Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Deben existir tres roles diferentes, como mínimo, que pueden ser personas o equipos:
El flujo de gestión de cambios por lo general incluye las siguientes actividades y responsables:
Para llevar un control de los cambios en los activos se requiere que cada cambio incluya lo siguiente:
Documentación de impacto
Aprobación del cambio por las partes autorizadas
Pruebas de funcionalidad para validar que el cambio no impacta de forma negativa la seguridad
del sistema
Procedimientos de vuelta atrás («rollback» / «back-out»)
No obstante, no todos los cambios son iguales. Su diferencia radica en el impacto que pueda tener
en el entorno en términos de confidencialidad, integridad y disponibilidad (la cantidad de daño que le
podría hacer al entorno en el caso de que el cambio fallara y la cantidad de activos afectados) y en
la ventana de tiempo requerida para ejecutar dicho cambio.
Conforme con esta descripción, se podría hacer una categorización de cambios de la siguiente manera:
Categorización de cambios
Infraestructura
Por lo general son cambios comúnes vinculados con la operación, que se deben realizar de
forma periódica con base en un procedimiento pre-establecido y cuyo riesgo está
controlado. Por ello, no requieren entrar en el ciclo de aprobación por cada ejecución (están
pre-aprobados) y deben estar listados de forma explícita. Ejemplos: Bloqueos de cuentas por
inactividad, reseteo de contraseñas, actualización de las firmas antivirus, etc.
Cambios normales
Son cambios que requieren de una evaluación del riesgo de su ejecución y por ello necesita de
una aprobación explícita por las áreas afectadas. Sin embargo, su ejecución no requiere ser
inmediata y por lo general se cuenta con un calendario pre-establecido de implementación de
estos cambios («ventanas de mantenimiento»). Ejemplos: despliegue de actualizaciones
(parches), cambios en configuraciones, etc.
Son cambios que requieren de una ejecución inmediata debido al impacto que pueden tener
en el negocio y no pueden esperar para ser analizados e implementados en los periodos
establecidos en el calendario de cambios. Por ello, necesitan de un flujo de aprobación rápido
(«express»). Ejemplos: solución de incidencias al nivel de aplicación que afecten la
disponibilidad.
Por lo general, lo que se suele utilizar para gestionar estas acciones es usar un formulario denominado
«solicitud de cambio» («Change Request or Request for Change» – RFC) que contenga estos campos
PENTAFON
y se almacene para evidencia posterior
DIRECCIÓN GENERAL DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES 01/03/18
CONSIDERACIONES IMPORTANTES
Nombre:
Crea do:
SITIO DE COLABORACIÓN:
Modi fi ca do:
Modi fi ca do
VENTANA DE MANTENIMIENTO PROPUESTA
(HORA, FECHA Y DURACIÓN DEL CAMBIO)
Lleve a cabo análisis internos y externos, y repítalos, según sea necesario, después de realizar
un cambio significativo. Los análisis deben estar a cargo de personal calificado.
Lleve a cabo pruebas de penetración externas, al menos, una vez al año y después de
implementar una actualización o modificación significativa en las infraestructuras o aplicaciones
(como por ejemplo, actualizar el sistema operativo, agregar una subred o un servidor web al
entorno).
Lleve a cabo pruebas de penetración internas, al menos, una vez al año y después de
implementar una actualización o modificación significativa en las infraestructuras o aplicaciones
(como por ejemplo, actualizar el sistema operativo, agregar una subred o un servidor web al
entorno).
Formato de riego
Pentafon PROCESO Actualizaciones Servidores
DIRECCIÓN GENERAL DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES 01/03/18
NIVELES DE RIESGO
CATEGORÍA Alto Moderado Bajo Sin Riesgo
Riesgo total
(4) (3) (2) (1)
Impacto a los Acuerdos de Impacta a los SLA durante horas Impacta a los SLA durante horas Poca afectación en tiempo No afecta los tiempos de los
1
Niveles de Servicio pico. no pico. medible para los SLA. SLA
RIESGO 8
Igualmente, es importante apuntar que la aplicabilidad de los requisitos vinculados con cambios
significativos estará limitada únicamente a los activos afectados por el cambio. Es decir: los
escaneos de vulnerabilidades, las pruebas de penetración, el análisis de riesgos, etc. se pueden limitar
únicamente a los activos relacionados con el cambio y no es obligatorio (aunque sí recomendable)
extender la ejecución de estas pruebas a todo el entorno
Cambios significativos
Para aclarar este tema, tomaremos como un ejemplo de un «cambio significativo» el ingreso de un
nuevo servidor al entorno de cumplimiento PCI DSS. Siguiendo esta línea, las tareas a realizar al
finalizar este cambio serán:
Para este caso, la ejecución de los escaneos de vulnerabilidades y pentests a este nuevo servidor no
remplaza ni evitan la ejecución de los escaneos trimestrales ni pentest anuales a todo el entorno.
Infraestructura
CONCLUSIÓN
De acuerdo con ITIL (Information Technology Infrastructure Library), un «cambio» consiste en «la
adición, modificación o eliminación de cualquier cosa que pueda tener un efecto en los servicios de
tecnologías de la información«, entendiéndose como «tecnologías de la información» cualquier activo
físico (servidores, equipos activos de red, appliances, discos, cintas de backup, papel, etc.), virtual
(servidores y almacenamiento virtual), software (desarrollos propios, software de terceros, etc.),
documentación, servicios de TI, procesos, personas, proveedores, clientes, ubicaciones, etc.
En PCI DSS, este criterio aplica a cualquier elemento del entorno de cumplimiento («scope») que esté
inventariado en la Cardholder Data Matrix (inventario de activos del entorno PCI DSS)