Guía de implementación

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

SO 2 Gestionar formalmente los cambios.

ObjetivoAsegurar que los cambios no comprometan la seguridad. Lograr un adecuado control y seguimiento de los pedidos de cambio de los sistemas y configuraciones de componentes de la infraestructura, asegurar que los cambios están justificados y autorizados, que se llevan a cabo sin perjuicio de la calidad del servicio y se encuentran registrados, clasificados, documentados y probados de manera adecuada.
AlcanceCualquier organización
Referencia ISO 27001A.12.1.2, A.14.2.2, A.14.2.3, A.14.2.4
Guía de implementación

Alcance de la gestión de los cambios

Si bien la gestión de los cambios debe existir y ser formal a nivel de todas las áreas la organización, se debe establecer al menos, un control formal de los cambios en el ámbito tecnológico. Aplica a todo tipo de cambios tecnológicos, como cambios en configuraciones de servidores, sistemas operativos, firewalls y aplicaciones, entre otros.

Política de gestión de cambios

La política de gestión de cambios debería abordar temas tales como: 

  • Solicitud.
  • Registro.
  • Autorización.
  • Evaluación de riesgos e impacto.
  • Priorización.
  • Ejecución, prueba y aprobación.
  • Gestión de configuración.
  • Prever la posibilidad de volver atrás para la recuperación a un estado estable conocido anterior en caso de imprevistos o errores.
  • Control de versionado y línea base.
  • Cambios de emergencia, es decir aquellos que por su urgencia no pueden realizarse según lo establecido en el procedimiento de gestión de cambios tradicional.
  • Herramientas disponibles en la organización para dar soporte a la gestión de los cambios. 

Procedimiento de gestión de cambios

Para cada tipo de cambio, se recomienda contar con un procedimiento que acompañe la política, donde se detallen los responsables, las actividades y las herramientas de gestión que apoyan el procedimiento si existieren. Independientemente de la existencia o no de herramientas de apoyo para la gestión, los cambios deben ser siempre registrados.

Administración Central-
Instituciones de salud-
Guía de evidencia para auditoría
  • Política de gestión de cambios.
  • Procedimiento para la gestión de cambios. 
  • Procedimiento para cambios de emergencia.
  • Listado (muestra) de cambios en el período auditado.
  • Evidencia para una muestra de cambios dentro del período auditado, para verificar que se ha cumplido con los procedimientos definidos de gestión de cambios (análisis de riesgos, aprobación, etc.).
  • Listado (muestra) de cambios de emergencia en el período auditado.
  • Evidencia de la realización de las actividades descriptas en los procedimientos: análisis de riesgos, autorización, aprobación, registro, etc.
  • Pautas de desarrollo seguro.
  • Metodología de desarrollo incluyendo aspectos de seguridad.
Normativa asociada

N/A

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay