidencia para una muestra de cambios dentro del período auditado, para verificar que se ha cumplido con los procedimientos definidos de gestión de cambios (análisis de riesgos, aprobación, etc.).
  • Listado (muestra) de cambios de emergencia en el período auditado.
  • Evidencia de la realización de las actividades descriptas en los procedimientos: análisis de riesgos, autorización, aprobación, registro, etc.
  • Procedimientos de hardenización de servidores.
  • Procedimiento de control de acceso con medidas específicas para puertos de diagnóstico y configuración remota.
  • Informes de revisión periódica del proceso de gestión de cambios.
Normativa asociadaNo aplica

Etiquetas