Guía de Implementación del Marco de Ciberseguridad 5.0

SO.4 Definir entornos separados para desarrollo, pruebas y producción

Requisito SO.4Definir entornos separados para desarrollo, pruebas y producción
ObjetivoReducir los riesgos de accesos no autorizados o realización de cambios no autorizados en producción, evitar modificaciones no deseadas de archivos o sistemas, evitar fallas de los sistemas.
Controles

Nivel 1

  • SO.4-1: el entorno de producción se encuentra separado del resto de los entornos.

Nivel 2

  • SO.4-2: se cuenta con plataformas adecuadas e independientes que soportan el ciclo de vida de desarrollo de los sistemas.
  • SO.4-3: se implementan controles para el pasaje entre los ambientes.
  • SO.4-4: se evita el uso de datos reales de producción en ambientes de prueba; en caso de ser necesarios, se aplican controles de acceso adecuados al nivel de confidencialidad de la información.

Nivel 3

  • SO.4-5: se encuentra definida una política de separación de entornos.
  • SO.4-6: está establecido y documentado un procedimiento de gestión de ambientes.
  • SO.4-7: están definidos los responsables para la gestión de los ambientes existentes y de los pasajes a producción.
  • SO.4-8: durante la realización de las pruebas se registra y conserva la información del entorno (características, información de los datos de prueba, etc.).

Nivel 4

  • SO.4-9: se realizan auditorías de cumplimiento y control interno de la política de separación de entornos y procedimientos relacionados.
  • SO.4-10: se registran los resultados y se toman acciones correctivas en casos de desvíos.
Guía de implementación

Política de separación de ambientes
Se debe contar con una política que determine la separación de ambientes para desarrollo, pruebas, producción y procedimientos afines. Los tres ambientes deben estar claramente identificados para reducir posibilidad de errores y deben existir responsables para su gestión, quienes deben participar desde el inicio en los proyectos.

Segregación de ambientes
Se recomienda que los ambientes de desarrollo y pruebas se encuentren segregados del ambiente de producción.

Procedimiento para el pasaje a producción
Se recomienda elaborar un procedimiento para el pasaje a producción que incluya, al menos, solicitud, autorización, responsables, verificación de operatividad y plan de marcha atrás.

Procedimiento de pruebas
Es necesario, además, definir un procedimiento de pruebas (testing) de sistemas y los pasos para la obtención de datos para pruebas evitando usar información sensible, confidencial, reservada o secreta. En caso de ser necesario el uso de estos datos para la realización de las pruebas, el contenido deberá eliminarse o modificarse.
En caso de requerir la copia de información de producción al ambiente de prueba, se debe contar con procedimientos de autorización y también deben tomarse los recaudos necesarios respecto a la clasificación de la información contenida (eliminar o modificar).

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)

Existen procedimientos para verificar que las versiones de los programas del ambiente de producción corresponden a las versiones de programas fuentes catalogadas

Se tienen procedimientos y controles para el paso de programas a producción.

Guía de evidencia para auditoría
  • Política de separación de entornos.
  • Procedimiento para el pasaje a producción.
  • Procedimiento o metodología de pruebas.
  • Documentación que detalle los diferentes ambientes existentes.
  • Listado de sistemas en desarrollo y producción y ambientes definidos.
  • Lista de cambios realizados en el período auditado.
  • Registro de solicitudes de cambio, análisis de riesgos, aprobaciones, rechazos de cambios y de los pasajes entre ambientes.
  • Ambientes de desarrollo, producción y pruebas para los sistemas seleccionados.
Normativa asociadaLey N° 18.331: Protección de datos personales, acción de habeas data.

Etiquetas