Guía de implementación | Alcance de la gestión de los cambios Si bien la gestión de los cambios debe existir y ser formal a nivel de todas las áreas la organización, se debe establecer al menos, un control formal de los cambios en el ámbito tecnológico. Aplica a todo tipo de cambios tecnológicos, como cambios en configuraciones de servidores, sistemas operativos, firewalls y aplicaciones, entre otros. Política de gestión de cambios La política de gestión de cambios debe abordar temas tales como: - Solicitud.
- Registro.
- Autorización.
- Evaluación de riesgos e impacto.
- Priorización.
- Ejecución, prueba y aprobación.
- Gestión de configuración.
- Prever la posibilidad de volver atrás para la recuperación a un estado estable conocido anterior en caso de imprevistos o errores.
- Control de versionado y línea base.
- Cambios de emergencia, es decir aquellos que por su urgencia no pueden realizarse según lo establecido en el procedimiento de gestión de cambios tradicional.
- Herramientas disponibles en la organización para dar soporte a la gestión de los cambios.
Procedimiento de gestión de cambios Para cada tipo de cambio, se recomienda contar con un procedimiento que acompañe la política, donde se detallen los responsables, las actividades y las herramientas de gestión que apoyan el procedimiento si existieren. Independientemente de la existencia o no de herramientas de apoyo para la gestión, los cambios deben ser siempre registrados. Puertos de diagnóstico y configuración remota Los puertos, servicios y aplicaciones instalados en un equipos o sistemas de red, que no sean específicamente necesarios para las operaciones del negocio, se desactivan o eliminan. El acceso a puertos de diagnóstico y configuración se controla mediante cerraduras y procedimientos que restringen su uso a personal autorizado. |
Guía de evidencia para auditoría | - Política de gestión de cambios.
- Procedimiento para la gestión de cambios.
- Procedimiento para cambios de emergencia.
- Listado (muestra) de cambios en el período auditado.
- Evidencia para una muestra de cambios dentro del período auditado, para verificar que se ha cumplido con los procedimientos definidos de gestión de cambios (análisis de riesgos, aprobación, etc.).
- Listado (muestra) de cambios de emergencia en el período auditado.
- Evidencia de la realización de las actividades descriptas en los procedimientos: análisis de riesgos, autorización, aprobación, registro, etc.
- Procedimientos de hardenización de servidores.
- Procedimiento de control de acceso con medidas específicas para puertos de diagnóstico y configuración remota.
- Informes de revisión periódica del proceso de gestión de cambios.
|