Guía de implementación | Política de separación de ambientes Se debe contar con una política que determine la separación de ambientes para desarrollo, pruebas, producción y procedimientos afines. Los tres ambientes deben estar claramente identificados para reducir posibilidad de errores y deben existir responsables para su gestión, quienes deben participar desde el inicio en los proyectos. Segregación de ambientes Se recomienda que los ambientes de desarrollo y pruebas se encuentren segregados del ambiente de producción. Procedimiento para el pasaje a producción Se recomienda elaborar un procedimiento para el pasaje a producción que incluya, al menos, solicitud, autorización, responsables, verificación de operatividad y plan de marcha atrás. Procedimiento de pruebas Es necesario, además, definir un procedimiento de pruebas (testing) de sistemas y los pasos para la obtención de datos para pruebas evitando usar información sensible, confidencial, reservada o secreta. En caso de ser necesario el uso de estos datos para la realización de las pruebas, el contenido deberá eliminarse o modificarse. En caso de requerir la copia de información de producción al ambiente de prueba, se debe contar con procedimientos de autorización y también deben tomarse los recaudos necesarios respecto a la clasificación de la información contenida (eliminar o modificar). |
Instituciones Emisoras de Dinero Electrónico (IEDE) | Existen procedimientos para verificar que las versiones de los programas del ambiente de producción corresponden a las versiones de programas fuentes catalogadas Se tienen procedimientos y controles para el paso de programas a producción. |
Guía de evidencia para auditoría | - Política de separación de entornos.
- Procedimiento para el pasaje a producción.
- Procedimiento o metodología de pruebas.
- Documentación que detalle los diferentes ambientes existentes.
- Listado de sistemas en desarrollo y producción y ambientes definidos.
- Lista de cambios realizados en el período auditado.
- Registro de solicitudes de cambio, análisis de riesgos, aprobaciones, rechazos de cambios y de los pasajes entre ambientes.
- Ambientes de desarrollo, producción y pruebas para los sistemas seleccionados.
|