Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• SO.4-1: el entorno de producción se encuentra separado del resto de los entornos.

Nivel 2

• SO.4-2: se cuenta con plataformas adecuadas e independientes que soportan el ciclo de vida de desarrollo de los sistemas.
• SO.4-3: se implementan controles para el pasaje entre los ambientes.
• SO.4-4: se evita el uso de datos reales de producción en ambientes de prueba; en caso de ser necesarios, se aplican controles de acceso adecuados al nivel de confidencialidad de la información.

Nivel 3

• SO.4-5: se encuentra definida una política de separación de entornos.
• SO.4-6: está establecido y documentado un procedimiento de gestión de ambientes.
• SO.4-7: están definidos los responsables para la gestión de los ambientes existentes y de los pasajes a producción.
• SO.4-8: durante la realización de las pruebas se registra y conserva la información del entorno (características, información de los datos de prueba, etc.).

Nivel 4

• SO.4-9: se realizan auditorías de cumplimiento y control interno de la política de separación de entornos y procedimientos relacionados.
• SO.4-10: se registran los resultados y se toman acciones correctivas en casos de desvíos.

Política de separación de ambientes
Se debe contar con una política que determine la separación de ambientes para desarrollo, pruebas, producción y procedimientos afines. Los tres ambientes deben estar claramente identificados para reducir posibilidad de errores y deben existir responsables para su gestión, quienes deben participar desde el inicio en los proyectos.

Segregación de ambientes
Se recomienda que los ambientes de desarrollo y pruebas se encuentren segregados del ambiente de producción.

Procedimiento para el pasaje a producción
Se recomienda elaborar un procedimiento para el pasaje a producción que incluya, al menos, solicitud, autorización, responsables, verificación de operatividad y plan de marcha atrás.

Procedimiento de pruebas
Es necesario, además, definir un procedimiento de pruebas (testing) de sistemas y los pasos para la obtención de datos para pruebas evitando usar información sensible, confidencial, reservada o secreta. En caso de ser necesario el uso de estos datos para la realización de las pruebas, el contenido deberá eliminarse o modificarse.
En caso de requerir la copia de información de producción al ambiente de prueba, se debe contar con procedimientos de autorización y también deben tomarse los recaudos necesarios respecto a la clasificación de la información contenida (eliminar o modificar).

Existen procedimientos para verificar que las versiones de los programas del ambiente de producción corresponden a las versiones de programas fuentes catalogadas

Se tienen procedimientos y controles para el paso de programas a producción.

• Política de separación de entornos.
• Procedimiento para el pasaje a producción.
• Procedimiento o metodología de pruebas.
• Documentación que detalle los diferentes ambientes existentes.
• Listado de sistemas en desarrollo y producción y ambientes definidos.
• Lista de cambios realizados en el período auditado.
• Registro de solicitudes de cambio, análisis de riesgos, aprobaciones, rechazos de cambios y de los pasajes entre ambientes.
• Ambientes de desarrollo, producción y pruebas para los sistemas seleccionados.